[HaBo]

schmidtl_dd · 14.11.06, 14:43

Hi,

ich bin nicht wirklich auf dem laufenden, daher hier eine Frage: funktioniert remote Bruteforce heute noch? Ich kann mir nur schwer vorstellen das es noch Dienste gibt, keine beschränkungen der Form " ein loginversuch alle 5 sekunden" oder "nach 3 loginversuchen eine stunde pause" haben...
Schon wenn ich bloß 30 versuche pro minute machen kann macht bruteforce ja nich wirklich sinn (es sei denn ich habe eine sehr gute, möglicherweise personalisierte wordlist)

14.11.06, 14:49

OffTopic/ Hat dich "Intresse" mit seiner BruteForce-Kiste angesteckt?^^/OffTopic

Ich denke, ein aktuelles System ist dagegen Gewappnet. Aber es gibt immernoch sehr viele schlecht gewartete Systeme ohne Updates bei denen es funktioniert.

Mit Tools wird dann genau nach diesen Systemen gesucht.

MfG
IsNull

Anzeige

- Anzeige -

Prometheus · 14.11.06, 15:50

Dazu muss erstmal eine Remoteverbindung stehen können. Standartmäßig ist kein Remoteserver auf den Rechnern aktiviert.
Aber wenn du das Anmeldefenster noch andersweitig öffnen kannst, z.B. bei dem Aufruf der Freigabe, so hast du eher eine Chance bei Win XP Pro, denn bei Home ist die Standarteinstellung das eben kein Anmeldefenster kommt.
Manche Fertig-PCs, die ein fertig - installiertes Betriebssystem haben, sind meist auch in der Sicherheit so eingerichtet das nicht erst eine Verbindung zum anderen Rechner über die Freigabe möglich ist.
Aber du kommst auch ohne Anmeldefenster an eine Art Anmeldefenster.
Bei Windows XP Home hast du nicht die Möglichkeit gewisse Sicherheitseinstellungen wie 4 Anmeldeversuche für die Anmeldung etc. festzulegen, aber dafür bei Pro.
Ehrfahrungsgemäß muss ich aber sagen das es nur wenige XP Pro - Anwendern etwas von den Sicherheitseinstellungen/ - richtlinien schon gehört haben und somit für Bruteforce leicht zugänglich machen.

Fazit ist, das du bei den meisten Rechnern dein Bruteforce anwenden kannst. Aber was bringt dir Bruteforce? Sogar in der Computerbild stehen für den DAU einige Empfehlungen zum besseren Passwort.
Zwar gibt es viele Leute die sagen das die Leute nur sehr einfache Passwörter nutzen, aber wie groß sind die Chancen das dieses Passwort überhaupt in deiner Passwortliste steht?
Bruteforce ist uralt und längst aus dem rennen. Selbst die Script-Kiddies nutzen kaum noch BruteForce und nutzen andere Methoden.

schmidtl_dd · 14.11.06, 16:13

Ich war weniger auf Windows Rechner aus, sondern eher Dinge wie webserver, online-games, ssh zugänge... halt dinge die eine entfernte Anmeldung akzeptieren.

Ebensowenig geht es mir um das für und wieder von Bruteforce... mir ist schon klar das ich von einem md5 hash eher eine kollision errechne, als eine via bruteforce zu finden...

Prometheus · 14.11.06, 16:26

Zitat:

Original von schmidtl_dd
Ich war weniger auf Windows Rechner aus, sondern eher Dinge wie webserver, online-games, ssh zugänge... halt dinge die eine entfernte Anmeldung akzeptieren.

Ebensowenig geht es mir um das für und wieder von Bruteforce... mir ist schon klar das ich von einem md5 hash eher eine kollision errechne, als eine via bruteforce zu finden...

