Cos'è un attacco brute force?

Un attacco di forza bruta è un tipo di attacco informatico in cui gli hacker cercano di ottenere l’accesso non autorizzato a un account o a dati crittografati attraverso tentativi ed errori, tentando diverse credenziali di accesso o chiavi di crittografia finché non trovano la password corretta. Gli attacchi di forza bruta spesso prendono di mira sistemi di autenticazione come le pagine di accesso ai siti web, i server Secure Shell (SSH) o i file protetti da password. 
 

A differenza di altri attacchi informatici, che approfittano delle vulnerabilità del software, gli attacchi di forza bruta utilizzano la potenza di calcolo e l’automazione per indovinare password o chiavi. I tentativi di forza bruta di base utilizzano script o bot automatici per testare migliaia di combinazioni di password al minuto, proprio come un ladro che prova ogni combinazione possibile su un lucchetto finché non si apre.

Le password deboli o semplici semplificano il lavoro, mentre quelle complesse possono rendere questo tipo di attacco estremamente dispendioso in termini di tempo, oppure poco pratico. Tuttavia, vengono costantemente sviluppate tecniche di forza bruta più avanzate.

Per illustrare la velocità e la portata delle minacce informatiche moderne, si consideri che Microsoft blocca una media di 4.000 attacchi di identità al secondo. Eppure gli aggressori continuano a spingersi oltre i limiti. Gli strumenti specializzati per decifrare le password possono raggiungere circa 7,25 trilioni di tentativi di password al secondo.

E ora, con l’emergere del quantum computing e la necessità della crittografia post-quantistica, gli attacchi di forza bruta non sono più limitati dall’hardware attualmente disponibile. I moderni metodi crittografici per l’autenticazione, come la crittografia RSA, si basano sulla difficoltà computazionale di scomporre numeri grandi in numeri primi.

La fattorizzazione di qualsiasi cosa oltre i 2048 bit richiederebbe miliardi di anni con l’attuale potenza di calcolo. Tuttavia, un computer quantistico sufficientemente avanzato con circa 20 milioni di qubit potrebbe decifrare una chiave RSA da 2048 bit in poche ore.

Gli attacchi di forza bruta sono una grave minaccia alla cybersecurity perché prendono di mira l'anello più debole delle difese di sicurezza: password scelte dall'uomo e account poco protetti.

Un attacco di forza bruta riuscito può portare a un accesso non autorizzato immediato, consentendo agli aggressori di impersonare l'utente, rubare dati sensibili o infiltrarsi ulteriormente in una rete. Inoltre, a differenza degli hack più complessi, gli attacchi di forza bruta richiedono relativamente poche competenze tecniche e solo perseveranza e risorse.

Uno dei principali rischi di un attacco di forza bruta è che un singolo account compromesso può avere un effetto a cascata. Ad esempio, se i criminali informatici applicano la forza bruta alle credenziali di un amministratore, possono utilizzarle per compromettere altri account utente.

Anche un normale account utente, una volta effettuato l'accesso, potrebbe rivelare informazioni di identificazione personale o fungere da trampolino di lancio verso un accesso più privilegiato. Molte violazioni dei dati e incidenti di ransomware iniziano con gli aggressori che utilizzano la forza bruta per violare gli account di accesso remoto, come gli accessi tramite Remote Desktop Protocol (RDP) o VPN. Una volta all'interno, gli aggressori potrebbero distribuire malware, ransomware o semplicemente bloccare il sistema.

Gli attacchi di forza bruta rappresentano anche un problema di sicurezza della rete, in quanto il volume dei tentativi di aggressione può essere elevato, o "rumoroso". Un rumore di rete significativo può sopraffare i sistemi di autenticazione o fungere da cortina fumogena per attacchi informatici più silenziosi. 

Recentemente, i ricercatori hanno osservato una campagna globale di forza bruta che utilizza quasi 3 milioni di indirizzi IP unici per colpire VPN e firewall, evidenziando quanto possano diventare massicci e distribuiti questi attacchi. 

