Patator – testando a segurança de suas senhas e seus sistemas

Patator é uma ferramenta desenvolvida em python que tem como objetivo realizar teste de bute-force nos mais diferentes tipos de protocolos e tecnologias. Vejam a listagem abaixo:

 * ftp_login     : Brute-force FTP
 * ssh_login     : Brute-force SSH
 * telnet_login  : Brute-force Telnet
 * smtp_login    : Brute-force SMTP
 * smtp_vrfy     : Enumerate valid users using the SMTP VRFY command
 * smtp_rcpt     : Enumerate valid users using the SMTP RCPT TO command
 * finger_lookup : Enumerate valid users using Finger
 * http_fuzz     : Brute-force HTTP/HTTPS
 * pop_login     : Brute-force POP
 * pop_passd     : Brute-force poppassd (not POP3)
 * imap_login    : Brute-force IMAP
 * ldap_login    : Brute-force LDAP
 * smb_login     : Brute-force SMB
 * smb_lookupsid : Brute-force SMB SID-lookup
 * vmauthd_login : Brute-force VMware Authentication Daemon
 * mssql_login   : Brute-force MSSQL
 * oracle_login  : Brute-force Oracle
 * mysql_login   : Brute-force MySQL
 * pgsql_login   : Brute-force PostgreSQL
 * vnc_login     : Brute-force VNC
 * dns_forward   : Brute-force DNS
 * dns_reverse   : Brute-force DNS (reverse lookup subnets)
 * snmp_login    : Brute-force SNMPv1/2 and SNMPv3
 * unzip_pass    : Brute-force the password of encrypted ZIP files
 * keystore_pass : Brute-force the password of Java keystore files

Me chamou a atenção a boa documentação e a simplicidade de suas variáveis, além é claro de ser multiplataforma.. 🙂

O download da versão 4.0 poderá ser feito a partir do seguinte link

O Fail2ban é uma solução bem interessante para aqueles que desejam bloquear ataques de brute force em seus servidores linux/unix. Ele se entrega ao Iptables, criando regras que bloqueiam os endereços ips que tentaram, sem sucesso, mais de x vezes (pré-configurado por você) a acessar um determinado serviço.

O problema é a monitoração de serviços de e-mail, http e https por ele. EU já tive problemas devido a proxies. Um único ip sendo utilizado por milhares de usuários dá dor de cabeça, mas nada que um tuning no fail2ban que não resolva. 🙂

P.S.: Um leitor passou a dica de utilizar a ferramenta http://www.mztg.org/ para geração dos dicionários que serão necessários para rodar o Patator — Valeu Jairo..

P.S.S.: Vários colegas e amigos apontaram outras ferramentas que executam a mesma tarefa. Vejam, o Patator é uma alternativa, um plus para aqueles que desejam testar a segurança das senhas em seus ambientes. Sou a favor de softwares e soluções diferentes, mas fáceis de serem utilizadas.  Desculpem-me se não deixei claro.. 🙂

Compartilhar:
Tags: , , , , , , ,

Este post tem 7 comentários

  1. Jairo

    6 nov 2012

    Bacana.. isso com o http://www.mztg.org/ vai virar uma arma.
    Testarei a noite. 😀

  3. Marcos Pitanga

    6 nov 2012

    Veio, não já conseguimos fazer isso com Hydra, Medusa e John the Ripper?

    Quanto a Wordlists não já temos o CUPP e CRUNCH?

  4. caio abreu ferreira

    6 nov 2012

    Outro software interessante é o DenyHosts[1]. O software cadastra de forma automática no arquivo hosts.deny os IP que tentaram realizar algum tipo de brute force.

    1-http://denyhosts.sourceforge.net

  5. x86_g

    6 nov 2012

    Muito bom, gostei Fail2Ban , iptables..

  6. Gustavo Lima

    6 nov 2012

    Pitanga, claro que sim. O Patator é uma alternativa, palavra que faltou no artigo.

  7. Jairo

    6 nov 2012

    Marcos Pitanga, a idéia desse é ir um pouco mais além.
    Imagina que você gera uma wordlist copiando a timeline do usuário no facebook.

    Feito isso você seleciona esse aquivo no mztg e manda ele fazer uma análise para adicionar alguns dos nos mais de 200 pequenos dicionários que já vem nele.

    Após isso você seleciona o formato do ataque (ok, CUPP e CRUNCH fazem essa parte).
    De acordo com as senhas que andaram vazandopor aí, fiz uma analize dos formatos mais comuns. 😛

    Em seguida você tem um controle de letras maiusculas nas wordlist.
    Geralmente usuários usam tudo maiuscula ou somente 2 letras maiusculas por palavra.
    O MZTG faz todas as variações de possivels de acordo com o que for parametrizado.

    Também os formatos estão parametrizados de acordo com o tamanho da senha.

    Talvez eu até adicione um botão para sugerir os ataques de acordo com a idade.
    http://esetireland.files.wordpress.com/2011/06/eset_ie_survey_11.jpg

    A idéia desse é mesclar a Eng. Social no processo para ir “um pouco” além dos existentes.

    E ser algo gráfico e simples. 😉

    “Como funciona?” -> http://www.mztg.org/index-ptbr.html

    Abraços

Deixe uma resposta

Newsletter

Facebook Twitter Linkedin-in Youtube
Menu

2019 © Todos os direitos reservados.

Fechar Menu