Brecha de Seguridad en Ubuntu Forums

[[nlsgarcia]]

Club Delphi,

Cita:

Empezado por ubuntuforums.org

Hello,

You are receiving this message because you have an account registered with this address on ubuntuforums.org.

The Ubuntu forums software was compromised by an external attacker. As a result, the attacker has gained access to read your username, email address and an encrypted copy of your password from the forum database.

If you have used this password and email address to authenticate at any other website, you are urged to reset the password on those accounts immediately as the attacker may be able to use the compromised personal information to access these other accounts. It is important to have a distinct password for different accounts.

The ubuntuforums.org website is currently offline and we are working to restore this service. Please take the time to change your ubuntuforums.org account password when service is restored.

We apologize for any inconvenience to the Ubuntu community, thank you for your understanding.

The Canonical Sysadmins.

Al principio pensé que era una información falsa, pero comprobé la autenticidad de la información en el link: http://ubuntuforums.org/announce.html y el forums aun permanece fuera de línea lo cual indica la gravedad de la infiltración.

Estoy consciente de que cualquier sistema puede ser vulnerado, sin embargo es difícil imaginar que una plataforma tan segura y robusta como Linux y de una organización tan especializada como Canonical pueda sufrir este tipo de ataques, lo cual demuestra que lo que separa una plataforma de los Hackers no es solo su Tecnología en Seguridad Informática, sino también su Popularidad.

Lo bueno es que la brecha de seguridad será corregida y de seguro en futuras versiones de Ubuntu Server estas mejoras serán reflejadas de ser necesario

Nelson.

[Casimiro Notevi]

Bueno, el que sea ubuntuforums no quiere decir que tenga una seguridad especial, es un sistema estándar con el programa vBulletin, sí, el mismo que usamos nosotros y miles de webs de foros, y el ataque ha sido contra ese programa.
Si alguien (con conocimientos medios) quiere "atacar" un sitio web y le dedica el tiempo necesario, lo conseguirá. Cualquier sitio.

[[nlsgarcia]]

Casimiro Notevi,

Cita:

Empezado por Casimiro Notevi

...el que sea ubuntuforums no quiere decir que tenga una seguridad especial, es un sistema estándar con el programa vBulletin...

Pregunto: ¿Pero vBulletin funciona sobre un Ubuntu Server en el caso de Canonical, luego fue la seguridad de Ubuntu Server la que fue vulnerada lo cual indica algún tipo de falla a nivel de Firewall, Antivirus o IDS?.

Cita:

Empezado por Casimiro Notevi

...Si alguien (con conocimientos medios) quiere "atacar" un sitio web y le dedica el tiempo necesario, lo conseguirá. Cualquier sitio...

Quizás ciertos sitios web se puedan atacar con conocimientos medios, todo depende del tipo de seguridad implementada, sitios como Amazon, Google, Microsoft, entidades bancarias o alguna agencia del gobierno de USA no deben ser fácilmente vulnerables y el nivel de conocimientos para acceder a su información debe ser muy alto, si esto no es así entonces queda mucho camino por recorrer en seguridad informática

Nelson.

[Casimiro Notevi]

Cita:

Empezado por nlsgarcia

Pregunto: ¿Pero vBulletin funciona sobre un Ubuntu Server en el caso de Canonical, luego fue la seguridad de Ubuntu Server la que fue vulnerada lo cual indica algún tipo de falla a nivel de Firewall, Antivirus o IDS?.

Creo que ubuntuforums no tiene "nada que ver" con canonical ni con ubuntu, al igual que clubdelphi no tiene "nada que ver" con embarcadero.
Es un foro independiente que está alojado en Moscú (Rusia)

Cita:

Empezado por nlsgarcia

Quizás ciertos sitios web se puedan atacar con conocimientos medios, todo depende del tipo de seguridad implementada, sitios como Amazon, Google, Microsoft, entidades bancarias o alguna agencia del gobierno de USA no deben ser fácilmente vulnerables y el nivel de conocimientos para acceder a su información debe ser muy alto, si esto no es así entonces queda mucho camino por recorrer en seguridad informática
Nelson.

