20.07.13 ubuntuforums.org'un Hacklenmesi

Başlatan ersinkandemir, 21 Temmuz 2013 - 02:07:08

« önceki - sonraki »

0 Üyeler ve 1 Ziyaretçi konuyu incelemekte.

ersinkandemir

Anasayfaya şöyle bir mesaj bırakılmış:



Site yönetimi de şöyle bir bildiri yayımlamış:

Alıntı YapUbuntu Forums is down for maintenanceThere has been a security breach on the Ubuntu Forums. The Canonical IS team is working hard as we speak to restore normal operations. This page will be updated regularly with progress reports.What we know
  • Unfortunately the attackers have gotten every user's local username, password, and email address from the Ubuntu Forums database.
  • The passwords are not stored in plain text. However, if you were using the same password as your Ubuntu Forums one on another service (such as email), you are strongly encouraged to change the password on the other service ASAP.
  • Ubuntu One, Launchpad and other Ubuntu/Canonical services are NOT affected by the breach.
Progress report
  • 2013-07-20 2011UTC: Reports of defacement
  • 2013-07-20 2015UTC: Site taken down, this splash page put in place while investigation continues.
If you're using Ubuntu and need technical support please see the following page for support:If you're looking for a place to discuss Ubuntu, in the meantime we encourage you to check out these sites:

vBulletin sistemi ile ilgili bir açık olsa gerek. Foruma üye olduğu şifreyi diğer hesaplarında kullanan varsa, o hesaplarının şifrelerinin değiştirilmesi öneriliyor. Ubuntu Forums üyeliği olanları uyarmış olalım bu konu aracılığıyla.
Where there's a shell, there's a way.



heartsmagic

Kötü olmuş bu durum. Özellikle de parolaların ele geçirilmiş olması. Her ne kadar şifreli olsa da kırılmaları ihtimal dahilinde. En azından kendi adıma endişe duydum örneğin şu haberden sonra.

Ayrıca zamanında forumda "Para verin de adam gibi bir forum yazılımı satın alın" diyen fuzuli insanları görmüştük. Demek ki neymiş, parayla da alsan, altınla da alsan yazılım yazılımdır.

Bu arada @Ersin Kandemir başlık olarak 20.06 demişsin ancak bu durum yeni olmuş. Alıntıda geçiyor:
Alıntı Yap2013-07-20 2011UTC: Reports of defacement
2013-07-20 2015UTC: Site taken down, this splash page put in place while investigation continues.

Düzeltiverdim başlığı.
Hayattan çıkarı olmayanların, ölümden de çıkarı olmayacaktır.
Hayatlarıyla yanlış olanların ölümleriyle doğru olmalarına imkân var mıdır?


Böylece yalan, dünyanın düzenine dönüştürülüyor.

ersinkandemir

#2
Pardon yanlış yazmışım. :)

Her sistemde açık bulunabilir tabii ki. Belki kullandığı eklentilerden belki kendisinden.

SMF gayet güzel çekiyor buranın yükünü bence de. :)

Bu da yeni açıklama: http://blog.canonical.com/2013/07/21/notice-of-security-breach-on-ubuntu-forums-site/
Where there's a shell, there's a way.



D@bbe

ubuntu forumları hacklenmiş? iddia chip.com.tr yazısında...  http://www.chip.com.tr/haber/ubuntu-forumlarina-hack-soku_41638.html
ve daha komik durumda yorumlar... sanırım yorum yazan ve beğenmeyenler hiç ubuntu kullanmamış...

poʍǝɹǝd bʎ ɔɐspǝɹ˙˙˙

ersinkandemir

Where there's a shell, there's a way.



D@bbe

kullanıcılar için risk az şifre ve kullanıcı adlarını düz metin belgesinde saklamamışlar şifreli bir dosyada duruyormuş... ancak şifre kırmada beceriklilerse ancak alabilirler ki bence risk gezi parkında gezerken karşıdan kereste taşıyan kamyondan sarkan kerestenin yüzünüze çarpma ihtimali kadar... 

poʍǝɹǝd bʎ ɔɐspǝɹ˙˙˙

D@bbe

bu konudaki dikkat edilecek şey yorumlar... adam hiç ubuntu kullanmaz ubuntu'yu kötüler... işte bu kişilere dikkat çekmek istedim...

poʍǝɹǝd bʎ ɔɐspǝɹ˙˙˙

cagriemer

Alıntı yapılan: ğarekhasen - 23 Temmuz 2013 - 20:21:58
kullanıcılar için risk az şifre ve kullanıcı adlarını düz metin belgesinde saklamamışlar şifreli bir dosyada duruyormuş... ancak şifre kırmada beceriklilerse ancak alabilirler ki bence risk gezi parkında gezerken karşıdan kereste taşıyan kamyondan sarkan kerestenin yüzünüze çarpma ihtimali kadar...

