Το προφίλ μας στο Google Plus
0

Wordlist Generation

Για τα brute force attacks όλοι έχουμε ακούσει. Ουσιαστικά, ο επιτιθέμενος επιστρατεύει κατάλληλο λογισμικό με το οποίο προσπαθεί να μαντέψει τον κωδικό πρόσβασης κάποιου χρήστη, μιας υπηρεσίας ή ενός συστήματος, δοκιμάζοντας έναν προς έναν τους κωδικούς που βρίσκονται αποθηκευμένοι σε μια έτοιμη λίστα. Προφανώς, το μυστικό της επιτυχίας έχει να κάνει με το πόσο καλή είναι η λίστα με τους κωδικούς ή αλλιώς το dictionary ή wordlist. Σ’ αυτό και σε επόμενα άρθρα επί του θέματος φιλοδοξούμε να σας δείξουμε πώς να φτιάχνετε τα δικά σας wordlists, τα οποία θα είναι όσο το δυνατόν καλύτερα προσαρμοσμένα στις συνήθειες των Ελλήνων χρηστών. Είμαστε βέβαιοι ότι, πολύ σύντομα, θα διαπιστώσετε πως η δημιουργία ενός καλού wordlist είναι μια διαδικασία απείρως πιο ενδιαφέρουσα και διασκεδαστική, από το ίδιο το brute forcing! Πράγματι, μετά τη δημιουργία ενός καλού wordlist, το brute force attack που ακολουθεί είναι μια μάλλον ανιαρή διαδικασία…

deltaHacker Μαρτίου (τεύχος 006) | Wordlist Generation

Το φάσμα του Penetration Testing σε συστήματα είναι ιδιαίτερα ευρύ. Υπάρχουν πολλά και πολύ διαφορετικά γνωσιακά πεδία που πρέπει να κατέχει κάποιος, προκειμένου να μπορεί να κάνει ένα αποτελεσματικό pentest. Η λογική του penetration testing ξεκινάει από τους κανόνες, τη μεθοδολογία, τις πρακτικές και τις διαδικασίες που πρέπει να ακολουθεί ο pentester, ώστε στο τέλος να αποκτήσει μια ολοκληρωμένη εικόνα για τις αδυναμίες ενός συστήματος.

Privilege escalation και το αιώνιο πρόβλημα με τα passwords
Ειδικά όσον αφορά στο λεγόμενο privilege escalation, ο pentester χρησιμοποιεί λογισμικό με το οποίο προσπαθεί, ουσιαστικά, να μαντέψει το password ενός χρήστη, ο οποίος ενδέχεται να ‘ναι ακόμη κι ο διαχειριστής του συστήματος-στόχου.

Ας μη γελιόμαστε. Τα αδύναμα (weak) passwords ήταν, είναι και θα παραμείνουν μια από τις κύριες αδυναμίες ασφάλειας στα συστήματα γενικότερα. Όσο αποτελεσματικά και αν έχει διασφαλίσει το δίκτυό του από εξωτερικούς κινδύνους ο υπεύθυνος διαχειριστής, αν οι χρήστες είναι απρόσεκτοι και αδιάφοροι για την ασφάλεια του υπολογιστή τους τότε το εσωτερικό δίκτυο θα είναι ένας χώρος-πάρτι — για λίγους ή ακόμη και πολλούς. Σε αρκετές περιπτώσεις, δεν υπάρχουν καν passwords. Σε άλλες, πρόκειται για ακολουθίες αριθμών ή απλές, εύκολα να μαντευτούν λέξεις, όπως 12345, 123456, password κ.ο.κ. Άλλες φορές ο κωδικός καθορίζεται από το ίδιο το username, όπως, π.χ., username=anna και password=anna91. Εδώ καταλαβαίνουμε ότι η μικρή Αννούλα έβαλε τη φαντασία της να δουλέψει. Έτσι, δίπλα στο username της κόλλησε το 91 το οποίο, κατά πάσα πιθανότητα, προέρχεται από το 1991 και είναι το έτος γεννήσεώς της. Μπράβο Άννα, αυτό θα δυσκολέψει σημαντικά τον pentester και σίγουρα θα κρατήσει μακρυά τους επίδοξους εισβολείς :P

Διαβάστε όλο το άρθρο στο deltaHacker Μαρτίου (τεύχος 006). Όλες τις πληροφορίες για τις συνδρομές στο deltaHacker, το μοναδικό μηνιαίο περιοδικό με θεματολογία ethical hacking και infosec που δεν κυκλοφορεί στα περίπτερα, θα τις βρείτε εδώ ακριβώς. Για παραγγελίες μεμονωμένων τευχών ή συνδρομών συμπληρώστε τη σχετική φόρμα.

Σημείωση: Οι συνδρομές μπορούν να ξεκινούν από όποιο τεύχος επιθυμείτε, αρκεί να υπάρχει σε stock.

Leave a Reply

You must be logged in to post a comment.

Σύνδεση

Αρχείο δημοσιεύσεων