Queda mucho camino por recorrer en seguridad informática
Primero de todo aclaro que yo no soy ningún experto, aunque llevo trabajando en informática 2013-1984=29 años y sólo puedo decir que te sorprenderías de lo "relativamente" fácil que puede llegar a ser. Y no puedo contar nada más, que esto es un lugar público

[[nlsgarcia]]

Casimiro Notevi,

Cita:

Empezado por Casimiro Notevi

...sólo puedo decir que te sorprenderías de lo "relativamente" fácil que puede llegar a ser...

Nelson.

[[rretamar]]

Cita:

Empezado por Casimiro Notevi

Bueno, el que sea ubuntuforums no quiere decir que tenga una seguridad especial, es un sistema estándar con el programa vBulletin,

No deja de ser una paradoja que Canonical monte su sistema de foros sobre software privativo.

[Casimiro Notevi]

Cita:

Empezado por rretamar

No deja de ser una paradoja que Canonical monte su sistema de foros sobre software privativo.

Es que, como he dicho antes, creo que no tiene nada que ver con Canonical, al igual que clubdelphi no tiene nada que ver con Embarcadero.

[[egostar]]

Hola

El problema no tiene nada que ver con el sistema operativo, el problema fué que encontraron la forma de "robarse" la base de datos, no solo de vBulletin, también de SMF y otros.

En esas bases de datos consiguieron obtener los usuarios, contraseñas y sitios web, y bueno, el problema de ubuntuforums.org, tiene que ver más con el más básico de los errores de seguridad,

¡ NUNCA DEBES DE TENER EL MISMO USUARIO Y LA MISMA CONTRASEÑA EN TODOS TUS SITIOS !.

Si, así con mayúsculas y en negrita, una experiencia digna de tomar en cuenta y hacer una revisión de las contraseñas que tengas en todos tus sitios/servicios.

Saludos

[[nlsgarcia]]

egostar,

Cita:

Empezado por egostar

...no tiene nada que ver con el sistema operativo, el problema fue que encontraron la forma de "robarse" la base de datos...

Pregunto: ¿Podrías explicarte un poco mejor, no me queda claro que comentas que sucedió?

Cita:

Empezado por egostar

¡ NUNCA DEBES DE TENER EL MISMO USUARIO Y LA MISMA CONTRASEÑA EN TODOS TUS SITIOS !

Es correcto

Nelson.

[[egostar]]

Cita:

Empezado por nlsgarcia

egostar,
Pregunto: ¿Podrías explicarte un poco mejor, no me queda claro que comentas que sucedió?

Hola Nelson, recibí un correo por parte de SMF y en su foro lo debatieron y creo que ésto te puede clarificar más el asunto.

Cita:

Empezado por SMF

Dear valued community members,


On the 22nd of July 2013, it was discovered that unauthorized access to our website and database has been obtained on the 20th of July.
The method is similar to the hacks that were recently conducted at other websites, even though those sites used other software.
One of the admins account password was discovered, and from there further escalation wasn't too difficult considering admin privileges can do just about anything.

Unfortunately, we are 100% sure that our user database has been stolen.
As such we HIGHLY RECOMMEND, even implore you, to:
1.) Change your password on other websites you are using, if you use the same password there. This is very important to do, as it also will help prevent other websites being hacked through your compromised password, if it is compromised.
2.) Change your password here on our website.
3.) If you use the password you use here anywhere else, say for example to login to your webhost, it is highly urged to change it.
4.) Please note that personal messages may have also been compromised. We don't know for sure if the hacker only downloaded the user tables or not, although that's the only thing he/she is after. If they did: keep in mind that passwords you shared through PM should now be considered vulnerable. It's best not to take the risk and gamble, and just change any password you shared through PM as well.
5.) Charter members, current and past, are encouraged to change ALL passwords if they ever sent any in to us. That would include FTP.

Please keep in mind:
This is !!NOT!! a security issue with the SMF software. If you are running the latest SMF version you have nothing to fear from this hack if you use different passwords.

The method used by the hacker is that a database is downloaded from another hacked website, the passwords are attempted to be decrypted and if it is successful: they try to login to other websites using that username & password, or try to cross-reference by using password reset links.
Unfortunately for us, a Administrator used the same password elsewhere on another site and access to our site was obtained when the password from the other hacked site was successfully decrypted. As a result, the hacker was able to login here with admin rights.
Hundreds of websites have been hacked lately by using this method, so you are highly encouraged to change your passwords...

