» continua
Sapete se le vostre applicazioni Web sono imminu da attacchi di autenticazione? Avete speso del tempo per analizzare come le vostre credenziali di account possono essere crackate? Le password e i meccanismi di Web login rappresentano infatti un rilevante punto debole che merita una seria attenzione.
Moltissimi siti Web sono considerati "sicuri" semplicemente perché usano meccanismi Secure Sockets Layer (SSL). Ma le cose sono ben diverse. A differenza del sistema operativo e degli archivi degli account che dispongono di forti controlli delle password (semplici da implementare e da far osservare), i controlli dell'autenticazione alle applicazioni Web sono tutta un'altra cosa.
Questa disparità nei livelli di sicurezza è la base delle vulnerabilità del login Web ed è il motivo per cui le password sono spesso facilmente crackate. Siano esse basate su form, HTTP Basic o NT LAN Manager (i tre principali tipi di autenticazione in uso presso la maggior parte delle applicazioni), ciascuna di queste password può essere crackata quando i controlli di login non sono configurati a dovere.
Di seguito riportiamo alcune del più comuni vulnerabilità che riteniamo possano facilmente portare un malintenzionato al cracking delle Web password.
- Non c'è alcun blocco a un'intrusione dopo un certo numero di tentativi falliti
- Il tempo di blocco di un'intrusione è troppo breve
- Sono permessi login simultanei dallo stesso host o da più host
- Il traffico di login viene trasmesso tramite HTTP e non attraverso SSL
Sono ancora molte le applicazioni Web che mostrano questi comuni punti deboli. E ciò vale sia nel caso di un'applicazione Web in-house sia in quello di un software Web per l'email/e-commerce o altro, sia ancora di un'interfaccia Web su un'infrastruttura di rete critica come firewall, router o accessi fisici ai sistemi di controllo.
Per iniziare a eseguire il vostro password cracking, dovete sapere quali sono i sistemi disponibili per i test. Tutto ciò di cui avete bisogno è un semplice port scanner come il noto (e gratuito) SuperScan. Sul lato commerciale, i prodotti per individuare le vulnerabilità Web spesso integrano propri tool di Web finder, come WebInspect di SPI Dynamics con il suo Web Discovery o Web Vulnerability Scanner di Acunetix con il suo Target Finder (mostrato qui di seguito).
Per quanto riguarda il cracking, vi sono molti strumenti che funzionano bene. Un esempio interessante è il tool gratuito Brutus AET2. Brutus può essere usato per crackare sia HTTP Basic sia le password basate su form avvalendosi di attacchi ai dizionari e attacchi brute-force, il che lo differenzia nettamente da altri tool. Come accade con la maggior parte degli strumenti per il password-cracking, basta inserire l'indirizzo IP, selezionare alcune opzioni e quindi fare clic su Start.
Se usate UNIX o Linux oppure avete Cygwin sul vostro sistema, potete usare il tool gratuito THC-Hydra che può eseguire il crack contro l'autenticazione HTTP-NTLM e altro ancora. Esistono anche tool commerciali per vari tipi di cracking dell'autenticazione Web, come per esempio Web Brute di HP, che fa parte della dotazione di WebInspect.
Infine, i tool Cain e Abel possono essere usati per effettuare il cracking delle password Web in un modo differente. La funzione principale di Cain è di analizzatore di rete. Quando è collegato a una porta span/mirror su uno switch Ethernet, cattura tutte le password Web in chiaro.
|
|
In sostanza, per il cracking delle password Web potete disporre di buoni tool e di tecniche di facile applicazione. Pur essendo questa un'operazione semplice, è importante ricordare che non deve essere presa alla leggera. Trattatela come un formale test di penetrazione e pianificate attentamente tutti i passaggi, compreso l'ottenere il permesso per un piano di fall-back. Procedete con cautela e dotatevi di una buona serie di dizionari - come quelli qui e qui - e sarete sulla strada giusta verso una migliore sicurezza del vostro sito Web.
