Tämä on otanta Tietoturvan hallinta-kurssin harjoitustehtävästä, jonka toteutin yhdessä yhden kanssaopiskelijan kanssa.
HUOM!
Tämä ei ole ohje siihen, miten näitä työkaluja väärinkäytetään, vaan ammattikorkeakoulun tietoturva-kurssin oppimisharjoitus. Tavoitteena on oppia ymmärtämään tietoturvaa hyökkääjän näkökulmasta, ei opetella murtautumista toisten järjestelmiin. Tätä dokumenttia saa kopioida ja hyödyntää, mutta lukija on itse vastuussa siitä, että hän kokeilee näitä työkaluja ainoastaan hänen omassa ja suljetussa ympäristössään! Esimerkiksi Suomessa porttiskannauksesta voi saada tuomion tietomurron yrityksenä.
Johdanto
Harjoituksen tavoitteena oli tutustua erilaisiin tietoverkon hyökkäysmenetelmiin. Tutustumisen tarkoituksena ei ole mahdollisen väärinkäytön harjoittelu, vaan tietoturvan syvempi ymmärtäminen hyökkääjän näkökulmasta. Näin opitaan myös paremmin suojautumaan kyseisiä hyökkäystapoja vastaan. Harjoituksen toteuttivat Markus Pyhäranta ja Oliver Sirèn.
Testasimme Kali Linuxissa valmiina asennettuja, ja Debianin paketinhallinnasta suoraan avoimesti saatavilla olevia hyökkäystyökaluja. Kaikkia ei kuitenkaan käytetty suoraan hyökkäystarkoituksessa, vaan myös mm. kohdeverkon haavoittuvuuksien etsimisessä. Käytettyjä työkaluja olivat THC Hydra, Nmap, Hping3, Medusa, Ncrack ja crunch. Niiden avulla mm. skannattiin kohdeverkon haavoittuvuuksia, murrettiin toimialueen käyttäjien salasanoja ja toteutettiin palvelunestohyökkäys (distributed denial of service, DDoS) toimialueen palvelinta vastaan.
Pääasiallinen kohde testeissämme oli Windows-toimialue, jossa testasimme hyökkäystyökaluja toimialueen Domain Controlleria sekä yhtä Windows 10 -työasemaa vastaan. Ohjauspalvelin toimi samalla parhaiden käytäntöjen vastaisesti julkisena webpalvelimena, jota kohtaan hyökättiin harjoituksen loppuvaiheessa kolmella kaapatulla Xubuntu-tietokoneella. Hyökkäyskoneiden kaappaus toteutettiin lähinnä brute-force- ja sanakirjahyökkäyksillä.
Kohteiden salasanat olivat tarkoituksellisen lyhyitä ja heikkoja ajan säästämiseksi, mikä vaati Windows-koneiden kohdalla salasanavaatimusten muuttamisen toimialueen Group Policy Management Editorissa.
En käy tässä WordPress-blogissa läpi koko harjoitustyötä, vaan ainoastaan sen Kali Linuxiin liittyvät osat.
Harjoitusympäristö
Lyhyesti harjoitusympäristöstä ja hyökkäyskohteista:
Harjoitusympäristönä käytimme Haaga-Helian Apache Cloudstack pilvialustaan perustuvaa Cloud Platformia.
Halusimme kohdistaa tietoturvan todentamisemme Windows-käyttöjärjestelmiin. Tätä varten loimme hyökkäyskoneen Kali Linuxilla sekä neljä Xubuntu-tietokonetta, joita käytettiin myöhemmin palvelunestohyökkäyksessä. Windows-toimialueemme taas muodostui kahdesta koneesta: Windows Server 2012 R2 -pohjaisesta palvelimesta, joka toimi sekä toimialueen Domain Controllerina että IIS/FTP-palvelimena. Lisäksi toimialueeseen kuului yksi Windows 10 -tietokone.
Hyökkäys Windows-toimialueeseen
Toteuttamamme hyökkäys perustuu kahteen vaiheeseen: kohteen ja sen haavoittuvaisuuksien kartoitus, sekä hyökkäys kyseisiä haavoittuvaisuuksia vastaan. Harjoitusympäristöä luodessa vaihdoimme FTP:n käyttämän portin oletusarvostaan 21 porttiin 9999. Seuraavaksi tavoitteena oli selvittää, kykenimmekö löytämään ja tunnistamaan kyseisen palvelun kohdekoneelta luotettavasti. Kun kohteen tietoturvapuutteet oli selvitetty, hyväksikäytimme kohteen heikkouksia löytämiemme tietojen pohjalta parhaaksi näkemällämme tavalla.
