Riesgos de detección de ataques de fuerza bruta

Navega tus respuestas
0

Me gustaría preguntar si el uso de ataques de fuerza bruta en algunos sitios web o servicios en línea puede ser riesgoso para el pirata informático. Digamos que alguien está utilizando la herramienta medusa para descifrar la contraseña de su cuenta en algún servidor. ¿Es esto visible para los administradores y de alguna manera arriesgado para el potencial atacante? ¿O simplemente se ve como un millón de intentos para iniciar sesión en un servidor en particular y no como una amenaza? ¿Puede un antivirus simple con firewall como, digamos, Avira detectar este tipo de intentos de penetración? ¿Realmente cree que alguien está mirando los registros de intentos de inicio de sesión o simplemente los ignoran los administradores o incluso existen en un servidor regular? Sé que parezco un principiante porque es quien soy, pero no puedo encontrar mucha información al respecto en internet.

    
pregunta Terrorizer 15.01.2015 - 00:20
fuente

1 respuesta

3

No mencionó específicamente si se está refiriendo a un ataque de fuerza bruta en línea o fuera de línea, pero como mencionó Medusa asumiré en línea.

Tampoco ha dicho en qué protocolo está tratando de controlar la fuerza bruta o en qué aplicación está intentando iniciar sesión. P.ej. aplicación web a través de HTTP, RDP, FTP?

  

¿Es esto visible para los administradores

Definitivamente. No es seguro que lo registren, pero la mayoría de los servidores HTTP almacenan los registros de acceso y la mayoría de los sistemas de inicio de sesión también registran los intentos fallidos de inicio de sesión de alguna manera.

  

¿O simplemente se ve como un millón de intentos para iniciar sesión en el particular?   servidor y no como una amenaza?

Nadie haría legítimamente millones de intentos de inicio de sesión. Si alguien mirara los registros y lo notara, sin duda asumiría que era una amenaza.

  

¿Puede un simple antivirus con firewall como, digamos, que Avira detecte esto?   tipo de intentos de penetración?

No se puede hablar específicamente de Avira, pero existe la posibilidad de que su ataque también se vea como un DoS si el volumen es lo suficientemente alto. Además, es común que las aplicaciones en línea ejecuten un IDS (sistema de detección de intrusos) o un WAF (servidor de seguridad de aplicaciones web) que es más probable que detecte cosas como esta.

  

¿De verdad crees que alguien está mirando los registros de intentos de inicio de sesión?   ¿O simplemente los ignoran los administradores o incluso existen?   en un servidor regular?

Como ejemplo, el acceso HTTP, los intentos de inicio de sesión SSH, etc. se registrarán en casi todos los servidores. Que alguien los mire depende en gran medida de quién lo ejecute. Puede suponer que la mayoría de los sistemas a gran escala tendrán una supervisión de registro considerable en su lugar.

También hay software que observa los archivos de registro en busca de intentos fallidos de contraseña y los prohíbe automáticamente, como fail2ban .

Creo que también ha descartado los controles de nivel de aplicación frente al forzamiento brutal: cualquier sistema de inicio de sesión bien diseñado lo bloqueará después de un cierto número de fallas de contraseña.

Incluso en el caso de un ataque sin conexión, hay formas de detectarlo, como una cuenta de Honey Pot o honey words que, con suerte, harán que el atacante inicie sesión en una cuenta aislada y le avise antes de que puedan iniciar sesión en una cuenta real.

    
respondido por el thexacre 15.01.2015 - 01:07
fuente

Lea otras preguntas en las etiquetas

¿El malware se puede "cargar" a la estación base móvil real y volver a otro teléfono? DoS en una IP ordinaria [duplicado]