Los administradores de sistemas y los que manejamos servidores todos los días siempre solemos decir que un ataque por fuerza bruta canta más que 10.000 gallos a pleno pulmón a las 7 de la mañana. De todas formas, el método del *Brute Force ha sido, y es, el primer método en el que se piensa siempre que se quiere atacar un servidor, correo electrónico, FTP... o cualquier cosa detrás de un usuario y una contraseña.

Creo que el método carece de necesidad de explicación aunque, para los más novatos podemos resumirlo como "ir probando contraseñas (y usuarios) hasta que aciertes"*. Para realizar esto de forma automatizada utilizando la capacidad de procesado de un ordenador existen multitudes de herramientas (como Medusa pero, aprovechando que han sacado una versión nueva después de años en el agujero negro del olvido, Hydra es un clásico que seguro que nos saca del apuro.

THC-Hydra es una herramienta de análisis forense para comprobar la fortaleza de contraseñas mediante el uso del método de ataque llamado "Brute Force" o fuerza bruta. El equipo de The Hacker's Choice nos regala una actualización llena de correcciones y unas cuantas novedades:

  • Hydra adopta la licencia GPL v3
  • Añade soporte para autenticación SIP MD5
  • Eliminado el soporte para Palm, ARM y Windows
  • Algunas mejoras en el modulo SSH2

La eliminación del soporte para las arquitecturas Palm, ARM y Windows vienen debidas a que el autor (que vuelve después de mucho tiempo) no está por la labor de adaptar la versión ya que da más problemas que ventajas y ha adoptado la actitud de "el que lo quiera, que use Linux o se lo compile él mismo".

Los protocolos soportados por éste clásico son muchos:

  • TELNET
  • FTP
  • HTTP
  • HTTPS
  • HTTP-PROXY
  • SMB
  • SMBNT
  • MS-SQL
  • MYSQL
  • REXEC
  • RSH
  • RLOGIN
  • CVS
  • SNMP
  • SMTP-AUTH
  • SOCKS5
  • VNC
  • POP3
  • IMAP
  • NNTP
  • PCNFS
  • ICQ
  • SAP/R3
  • LDAP2
  • LDAP3
  • Postgres
  • Teamspeak
  • Cisco auth
  • Cisco enable
  • LDAP2
  • Cisco AAA

Ya vemos que es completito. Realizad vuestras pruebas para comprobar que las contraseñas que utilizáis no están en un diccionario típico (hay cientos disponibles para descargar en la red o manuales de cómo fabricaros el vuestro), que tienen más de 8 caracteres y que mezclan símbolos, mayúsculas, números... es decir, que cumplen las normas básicas y veréis que necesitaríais una eternidad para poder romperlas por éste método; lo que supondría una brecha de seguridad menos en vuestros sistemas.

Información básica:

  • Plataforma: Linux
  • Licencia: GPL v3
  • Precio: Gratuito
  • Enlace de descarga: Hydra