Problem mit Brutus

[UVA]

Hallo allerseits!

Ich beschäftige mich gerade recht intensiv mit dem Thema Netzwerksicherheit, Passwortsicherheit usw, deswegen arbeite ich zurzeit mit Brutus AET2, bzw versuche ich es.
Bei einem Testlauf, bei dem ich meine Emailadresse als "single user" und eine wordlist mit nur meinem Passwort eingegeben habe, blieb das Ganze bei "engaging target pop3.live.com with POP3" hängen, es wurde kein einziger Versuch durchgeführt, auch nach einer Stunde rührte sich nichts.
Woran kann das liegen? Oder kennt jemand einen anderen, neueren, besseren Bruteforcer?

Danke im Voraus
Mit freundlichen Grüßen
UVA

 

[bitmuncher]

Schau doch einfach mal mit einem Netzwerk-Sniffer nach welche Daten an den Server gesendet werden und welche vom Server kommen. Das Problem könnte z.B. sein, dass Brutus erst prüft ob der Port offen ist und bei einem normalen Ping-Probe keine Antwort bekommt.

bitmuncher@mbp2:~> ping -c 1 pop3.live.com
PING pop3.hot.glbdns.microsoft.com (65.54.62.215): 56 data bytes
^C
--- pop3.hot.glbdns.microsoft.com ping statistics ---
1 packets transmitted, 0 packets received, 100.0% packet loss

bitmuncher@mbp2:~> nmap -p 110 pop3.live.com

Starting Nmap 6.01 ( http://nmap.org ) at 2012-08-07 13:25 CEST
Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn
Nmap done: 1 IP address (0 hosts up) scanned in 3.17 seconds

bitmuncher@mbp2:~> sudo nmap -P0 -p 110 pop3.live.com

Starting Nmap 6.01 ( http://nmap.org ) at 2012-08-07 13:27 CEST
Nmap scan report for pop3.live.com (65.54.62.215)
Host is up.
PORT    STATE    SERVICE
110/tcp filtered pop3

Nmap done: 1 IP address (1 host up) scanned in 2.09 seconds

Da ist also noch eine Firewall vorgeschaltet, die evtl. prüft dass POP3 strikt eingehalten wird, von welcher IP das kommt usw..

 

[UVA]

Hm okay, ich bekomme mehr oder weniger das gleiche ergebnis

Starting Nmap 6.01 ( http://nmap.org ) at 2012-08-07 14:05 Mitteleuropäische Sommerzeit
NSE: Loaded 93 scripts for scanning.
NSE: Script Pre-scanning.
Initiating Ping Scan at 14:05
Scanning pop3.live.com (65.54.62.215) [4 ports]
Completed Ping Scan at 14:05, 2.52s elapsed (1 total hosts)
Nmap scan report for pop3.live.com (65.54.62.215) [host down]
NSE: Script Post-scanning.
Read data files from: C:\Program Files\Nmap
Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn
Nmap done: 1 IP address (0 hosts up) scanned in 5.43 seconds
Raw packets sent: 8 (304B) | Rcvd: 0 (0B)

Gibt es da eine einfache Möglichkeit das zu umgehen? Ich will ja lediglich die grundlegende Funktionalität testen, ohne da jetzt irgendwelche großen Aktionen zu starten..

 

[bitmuncher]

Nutze zum Testen einfach einen lokal installierten Mailserver.

 

[Yebexu]

Ich würde an dieser Stelle mal die Frage stellen, was du machst, wenn die Pozilei bei dir vor der Tür steht. Das ist nach dieser Aktion nicht unwahrscheinlich, da Microsoft ihre Server gut überwacht. Und das was du da machst verstößt gegen mindestens 3 Gesetze.
Abgesehen davon, dass das Tool, was du nutzt in Deutschland illegal ist ("Hackerparagraph") und du damit theoretisch nicht einmal deine eigenen Systeme scannen dürftest greifst du damit gerade einen Server einer der größten und mächtigsten IT-Firmen der Welt an.
Bist du dir sicher, dass das ne gute Idee ist?
Und dabei ist es vollkommen egal, ob du deine eigene Email "knacken" willst oder irgnedeine andere.
Abgesehen davon ist das Prinzip des Brute-Force seit Dekaden bekannst, meinst du nicht, dass die eventuell den einen oder anderen Schutzmechanismus eingebaut haben? Selbst wenn du aaaaa als passwort benutzen könntest (nach Microsoft-Richtlinien) würdest du per Brute-Force Jahrzehnte brauchen.