In genere, un'ondata di tentativi di password utente falliti potrebbe mettere in guardia i responsabili della protezione informatica, ma gli aggressori sanno come mascherare la propria attività. Utilizzando bot o botnet (una rete di computer compromessi), gli aggressori possono distribuire i tentativi attraverso varie fonti, come gli account dei social media. Questo fa sì che i tentativi di accesso malevoli si confondano con il normale comportamento dell'utente. 

Oltre alla loro gravità, è importante notare che gli attacchi di forza bruta spesso vanno di pari passo con altre tattiche. Ad esempio, un utente malintenzionato potrebbe utilizzare il phishing per ottenere le credenziali di un account e la forza bruta per un altro. Oppure potrebbe utilizzare i risultati di un attacco di forza bruta (password rubate) per condurre truffe di phishing o frodi altrove.

Per capire come funzionano gli attacchi di forza bruta, bisogna considerare il numero di possibili password che un aggressore deve testare. Gli attacchi di forza bruta operano generando e controllando le credenziali ad alta velocità. L'aggressore potrebbe iniziare con ipotesi ovvie (come "password" o "123456") e poi passare alla generazione sistematica di tutte le possibili combinazioni di caratteri fino a scoprire la password corretta.

Gli aggressori moderni utilizzano una notevole potenza di calcolo, dalle unità di elaborazione del computer (CPU) multi-core ai cluster di cloud computing, per accelerare questo processo.

Ad esempio, una password di sei caratteri che utilizza solo lettere minuscole ha 26^6 possibili password. Si tratta di circa 308 milioni di combinazioni. Con l'hardware moderno, questo numero di ipotesi può essere eseguito quasi istantaneamente, il che significa che una password debole di sei lettere potrebbe essere violata immediatamente.

Al contrario, una password più lunga con maiuscole/minuscole, numeri e caratteri speciali comporta esponenzialmente più possibilità, aumentando notevolmente la quantità di tempo e lo sforzo necessari per indovinarla correttamente. 

Le password non sono l'unico aspetto a rischio: i metodi di forza bruta possono anche decrittografare i file o scoprire le chiavi di crittografia effettuando una ricerca esaustiva nell'intero spettro di chiavi possibili (noto anche come "spazio chiave"). La fattibilità di tali attacchi dipende dalla lunghezza della chiave e dalla forza dell'algoritmo. Ad esempio, una chiave di crittografia a 128 bit ha un numero astronomicamente elevato di possibilità, il che rende la forza bruta praticamente impossibile con la tecnologia attuale.

Nella pratica, gli attacchi di forza bruta spesso hanno successo non perché riescono a decifrare cifrari indistruttibili, bensì perché approfittano di fattori umani, ovvero indovinando le password comuni, dando per scontato il riutilizzo delle password o prendendo di mira sistemi privi di meccanismi di blocco.

Le tecniche di forza bruta possono essere applicate in due contesti: attacchi online (tentativi in tempo reale contro sistemi attivi) e attacchi offline (utilizzando dati rubati, come password con hash, ovvero codici brevi e fissi generati da password che sono quasi impossibili da decifrare).

Negli attacchi online, l'hacker interagisce con un sistema bersaglio, come il login di un'applicazione web o un servizio SSH, e prova le password in tempo reale. La velocità di attacco è limitata dai ritardi della rete e dai meccanismi di difesa.

Ad esempio, la limitazione della velocità limita il numero di tentativi in un determinato momento e i CAPTCHA sono metodi di autenticazione che distinguono gli umani dai bot. Gli aggressori spesso distribuiscono i loro tentativi online su più indirizzi IP o utilizzano un botnet per evitare di innescare blocchi basati su IP.