Porttiskannaus
Lähestyimme suunniteltua murtautumista etsimällä ensin porttiskannauksen avulla haavoittuvaisia palveluita toimialueen tietokoneilta. Tämä tapahtui vapaasti Debianin paketinhallinnasta ladattavalla Nmap-ohjelmalla, joka tulee myös Kali Linuxissa esiasennettuna.
Testasimme, millaisia tuloksia Nmap-ohjelman eri parametrit antavat. Aluksi kokeilimme kaikista yksinkertaisimmalla komennolla.
$ nmap 10.208.0.185
Tulosteeksi saimme listan kohdekoneen avoimista porteista. Kaikista porteista ei kuitenkaan selvinnyt, mikä palvelu siellä on. Näin oli esimerkiksi portin 9999 kohdalla, joka ilmoitti palveluksi ”abyss”.
$ nmap -sV --allports 10.208.0.185
Ylläolevalla komennolla saimme enemmän tietoa porteissa kuuntelevista palveluista ja niiden versioista. Nyt mm. saimme selvitettyä portin 9999 palveluksi ”Microsoft ftpd”, mikä pitääkin paikkansa. Lisäksi saimme tietää, että Windows-toimialueen nimi on ”DATASECURITY” ja kohdekoneen nimi ”DATASECURITY-DC”.
$ nmap -O 10.208.0.185
Parametrilla -O, saimme tarkemmat tiedot kohdekoneen käyttöjärjestelmästä. Edellisellä komennolla käyttöjärjestelmäversio ilmoitettiin virheellisesti. Nyt tiesimme, että kohdekoneen käyttöjärjestelmä on ”Windows Server 2012”. Yhdistettynä aiemmilla komennoilla saatuihin tietoihin, kykenimme nyt päättelemään, että porttiskannauksen kohteena oleva tietokone on toimialueen domain-controller.
$ nmap -A 10.208.0.185
Parametrilla -A, selvitimme tarkemmat tiedot käyttöjärjestelmästä, toimialueesta ja palveluiden versioista sekä tracerouten tulokset. Tiedämme nyt esimerkiksi varmuudella, että kohteen käyttöjärjestelmä on Windows Server 2012 R2 Datacenter, tietokoneen nimi on ”datasecurity-dc” ja toimialueen ja sen forestin nimet ovat ”datasecurity.lan”.
Käyttäjän salasanan murtaminen FTP:n kautta
Löydettyämme kohdetoimialueelta haavoittuvaisen FTP-palvelun, päätimme yrittää murtautua toimialuekäyttäjä Markuksen tunnuksilla sisään. Lähdemme tässä harjoituksessa siitä oletuksesta, että kyseisen käyttäjän käyttäjänimi on selvitetty tai päätelty esimerkiksi tietojenkalastelun (phishing) tai vastaavan urkinnan kautta.
Päätimme murtaa käyttäjän salasanan sanakirjahyökkäyksellä, joka on yksi brute-force-hyökkäyksen muodoista. Ohjelmaksi valikoitui suosittu THC Hydra, joka kykenee suorittamaan hyökkäyksiä yli 50:tä eri protokollaa vastaan. Sanalistana käytimme SecLists:n 10 miljoonan vuodetun salasanan listaa, tarkemmin tästä rajattua 100 000 suosituimman salasanan listaa: https://github.com/danielmiessler/SecLists/tree/master/Passwords. Tässä hyökkäyksessä murtautumisen onnistuminen perustuu siis siihen, että Markus-käyttäjän salasana löytyy tuolta listalta.
Käynnistimme sanakirjahyökkäyksen Hydralla komennolla:
$ hydra -l markus -P /root/Desktop/100k-passes.txt -vV 10.208.0.185 ftp -s 9999
Hyökkäyksen kohteeksi on siis määritelty käyttäjä ”markus” ja ftp-palvelu portissa 9999. Käyttäjän salasana oli ”data” ja se selvisi 7700. yrityksellä:
Käyttäjän kirjautumistunnukset FTP-palveluun oli nyt murrettu, mikä mahdollisti luvattoman pääsyn luottamuksellisiin tietoihin FTP-clientin kautta.
