-
Brute-Force
Autor: bentol 06.08.15 - 12:22
Ist es tatsächlich so einfach möglich, Serverpasswörter durch Brute Force zu knacken? Die langsame Verbindung müsste doch allein dafür sorgen, dass so ein Angriff Jahrzehnte dauert.
Oder hatten da ein paar Herren admins mal wieder 1234 als Passwort gewählt? Kann man die fehlende Geschwindigkeit vielleicht über parallele Angriffe kompensieren? Also, indem man es am vielen Servern gleichzeitig versucht? -
Re: Brute-Force
Autor: amb0ss 06.08.15 - 12:34
Das Thema muss man differenziert betrachten. Es liegt hier einfach an der Masse, d.h. die Erfolgsquote ist gering, aber die Anzahl der gehackten Systeme dennoch beachtlich. Erstmal werden ganze IP Bereiche gescannt. Danach werden die Schwachstellen, z.B. offene Ports für das Management gesucht, teilweise geschieht das auch gleich parallel. Danach beginnen die Attacken, wie hier z.B. mittels BruteForce. Bei der hohen Anzahl an verfügbaren Servern wird immer ein kleiner Teil nur leicht geschützt sein (einfache Passwörter). Heutzutage kann ja jeder einfach und günstig "root" Server mieten und betreiben, da fehlt es teilweise auch einfach am Hintergrund-/ Fachwissen der "Administratoren".
Da im Artikel auch angesprochen wird, dass viele der betroffenen Server nicht durch eine Hardware-Firewall geschützt sind, lässt dies die Annahme zu, dass es sich hier oftmals um Co-Location, Kleinfirmennetzwerke oder Privatnetzwerke handelt.
1 mal bearbeitet, zuletzt am 06.08.15 12:35 durch amb0ss. -
Re: Brute-Force
Autor: eHug 06.08.15 - 12:59
bentol schrieb:
--------------------------------------------------------------------------------
> Ist es tatsächlich so einfach möglich, Serverpasswörter durch Brute Force
> zu knacken? Die langsame Verbindung müsste doch allein dafür sorgen, dass
> so ein Angriff Jahrzehnte dauert.
> Oder hatten da ein paar Herren admins mal wieder 1234 als Passwort gewählt?
> Kann man die fehlende Geschwindigkeit vielleicht über parallele Angriffe
> kompensieren? Also, indem man es am vielen Servern gleichzeitig versucht?
Ich z.B. hatte einen Kunden im Automobilbereich, der auf ein unsicheres Passwort , dass aus dem Namen eines Formel1-Fahrers und einer einstelligen Zahl zusammengesetzt war, bestand. Er würde sich eher von mir trennen als von dem Passwort - das war seine Aussage, als ich ihn auf die Gefahr eines Hacks hingewiesen habe. Da habe ich mich dann von ihm getrennt, aber einige sind halt auf solche Kunden angewiesen.
1 mal bearbeitet, zuletzt am 06.08.15 12:59 durch eHug. -
Re: Brute-Force
Autor: lala1 06.08.15 - 19:21
Ganz ehrlich Respekt für deine Konsequenz. Das ist dann keine Basis der Zusammenarbeit wenn ein Kunde so reagiert.



