O ataque de força bruta ainda é um dos métodos de quebra de senha mais populares. No entanto, não é apenas para quebrar a senha. Ataques de força bruta também podem ser usados para descobrir páginas e conteúdo ocultos em um aplicativo da web. Este ataque é basicamente “acertar e tentar” até obter sucesso. Às vezes, esse ataque demora mais, mas sua taxa de sucesso é maior.
Neste artigo, tentarei explicar os ataques de força bruta e as ferramentas populares usadas em diferentes cenários para realizar ataques de força bruta para obter os resultados desejados.
O que é um ataque de força bruta?
Um ataque de força bruta quando um invasor usa um conjunto de valores predefinidos para atacar um alvo e analisar a resposta até que ele tenha sucesso. O sucesso depende do conjunto de valores predefinidos. Se for maior, levará mais tempo, mas há uma melhor probabilidade de sucesso.
O exemplo mais comum e fácil de entender do ataque de força bruta é o ataque de dicionário para quebrar senhas. Nele, o invasor usa um dicionário de senhas que contém milhões de palavras que podem ser usadas como senha. O invasor tenta essas senhas. um por um para autenticação. Se este dicionário contiver a senha correta, o invasor irei ter sucesso.
Em um ataque de força bruta tradicional, o invasor apenas tenta a combinação de letras e números para gerar uma senha sequencialmente. No entanto, essa técnica tradicional levará mais tempo quando a senha for longa o suficiente. Esses ataques podem levar de vários minutos a várias horas ou vários anos, dependendo do sistema usado e do comprimento da senha.
Para evitar a quebra de senhas em ataques de força bruta, sempre se deve usar senhas longas e complexas. Isso torna difícil para os invasores adivinharem a senha e os ataques de força bruta demoram muito. O bloqueio de conta é outra forma de evitar que o invasor execute ataques de força bruta em aplicativos da web. No entanto, para software offline, as coisas não são tão fáceis de proteger.
Da mesma forma, para descobrir páginas ocultas, o invasor tenta adivinhar o nome da página, envia solicitações e vê a resposta. Se a página não existir, ela mostrará uma resposta 404; em caso de sucesso, a resposta será 200. Desta forma, ele pode encontrar páginas ocultas em qualquer site da Web.
A força bruta também é usada para quebrar o hash e adivinhar a senha de um determinado hash. Nesse caso, o hash é gerado a partir de senhas aleatórias e, em seguida, esse hash é combinado com um hash de destino até que o invasor encontre o correto. Portanto, quanto mais alto o tipo de criptografia (criptografia de 64 bits, 128 bits ou 256 bits) usado para criptografar a senha, mais tempo pode levar para quebrar.
Ataque de força bruta reversa
Um ataque de força bruta reverso é outro termo associado à quebra de senha. É uma abordagem inversa na quebra de senha. Nesse caso, o invasor tenta uma senha em vários nomes de usuário. Imagine se você souber uma senha, mas não tiver nenhuma idéia dos nomes de usuário. Neste caso, você pode tentar a mesma senha e adivinhar os diferentes nomes de usuário até encontrar a combinação de trabalho.
Agora, você sabe que um ataque de força bruta é usado principalmente para quebrar a senha. Você pode usá-lo em qualquer software, site ou protocolo que não bloqueie solicitações após alguns testes inválidos. Nesta postagem, vou adicionar algumas ferramentas de quebra de senha de força bruta para diferentes protocolos.
Ferramentas populares para ataques de força bruta
Aircrack-ng
Tenho certeza que você já conhece a ferramenta Aircrack-ng. Esta é uma ferramenta popular de quebra de senha de wi-fi de força bruta disponível gratuitamente. Eu também mencionei essa ferramenta em nosso post mais antigo sobre as ferramentas de quebra de senha mais populares. Esta ferramenta vem com cracker WEP / WPA / WPA2-PSK e ferramentas de análise para realizar ataques em Wi-Fi 802.11. O Aircrack-ng pode ser usado para qualquer NIC que suporte o modo de monitoramento bruto.
Ele basicamente executa ataques de dicionário contra uma rede sem fio para adivinhar a senha. Como você já sabe, o sucesso do ataque depende do dicionário de senhas. Quanto melhor e mais eficaz for o dicionário de senhas, maior será a probabilidade de ele quebrar a senha.
Ele está disponível para plataformas Windows e Linux. Ele também foi adaptado para rodar em plataformas iOS e Android. Você pode experimentá-lo em determinadas plataformas para ver como esta ferramenta pode ser usada para quebrar senhas de wi-fi de força bruta.
Baixe Aircrack-ng aqui.
John, o Estripador
John the Ripper é outra ferramenta incrível que não precisa de introdução. Há muito tempo é a escolha favorita para realizar ataques de força bruta. Este software de quebra de senha grátis foi inicialmente desenvolvido para sistemas Unix. Posteriormente, os desenvolvedores o lançaram para várias outras plataformas. Agora, ele suporta quinze plataformas diferentes, incluindo Unix, Windows, DOS, BeOS e OpenVMS.
Você pode usar isso para identificar senhas fracas ou para quebrar senhas para quebrar a autenticação.
Esta ferramenta é muito popular e combina vários recursos de quebra de senha. Ele pode detectar automaticamente o tipo de hashing usado em uma senha. Portanto, você também pode executá-lo no armazenamento de senha criptografada.
Basicamente, ele pode executar ataques de força bruta com todas as senhas possíveis, combinando texto e números. No entanto, você também pode usá-lo com um dicionário de senhas para realizar ataques de dicionário.
Baixe John, o Estripador aqui.
Rainbow Crack
Rainbow Crack também é uma ferramenta popular de força bruta usada para quebrar senhas. Ele gera tabelas de arco-íris para usar durante o ataque. Desta forma, é diferente de outras ferramentas convencionais de força bruta. As tabelas do arco-íris são pré-calculadas. Isso ajuda a reduzir o tempo de execução do ataque.
O bom é que existem várias organizações que já publicaram as tabelas arco-íris pré-computador para todos os usuários da Internet. Para economizar tempo, você pode baixar essas tabelas de arco-íris e usá-las em seus ataques.
Esta ferramenta ainda está em desenvolvimento ativo. Ele está disponível para Windows e Linux e suporta todas as versões mais recentes dessas plataformas.
Baixe Rainbow Crack e leia mais sobre essa ferramenta aqui.
L0phtCrack
L0phtCrack é conhecido por sua capacidade de quebrar senhas do Windows. Ele usa ataques de dicionário, ataques de força bruta, ataques híbridos e tabelas de arco-íris. Os recursos mais notáveis do L0phtcrack são agendamento, extração de hash de versões do Windows de 64 bits, algoritmos de multiprocessador e monitoramento e decodificação de rede. Se você deseja quebrar a senha de um sistema Windows, você pode tentar esta ferramenta.
Baixe L0phtCrack aqui.
Ophcrack
Ophcrack é outra força bruta ferramenta especialmente usada para quebrar senhas do Windows. Ele quebra as senhas do Windows usando hashes LM por meio de tabelas de arco-íris. É uma ferramenta gratuita e de código aberto.
Na maioria dos casos, ele pode quebrar uma senha do Windows em alguns minutos. Por padrão, Ophcrack vem com tabelas rainbow para quebrar senhas com menos de 14 caracteres que contêm apenas caracteres alfanuméricos. Outras tabelas de arco-íris também estão disponíveis para download.
Ophcrack também está disponível como LiveCD.
Baixe o Ophcrack aqui.
Hashcat
Hashcat afirma ser a ferramenta de quebra de senhas baseada em CPU mais rápida. É gratuito e vem para plataformas Linux, Windows e Mac OS. O Hashcat oferece suporte a vários algoritmos de hash, incluindo LM Hashes, MD4, MD5, família SHA, formatos Unix Crypt, MySQL e Cisco PIX. Ele suporta vários ataques, incluindo ataques de força bruta, ataques de combinador, ataques de dicionário, ataques de impressão digital, ataques híbridos, ataques de máscara, ataque de permutação, ataques baseados em regras, ataques de pesquisa de tabela e ataques de alternância de caixa.
Faça o download Hashcat aqui.
DaveGrohl
DaveGrohl é uma ferramenta popular de força bruta para Mac OS X. Suporta todas as versões disponíveis do Mac OS X. Esta ferramenta suporta ataques de dicionário e ataques incrementais . Ele também tem um modo distribuído que permite realizar ataques de vários computadores para atacar no mesmo hash de senha.
Esta ferramenta agora é open-source e você pode baixar o código-fonte.
Baixe DaveGrohl aqui.
Ncrack
Ncrack é também uma ferramenta popular de quebra de senha para quebrar autenticações de rede. Ele oferece suporte a vários protocolos, incluindo RDP, SSH, HTTP (S), SMB, POP3 (S), VNC, FTP e Telnet. Ele pode realizar diferentes ataques, incluindo ataques de força bruta. Suporta várias plataformas, incluindo Linux, BSD, Windows e Mac OS X.
Baixe Ncrack aqui.
THC Hydra
THC Hydra é conhecido por sua capacidade de quebrar senhas de autenticações de rede executando ataques de força bruta. Ele executa ataques de dicionário contra mais de 30 protocolos, incluindo Telnet, FTP, HTTP, HTTPS, SMB e muito mais. Ele está disponível para várias plataformas, incluindo Linux, Windows / Cygwin, Solaris 11, FreeBSD 8.1, OpenBSD, OSX e QNX / Blackberry.
Baixe o THC Hydra aqui.
Conclusão
Estas são algumas ferramentas populares de força bruta para quebrar senhas. Existem várias outras ferramentas disponíveis que executam força bruta em diferentes tipos de autenticação. Se eu apenas der um exemplo de algumas pequenas ferramentas, você verá que a maioria das ferramentas de cracking de PDF e ZIP usam os mesmos métodos de força bruta para executar ataques e quebrar senhas. Existem muitas dessas ferramentas disponíveis gratuitamente ou pagas.
A força bruta é o melhor método para quebrar a senha. O sucesso do ataque depende de vários fatores. No entanto, os fatores que mais afetam são o comprimento da senha e a combinação de caracteres, letras e caracteres especiais. É por isso que, quando falamos sobre senhas fortes, geralmente sugerimos que os usuários tenham senhas longas com uma combinação de letras minúsculas, maiúsculas, números e caracteres especiais.Não torna o forçamento bruto impossível, mas o torna difícil. Portanto, levará mais tempo para chegar à senha por força bruta.
Quase todos os algoritmos de quebra de hash usam a força bruta para acertar e tentar. Este ataque é melhor quando você tem acesso offline aos dados. Nesse caso, torna-se mais fácil crackear e leva menos tempo.
O cracking de senha de força bruta também é muito importante na segurança do computador. É usado para verificar as senhas fracas usadas no sistema, rede ou aplicativo.
A melhor maneira de prevenir ataques de força bruta é limitar os logins inválidos. Dessa forma, os ataques podem atingir e tentar senhas apenas por um período limitado. É por isso que os serviços baseados na web começam a mostrar s se você acertar as senhas erradas três vezes ou eles bloquearão seu endereço IP.
