Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 112 reacties
Submitter: ThePendulum

Ubuntu Forums, het officiële forum van de gelijknamige Linux-distributie, is getroffen door een hack. Volgens de beheerders zijn van alle gebruikers hun inloggegevens en e-mailadressen buitgemaakt. Voorlopig is het Ubuntu-forum offline.

Dat meldt Ubuntu Forums zelf op een aankondigingspagina waar bezoekers naar ge-redirect worden als zij het forum proberen te bezoeken. Volgens de site heeft een hacker de gebruikersnamen, wachtwoorden en e-mailadressen van alle gebruikers van Ubuntu Forums gestolen. Wel stellen de beheerders dat de bewuste wachtwoorden niet in plain text zijn opgeslagen.

De hack werd bekend toen iemand met de Twitter-gebruikersnaam @Sputn1k_ de Ubuntu-forums had gedefaced. Kort daarna werd de site offline gehaald. Het is echter vooralsnog onduidelijk hoe de hacker is binnengekomen. Ook hebben de beheerders niet aangegeven wanneer de forums weer operationeel zullen zijn.

Alhoewel er dus nog veel onduidelijk is over de hack, lijkt het erop dat de hacker alleen is binnengedrongen op de forums van Ubuntu. Andere diensten van Canonical, zoals Ubuntu One of LaunchPad, zijn niet getroffen, aldus het bedrijf.

Ubuntu Forums hacked

Reacties (112)

Reactiefilter:-11120107+171+215+32
Moderatie-faq Wijzig weergave
Een bericht van de hacker zelf:
You can stop worrying about your passwords. Yes, they were encrypted. Encrypted with the default vBulletin hashing algorithm (md5(md5($pass).$salt). Whilst it may not be the strongest, when you're dealing with 1.8m users it would take a very long time to get anywhere with the hashes. You don't have to worry about a DB leak. That isn't how I like to do things.

If I do get into a website, most of the time there's no REAL malicious intentions. Grab the database, leave a message. That's it. I don't like to over-do things. Might cause some downtime, but what if it WAS the "syr14n c3b3r 4rmy" (not that their brain-dead brains have the power to do anything whatsoever), and they did have malicious intentions, and they did leak the database and use it to their own advantage?

Oh, and keep on raging and sending me rage tweets, I love it.
Bron: http://www.twitlonger.com/show/n_1rlft0d
De deface pagina, nam een screenshot:

https://dl.dropboxusercon...-07-20%2022%3A12%3A07.png

Zijn twitter account:
https://twitter.com/Sputn1k_

EDIT: Account blijkbaar offline gehaald door twitter met "interne serverfout" boodschap als gevolg. Droge humor maar ik kan er alvast om lachen.
https://dl.dropboxusercon...-07-21%2019%3A42%3A25.png

In Google cash dan maar:
http://webcache.googleuse...l=us&client=firefox-a

[Reactie gewijzigd door denbatte op 21 juli 2013 19:49]

