Nieuws
image

Linux computers met zwak wachtwoord eenvoudig doelwit

woensdag 7 februari 2007, 11:57 door Redactie, 23 reacties

Onderzoekers hebben vier Linux computers met zwakke wachtwoorden 24 dagen alleen gelaten om te zien hoe hackers ze zouden aanvallen. In iets meer dan de drie weken kregen de machines 270.000 aanvallen te verduren, ongeveer één poging per 39 seconden. Een van de belangrijkste ontdekkingen, hoewel niet zo verrassend, was dat zwakke wachtwoorden het leven van een aanvaller een stuk eenvoudiger maken. Ook het kiezen van betere gebruikersnamen en bijbehorende wachtwoorden maken een groot verschil of iemand succesvol weet in te breken.

Het onderzoek dat door de universiteit van Maryland werd uitgevoerd wilde weten hoe computers worden aangevallen, en wat aanvallers doen als ze eenmaal toegang hebben. De meeste aanvallers gebruiken "dictionary attacks" om de meest voorkomende wachtwoorden te proberen. Tijdens de proef waren uiteindelijk 825 aanvallen succesvol.

De meeste dictionary scripts gebruiken "Root" als login, om precies te zijn in 12,34% van de gevallen. Admin is met 1,63% veel minder populair. In 43% van de gevallen werd de gebruikersnaam ook als wachtwoord geprobeerd.

Eenmaal op het systeem ingelogd bekeken de aanvallers de configuratie, werden wachtwoorden gewijzigd, bestanden gedownload en andere software geinstalleerd. "Zwakke wachtwoorden zijn een echt probleem" aldus een van de onderzoekers.

Reacties (23)
07-02-2007, 12:09 door SirDice
Een van de belangrijkste ontdekkingen, hoewel niet zo verrassend, was dat zwakke wachtwoorden het leven van een aanvaller een stuk eenvoudiger maken.
Precies. En dat geldt net zo goed voor Windows machines. Administrator zonder wachtwoord, iemand?
07-02-2007, 12:09 door Anoniem
Okee, de wiskunde: 825/270000 = 0,003. Dit is 0,3 procent!
Vind ik geen slechte score voor 4 linux machines met zwakke
wachtwoorden.
07-02-2007, 12:13 door Anoniem
"Zwakke wachtwoorden zijn een echt probleem"... Je meent
het??? Wat een conclusie...

Overigens moet hierbij vermeld worden dat je een SSH server
(of andere remote shell) hebt draaien, en bij de meeste
distributies mag je daar niet eens met 'root' inloggen...
07-02-2007, 12:40 door Anoniem
Door meinonA
"Zwakke wachtwoorden zijn een echt probleem"... Je
meent
het??? Wat een conclusie...

Overigens moet hierbij vermeld worden dat je een SSH server
(of andere remote shell) hebt draaien, en bij de meeste
distributies mag je daar niet eens met 'root'
inloggen...

en SSH kan je eenvoudig weer beveiligen, bijv. door gebruik
te maken van DenyHosts (http://denyhosts.sourceforge.net/)
07-02-2007, 12:48 door Anoniem
Door SirDice
Een van de belangrijkste ontdekkingen, hoewel niet zo verrassend,
was dat zwakke wachtwoorden het leven van een aanvaller een stuk
eenvoudiger maken.
Precies. En dat geldt net zo goed voor Windows machines. Administrator
zonder wachtwoord, iemand?
Administrator zonder wachtwoord zorgd bij de huidige versies van
Windows dat je deze alleen maar lokaal kan gebruiken. Sommige mensen
vinden dit zelfs veiliger dan een Administrator met een slecht wachtwoord.
07-02-2007, 12:49 door Anoniem
tja, zelfs mijn hond kan nog inloggen met ROOT ROOT.. duh... maarja, dat
krijg je als je iemand van MECHANISCHE ENGINEERING zoiets laat
onderzoeken.
07-02-2007, 13:17 door Anoniem
bmw auto's met zwak slot eenvoudig doelwit

Onderzoekers hebben vier bmw auto's met zwakke sloten 24
dagen alleen gelaten om te zien hoe junks ze zouden
openbreken. In iets meer dan de drie weken kregen de auto's
270.000 aanvallen te verduren, ongeveer één poging per 39
seconden. Een van de belangrijkste ontdekkingen, hoewel niet
zo verrassend, was dat zwakke sloten het leven van een junk
een stuk eenvoudiger maken. Ook het kiezen van betere sloten
en bijbehorende sleutels maken een groot verschil of iemand
succesvol weet in te breken.

Het onderzoek dat door de universiteit van Maryland werd
uitgevoerd wilde weten hoe auto's worden opengebroken, en
wat junks doen als ze eenmaal toegang hebben. De meeste
junks gebruiken "kleerhangers" om de meest voorkomende
technieken te proberen. Tijdens de proef waren uiteindelijk
825 aanvallen succesvol.

De meeste voorgebogen kleerhangers gebruiken "een lus", om
precies te zijn in 12,34% van de gevallen. de
schroevendraaier is met 1,63% veel minder populair.

Eenmaal in de auto bekeken de junks de handschoenenkastjes,
werden autoradios gedemonteerd en de auto bevuild. "Zwakke
sloten zijn een echt probleem" aldus een van de onderzoekers.
07-02-2007, 13:18 door Anoniem
Echt nieuw is het natuurlijk niet dat zwakke passwords een
aanval makkelijker maken. Zoals al eerder gezegt: Remote
inloggen als root (Ik neem aan dat ze die bedoelen, in
plaats van Root) is vaak default uitgeschakeld.
07-02-2007, 13:20 door Anoniem
_alle_ wachtwoorden zijn een probleem. Je wil uitsluitend op
je Linux machine inloggen over SSH met een private key.

