Engels Ubuntu forum ernstig gehacked

[Nunslaughter]

SMF biedt geen directe webinterface voor de database aan, dus je kan met het forumaccount van een admin niet direct in de database komen. Je kan als admin uiteraard wel bij de logingegevens van de database (verbindingsgegevens, username, password), maar daarmee kan je niet direct verbinding maken als de database-server goed is ingesteld.
[...]

Nu kan je als beheerder ook wel allerlei lijstjes oproepen in de forumsoftware, maar die geeft geen toegang tot wachtwoorden of priveberichten.

Misschien dat ge dit wil zeggen met de laatste zin, maar het is wel mogelijk om de database te downloaden als admin. Gelukkig is er inderdaad geen manier om langs de foruminterface veranderingen aan te brengen.

[Johan van Dijk]

Dat is inderdaad een optie, al werkt die bij een aantal fora/servers niet. Dan is de database te groot of zijn de rechten om een dump te maken van de database uitgeschakeld in de server.

Wat wel een mogelijkheid is: als admin kan je de php bestanden van het forum bewerken of nieuwe bestanden toevoegen vanuit de interface. Op die manier zou je er wel bij de database kunnen komen.

"SMF biedt geen directe webinterface voor de database aan"

Standaard niet nee maar dat wil niet zeggen dat je dat niet kunt instellen... SWB Forum heeft dat bijv. wel dus misschien dat Simplemachines dat ook gemod heeft.

Er is een mogelijkheid om een dump te maken (zie hierboven), maar die werkt vaak niet (en terecht, want die is niet zo betrouwbaar). Maar er is zeker geen webinterface vergelijkbaar met phpmyadmin waarin je rechtstreeks bij de database kan en mysql-commando's in kan geven.

[Vistaus]

Nogmaals: met een beetje modden heb je daar zo een web interface voor. SWB Forum heeft dat ook en ik vermoed dat Simplemachines dat ook heeft. SMF is moddable.

[asphyxia]

Nogmaals: met een beetje modden heb je daar zo een web interface voor. SWB Forum heeft dat ook en ik vermoed dat Simplemachines dat ook heeft. SMF is moddable.

'Een beetje modden', 'ik vermoed', daar kunnen we niet zoveel mee. Als je een gaatje weet in SMF (we hebben SMF2, btw) dan ga je dat best hier niet in het openbaar bezigen, maar stuur je een berichtje naar Johan en dan timmeren we dat gaatje dicht. Want we willen het hier dicht houden voor dergelijke avonturen.

[Johan van Dijk]

Nogmaals: met een beetje modden heb je daar zo een web interface voor. SWB Forum heeft dat ook en ik vermoed dat Simplemachines dat ook heeft. SMF is moddable.

Dan ben ik heel benieuwd welke mod zij gebruiken. Want ik kan op de mod site van SMF geen mods vinden die zo'n functie bieden.

Overigens willen we hier helemaal niet zo'n webinterface hebben. We doen alles via SSH tunnels wat veel veiliger is. Dus geen phpmyadmin, webmin of vergelijkbare producten die vaak doelwit zijn van aanvallen.

[gusteman]

tips wat te doen?

Als je hetzelfde wachtwoord wat je gebruikte voor Ubuntuforums.org ook voor andere dingen (dit forum, Gmail, Ubuntu One, enz., enz.) gebruikt kan je daarvoor het beste een ander wachtwoord instellen.

• Unfortunately the attackers have gotten every user's local username, password, and email address from the Ubuntu Forums database.
• The passwords are not stored in plain text. However, if you were using the same password as your Ubuntu Forums one on another service (such as email), you are strongly encouraged to change the password on the other service ASAP.

Omdat het niet leesbaar is opgeslagen zal het de "aanvallers" moeite kosten je wachtwoord te ontcijferen. Dit kan erg lastig zijn en wellicht niet lukken maar het wordt niet uitgesloten dat het toch lukt. Lukt het dan kan je wachtwoord misbruikt of bekend worden gemaakt. 

Heel verhelderend artikeltje gevonden op Ars Technica waar netjes duidelijk wordt gemaakt hoe eenvoudig het is om "ge-hash'te" paswoorden te ontcijferen.
Fluitje van een cent, zo blijkt het toch.

[Vistaus]

Heel verhelderend artikeltje gevonden op Ars Technica waar netjes duidelijk wordt gemaakt hoe eenvoudig het is om "ge-hash'te" paswoorden te ontcijferen.
Fluitje van een cent, zo blijkt het toch.