Waarom sluiten ze in godsnaam z'n Twitter account af?
Neem aan dat hij de ToS niet heeft gebroken en dat ze dat alleen doen omdat ze weten wie het is.
Gaan social media nou ook al politie agentje spelen?
De Twitter-account lijkt al uitgeschakeld te zijn, pagina bestaat ondertussen niet meer.
Welcome to hack 9999. Ik denk dat iedereen zijn email / password ondertussen wel in één of andere hack is buitgemaakt ik maak mij er tegenwoordig ook niet meer zo druk in want ik gebruik nu dit systeem:
  • Niet belangrijke websites als tweakers, ubuntu one forum, ... krijgen allemaal een simpel password, als dit gestolen word zal ik echt niet van wakker liggen
  • Alle websites met credit card gegevens aan krijgen bij mij hun eigen password zodat als die gehacked worden het een geisoleerd incident is.
  • Mijn alle belangrijkste account zoals gmail, amazon, ... krijgen 2 factor authentiation.
Misschien niet de meest secure methode, beste is om nattuurlijk een uniek password voor elke site te gebruiken, maar dit is voor mij nog houdbaar in het aantal passwoorden ...
Yeps zo doe ik het ook.
Zo heb ik een paswoord of 5 voor verschillende levels van sites.
En mijn paswoorden stel ik altijd samen uit zinnen en neem van de woorden in de zin steeds de eerste eerste letters of cijfers. bvb: Ik lees Tweakers.net 4 keer per dag -> IlT.n4x/d
Met dergelijke paswoorden (uiteraard geencrypteerd opgeslagen) ben ik er zeker van dat ze een heleboel weken nodig zullen hebben om het brute force te decrypteren en dat ze er eerst veel andere zullen vinden.
Ik doe mijn wachtwoorden nog anders.
Ik heb ooit een keer random op mijn toetsenbord geslagen en dat gebruik ik als wachtwoord.
Bij iedere site pas ik wel 1 karakter aan of voeg ik 1 karakter toe of haal ik 1 karakter er af.
En dat onthou ik dan wel allemaal.
Weet je, als je die gehele zin zou gebruiken als wachtwoord, ipv telkens de eerste letters, zou je nog een gigantisch veel beter wachtwoord hebben.
Ik gebruik voor elke website een uniek password.
Een moeilijk password gevolgt door de eerste letter van het domein. Tweakers.net begint met een 't',dus hier is hier is het zoiets als:

!@Abcgfu57gtdbt

Slechts een moeilijk wachtwoord om te onthouden. Maar overal uniek.
Ik gebruik KeePass

Edit: Alleen zou ik wel een backup maken(printen bijv.) als je HDD crasht en alles weg is.

[Reactie gewijzigd door BJ_Berg op 21 juli 2013 18:18]

En alle gebruikers, dat is ongeveer 1.8 miljoen.

En OmgUbuntu weet te melden dat het waarschijnlijk komt doordat vBulletin niet up to date was.

[Reactie gewijzigd door Chip. op 21 juli 2013 13:54]

vBulletin, bestaat dat nog? Ik snap niet dat ze geen volwassen open-source forum als phpBB gebruiken, zeker als ze open-source zo lopen te promoten.
vBulletin is een goed product, wordt goed bijgehouden, en werkt prima. Maar als het niet wordt bijgewerkt krijg je kansen op dingen zoals dit: https://bitcointalk.org/index.php?topic=225138.0
Er is niets mis met vBulletin, naast phpBB de beste forumsoftware beschikbaar.. Tja, en als je niet zorgt dat de software up to date is, dan kan dit gebeuren, ook als je phpBB zou gebruiken..
...de beste forumsoftware beschikbaar..
O? En wat gebruikt Tweakers.net dan voor het forum?

Voor de duidelijkheid, dat was een retorische vraag ;)
Mwah Simple Machines Forum is toch echt nog altijd de beste conmunity software op het gebied van security track record... En t werkt nog stukken beter dan zowel phpBB als vBulletin ook! SMF heeft in het hele bestaan nauwelijks last gehad van security issues, en altijd binnen 24 tot 48 uur patches uitgebracht bij geraporteerde problemen... Kan je van phpBB niet zeggen hoor :P
Met als verschil dat SMF voor de eindgebruiker toch minder prettig werkt.

Ik ben en blijf een phpBB'er :) Of UseBB.. Soms.
Dat is meer afhankelijk van smaak dunkt mij. Ik vind persoonlijk phpBB zeer ongebruiksvriendelijk en het er ook niet uit zien.

Jij zegt zelf al: ik ben en blijf phpBB'er.
Met andere woorden: jij bent er aan gewend en vind dit prettig werken.
De een vind het een fijn werken, de ander het ander.