Dann muss ich sagen, das du eher wenigere Chancen hast, denn die Sicherheit passt sich heutzutage den Angriffsmöglichkeiten an. Dazu gehört auch Bruteforce und natürlich die anderen Angriffsmöglichkeiten.
Kommt aber immer darauf an was für Serverprogramme genutzt werden und wie aktuell diese sind oder ob das Onlinegame von Jemanden programmiert hat, der unabsichtlich eine Sicherheitslücke offengelassen hat.
Es gibt immermal eine kleine Hintertür die offen ist und wie schnell danach ein Update kommt, um die Tür "zu zuschweißen".
Der Kenntnissstand des Angreifers muss dabei nicht unbedingt hoch sein, denn es gibt im Internet tausende von Hackertools und Exploits die man ausnutzen kann. Aber hier kommt es wiederum darauf an ob noch andere zusätzliche Sicherheitsmaßnahmen genutzt wurden.

schmidtl_dd · 14.11.06, 16:34

Aber ne echte Statistik hast du nicht?

Ich plane nicht selbst so einen Angriff, ein anderer thread warf in mir diese Frage auf, inwieweit "reines Bruteforce auf eingabemasken" heut noch Erfolg bringen kann...

Das ich auf eine feste Datenbasis, zu der ich physischen zugang habe, eher evtl mit Rainbowtables losgehe, oder das viele, darunter die von mir verwalteten Systeme, zumindest rudimentäres IPS besitzen (nach nem Scan von > 10 ports in einer Minute oder 3 erfolglosen ssh Einwahlversuchen ist für diese Quelle deny all angesagt) ist mir schon klar...

Prometheus · 14.11.06, 16:45

Reine Statistiken habe ich nicht und ich kann mir auch kaum vorstellen auf welcher Basis man diese erstellen kann.
In der heutigen Computerwelt, bastelt sich kaum selbst Jemand ein SSH-Server zusammen oder ein eigenes Onlinegame oder Webseite. Da gibt es Vorlagen, Templates usw.
Diese sind höchstwahrscheinlich gegen Bruteforce geschützt, denn das ist die einfachste Angriffsvariante. Dafür ist es aber kaum gegen andere Angriffe immun, denn es handelt sich meistens um Open-Source-Projekte - jeder kann also den Source anssehen und kurbelt die Exploitwelt sehr gut an.
Deswegen denke ich das Bruteforce kaum mehr möglich ist, dafür aber andere Angriffe.

**Elderan** · 14.11.06, 18:07

Hallo,
also die meisten Systeme auf PHP Basis haben keinen eingebauten Schutz, da es per HTTP doch recht schwer zu realisieren ist.

Denn nur 5 fehl Logins:
Wenn ich dich ärgern will, tipp ich in die Eingabe Maske deinen Username ein und sende dann 5 mal auf Absenden. Jedes mal wird ein falsches PW registiert, und nach dem 5. mal kannst du dich nicht mehr einloggen, was ja schon störend ist.
Ergo entfällt diese Methode.

Das mit der Zeitschleife funktioniert auch nicht so richtig, da ich ja über mehrere Verbindungen die Logindaten an den Server senden kann und wenn die Antwort ob das PW richtig oder falsch war, erst nach 1 Sekunde kommt, ist dann auch egal, wenn ich 100 Verbindungen parallel laufen habe.

Und eine Überprüfung ob die Ip Adresse innerhalb der letzten Sekunde mehr als 5 Login-Versuche unternommen hat, ist doch etwas auffwendiger zu schreiben, in Sicht des Anwendungsentwicklers.

Bei anderen Anwendungen, wo man nur 1 (oder 5) Verbindung pro IP erlaubt, hat man bessere Möglichkeiten, Brute Force durch die Zeitschleife zu unterbinden. Ob Server-Anwendungsentwickler dies aber integrieren ist fraglich.

Denn per Remote erhälst du eh keine so großen Datendurchsätze, um auf eine wirklich große Anzahl an Versuchen/Sek zu kommen.

Gehen wir mal von einen Transfer von 400 Byte pro Login, was sehr wenig ist, da ja die ganzen Header etc. auch noch Platz verbrauchen, und man hat sagen wir mal einen Upstream von 1024 Kbit = 128 KB, so kommt man gerade mal auf 320 Versuche/Sek.
Dazu kommen noch Latenzzeiten, welches die gesamte Kommunikation verlangsamt

Eine Wordlist kann man damit noch durchgehen, bei BruteForce im Rahmen a-z und der Länge 8 würde das schon durchschnittlich über 10 Jahre dauern.

