Ataques de contraseña forzada

Lea esto primero antes de publicar en cualquier lugar!
Avatar de Usuario
Leviatan21
Lider phpBB Argentina
Lider phpBB Argentina
Mensajes: 1993
Registrado: Mié Nov 25, 2009 4:43 pm
Ubicación: Buenos Aires, Argentina
Contactar:

Ataques de contraseña forzada

Mensaje sin leer por Leviatan21 » Mar Ene 19, 2010 6:39 pm

Patrocinador

Hola,

En la última semana, ha llegado a nuestra atención que phpBB.com fue atacado sin éxito por un usuario malintencionado tratando de forzar la contraseña del inicio de sesión de cuentas. Este ataque fue facilitado por una consulta para "powered by phpbb" en un motor de búsqueda. Aunque este ataque no tuvo éxito porque phpBB incluye varias funciones para garantizar que no es vulnerable a estos ataques, los usuarios deben tomar medidas para garantizar que sus foros están adecuadamente protegidos.

Anatomía de ataque
Para realizar el ataque, el atacante registra una cuenta en el Foro y comprueba que la lista de miembros (memberlist.php) está disponible, para así obtener listas de usuarios. El atacante, a continuación, utiliza un proceso automatizado para iniciar sesión y Descargar miles de nombres de usuario de la lista de miembros, el atacante logró obtener un poco más de 5000 nombres de usuarios del sitio phpBB.com. Después de recoger estos datos el atacante intenta, mediante la fuerza bruta, enviando repetidamente solicitudes de inicio de sesión al foro. Como el ataque no logra resolver los intentos de inicio de sesión y no válida el CAPTCHA, se limita a la cantidad de intentos especificado en la opción de configuración de "Máximo de intentos de conexión".

Signos
Entre los signos visibles de este ataque se incluyen:
  • Al usuario se le requiere validarse a través del CAPTCHA luego de un intento de inicio de sesión.
  • Aumenta la carga del servidor.
  • Repetición de la solicitud POST ucp.php?mode=login desde la misma dirección IP.
Prevención
phpBB proporciona varias herramientas que permiten a los usuarios mitigar estos esfuerzos.
  • Para evitar con éxito la imposición bruta, el administrador puede asegurarse de que "Máximo de intentos de conexión" (accesible a través del Panel de Control de Administración bajo "Configuración del servidor" -> "Configuración de seguridad") a un número bajo (el valor predeterminado de 3), asegurándose que sel el exigirá al usuario resolver el CAPTCHA, si se excede el número de intentos de inicio de sesión.
  • Además, el Administrador podría impedir que los usuarios recién registrados puedan ver la lista de miembros. Para ello, asegúrese de que el grupo de "Nuevos Usuarios Registrados" está activado (accesible a través de "Configuración de registro de usuarios" asegurarse de que el "Límite de mensajes para nuevos usuarios" es mayor que 0), vaya a Permisos -> Permisos de roles -> roles de usuario-> "Nuevo Usuario Registrado"-> perfil-> "Puede ver perfiles" esté en nunca.
  • Además, este ataque puede ser mitigado mediante una correcta selección de la contraseña. Asegurarse que su contraseña (y las contraseñas de los usuarios) contengan letras y números y que no son palabras comunes, frases, combinaciones (contraseña, 1234, etc..). Los requisitos de complejidad de contraseña para tu foro se pueden establecer en el Panel de Control de Administración -> "Configuración del Sitio" -> "Configuración de registro de usuarios" -> "Complejidad de la contraseña"
Mientras que cabe destacar una vez más que este ataque no tuvo éxito, los administradores deben tomar las medidas anteriores para garantizar la seguridad de su foro y sus usuarios.

Si tiene alguna pregunta acerca de estos aplicación de estos procesos, cree un nuevo tema en el Foro de soporte.

Atentamente : phpBB Argentina

Documento basado en : Password brute force attacks
Lea las reglas | Nosotros | Acerca de phpBB | Descargas | Soporte | Blog
Ex Miembro del Equipo QA en phpbb.com
No se brindará soporte por Mensaje Privado, por favor pregunte en un tema público, tenga en cuenta que su problema puede ser también un problema para otros ;)

Responder

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 0 invitados