Linux: root Passwort per Brute-Force über Internet knackbar?

Cyberduck · 9. April 2025 um 11:46

Das du kein lohnenswertes Ziel bist, weiß er woher?

Crey · 9. April 2025 um 16:35

Mit der Fähigkeit die wir dem Angreifer zutrauen, kann er sich eine Person aussuchen die offensichtlich prominenter oder reicher ist.

Warum sollte sich also jemand für Hinz und Kunz interessieren?

Und sollte er persönliche Probleme mit mir haben, dann wäre ein Hackangriff wohl das kleinere Problem.

Schon interessant, wie sich manche ihr Gefahrenpotential vorstellen.

vax · 9. April 2025 um 16:54

Sagen wir mal so: für die, die sich ihre Opfer gezielt aussuchen können, bist du uninteressant.
Aber für alles, was vollkommen ungezielt, automatisiert bei dem einen Treffer landet, der eine Angriffsfläche bot, ist völlig uninteressant, wer du bist. Es wird einfach gemacht.

nr845h · 9. April 2025 um 18:47

Da hier viel vermischt wurde, ein paar Punkte zur Klarstellung:

Wird der Desktop in einem geschlossenen Netz (z. B. Heimnetz betrieben) kann der Rechner nicht einfach so von außen angesprochen werden. Daher ist die Routerconfig und das Deaktivieren des automatisches Portforwording essentiell.
Ein Brute-Force Angriff ist in so einem Szenario unwahrscheinlich, da der Angreifer hierzu bereits das System ansprechen kann.
Erst jetzt kommt der Punkt von oben, sollte es wegen eines Exploits möglich sein, aus der Sandbix der Anwendung auszubrechen ist eine Rechteausweitung möglich
Um das zu verhindern ist das Nutzerverhalten essentiell, da Zero-Click Exploits (erfolgreicher Angriff ohne Nutzer Interaktion) je nach OS sehr teuer sind, ist bei den meisten Angriffen eine Interaktion erforderlich.

Fazit, sofern dein Router ein geändertes langes und komplexes Passwort hat du nicht irgendein ungepatchtes Nischen-Linux benutzt und nicht alles anklickst oder runterlädst solltest du vor dem beschriebenen Angriffsszenario sicher sein

ich höre dieses Argument auch im Firmenumfeld. Es ist extrem unrealistisch, Opfer eines gezielten Angriffs zu werden, was aber nicht heißt, das keine Daten abfezogen werden wenn es möglich ist. Das Geschäftsmodell ist nicht Prada sondern Teddy es wird alles verkauft was man in die Finger kriegen kann.