Brute force

Ataque de força bruta

O ataque de força bruta (brute force) é uma das técnicas mais antigas e diretas usadas para quebrar senhas e autenticações. Consiste em testar todas as combinações possíveis até encontrar a correta. Embora seja um método relativamente simples, continua eficaz contra sistemas mal configurados ou senhas fracas.

O Kali Linux, uma distribuição voltada para testes de segurança, oferece diversas ferramentas para realizar esse tipo de ataque de forma automatizada. Nesta matéria, vamos abordar o conceito, as ferramentas envolvidas, e apresentar exemplos práticos de brute force com ferramentas disponíveis no Kali Linux.

 

O que é Brute Force?

É uma técnica de tentativa e erro. O invasor tenta múltiplas combinações de senhas ou chaves com o objetivo de obter acesso a um sistema. O tempo necessário para o sucesso depende da complexidade da senha, da velocidade da ferramenta usada e das defesas do sistema alvo.

 

Ferramentas de brute force no Kali Linux

O Kali Linux já vem com várias ferramentas de brute force instaladas por padrão. As mais populares são:

Hydra (também chamada THC-Hydra)

Medusa

Ncrack

John the Ripper

Aircrack-ng (para redes Wi-Fi)

Vamos focar nesta matéria na ferramenta Hydra, que é versátil, simples de usar e aceita diversos protocolos (SSH, FTP, HTTP, SMB, RDP, Telnet, entre outros).

 

Exemplo prático: Brute force em SSH usando Hydra

Antes de realizar qualquer teste, é importante frisar que essa prática é ilegal se feita contra sistemas sem autorização. Os testes aqui apresentados devem ser realizados apenas em ambientes de laboratório ou com permissão explícita.

Imagine que você tem um servidor SSH rodando no IP 192.168.0.100. Você conhece o nome de usuário, mas quer descobrir a senha. Você tem uma lista de senhas em um arquivo chamado senhas.txt.

O comando para executar o brute force com Hydra seria assim:

hydra -l usuario -P senhas.txt ssh://192.168.0.100

Explicação do comando:

-l usuario define o nome de usuário que será usado em todas as tentativas

-P senhas.txt define o caminho para o arquivo com a lista de senhas

ssh://192.168.0.100 define o protocolo (SSH) e o alvo (o IP do servidor)

O Hydra testará todas as senhas do arquivo senhas.txt para o usuário especificado até encontrar a correta (ou até esgotar a lista).

 

Exemplo prático: Brute force em login web (formulário HTML)

Imagine agora que você tem um sistema web com um formulário de login em http://192.168.0.200/login.php, e deseja fazer brute force no campo de senha para o usuário admin.

O comando seria algo como:

hydra -l admin -P senhas.txt 192.168.0.200 http-post-form "/login.php:usuario=^USER^&senha=^PASS^:login inválido"

Explicação:

/login.php é o caminho do formulário

usuario=^USER^&senha=^PASS^ é o corpo da requisição POST, onde Hydra substitui ^USER^ pelo usuário e ^PASS^ pela senha da lista

login inválido é a string que indica que o login falhou (Hydra procura por essa frase na resposta para saber se deve continuar)

Esse tipo de ataque exige que você entenda como o formulário web funciona, analisando-o com ferramentas como o navegador ou o Burp Suite.

 

Como gerar listas de senhas com o Crunch

O Kali Linux também traz o Crunch, uma ferramenta para gerar listas de senhas personalizadas. Por exemplo, para gerar todas as combinações de 4 a 6 caracteres numéricos, você pode usar:

crunch 4 6 0123456789 -o senhas_numericas.txt

Esse comando cria um arquivo com todas as senhas possíveis entre 4 e 6 dígitos usando apenas números.

 

Defesas contra brute force

Sistemas bem configurados usam diversas técnicas para se proteger contra esse tipo de ataque:

Bloqueio temporário após tentativas falhas: impede que o atacante continue tentando após um número de falhas.

CAPTCHA: impede o uso de automação.

Autenticação em dois fatores (2FA): mesmo com a senha, o atacante precisa de outro código.

Senhas fortes: aumentam drasticamente o tempo necessário para um brute force ter sucesso.

