Una nota di sicurezza informatica che oggi è molto trascurata sono gli attacchi bruteforce. Chi non ha mai provato a indovinare una password manualmente, o con l'ausilio di un programma che fa numerosi tentativi, finché non la indovina?
I portali di web-login moderni (Facebook) creano una sensazione di falsa sicurezza sugli attacchi bruteforce, questi portali ci obbligano ad usare una password complessa per scongiurare il rischio di quest'attacco, o comunque lo intralciano bloccando troppi tentativi di auth. Ma quindi, quest'attacco è diventato davvero inutile? Come se gli unici form di login esistenti siano questi...
L'attacco bruteforce, non è una strategia intelligente (anche quando sembra fattibile), e attualmente i login su cui è più efficace sono SSH, SMB o FTP. Questi servizi sono installati rispettivamente sulle porte 22, 445 e 21. E' davvero molto ignorante rassicurarsi sotto quest'aspetto, perché la maggior parte dei data breach avviene quando questi servizi vengono violati, e non quando viene violato il login di un social media.
Hydra è un tool popolare, che può fare un enorme numero di tentativi al minuto per indovinare le credenziali di Windows, autenticandosi attraverso il SMB, e può farlo anche per SSH ed FTP (più popolari su sistemi Unix). Una shell SSH compromessa da un bruteforce, ha un livello di severità gravissimo, e non c'è EDR che possa killarla, poiché differentemente dalle shell "illegali" che nascono da file infetti, una shell SSH è legalmente approvata da ogni fornitore di cybersecurity (vedi PuTTy.exe ad esempio), e il motivo è che si tratta di un servizio legittimo, che usa una password (o una public key), di conseguenza quando viene usata una password debole (indovinata dall'attaccante), non ci sarà alcun EDR o AV che aprirà il solito banner avvertendovi del pericolo.
Sembra spaventoso, vero? Ma in realtà il bruteforce è un attacco davvero molto stupido, che può creare problemi solamente ad Amministratori davvero negligenti. Infatti, sia in Microsoft WIndows, che nei sistemi Unix, è possibile semplicemente documentare quotidianamente gli event log per sniperare un bruteforce.
Più in generale, un'applicazione intelligente degli attacchi bruteforce è quella di ricercare directory nascoste in una webapp, oppure scansionare un range di indirizzi IP alla ricerca di host vulnerabili ad un exploit. Quindi, la risposta è NO, il bruteforce non è un attacco completamente morto, anche se i login dei social media hanno adottato da tempo severe contromisure contro di esso.
I portali di web-login moderni (Facebook) creano una sensazione di falsa sicurezza sugli attacchi bruteforce, questi portali ci obbligano ad usare una password complessa per scongiurare il rischio di quest'attacco, o comunque lo intralciano bloccando troppi tentativi di auth. Ma quindi, quest'attacco è diventato davvero inutile? Come se gli unici form di login esistenti siano questi...
L'attacco bruteforce, non è una strategia intelligente (anche quando sembra fattibile), e attualmente i login su cui è più efficace sono SSH, SMB o FTP. Questi servizi sono installati rispettivamente sulle porte 22, 445 e 21. E' davvero molto ignorante rassicurarsi sotto quest'aspetto, perché la maggior parte dei data breach avviene quando questi servizi vengono violati, e non quando viene violato il login di un social media.
Hydra è un tool popolare, che può fare un enorme numero di tentativi al minuto per indovinare le credenziali di Windows, autenticandosi attraverso il SMB, e può farlo anche per SSH ed FTP (più popolari su sistemi Unix). Una shell SSH compromessa da un bruteforce, ha un livello di severità gravissimo, e non c'è EDR che possa killarla, poiché differentemente dalle shell "illegali" che nascono da file infetti, una shell SSH è legalmente approvata da ogni fornitore di cybersecurity (vedi PuTTy.exe ad esempio), e il motivo è che si tratta di un servizio legittimo, che usa una password (o una public key), di conseguenza quando viene usata una password debole (indovinata dall'attaccante), non ci sarà alcun EDR o AV che aprirà il solito banner avvertendovi del pericolo.
Sembra spaventoso, vero? Ma in realtà il bruteforce è un attacco davvero molto stupido, che può creare problemi solamente ad Amministratori davvero negligenti. Infatti, sia in Microsoft WIndows, che nei sistemi Unix, è possibile semplicemente documentare quotidianamente gli event log per sniperare un bruteforce.
- In Windows, tutto quello che ci occorre fare, è aprire "Start" e digitare "Event viewer", aprendolo e navigando alla voce "Windows Logs", è possibile visualizzare tutti i tentativi errati del bruteforce.
- In Unix, è sufficiente navigare alla voce "/var/log/auth. log" per visualizzare tutti i tentativi di login effettuati sui servizi che richiedeono autenticazione;
Più in generale, un'applicazione intelligente degli attacchi bruteforce è quella di ricercare directory nascoste in una webapp, oppure scansionare un range di indirizzi IP alla ricerca di host vulnerabili ad un exploit. Quindi, la risposta è NO, il bruteforce non è un attacco completamente morto, anche se i login dei social media hanno adottato da tempo severe contromisure contro di esso.