Daarnaast gelden uiteraard normale eisen zoals sudo i.p.v.
su, al helemaal nooit als root inloggen en alleen de poorten
/ applicaties openen / starten die nodig zijn.
07-02-2007, 14:15 door spatieman
zwakke passworden.
root
dos
god
mamma
pappa
12345
admin
sysop

en als je je SSH goed wilt dicht maken.
geen SSH op poort 22.
je SSH alleen op trusten IP's laten draaien (doe ik altans)
een paranoid ideoot passwordt instellen voor root die je
zelf weer vergeet.
het aantal inloggen verlagen na 2x
en de tijd voor in te loggen verlagen naar 10 seconden.
wordt krap, maar is te doen.
07-02-2007, 14:43 door Anoniem
<quote>"Zwakke wachtwoorden zijn een echt probleem" aldus
een van de onderzoekers.<quote>

Zulke onderzoekers ook !
07-02-2007, 16:31 door Niels B.
Door SirDice
Een van de belangrijkste ontdekkingen, hoewel niet zo verrassend,
was dat zwakke wachtwoorden het leven van een aanvaller een stuk
eenvoudiger maken.
Precies. En dat geldt net zo goed voor Windows machines. Administrator
zonder wachtwoord, iemand?
Muah... je komt het inderdaad TE vaak tegen met een windows xp home
dat de gebruikers niet eens weten dat er nog een administrator achter
hangt... slecht ook van Microsoft dat je dat account gewoonlijk niet eens
kan zien als gebruiker.
07-02-2007, 17:22 door Anoniem
Gelukkig kan je instellen dat je niet als root mag aanmelden.
Niet via ssh en niet op de console.
07-02-2007, 21:13 door Anoniem
Vier Linux computers met zwakke wachtwoorden 24 dagen alleen gelaten?

Vindt dan niemand dat zielig?! Dat is bijna, nou ja, ehm, gemeen!
07-02-2007, 22:48 door Anoniem
Door Anoniem
Vier Linux computers met zwakke wachtwoorden 24 dagen alleen
gelaten?

Vindt dan niemand dat zielig?! Dat is bijna, nou ja, ehm,
gemeen!
Ik vind het verbazingwekkend dat het dan nog 24 dagen duurt.....
07-02-2007, 22:50 door Anoniem
Door Niels B.
Door SirDice
Een van de belangrijkste ontdekkingen, hoewel niet zo
verrassend,
was dat zwakke wachtwoorden het leven van een aanvaller een
stuk
eenvoudiger maken.
Precies. En dat geldt net zo goed voor Windows machines.
Administrator
zonder wachtwoord, iemand?
Muah... je komt het inderdaad TE vaak tegen met een windows
xp home
dat de gebruikers niet eens weten dat er nog een
administrator achter
hangt... slecht ook van Microsoft dat je dat account
gewoonlijk niet eens
kan zien als gebruiker.


ehm, daarom het het home???

vind het een behoorlijk opgeklopt verhaal... we weten
allemaal dat een zwak wachtwoord zwakke beveiliging
betekend, maar dat er zelfs een aantal "wetenschappers" dit
willen onderzoeken is toch te triest voor woordne....
08-02-2007, 00:37 door spooky
Een populaire distributie zoals Ubuntu heeft standaard geen
SSH-server draaien en is dus niet zo te kraken...misschien
nuttig om te vermelden...
08-02-2007, 10:15 door Anoniem
Grappig weer. Er komt een stukje op Security.nl waar "hack" en "Linux" in
dezelfde zin staan, en je ziet meteen dat elke bezoeker in de verdediging
schiet. De vergelijking met Windows word in de eerste post al gedaan,
de "zwakke wachtwoorden" worden meteen weer aangevallen... Allemaal
om maar duidelijk te maken dat dit niet aan Linux ligt. Meeste mensen hier
schreeuwen waarschijnlijk het liefst de hele dag "Linux is perfect!".

Lieve mensen... Dit onderzoek is geen onderzoek van Microsoft. Ook niet
van een commercieel bedrijf dat "wel weer door Microsoft" omgekocht zal
zijn. Dit is gewoon een simpel onderzoek naar zwak geconfigureerde Linux
machines. Dit staat ook zo beschreven. Geen enkele pro-Windows
persoon reageert hierop. Het is dus een ongelooflijke verspilling van
energie om te gaan verdedigen wat niet eens word afgekraakt...
08-02-2007, 11:33 door SirDice
Ik hou niet eens van Linux... Ik vind 't maar niks.. Een samengeraapt zooitje..
09-02-2007, 16:51 door Anoniem
Tijd dat de hele wereld overstapt op openbsd.. veiligheid
gegarandeert..
09-02-2007, 19:08 door Anoniem
Dit onderzoek verdient een igNobel prijs...

gooz
09-02-2007, 20:02 door Anoniem
Door Anoniem
Tijd dat de hele wereld overstapt op openbsd.. veiligheid
gegarandeert..
Met eenvoudige passwords en een (ssh) server aan internet is
alles even (on)veilig denk ik ...
12-02-2007, 11:28 door Anoniem
Wat een verdedigende reacties. Ik denk dat ze linux gebruikten omdat je
die voor dit doel wat handiger kan configureren en bekijken. Ik geloof niet
dat het uitmaakt wélk besturingssysteem je gebruikt om een openbare
service met zwak wachtwoord op te zetten..

Overigens mis ik in het berichtje een mededeling over hoe deze
wetenschappers vervolgens aangifte hebben gedaan tegen de 825
hackers die erin zijn gekomen c.q. 270.000 hackers die het geprobeerd
hebben. Is tenslotte een strafbaar feit.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search