Sama hyökkäys toteutettiin myös toimialueen Administrator-tunnuksille, mutta yritys epäonnistui, sillä Administratoria ei oltu määritelty ollenkaan FTP-käyttäjäksi. Murtautumisyrityksiemme jäljet näkyivät kuitenkin Windows-palvelimen lokitiedoissa hakemistosijainnissa C:\inetpub\logs\LogFiles\FTPSVC3\. Lokeista selvisikin, että Administrator-tunnuksin oli yritetty kirjautua portin 9999 palveluun lukuisia kertoja:
Linux-koneiden kaappaaminen palvelunestohyökkäystä varten
Palvelunestohyökkäykseen tarvitaan tyypillisesti orjatietokoneista tai -verkkolaitteista muodostuva bottiverkko, jonka voimalla pyritään häiritsemään tai estämään jonkin palvelun, tyypillisimmin verkkosivuston, käyttö.
Toteutimme hyökkäyksen hajautettuna, eli useasta lähteestä (distributed denial of service). Hyökkäykseen käytimme kolmea aiemmin luotua Xubuntu 16.04 tietokonetta. Ensin kuitenkin murtauduimme niihin sisään. Tavallisimmin bottikoneet otettaisiin hallintaan esimerkiksi haittaohjelmin. Hyvä esimerkki on verkkolaitteita saastuttava Mirai-haittaohjelma, joka muuntaa laitteet etähallittaviksi boteiksi ja osaksi suurempaa bottiverkkoa. Meillä ei kuitenkaan ollut aikaa perehtyä siihen, miten voisimme vastaavanlaisesti kaapata pilvessä olevat tietokoneet vastuullisesti ja turvallisesti.
Päätimmekin hyödyntää tilaisuuden kokeilemalla monia eri salasanan murtamisohjelmia. Jokainen kolmesta koneestamme murrettiin eri tavalla ja eri ohjelmalla. Kaikki käyttämämme työkalut olivat esiasennettuna Kali Linuxissa. Ajan säästämiseksi käyttämämme salasanat olivat joko todella lyhyitä tai sanalistamme kärjessä.
Medusa sanakirjahyökkäys
Ensimmäisen Linux-koneen mursimme Medusa-nimisellä ohjelmalla. Medusaa käytetään komentorivillä, ja se on kykenevä mm. FTP, HTTP, MySQL, Telnet ja SSH-salasanojen murtamiseen sanakirjahyökkäyksellä.
Kohdekoneemme käyttäjän nimi oli ”tiko” ja salasanana ”1q2w3e4r”. Kohteen IP-osoite oli 10.208.0.76. Käyttäjän salasanan mursimme käyttäen samaa valmista salasanalistaa kuin FTP-salasanaa murtaessa. Palvelu, jota vastaan hyökättiin, oli SSH. Kali Linux hyökkäyskoneeltamme syötimme seuraavan komennon:
$ medusa -u tiko -P 100k-passes.txt -h 10.208.0.76 -M ssh
Ylläolevasta kuvasta nähdään, että Medusa mursi salasanan 235. yrityksellä. Huomionarvoista on se, että havaitsimme Medusan olevan merkittävästi aiemmin käytettyä Hydraa hitaampi, mikä oli erikoista, sillä aikoinaan Medusasta pyrittiin tekemään nopeampi vaihtoehto THC Hydralle.
Joka tapauksessa tiko-käyttäjän salasana murrettiin, minkä seurauksena pääsimme etäyhteydellä kiinni kohdekoneeseen.
Ncrack + Crunch sanakirjahyökkäys omin ehdoin
Toisen linux-koneemme, mursimme Ncrack nimisellä työkalulla. Ncrack tehtiin juurikin yritysten tietoturvan todentamiseen. Sillä voidaan murtaa mm. SSH, RDP, FTP, Telnet ja HTTPS-salasanoja brute-force-metodein.
Kohdekoneemme käyttäjän nimi oli ”tiko” ja salasanana ”hh96”. Kohteen IP-osoite oli 10.208.0.28. Käyttäjän salasanan mursimme käyttäen salasanalistaa, jonka loimme tällä kertaa itse. Palvelu, jota vastaan hyökättiin, oli SSH.
Aluksi loimme sanalistan crunch-nimisellä ohjelmalla syöttämällä terminaaliin komennon:
$ crunch 4 4 -t @@96 -o /root/passwords.lst
Komento siis loi listan salasanavaihtoehdoista asettamillamme ehdoilla. Salasanan määriteltiin olevan vähintään neljä merkkiä lyhyt ja enintään neljä merkkiä pitkä. Koska tiesimme käyttäjän salasanan loppuvan luvulla ”96”, loimme säännön, jonka mukaan etsitään vain neljäkirjaimista sanaa, jonka kahta ensimmäistä kirjainta ei tiedetä. Crunch etsii siis ”@”-merkkien paikalle kaikki mahdolliset vaihtoehdot ja tallentaa salasana vaihtoehdot määrittelemäämme tekstitiedostoon.
