[Tech] pentesting e italia

[Marco Ermini]

On 6/14/06, fabio nigi <nigifabio@gmx.it> wrote:
> ciao a tutti,
> ho un pochino di tempo in questo giorni e mi diverto a fare pentesting
> in casa mia ;-)

Mi raccomando, là deve rimanere... anche se indubbiamente uscire di
casa è molto più istruttivo ;-)


> stavo provando hydra, un tool che permette di fare bruteforcing di
> accoppiatte user/password per praticamente tutti i protocolli conosciuti.
>
> mentre provavo ho pensato che buona parte dei file contenenti liste di
> utenti e password sono inglesi.
>
> mi sono sorti 2 dubbi:
> esiste da qualche parte una lista di password "didicata" all italiano
> sia per nomi di utenti e password?che da noi si trovano più giovanni che
> john ;-)

Che io sappia, non ce ne sono di liberamente disponibili. Chi lavora
in questo settore se ne ricava in vari modi, dai dizionari su CDROM al
dizionario di aspell (che è un po' scarsino). Per i nomi ti serve un
dizionario specifico.

In realtà, ben pochi usano il proprio nome o una semplice parola come
username e password; un buon tool deve essere in grado di usare i
dizionari in modo "scrambled", mescolando con date e numeri, e
"storpiando" le parole stesse.


> esiste un qualche tool che genera tutte le possibile combinazioni di
> caratteri fino a n?in modo tale poi da poterle tagliare nel caso sappia
> a priori che ho una password è lunga per esempio 6 caratteri, e avendo
> la certezza alla fine di aver provato tutte le possibili combinazioni.

Questo è un programma talmente stupido da realizzarsi da soli che non
credo nemmeno esista in giro... :-) comunque un buon tool di
penetration testing è già in grado di farlo.

Comunque, i migliori tool in questo campo, purtroppo, NON sono open source...


> dal lato opposto:
> come posso dire ai vari demoni in ascolto da ftp a ssh passando per il
> login, quanto e come aspettare prima di riproporre un nuovo login quando
> viene sbagliato?

Questo è specifico dei software che stai usando. Tutti i software
migliori permettono di specificarlo. La man page del programma
specifico ti sarà di aiuto.

A seconda del tipo di autenticazione utente che usi, è anche possibile
impostare "globalmente" una cosa simile. Per esempio, usando
tcpwrappers o pam. Ma questo comunque è assolutamente inutile dal
punto di vista della sicurezza ed è pericoloso per te stesso... che
succede se sbagli *tu* a connetterti al sistema? :-)

Non serve a nulla, perché se qualcuno vuole causarti davvero un DoS,
non attacca da un solo IP. Un solo IP non è generalmente sufficiente a
causare un DoS e comunque può essere individuato e bloccato facilmente
- un buon ISP dovrebbe avere già in casa i tool per scoprire e
bloccare automaticamente questo genere di attacchi. Se qualcuno vuole
davvero causarti un DoS, ti attaccherà con migliaia di zombi.... e
allora hai voglia a bloccare gli indirizzi IP, probabilmente il router
che hai di fronte è già morto ;-)


> è possibile dopo N tentativi non permettere più a un ip di connettersi
> per N tempo (come lo script che bloccava gli ip nel periodo di enormi
> attacchi su ssh ma per ogni demone)?

Non so di quale script stai parlando, ma ssh già di default ti
disconnette dopo 3 tentativi errati di autenticazione. Se vuoi evitare
ulteriori tentativi ci sono molti modi in cui puoi fare.

Ma, ripeto, è pura accademia


Ciao
-- 
Marco Ermini
Dubium sapientiae initium. (Descartes)
root@human # mount -t life -o ro /dev/dna /genetic/research
http://www.markoer.org/ - https://www.linkedin.com/in/marcoermini