Brute-Force-Angriff (Update)

Was ist ein Brute-Force-Angriff (Brute-Force = Rohe Gewalt)? Bei dieser Methode nutzt man in der Regel einen vorhandenen Pool an Lösungen, um die Richtige herauszufinden. Mit Hilfe von Passwortdatenbanken oder Rainbow-Tables werden bei Brute-Force-Attacken alle Einträge der Datenbanken automatisiert ausprobiert, um bspw. ein E-Mail-Konto, ein WLAN oder einen anderen Zugangspunkt zu knacken (auch: Wörterbuchattacke). In der reinen Lehre versucht man mit dem Ausprobieren aller möglichen Kombinationen Zugänge zu knacken. Der Aufwand ist jedoch zeitlich und von der Rechenleistung her zu groß. Deshalb sind vorhandene Datenpools eine einfachere Möglichkeit und zielen auf den Faktor Mensch, der leichte und beliebte Passwörter nutzt. (IMHO = Wörterbuchattacke und Brute-Force als Einheit gesehen).

Eine Brute-Force-Attacke ist im Grunde ein Angriff durch Probieren. Es geht dabei in der Regel um Passwörter. Brute-Force-Angriffe sind jedoch nur so effektiv wie umfangreich das genutzte Lösungspotential ist. Eine Passwortdatenbank mit 100 Einträgen hat weniger Chance erfolgreich zu sein, als eine Datenbank mit 1.000.000 Einträgen. Trotzdem müssten theoretisch alle existierenden Buchstaben-, Zahlen- und Sonderzeichenkombinationen in einer Datenbank vorhanden sein, oder eine Technik genutzt werden, die wirklich alle existierenden Kombinationen durchprobiert, um wirklich erfolgreich zu sein. Das heisst, dass Passworte wie: Kunt3rBun!#79 genauso wie KunderBundKunterBun!p9998§ oder kjcuqbv8bvV§Wv5w$$HqBbb$# dazu in jeder erdenklichen Sprache erfasst worden sein muss. Das ist eher unwahrscheinlich.

Ein langes und kompliziertes und nicht vorhersagbares Passwort schützt entsprechend vor Brute-Force-Angriffen. Brute-Force ist immer erfolgreich, wenn Nutzer Passwörter wie bspw. Susi1980, Pa$$w0rt! oder admin oder 1234567890 einsetzen. Datenbanken mit einfachen Wörtern und Passwörtern existieren in Unmengen. Auch Algorithmen, die einfach alle Kombinationen ausprobieren, können hier schnell ans Ziel kommen.

Vielleicht interessiert Dich noch:   Directory Traversal

Ich arbeite parallel immer an einigen Projekten und Tests in diesem Bereich und habe mir dafür eine Brute-Force-Datenbank zusammengestellt. Die Datenbank umfasst etwas mehr als 80 Millionen Einträge und hat eine ungepackte Größe von ca. 850 MB.

Ich stelle sie hier als ZIP-Download (ca. 300 MB) zur Verfügung. Das Passwort für die Datenbank, um sie mit 7-zip (http://www.7-zip.de/) zu entpacken, lautet: kowabit

Download hier: https://kowabit.de/bruteforcedbdownload

Viel Spaß!

16 Kommentare Brute-Force-Angriff (Update)

  1. redlady

    Oh, ein Kompromissupdate. ;) Ich kann mit leben, wenn Du das auch kannst. :p

  2. redlady

    @kowa

    Nimm doch Wörterbuch und Rainbow etc. mit auf. Sonst trollt hier jemand wieder. :p

    BruteForce wird immer mit vorgefertigten Listen durchgeführt. Der Erfolg ist einfach größer, wenn auf die Schwachstelle Mensch und billige Passworte gesetzt wird.

    1. Sasunu

      Richtig! Machen wir es wie die social “sciences”: Wozu auf sprachliche Präzision setzen, sie hindert nur an den angestrebten gesellschaftlichen Umwälzungen und diskriminiert. So, wie heute jede GMF unter “Rassismus” abgelegt wird können wir natürlich auch Wörterbuchattacken unter Bruteforce ablegen.

      “In contrast to a brute force attack, where a large proportion of the key space is searched systematically, a dictionary attack tries only those possibilities which are deemed most likely to succeed.”

      1. Wolfgang

        Das ist gelebtes Pentesting. Die Kapazitäten, um systematisch alle Möglichkeiten zu durchsuchen, um tatsächlich ans Ziel zu kommen, sind nicht vorhanden und Wunschdenken.
        Und komm jetzt nicht mit den riesigen Rechenzentren der NSA. Die hat keine PenTestBude und auch kein rumänischer Dorfhacker.

