1
¿Qué es?
Los ataques por fuerza bruta es uno de los
tipos de ataques más antiguos que existen. Básicamente, estos ataques aprovechan
un fallo en la seguridad web para realizar intentos infinitos de accesos a dicha web
hasta que la respuesta sea positiva.
El fallo de seguridad en este casi viene
dado por la falta un límite de accesos erróneos en la página web, motivo por el
que se pueden realizar infinitos intentos.
2 ¿Cómo
se realizan estos ataques?
Los ataques por fuerza bruta se llevan a
cabo de forma automática, existiendo muchos programas que realizan este ataque.
De forma práctica, existen dos maneras
de llevarlo a cabo, mediante generadores de palabras y diccionarios.
2.1
Generadores de palabras
Estos programas sirven para generar
palabras aleatorias que, en su mayoría, carecen de sentido.
Son programas muy rudimentarios que se
limitan a generar un fichero de texto plano a partir de los caracteres introducidos, por
ejemplo:
abcdefghijklmnopqrstvwxyz0123456789ABCDEFGHIJKLMNOPQURSTVWXYZ
También necesitan que se les indique el
número mínimo de caracteres con los que debe empezar a generar las palabras, lo
que resulta especialmente útil ya que webs como Hotmail no aceptan contraseñas
de menos de 6 caracteres de longitud por lo que en este caso no sería necesario
crear palabras de menos de 6 caracteres utilizando el alfabeto habitual.
Los diccionarios para fuerza bruta son ficheros
de texto plano preparados por usuarios que contienen miles de palabras
en la lengua seleccionada listas para probar. Mientras que los generadores preparaban las listas de
palabras sin sentido, los diccionarios contienen listados con palabras de la
lengua, nombres, etc...
Existen por internet diccionarios de lo más
variado, como por ejemplo de palabras en latín, de actores, películas, grupos
de rock, ect. En la mayoría de lenguajes existentes. Incluso existen diccionarios
con más de 227.000.000 palabras, diccionarios en elfico, orco y todos los
lenguajes de fantasía.
La Figura 20 muestra varios ejemplos de
diccionarios junto con el número de palabras que contienen.
Una
vez que se dispone del diccionario para
realizar el ataque ya no es necesario nada más que una web que auditar y
asignar al programa el diccionario que se quiera probar.
Los programas como el mostrado en la
Figura 21 simplifican el esfuerzo del ataque.
Como se puede apreciar, sólo hay que introducir
la URL y los diccionarios que se deseen utilizar.
El programa probará durante las horas
necesarias hasta conseguir entrar en la web o bien hasta utilizar todas las
posibles palabras del diccionario.
Es importante comentar que algunos
usuarios utilizan este tipo de programas para realizar ataques DoS, ya que como
generan miles de peticiones a la máquina que aloja la web en un corto espacio
de tiempo es posible sobrecargar el servidor con las peticiones.
3 Cómo evitarlo
Los ataques por fuerza bruta se pueden
evitar, como se ha comentado en la introducción de este tipo de ataques,
introduciendo en el sistema de identificación de la web un máximo de peticiones
de login cada cierto tiempo.
No hay comentarios:
Publicar un comentario
Esperando tu comentario...