Dat neemt echter niet weg dat SMF een stuk betere security trackrecord heeft dan phpBB. :)
Waarom zou je betalen voor "maar forumsoftware" ? Wat bied invision wat phpBB niet heeft ?
Het wordt hoog tijd dat we eens stoppen met het verzamelen van emailadressen waneer dat niet strict noodzakelijk is. Voor een fora is het helemaal niet noodzakelijk dat men een emailadres geregistreerd. Iemand die zijn wachtwoord kwijt is kan gewoon een nieuwe account aanmaken.

Hiermee wordt het een stuk anoniemer en is er minder gevaar dat je prive email misbruikt wordt. Ook wordt een forum minder aantrekkenlijk om te hacken omdat er toch geen emailadressen buitgemaakt kunnen worden.

Ik erger me altijd als er meer gevraagd wordt dan de gegevens die strict noodzakelijk zijn. Bij webshops vraagt men ook vaak om niet-relevante gegevens zoals geboortedatum, telefoonnummer en email. Alleen het afleveradres is relevant in zulke situaties.
Strict noodzakelijk is iets anders dan relevant!

Iedere webshop die gedraaid wordt door een slimme ondernemer wilt weten wie zijn doelgroep is en wat de belangrijkste kenmerken zijn van die doelgroep. Dat is zo relevant voor marketing dat het bijna noodzakelijk is om je bedrijf te draaien.

Bovendien, als je het echt niet wilt geven dan vul je toch gewoon valse informatie in? Al denk ik in dit geval dat het gunstiger is voor de betrouwbaarheid van zijn data en de ervaring van jou als gebruiker om dan gewoon een knopje "wil ik niet geven" te maken.

[Reactie gewijzigd door Willaaam op 21 juli 2013 14:27]

Totaal met je oneens. We moeten ons niet laten limiteren omdat de DB wel eens gehackt zou kunnen worden.

Ten eerste is de "confirm email" op fora een zeer effective manier om spammers tegen te houden, en handing als je je wachtwoord vergeet. (Gewoon een nieuw account aanmaken is natuurlijk onzin aangezien veel mensen hun reputatie niet willen verliezen.

Het vragen om persoons gegevens op webshops is niet alleen zodat de shop die gegevens kan verzamelen. Het gaat ook fraude tegen. (Indien de gegevens gecheckt worden, wat helaas niet altijd het geval is)
Niet helemaal eens in het geval van email en forums.
Je email adres wordt gebruikt als unieke link met de gebruiker.

Stel: Je plaatst een post, vergeet je wachtwoord, maakt een nieuwe account, oude account verdwijnt na een bepaalde tijd inactief zijn.
Hoe kan het forum jou als persoon dan nog linken aan de geplaatste posts?
Juist... niet.

En er zijn nu eenmaal mensen die waarde hechten aan wat ze op het internet posten.

In veel andere gevallen heb je echter wel gelijk.
Geboortedatum ook, want bepaalde producten hebben een leeftijdsgrens.
Telefoonnummer is ook wel handig als er een bezorger voor de deur staat en de bel het niet doet, of als ie de deur helemaal niet kan vinden. Email adres wordt alleen gevraagd als je een account aanmaakt, als je dat niet doet is de optie er vaak om dat gewoon niet in te vullen. Of je vult gewoon onzin in, het is niet alsof je je account moet activeren.
Hiermee wordt het een stuk anoniemer en is er minder gevaar dat je prive email misbruikt wordt.
Of je circuleert wat willekeurige random email adressen voor zaken als inschrijven op forums en andere sites. Als zo'n emailadres dan ooit eens buitgemaakt wordt dan verlies je er niets mee.

Tevens hou je je privé mail adressen dan gewoon privé. Enkel zij waarmee je privé ook wilt communiceren hebben immers je privé email nodig. Dat scheelt ook nog eens een hoop spam.
Bij webshops vraagt men ook vaak om niet-relevante gegevens zoals geboortedatum, telefoonnummer en email.
Wat let je die gegevens random in te vullen?