Negli attacchi offline, l'aggressore ha già ottenuto i dati criptati o gli hash delle password (ad esempio, da una violazione dei dati) e può utilizzare le proprie macchine per eseguire milioni o miliardi di tentativi al secondo senza avvisare l'obiettivo. Esistono strumenti specializzati per rivelare le password, solitamente open source,che facilitano queste strategie di forza bruta. 

Ad esempio, John the Ripper, Hashcat e Aircrack-ng sono strumenti diffusi che automatizzano il cracking delle password attraverso la forza bruta. Questi strumenti utilizzano algoritmi per gestire l'enorme quantità di tentativi e unità di elaborazione grafica (GPU) per l'hashing e il confronto delle password a velocità incredibili.

Gli attacchi di forza bruta si presentano in diverse forme, ognuna delle quali utilizza strategie diverse per indovinare o riutilizzare le credenziali per ottenere accessi non autorizzati.

Questo approccio tenta tutte le password possibili scorrendo in modo incrementale ogni combinazione di caratteri consentiti. Un semplice attacco di forza bruta (chiamato anche ricerca esaustiva) non utilizza alcuna conoscenza pregressa della password e tenterà sistematicamente di utilizzare password come "aaaa...", "aaab..." e così via fino a "zzzz...", includendo cifre o simboli a seconda del set di caratteri.

Se dispone di abbastanza tempo, un semplice attacco di forza bruta alla fine troverà le credenziali corrette semplicemente attraverso tentativi ed errori. Tuttavia, può richiedere molto tempo se la password è lunga o complessa.

Piuttosto che ripetere alla cieca ogni possibile combinazione di password, un attacco a dizionario tenta un elenco curato di password probabili (un "dizionario" di termini) per accelerare il tentativo. 

Gli aggressori compilano elenchi di parole, frasi e password comuni (come "admin", "letmein" o "password123"). Poiché molti utenti scelgono password deboli, semplici o basate su parole tipicamente presenti nel dizionario, questo metodo può dare risultati rapidi.

Un attacco ibrido combina l'approccio del dizionario con semplici metodi di forza bruta. Gli aggressori iniziano con un elenco di parole base probabili e poi applicano modifiche di forza bruta su di esse. Ad esempio, la parola "primavera" potrebbe essere provata come "Primavera2025!", aggiungendo lettere maiuscole, numeri o simboli per soddisfare i requisiti di complessità.

Il credential stuffing è una variante specializzata degli attacchi di forza bruta in cui l'aggressore utilizza le credenziali di login (coppie di nome utente e password) rubate da una violazione e le prova su altri siti web e servizi. Anziché indovinare nuove password, l'aggressore inserisce le password note in più moduli di accesso, scommettendo sul fatto che molte persone utilizzano le stesse credenziali su account diversi.

Un attacco Rainbow Table è una tecnica di violazione delle password offline che scambia il tempo di calcolo con la memoria utilizzando tabelle di hash precalcolate. Invece di modificare al volo le password indovinate, gli aggressori utilizzano una "rainbow table", ovvero una gigantesca tabella di ricerca dei valori hash per molte possibili password, al fine di abbinare rapidamente un hash alla password originale. 

In un attacco di forza bruta inversa, l'hacker ribalta l'usuale metodo di attacco. Invece di provare molte password per un utente, prova una password (o un piccolo set di password) per più account.

Il password spraying è una versione più estesa della tecnica di forza bruta inversa. Gli aggressori utilizzano un piccolo elenco di password comuni (ad esempio "Estate2025!") su diversi account. Ciò consente loro di rivolgersi a più utenti senza attivare protezioni di blocco su nessuno degli account. 

Le organizzazioni possono implementare diverse misure di sicurezza per proteggersi dai tentativi di forza bruta. Le principali procedure includono:

Ogni barriera aggiuntiva, sia che si tratti di una regola di blocco o di crittografia, può aiutare a scoraggiare l'infiltrazione attraverso forza bruta. Adottando un approccio a più livelli che affronta sia i fattori umani che quelli tecnici, le organizzazioni possono proteggersi meglio dagli attacchi di forza bruta.