Engels Ubuntu forum ernstig gehacked

[testcees]

Dat de Ubuntu-gemeenschappen en fora los van elkaar opereren, weet iemand die bekend is met de Ubuntu-wereld en misschien ook iemand die met enige ICT-kennis.

Eens, het is evengoed denkbaar dat dit Nederlandstalige forum op de één-of-andere manier onderdeel was van het gehackte Ubuntuforums.com. Dit is niet zo. Teamleden hier weten dat. Gebruikers die meer dan gemiddeld geïnteresseerd zijn in de achtergrond van Ubuntu (en Ubuntu-nl) weten dat soms ook. Gebruikers met IT-kennis kunnen het wellicht zelf uitzoeken.

Dat het sommige forumleden niet zo duidelijk is wat de gevolgen van deze hack zijn voor dit Nederlandstalige forum (of Ubuntu-one, of hun e-mail account als ze daar hetzelfde wachtwoord gebruiken) begrijp ik en blijkt ook uit vragen in dit topic.

Iedereen kan worden verwezen naar het Engeltalige http://ubuntuforums.org/announce.html en gebruikers van Ubuntuforums hebben (als het goed is) een paar dagen geleden een Engelstalige e-mail ontvangen met informatie over deze hack.
Een geroemd voordeel van Ubuntu is ondersteuning in de eigen taal waardoor er geen bijzondere kennis nodig is van de Engelse taal om het te gebruiken (de Engelstalige uitleg is enigszins technisch en mogelijk niet voor iedereen even eenvoudig om te begrijpen, wat is de vertaling van "salted hashes", "gezoute Hasjiesj"? ).

De Duitstalige Ubuntu website, hoewel deze net zo goed los staat van Ubuntuforums.org,  heeft er wel een Duitstalig nieuwsbericht over: http://ikhaya.ubuntuusers.de/2013/07/21/ubuntuforums-org-wurde-gehackt/

[Vistaus]

@femke: "Eigen energie". HAHAHAHA. Je hebt geen idee wat ik allemaal doormaak en ik heb tevens NERGENS gezegd dat ik het in eigen energie steek dus ga me geen woorden in de mond leggen die ik nooit gezegd heb.

@HarzG: Jou mening Je geeft zelf al aan dat we nauwelijks bekend zijn en de mensen die ons wel kennen hebben dus al enige kennis. Zo bedoel je het waarschijnlijk niet en ik weet zelf ook wel dat er niet-technische gebruikers hier zitten maar zo komt je post wel over met je marktaandeel.

@testcees: Jou mening We kunnen er een berichtje aan wijden net als hun maar naar *mijn* mening is dat niet nodig, zoals eerder aangegeven. Andere Webteam-leden zijn uiteraard vrij een berichtje te schrijven.

"Een geroemd voordeel van Ubuntu is ondersteuning in de eigen taal waardoor er geen bijzondere kennis nodig is van de Engelse taal om het te gebruiken (de Engelstalige uitleg is enigszins technisch en mogelijk niet voor iedereen even eenvoudig om te begrijpen,"

Iemand die zich bij het ENGELStalige forum heeft ingeschreven moet al Engelse kennis hebben want het registratieformulier is ook in het Engels.


Bij deze houd ik erover op. Ik heb genoeg woorden besteed om ieders vragen/discussiepunten te beantwoorden. Dit topic verklaart precies wat er aan de hand is en in hoeverre dat Ubuntu-NL betrekt; moge het duidelijk zijn. Als iemand een Prikbord-bericht wil, dan is het afwachten of een ander Webteam-lid bereid is dat te schrijven. En anders stuur je niet-technische gebruikers maar naar dit topic

[testcees]

Zo bedoel je het waarschijnlijk niet en ik weet zelf ook wel dat er niet-technische gebruikers hier zitten maar zo komt je post wel over met je marktaandeel.

