ubuntuforums.org er hacket - skift kodeord

[lath]

ubuntuforums.org er blevet hacket, så skift kodeord på det website, hvis du har en konto der - altså når det er oppe at køre igen.

Set på: http://www.version2.dk/artikel/ubuntu-forum-hacket-2-millioner-brugeroplysninger-stjaalet-53048

Kilde til oplysningerne er: http://ubuntuforums.org/announce.html
Lige nu skriver den side disse oplysninger:

Ubuntu Forums is down for maintenance

There has been a security breach on the Ubuntu Forums. The Canonical IS team is working hard as we speak to restore normal operations. This page will be updated regularly with progress reports.
What we know

Unfortunately the attackers have gotten every user's local username, password, and email address from the Ubuntu Forums database.
The passwords are not stored in plain text, they are stored as salted hashes. However, if you were using the same password as your Ubuntu Forums one on another service (such as email), you are strongly encouraged to change the password on the other service ASAP.
Ubuntu One, Launchpad and other Ubuntu/Canonical services are NOT affected by the breach.

Progress report

2013-07-20 2011UTC: Reports of defacement
2013-07-20 2015UTC: Site taken down, this splash page put in place while investigation continues.

If you're using Ubuntu and need technical support please see the following page for support:

Finding Help.

If you're looking for a place to discuss Ubuntu, in the meantime we encourage you to check out these sites:

The Ubuntu subreddit
The Ubuntu Community on Google+
Ubuntu Discourse

/Lars

[Claus Henriksen]

Tak for info.

Hvis man er een af dem der nævnes, der genbruger passwords, kan man passende bruge lejligheden til at finde ud af, hvad en password manager kan tilbyde.
Kan anbefale KeePassX og KeePassDroid.

[lath]

Tak for info.

Hvis man er een af dem der nævnes, der genbruger passwords, kan man passende bruge lejligheden til at finde ud af, hvad en password manager kan tilbyde.
Kan anbefale KeePassX og KeePassDroid.

Der er også en kodeords-manager inde i Firefox.

/Lars

[Jimmyfj]

Den opfordring med at skifte password alle de steder du bruger samme kode som på Ubuntuforums forstår jeg ikke helt. For mig svarer det lidt til at ringe 112 på grund af en svag halsbrand. Stor panik for en brand uden ild.

Jeg har selv en konto på Ubuntuforums.org, og har haft det siden 2006. Og de oplysninger, jeg har liggende på sitet kan en cracker ikke bruge til det ringeste.

Ud over at min E-mail, som jeg bruger utallige steder, vel næppe kan kaldes hemmelig, så ligger der et brugernavn og en adgangskode i forbindelse med kontoen. Så fortæl mig lige igen, hvad disse sparsomme oplysninger kan bruges til?

Okay. Min E-mail giver nærmest sig selv. Men Derudover??

Gik der lige lidt Microsoft FUD i den????????????

[AJenbo]

Hmm det ville da være lidt mystisk hvis Canonical begynder at spred FUD mod sig selv...

Det de skriver er at hvis du bruger samme adgangskode på deres forum og et andet sted hvor du har noget vigtig så bør du skifte koden der. Hvis det lykkes hackeren at knække de kode (noget der kun er et spørgsmål om ressourcer når de har fået adgang til hashen, det kan så være astronomiske ressourcer alt efter hash og kodens kompleksitet) så får de nettop også mulighed for at logge ind de andre steder hvor du har brugt samme adgangskode.

Det svar til at skifte lås hvis du mister dine nøgler. Der er måske ikke nogen adresse sammen med dine nøgler, men hvis en tyv har nøglerne og regner ud hvor de høre til så kan han komme ind, forsikringen vil heller ikke dække i disse tilfælde.
At bruge den samme kode alle steder svare desuden til at have den samme lås på din cykel, it hjem, og tøjskabet i trænings centeret. Let, men du løber en betydelig støre risiko.

[Kurt Christensen]

Ud over at min E-mail, som jeg bruger utallige steder, vel næppe kan kaldes hemmelig, så ligger der et brugernavn og en adgangskode i forbindelse med kontoen. Så fortæl mig lige igen, hvad disse sparsomme oplysninger kan bruges til?