Kullanicilar icin risk az degil. (md5(md5($pass).$salt) ile saklaniyormus parolalar. md5 algoritmasinin gunumuz cihazlari icin ne kadar yetersiz kaldigi ortada. Bu yuzden eger ubuntuforums'taki sifrenizi baska hesaplarinizda da kullaniyorsaniz degistirmekte fayda var.

ersinkandemir

Koskoca sistemin böyle ucuz bir şifreleme yapması çok garip cidden.
Where there's a shell, there's a way.



KemalALKIN

Sanırım üye olmamıştım hiç. :D. Allah'tan Türkçe forumumuzu hacklemediler yahu :).
www.tckemal.ist

ersinkandemir

Bir haftadır kapalı forum. Şu an olası güvenlik zaafiyetlerine karşı test ediliyormuş sistem. Bugün-yarın açılır.

Güncellemeler zamanında yapıldığı sürece sorun yaşayacağımızı sanmıyorum. 0-day bir açık bulan birinin ilk hedefinin burası olacağına ihtimal vermiyorum. :)
Where there's a shell, there's a way.



alquirel

ubuntuforums'tan çalınan kullanıcı bilgilerini kullanarak simplemachines forumunun da üye bilgileri tablosunu çalmayı başarmışlar. (SMF'den gönderilen epostada bu şekilde yazıyor.)

Bence bu parola değiştirme işini hafife almamak lazım. Hatta çalınan şifreye benzer olan, tahmin edilebilir şifreler bile kullanmamak lazım.

ersinkandemir

SMF derken neyi kastettiniz? Ubuntu Forums vBulletin scriptini kullanmıyor muydu?
Where there's a shell, there's a way.



alquirel

SMF derken Simple Machines Community Forum'u kastettim. Gelen epostayı aynen paylaşırsam daha açıklayıcı olur sanırım.

Alıntı Yap
Dear valued community members,


On the 22nd of July 2013, it was discovered that unauthorized access to our website and database has been obtained on the 20th of July.
The method is similar to the hacks that were recently conducted at other websites, even though those sites used other software.
One of the admin accounts password was discovered, and from there further escalation wasn't too difficult considering admin privileges can do just about anything.

Unfortunately, we are 100% sure that our user database has been stolen.
As such we HIGHLY RECOMMEND, even implore you, to:
1.) Change your password on other websites you are using, if you use the same password there. This is very important to do, as it also will help prevent other websites being hacked through your compromised password, if it is compromised.
2.) Change your password here on our website.
3.) If you use the password you use here anywhere else, say for example to login to your webhost, it is highly urged to change it.
4.) Please note that personal messages may have also been compromised. We don't know for sure if the hacker only downloaded the user tables or not, although that's the only thing he/she is after. If they did: keep in mind that passwords you shared through PM should now be considered vulnerable. It's best not to take the risk and gamble, and just change any password you shared through PM as well.
5.) Charter members, current and past, are encouraged to change ALL passwords if they ever sent any in to us. That would include FTP.

Please keep in mind:
This is !!NOT!! a security issue with the SMF software. If you are running the latest SMF version you have nothing to fear from this hack if you use different passwords.

The method used by the hacker is that a database is downloaded from another hacked website, the passwords are attempted to be decrypted and if it is successful: they try to login to other websites using that username & password, or try to cross-reference by using password reset links.
Unfortunately for us, a Administrator used the same password elsewhere on another site and access to our site was obtained when the password from the other hacked site was successfully decrypted. As a result, the hacker was able to login here with admin rights.
Hundreds of websites have been hacked lately by using this method, so you are highly encouraged to change your passwords...

... And remember: don't use the same password on multiple sites!
It helps to prevent hacks like this.

Thank you for your consideration and we deeply apologize for any inconvenience this causes for you.
By changing your passwords, you will help ensure that other sites do not fall victim to this method of hacking and help put a halt to the hacking spree that has affected hundreds, if not thousands, of websites already.

Any questions, please do feel free to ask.
Please stay on topic.


Kind regards,
Board of Directors
Simple Machines

Özellikle kalın yaptığım yerler durumu açıklıyor. Yani olay yazılımsal bir açık değil, çalınan şifreleri kullanarak başka yerlerde yönetici olan kişilerin hesaplarına ulaşıp oradan veritabanına erişmek şeklinde.

plymouth

#14
Alıntı yapılan: cagriemer - 24 Temmuz 2013 - 02:18:01
Alıntı yapılan: ğarekhasen - 23 Temmuz 2013 - 20:21:58
kullanıcılar için risk az şifre ve kullanıcı adlarını düz metin belgesinde saklamamışlar şifreli bir dosyada duruyormuş... ancak şifre kırmada beceriklilerse ancak alabilirler ki bence risk gezi parkında gezerken karşıdan kereste taşıyan kamyondan sarkan kerestenin yüzünüze çarpma ihtimali kadar...

