En la evolución del mundo de la seguridad cibernética, con relación a las nuevas técnicas y las combinaciones de las mismas para llevar a cabo los ataques, puede ser fácil olvidarse de métodos no tan recientes que aún siguen siendo efectivos, tal como es el caso de la fuerza bruta.

Los ataques de fuerza bruta consisten básicamente en una prueba de ensayo y error. Con este método, una vez el atacante lograr establecer alguna conexión con la víctima, prueba una gran cantidad de posibles usuarios y/o passwords para obtener acceso al sitio deseado. Generalmente estas pruebas son hechas de manera automática por un software, que muchas veces cuenta con diccionarios de datos de los cuales generan tanto los nombres para los usuarios como las contraseñas.

Aunque a simple vista parece algo complejo, realmente no lo es tanto. Si lo piensa bien, una computadora por diseño está hecha para realizar muchos cálculos, entonces, la generación de alternativas para usuarios y passwords es algo que puede hacer progresivamente sin mucho problema. Solo la capacidad de los recursos (CPU, Memoria) determinará la velocidad con que los mismos se hagan.

Ahora bien, la pregunta de lugar sería: “¿Por qué esta técnica sigue siendo es efectiva?”. Esta técnica todavía causas estragos principalmente por la alta tasa de passwords sencillos utilizados tanto por usuarios como por administradores de equipos, al igual que el uso de claves por defectos configuradas previamente por los vendedores de alguna marca.

De acuerdo con el Reporte de Análisis de Brechas de Verizon 2012, este tipo de ataques está ubicado entre las 20 principales herramientas utilizadas el año pasado. De todas las brechas confirmadas, el 18% fue utilizando ataques de fuerza bruta.

Dicho lo anterior es propicio mencionar que esta técnica no solo aplica a intento de conexiones, sino que también es muy usada para descifrar información encriptada obtenida de algún sitio y que ahora está físicamente en el equipo del atacante. Entiéndase por esto, que una persona cualquiera puede irrumpir dentro de una máquina, obtener cualquier archivo confidencial que este protegido por password o algún otro método, y una vez el archivo este en su posesión puede aplicarle un ataque de fuerza bruta con todos los diccionarios que considere.

Algunas formas de mitigar o minimizar los efectos de este ataque, aparte de bloquear todos los accesos lógicos y físicos posibles, son:

Utilizar contraseñas complejas.
Limitar el número de intentos fallidos a los usuarios.
Bloquear las cuentas que sobrepasen una cantidad de intentos fallidos.
Usar algoritmos de encriptación complejos para la información almacenada.

Como se ve un ataque por dentro.

A continuación un extracto de un log donde se ve un ataque de fuerza bruta. Este equipo estaba publicando un servicio de correo hacia el Internet y por ende recibía muchas “solicitudes” por parte del público externo.

2013-07-22 03:46:21,253 INFO  [Pop3Server-140] [ip=117.102.119.146;] account – authentication failed for root (no such account)

2013-07-22 03:46:22,262 INFO  [Pop3Server-145] [ip=117.102.119.146;] account – authentication failed for admin (no such account)

2013-07-22 03:46:23,297 INFO  [Pop3Server-167] [ip=117.102.119.146;] account – authentication failed for test (no such account)

2013-07-22 03:46:25,347 INFO  [Pop3Server-165] [ip=117.102.119.146;] account – authentication failed for ghost (no such account)

2013-07-22 03:46:28,421 INFO  [Pop3Server-168] [ip=117.102.119.146;] account – authentication failed for guest (no such account)

2013-07-22 03:46:30,477 INFO  [Pop3Server-147] [ip=117.102.119.146;] account – authentication failed for magnos (no such account)

2013-07-22 03:46:33,486 INFO  [Pop3Server-167] [ip=117.102.119.146;] account – authentication failed for aaron (no such account)

2013-07-22 03:46:34,496 INFO  [Pop3Server-134] [ip=117.102.119.146;] account – authentication failed for jun (no such account)

2013-07-22 03:46:35,516 INFO  [Pop3Server-168] [ip=117.102.119.146;] account – authentication failed for rebecca (no such account)

2013-07-22 03:46:36,516 INFO  [Pop3Server-157] [ip=117.102.119.146;] account – authentication failed for einstein (no such account)

2013-07-22 03:46:37,576 INFO  [Pop3Server-147] [ip=117.102.119.146;] account – authentication failed for anna (no such account)

2013-07-22 03:46:38,576 INFO  [Pop3Server-140] [ip=117.102.119.146;] account – authentication failed for sara (no such account)

2013-07-22 03:46:42,656 INFO  [Pop3Server-165] [ip=117.102.119.146;] account – authentication failed for amy (no such account)

2013-07-22 03:46:46,676 INFO  [Pop3Server-157] [ip=117.102.119.146;] account – authentication failed for tracy (no such account)

2013-07-22 03:46:48,715 INFO  [Pop3Server-140] [ip=117.102.119.146;] account – authentication failed for controller (no such account)

2013-07-22 03:46:50,736 INFO  [Pop3Server-158] [ip=117.102.119.146;] account – authentication failed for emily (no such account)

Nótese como desde la misma IP externa hay un intento progresivo con diferentes usuarios. También hay datos importantes como la hora, la fecha y el servicio al que intentan conectarse.

¿Se anima a decirme de donde es la IP que está haciendo el ataque?