Ubuntu is er juist voor niet-technische gebruikers (die zelf geen Debian kunnen installeren).   

Iemand die zich bij het ENGELStalige forum heeft ingeschreven moet al Engelse kennis hebben want het registratieformulier is ook in het Engels.

Genoeg Engels kennen om een (zo eenvoudig mogelijke) registratiepagina in te vullen is niet altijd voldoende om technisch Engels goed te begrijpen. 

Bij deze houd ik erover op.

Goed plan, niet meer reageren, stopt dit topic vanzelf 

[testcees]

Je moet (het zelf weten maar je kan beter) verschillende wachtwoorden gebruiken. Tip: je kan voor verschillende diensten ook (is niet veiliger maar geeft soms meer privacy) een andere naam gebruiken.

Gebruik overal verschillende wachtwoorden. Op deze manier zijn niet al je profielen toegankelijk als er een wachtwoord zou lekken (hier is een wachtwoordkluis een goed hulpmiddel bij). Het kan ook prettig zijn om verschillende gebruikersnamen te hebben.

[markba]

Je moet (het zelf weten maar je kan beter) verschillende wachtwoorden gebruiken. Tip: je kan voor verschillende diensten ook (is niet veiliger maar geeft soms meer privacy) een andere naam gebruiken.

Dit alleen al zou een reden kunnen zijn om de NL-forumgebruikers te informeren. Want je zou er zo maar eens vanuit kunnen gaan dat de buitgemaakte inloggegevens van het internationale forum ook uitgeprobeerd zullen worden op de nationale fora. Iedereen met dezelfde inloginfo is dan de sjaak.

[Joris Donders]

Dit alleen al zou een reden kunnen zijn om de NL-forumgebruikers te informeren. Want je zou er zo maar eens vanuit kunnen gaan dat de buitgemaakte inloggegevens van het internationale forum ook uitgeprobeerd zullen worden op de nationale fora. Iedereen met dezelfde inloginfo is dan de sjaak.

Vandaar dat ik onmiddellijk mijn wachtwoord heb veranderd op dit forum  op het Debianforum moet ik dat nog doen bedenk ik me nu. Soit, ik denk dat hackers gewoon een prik hebben willen geven meer niet.

[Vistaus]

Je moet (het zelf weten maar je kan beter) verschillende wachtwoorden gebruiken. Tip: je kan voor verschillende diensten ook (is niet veiliger maar geeft soms meer privacy) een andere naam gebruiken.

Dit alleen al zou een reden kunnen zijn om de NL-forumgebruikers te informeren. Want je zou er zo maar eens vanuit kunnen gaan dat de buitgemaakte inloggegevens van het internationale forum ook uitgeprobeerd zullen worden op de nationale fora. Iedereen met dezelfde inloginfo is dan de sjaak.

ALS meneer de hacker überhaupt de tijd neemt om 128-bit-hashes te gaan ontcijferen voor duizenden, zo niet tienduizenden, buitgemaakte forumaccounts.

[markba]

Je moet (het zelf weten maar je kan beter) verschillende wachtwoorden gebruiken. Tip: je kan voor verschillende diensten ook (is niet veiliger maar geeft soms meer privacy) een andere naam gebruiken.

Dit alleen al zou een reden kunnen zijn om de NL-forumgebruikers te informeren. Want je zou er zo maar eens vanuit kunnen gaan dat de buitgemaakte inloggegevens van het internationale forum ook uitgeprobeerd zullen worden op de nationale fora. Iedereen met dezelfde inloginfo is dan de sjaak.

ALS meneer de hacker überhaupt de tijd neemt om 128-bit-hashes te gaan ontcijferen voor duizenden, zo niet tienduizenden, buitgemaakte forumaccounts.

Ontsleutelen is niet nodig want die hebben ze toch gewoon?