Tevens: een emailadres en/of telefoonnummer is toch wel erg handig als er iets met je order is. Een van de twee is het minimale wat een webshop van je moet weten om iets van service te kunnen verlenen aan je. Wat is er bovendien zo erg aan het afgeven van een mailadres als ze je thuisadres al hebben? Je thuisadres lijkt me van de afgegeven persoonsgegevens toch echt verreweg de meest gevoeligste.

En ja, zo'n webshop vindt het fijn je geboortedatum te weten en je mailadres zodat ze je via opvolgmail met marketing kunnen bestoken. Al zijn ze daarbij wel verplicht je geen marketing te sturen als je aangeeft dat niet te willen (opt-in of opt-out). En meeste webshops zullen los van die verplichting je van de mailinglijst halen als je aangeeft dat te willen, gepikeerde klanten doen immers minder snel vervolgaankopen.
Waarom zou je in godsnaam de Ubuntu forums aanvallen? Ik kan me nu geen enkele voorstelling inbeelden waarin dit nou nut heeft...
Verzamelen van de inlogggevens zoals naam/e-mail/wachtwoord en die vervolgens op allerlei andere plekken (internetbankieren!) gaan proberen.

Heel veel mensen 'hergebruiken' hun wachtwoorden. Daarom is het ook heel verstandig om voor elke site een ander password te gebruiken en die middels een password-manager te beheren.
paswoorden zijn niet plaintext, Indien goeie encrypte gebruikt is zijn die paswoorden zo goed als nutteloos;
Met 'dictionary attacks' worden al gauw een groot deel van de wachtwoorden ontcijfert. Zolang de encryptie techniek snel is, kan dat ook in paar minuten gebeurd zijn. Kijk maar eens naar een defcon presentatie er van, wordt elk jaar wel aandacht aangegeven/'de uitvinders' willen aandacht.

Die dictionary attacks zijn al schokkend effectief. Vooral met encrypties zoals MD5. Men gaat tegenwoordig ook al veel gebruikte manieren langs voor strong wachtwoorden, zoals het patroon [woord] + [cijfer] + [leesteken].
Als je weet waar mensen vaak hun hoofdletter plaatsen en welke cijfers/leestekens meest gebruikt worden (bvb ! of @), dan is het langsgaan van de 'meest gebruikte' hashes mogelijk met redelijke 'resultaten'.

Kan je denken aan enkele tientallen procenten hitrate, tot >50%. Kwestie van enkele uren zo'n 'slimme' bruteforcer laten draaien.

Stel dan maar voor dat bij 1,8M accounts 50% een match wordt gemaakt met wachtwoorden, en bvb nog eens 5% hetzelfde wachtwoord op het e-mail adres staat.
Dat zijn al 45000 e-mail accounts... Dan is zo'n deface attack echt wel een groot probleem..
In dat opzicht is met redelijk weinig effort tegenwoordig Md5 'niet veel beter' dan plaintext meer.

Waarschijnlijk gebruikt vbulletin wel iets complexers tegenwoordig, maar ik verwacht met een iets complexers algoritme nog wel 'redelijke resultaten'.
Daarom dat er salts worden gebruikt zodat per wachtwoord de hele dictionary opnieuw moet worden opgebouwd. Jouw simpele wachtwoord + lange salt + traag hashing algoritme; is niet "worden al gauw een groot deel van de wachtwoorden ontcijfert.". Trouwens voor wachtwoorden wordt hashing gebruikt en geen encryptie.
Daarom dat er salts worden gebruikt zodat per wachtwoord de hele dictionary opnieuw moet worden opgebouwd. Jouw simpele wachtwoord + lange salt + traag hashing algoritme; is niet "worden al gauw een groot deel van de wachtwoorden ontcijfert.". Trouwens voor wachtwoorden wordt hashing gebruikt en geen encryptie.
Vegeet alle soorten van hash maar. Gebruik bcrypt omdat het "decodereren" van je wachtwoord super traag is.
It’s important to note that salts are useless for preventing dictionary attacks or brute force attacks. You can use huge salts or many salts or hand-harvested, shade-grown, organic Himalayan pink salt. It doesn’t affect how fast an attacker can try a candidate password, given the hash and the salt from your database.

