¿Todavía es posible ejecutar un ataque de diccionario en línea desde una sola máquina, sin anonimización?

Navega tus respuestas
2

Esta pregunta se refiere a los ataques de diccionario realizados:

  • A través de Internet, utilizando programas como THC Hydra
  • A través de protocolos como HTTP, FTP y SMTP

Creo que tengo razón al pensar que: a) debido a las sofisticadas capas de seguridad que tienden a emplear, tal ataque no se puede ejecutar con éxito en los sitios más grandes (Facebook, Twitter, Gmail, Outlook, etc.) sin necesidad de enmascarar su IP, canalice el ataque a través de la red Tor y distribúyalo entre un ejército de botnets; b) que la eficacia de estos ataques en sitios más pequeños alojados solo está limitada por la competencia de la persona (s) que ejecuta sus servidores.

Sin embargo, ¿qué pasa con la brecha que ocupa el espacio (posiblemente) mayor entre los dos? los proveedores de alojamiento web medianos a pequeños de los que depende el resto de la web para el tiempo de actividad.

En promedio, ¿la seguridad de estas organizaciones generalmente es lo suficientemente avanzada como para detectar un ataque de adivinación desde una sola dirección IP y prohibir permanentemente la dirección en esos protocolos? ¿El anonimato durante un ataque a un objetivo de este tipo es tan necesario como lo sería al apuntar a los grandes sitios?

O, para decirlo de otra manera, ¿la seguridad de las organizaciones de alojamiento web más pequeñas se ha vuelto lo suficientemente avanzada como para hacer ataques de adivinación desde una sola máquina, sin anonimización, completamente obsoletos?

Le pregunto esto porque ninguno de los escritos que he visto sobre el tema (guías para el uso de THC Hydra y programas similares tanto para el diccionario como para el ataque de fuerza bruta) menciona la anonimización o la distribución de ataques con bots, y me ha dejado preguntándome qué tan necesarios o innecesarios son esos pasos al hacerlo.

¿Hay hackers que realmente están llegando a cualquier lugar sin tomar esas medidas?

    
pregunta Hashim 02.01.2018 - 01:18
fuente

2 respuestas

2

La seguridad de un sitio web no está relacionada con el tamaño de la empresa. Las grandes empresas como Sony fueron hackeadas y utilizaron prácticas de seguridad deficientes (contraseñas de texto claro). Por otro lado, un sitio individual que tendría un especialista en seguridad como administrador probablemente usaría una protección de seguridad actualizada. La única regla es que la seguridad de un sitio web está limitada por la capacidad de su administrador de seguridad. Incluye tanto las competencias en bruto como los recursos financieros, porque la seguridad física solo tiene un costo.

Ahora, la parte restante de su pregunta es principalmente una cuestión de recursos y conocimientos entre el atacante y el defensor: el mejor de los dos ganará. Para el atacante significa una hazaña exitosa, para el defensor significa al menos un ataque fallido, pero el objetivo a menudo es la identificación del atacante. Esta es una constante, sea lo que sea que uses como herramientas de anonimización: nada es suficiente si el objetivo no está interesado en saber quién eres, pero no confiaría ni siquiera en TOR para atacar a la NSA ...

Eso significa que si atacas un sitio, todo depende de lo que estés atacando:

  • si tienen poco interés en la seguridad, es probable que su ataque pase desapercibido, e incluso podría tener éxito
  • Si usa la seguridad promedio, su dirección será prohibida antes de tener éxito, pero las cosas no irán más lejos.
  • Si protegen información altamente sensible, es probable que encuentre policías que tocan su puerta, o incluso acciones más drásticas si el sitio era propiedad de una organización criminal ...

TL / DR: tiene sentido explicar cómo usar las herramientas para atacar sitios, ya que este es un conocimiento útil para los pentesters, también puede encontrar algunas guías sobre cómo proteger su anonimato de los sitios promedio, porque a muchas personas no les gusta ser excesivamente rastreado. Pero es poco probable que encuentre un especialista en seguridad que le explique cómo crear un ataque desde el principio, porque 1 / no están interesados en enseñar eso y 2 / saben que no hay ningún ajuste en todos los aspectos.

    
respondido por el Serge Ballesta 02.01.2018 - 11:17
fuente
0

Respondí esto en tu pregunta anterior antes de que la eliminaras. La respuesta debería seguir siendo relevante.

Está asumiendo que las grandes empresas utilizan una administración de contraseñas sofisticada, donde los sitios más pequeños alojados en sí mismos están limitados por unas pocas personas potencialmente incompetentes. La realidad es que no hay un espacio tan grande entre los dos, y muy a menudo los sitios importantes tienen poca o ninguna seguridad en la implementación de su contraseña, y muchos sitios más pequeños tienen una seguridad bastante sofisticada (o al menos suficiente). Mientras que compañías como Google pueden usar 2FA, derrotando los simples ataques de fuerza bruta, muchas otras compañías no lo hacen. No diría que los ataques de fuerza bruta son "efectivos como siempre", pero como lo demuestran los servicios como PlainTextOffenders, todavía hay mucho trabajo por hacer para educar incluso a sitios web grandes, populares y con mucho personal sobre cómo realizar la autenticación de contraseña correctamente. / p>

El hecho es que los ataques de contraseña basados en la web siguen siendo omnipresentes, y existen redes de bots masivas que atacan constantemente una gran cantidad de sitios web con las contraseñas más populares. Esto no es exclusivo de los sitios web con inicio de sesión de contraseña. SSH sigue siendo una fuerza bruta activa a pesar de fail2ban y la autenticación de clave pública limitando drásticamente o eliminando el riesgo de la fuerza bruta SSH. Ve a sitios aleatorios con las 100 contraseñas más populares (o incluso las 10 principales), y encontrarás que has introducido una docena de shells en muy poco tiempo, incluso en sitios de alto perfil.

La razón por la que los tutoriales no hablan extensamente sobre las técnicas de anonimato es que a menudo están fuera de alcance. La idea es que, si alguien necesita el anonimato, lo usará. En cuanto a distribuir el ataque con una botnet, esto suele ser más útil para atacar a muchos sitios a la vez que para atacar un solo sitio muy rápidamente. Consulte también esta pregunta sobre ataques de fuerza bruta que explica cómo se ve esto en la naturaleza.

Los ataques de fuerza bruta y diccionario siguen siendo bastante exitosos en sitios web que no limitan la velocidad o utilizan 2FA, independientemente del tamaño del sitio web.

    
respondido por el forest 02.01.2018 - 04:20
fuente

Lea otras preguntas en las etiquetas

¿Cómo evitar que las personas eviten los bloques de firewall utilizando el caché de Google? Técnicas de apilamiento