Biztonsági incidens az Ubuntu Forums-on

Titkosítás, biztonság, privát szféra

Az Ubuntu Forums jelenleg nem elérhető. A weboldalon egy közlemény olvasható arról, hogy a szolgáltatást támadás érte, ezért leállították. A Canonical infrastruktúra csapata megkezdte a szolgáltatás helyreállítását.

A támadók nem csak deface-elték az vBulletin-alapú fórumot, hanem elvitték a közel 2 millió regisztrált felhasználó felhasználónevét, jelszavát, e-mail címét. A jelszavak nem plain text-ben tárolódtak. Ennek ellenére, ha valaki ugyanazt a jelszót használta az Ubuntu Forums-on és más helyeken is, célszerű a többi helyen mihamarabb jelszót váltani. Az Ubuntu One, Launchpad és más Ubuntu/Canonical szolgáltatások nem érintettek az incidensben.

A részletek közleményben.

( Nyosigomboc v | 2013. 07. 21., v – 08:35 )

"célszerű a többi helyen mihamarabb jelszót váltani"
..meg gondolom ha sikerult helyreallitani, akkor az Ubuntu Forums-on is :)

--
The programmers of tomorrow are the wizards of the future. You know, you're going to look like you have magic powers compared to everybody else. -Gabe Newell

( Salcay v | 2013. 07. 21., v – 09:45 )

Már várom, hogy Windozer barátaink ujjal mutogassanak majd az esetre, pedig a problémának szerintem köze nincs az OShez. Eleve a web mögötti adatbázist vitték el. Valószínűleg bármelyik másik oprendszeren is benyelték volna.

De akár h is nézzük, szégyen az open source szoftveresek számára egy újabb incidens (és nem, én is ide húzok, így mondhatni én is szégyenlem)...
Tudom, hogy nem létezik olyan rendszer, amit nem lehetne feltörni, de ha már valami ilyen nagy adatbázissal rendelkezik, akkor szerintem 100x jobban kellene biztosítani...

A bejelentésben nem találtam további részleteket a támadás típusáról, valaki tud még közelebbit? (Mert gondolom nem találtak fel a támadók vmi forradalmian újat, hogy azzal csapják szét a fórumot... vszinű, hogy valami nem volt védve.)

Tudsz mondani olyan helyet - beleértve az FBI-t, a Microsoft-ot, az Apple-t, a Google-t, a Lockhead-Martin-t és még hosszasan sorolhatnám a nyílt forráshoz köze nincs helyeket - ahova az elmúlt 1-2 évben nem törtek be? Pedig ezek a szervezetek milliárdokat költenek infrastruktúrára, emberanyagra. Hogyan gondolod a jobban biztosítást, ha fent említettek sem tudják megoldani?

--
trey @ gépház

trey +1

Ma már nem kérdés, hogyha be akarnak törni valahová, akkor oda be is fognak. A kérdés az, hogy az ellopott adatok, hogy voltak védve. Megfelelő titkosítás mellett, azt keményebb feltörni (értsd 100 évig tart), mint a web szerver mögötti adatbázist. A másik, hogyha megtalálják a betörés módját, nyíltan publikálják-e a módszert és a védekezést is, hogy mások is okuljanak belőle! Értem ezalatt, hogy nem sunnyognak, tagadnak, hanem igazi open source módon kommunikálnak-e netán...

*** Snowman ***

Hogyan gondolod a jobban biztosítást, ha fent említettek sem tudják megoldani?

akkor az open source csak akkor ad hatekonyabb vedelmet a betores(ek) ellen, ha a fentebb emlitett cegek (es a hasonloak) moegoldjak? vagy mit akartal mondani?

---
Egy jól megállapított probléma félig megoldott probléma.
- Charles Kettering

A vBulletin köztudottan egy bughalmaz (és emellett baromi drágán supportált). Én inkább azt tartom problémásnak, hogy ennek tudatában a Canonical nem használt mást. Ez nem a szabad szoftver szégyene, hanem az adott termék készítőjéé és annak a cégnek, aki ennek ellenére még használta is.

Igen, valami hasonlót akartam kifejezni feljebb. De én még mindig nem hiszem, hogy ők nem tudják, hogy egy bughalmaz a vBulletin, és még fizetős is egy része... lehet nincs jobb, de ha nincs, akkor csináljanak a meglévővel valamit, van egy rakás fejlesztőjük, meg egy nagyon nagy felhasználóbázisuk...

Erre értettem, hogy jobban odafigyelhettek volna.