... And remember: don't use the same password on multiple sites!
It helps to prevent hacks like this.

Thank you for your consideration and we deeply apologize for any inconvenience this causes for you.
By changing your passwords, you will help ensure that other sites do not fall victim to this method of hacking and help put a halt to the hacking spree that has affected hundreds, if not thousands, of websites already.

-edit for clarification-
Yes, the passwords are stored with encryption.
Unfortunately, even encrypted passwords can be decrypted. Hence, the passwords used here should not be considered safe anymore.


Any questions, please do feel free to ask.
Please stay on topic.


Kind regards,
Board of Directors
Simple Machines

Enlace

Saludos

[[nlsgarcia]]

egostar,

Gracias

Nelson.

[[maeyanes]]

Hola...

Cita:

Empezado por Casimiro Notevi

Creo que ubuntuforums no tiene "nada que ver" con canonical ni con ubuntu...

Según la fima del comunicado que pegó nlsgarcia:

Cita:

The Canonical Sysadmins.

Parece ser que si tienen que ver con Canonical.



Saludos...

[[movorack]]

Según entiendo, si es parte de Canonical

[Casimiro Notevi]

Sí, lo he leido hace un rato.

[[nlsgarcia]]

Casimiro Notevi,

Cita:

Empezado por ubuntuforums.org

Login has changed. Please read BEFORE logging in!

Ubuntu Forums is now using Ubuntu SSO at login.ubuntu.com for authentication. For more details, please see here.

For those new to the forum please register on login.ubuntu.com and then return to this page and login to the forums by clicking on the “Login with SSO” button at the top right of the page. If you already have an Ubuntu One (SSO) account, you need only click on the “Login with SSO” button.

If you have an existing Ubuntu Forums account please ensure that your preferred email address on login.ubuntu.com matches that associated with your Ubuntu Forums account. This way your accounts will be linked automatically. If you have an Ubuntu Forums account but no Ubuntu One (SSO) account, please go to login.ubuntu.com and create an Ubuntu One account with the same email address associated with your Ubuntu Forums account.

By logging in via Ubuntu One SSO, you agree to abide by the Ubuntu Forums Code of Conduct.

Ciertamente ubuntuforums.org es parte de Canonical.

Lo que no queda claro fue exactamente como ocurrió la brecha de seguridad, si fue igual a lo comentado en el Msg #10 u otro tipo de intrusión, ciertamente la unificación de Ubuntu Forums y Ubuntu One es un intento de mejorar la seguridad y minimizar la posibilidad de nuevas vulnerabilidades por parte de los hackers.

Espero sea útil

Nelson.

[Julián]

La bd la pueden haber "robado" simplemente pillandole la contraseña a algún admin, o a causa de algún fallo en el vbulletin o cualquier otra cosa, sin que tenga nada que ver el que usen o no ubuntu.


Y eso sí, si es verdad que usan vbulletin, es realmente vergonzoso que la gente de Ubuntu use una aplicacion NO LIBRE para su foros. Y doblemente grave si tenemos en cuenta que el vbulletin, ademas de cerrado y caro, es una MIERDA. Sólo hay que ver su código para comprobarlo.

Jau!

[Casimiro Notevi]

Cita:

Empezado por Julián

Y eso sí, si es verdad que usan vbulletin, es realmente vergonzoso que la gente de Ubuntu use una aplicacion NO LIBRE para su foros.

Eso es algo penoso, tendría justificación si no existieran programas libres para foros, pero la mayoría de los que existen son libres e incluso mejores.

[[rretamar]]

Tampoco es algo que sorprenda tanto: Canonical dentro de su instalador de software publicita programas privativos. Y, y para el diseño gráfico se usaron...Mac (más cerrado que eso, imposible).

[Casimiro Notevi]

¿Más cerrado que el sistema de los mac?, windows.
Ya que el sistema de los mac es BSD, libre.

¿Dónde has leido lo que dices sobre el diseño?

[[rretamar]]

xBSD (que Apple tomó como base para su SO) sí es libre, pero la liencia BSD permite que los desarrollos derivados puedan ser privativos, que es lo que hizo Apple: su SO es (bien) cerrado.

http://blogubuntu.com/el-nuevo-disen...pasado-por-mac