Sanalistan luomisessa ei mennyt kauaa noilla säännöillä:
Nyt, kun olimme suodattaneet vaihtoehtojen määrän mieluisaksemme, syötimme Kali Linuxissa komennon:
$ ncrack -p 22 --user tiko -P /root/passwords.lst 10.208.0.28
Käyttäjän SSH-salasana murrettiin 102.01 sekunnissa.
THC Hydra brute-force
Kolmannen linux-koneemme, mursimme THC Hydralla. Vaikka mursimme aiemmin Windows toimialueen käyttäjän FTP-salasanan Hydraa käyttäen, teemme sen nyt eri tavalla. Yleisin ja ehkä paras brute-force-metodi on sanakirjahyökkäys. Brute-forcella pystytään muuhunkin, mutta tavat voivat olla hyvinkin aikaa ja resursseja vieviä, jolloin olisi suoraan vaan parempi murtaa tai kalastella salasana jollan muulla keinolla.
Kohdekoneemme käyttäjän nimi oli ”tiko” ja salasanana ”c!”. Kohteen IP-osoite oli 10.208.0.115. Palvelu, jota vastaan hyökättiin, oli SSH. Käyttäjän salasanan mursimme käyttäen raakaa voimaa: asetimme murtautumisohjelmalle selvät säännöt, jonka pohjalta halusimme sen testailevan eri salasanavaihtoehtoja järjestyksessä. Tämä tapa on todella hidas, sillä mahdollisia vaihtoehtoja voi hyvinkin lyhyellä salasanalla olla jo kymmeniä miljoonia. Lisäksi ohjelman täytyy ensin generoida kokeiltava salasanavaihtoehto ja sen jälkeen yrittää kirjautua sillä kohdepalveluun sisään. Prosessi onkin siten paljon hitaampi verrattuna valmiin sanalistan käyttämiseen.
Kali Linux -hyökkäyskoneeltamme syötimme komennon:
$ hydra -f -l tiko -V -x ’2:2:a1!’ 10.208.0.115 ssh -s 22
Ylläolevassa komennossa määrittelimme siis ehdot kokeiltaville salasanavaihtoehdoille parametrilla x: minimissään 2 kirjainta, maksimissaan 2 kirjainta, vain pienet kirjaimet (a = a-z), numerot (0-9) ja erikoismerkeistä Hydran tuli kokeilla ainoastaan ”!”. Mahdollisia vaihtoehtoja oli 1370, ja salasana murrettiin 113. yrityksellä:
Meillä oli nyt täysi pääsy kolmanteenkin tietokoneeseen:
Palvelunestohyökkäys DDoS
Palvelunestohyökkäys toteutettiin aiemmin kaapatuilla Xubuntu-koneilla. Hyökkäyksessä käytettiin vapaasti Debianin paketinhallinnasta ladattavaa Hping3-ohjelmaa, jota käytetään komentokehotteen kautta. Ohjelma on suunniteltu nimenomaan pentestaukseen, esimerkiksi palomuurien ja verkon sietokyvyn testaamiseen.
Harjoitushyökkäystä suunnitellessamme käytimme lähteenä entisen Haaga-Helian opiskelijan, Jyri Björkmanin, opinnäytetyötä “Palvelunestohyökkäykset ja niiltä suojautuminen”: http://www.theseus.fi/handle/10024/38633. Jyri testasi opinnäytetyön osana eri tapoja ruuhkauttaa kohdepalvelimen verkkoliikennettä. Opinnäytetyön tuloksien pohjalta päätettiin, että pienipakettisella SYN-tulvalla oli kaiken kaikkiaan merkittävin vaikutus kohteen toiminnan häiritsemiseen, joten päätimme myös hyökätä kohdepalvelintamme vastaan pienipakettisella SYN-tulvalla.
