Linux computers met zwak wachtwoord eenvoudig doelwit
Onderzoekers hebben vier Linux computers met zwakke wachtwoorden 24 dagen alleen gelaten om te zien hoe hackers ze zouden aanvallen. In iets meer dan de drie weken kregen de machines 270.000 aanvallen te verduren, ongeveer één poging per 39 seconden. Een van de belangrijkste ontdekkingen, hoewel niet zo verrassend, was dat zwakke wachtwoorden het leven van een aanvaller een stuk eenvoudiger maken. Ook het kiezen van betere gebruikersnamen en bijbehorende wachtwoorden maken een groot verschil of iemand succesvol weet in te breken.
Het onderzoek dat door de universiteit van Maryland werd uitgevoerd wilde weten hoe computers worden aangevallen, en wat aanvallers doen als ze eenmaal toegang hebben. De meeste aanvallers gebruiken "dictionary attacks" om de meest voorkomende wachtwoorden te proberen. Tijdens de proef waren uiteindelijk 825 aanvallen succesvol.
De meeste dictionary scripts gebruiken "Root" als login, om precies te zijn in 12,34% van de gevallen. Admin is met 1,63% veel minder populair. In 43% van de gevallen werd de gebruikersnaam ook als wachtwoord geprobeerd.
Eenmaal op het systeem ingelogd bekeken de aanvallers de configuratie, werden wachtwoorden gewijzigd, bestanden gedownload en andere software geinstalleerd. "Zwakke wachtwoorden zijn een echt probleem" aldus een van de onderzoekers.
Vind ik geen slechte score voor 4 linux machines met zwakke
wachtwoorden.
het??? Wat een conclusie...
Overigens moet hierbij vermeld worden dat je een SSH server
(of andere remote shell) hebt draaien, en bij de meeste
distributies mag je daar niet eens met 'root' inloggen...
"Zwakke wachtwoorden zijn een echt probleem"... Je
meent
het??? Wat een conclusie...
Overigens moet hierbij vermeld worden dat je een SSH server
(of andere remote shell) hebt draaien, en bij de meeste
distributies mag je daar niet eens met 'root'
inloggen...
en SSH kan je eenvoudig weer beveiligen, bijv. door gebruik
te maken van DenyHosts (http://denyhosts.sourceforge.net/)
was dat zwakke wachtwoorden het leven van een aanvaller een stuk
eenvoudiger maken.
zonder wachtwoord, iemand?
Windows dat je deze alleen maar lokaal kan gebruiken. Sommige mensen
vinden dit zelfs veiliger dan een Administrator met een slecht wachtwoord.
krijg je als je iemand van MECHANISCHE ENGINEERING zoiets laat
onderzoeken.
Onderzoekers hebben vier bmw auto's met zwakke sloten 24
dagen alleen gelaten om te zien hoe junks ze zouden
openbreken. In iets meer dan de drie weken kregen de auto's
270.000 aanvallen te verduren, ongeveer één poging per 39
seconden. Een van de belangrijkste ontdekkingen, hoewel niet
zo verrassend, was dat zwakke sloten het leven van een junk
een stuk eenvoudiger maken. Ook het kiezen van betere sloten
en bijbehorende sleutels maken een groot verschil of iemand
succesvol weet in te breken.
Het onderzoek dat door de universiteit van Maryland werd
uitgevoerd wilde weten hoe auto's worden opengebroken, en
wat junks doen als ze eenmaal toegang hebben. De meeste
junks gebruiken "kleerhangers" om de meest voorkomende
technieken te proberen. Tijdens de proef waren uiteindelijk
825 aanvallen succesvol.
De meeste voorgebogen kleerhangers gebruiken "een lus", om
precies te zijn in 12,34% van de gevallen. de
schroevendraaier is met 1,63% veel minder populair.