Niet helemaal. De wachtwoorden op Ubuntu Forums zijn opgeslagen met 128-bits-versleuteling, iets wat Ars Technica niet heeft gedaan.

[Johan van Dijk]

Nee dus:

In an e-mail, Silber told Ars the passwords were cryptographically scrambled using the MD5 hashing algorithm, along with a per-user cryptographic salt.

Ik neem aan dat de CEO van Ubuntu correcte informatie gaf aan een kwaliteitssite als Ars...

En hoewel de test gedaan was met hashes zonder salt, gaat het artikel ook in op hoe weinig een salt toevoegt aan de veiligheid.

[SeySayux]

Hoe beveilig ik mijn wachtwoorden correct?

Server-side:

• Gebruik geen MD5 of SHA. Dat zijn checksumhashes, geen wachtwoordhashes. Beiden zijn paralleliseerbaar, wat het ongelofelijk makkelijk maakt om GPUs er op los te laten. Gebruik Bcrypt. Dat is niet paralleliseerbaar.
  
• Voeg een salt toe. Voeg een serieus lange salt toe. Bcrypt vereist een salt om correct te werken.
  

User-side:

• Hergebruik geen wachtwoorden.
• Neem een wachtwoord van minstens 8 karakters. Liefst langer. Aangeraden tussen de 12 en 16 karakters.
  
• Wissel hoofdletters, kleine letters en getallen af.
• Best: gebruik een wachtwoordenbeheerder die een uniek, lang, willekeurig wachtwoord voor iedere site genereert. Kies een sterk, lang wachtwoord hiervoor. Mijn wachtwoord voor LastPass is meer dan 20 karakters lang en is een willekeurige opeenvolging van kleine letters, hoofdletters en cijfers. Ja, ik ken dat helemaal van buiten; ik hoef geen andere wachtwoorden meer te onthouden.
• Als je moeite hebt met lange wachtwoorden te onthouden, neem iets uitspreekbaar maar niet iets wat in het woordenboek staat! "Correct Horse Battery Staple" is al volledig gedebunkt. Mix hoofdletters, kleine letters en cijfers doorheen je "woord" uit.

[Pjotr]

niet iets wat in het woordenboek staat! "Correct Horse Battery Staple" is al volledig gedebunkt.

Interessant! Hoewel ik het jammer zou vinden.... Heb je een bron?

[SeySayux]

niet iets wat in het woordenboek staat! "Correct Horse Battery Staple" is al volledig gedebunkt.

Interessant! Hoewel ik het jammer zou vinden.... Heb je een bron?

In het eerder gelinkte artikel wordt uitgelegd hoe men dit soort wachtwoorden breekt: woordenboekaanvallen (dictionary attacks) zijn al redelijk simpel, alles wat je moet doen is twee woorden aan elkaar plakken. Het geeft een lichte verbetering, maar niet veel.

Voor wachtwoorden die complex moeten zijn, maar makkelijk te onthouden raad ik het volgende aan:

1) Hang een hoop willekeurige lettergrepen aan elkaar. Veel wachtwoordgenerators hebben hier een optie voor. Bijvoorbeeld LastPass: painesuadentarym. Dit wachtwoord is uitspreekbaar en dus gemakkelijker te onthouden.
2) Prop wat getallen ertussen: paine8suaden4tarym1
3) Rommel wat met hoofdletters/kleine letters: paINe8sUaDen4taRYM1

Klaar!

(Het probleem blijft nog steeds dat een wachtwoord simpel is om te onthouden juist omdat het weinig informatie/entropie bevat: we kunnen eenvoudig voorspellen wat volgt, dus weinig informatie. Deze methode werkt alleen maar omdat het moeilijk is voor aanvallers om te voorspellen. Van zo gauw veel mensen deze techniek gaan gebruiken kan het wel eens zijn dat woordenboeken en programma's worden aangepast om hiermee rekening te houden . Informatietheoretisch gezien is de beste optie om een lange string aan willekeurige symbolen te nemen, maar die zijn moeilijk om te onthouden.  Vandaar: wachtwoordbeheerders)

[Cheap Applications]

Dictionary attacks zijn inderdaad mogelijk daar op, wat ik daarom ook doe is mijn wachtwoord wel als een soort zin laten, maar wisselen in hoofd en kleine letters, plus een getal er in doen.
Dan niet zoals SeySayux het doet met paINe8sUaDen4taRYM1, maarmeerOPdezemanier18. De dictionary attack zal dan falen op de 18, en om het te kraken ben je gigantisch lang bezig omdat hij gewoon heel lang is.

