mboost-dp1

Canonical Ltd.

Hacket Ubuntu forum påvirker 1,8 mio. brugere

- Via Ars Technica -

I lørdags blev Ubuntu’s officielle forum taget ned, efter at hackere havde defacet hjemmesiden. I forbindelse med hacket, fik de uvelkomne gæster adgang til brugernavne, e-mailadresser og MD5 hashede kodeord for anslået 1,82 millioner brugere.

Som det er standard ved denne type hacks, så opfordres brugerne til at skifte kodeord, de steder de måtte have brugt det samme kodeord.

Jane Silber, Ubuntul skrev:
While the passwords were not stored in plain text, good practice dictates that users should assume the passwords have been accessed and change them. If users used the same password on other services, they should immediately change that password.

Der er endnu ikke blevet frigivet noget data fra hacket, men eftersom hackerne gjorde sig den ulejlighed at lave et defacement af hjemmesiden, forventes det at de vil prøve at opnå mere opmærksomhed, ved at frigive data.





Gå til bund
Gravatar #1 - NeoNmaN
22. jul. 2013 09:36
Hmm, var de kodeord kun hashed med 1x Md5 eller havde de samlagt en hash key, jeg tænker bare for hvis de har fået fat i 1,8 mil bruger hvor de realtset kan bruge store md5 decyrpt services til at slå disse password op, ja så er det da et kæmpe problem at Ubuntu ikke har sikkeret sig bedre mod sådan et angrab :/

Men hvis det det er tilfældet at de bruger en hash key + md5 af kodeordet så får man bare lidt mere spam! :)
Gravatar #2 - HappyJaZZ
22. jul. 2013 10:36
1#
Eneste info fra http://ubuntuforums.org/announce.html er at de bruger salted hashes.
Gravatar #3 - tachylatus
22. jul. 2013 11:39
Dæ' nåeh skidt.
Så må man håbe alt deres brugere kan finde ud af at bruge sikre adgangskoder, der ikke bare lige kan slås op i en rainbow table.
Gravatar #4 - Perrep
22. jul. 2013 11:44
#3 hvis bare salt værdien har været stor nok, så burde rainbow tables ikke kunne bruges.
Gravatar #5 - Hubert
22. jul. 2013 12:19
Perrep (4) skrev:
#3 hvis bare salt værdien har været stor nok, så burde rainbow tables ikke kunne bruges.


Størrelsen på salt værdien har vel ikke nogen indflydelse. Så snart der er blandet et slalt ind i billedet vil en rainbow table være slået
Gravatar #6 - Perrep
22. jul. 2013 12:31
#5 jo det har betydning:

http://en.wikipedia.org/wiki/Rainbow_table#Defense...
Gravatar #7 - Hubert
22. jul. 2013 12:43
Perrep (6) skrev:
#5 jo det har betydning:

http://en.wikipedia.org/wiki/Rainbow_table#Defense...


Så for satan den havde jeg ikke lige været opmærksom på.
Gravatar #8 - ko
22. jul. 2013 14:08
Hubert (7) skrev:
Så for satan den havde jeg ikke lige været opmærksom på.


Hvor meget skal du hen og kode om nu?
Gravatar #9 - ITemplate
22. jul. 2013 14:43
Hubert (7) skrev:
Perrep (6) skrev:
#5 jo det har betydning:

http://en.wikipedia.org/wiki/Rainbow_table#Defense...


Så for satan den havde jeg ikke lige været opmærksom på.


Hvad artiklen ikke nævner, er at salt som tommelfinger-regel bør have samme længde som hash algoritmen, dvs. til SHA1 bør salt være 160 bits etc. Det giver et godt kompromis af storage+speed med det hardware vi har nu og i den nærmeste fremtid.

Gravatar #10 - Hubert
22. jul. 2013 15:44
ko (8) skrev:
Hvor meget skal du hen og kode om nu?


Jeg er heldigvis ikke udvikler så det gør ikke det store, at jeg har misset den del af saltning af passwords. :)
Gravatar #11 - clb92
23. jul. 2013 03:40
NeoNmaN (1) skrev:
Hmm, var de kodeord kun hashed med 1x Md5 eller havde de samlagt en hash key, jeg tænker bare for hvis de har fået fat i 1,8 mil bruger hvor de realtset kan bruge store md5 decyrpt services til at slå disse password op, ja så er det da et kæmpe problem at Ubuntu ikke har sikkeret sig bedre mod sådan et angrab :/

Men hvis det det er tilfældet at de bruger en hash key + md5 af kodeordet så får man bare lidt mere spam! :)


Ifølge en meddelelse fra en person der udgiver sig for at være hackeren:

skrev:
Encrypted with the default vBulletin hashing algorithm (md5(md5($pass).$salt).
Gravatar #12 - nielsbuus
23. jul. 2013 19:46
Jeg havde ikke regnet med at et firma som Canonical tillod så ringe en sikkerhed? MD5? C'mon.

Det er så let i dag at bruge en stærk adaptiv algoritme som Blowfish at der ikke er nogen undskyldning for at lade være.
Gravatar #13 - Slettet Bruger [1148412655]
23. jul. 2013 19:53
#12
Mener du bcrypt? Blowfish er da en symetrisk kryptering algoritme. bcrypt er baseret på Blowfish.
Gravatar #14 - Balios
25. jul. 2013 02:51
Er ved at være godt træt af at skulle finde på nye komplicerede koder. Er mere og mere gået over til at være ligeglad. De hjemmesider der ikke har sikkerheden iorden, må få skraldet.

In any case, hvis de vil frigive potentielt personfølsomme oplysninger fordi at de kan, eller som en øjenåbner, så skal de skydes...
Gravatar #15 - Vandmand
25. jul. 2013 06:16
Jeg synes det er lidt groft at de først nu (hvor mange dage efter?) informerer mig via email.

På så lang tid kan de sgu nå at bruteforce sig frem til min kode mindst 3 gange.
Gravatar #16 - csstener(^,^)
25. jul. 2013 16:01
#15
så få nogle længere kode :-P
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login