Kullanicilar icin risk az degil. (md5(md5($pass).$salt) ile saklaniyormus parolalar. md5 algoritmasinin gunumuz cihazlari icin ne kadar yetersiz kaldigi ortada. Bu yuzden eger ubuntuforums'taki sifrenizi baska hesaplarinizda da kullaniyorsaniz degistirmekte fayda var.

Dikkatimi çekti. Günümüz cihazlarından kaçında md5 ile ilgili bir problem var?

Alıntı yapılan: Ersin Kandemir - 24 Temmuz 2013 - 02:38:27
Koskoca sistemin böyle ucuz bir şifreleme yapması çok garip cidden.

md5 ucuz bir hash sistemi değildir. Neden hafife alıyorsunuz?
This life is not the real thing.
It is not even in Beta.
If it was, then OpenBSD would already have a man page for it

ersinkandemir

Rainbow table gittikçe genişliyor çünkü. Brute-force ile MD5 şifrelemeleri çözülebiliyor.
Ayrıca: http://www.zdnet.com/blog/security/md5-password-scrambler-no-longer-safe/12317
Where there's a shell, there's a way.



plymouth

Selamlar.
Bruteforce ile yapılmak istenen büyük ihtimalle kullanıcıların hatalarından faydalanmaktır. Bu noktada md5 yerine ne gelirse gelsin şansları eşittir. 2005 yılında md5 kırıldı diyor linkteki makalede. Ama nasıl kırıldığından bahsedilmiyor. Burada yapılan belkide, umutsuzca yıllardır biriktirilen md5 hashlerinin (rainbow table) bir tanesinin tutmuş olmasıdır. Buna kırılmak denemez.
"Rainbow table" aslında MD5'in zayıf olmasından değil, kullanıcının kolayca tahmin edilebilecek şeyleri şifre olarak kullanmasından faydalanır. Birazda site sahiplerinin şifre politikasından faydalanır. Bu durum hangi hash yöntemini kullandığınızdan bağımsız olarak her durumda eşit şansla oyuna başlamaktır. Testlerde md5 ile ilgili herhangi bir sızıntı ya da açık bulunmuş olsaydı, OpenSSL, OpenSSH gibi projeler zaten kullanımını imkansız kılarak önlem alırdı. Var mı öyle bir şey?

debug1: match: OpenSSH_4.3 pat OpenSSH_4*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_5.5p1 Debian-6+squeeze2
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr hmac-[b]md5[/b] none
debug1: kex: client->server aes128-ctr hmac-[b]md5[/b] none


Bir debian üzerinden bir Red Hat'a bağlandım OpenSSH ile. Hashleri md5 ile kontrol ettiler ve "key exchange" için oturum açıldı. Oturum boyunca bu hashler kullanılacak.
This life is not the real thing.
It is not even in Beta.
If it was, then OpenBSD would already have a man page for it

cagriemer

#17
Alıntı yapılan: plymouth - 28 Temmuz 2013 - 18:47:34
Dikkatimi çekti. Günümüz cihazlarından kaçında md5 ile ilgili bir problem var?

md5'in implementasyonuyla ilgili bir problem oldugunu soylemiyorum dikkat ederseniz orada. Hesaplanmasinin guncel donanimlar ile oldukca hizlandigi soylemeye calistigim sey. Buyurun duzgun bir ekran karti ile 350 milyon anahtar/saniye [1]. Ha keza oclHaschat[2] sayfasinda da istatistikler(milyar hesaplama/saniye duzeyinde) var bakmak isterseniz.

Bruteforce ile yapilmak istenen nasil kullanicilarin hatalarindan faydalanmaktir orasini pek anlayamadim ben de. Herkesin 20 karakter uzunlugunda birkac rakam, buyuk-kucuk harf ve ozel karakterden olusan sifre kullanmasini soyleyen bir sifre standardi mi var bilmedigimiz? Evet kolay sifreler daha hizli kiriliyor dogru fakat burada da dediginiz md5'in yerine ne getirilirse sansi aynidir dogru degil. md5 gibi saniyede milyonlarca hesaplamanin denenebilecegi algoritmalar yerine islemi yavaslastiran ve kisa sifreler icin dahi bu islemi pratiklikten cikarabilecek algoritmalar mevcut. Bunun icin de bcrypt ya da hatta scrypt'e bakabilirsiniz. Onemli olan ne kadar hizli denenebildigi. Yani ne kullanirsaniz kullanin esit olasiliklarda baslamiyor sifre kirmaya. Simdi bir de belki bir tanesinin tutmasi demissiniz ama bu da gercegi yansitmiyor. Ars Technica daha gecenlerde bir editoryal yazmisti. Suradan bu konuda hicbir bilgisi ve ozel donanimi olmayan bir insanin internette hazir buldugu program ve sozluklerle ne kadar sifre kirdigini okuyabilirsiniz.[3][4]

