ATTACCO INFORMATICO “BRUTE-FORCE” : IMPLEMENTAZ. SOFTWARE

Si sente spesso parlare di “attacchi informatici” al giorno d’oggi… Per “attacco informatico” si intende la violazione illegale di un sistema informatico per mezzo della rete, finalizzato al danneggiamento o al furto di dati sensibili (es. dati bancari). Le tecniche utilizzate sono molteplici, dal “DDos” alla tecnica “Sql injection”, fino alla classica “brute-force”. In questo articolo è discussa la tecnica di attacco “brute-force” e fornito un semplice programma scritto con linguaggio di programmazione C, volto a dimostrare la scarsa affidabilità delle password unicamente numeriche. In informatica il metodo “forza bruta” (anche noto come ricerca esaustiva della soluzione) è un algoritmo di risoluzione di un problema dato che consiste nel verificare tutte le soluzioni teoricamente possibili fino a che si trova quella effettivamente corretta. Il suo principale fattore positivo è che consente teoricamente di trovare la soluzione corretta, tuttavia è sempre la soluzione più lenta o dispendiosa. Per questo motivo questa tecnica viene utilizzata come ultima risorsa sia in crittanalisi, sia in altre parti della matematica. Nel programma scaricabile tramite il pulsante sottostante, è stato implementato l’algoritmo di attacco “brute-force“. Una volta eseguito il programma, all’utente viene richiesto di inserire la  password numerica che il computer cercherà di “indovinare”, effettuando una serie di tentativi. Prima dell’inserimento della password, viene richiesto qual è il numero di cifre della password, simulando una situazione in cui si voglia attaccare un sistema informatico protetto da password numerica della quale si conosce a priori la lunghezza. L’obiettivo di questo articolo è proprio quello di dimostrare la scarsa affidabilità delle password numeriche di lunghezza ridotta, poichè facilmente individuabili tramite un attacco “brute-force“. Nell’algoritmo implementato, il programma, dopo aver ricevuto in input il numero di cifre della password, genera una serie numerica di password in ordine crescente. Successivamente le pone in un ordine casuale per creare una situazione di “densità di probabilità” equa per tutti i numeri e prova ad accedere al sistema informatico “simulato” inserendo le password, una per volta. Se la password ha lunghezza n , l’attacco brute force compirà un numero massimo di tentativi pari a (10^(n))-1 per trovare la password. Non farà altro che “provare” le password una per una, con una velocità molto più alta rispetto a quella che avrebbe un utente fisico. Il primo tentativo è quello della password più semplice, ossia quella contenente tanti zeri quante sono le cifre della password da indovinare. I tentativi vengono effettuati dopo aver posto la serie numerica in ordine disordinato, poichè se questo non avvenisse le password con valori numerici elevati sarebbero sempre “testate” per ultime, non rendendo il processo equo da un punto di vista probabilistico per ogni valore numerico. Et voilà, in tempi relativamente brevi (dipende dalla lunghezza della password e della potenza dell’hardware a disposizione), la password è indovinata!

Per questo motivo si consiglia di utilizzare sempre delle password lunghe ed alfanumeriche con caratteri speciali, poichè sono molto più difficili da inviduare tramite un attacco brute-force in quanto richiederebbe molte risorse hardware e potrebbe impiegare addirittura mesi o anni, rivelandosi inefficace come tecnica di attacco informatico.

Premendo sul pulsante di seguito è possibile, dopo essersi iscritto alla Newsletter, ricevere GRATUITAMENTE l’archivio “.rar” del programma “.exe” eseguibile dell’attacco “brute-force”, compatibile con il sistema operativo “Windows”.

Il suddetto programma è stato implementato dal Dott. Francesco Ramunno.