È ancora possibile eseguire un attacco di dizionario online da una singola macchina, senza anonimizzazione?

2

Questa domanda riguarda gli attacchi di dizionario condotti:

  • Su Internet, utilizzando programmi come THC Hydra
  • Tramite protocolli come HTTP, FTP e SMTP

Credo di avere ragione nel pensare che: a) a causa dei sofisticati livelli di sicurezza che tendono ad impiegare, un tale attacco non può essere eseguito con successo sui siti più grandi (Facebook, Twitter, Gmail, Outlook e così via) senza dover mascherare il tuo IP, incanalare l'attacco attraverso la rete Tor e distribuirlo tra un esercito di botnet; b) che l'efficacia di questi attacchi su siti self-hosted più piccoli è limitata solo dalla competenza delle persone che gestiscono i loro server.

Tuttavia, che ne è del divario che occupa lo spazio (forse più grande) tra i due: i provider di hosting web medio-piccoli che il resto del web si affida al tempo di attività.

In media, la sicurezza di queste organizzazioni è in genere sufficientemente avanzata da rilevare un attacco di ipotesi da un singolo indirizzo IP e bandire in modo permanente l'indirizzo su quei protocolli? Sta anonimizzando te stesso durante un attacco a un tale obiettivo tanto quanto una necessità come sarebbe quando si prendono di mira i grandi siti?

O per mettere quello che sto chiedendo in un altro modo: la sicurezza delle organizzazioni di hosting web più piccole ora diventa sufficientemente avanzata da indurre a supporre attacchi da una singola macchina, senza anonimizzazione, completamente obsoleti?

Chiedo questo perché nessuno dei resoconti che ho visto sull'argomento (guida all'uso di THC Hydra e programmi simili sia per il dizionario che per l'attacco a forza bruta) tanto quanto menzionare l'anonimizzazione o la distribuzione di attacchi con i robot e mi viene da chiedermi quanto siano necessari o inutili tali passaggi quando lo fai.

Ci sono hacker che stanno davvero arrivando ovunque senza prendere queste misure?

    
posta Hashim 02.01.2018 - 01:18
fonte

2 risposte

2

La sicurezza di un sito web non è legata alle dimensioni dell'azienda. Le grandi aziende come Sony sono state violate e hanno usato pratiche di scarsa sicurezza (password di testo chiare). D'altro canto, un singolo sito che avrebbe un esperto di sicurezza come amministratore probabilmente userebbe una protezione di sicurezza aggiornata. L'unica regola è che la sicurezza di un sito Web è limitata dalla capacità dell'amministratore della sicurezza. Include sia le competenze grezze che le risorse finanziarie, perché la sicurezza fisica ha un costo solo.

Ora la parte rimanente della tua domanda è principalmente una questione di risorse e conoscenza tra l'attaccante e il difensore: il migliore dei due vincerà. Per l'attaccante significa un exploit di successo, per il difensore significa almeno un attacco fallito, ma l'obiettivo è spesso l'identificazione dell'attaccante. Questa è una costante qualsiasi cosa usi come strumenti di anonimizzazione: niente è sufficiente se l'obiettivo non è interessato a sapere chi sei, ma non farei affidamento nemmeno sul TOR per attaccare l'NSA ...

Ciò significa che se attacchi un sito, tutto dipende da cosa stai attaccando:

  • se hanno scarso interesse per la sicurezza, è probabile che il tuo attacco non venga notato e potrebbe persino avere successo
  • se usi la sicurezza media, il tuo indirizzo sarà bannato prima di avere la possibilità di avere successo, ma le cose non andranno oltre
  • se proteggono informazioni altamente sensibili, è probabile che tu trovi dei poliziotti che bussano alla tua porta o azioni ancora più drastiche se il sito fosse di proprietà di un'organizzazione criminale ...

TL / DR: ha senso spiegare come usare gli strumenti per attaccare i siti, perché questa è una conoscenza utile per i pentesters, puoi anche trovare alcune guide su come proteggere il tuo anonimato dai siti medi, perché a molte persone non piace essere troppo tracciato Ma è improbabile che tu trovi uno specialista della sicurezza per spiegare come costruire un attacco fin dall'inizio, perché 1 / non sono interessati a insegnarlo e 2 / sanno che non c'è nulla di adatto a tutti.

    
risposta data 02.01.2018 - 11:17
fonte
0

Ho risposto a questo sulla tua domanda precedente prima di averlo eliminato. La risposta dovrebbe essere ancora pertinente.

Si presume che le grandi aziende utilizzino una gestione delle password sofisticata, in cui i siti self-hoster più piccoli sono limitati da poche persone potenzialmente incompetenti. La realtà è che non c'è uno spazio così grande tra i due, e molto spesso siti grandi e importanti hanno poca o nessuna sicurezza nella loro implementazione della password, e siti più piccoli hanno una sicurezza piuttosto sofisticata (o almeno sufficiente). Mentre le aziende come Google possono utilizzare 2FA, sconfiggendo i semplici attacchi di forza bruta, molte altre aziende non lo fanno. Non direi che gli attacchi di forza bruta sono "efficaci come sempre", ma come dimostrano servizi come PlainTextOffenders, c'è ancora molto lavoro da fare per educare anche siti web grandi, popolari e con un alto personale come fare correttamente l'autenticazione con password. / p>

Il fatto è che gli attacchi con password basati sul web sono ancora onnipresenti e ci sono enormi botnet che attaccano costantemente una miriade di siti Web con le password più popolari. Questo non è univoco per i siti Web con login di password. SSH è ancora attivamente bruto forzato nonostante fail2ban e l'autenticazione a chiave pubblica limitino drasticamente o eliminando il rischio di forza bruta SSH. Vai su siti casuali con le prime 100 (o anche le prime 10) password più popolari e scoprirai di aver aperto una dozzina di shell in pochissimo tempo, anche su siti moderatamente di alto profilo.

La ragione per cui i tutorial non parlano ampiamente delle tecniche di anonimato è che spesso sono fuori portata. L'idea è che, se qualcuno ha bisogno dell'anonimato, lo userà. Per quanto riguarda la distribuzione dell'attacco con una botnet, di solito è più utile per attaccare più siti contemporaneamente che per attaccare un singolo sito molto rapidamente. Vedi anche questa domanda sugli attacchi a forza bruta che spiega come questo sembra in natura.

Gli attacchi brute force e dictionary sono ancora abbastanza efficaci sui siti web che non limitano la frequenza o utilizzano 2FA, indipendentemente dalle dimensioni del sito web.

    
risposta data 02.01.2018 - 04:20
fonte