Cos’è un attacco brute force e come proteggerti

Prodotti menzionati
Blocca l'entrata

Per le piccole imprese e per i siti di eCommerce, la funzionalità della registrazione degli utenti è un bisogno comune. Quel che accade è che gli utenti condividono dati sensibili quando si registrano su un sito o quando aprono un account. Questi dati possono comprendere il loro indirizzo, la loro e-mail o addirittura i dettagli della carta di credito. È una necessità, dal momento che offre agli utenti una migliore esperienza sul sito stesso, ma può anche capitare che le informazioni rilasciate siano vulnerabili nel caso in cui si fosse vittima di un attacco brute force al proprio sito.

I proprietari delle piccole imprese e i loro impiegati hanno tanto da fare ogni giorno, di conseguenza la sicurezza del sito internet tende a non essere una priorità. Come risultato accade che il 43% dei cyber attack vengono indirizzati sulle piccole imprese. 

Quando si parla di vulnerabilità della sicurezza online, gli attacchi brute force (o brute force attacks)  sono uno dei metodi più utilizzati dagli hacker. 

Gli attacchi brute force sono utilizzati per ottenere l’accesso di un sito internet a livello di amministratore, in modo da ottenere informazioni sensibili attraverso la craccaggio delle password.

Questo tipo particolare di cyber attacco si stima sia cresciuto del 400% nel 2017. Al fine di proteggere la tua piccola impresa, questo articolo di aiuterà a capire come funziona un attacco brute force e come sia possibile prevenire gli attacchi sul tuo sito.

Attacco brute force: che cos’è?

Attacco a forza bruta: cos'è e come difendersi

Con brute force attack si intende quanto un hacker utilizza il metodo “trial-and-error” (tradotto in italiano, tentativo ed errore) per guadagnare l’accesso a un account autorizzato. Questo potrebbe riguardare la crack delle password o del numero di identificazione personale (PIN), a seconda della situazione. La maggior parte degli attacchi a forza bruta sono automatizzati – quindi qualsiasi tipo di azienda, sia grossa che piccola, può essere attaccata. Secondo quanto sostiene Rob Shapland, il principale consulente per la cyber sicurezza presso la First base Technologies LLP, gli attacchi brute force sono tra i più comuni e con ogni probabilità quelli meglio riconoscibili. 

Se il tuo sito è carente in termini di sicurezza e protezione, gli hacker troveranno facilmente un modo per penetrarlo.

Gli attacchi a forza bruta sono spesso utilizzati dai cyber criminali per craccare dati criptati e rubare informazioni per scopi di frode. (Vale comunque la pena sottolineare che non tutti gli attacchi a forza bruta hanno intenti malevoli –  possono anche essere usati da analisti della sicurezza per testare la sicurezza del network.)

Come funziona un attacco brute force?

Capire in che modo funziona un attacco brute force e come si sviluppa non è complicato – è un modo per proteggere te stesso e rendere la vita più difficile agli hacker. 

Qualsiasi sito internet con una pagina di login (o una protezione con password o qualcosa di simile) è un potenziale target per questo tipo di attacchi. 

Queste pagine admin dei content management system (CMS) sono tra le più attaccate:

  • Le pagine di login WordPress wp-admin o wp-login.php 
  • Le pagine admin di Magento /index.php
  • Le pagine Joomla! administrator
  • vBulletin admincp

Quando un hacker vuole ottenere l’accesso al tuo sito, l’account di un utente o altre info criptate, deve per forza fare qualcosa per decriptare o sbloccare queste informazioni.

Il processo comincia provando diverse combinazioni di password. Questo va avanti finché non riesce effettivamente a decriptare con successo le informazioni desiderate. Ci sono migliaia di possibili combinazioni di password per un singolo account. La lunghezza standard più corta di una password è di otto caratteri.