      2. Sasunu

        @Wolfgang:
        Es geht mir um sprachliche Präzision. Wissenschaft und Technik leben mMn von der präzisen, eindeutigen Benennung. Von der Verwendung eindeutiger Begriffe, die den Beteiligten bereits viele Parameter vermitteln (deswegen sind englische Termini mMn gerade auch in IT-Sachen sinnvoll(er, als Deutsche)).

        Eine Wörterbuchattacke benutzt nunmal andere Tools/Methoden, als ein (echtes) Brute Force, auch wenn Beide dasselbe Ziel verfolgen und Beide Rechenleistung verlangen.

        Vielleicht bin ich mit dieser Auffassung aber aussterbend: Natürlich sind Generismen für Popularität besser, einfacher zu verstehen und vermitteln (gerade bei Halbwissen). Sie entsprechen wohl der heutigen (auch universitären) Bildung besser.

      3. Michi

        @sasunu

        AUSSTERBEND! :D

        @kowa

        Doppelter SPAM-Schutz bei den Kommentaren?

      4. SenSey

        @sasunu
        Da bin ich ganz bei Dir. Ein gutes Beispiel dafür ist im englischen in der IT safety und security. Die beiden Wörter haben in der IT unterschiedliche Bedeutungen, während sie im Deutschen einfach nur mit Sicherheit übersetzt werden.

      5. t

        @SenSey

        oder auch die Autorisierung und Authentifizierung. Die Begriffe haben auch in Deutschen unterschiedliche Bedeutungen, werden aber von vielen verwechselt oder gleichgesetzt

      6. never

        Wörterbuchattacken werden in einem Atemzug mit BF gesehen, weil sie dazu gehören. Das Prinzip ist das gleiche. Ausprobieren! Eine Art mit, eine Art ohne Vorgaben.

        Sie sind vom wissenschaftlichen Standpunkt unterschiedlich, aber das spielt keine Rolle im aktiven Pentesting. Alle Werkzeuge nutzen das gleiche Prinzip und kämpfen gegen die gleichen Verteidigungsmechanismen.

        Es ist kleinlich das zu diskutieren. Und die Verknüpfung mit Rassismus … Ernsthaft?

        Religion oder Wissenschaft. Beim Streiten sind es alles Fanatiker.

        @kowa

        Zur Beruhigung präzisiert doch nochmal den Unterschied.

  3. Sasunu

    “Mit Hilfe von Passwortdatenbanken werden bei Brute-Force-Attacken alle Einträge der Datenbanken automatisiert ausprobiert”
    Sorry, Kowa, aber das was Du (auch unten im Text) beschreibst, ist eine “Wörterbuchattacke”¹, kein brute force.
    Brute force ist (u.U.) Schritt 3, nachdem die Wörterbuch-Attacke und erweiterte Wörterbuch-Attacke (inkl Variationen der Wörter – Gross/-Kleinschreibung, Zahlen einfügen, Leet speak) erfolglos war.

    Brute force prüft wirklich alle möglichen Kombinantionen der Zeichen (systematisch) durch. Beispiel a-z, max. 2-stelliges Passwort: a, b, c, …, x, y z, aa, ab, ac, …, ax, ay, az, ba, bb, bc, … … …, zx, zy, zz

    ¹ https://en.wikipedia.org/wiki/Dictionary_attack

    1. kowa, müde

      Ich diskutiere keine religiösen Ansichten.

      Ob Wörterbuchattacke oder der Rückgriff auf Rainbow Tables, oder die automatische Suche mit irgendeinem Algorithmus:

      Brute Force!

      1. NICO

        @sasunu

        hab das immer wie kowa gesehen. kann dir ein bisschen folgen.

        aber: ich finde in allen mir bekannten it-seiten im grunde nur kowas sicht.

        vielleicht doch eher kampf um deutungshoheit? oder fremdsprachliche entwicklungen?

        grundsätzlich für mich egal. hab jetzt nur ne neue liste. für was auch immer für einen angriff.

    2. never

      Du schreibst es doch selbst. Das Ausprobieren von Kombinationen jeglicher Art ist der nächste Schritt, nach bspw. Wörterbuch und Rainbow.

      Das Gesamtpaket ist BF.

      Sichtweisen ändern sich.

      Erst sprach man von IT-Sicherheit, dann von Informationssicherheit, mittlerweile nennt man beides oder einen davon und meint beides. Zu allererst ging es bei IT-Sicherheit um den Schutz der Informationen. Dann präzisierte man auf die Information. Jetzt muss man die IT wieder einbeziehen, weil es eben nicht nur um Informationen geht, sondern auch um Schutz vor Sabotage.

      Anpassung.

Kommentare sind geschlossen.