LINUX.ORG.RU

ubuntuforums.org взломан

 ,


1

2

Одно из самых популярных сообществ по linux-системам, официальный форум семейства ОС Ubuntu был взломан.

Один из пользователей лора поделился скриншотом дефейса одной из страниц сайта.

Уже известно, что злоумышленники получили доступ к логинам, паролям и email'ам всех пользователей. Остальные сервисы компании (Ubuntu One, Launchpad, и т.д.), как утверждается, затронуты не были.

Сайт ubuntuforums.org начал работу в конце 2004-го года, и к данному времени имел около двух миллионов зарегистрированных пользователей и примерно такое же количество созданных тем. Форум работал на коммерческом движке vBulletin.

>>> Подробности

★★★★★

Проверено: tazhate ()
Ответ на: комментарий от shuck

Программист ПХП на любом языке сможет писать код ПХП.

Ты знаешь, код C++ программиста на PHP тоже выглядит своеобразно и он очень дыряв.

winddos ★★★
()
Ответ на: комментарий от special-k

Работа изнутри

Считайте болезнью всех открытых сообществ :) Ибо ротация без ответственности.

special-k ★★★★
()
Ответ на: комментарий от special-k

Другое дело персональные данные, хорошо бы их убрать вообще, а такие вещи как письмо на email решать через openid (и ему подобные) напрямую.

special-k ★★★★
()
Ответ на: комментарий от anonymous

а я всегда говорил что на пхп ничего путного сделать нельзя.

А я говорил всегда что беспутье - обсирать что-то труд и ничего больше не делать.

pihter ★★★★★
()

Если бы ССЗБхомячьё не использовало один и тот же логин-пароль на всех ресурсах, ни кто бы и не пострадал от такого взлома

af5 ★★★★★
()
Ответ на: комментарий от dobs

ну Вы так говорите будто проблема взлома это проблема самого языка...

Конечно языка, на ПЫХЕ пишут только неграмотные и только криво и никто никогда ни копейки на этом не зарабатыват! Вот на «любом другом языке» ситуация прямо противоположная, пишут сплошь профессионалы, всегда купаются в золоте и ничего у них никогда не взламывают

pihter ★★★★★
()
Ответ на: комментарий от pihter

Ну естественно в той же базе которую слили, только вот разная соль делает невозможным брут нескольких хешей одновременно. А это значительно усложняет процесс массового брута.

winddos ★★★
()
Ответ на: комментарий от Oleaster

На лоре меня не забанили еще ни разу. А там это дело двух минут. Хватит только в теме сказать противоложное мнение. Причем не говорю, оспаривать действия админа или модера. Нет. Именно не быть согласным с ним, к примеру что земля круглая. Бан. Там админ и модеры не адекваты полные.

ihappy
()
Ответ на: комментарий от I-Love-Microsoft

Нытик? Где я ныл? Если ты только его читаешь, то конечно там все хорошо. А у меня там первый бан за создание темы, с просьбой о изменения раздела новостей. В итоге бан с припиской «Не умничай»))

ihappy
()
Ответ на: комментарий от ihappy

Просто ты один такой :) Остальные обходятся без самодеятельности ;)

Ничего страшного в этом нет, просто некоторые по невообразимым причинам конфликтуют, вот и тебе нервный модератор попался, да и мне бы такое не понравилось. Просто надо новый акк сделать, и негатив о тебе забудут :)

I-Love-Microsoft ★★★★★
()
Ответ на: комментарий от winddos

Ну естественно в той же базе которую слили, только вот разная соль делает невозможным брут нескольких хешей одновременно. А это значительно усложняет процесс массового брута.

Я вот в толк все никак не возьму, все эти ваши соли, они ведь никак не защищают пароль от подбора? Только усложняют брутфорс (==больше времени на брутфорс), но ведь усложнение не критичное? То есть время подбора все равно не миллионы лет?