‘Every user’s local username, password, and email address [were stolen] from the Ubuntu Forums database’ Canonical say in a statement posted on the website, adding that while the ‘passwords (stolen) are not stored in plain text’ those who use the same password on other services should ‘change the password on the other service(s) ASAP.’
http://www.omgubuntu.co.uk/2013/07/ubuntu-forum-hacked-users-advised-to-change-passwords

[Vistaus]

Nee, die hebben ze niet. Citaat uit Canonical's e-mail:

"The passwords are not stored in plain text, they are stored as salted hashes."

Nogmaals: ze moeten dus eerst nog die hashes ontcijferen en dat kan veel tijd gaan kosten, zeker voor zoveel accounts.

[markba]

Nee, die hebben ze niet. Citaat uit Canonical's e-mail:

"The passwords are not stored in plain text, they are stored as salted hashes."

Nogmaals: ze moeten dus eerst nog die hashes ontcijferen en dat kan veel tijd gaan kosten, zeker voor zoveel accounts.

Ah, daar had ik overheen gelezen.

Maar dan nog blijft de aanbeveling van Canonical zelf staan:

However, if you were using the same password as your Ubuntu Forums one on another service (such as email), you are strongly encouraged to change the password on the other service ASAP.

[Vistaus]

Dat klopt, maar dan nog blijft mijn mening aangaande Ubuntu-NL onveranderd

[testcees]

ALS meneer de hacker überhaupt de tijd neemt om 128-bit-hashes te gaan ontcijferen voor duizenden, zo niet tienduizenden, buitgemaakte forumaccounts.

ALS meneer de hacker de buit gemaakte bestanden verspreid, verkoopt, lekt, of openbaar maakt kunnen ook anderen proberen wachtwoorden te ontcijferen. 

Het gaat totaal om 1,8 miljoen forumaccounts. Het is niet nodig ze allemaal te ontcijferen. Een klein aantal is al vervelend als daar toevallig jouw wachtwoord tussen zit. 

[erik1984]

Het Engelstalige forum is weer 'back in action'. Ze hebben wel de inlogmogelijkheden aangepast, je kunt nu alleen nog inloggen met een Ubuntu One SSO (Single Sign On). Het is wel handig om voordat je inlogt je voorkeursmailadres in U1 te wijzigen naar hetzelfde adres dat je op Ubuntuforums.org gebruikte. Anders krijg je bij inloggen automatisch een nieuw forumaccount (en dus ook zonder je koffiebonen ). http://ubuntu-discourse.org/t/logging-into-ubuntuforums/840/9

Je Ubuntu One wachtwoord moet je dus zeker wijzigen als dat hetzelfde was als op Ubuntuforums.org!

[Pjotr]

Het Engelstalige forum is weer 'back in action'. Ze hebben wel de inlogmogelijkheden aangepast, je kunt nu alleen nog inloggen met een Ubuntu One SSO (Single Sign On). Het is wel handig om voordat je inlogt je voorkeursmailadres in U1 te wijzigen naar hetzelfde adres dat je op Ubuntuforums.org gebruikte. Anders krijg je bij inloggen automatisch een nieuw forumaccount (en dus ook zonder je koffiebonen ). http://ubuntu-discourse.org/t/logging-into-ubuntuforums/840/9

Je Ubuntu One wachtwoord moet je dus zeker wijzigen als dat hetzelfde was als op Ubuntuforums.org!

Mooi zo! Dank voor het melden. 

[testcees]

Je Ubuntu One wachtwoord moet je dus zeker wijzigen als dat hetzelfde was als op Ubuntuforums.org!

Mooi zo! Dank voor het melden. 

Bedankt voor het melden in deze komkommertijd, http://ubuntuforums.org/ is terug.

er valt alleen even weinig tot niks te melden. Zomer = komkommertijd.

[Pjotr]

Je Ubuntu One wachtwoord moet je dus zeker wijzigen als dat hetzelfde was als op Ubuntuforums.org!