Hyökkäystä kesti viiden minuutin ajan, jonka aikana kohdepalvelimen suorituskykyä mitattiin kahdella tavalla: erilliseltä Xubuntu-monitorointi koneelta sekä kohdepalvelimelta itseltään. Ensin pingasimme monitorointikoneelta kohdepalvelinta viiden minuutin ajan, palvelimen ollessa normaalitoiminnassa. Saadut tulokset tallennettiin preattack.txt -nimiseen tekstitiedostoon seuraavalla komennolla:
$ ping 10.208.0.185 -c 300 > preattack.txt
Itse kohdepalvelimena toimi Windows Server 2012 R2-palvelimemme, joka toimi samanaikaisesti sekä toimialueen Domain Controllerina että IIS-webpalvelimena. Hyökkäyksen vaikutuksia seurattiin Windowsin sisäänrakennetulla Resource Monitor (Perfmon) -työkalulla. Erityisesti seurasimme DDoS-hyökkäyksen vaikutuksia prosessorin ja muistin kulutukseen, sekä verkkokortin aktiivisuuteen.
SYN-tulva
Saatuamme ensin tulokset normaalitilanteen aikana, aloitimme seuraavaksi hyökkäyksen Hping3:lla kaikilta kaapatuilta koneilta samanaikaisesti. Kohdetta pingattiin monitorointikoneelta koko hyökkäyksen ajan, ja tulokset tallennettiin synflood.txt -nimiseen tekstitiedostoon. Saatuja vastauksia tuli testin aikana yhteensä 300.
Aloitimme hyökkäyksen kaapatuilta koneiltamme seuraavalla komennolla:
$ sudo hping3 --flood -I eth0 -S -a 10.208.0.285
”–flood”-parametrilla käskimme ohjelmaa lähettämään paketteja mahdollisimman nopeasti. Lisäksi määrittelimme lähteen network interfacen sekä kohteen IP-osoitteen. Parametrilla ”-S”, viittaamme SYN-lippuun.
Tulokset
Lähes välittömästi SYN-tulvan alettua, Windows Server 2012 heitti meidät ulos Remote Desktop-yhteydestä. Hyökkäys lamautti kaikki yhteydet palvelimeen täysin, sillä sisäänkirjautuminen ei ollut mahdollista edes minuuttien päästä hyökkäyksen alkamisesta.
Yritimme Windows 10 -käyttäjältämme päästä IIS-palvelimen nettisivuille, mutta niihin ei saatu yhteyttä ollenkaan, vaan selain antoi virheilmoituksen:
Lopuksi tarkastelimme monitorointikoneen ja Resource Monitorin keräämiä tuloksia hyökkäyksestä. Ping-testistä kävi ilmi, että 300:sta ICMP echo request-paketista, ainoastaan 15:aan saatiin vastaus. Pingin yhteenvedon mukaan testaus tuotti 82 erroria ja 95 prosenttisen pakettihävikin.
Kuten käyrästä havaitaan, viiveen määrä kasvoi jyrkästi välittömästi hyökkäyksen alettua. Pakettihävikki oli kuitenkin niin suurta, ettei sitä voi kuvata näyttävästi kaaviolla. Kohdepalvelimen verkkokortti oli liian kovan rasituksen alla, eikä kyennyt vastaamaan suurimpaan osaan paketeista edes merkittävällä viiveellä. ”Destination Host Unreachable”-viesti olikin vastaus enemmistöön ICMP echo request -paketeista.
Palvelimelta Resource Monitorilla seurattuna kohteen resurssienkäyttö nousi merkittävästi hyökkäyksen alettua. Hyökkäyksen ajalta Resource Monitor näyttää tyhjää, ennen ja jälkeen aikajanalla näkyvät piikit prosessorin käytössä:
- Privileged time (violetti) on Windowsin kernelin prosessien varaama prosessoriaika.
- Interrupt time (vihreä) on prosessorin eri prosesseilta saamien pyyntöjen määrä.
- Processor time (sininen) on prosessorin käyttöäaika muuhun kuin ”tyhjäkäyntiin”.
Mielenkiintoista on se, että kaikki resurssikäyrät hukattiin hyökkäyksen ajalta. Luulisi kuitenkin, että ne säilötään paikallisesti, eikä verkkoyhteyden menettäminen vaikuttaisi käyrien tallentamiseen.
Task Managerin resurssinäkymästä nähdään selvä piikki verkkokortin käytössä palvelunestohyökkäyksen aikana. Huomaa, että verkkokortin nopeus on kilobitteinä per sekunti. Lähetysnopeus putoaa hyvin alas, koska kaista ei riitä johtuen massiivisesta vastaanottomäärästä.