Außerdem fällt solch ein hoher Transfer von einer IP Adresse doch sehr auf und wenn man eine Firewall oder ein IDS hat, wird diese bestimmt Alarm schlagen und/oder die IP Adresse aussperren.

Anzeige

- Anzeige -

14.11.06, 14:43	#1 (permalink)
schmidtl_dd Registriert seit: 02.12.05 Likes: 0	Remote Bruteforce Anzeige Hi, ich bin nicht wirklich auf dem laufenden, daher hier eine Frage: funktioniert remote Bruteforce heute noch? Ich kann mir nur schwer vorstellen das es noch Dienste gibt, keine beschränkungen der Form " ein loginversuch alle 5 sekunden" oder "nach 3 loginversuchen eine stunde pause" haben... Schon wenn ich bloß 30 versuche pro minute machen kann macht bruteforce ja nich wirklich sinn (es sei denn ich habe eine sehr gute, möglicherweise personalisierte wordlist)

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Bruteforce in C++	Hackse	Code Kitchen	10	18.04.12 17:24
Remote Desktop- remote installieren?	b4ck	Windows	3	12.05.07 13:08
BruteForce	Bananshake	(In)security allgemein	1	05.02.02 14:33

14.11.06, 14:49	#2 (permalink)
IsNull Guest Likes:	OffTopic/ Hat dich "Intresse" mit seiner BruteForce-Kiste angesteckt?^^/OffTopic Ich denke, ein aktuelles System ist dagegen Gewappnet. Aber es gibt immernoch sehr viele schlecht gewartete Systeme ohne Updates bei denen es funktioniert. Mit Tools wird dann genau nach diesen Systemen gesucht. MfG IsNull

14.11.06, 15:50	#3 (permalink)
Prometheus Senior Member Registriert seit: 01.01.04 Likes: 0	Dazu muss erstmal eine Remoteverbindung stehen können. Standartmäßig ist kein Remoteserver auf den Rechnern aktiviert. Aber wenn du das Anmeldefenster noch andersweitig öffnen kannst, z.B. bei dem Aufruf der Freigabe, so hast du eher eine Chance bei Win XP Pro, denn bei Home ist die Standarteinstellung das eben kein Anmeldefenster kommt. Manche Fertig-PCs, die ein fertig - installiertes Betriebssystem haben, sind meist auch in der Sicherheit so eingerichtet das nicht erst eine Verbindung zum anderen Rechner über die Freigabe möglich ist. Aber du kommst auch ohne Anmeldefenster an eine Art Anmeldefenster. Bei Windows XP Home hast du nicht die Möglichkeit gewisse Sicherheitseinstellungen wie 4 Anmeldeversuche für die Anmeldung etc. festzulegen, aber dafür bei Pro. Ehrfahrungsgemäß muss ich aber sagen das es nur wenige XP Pro - Anwendern etwas von den Sicherheitseinstellungen/ - richtlinien schon gehört haben und somit für Bruteforce leicht zugänglich machen. Fazit ist, das du bei den meisten Rechnern dein Bruteforce anwenden kannst. Aber was bringt dir Bruteforce? Sogar in der Computerbild stehen für den DAU einige Empfehlungen zum besseren Passwort. Zwar gibt es viele Leute die sagen das die Leute nur sehr einfache Passwörter nutzen, aber wie groß sind die Chancen das dieses Passwort überhaupt in deiner Passwortliste steht? Bruteforce ist uralt und längst aus dem rennen. Selbst die Script-Kiddies nutzen kaum noch BruteForce und nutzen andere Methoden.

14.11.06, 16:13	#4 (permalink)
schmidtl_dd Themenstarter Registriert seit: 02.12.05 Likes: 0	Ich war weniger auf Windows Rechner aus, sondern eher Dinge wie webserver, online-games, ssh zugänge... halt dinge die eine entfernte Anmeldung akzeptieren. Ebensowenig geht es mir um das für und wieder von Bruteforce... mir ist schon klar das ich von einem md5 hash eher eine kollision errechne, als eine via bruteforce zu finden...

