0
Blog|IT News|Brute-Force: Passwort-Diebstahl leicht gemacht.|
22.04.2021 | Nicola Kraut
netGoose - IT News

Brute-Force: Passwort-Diebstahl leicht gemacht.

netGoose ** veröffentlicht Auszüge aus Log-Server.** Wer heutzutage der Meinung ist, dass Brute-Force-Attacken eher eine Ausnahme als die Regel sind, der liegt gelinde gesagt mehr als falsch. Wir von netGoose zeigen Euch anhand der Log-File-Auszüge unseres Mailservers, wie viele Angriffe innerhalb eines Monats gestartet wurden und wie wir diese abwehren.

https://s3.netgoose.de/netgoose-web-prod/net_Goose_brute_force_attac_8a6013b1ae_3414d5e4ee.jpg

Foto: Pixabay

Bevor wir in die Tiefe gehen, lasst uns einmal klären:

Was genau ist eine Brute-Force-Attacke eigentlich?

Brute-Force heißt übersetzt so viel wie „rohe Gewalt“ und basiert auf dem Trial-and-Error-Prinzip. Also dem Ausprobieren möglicher Lösungen, bis der erhoffte Erfolg eintritt. Diese Taktik kommt meist zur Anwendung, wenn keine besseren Methoden zur Verfügung stehen. Das ist auch der Grund, weshalb sich Hacker dieser Technik so gerne bedienen, um Passwörter zu knacken. Bitte stellt Euch nun keine Person vor, die händisch versucht einen Login zu knacken. Hierfür wird eine Software eingesetzt, die verschiedene Zeichenkombinationen (Buchstaben, Zahlen, Sonderzeichen) in schneller Abfolge testet.

Klar ist, je kürzer das Passwort, desto schneller zeigt die Brute-Force-Methode Erfolg. Daher empfehlen wir möglichst lange, kryptische Passwörter aus mindestens zwölf Zeichen zu verwenden. Klassiker wie „Passwort“ als Passwort oder logische Zahlenfolgen 1234 sind absolute No-Go´s.

Sind die Basics geklärt, kommen wir nun zum brisanten Teil der Geschichte.

Warum Du Brute-Force-Attacken ernst nehmen solltest

Welche Schäden entstehen können, wenn ein Login gehackt wird, müssen wir wohl nicht explizit betonen. Da ist vom Imageschaden durch Spammails bis hin zum finanziellen Ruin alles dabei. Viel interessanter finden wir die Tatsache, dass bereits einen Monat – also unmittelbar nach Aufsetzen unseres Mailservers – Brute-Force-Attacken auf unserem Log-Server protokolliert wurden. Zur Info: Ein Logserver speichert alle Protokolle von anderen Systemen, wie hier beispielsweise unserem Mailserver. Die Protokolle bleiben damit auch nach einem Angriff manipulationssicher gespeichert. Kommt kein Log-Server zum Einsatz, müssen die Log-Dateien auf den jeweiligen Servern manuell ausgewertet werden, was oft vernachlässigt wird und Angriffe somit unbemerkt bleiben. Hier am besten einmal beim IT-Beauftragen nachhaken, ob da wirklich alles passt.

Nun lasst uns einen Blick auf die Log-Files des netGoose Mailservers werfen

Der Auszug des Protokolls ist vom 15.04.2021 - 15:14 bis 15:18 Uhr (4 Minuten)