OpenSSL ya da OpenSSH niye kullaniyor? Hala buyuk bir dosyanin checksum'ini hizlica hesaplayabilmek icin kullanilabilir. Bu aklima ilk gelen ornek. Ha yok siz hmac-md5 diyorsaniz o tamamen apayri bir konu. hmac-md5, md5 yeterince saglam olmadigi icin kullanilamaz anlamina gelmiyor.[5]

[1] http://3.14.by/en/md5
[2] http://hashcat.net/oclhashcat-plus/
[3] http://arstechnica.com/security/2013/03/how-i-became-a-password-cracker/
[4] http://arstechnica.com/security/2013/05/how-crackers-make-minced-meat-out-of-your-passwords/
[5] http://tools.ietf.org/html/rfc6151

heartsmagic

Alıntı yapılan: KemalALKIN - 28 Temmuz 2013 - 04:44:35
Sanırım üye olmamıştım hiç. :D. Allah'tan Türkçe forumumuzu hacklemediler yahu :).

Eğer amaçları burası olsaydı muhtemelen o da olurdu. Gerçi olayı duyduğum gün ben parolamı değiştirmiştim burası için zira diğer tarafa da üyeydim (aynı parolayı kullanmanın sıkıntıları işte). Muhtemelen benim gibi üye olan diğer arkadaşlar da değiştirmiştir. Eğer SMF tarafına Ubuntuforums tarafından aldıkları bir yöneticinin parolası ile sızmışlarsa istedikleri yere bunu yapmaları mümkün, yeter ki hesabın olduğunu bilsinler.

@plymouth, @cagriemer olayı çok güzel açıklamış, üzerine bir şey eklemem mümkün mü bilmiyorum kendi adıma. Fakat işin pratik boyutuna bakmak istersen yukarıdaki açıklamayı da değerlendirebilirsin. Adamların aynı parola ile SMF'ye sızmaları bu kadar kısa sürdüyse işin içinde sadece kırılabilecek kadar kolay parolaların olduğunu düşünmüyorum. Zira oradaki yöneticinin bu kadar kolay parola algoritması seçmiş olduğuna ihitmal vermiyorum.

@cagriemer'in geçtiği  arstechnica'daki yazıyı (başka bir yerde okumuş da olabilirim) ben de görmüştüm zamanında ve işin hangi boyuta geldiğini "pratik" açıdan değerlendirmiştim kendi adıma. Çok iç açıcı değil kısacası. Kaldı ki mesele sadece md5 falan da değil, SHA kullanılsa da durum çok değişmiyor. Ben de bir uygulama bağlantısı geçeyim:

http://www.golubev.com/hashgpu.htm

Görülebileceği gibi oradaki kartlar elde edilemeyecek cinsten değiller. Günlük kullanımdaki kartlardan kendileri. Zaten bu iki özet algoritmasında sıkıntı olmasaydı SHA-3 için yarışma düzenlenir miydi?

http://en.wikipedia.org/wiki/NIST_hash_function_competition

Tuzlaya tuzlaya da bir yere kadar tabi, sonuç olarak tuzlama için de belirli bir şey seçmek durumunda kalınıyor ve o seçilen şey bir süre sonra kendisini tekrar etmeye başlıyor, böylece yeni yeni tablolar oluşmaya başlıyor. Kimse net bir şekilde "Şunu kullanın, bunu kullanmayın" diyemez sanırım ama olan biten ortada. Ya hızdan ödün verilecek ya da güvenlikten.
Hayattan çıkarı olmayanların, ölümden de çıkarı olmayacaktır.
Hayatlarıyla yanlış olanların ölümleriyle doğru olmalarına imkân var mıdır?


Böylece yalan, dünyanın düzenine dönüştürülüyor.

decent

http://ubuntuforums.org dün itibariyle çevrimiçi.

Alıntı Yap
Login has changed. Please read BEFORE logging in!

Ubuntu Forums is now using Ubuntu SSO at login.ubuntu.com for authentication. For more details, please see here.

For those new to the forum please register on login.ubuntu.com and then return to this page and login to the forums by clicking on the "Login with SSO" button at the top right of the page. If you already have an Ubuntu One (SSO) account, you need only click on the "Login with SSO" button.

If you have an existing Ubuntu Forums account please ensure that your preferred email address on login.ubuntu.com matches that associated with your Ubuntu Forums account. This way your accounts will be linked automatically. If you have an Ubuntu Forums account but no Ubuntu One (SSO) account, please go to login.ubuntu.com and create an Ubuntu One account with the same email address associated with your Ubuntu Forums account.

By logging in via Ubuntu One SSO, you agree to abide by the Ubuntu Forums Code of Conduct.