Monitoramento de logs e alertas: permite detectar tentativas em tempo real.

 

Considerações legais e éticas

O uso de ferramentas de brute force sem autorização é crime em praticamente todos os países. No Brasil, se enquadra no artigo 154-A do Código Penal (invasão de dispositivo informático), com penas que variam de multa a reclusão. O uso dessas técnicas só deve ser feito em ambientes de laboratório, CTFs (Capture the Flag), simulações autorizadas ou testes de penetração com contrato formal.

Todos os posts

Metadados

CVE

Keylogger

Fingerprint

Hash

Evil Twin

RCE

Buffer overflow

Criptografia

Esteganografia

DoS e DDoS

Brute force

Sniffers

Wireshark

Wifite

SQL Injection

XSS

VPN

Phishing

DNS Spoofing

Nmap

Pentest

Google Dorks

Hydra no Kali Linux

Inteligência Artificial

Quero ser programador

Engenharia social

Hackpedia Whitehats

Deep Web

Anonimato

WhiteHats tá falando

Bitcoin

Segurança digital

Novo site WhiteHats no ar!

Notícias recentes

Google Chrome corrige falhas exploradas por criminosos; atualize agora

Cuidado, há uma falha muito grave a afetar os smartphones da OnePlus

Sora da OpenAI atinge 1 milhão de downloads mais depressa que o ChatGPT

Investigação da OpenAI confirma que o ChatGPT mente deliberadamente

Inteligência Artificial prevê um futuro desigual para os carros elétricos na Europa, China e Estados Unidos

Spotify reforça regras para Inteligência Artificial na música

China proíbe empresas de tecnologia de comprar chips de Inteligência Artificial da NVIDInteligência Artificial

Wikipédia vai facilitar pesquisas de chatbots de Inteligência Artificial

Auditoria usa Inteligência Artificial, passa vergonha e devolve dinheiro de projeto

Ataque hacker faz Jaguar Land Rover parar produção no Reino Unido

Hackers manipulam Gemini a controlar casas via eventos de calendário

Google emite alerta sobre falhas sérias que afetam usuários de Android

Actualização do Windows causa prompts UAC excessivos

Microsoft sofre revés com falha grave em novo protocolo de Inteligência Artificial

Google confirma vazamento de dados, mas afirma ter contido o problema

Como o Google Gemini Pode Comprometer a Segurança da Sua Casa Inteligente

Atualização de segurança inesperada para o Galaxy S20 da Samsung

Google lança oficialmente Jules, seu assistente de programação com inteligência artificial

Lançamento do Linux Kernel Runtime Guard 1.0 Foca na Segurança

Google admite vazamento de dados no Salesforce ligado ao grupo hacker ShinyHunters

Google admite que hackers acessaram um de seus bancos de dados

Europa já tem um robô humanoide doméstico para competir com a Tesla

Hacker que ameaçou Felca e psicóloga é denunciado pelo MPSP

Banco Central anuncia novos limites para transferências via Pix após fraudes

Controle de acesso é principal fragilidade explorada em ataques hackers

Jogador recebe aviso que HD estava quase sem espaço e descobre que Steam criou arquivo de texto com quase 500 GB

Inteligência Artificial está a aumentar riscos de cibersegurança

Google faz chacota da Apple em novo comercial na web

Cloudflare acusa Perplexity de burlar regras da web

Quem encontrar falha grave no WhatsApp receberá US$ 1 milhão

Falso AnyDesk é usado para roubar dados pessoais e carteiras de criptomoedas

Google desmente falha de segurança no Gmail

Gigante brasileira tem R$ 710 milhões desviados em ataque ao sistema PIX

Hackers ameaçam alimentar Inteligência Artificial com conteúdo de artistas se site não pagar quantia que eles exigem

Hackers adolescentes paralisam produção da Jaguar Land Rover

Atualização da Apple corrige vulnerabilidade zero-day afetando Chrome

Novo ataque: hackers desviam quase R$ 5 milhões de fintech

Apple lança iOS 18.6.2 para corrigir risco de segurança

Golpe usa Office 365 para roubar credenciais de pessoas

Microsoft testa Inteligência Artificial que resume histórico do Edge, mas recurso pode custar US$ 20

HackPedia