Mooi zo! Dank voor het melden. 

Bedankt voor het melden in deze komkommertijd, http://ubuntuforums.org/ is terug.

er valt alleen even weinig tot niks te melden. Zomer = komkommertijd.

Dat vind ik een oneigenlijk gebruik van mijn bericht. Misbruik mijn berichten a.u.b. niet om er derden mee dwars te zitten.

[testcees]

Voor wie er in geïnteresseerd is: Canonical heeft meer uitleg gegeven over de hack van het forum. Zie voor Nederlandstalig bericht hierover: https://www.security.nl/artikel/47256/1/Ubuntu_Forums_gehackt_via_XSS-aanval.html

[Vistaus]

Je Ubuntu One wachtwoord moet je dus zeker wijzigen als dat hetzelfde was als op Ubuntuforums.org!

Mooi zo! Dank voor het melden. 

Bedankt voor het melden in deze komkommertijd, http://ubuntuforums.org/ is terug.

er valt alleen even weinig tot niks te melden. Zomer = komkommertijd.

Die komkommertijd sloeg op het Prikbord en dat was ook duidelijk te lezen in die post waaruit je dit citaat haalde.

[Johan van Dijk]

Dus als je geen ubuntu One hebt, kan j eniet inloggen op hun forum. Hm.....................lekker dan.

Dat is je Ubuntu SSO account bij https://login.ubuntu.com/ en die wordt niet alleen voor Ubuntu One gebruikt. Ook het softwarecentrum, Launchpad en andere diensten maken gebruik van deze authenticatiemethode.

[testcees]

Dus als je geen ubuntu One hebt, kan j eniet inloggen op hun forum. Hm.....................lekker dan.

Dat is je Ubuntu SSO account bij https://login.ubuntu.com/ en die wordt niet alleen voor Ubuntu One gebruikt. Ook het softwarecentrum, Launchpad en andere diensten maken gebruik van deze authenticatiemethode.

Pluspuntje is dat je wachtwoord niet meer buit gemaakt kan worden bij een volgende hack, er bestaat immers geen forum-wachtwoord meer.

Aanvullend kan je de Ubuntu One toegang eerdaags nog veiliger maken. Er zijn plannen zijn voor multifactor authenticatie. Dan kan je wachtwoord gestolen worden, alleen met een wachtwoord kan je dan niet meer inloggen.
Om in te loggen is dan een 2^e code nodig, bijvoorbeeld van een mobiele app of een Yubikey.

https://help.ubuntu.com/community/SSO/FAQs/2FA

Door deze geslaagde hack komt er mogelijk meer aandacht komt voor dit 2^e-factor inlogproject (nu nog in beta).

[testcees]

Artikel over de hack op webwereld: Ubuntu-hacker lokte administrator in de val

Rare titel, had de hack kunnen worden voorkomen als de administrator zich niet in de val had laten lokken? Theoretisch wel, het was nodig een administrator naar een bepaalde forumpagina te lokken. Maar het is niet vreemd dat een administrator op verzoek van een forumbeheerder naar een bepaalde forumpagina kijkt (en zo ongemerkt "in de val" wordt gelokt). De oorzaak was met name een foutje in de vBulletin forumsoftware dat kon worden misbruikt.

Helaas blijft nog de vraag hoe de hacker zich kon voordoen (inloggen) als een (bekende) forumbeheerder onbeantwoord.

[Vistaus]

Helaas blijft nog de vraag hoe de hacker zich kon voordoen (inloggen) als een (bekende) forumbeheerder onbeantwoord.

Hij zal wel teveel gezouten hasjies gerookt hebben

[wowo]

KeePass heeft ook een web-interface; kijk in de plugins-sectie van KeePass. Activeer die en je kunt er ook overal bij door naar die interface te surfen via de daar genoemde URL en het wachtwoord op te geven.

Welke plugin bedoel je ?
Ik kom er niet achter ....