A ferramenta Medusa, lançada em 2005 pelo desenvolvedor Joe Mondloch (Foofus.net), tornou-se uma das soluções open-source mais empregadas para ataques de brute-force de credenciais contra serviços de rede. Projetada para executar tentativas de login em paralelo contra múltiplos protocolos — SSH, FTP, HTTP, SMB, PostgreSQL, MySQL, RDP e dezenas de outros — a ferramenta distingue-se pela velocidade, modularidade e operação via linha de comandos.

  • O quê: Ferramenta de brute-force online modular que testa credenciais em serviços de rede paralelamente.
  • Quem: Desenvolvida por Joe Mondloch (Foofus.net), com contribuições da comunidade open-source.
  • Quando: Primeira versão em 2005; atualizações irregulares, última versão estável em 2015.
  • Onde: Disponível para Linux, com pacotes em distribuições como Kali Linux e Parrot OS.
  • Por quê: Auditar a resistência de serviços de autenticação a ataques de credential stuffing e brute-force.

O que é o Medusa

O Medusa opera como um motor de brute-force online que envia tentativas de autenticação reais contra serviços em execução. Ao contrário de ferramentas de password cracking offline como o John the Ripper, que processam hashes capturados sem interagir com o servidor, o Medusa estabelece conexões de rede com o alvo e tenta logins ativos. Essa característica traz vantagens e riscos: cada tentativa é registrada em logs do servidor, pode disparar bloqueios de conta e é visível para sistemas de detecção de intrusão.

A arquitetura do software é modular. Cada protocolo suportado possui um módulo independente que implementa a lógica de conexão e autenticação específica. O módulo de SSH, por exemplo, abre uma conexão TCP na porta 22, negocia o handshake e envia credenciais; o módulo de HTTP constrói requisições POST ou GET com os parâmetros de login extraídos de uma página web. Essa separação permite que a comunidade desenvolva novos módulos sem modificar o núcleo da ferramenta. O catálogo inclui mais de 20 protocolos: SSH, FTP, FTPS, HTTP, HTTPS, IMAP, MSSQL, MySQL, NCP, NNP, PCAnywhere, POP3, PostgreSQL, RDP, ReTLS, RNRP, SMB, SNMP, SMTP, SMTP-VRFY, SVN, Telnet, VMAUTHD, VNC e Web Form.

Funcionalidades principais

O Medusa organiza seus recursos em torno de parâmetros de linha de comando que controlam todos os aspectos da execução:

  • Execução paralela: múltiplas conexões simultâneas configuráveis via parâmetro -T (threads), acelerando o teste em ordens de magnitude.
  • Múltiplos alvos: o parâmetro -H aceita um arquivo com lista de hosts, permitindo varredura em sub-redes inteiras.
  • Listas de credenciais: suporte a wordlists separadas para usuários (-U) e senhas (-P), além de combinação de usuário e senha por linha (formato credential).
  • Módulos por protocolo: parâmetro -M seleciona o módulo apropriado (ssh, ftp, http, etc.), com opções específicas via -m.
  • Limitação de taxa: controle de tempo entre tentativas para evitar bloqueios de IPS, via parâmetro -t (timeout por host) e -T (threads globais).
  • Saída estruturada: redirecionamento para arquivo com timestamps e detalhes de credenciais válidas encontradas.

A combinação de paralelismo e modularidade permite cenários de auditoria complexos. Um analista pode testar as 100 senhas mais comuns contra 500 hosts SSH em uma sub-rede corporativa em questão de minutos, identificando equipamentos com credenciais padrão de fábrica — um problema recorrente em roteadores, câmeras IP e dispositivos IoT. Para aprofundar-se em ferramentas de auditoria, o portal disponibiliza análises de soluções complementares.

Casos de uso em pentest

Profissionais de teste de intrusão empregam o Medusa na fase de validação de credenciais. Após identificar serviços de rede expostos em um escaneamento com Nmap, o testador escolhe os alvos prioritários e configura o ataque. Em uma avaliação de um ambiente corporativo, o pentester pode descobrir que todos os switches de rede de um fabricante específico mantêm a senha admin/admin de fábrica — uma vulnerabilidade que expõe toda a infraestrutura de rede a manipulação.

Equipes de resposta a incidentes usam a ferramenta para verificar o impacto de vazamentos de credenciais. Quando uma lista de usuários e senhas é divulgada em um forum criminal, a equipe roda o Medusa contra os serviços internos para identificar quais credenciais vazadas ainda funcionam. O resultado orienta ações de força de reset de senhas. O site do Foofus.net preserva documentação histórica da ferramenta e cases de uso originais.

Mercado e ferramentas similares

O Medusa disputa espaço com outras ferramentas consolidadas de brute-force online. Hydra (THC-Hydra) é o concorrente mais direto, com suporte a um número similar de protocolos e maior frequência de atualizações. Patator, escrito em Python, oferece paralelismo avançado e modularidade superior, mas exige maior conhecimento técnico. NCrack, da Nmap Project, integra-se ao ecossistema Nmap e oferece scripts NSE de automação. Soluções comerciais como Metasploit Pro incluem módulos auxiliares de brute-force com interface gráfica.

O mercado de ferramentas de credential auditing reflete a persistência de problemas básicos de higiene de credenciais. Segundo o relatório Data Breach Investigations Report da Verizon, cerca de 77% dos ataques baseados na web envolvem credenciais roubadas ou fracas. O credential stuffing — reutilização massiva de listas vazadas contra múltiplos serviços — transformou-se em um modelo de negócio criminoso, com serviços de Check Send disponíveis por centenas de dólares em fóruns clandestinos.

Considerações e limitações

A natureza intrusiva do Medusa impõe restrições práticas significativas. Servidores com configurações de lockout de conta bloqueiam credenciais após um número pequeno de tentativas falhas, interrompendo o ataque e criando um efeito colateral negativo: o testador pode bloquear acidentalmente contas de usuários legítimos e causar um incidente operacional. Firewalls de aplicação web (WAF), sistemas IPS e soluções de behavioral analytics sinalizam picos de tentativas de login em segundos.

Legalmente, o uso do Medusa contra qualquer sistema sem autorização explícita do proprietário configura crime. No Brasil, a Lei 12.737/2012 tipifica a invasão de dispositivos informáticos, e a LGPD (Lei 13.709/2018) impõe sanções adicionais para tratamento indevido de dados. Pentest professionals devem obter escopo formalmente aprovado, documentar listas de credenciais usadas e horários de execução. A ferramenta entrega capacidade; o emprego ético depende inteiramente do operador.