ArtigosDireito Digital

Ataque de Força Bruta (Brute Force Attack)

Ataque de Força Bruta

Ataque de Força Bruta (Brute Force Attack)

Classificado como uma das formas mais antigas de invasão a um sistema, o Ataque de Força Bruta para muitos não é considerado uma técnica, visto que consiste em tentar todas as possíveis senhas (também conhecidas como chaves) até se identificar a correta e, assim, conseguir acesso ao sistema.

Em geral, esses ataques têm como objetivo identificar uma senha que está criptografada ou tentar acesso a um determinado sistema que necessita de autenticação, utilizando como base várias tentativas de senha consecutivas até que se acerte a verdadeira.

Qualquer equipamento que possua acesso à internet e necessite de usuário e senha pode ser alvo de um ataque de força bruta, e uma modalidade bastante comum é conhecida como wordlist, que consiste em uma lista de senha comuns, como data de nascimento e data de aniversário, ou um conjunto de senhas personalizadas de acordo com cada usuário.

Embora esse ataque possa realizado manualmente, o que demanda uma quantidade alta de tempo, na maioria dos casos ele é realizado com o uso de ferramentas que permitem acelerar e automatizar a descoberta da senha, ocasionando uma futura invasão a um sistema.

Assim, existem meios de proteção contra esses ataques, que inclusive podem ser combinados, e, com isso, evita-se o acesso indevido de criminosos a informações sigilosas.

Em primeiro lugar, a verificação de PIN (Captcha), que é uma imagem aleatória com um conjunto de caracteres que aparece para o usuário digitar ao efetuar o login. Quanto mais longo esse conjunto, menor a chance ser quebrado.

Também existe a ferramenta “prove que você não é um robô”, que consiste em perguntas que o usuário deve responder, sob pena de não ingresso ao sistema caso não acerte o questionamento.

Agora, formas mais comuns para evitar o Ataque de Força Bruta se dá com relação ao bloqueio do sistema em caso de tentativas malsucedidas por um determinado período de tempo, como o caso do bloqueio da conta ou bloqueio do IP do visitante que está tentando ingressar no sistema.

Ciente de que os criminosos realizam esse ato com frequência, importante citar a empresa Apple, que se preocupou com a segurança de seu dispositivo, tendo em vista que esses não permitem o Ataque de Força Bruta, pois ocasiona o apagamento total dos dados do dispositivo.

Mas esse modelo de proteção da Apple cria uma luta entre proteção de dados do usuário e a sua privacidade, e o acesso às informações pelo Estado sob o prisma de qual lado deve prevalecer.

Inegável que o sistema operacional móvel IOS implementou um mecanismo extremamente seguro, e em muitos casos não vai agradar o governo, principalmente quando é necessário analisar dados que o aparelho contêm.

Grande exemplo se deu no caso do tiroteio de San Bernardino, onde no dia 02 de dezembro de 2015, nos Estados Unidos, mais precisamente no Inland Regional Center, cerca de 14 pessoas foram mortas e aproximadamente 21 ficaram feridas. Os autores, Syed Rizwan Farook e sua esposa Tashfeen Malik, tentaram fugir de carro, mas foram mortos pela polícia em uma troca de tiros.

Para aprofundar as investigações, o celular de Farook foi apreendido para averiguação, dispositivo esse de modelo Iphone. Contudo, tendo em vista o celular ser encriptado por senha, significa então que nem o FBI e nem a própria empresa Apple poderiam saber o que estaria dentro do dispositivo, além disso, não poderiam realizar tentativas de digitação de supostas senhas pelo fato de ocasionar o apagamento total dos dados do referido celular.

O FBI, então, solicitou tanto a modificação no sistema IOS do dispositivo, para que o mesmo aceitasse o Ataque de Força Bruta, onde após algumas tentativas o aparelho seria desbloqueado, quanto a desativação da função auto apagar.

A Apple se negou a realizar tal determinação, tendo em vista que iria contra o interesse da empresa, seja por dano à sua imagem, seja pelo fato que de sempre afirmou obter um software de extrema segurança e livre de vulnerabilidades que são encontradas em outro sistema como o Android, por exemplo.

Posteriormente, o FBI conseguiu acesso ao dispositivo do atirador, informando que conseguiu hackear o aparelho celular, uma vez que a empresa Apple não colaborou com as investigações.

Todavia, ficam as perguntas para uma reflexão: será que a empresa Apple deveria ter cedido aos pedidos do Poder Judiciário em quebrar o seu próprio sistema ou manter o padrão já imposto como forma de honrar os seus usuários em respeito à privacidade destes?

Ainda, será que a empresa Apple estaria viva no mercado e teria a quantidade de clientes que possui hoje caso eles tivessem concordado em “facilitar” o acesso ao seu sistema?

A tendência é enfrentarmos cada vez mais situações em que a inovação tecnológica confronta com a lei.

Autor

Fernanda Tasinaffo

Especialista em Direito Digital. Advogada.
Continue lendo
ArtigosDireito Penal

Menoridade no crime

ArtigosCriminal Profiling

Criminal Profiling e análise de indícios

ArtigosProcesso Penal

O que é, afinal, um processo inquisitório?

ArtigosCrime, Arte e Literatura

Direito Penal e Literatura: O Estrangeiro, de Albert Camus

Receba novidades em seu e-mail