Canonical poinformowało o włamaniu na ich oficjalne forum Ubuntu. Jest to już drugi taki przypadek w historii przedsiębiorstwa. Pierwszy miał miejsce dokładnie 3 lata temu, a prawdopodobną przyczyną złamania zabezpieczeń była przestarzała wersja skryptu forum vBiulletin, która nie posiadała ochrony panelu admina. Tym razem jednak włamywacze wykorzystali metodę SQL injection, a dokładniej lukę w dodatku Forumrunner. Udało się pozyskać loginy i adresy email ponad 2 milionów użytkowników. Na szczęście hasła pozostały bezpieczne, dzięki usłudze Ubuntu Single Sign On.
Skala jest zatem ogromna, ale co najciekawsze administratorzy nic by nie wiedzieli o luce, gdyby ktoś nie zaczął się chwalić posiadaniem takowej bazy.
Oczywiście poczyniono już odpowiednie kroki zabezpieczające:
- Wykonano kopię zapasową forum i zainstalowano wszystko od zera
- Zaktualizowano vBiulletin do najnowszej wersji
- Zresetowano wszystkie hasła oraz systemy
- Zainstalowano ModSecurity oraz zaporę sieciową
- Poprawiono monitoring, szczególnie przy dodawaniu nowych łatek
Administratorzy podkreślają, że repozytoria oraz inne usługi są całkowicie bezpieczne.
Wykonano kopię zapasową forum… napastnicy pewnie też wykonali „kopię zapasową” i bazy danych z zahashowanymi hasłami… :D
A na co im hashe haseł? Przecież jeśli do hashowania użyto soli (nie uwierzę, że było inaczej) to same hashe są bezużyteczne.
W 100% się mylisz bo mając kopię bazy danych tego forum, posiadają przecież dostęp do soli. Sól przecież przechowywana jest dla każdego użytkownika również w bazie danych. Skąd wiedzieć gdzie dokleić sól? To też bardzo proste. Wystarczy dokonać detekcji oprogramowania forum. Jest do tego oczywiście oprogramowanie, ale nie trzeba się trudzić bo już w stopce widać że to jest vBulletin. Informacje na temat budowy hasha z solą znajdzie się bez problemu w sieci, ewentualnie można dokonać inżynierii odwrotnej w prosty sposób analizując kod źródłowy oprogramowania forum.
Jednak wszystkie lepsze, znane programy do łamania hashy mają już zaimplementowaną metodę łamania danego hasha. W przypadku programu hashcat (olchashcat na Windows) jest to wartość 2611 lub 2711 dla parametru -m:
„2611 | vBulletin v3.8.5 | Forums, CMS, E-Commerce, Frameworks”.
No tak, w końcu forum Ubuntu jechało na gotowcu a oni tam sobie za bardzo nie radzą z utwardzaniem czegokolwiek, więc wszystko to na luzie zadziała. ;-;
Oj jak dobrze, że nie mam tam nawet konta.