14.11.06, 16:34	#6 (permalink)
schmidtl_dd Themenstarter Registriert seit: 02.12.05 Likes: 0	Aber ne echte Statistik hast du nicht? Ich plane nicht selbst so einen Angriff, ein anderer thread warf in mir diese Frage auf, inwieweit "reines Bruteforce auf eingabemasken" heut noch Erfolg bringen kann... Das ich auf eine feste Datenbasis, zu der ich physischen zugang habe, eher evtl mit Rainbowtables losgehe, oder das viele, darunter die von mir verwalteten Systeme, zumindest rudimentäres IPS besitzen (nach nem Scan von > 10 ports in einer Minute oder 3 erfolglosen ssh Einwahlversuchen ist für diese Quelle deny all angesagt) ist mir schon klar...

14.11.06, 16:45	#7 (permalink)
Prometheus Senior Member Registriert seit: 01.01.04 Likes: 0	Reine Statistiken habe ich nicht und ich kann mir auch kaum vorstellen auf welcher Basis man diese erstellen kann. In der heutigen Computerwelt, bastelt sich kaum selbst Jemand ein SSH-Server zusammen oder ein eigenes Onlinegame oder Webseite. Da gibt es Vorlagen, Templates usw. Diese sind höchstwahrscheinlich gegen Bruteforce geschützt, denn das ist die einfachste Angriffsvariante. Dafür ist es aber kaum gegen andere Angriffe immun, denn es handelt sich meistens um Open-Source-Projekte - jeder kann also den Source anssehen und kurbelt die Exploitwelt sehr gut an. Deswegen denke ich das Bruteforce kaum mehr möglich ist, dafür aber andere Angriffe.

14.11.06, 18:07	#8 (permalink)
Elderan Moderator Registriert seit: 30.03.04 Likes: 14	Hallo, also die meisten Systeme auf PHP Basis haben keinen eingebauten Schutz, da es per HTTP doch recht schwer zu realisieren ist. Denn nur 5 fehl Logins: Wenn ich dich ärgern will, tipp ich in die Eingabe Maske deinen Username ein und sende dann 5 mal auf Absenden. Jedes mal wird ein falsches PW registiert, und nach dem 5. mal kannst du dich nicht mehr einloggen, was ja schon störend ist. Ergo entfällt diese Methode. Das mit der Zeitschleife funktioniert auch nicht so richtig, da ich ja über mehrere Verbindungen die Logindaten an den Server senden kann und wenn die Antwort ob das PW richtig oder falsch war, erst nach 1 Sekunde kommt, ist dann auch egal, wenn ich 100 Verbindungen parallel laufen habe. Und eine Überprüfung ob die Ip Adresse innerhalb der letzten Sekunde mehr als 5 Login-Versuche unternommen hat, ist doch etwas auffwendiger zu schreiben, in Sicht des Anwendungsentwicklers. Bei anderen Anwendungen, wo man nur 1 (oder 5) Verbindung pro IP erlaubt, hat man bessere Möglichkeiten, Brute Force durch die Zeitschleife zu unterbinden. Ob Server-Anwendungsentwickler dies aber integrieren ist fraglich. Denn per Remote erhälst du eh keine so großen Datendurchsätze, um auf eine wirklich große Anzahl an Versuchen/Sek zu kommen. Gehen wir mal von einen Transfer von 400 Byte pro Login, was sehr wenig ist, da ja die ganzen Header etc. auch noch Platz verbrauchen, und man hat sagen wir mal einen Upstream von 1024 Kbit = 128 KB, so kommt man gerade mal auf 320 Versuche/Sek. Dazu kommen noch Latenzzeiten, welches die gesamte Kommunikation verlangsamt Eine Wordlist kann man damit noch durchgehen, bei BruteForce im Rahmen a-z und der Länge 8 würde das schon durchschnittlich über 10 Jahre dauern. Außerdem fällt solch ein hoher Transfer von einer IP Adresse doch sehr auf und wenn man eine Firewall oder ein IDS hat, wird diese bestimmt Alarm schlagen und/oder die IP Adresse aussperren.

[HaBo]

Remote Bruteforce