Okay. Min E-mail giver nærmest sig selv. Men Derudover??

Man kan jo bede om at få tilsendt nyt kodeord til andre sider og så slette beskeden, så alt efter hvad man har liggende på sin E-mail kan det da godt være særdeles bekymrende.

[AJenbo]

Det ville måske var godt at pointere at de koder man får send via email bør man kun benytte midlertidigt da de kan have været opsnappet under vejs da email ikke er et sikkert medie.

[Jimmyfj]

Jo. Det er alt sammen godt nok - Men det fortæller ikke noget om, hvordan nævnte cracker skulle vide, hvilke sites jeg bruger? For mig at se vil det være noget af en opgave at finde frem til brugen af alle de kontoer, hvor brugeren bruger samme kodeord flere steder. Det er lige som det, jeg vil frem til.

Mig bekendt ligger der ingen oplysninger på Ubuntuforum.org som kan lede crackeren i nogen retning mht. evt. misbrug af oplysningerne, endsige hvilke site jeg ellers bruger.

[lath]

Jo. Det er alt sammen godt nok - Men det fortæller ikke noget om, hvordan nævnte cracker skulle vide, hvilke sites jeg bruger? For mig at se vil det være noget af en opgave at finde frem til brugen af alle de kontoer, hvor brugeren bruger samme kodeord flere steder. Det er lige som det, jeg vil frem til.

Mig bekendt ligger der ingen oplysninger på Ubuntuforum.org som kan lede crackeren i nogen retning mht. evt. misbrug af oplysningerne, endsige hvilke site jeg ellers bruger.

En cracker behøver ikke at vide præcis hvilke sites du bruger.
En cracker ville sandsynligvis nok prøve alle større web sites - især de mere populære af dem.
Det ville være websites såsom Facebook, Google og så videre. Især adgang til en email konto kunne give adgang til at få adgang til andre websites.

Har en cracker bare succes med at komme ind på bare en mindre antal konti er missionen lykkedes set fra crackerens synspunkt.

/Lars

[AJenbo]

Ud over det Lath lige nævnte så vil jeg sig den emailadresse du bruger her på forummet peger i retningen af flere ting hvor en hacker kunne komme ind hvis du har brugt samme adgangskode alle steder.

Det kunne også let blive en meget lang og uigennemskugelig forklaring for mange brugere hvis de skulle til at forklare den præcise risiko den enkelte bruger vil være udsat for i alle generelle og særtilfælde.

[thj01]

var selve kodeordene ikke krypterede??

[AJenbo]

var selve kodeordene ikke krypterede??

Jo (teknisk set hashet hvilket er en vejs metode), og med salt. Men når en hacker skaffer sig adgang til databasen med haches så kan han bruteforce dem lokalt på sin maskine. Det er her det er vigtig at have en stræk kode. Lette koder bliver knækket ganske hurtigt mens de svære kan tage dage hvis ikke år. For at hackeren rigtig kan komme igang med at cracke koder skal han kende hash metoden og salt, er der brugt en unik salt vil den stå i starten af adgangskoden, fordelen ved disse er at er en kode brugt flere gange vil den skulle knækkes hvergang i stedet for en, man kan heller ikke bruge en database med allerede crackede koder til at finde de mest brugte. Er der brugt en fast salt for siden gør det alle adgangskoder langt sværre at knække, men deene kan dog forholdsvist let udregnes hvis hackeren selv har en bruger i systemet han kender koden til. Det bedste er selvføllig hvis begge metoder er brugt.

Så vidt jeg ved benytter vBulitin en meget simpel hash algoritme MD5(MD5($password)+$salt) så en cracker ville kunne forsøge sig med flere milioner adgangskoder i sekundet og der for sikkert også opnår at knække en høj % af adgangskoderne.

[thj01]

@Jensbo
altså HVIS de ikke er ordentlige ....

[AJenbo]

Ja, men jo hurtigere hackernes sysemer bliver jo mere kompliceret skal adgangskoderne være for at være sikre. Især hvis hash metoden er så svag som den jeg mener vBullitin benyttede.