Eenmaal in de auto bekeken de junks de handschoenenkastjes,
werden autoradios gedemonteerd en de auto bevuild. "Zwakke
sloten zijn een echt probleem" aldus een van de onderzoekers.
aanval makkelijker maken. Zoals al eerder gezegt: Remote
inloggen als root (Ik neem aan dat ze die bedoelen, in
plaats van Root) is vaak default uitgeschakeld.
je Linux machine inloggen over SSH met een private key.
Daarnaast gelden uiteraard normale eisen zoals sudo i.p.v.
su, al helemaal nooit als root inloggen en alleen de poorten
/ applicaties openen / starten die nodig zijn.
root
dos
god
mamma
pappa
12345
admin
sysop
en als je je SSH goed wilt dicht maken.
geen SSH op poort 22.
je SSH alleen op trusten IP's laten draaien (doe ik altans)
een paranoid ideoot passwordt instellen voor root die je
zelf weer vergeet.
het aantal inloggen verlagen na 2x
en de tijd voor in te loggen verlagen naar 10 seconden.
wordt krap, maar is te doen.
een van de onderzoekers.<quote>
Zulke onderzoekers ook !
was dat zwakke wachtwoorden het leven van een aanvaller een stuk
eenvoudiger maken.
zonder wachtwoord, iemand?
dat de gebruikers niet eens weten dat er nog een administrator achter
hangt... slecht ook van Microsoft dat je dat account gewoonlijk niet eens
kan zien als gebruiker.
Niet via ssh en niet op de console.
Vindt dan niemand dat zielig?! Dat is bijna, nou ja, ehm, gemeen!
Vier Linux computers met zwakke wachtwoorden 24 dagen alleen
gelaten?
Vindt dan niemand dat zielig?! Dat is bijna, nou ja, ehm,
gemeen!
verrassend,
was dat zwakke wachtwoorden het leven van een aanvaller een
stuk
eenvoudiger maken.
Administrator
zonder wachtwoord, iemand?
xp home
dat de gebruikers niet eens weten dat er nog een
administrator achter
hangt... slecht ook van Microsoft dat je dat account
gewoonlijk niet eens
kan zien als gebruiker.
ehm, daarom het het home???
vind het een behoorlijk opgeklopt verhaal... we weten
allemaal dat een zwak wachtwoord zwakke beveiliging
betekend, maar dat er zelfs een aantal "wetenschappers" dit
willen onderzoeken is toch te triest voor woordne....
SSH-server draaien en is dus niet zo te kraken...misschien
nuttig om te vermelden...
dezelfde zin staan, en je ziet meteen dat elke bezoeker in de verdediging
schiet. De vergelijking met Windows word in de eerste post al gedaan,
de "zwakke wachtwoorden" worden meteen weer aangevallen... Allemaal
om maar duidelijk te maken dat dit niet aan Linux ligt. Meeste mensen hier
schreeuwen waarschijnlijk het liefst de hele dag "Linux is perfect!".
Lieve mensen... Dit onderzoek is geen onderzoek van Microsoft. Ook niet
van een commercieel bedrijf dat "wel weer door Microsoft" omgekocht zal
zijn. Dit is gewoon een simpel onderzoek naar zwak geconfigureerde Linux
machines. Dit staat ook zo beschreven. Geen enkele pro-Windows
persoon reageert hierop. Het is dus een ongelooflijke verspilling van
energie om te gaan verdedigen wat niet eens word afgekraakt...
gegarandeert..
Tijd dat de hele wereld overstapt op openbsd.. veiligheid
gegarandeert..
alles even (on)veilig denk ik ...
die voor dit doel wat handiger kan configureren en bekijken. Ik geloof niet
dat het uitmaakt wélk besturingssysteem je gebruikt om een openbare
service met zwak wachtwoord op te zetten..
Overigens mis ik in het berichtje een mededeling over hoe deze
wetenschappers vervolgens aangifte hebben gedaan tegen de 825
hackers die erin zijn gekomen c.q. 270.000 hackers die het geprobeerd
hebben. Is tenslotte een strafbaar feit.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
