Este texto tem como objetivo alertar as pessoas sobre um dos tipos de ataque mais frequente em aplicações, principalmente web, que podem comprometer a confiabilidade e reduzir drasticamente o desempenho da aplicação atacada.
A maioria dos sistemas atuais possui acessoa áreas restritas. Este controle de acesso geralmente é feito através de algo que sabemos, como por exemplo, usuário e senha.
O ataque de força bruta consiste em tentar descobrir um usuário e senha que seja válido através de tentativa e erro.
Como existem milhões de combinações possíveis entre usuários e senhas, uma única máquina poderia levar muito tempo até conseguir uma combinação válida. Porém, estes ataques geralmente são feitos em massa, com dezenas de máquinas fazendo tentativas simultaneamente, o que faz com que este tempo seja reduzido.
Outra tática utilizada pelos atacantes é utilizar om “dicionário de usuários”, ou seja, tentar acertar primeiro a senha dos logins mais utilizados na internet. Por exemplo, o cracker obtém o e-mail de um usuário de um fórum. Com esta informação é necessário descobrir apenas a senha. Com este dado em mãos, o cracker irá tentar as senhas padrões, fazendo com que o sucesso do ataque aconteça, possivelmente, em um tempo menor.
A aplicação que está sendo atacada tem seu desempenho afetado devido às diversas solicitações que estão sendo feitas simultaneamente. Dependendo do servidor em que está hospedada, pode ocorrer um alto nível de lentidão além de quedas.
Uma das maneiras de prevenir este tipo de ataque é limitando a quantidade de tentativas de login. Por exemplo, depois que uma mesma máquina errar a senha por três ou cinco vezes, ela terá que esperar por determinado período de tempo até que possa tentar novamente.
Outro método de defesa bastante usado é fazer com que o usuário digite algum código contido em uma imagem, dificultando ainda mais o trabalho de quem está tentando invadir a aplicação.
Portanto, o que um simples usuário do sistema pode fazer, é definir uma senha confiável. Nunca utilizar senhas padrões como sua data de aniversário ou uma sequência numérica do tipo “123456”. Uma atitude simples que pode garantir a segurança de seus dados.
Autor: Ígor Guerra Zan