Brute force to jedna z siłowych metod ataków, polegająca na generowaniu po kolei wszystkich możliwych kombinacji hasła lub klucza kryptograficznego, składającego się z cyfr, liter i znaków kodu ASCII. Teoretycznie ta metoda w określonym czasie przynosi skutek w postaci odgadniętego hasła, jednak długie klucze o odpowiednim stopniu skomplikowania mogą być w praktyce niemożliwe do odgadnięcia z uwagi na złożoność obliczeniową takiego rozwiązania. Brute force jest metodą najczęściej wykorzystywaną hybrydowo wraz z innymi sposobami.


Oszuści nie sprawdzają zazwyczaj każdej możliwej kombinacji (wówczas jest to tak zwany prosty atak brute force), a bazują na statystycznie najbardziej prawdopodobnych. Wykorzystują do tego między innymi bazy haseł pochodzące z wycieków danych – badają najczęściej występujące słowa i frazy. Mówimy wówczas o ataku słownikowym. W ten sposób powstaje metoda ataku zwana password spraying, polegająca na masowym wykorzystywaniu haseł pochodzących z naruszeń prywatności na tysiącach portali w Internecie.


Kolejną metodą pochodną od brute force jest credential stuffing. Tego rodzaju atak zakłada, że przestępcy są w posiadaniu loginów lub loginów wraz z hasłami, które zostały wykorzystane do rejestracji w innych serwisach, gdzie nastąpił wyciek, a następnie próbują odgadnąć je podczas próby zalogowania do innych kont. Metoda bazuje na prawdopodobieństwie, że jeden użytkownik używa tego samego loginu w różnych miejscach (lub nawet loginu i hasła – wówczas nie odgaduje się danych uwierzytelniających, a jedynie próbuje znaleźć zgodność z innymi kontami jednego użytkownika).

Ataki siłowe oraz metody słownikowe wciąż są popularne głównie z uwagi na niewielki wysiłek, jaki użytkownicy komputerów i Internetu wkładają często w zabezpieczanie swoich danych osobistych oraz firmowych. Tymczasem, stosując się do podstawowych zasad cyberbezpieczeństwa, możemy wielokrotnie zmniejszyć ryzyko padnięcia ofiarą ataku brute force oraz wielu innych metod opierających się na nieświadomości zagrożeń. O czym warto więc pamiętać?

• Hasła używane w firmie powinny być długie i składać się z różnych rodzajów znaków (małe i duże litery, cyfry, znaki specjalne). Każda dodatkowa komplikacja wprowadza miliony nowych możliwości, które znacznie utrudniają zadanie oszustom stosującym metody siłowe. Unikalność haseł zwiększa też odporność na ataki słownikowe. I tak np. klasyczne i często używane hasło „123456” zostanie złamane niemal natychmiast. Z kolei złamanie hasła w postaci daty urodzenia zajmie cyberprzestępcom zaledwie 2 milisekund Jeśli jednak nieco zmodyfikujemy hasło zastępując np. 0 literą O, zamiast jednej cyfry dodamy znak specjalny a dzień urodzenia napiszemy słownie to wówczas czas złamania takiego zapisu daty urodzenia może się wydłużyć nawet do miliardów lat. W praktyce takie hasło będzie więc nie do złamania. 

• Kolejnym utrudnieniem dla przestępców jest CAPTCHA – powszechnie wykorzystywane zabezpieczenie, które wymaga zaznaczenia konkretnego checkbox na stronie formularza, przepisania tekstu z grafiki lub zaznaczenia fragmentu zdjęcia. Ta prosta czynność może być skuteczną obroną przed działającymi w zautomatyzowany sposób algorytmami wykorzystywanymi do przeprowadzania ataków siłowych i słownikowych.

• 2FA, czyli uwierzytelnianie dwuskładnikowe w postaci weryfikacji tożsamości za pomocą SMS/e-mail lub dedykowanych rozwiązań (np. Google Authenticator – narzędzia generującego jednorazowe kody do logowania w aplikacjach i portalach). W prosty sposób uniemożliwia to zalogowanie się do konta za pomocą samego formularza logowania na stronie WWW lub w aplikacji.

Firmy nie powinny jednak poprzestawać na podstawowych metodach, a stosować dedykowane narzędzia bezpieczeństwa dla biznesu. Przedostanie się intruza do firmowej sieci to już finał ataku, jednak sam fakt jego przeprowadzania może generować straty. Wysyłanie tysięcy zapytań logowania podczas prób przejęcia konta znacząco obciąża serwery, zwiększa zużycie zasobów, a w skrajnych przypadkach może prowadzić do powstawania przestojów. Zapobiec temu może  szyfrowanie danych (na wypadek udanego ataku) oraz narzędzia i systemy monitorujące stan sieci  np. generujące alert, jeśli pojawia się anomalia w postaci znacznie zwiększonej ilości nieudanych prób logowania. Warto też ustawić w aplikacji liczbę prób logowania i po kilku nieudanych próbach uniemożliwić dostęp na kilka lub kilkanaście minut.

 
Wykryty w porę atak brute force można zneutralizować, zanim jeszcze wyrządzi straty. Do najpopularniejszych i najbardziej uniwersalnych sposobów ochrony należą wielomodułowe zapory sieciowe, czyli firewalle nowej generacji. Zawierające się w nich zabezpieczenia, takie jak systemy IPS oraz IDS, potrafią w porę wykryć i zidentyfikować zagrożenie, powiadomić o nim administratora oraz w efekcie zareagować na atak z zewnątrz. Jednym z przykładów jest Netia Cloud Firewall, czyli zapora zlokalizowana centralnie w chmurze Netii, dostępna w modelu abonamentowym, która skutecznie chroni łącza klientów Netii przed wieloma rodzajami zagrożeń.


Firmy pracujące zdalnie powinny zainteresować się z kolei rozwiązaniami UTM, które zapewniają ochronę urządzeń znajdujących się w firmowej sieci LAN (bez względu na fizyczną ich lokalizację).


Najbardziej rozbudowanym i wymagającym organizacjom dedykowane są usługi Security Operations Center (np. SOC Netii). To usługa wsparcia ze strony zespołu doświadczonych specjalistów ds. cyberbezpieczeństwa, którzy monitorują firmową sieć przez 24 godziny, 7 dni w tygodniu, używając do tego nowoczesnych narzędzi klasy SIEM/SOAR.