Salt or no, if you’re using a general-purpose hash function designed for speed you’re well and truly effed.
bcrypt gebruiken in je code en je het duurt op eens "600-jaar-ish" voordat iemand 1 hit op je wachtwoordt heeft.

even voor de goede orde
Rainbow tables, despite their recent popularity as a subject of blog posts, have not aged gracefully. CUDA/OpenCL implementations of password crackers can leverage the massive amount of parallelism available in GPUs, peaking at billions of candidate passwords a second. You can literally test all lowercase, alphabetic passwords which are ≤7 characters in less than 2 seconds. And you can now rent the hardware which makes this possible to the tune of less than $3/hour. For about $300/hour, you could crack around 500,000,000,000 candidate passwords a second.
en de rest van het artikel

http://codahale.com/how-to-safely-store-a-password/

[Reactie gewijzigd door ponsjuh op 22 juli 2013 09:08]

Vegeet alle soorten van hash maar. Gebruik bcrypt omdat het "decodereren" van je wachtwoord super traag is.
bcrypt is een hashfunctie, maar dan eentje die instelbaar trager gemaakt kan worden zodat je ervoor kunt zorgen dat brute-force aanvallen meer tijd kosten.

Dat is een goed iets, dus ik kan het gebruik van bcrypt en soortgelijke adaptive password hashes alleen maar toejuichen. Maar doe niet alsof het geen hashfunctie is ;)
It’s important to note that salts are useless for preventing dictionary attacks or brute force attacks. You can use huge salts or many salts or hand-harvested, shade-grown, organic Himalayan pink salt. It doesn’t affect how fast an attacker can try a candidate password, given the hash and the salt from your database.
Dat is simpelweg niet waar. Niet in alle contexten in ieder geval.

Neem deze database van 1.8 miljoen accounts. Als de wachtwoordhashes niet salted zijn, dan kan een aanvaller (bv met een dictionary) de X meest voorkomende wachtwoorden hashen, en die hashes vergelijken met alle hashes in de buitgemaakte database. De truuk is dat de aanvaller per wachtwoordpoging maar één keer hoeft te hashen en de resulterende hash snel kan vergelijken tegen alle hashes in de buitgemaakte database. De aanvaller hoeft maar 1 miljoen hashes uit te rekenen om 1 miljoen wachtwoorden te proberen tegen 1.8 miljoen accounts!

Als de wachtwoordhashes daarentegen allemaal hun eigen salt hebben, dan werkt deze aanpak niet. De aanvaller moet dan een wachtwoordpoging hashen speciefiek voor één hash uit de database. Worst-care moet de aanvaller daarom 1800 miljard hashes uitrekenen. Blijkbaar toch nuttig, die salts.
1.800.000.000.000 / 500,000,000,000 candidate passwords a second. = 3.6 seconden dus ik zie niet in waarom een salt echt iets toevoegt.

bcrypt past ook een salt toe maar het belangrijkste is dat deze het aantal "request" voor 1 password met een factor x vertraagt je kan dus niet 500 miljard /sec halen maar bijvoorbeeld maximaal 60. De meeste "hackers" willen snel toegang hebben en kunnen niet 6 jaar wachten op een hit.

Maar ik ben het met je eens hashed passwords is beter dan plaintext
1.800.000.000.000 / 500,000,000,000 candidate passwords a second. = 3.6 seconden dus ik zie niet in waarom een salt echt iets toevoegt.
Om te beginnen geldt die rekensom alleen als je MD5 als wachtwoordhash gebruikt. Gebruik je iets tragers, dan duurt het al langer. Neem bijvoorbeeld bcrypt met een work-factor van equivalent aan 0.1 seconden CPU-tijd, en dan beschouwen we de situatie met en zonder salts.

Zonder salt moet de aanvaller 1 miljoen hashes berekenen (zie mijn vorige post), dat kost hem iets meer dan een dag.