EDIT: Artikel gelezen te hebben (door gescand), die van mij zal dan ook te kraken zijn. Alhoewel ik eigenlijk het getal nooit achteraan doe, is dat wel één van de zwakheden. Maar de andere kant van het verhaal is dat de wachtwoorden juist versleuteld moeten worden als ik het goed begrijp.

[Vistaus]

Ik doe er soms een speciaal teken in. Bijv.: ditisvistaussszijn@ubuntuwachtwoord232 Dat maakt het ook al een stuk lastiger.

[asphyxia]

Nog eens een suggestie 
Mensen onthouden makkelijk songteksten, en daar zijn er best wel veel van.
Jaren geleden kwam op een tuinfeestje iemand met muziek van Rene Froger aanzetten, menigeen zei 'bleh' maar iedereen kon zo de teksten mee zingen.

Laten we eens een voorbeeld nemen, gewoon een oude klassiekert (Horse with no name van America): https://www.youtube.com/watch?v=zSAJ0l4OBHM
Tweede en derde zin van het refrein (je zingt zo' n nummer zo mee): In the desert you can remember your name,
'Cause there ain't no one for to give you no pain. 
In beginletters: itdycrynctanoftgynp (de zin is taaltechnisch niet zo fraai, maar daar gaat het niet om)
Desgewenst de hoeveelheid kleine letters tussen de hoofdletters laten lopen volgens de rij van Fibonacci: https://en.wikipedia.org/wiki/Fibonacci_number,
(0,1,1,2,3,5,8...)
dan krijg je ITdYcRynCtanOftgynP. Vervolgens het huisnummer van de overburen erachter, of de leeftijd van je huisdier, of de eerste 4 cijfers van je BSN, gescheiden door een of ander symbool.

Geen idee hoe sterk dit cryptografisch is (zelfbedacht dus dit kan bagger zijn), daar moet een bedrevenere maar iets over zeggen. Uiteraard niet deze zin uit dit liedje nemen: La, la, la la la la, la la la, la, la; La, la, la la la la, la la la, la, la 

[Pjotr]

Tja, 100 % veiligheid is natuurlijk sowieso onhaalbaar; het gaat om het terugbrengen van het risico naar een redelijkerwijs aanvaardbaar laag niveau. De een zal hogere eisen stellen dan de ander.

De volgende zaken kunnen echter wel helpen:
- gebruik niet-Engelse woorden: alleen Nederlandse woorden gebruiken bemoeilijkt het "werk" van vele aanvallers;
- gebruik verschillende wachtwoorden voor verschillende diensten en doelen. Vrije associatie helpt om die te onthouden;
- en de allersterkste: gebruik waar mogelijk tweewegidentificatie, zoals de Rabobank met z'n Random Reader en de optie bij Gmail voor SMS-bevestiging (controlegetal).

Overigens klopt het in het artikel genoemde XKCD-voorbeeld niet helemaal: het is niet:

Code: [Selecteer]

correcthorsebatterystaple, maar:

Code: [Selecteer]

correct<spatie of bijzonder teken>horse<spatie of bijzonder teken>battery<spatie of bijzonder teken>staple
Vervang de vier Engelse woorden in die zin, door vier willekeurige Nederlandse woorden, en het blijft lastig om te kraken, lijkt me.... Ook met creatieve en inventieve toepassing van maskers.

[vanadium]

Het Engelse forum werd opnieuw geïnstalleerd, en wordt nu nog getest: het zal spoedig weer open gaan. Zes dagen black-out na zo een inbraak: pfew!

[Jenske]

Allemaal goed en wel, maar ik zou toch verwachten dat er dan op deze Nederlandse ubuntu-site een knots van een melding komt om je erop te wijzen dat je je paswoorden moet wijzigen.

Nu ben ik bijna per toeval op dit bericht gestoten. Ik log namelijk niet altijd en elke dag in op alle forums waar ik op zit.

[Tom]

Tsja het handelt zich niet om ons Forum ,en als u bij toeval op het Engelse moest zijn had u het ook bemerkt ,en af en toe uw wachtwoord veranderen als aanrader ,is normaal toch geweten dacht ik tenminste.