Ei tiedetä varmuudella, kaatoiko SYN-tulva koko Domain Controllerin, vaiko vain jumiutti sen. Joka tapauksessa hyökkäyksen aikana ja heti sen jälkeen palvelin ei ollut saavutettavissa. Sananmukaisessa palvelunestossa onnistuttiin täydellisesti.
Yhteenveto
Harjoitustyön aikana opittiin paljon tietoverkkojen tietoturvasta hyökkääjän näkökulmasta. Vastaisuudessa osataan paremmin suojautua eri hyökkäyksiltä eri rajapinnoilla, tai mm. suorittaa itse oman tietoverkon penetraatiotestaus. Lisäksi Windows-toimialueiden käytäntöjä ja asentamista tuli kerrattua.
Hyökkäykset onnistuivat pääosin, joskin salasanat olivat epätavallisen lyhyitä ajan säästämiseksi, eikä kohdeverkko ollut järin turvallinen. Mikäli harjoitustyössä olisi ollut käytettävissä enemmän työtunteja, oltaisiin voitu kokeilla murtaa autenttisempia salasanoja ja viisaammin suunniteltua kohdetta. Olisi ollut mielenkiintoista tutustua myös esimerkiksi Metasploit-frameworkiin tai vastaaviin laajempiin hyökkäyskokonaisuuksiin.
Palvelunestohyökkäys onnistui hyvin, joskin alun perin suunniteltua SaltStackia ei kyetty hyödyntämään orjakoneiden keskitetyssä hallinnassa Kali Linuxin vanhan Cloud Platform templaten vuoksi.
Harjoitustyö laajensi horisontteja, mitä tietoturvaan tulee. Haaga-Heliassa ollaan epävarmoja järjestää penetraatiotestaukselle omistettuja kursseja, joten kyseessä oli hyvä mahdollisuus tutustua tähän tietoturvan osa-alueeseen.
Lähteet
Windows-palvelimet kurssin materiaalia Moodlesta.
Markus Pyhäranta 2017. Windows Server 2012 R2 IIS ja web-hosting. URL: https://markuspyharanta.wordpress.com/2017/05/14/windows-server-2012-r2-iis-ja-web-hosting/.
Technet Microsoft 2012. Password Policy. URL: https://technet.microsoft.com/en-us/library/hh994572(v=ws.11).aspx
ServerFault 2012. How to allow active directory users to remote desktop in? URL: https://serverfault.com/questions/419423/how-to-allow-active-directory-users-to-remote-desktop-in
Must be Geek 2013. Configure FTP Server in Windows Server 2012. URL: http://www.mustbegeek.com/configure-ftp-server-in-windows-server-2012/
Social Technet Microsoft. Windos Server 2012 FTP installation. URL: https://social.technet.microsoft.com/wiki/contents/articles/12364.windows-server-2012-ftp-installation.aspx
SecList Passwords 2017. URL: https://github.com/danielmiessler/SecLists/tree/master/Passwords
HackerTarget 2011. Brute Forcing Passwords with ncrack, hydra and medusa. URL: https://hackertarget.com/brute-forcing-passwords-with-ncrack-hydra-and-medusa/
StackExchange 2014. Brute-force an SSH-login that has only a 4-letter password. URL: https://security.stackexchange.com/questions/25371/brute-force-an-ssh-login-that-has-only-a-4-letter-password
Null Byte 2014. How to Crack Passwords, Part 4 (Creating a Custom Wordlist with Crunch). URL: https://null-byte.wonderhowto.com/how-to/hack-like-pro-crack-passwords-part-4-creating-custom-wordlist-with-crunch-0156817/
Hacking Articles 2016. 2 Ways to Hack Remote Desktop Password using Kali Linux. URL: http://www.hackingarticles.in/2-ways-to-hack-remote-desktop-password-using-kali-linux/
BinaryTides 2013. Brute force password cracking. URL: http://www.binarytides.com/crack-ftp-passwords-with-thc-hydra-tutorial/.
Blackmoreops 2015. Crack passwords in kali linux with hydra. URL: https://www.blackmoreops.com/2015/12/23/crack-passwords-in-kali-linux-with-hydra/
Björkman, Jyri 2011. Palvelunestohyökkäykset ja niiltä suojautuminen. URL: http://www.theseus.fi/handle/10024/38633
Instant Fundas 2012. How to record CPU and memory usage over time in Windows. URL: http://www.instantfundas.com/2012/03/how-to-record-cpu-and-memory-usage-over.html
SaltStack. Salt Bootstrap. URL:https://docs.saltstack.com/en/latest/topics/tutorials/salt_bootstrap.html