По факту, что md5(pass), что md5(md5(pass)), что md5(md5(pass).md5(salt)) ничего не меняют, кроме времени брутфорса. (причем везде - некритично)

Вопрос крипто-кунам почему бы просто не сделать эн раз md5-хеш от пароля? Чем соль круче? ведь взять сто раз мд5 хеш при регистрации или проверке пароля - не так уж и нагружно, ибо не каждую секунду делается, а подобрать будет в сотой степени сложнее? В чем я неправ?

pihter ★★★★★
()
Ответ на: комментарий от I-Love-Microsoft

Нет, в таких случаях следует обратиться к администрации. Адекватная администрация выдаёт пендаль модератору или вообще посылает его подальше от модерки. Но адекватные администрации на форумах, к сожалению, редко встречаются в СНГ.

Goury ★★★★★
()
Ответ на: комментарий от pihter

Ты не прав тем, что этот способ усложняет проверку пароля сильнее, чем перебор. Это как в Москве начали бороться непонятно с чем и понаставили заборов везде, где только можно. Ничего не побороли, но дворами теперь ни где ни пройти ни проехать. Качество жизни понизилось и никакой компенсации нет.

А сложные пароли (20+ не слованрых символов всех сортов) и так не подбираются ни за сколько лет ни с какой солью

Goury ★★★★★
()
Ответ на: комментарий от pihter

Cейчас вообще делают и соль, и много-много хеширований. В django, по-крайней мере, новых так по дефолту.

Binary ★★★★★
()

А русскоязычный не взломан,не?а то я там зареген

Vitalik
()

Мдее...

Что можно сказать, всё ужасно, есть инфа, что ломалки пришли от ubisofta (во всяком случае на tor такая инфа лежит). Сочувствую тем, кто юзает 1 и тот же пароль везде =( . Не надо так.

qwakA
()
Ответ на: комментарий от ihappy

Глуп твой папа, что пустил тебя в ИТ.
Похапэха - ничуть не более «различный» язык, чем лисп, си или ASP. Просто он сделан дебилом для дебилов - ну ты очень близок к их аудитории. Нормальный прогер не касается похапэ ни под каким видом.

matumba ★★★★★
()
Ответ на: комментарий от pihter

То есть время подбора все равно не миллионы лет?

Это зависит от сложности самого пароля. Вставь в него редко используемый символ, и никто никогда в жизни его не сбрутит.

По факту, что md5(pass), что md5(md5(pass)), что md5(md5(pass).md5(salt)) ничего не меняют, кроме времени брутфорса. (причем везде - некритично)

Так же как и соль любой нестандартный подход не дает воспользоватся уже готовой базой.

Вопрос крипто-кунам почему бы просто не сделать эн раз md5-хеш от пароля? Чем соль круче?

Соль не круче, у соли другая функция. Представь себе, что у тебя есть скажем 100 хешей которые ты хочешь побрутить. Три разные ситуации:
1 - Если соли нету, то можно взять уже готовую базу хешей или воспользоватся веб сервисом. Например cmd5.ru у них правда десятки терабайтов хешей, хоть он и платный. Или сгенерить свою базу, но нужно очень много быстрых винтов. При этом на видеокарте если ты брутишь, то ты можешь одновременно брутить очень много хешей.
2 - Если соль есть, но общая, то готовой базой уже не воспользуешься, но можно сгенерить свою. Но ты ещё можешь одновременно брутить много хешей.
3 - Если же соль есть и она для каждого пароля разная, то можно исключительно брутить, и брутить надо каждый пароль по отдельности. Т.е ни о каком массовом бруте не может быть речи.

Понятно объяснил?

ведь взять сто раз мд5 хеш при регистрации или проверке пароля - не так уж и нагружно, ибо не каждую секунду делается, а подобрать будет в сотой степени сложнее?