15:18:57.445 SMTP Attempting to login user: majordom@netgoose-mail.de 15:18:36.304 SMTP Attempting to login user: four@netgoose-mail.de 15:18:28.523 SMTP Attempting to login user: altair@netgoose-mail.de 15:18:07.452 SMTP Attempting to login user: parfum@netgoose-mail.de 15:18:06.558 SMTP Attempting to login user: maja@netgoose-mail.de 15:17:46.883 SMTP Attempting to login user: alstroemeria@netgoose-mail.de 15:17:43.331 SMTP Attempting to login user: maxime@netgoose-mail.de 15:17:26.326 SMTP Attempting to login user: suzuki@netgoose-mail.de 15:17:14.917 SMTP Attempting to login user: mais@netgoose-mail.de 15:17:05.166 SMTP Attempting to login user: alsophila@netgoose-mail.de 15:16:37.774 SMTP Attempting to login user: rani@netgoose-mail.de 15:16:24.658 SMTP Attempting to login user: alsop@netgoose-mail.de 15:16:24.470 SMTP Attempting to login user: maintenance@netgoose-mail.de 15:16:09.482 SMTP Attempting to login user: chuck@netgoose-mail.de 15:15:39.834 SMTP Attempting to login user: alsine@netgoose-mail.de 15:15:37.100 SMTP Attempting to login user: rodina@netgoose-mail.de 15:15:33.522 SMTP Attempting to login user: maint@netgoose-mail.de 15:15:25.331 SMTP Attempting to login user: kp@netgoose-mail.de 15:15:01.483 SMTP Attempting to login user: alsinaceae@netgoose-mail.de 15:14:42.140 SMTP Attempting to login user: maine@netgoose-mail.de 15:14:36.530 SMTP Attempting to login user: show@netgoose-mail.de 15:14:19.630 SMTP Attempting to login user: alshain@netgoose-mail.de 15:14:06.358 SMTP Attempting to login user: gifts@netgoose-mail.de

Welche Auffälligkeiten sind festzustellen?
Die Attacken gingen von verschieden IP-Adressen aus (diese können wir aus datenschutzrechtlichen Gründen nicht veröffentlichen). Die Muster der Angriffe sind gleich (zeitlicher Rhythmus, ähnliche Benutzernamen, etc.) daher vermuten wir, dass es sich um ein sog. BotNetz (zur Erklärung siehe Wikipedia-Eintrag) handelt.

Der netGoose-Mailserver besitzt eine Auto-Ban Funktion. Diese sorgt dafür, dass nach mehrfach wiederholten Login-Versuchen von derselben IP-Adresse diese automatisch gesperrt wird. Da es sich hier jedoch um unterschiedliche IP-Adressen handelt, greift der Auto-Ban nicht. Die Angreifer variieren die verwendeten Login-Adressen ebenfalls, was ein automatisiertes Sperren schwierig machen. Bei netGoose werden in den Log-Files standardmäßig keine Passwörter mitprotokolliert. Allerdings gehen wir davon aus, dass die verwendeten Passwörter aus den einschlägigen Top1000 Listen der meistverwendeten Passwörter stammen (siehe hier).

Server können Fake-Anfragen nicht von regulären Login-Anfragen unterscheiden. Hätte nun einer unserer Kunden ein schwaches E-Mail-Passwort, wäre der Account irgendwann gehackt. Als kleiner Anhaltspunkt, um Euch nochmal die Dringlichkeit der Wahl eines geeigneten Passwortes zu verdeutlichen:

Alleine in diesen 4 Minuten wurden 47 Angriffe gestartet.
Im März waren es insgesamt 380.000 Attacken, das sind 8 Versuche pro Minute.

Fazit:

Kein System ist sicher, Attacken laufen die ganze Zeit, sichere Passwörter sind essenziell! Hast Du ein schwaches Passwort bei Deinem E-Mail-Anbieter hinterlegt, solltest du dies dringend ändern.

Unsere Passwort-Empfehlung:

  • mindestens 12 Zeichen (Untergrenze einer als sicher geltenden Passwortlänge)
  • kryptisch (keine einzelnen Wörter, Namen, Wortketten, etc.)
  • enthalten sein muss mindestens eine Zahl, ein Kleinbuchstabe und ein Symbol (dies dient vor allem dazu, dass Nutzer nicht einfach Wortketten verwenden, z.B. „ichmagdiegans“.
  • das Passwort darf nicht dem Benutzernamen entsprechen

noch besser ist, wenn möglich, die 2-Faktor-Authentifizierung zu aktivieren.

Solltet Ihr Fragen zum Thema Passwort bzw. Brute-Force haben, kommt gerne auf uns zu!

Eure Nicola
von netGoose – Cloud aber sicher!

Zurück zur Übersicht

Mehr Infos zu:

> IT News

netGoose GmbH

Flößerstr. 17

86415 Mering

Telefon: 08233 21493-0

Telefax: 08233 21493-91

Mail: info@netgoose.de

Besuche uns auch hier: