NOTA: Todas as informações apresentadas neste artigo foram obtidas na Internet, sendo assim, não ofereço nenhum tipo de garantia ou suporte. Não nos responsabilizamos por qualquer dano ocorrido, tanto na máquina (computador) quanto no software. Siga por sua conta e risco.

Os ataques Força Bruta ou Brute Force são ataques grotescos, que tentam com diversas senhas em uma determinada solicitação de login, seja por SSH, Telnet, FTP ou um formulário WEB. O atacante faz esse tipo de ataque na tentativa de obter privilégios administrativos com a utilização de um dicionário de senhas, que também é chamado de Word List.

Ilustração de um ataque Brute Force:

Como funciona

O usuário (atacante) deve criar primeiramente a sua lista de senhas, a Word List. Geralmente este tipo de arquivo é de texto ou de lista mesmo. Em seguida, o usuário cria um programa que buscará essas senhas nesta lista e tentará logar-se, utilizando uma senha por vez, até conseguir obter um acesso privilegiado como usuário root.

Essa consulta as senhas é bem pragmática, o que aumenta a facilidade de conseguir rootar o servidor atacado. Imaginem se o atacante tenta senha por senha manualmente o tempo que ele levaria seria enorme.

A luz no fim do túnel

Este tipo de ataque (Brute Force) é bem antigo, portanto existem várias formas de nos protegermos. Na maior parte dos casos a proteção contra este tipo de ataque é feita por outro programa que bloqueia, após um número pré-determinado de tentativas, o endereço IP do atacante.

Uma vez que o atacante esgote o número de tentativas pré-definidas, digamos 3, o endereço IP do usuário será bloqueado por um determinado tempo até que seja feita a liberação pelo profissional responsável.

Ataques desta natureza também podem ser evitados criando algumas regras no firewall. Eu particularmente prefiro usar programas específicos para esta operação, mas isto fica a critério de cada um.

Como proceder para realizar um pentest em meu servidor, usando um ataque de força bruta?

Para isto você pode usar um programa chamado THC Hydra.

Este é o melhor software para para este fim, sem sombra de dúvida.

O THC Hydra pode ser utilizado para ataque em serviços que solicitam autenticação usando os protocolos FTP, POP3, IMAP, NetBIOS, Telnet, HTTP Auth, NNTP LDAP, VNC, ICQ, Socks5, PCNFS entre muitos outros.

Para saber mais sobre o software THC Hydra, leia o tutorial:

• GNU/Linux">THC-Hydra no GNU/Linux [Dica] - Viva o Linux

No site Viva o Linux você encontra um script em Perl, escrito pelo Fábio Berbert de Paula, para realizar ataques de força bruta.

E para quem usa Windows, tem o Brutus:

Brutus is one of the fastest, most flexible remote password crackers you can get your hands on - it's also free. It is available for Windows 9x, NT and 2000, there is no UN*X version available although it is a possibility at some point in the future. Brutus was first made publicly available in October 1998 and since that time there have been at least 70,000 downloads and over 175,000 visitors to this page. Development continues so new releases will be available in the near future. Brutus was written originally to help me check routers etc for default and common passwords

Voltando ao pentest, como obter o dicionário de senhas?

Uma alternativa é o site Milw0rm. Baixe o arquivo chamado milw0rm's Cracked Passwords.

[1] Comentário enviado por cleysinhonv em 08/04/2010 - 08:13h:

Ótimo artigo parabéns!

Uma sugestão para essa afirmação: Se estiver "yes" na frente, apague e escreva "no". Por padrão, o serviço SSH vem com este valor definido como "no", para impedir este acesso.

Sugestão: explicar por que colocar yes ou no, o que isso pode acarretar de problemas se um atacante faz uma tentativa com dicionário de senha com o usuário root.

Você é o cara!

[2] Comentário enviado por andrezc em 08/04/2010 - 10:14h:

Obrigado pelo complemento José, e obrigado pelo elogio, fico feliz que tenha gostado da leitura :-)

Em breve teremos mais, abraços.

[3] Comentário enviado por elgio em 08/04/2010 - 10:58h:

Também é possível controlar os ataques de brute force com o módulo RECENT do iptables. Nele pode-se cadastrar os IPS que bateram na porta 22 (exemplo para SSH) e bloquear o IP se ele bater por 10 vezes em SYN no mesmo minuto, por exemplo.

Outra medida que ajuda (AJUDA, não resolve) é mudar a porta padrão dos serviços. Ao invés da 22, use uma outra porta alta, como 2299 por exemplo. Isto já evita que os bots menos expertos achem a tua porta.

Veja, a sequencia correta é: RESOLVA o problema de brute force de forma CORRETA e depois mude a porta para já deixar de fora os menos espertos (mas que os mais espertos, que achem a tua nova porta, também não consigam nada).

[4] Comentário enviado por ceth em 08/04/2010 - 19:28h:

É interessante ressaltar que existem pelo menos 2 métodos que podem ser empregados neste tipo de ataque:

Ataque por dicionário: O atacante utiliza uma lista, como a do Milworm citada pelo André, que contém possíveis resultados. Normalmente este tipo de ataque tende a ser direcionado.

Ataque por força-bruta: O atacante utiliza uma lista de caracteres, como por exemplo uma lista de caracteres alfanuméricos. Já este tipo de ataque demanda muito tempo e seu aproveitamento é muito baixo, por isso é pouco utilizado.


[]s,
ceth

[5] Comentário enviado por meinhardt_jgbr em 28/04/2010 - 14:39h:

Ainda continuo acreditando que uma das melhores alternativas para evitar este e outros tipos de ataques indiscriminados seja usando o parâmetro DROP no iptables em vez do REJECT. Com isto, seu sistema passa batido como invisível na rede. Ocorrerão ataques apenas diretos, especificamente dirigidos ao seu endereço IP. Neste caso você terá um inimigo direto, mascarado ou não.
Nos casos de varredura, não respondendo e portanto não dando sinal de vida na rede, ninguém pode saber a sua posição e portanto não saberá onde atacar.