Molti siti internet impongono delle misure di sicurezza addizionali, aggiungendo complessità alle password degli utenti (ad esempio l’utilizzo di maiuscole e minuscole, combinazioni alfanumeriche e caratteri speciali). Questi semplici accorgimenti possono trasformare una password semplice con migliaia di combinazioni a un’altra che ne comprende milioni di milioni. Se hai una password semplice, ti suggeriamo di leggere la nostra guida per creare password sicure

Ovviamente per un hacker esperto si tratta solo di qualche lungaggine perché, con gli strumenti giusti e la conoscenza adeguata, può comunque penetrare nel sito. Esistono infatti tantissimi tool che riescono a generare migliaia di password possibili provandone l’efficacia nel giro di qualche secondo. 

Il motivo che sta dietro agli attacchi a forza bruta

Gli attacchi brute force danno agli hacker accesso illegale a siti internet che contengono dati sensibili (come i dati della carta di credito). I loro sforzi possono sia mandare offline il sito o conquistare l’accesso agli account degli utenti (e le loro relative informazioni).

L’attacco brute force a GitHub del 2013 viene considerato il più grande attacco a forza bruta mai registrato nella storia recente. Tantissimi account sono stati compromessi: c’erano 40.000 indirizzi IP di hacker coinvolti nell’attacco, che hanno operato prima su chi aveva una password debole. Dopo l’attacco, GigHub ha predisposto un’autenticazione a due fattori per gli account dei propri utenti. 

Nell’aprile dello stesso anno Cloudflare, un servizio di sicurezza e prestazioni web molto noto, ha bloccato circa 60 milioni di richieste brute force su WordPress nel giro di un’ora. Nonostante ciò, decine di migliaia di siti internet sono stati attaccati con successo. A seguito di questi attacchi anche WordPress ha adoperato l’autenticazione a due fattori.

Come prevenire un attacco forza bruta

Quanto segue rappresenta la più semplice precauzione che ogni utente può prendere per difendersi dagli attacchi a forza bruta:

  • Usare password più lunghe (oltre gli 8 caratteri di default)
  • Usare combinazioni di maiuscole e minuscole
  • Usare password alfanumeriche (con numeri e lettere)
  • Aggiungere caratteri speciali (es esempio ! & $ e via dicendo) 
  • Limitare il numero di tentativi di login
  • Usare i CAPTCHA
  • Abilitare l’autenticazione a due fattori

La tua prossima miglior scommessa?

Utilizzare tool di sicurezza potenti con specifiche che consentono di prevenire gli attacchi brute force.

Questi strumenti possono rifiutare l’accesso a un utente (hacker) dopo un numero limitato di tentativi falliti di login, cosa che ne limita il raggio d’azione:

Strumenti Sicurezza del sito web di GoDaddy

Sviluppato da Sucuri, Sicurezza sito web di GoDaddy è una soluzione semplice ed efficace per mettere al sicuro il tuo sito e pulirlo dai malware. È ideale per chi non ha gran dimestichezza con la sicurezza online – e assicura soluzioni base per proteggere il proprio sito internet. Questo strumento riesce a proteggere il tuo sito dagli attacchi distributed denial of service (DDoS), dagli attacchi brute force, dalle infezioni SQL, dal cross-site scripting e altro.

Sucuri Security

Il plugin Sucuri Security per WordPress (gratuito) offre sicurezza ai siti internet con caratteristiche specifiche che includono anche l’auditing security activity, il monitoraggio dell’integrità dei file, lo scanning profondo dei malware, il rafforzamento della sicurezza e notifiche di sicurezza. La versione premium di questo plugin da rate molto alto contiene anche un firewall per siti internet.

Un altro modo per proteggere il tuo sito internet e quello di programmare dei backup regolarmente.

Avere un backup è cruciale per ripristinare il tuo sito internet dopo un tentativo di hackeraggio o dopo un danno accidentale.

Il servizio Backup del sito web di GoDaddy garantisce backup giornalieri automatici e ripristini in un solo click. 

Conclusioni

Le attività di cyber criminalità stanno diventando sempre più comuni e nemmeno le piccole imprese possono sentirsi tranquille e al riparo. Dal momento stesso in cui apri un sito internet, sei un potenziale target per un attacco. Non aspettare a prendere le giuste contromisure quando ormai è troppo tardi – agisci ora.