[erik1984]

Het Nederlandse en Engelstalige staan in principe los van elkaar, dus de admins van dit forum hoeven helemaal niks.

Maar goed, fijn dat Ubuntuforums.org weer open kan gaan binnenkort

[Vistaus]

Allemaal goed en wel, maar ik zou toch verwachten dat er dan op deze Nederlandse ubuntu-site een knots van een melding komt om je erop te wijzen dat je je paswoorden moet wijzigen.

Nu ben ik bijna per toeval op dit bericht gestoten. Ik log namelijk niet altijd en elke dag in op alle forums waar ik op zit.

Allemaal goed en wel maar als je de eerste pagina van dit topic had gelezen had je kunnen lezen dat Ubuntu-NL ten eerste andere forumsoftware heeft en ten tweede niet gehackt is. Alleen de Engelse is gehackt en wij hebben niks te maken met het Engelse forum dus ik ga de moeite niet nemen om er een prikbord-bericht aan te wijden.

[Vistaus]

@femke98: Ja, het Prikbord worden echt wel dingen op gemeld. En je zegt nu dat ik het onderhoud maar dat heb je verkeerd. We zijn een team en we geven de voorkeur om het prikbord te gebruiken voor dingen die Ubuntu-NL aangaan. Het Engelse Ubuntu-forum heeft niks te maken met Ubuntu-NL. Strikte regels zijn het niet, gewoon een teamvoorkeur, maar *ik* als teamlid voel er niks voor om tijd te besteden over iets te schrijven wat niets met Ubuntu-NL te maken heeft.

Wellicht dat dit een betere uitleg is dan mijn vorige post

(ik doe trouwens wel meer vrijwilligerswerk op internet dan alleen dit hoor dus ik ben zeker niet onbekend met het fenomeen)

[Cheap Applications]

Ik ben het wel met je eens Vistaus, maar zo te zien begrijpt niet iedereen direct dat Ubuntu-NL in geen manier verbonden is met de Engelse Ubuntu. Wellicht om volledig duidelijk hier over te zijn een kleine melding maken op het prikbord zodat men niet met vragen blijft zitten.

[Pieter2]

Ik ben het wel met je eens Vistaus,

Ik dus niet.

maar zo te zien begrijpt niet iedereen direct dat Ubuntu-NL in geen manier verbonden is met de Engelse Ubuntu.

Dat is maar hoe je het bekijkt. Ik dacht dat Ubuntu 1 grote community was / is.
Als er dus wat bij het het internationale forum gebeurd zou het niet meer dan nomaal zijn om het te melden.
Btw, op dat prikbord gebeurd zo goed als niets, lijkt mij dat er wel een berichtje geplaatst had kunnen worden ...

[Vistaus]

Ubuntu is een community ja, maar de fora staan VOLLEDIG los van elkaar.

En het Prikbord is wel actief hoor; er valt alleen even weinig tot niks te melden. Zomer = komkommertijd. Dat had je zelf ook wel kunnen bedenken...

[HarzG]

Dat de Ubuntu-gemeenschappen en fora los van elkaar opereren, weet iemand die bekend is met de Ubuntu-wereld en misschien ook iemand die met enige ICT-kennis.

Maar het is m.i. verstandiger om ook als Ubuntu.NL-gemeenschap de gebruikers zakelijk te informeren over een hack in een internationaal Ubuntu-forum en geen discussie daarover te voeren of er wel of geen stickie, algemeen forumbericht of wat dan ook geschikt voor is.

Een doorsnee NL-gebruiker, die reclame maakt voor Ubuntu in diens familie- en kennissenkring, krijgt op een dag gewoon de vraag/opmerking "maar jullie zijn toch gehackt". Als "wij" willen dat een doorsnee NL/BE-gebruiker adequaat kan reageren met correcte informatie uit eerste hand, dan is dat voor de Ubuntu-PR beter. Dus: denkt als NL-forumteam a.u.b. erover na.

Er is niemand geholpen met een algemene "er is hier niets aan de hand"-mededeling, want dat is defensieve informatie.
Als "wij" willen dat Ubuntu in NL bekender wordt, dan zijn naast de "techies" ook de  doorsnee NL/BE-gebruikers nodig. Op dit moment zijn "wij" als Linux-gebruikers bij minder dan 1,5% van de desktop/notebook "bekend". (bron: https://en.wikipedia.org/wiki/Usage_share_of_operating_systems)
Voor NL wordt een percentage van 0% getoond.