Fabiano Caixeta Duarte wrote:
> A vulnerabilidade à força bruta permite "infinitas" tentativas sucessivas de
> logins. O ideal é que aplicações servidoras limitem a um número pequeno (5 no
> máximo) as tentativas sucessivas.
bom, foi o que eu imaginei. vc pode ateh tomar uma atitude contra
probes de senhas, mas a pratica demonstra que o numero de falhas
ocasionadas por configuracoes erradas (o cara tem a senha configurada
errada, entao o software tenta logar, dah erro e pergunta a senha correta,
o usuario digita e vaih adiante) eh infinitamente maior do que pessoas
tentando chutar senhas via pop3. por mais absurdo que pareca, eh
comum o usuario trabalhar dessa forma, por simplesmente nao saber como
configurar corretamente as coisas. se vc setar uma configuracao para
cortar a conta no caso de n erros, vaih simplesmente ter uma super-dor
de cabeca no suporte :)
outro detalhe eh o numero de senhas que vc pode chutar por minuto:
em geral se dimensiona o inetd para ele abrir n conexoes por minuto, dentro
de um limite nao muito tolerante,se o cara tentar fazer os chutes muito
rapidamente, o inetd vaih cortar o servico pop p/ cinco minutos,se for
muito lento, nunca vaih chutar um numero de senhas suficiente. algum
maluco ainda pode fazer um programa 'espirito de porco' que entra no
pop e para cada usuario chuta cinco senhas erradas, somente pelo
prazer de desativar as contas de mail de todos os usuarios, outra
super-dor de cabeca no suporte :)
assim sou da opiniao que a melhor defesa eh ignorar: se o cara
quer fazer algo, deixa ele fazer, se vc tiver um ambiente logicamente
seguro, e processador/banda para aguentar o tranco, o cara ira se
cansar pelo simples fato de suas acoes serem sem nenhum efeito
pratico. talvez vc possa analisar melhor os logs, tendo mais volume
de dados e tomar providencias mais especificas, enquanto o camarada
tenta algo contra vc, vc loga, acumula provas e faz seus contatos,
quem sabe o cara nao tem a surpresa de baterem a porta dele no
outro dia pela manha ? :)
_____________________________________________________________________
GUS-BR Project http://gus-br.linuxmag.com.br