Да, но так к сожалению мало кто делает.

winddos ★★★
()
Ответ на: комментарий от matumba

Нормальный прогер не касается похапэ ни под каким видом.

нормальный прогер по 10 раз в день демонстративно говорит, что не касается пхп ни под каким видом

xtraeft ★★☆☆
()
Ответ на: комментарий от Polugnom

Оупенсорсный форум на проприетарном движке? Canonical такая Canonical.

Оупенсоурсные движки такие оупенсоурсные?

rtvd ★★★★★
()

Регистрировался там. В упор не могу вспомнить на какой ящик. Надеюсь, в целом все обойдется и будет повторение урока - пароли на форумах должны отличаться от паролей почтовых ящиков.

Pidgin ★★
()
Ответ на: комментарий от chromium

Жестите товарищ =) У всех есть + и - , смысл спорить на эту тему - нету смысла =)))

qwakA
()
Ответ на: комментарий от vertexua

Так была включена или нет?

Другая страна это же ещё не повод отказывать в авторизации.

aidaho ★★★★★
()

Проходя мимо напоминаю что изначальная команда разработчиков давно покинула компанию vBulletin и сам vBulletin очень давно не развивается почти никак, аналогично у него с фиксами безопасности, вместо этого компания судится со своими разработчиками, которые теперь разрабатывают XenForo, несмотря на то, что XenForo был написан с нуля и не содержит кода vBulletin.

То, что ubuntuforums не перешли на XenForo, выявляет у администрации самих себе злобных буратин.

soslow
()

получили доступ к логинам, паролям и email'ам всех пользователей

а почему не к сотовым телефонам, кодам от домофонов, спискам содержимого холодильников...

aptemka
()
Ответ на: комментарий от anonymous

а я всегда говорил что на пхп ничего путного сделать нельзя.

Зашёл в комменты ради этого комментария.

th3m3 ★★★★★
()
Ответ на: комментарий от pihter

ОС BSD не нужна. А лицензия пока ещё сгодится — для разработчиков, которые не вполне созрели духовно.

Oleaster ★★★
()
Ответ на: комментарий от Goury

Ты не прав тем, что этот способ усложняет проверку пароля сильнее, чем перебор.

Ну не правда, взять хэш проще в любом случае чем подобрать пароль по хэшу.

А сложные пароли (20+ не слованрых символов всех сортов) и так не подбираются ни за сколько лет ни с какой солью

У самого-то такие и везде разные? Мне проще было б акк на лоре профукать один раз в жизни, чем всю жизнь мучаться с такими монстропаролями, которые я не в силах запомнить

pihter ★★★★★
()
Ответ на: комментарий от Binary

Cейчас вообще делают и соль, и много-много хеширований. В django, по-крайней мере, новых так по дефолту.

не удивлен

pihter ★★★★★
()
Ответ на: комментарий от matumba

Нормальный прогер не касается похапэ ни под каким видом.

Сколько раз видел этот тезис, столько раз мне так никто и не объяснил с примерами чем пых принципиально хуже других языков (мне после паскаля и си вообще высокоуровневые языки странными кажутся, но пых все ругают, а JS - хвалят в чем такая уж разительная разница - не пойму)

pihter ★★★★★
()
Ответ на: комментарий от soslow

ух ты, третий вменяемый человек в комментариях :)
если ты в теме, может дашь источник на то, что в xenforo нет кода vbulletin?
я не в теме, но слышал что он там есть.

xtraeft ★★☆☆
()
Ответ на: комментарий от pihter

столько раз мне так никто и не объяснил с примерами чем пых принципиально хуже других языков

пхп - для быдла, а они не такие.

xtraeft ★★☆☆
()
Ответ на: комментарий от winddos

Понятно объяснил?

Более чем, огромное спасибо, теперь все ясно.

Да, но так к сожалению мало кто делает.

имхо, это сделает практически невозможным подбор базы. или все же можно исхитрить?

pihter ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.