Biztonsági incidens az ubuntuforums.org-on

Ubuntu

Jane Silber ma egy bejelentést tett közzé, miszerint SQL injection sebezhetőséget kihasználva illetéktelenek az ubuntuforums.org-on hozzáfértek mintegy 2 millió felhasználónév / e-mail / IP cím adathoz. Viszont a jelszavak nem kompromittálódtak.

Részletek az incidenssel kapcsolatban itt olvashatók.

( Hunger | 2016. 07. 15., p – 18:05 )

No active passwords were accessed; the passwords stored in this table were random strings as the Ubuntu Forums rely on Ubuntu Single Sign On for logins. The attacker did download these random strings (which were hashed and salted).

???

Nem foglalkozom jelszótöréssel. Tehát ha nagyobb mennyiség esetén nincsen x% egyszerű jelszó, akkor jó eséllyel hamisítvány? Ez az x% mi alapján került kiszámításra? Milyen lehet egy használható kedvenc? jtr, hashcat? Vagy valami más?

"Belépés díjtalan, kilépés bizonytalan."
"Vajon mit várok a sorstól, ha hányok az édestől, és izzadok a sóstól."

Érdemes elsőre guglizni. :) Az 1234, password123 és tsaival mint dictionary attack esnek neki a sok hashnek és ami marad arra jön a bruteforce valami számológépes videokártyás cuccal. Persze vannak hash algoritmusok, amiket már direkt úgy írtak meg, hogy ne szeressék a videokártyák, de ahogy gyorsulnak a GPU-k lassan lehet újat írni. Így mégfontosabb, hogy mindenhol legalább 8 karakteres legyen a jelszavad és fontos dolgoknál 10+ (méginkább 12+) karakter és köszönőviszonyban se legyen az "egyéb" jelszavakkal, illetve érdemes rendszeresen változtatni.

Az is egyre nagyobb tendencia, hogy alamilyen keylogger vagy mentett jelszó gyűjtő malware-rel szórják még a népet, azaz legalábbis próbálnák. Ezen pedig csak a rendesen karbantartott rendszer használata segít és a jelszavak fejbentartása.

Használhatsz mindenhol 20+ karakteres erős véletlen jelszót is úgy hogy nem kell megjegyezni, se letárolni sehol. Már másik topic-ban írtam: Tedd össze egy stringbe a weboldal nevét és felhasználó neved, plusz adj a stringhez egy állandó mester jelszót és hash-eld, és használd ezt jelszónak.

Plusz ezt kombinálni a böngésző jelszó megjegyeztetésével + ott is mester jelszót beállítva.

Félre értitek:

A böngészőbe meg kell adnod a jelszót így is úgy is, ha belépsz egy weboldalra. Tehát ha nem megbízható a böngésződ, akkor régen rossz.

A böngésző tud egy mester jelszó kezelést, így a megjegyeztetett jelszavakat nem plain text tárolja a böngésző profilodban, hanem letitkosítva. De így a kényelmi faktor is meg van: ki tudja tölteni neked automatikusan. Fontos a jó aránya szerintem a kényelem kontra biztonságnak, különben el lesz cseszve hosszú távon.

És igen, úgy értettem hogy szerintem nem jó letárolni az összes jelszót egy harmadik fél szolgáltatásában, főleg nem netesben. A helyi gépeden a helyi saját böngésződben mester jelszóval titkosítva pont jó. A böngészőbe úgyis be kellene írnod naponta.

( sj | 2016. 07. 15., p – 22:36 )

a jelenseget sem ertem, hogy lehet 2016-ban sql injection-nel tamadhato cuccot osszedrotozni...

--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)


- We brought vBulletin up to the latest patch level.

- We’ve installed ModSecurity, a Web Application Firewall, to help prevent similar attacks in the future.

- We’ve improved our monitoring of vBulletin to ensure that security patches are applied promptly.

Sokkal inkább a fenti 3 mondatot érzem problémának 2016-ban. Kis odafigyeléssel rewriterule-okkal is sok huncutság megfogható lenne.

ezek sem rosszak amugy (tobb retegu vedelem rulez), de en ugy tartom, eloszor is az alkalmazasnak kell 100-asnak lennie...

--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)