Benvenuto in questo nuovo articolo, oggi vedrai che cosa è il Brute Force, il suo utilizzo e altri dettagli interessanti!
Partiamo con il definire il Brute Force e spiegare cosa sia. La sua traduzione letterale significa “Forza Bruta”, non è altro che un algoritmo di risoluzione di un problema che consiste nel verificare tutte le soluzioni teoricamente possibili fino a trovare quella corretta.
È uno dei tanti metodi utilizzati nel mondo dell’hacking, anche se disprezzato in realtà, per riuscire a scovare password o chiavi d’accesso: serial key, codici di sicurezza, codici d’attivazione…
Questa tipologia d’attacco come tutte quante presenta dei pro e dei contro, che andremo ad analizzare
PRO:
• È un algoritmo che consente sempre di arrivare a una soluzione corretta che funzioni. Poiché verrà analizzata ogni possibile combinazione esistente,
quella giusta salterà fuori per forza prima o poi.
CONTRO:
• È troppo dispendiosa e lenta. Ci sono vari aspetti che influenzano questo fattore, tra cui la potenza di calcolo a disposizione e la lunghezza effettiva
della chiave da trovare, che è sempre un’incognita per chi esegue l’attacco.
Ti faccio un esempio basilare per farti capire meglio la sua efficacia (quindi come arriva sempre alla soluzione), ma allo stesso tempo la sua lentezza per
trovare la risposta:
Devi trovare una chiave d’accesso composta da soli numeri, quel classico SMS che ti arriva per confermare l’attivazione di un servizio.
Mettiamo che è composto da 4 cifre con numeri che possono andare dallo 0 al 9. In base a queste informazioni che conosci andrai ad utilizzare soltanto i numeri da 0 a 9, e allo stesso tempo sai che possiede 4 cifre, quindi il valore sarà tra lo 0000 fino al 9999.
Il Brute Force partirà dunque facendo: 0000, 0001, 0002, 0003, 0004, […], 5130, 5131, 5132, 5133, […], 9999.
Come hai intuito il valore corretto lo azzecca per forza (comunque una volta trovato l’attacco si ferma), ma va ad analizzare migliaia e migliaia di
combinazioni probabili. Capisci che ci vuole tanto tempo e molta potenza di calcolo per essere più veloci.
In questo caso inoltre era semplice, perché ci sono soltanto 4 cifre con i numeri da 0 a 9… ma se la password (o chiave) avesse 8/12 caratteri? Magari che non contenga solo numeri, ma anche lettere minuscole/maiuscole e caratteri speciali, ad esempio 3Gk’+q16bn@y.
In questo caso non hai più solo i numeri, ma hai anche tutto l’alfabeto di lettere minuscole e maiuscole e tutta la lista di caratteri speciali. Ecco per
darvi un’idea (da questo sito):
Sappi però che c’è anche un altro metodo per il Brute Force di operare. Il primo l’hai visto fino ad ora, ed è a tentativi, mentre il secondo è mediante un dizionario.
Il dizionario è un file di testo che raccoglie al suo interno migliaia di probabili password (dipende quale scaricate da internet, alcuni ne hanno 1000, altri
10000 o anche più).
In questo modo sicuramente diminuisce il tempo d’attesa, ma diminuisce anche l’efficacia, perché non prova più ogni possibile combinazione esistente, ma solo quelle all’interno del dizionario.
In conclusione, questo tipo di attacco, usando il primo metodo, troverà sempre la risposta giusta, ma il tempo d’arrivo dipende dalla composizione della password, quali caratteri contiene ecc.
Il secondo metodo prova a ridurre il tempo, ma riduce anche le possibilità di successo.
Insomma non sarà mai l’attacco ideale, e stando alla regola numero 8 del regolamento appeso al Ray and Maria Stata Center del MIT:
La forza bruta è l’ultima risorsa degli incompetenti.
Spero tu possa aver trovato interessante questo articolo, e soprattutto che tu abbia capito (in caso non lo sapessi già) in cosa consiste il Brute Force.
Comments