Un attacco brute force (letteralmente “forza bruta”) è una tecnica che consiste nel provare sistematicamente tutte le possibili combinazioni per individuare una password, una chiave di cifratura o un PIN. Viene impiegato anche in ambito forense per recuperare l’accesso a dati crittografati o protetti da credenziali, senza alterare il contenuto. Un’analogia pratica: è come scassinare una serratura provando tutte le chiavi possibili, evitando però di danneggiare ciò che è custodito all’interno.
L’obiettivo non è violare la legge, ma accedere a prove legittimamente sequestrate e potenzialmente decisive per un processo penale.
Quando si usa il brute forze in ambito giudiziario?
Le occasioni sono sempre più frequenti:
- Sequestro di smartphone durante arresti o perquisizioni, dispositivi protetti da PIN, pattern o riconoscimento biometrico.
- Hard disk cifrati con VeraCrypt, Bitlocker o FileVault, spesso usati da esperti per nascondere materiale illegale.
- Singoli file cifrati (PDF, documenti, archivi RAR/ZIP) trovati su supporti digitali durante un’indagine.
- Wallet di criptovalute, a volte usati per occultare proventi di reati o movimentare denaro in modo non tracciabile.
Strumenti forensi usati per il brute force
In ambito giudiziario, le forze dell’ordine e i consulenti tecnici devono avvalersi di software certificati, tracciabili e legalmente riconosciuti.
Tra gli strumenti più utilizzati:
- Celebrite UFED: molto diffuso nelle analisi di smartphone, offre moduli di brute force assistito per PIN e pattern.
- ElcomSoft Tools: utilizzato per forzare gli accessi a backup IOS, file office, ZIP e dischi cifrati.
- PasswARE Kit Forensics: uno degli strumenti più potenti sul mercato, permette di recuperare le password da oltre 300 tipi di file, integrando attacchi brute force, dizionario e GP acceleration.
- Hashcat: programma open-source molto diffuso tra gli esperti, impiegato per testare la robustezza delle password attaccando i loro hash, soprattutto in ambienti Linux o Windows già compromessi.
L’aspetto della legalità
Nel contesto giudiziario, il brute force non rappresenta soltanto una sfida tecnica, ma anche un tema giuridico. L’accesso ai dati deve infatti essere preventivamente autorizzato, proporzionato rispetto alle finalità dell’indagine e adeguatamente documentato. Ogni tentativo viene annotato nel registro delle operazioni forensi, così da garantire la tracciabilità e la possibilità di verifica in sede processuale. Allo stesso tempo, è fondamentale proteggere la riservatezza delle informazioni non pertinenti al procedimento, come stabilito dal codice di procedura penale e dal GDPR (Regolamento Generale sulla Protezione dei Dati).
Quanto è efficace il brute force?
La risposta è: dipende. L’efficacia di un attacco brute-force varia in funzione delle contromisure implementate e della qualità delle credenziali. Molti dispositivi moderni adottano meccanismi anti-brute-force, ad esempio:
- wipe automatico dopo un numero predefinito di tentativi falliti (es. iPhone);
- backoff progressivo: ogni errore aumenta i tempi di attesa prima del tentativo successivo (es. Android, BitLocker);
- crittografia con chiavi robuste (es. AES-256).
D’altra parte, numerosi casi investigativi coinvolgono credenziali deboli, prevedibili o già note a seguito di data leak. In tali scenari, le indagini possono integrare il brute-force con tecniche complementari, come:
- attività OSINT per ricostruire possibili password basate su informazioni pubbliche;
- estrazione e analisi di keychain, token di sessione o backup non cifrati.
Conclusione
Nel contesto giudiziario, il brute force non rappresenta un intervento arbitrario, bensì una misura di ultima istanza, adottata quando altre tecniche risultano inefficaci. Pur soggetto a vincoli tecnici e giuridici, rimane uno strumento essenziale per consentire agli investigatori l’accesso a prove digitali determinanti nella lotta ai reati informatici e alla criminalità digitale.