Nur als kleiner Tipp am Rande.

Nutze zum Testen einfach einen lokal installierten Mailserver.

Da kannst du dann auch die Sicherheitseinstellungen ausschalten, falls vorhanden...

 

[MCStreetguy]

Da muss ich Yebexu leider recht geben...
Brutus ist nicht ganz legal wenn du es dazu verwendest Internet-Passwörter herauszufinden... Ausserdem muss ich ganz ehrlich zugeben:
So ganz begeistert hat es mich in Thema Leistung nicht...
Eine Brute-Force auf einen lokalen Server bei mir wurde abgebrochen weil "Die Wahrscheinlichkeit das die Erde eine Scheibe ist größer ist als dieses Passwort herauszufinden..."
Ich kann nur "Cain & Able" sagen aber das ist ein bisschen komnplizierter als Brutus...
Aber wie bereits gesagt: WAS DU VORHAST IST ILLEGAL
lass es besser

 

[bitmuncher]

Stellen wir mal ein paar rechtliche Dinge klar. Da nur ein valides Passwort mit einem validen Login-Namen verwendet wird, ist das nicht illegal. Es handelt sich aus technischer Sicht dabei um einen simplen Login, da nirgendwo vorgeschrieben ist, dass man sich bei einem POP3-Server auch mit einem POP3-Client anmelden muss. Was anderes wäre es, wenn verschiedene Passwörter ausprobiert würden, weil es sich dann um einen Bruteforce handeln würde. Somit ist also ein solcher Login-Test absolut legal, auch wenn er auf einem lokal installierten Mailserver sicherlich sinnvoller wäre. Illegal wird es erst, wenn mehrere Passwörter durchprobiert werden.

Auch der Besitz von Tools wie Brutus ist keineswegs per se strafbar. Da ist wohl mal wieder jemand auf die CCC-Propaganda reingefallen. Das Gesetz sagt dazu eindeutig:

Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er
...
2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,
herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.

Der Besitz eines solchen Tools wird also erst dann strafbar, wenn man damit eine Straftat vorbereitet oder durchführt. D.h. im Klartext, dass bei einem Verfahren wegen eines Angriffs auf ein IT-System auch der Besitz solcher Tools dem Beschuldigten zur Last gelegt werden kann, was im Normalfall das Strafmaß entsprechend erhöht. Wären solche Tools tatsächlich grundlos verboten, hätten wir als Sysadmins wohl echte Probleme bei der Absicherung unserer Systeme.

Ich hoffe wir können das Thema Legal/Illegal hiermit abschliessen und zum technischen Teil der Frage zurückkehren. Im Optimalfall natürlich dann, wenn UVA sich einen lokalen Mailserver für seine Tests eingerichtet hat. Nur dann lässt sich Brutus nämlich sinnvoll testen, weil man nur dann weiss welche Sicherheitsmaßnahmen verwendet werden.

 

[MCStreetguy]

Das technische Problem kann an vielem liegen...
Aber um Probleme zu vermeiden wäre ein lokaler Server zum testen nicht schlecht... Allerdings ist das Tool wenn man das Passwort kennt und in die Word-List schreibt ja auch schnell fertig und ein wirklicher Test ist das nicht...
Solang man das ganze nicht zu rechtswidrigen Zwecken einsetzt kann man als Test auch Brute-Force verwenden aber wie ich schon sagte:
Das Tool ist da nicht wirklich Leistungsstark...