Peter Wiersig wrote:
On Wed, Apr 24, 2002 at 07:37:10PM +0200, Philipp Zacharias wrote:
Hi Peter,
Am Mittwoch, 24. April 2002 19:27 schrieb Peter Wiersig:
On Wed, Apr 24, 2002 at 06:38:16PM +0200, Bernd Brodesser wrote:
nicht so eine große Gefahr, da die einlogprogramme künstlich länger dauern. Wenn da einer mit Brutal Force rein will, braucht das Jahre.
Falsch.
schön, dass Du die Antwort weißt, aber alle anderen, die den Thread verfolgen, würden da auch nähere Infos dazu kriegen.
Genau die fand ich zum Versandzeitpunkt nicht.
Hab mir gerade die Zeit geklaut um es auszugraben:
Es gab ein Paper von einem der SuSE-Security-Spezialisten zu diesem Thema. Sebastian Krahmers alte Linux-Seiten:
http://www.cs.uni-potsdam.de/homepages/students/linuxer/ok.html
tad.tar.gz 08/02/01 24.27Kb Multithreaded bruteforcer plus paper. README "Threads against delay =====================
tad exploits common failure in UNIX server design with authentication: forking off a child, let parent handle next request and let child handle the proto. At this point the child does the authentication which is almost all simple password-auth. When wrong password is supplied it sleeps for, lets say, 5 seconds, and then gives back failure. The bug inhere is that tad calculates the time the response should be sent in and takes it for a failure when this threshold is overriden. Along with a clever written multithreaded core, we can reach (depends on net) a very high rate of guesses per second. (e.g. 24 pwds/second even when server delays 5 seconds after failure). "
Peter
2^56 ~ kombinationen macht bei 24 pw/s ~ 97612351 Jahre *rofl Gruss Frank