Met salt moet de aanvaller 1800 miljard hashes berekenen, en dat kost hem ongeveer 5708 jaar.

Hoe je het wendt of keert, het toevoegen van een salt verhoogt in dit geval de werklast van de aanvaller met een factor 1800000. Dat is gewoon in ELK geval een goed iets. Bij een trage hashfunctie (zoals bcrypt) gaat de situatie daarmee van aardig kraakbaar naar vrijwel onkraakbaar.

Maar zelfs bij MD5 hashes voegt het wat toe, hoe weinig het ook is. Het beschermt bijvoorbeeld de mensen met een sterker wachtwoord (die dus niet bij de miljoen meest gebruikte wachtwoorden zitten) omdat een volledige brute-force op random strings met 1.8 miljoen verschillende salts alsnog teveel gevraagd is voor de aanvaller.

Kijk, dat md5 (en vergelijkbare general-purpose hashfuncties) te snel zijn om nog zinnig te zijn als wachtwoordhash ben ik helemaal met je eens. Ik zeg ook nergens dat dat niet zo is! Maar in je originele post deed je voorkomen alsof salts nutteloos zijn, terwijl het tegendeel waar is. Salts zijn een noodzakelijk iets bij wachtwoordhashes.
Laat staan als er ook nog persoonlijke salts zijn. Dan kan je rainbow-tables helemaal vergeten.
1,8 miljoen hashes, daar zullen er best een aantal van in rainbow tables voorkomen.
rainbow tables zijn redelijk achterhaald met de huidige hardware. En als ze goeie (bcrypt) hashes gebruikten al helemaal nutteloos. Maar het zal wel weer een simpele MD5 Nash geweest zijn, dat is eigenlijk nauwelijks beter dan plan text.
En dan word het password van je password manager gehackt ben je ze alsnog allemaal kwijt. Ik heb een aantal verschillende wachtwoorden, voor de meeste internet diensten gebruik ik dezelfde omdat deze toch niet interessant zijn.

Voor mijn mail en dergelijke heb ik wel andere wachtwoorden, geen password manager voor nodig. Daarnaast waar het kan zet ik ook de sms inlog aan.
En wanneer zou je Password manager gehackt worden dan? De file heb je zelf in beheer en voer je alleen in de applicatie in.

Daarnaast, waarom je een password manager nodig zou hebben?

- Mijn pa is zo oud dat ie echt al die meuk niet onthoud en weet dat ie niet overal hetzelfde wachtwoord moet invoeren.
- Afgezien van mijn vele accounts op de diverse site, beheers ik diverse websites en wat kleine netwerken. Websites is gauw al FTP + DB + wordpress o.i.d. en netwerken lhakt er helemaal in (meerdere computers, routers, accespoints, mail etc).

Ww schrijf je niet op en je wil wel een beetje sterk ww hebben, dus dan ga je snel hoor met het aantal wat je moet bijhouden. Zeker de applicaties die changes eisen om de zoveel tijd.
Als ik voor elke site waarop ik geregistreerd ben een verschillend wachtwoord moet gebruiken moet ik gewoon die wachtwoorden ergens in een document opslaan. Dat document is plain text. Iemand die op mijn computer zit kan zo mijn wachtwoorden gemakkelijk stelen. Als je pc crasht en je bent dat document kwijt dan ben je zwaar de pineut.

Mijn techniek:
  • Forums/gewone sites: hetzelfde wachtwoord
  • E-mail: ander wachtwoord
  • Bank/belangrijke sites: nog een ander wachtwoord
Wachtwoord van e-mail accounts worden 1 à 2x per jaar gewijzigd, alsook het ww voor de bankaccounts.
Hetzelfde aan deze kant, e-mail heb ik van mijn provider en banken geven hun eigen inlogcode's en gebruikersnamen die ik lekker zo laat, ze staan niet op de computer, dus men mag mijn hele schijf leeghalen en dupliceren, want er staat niets van enigerlei waarde of geheim op. Het enige wat mij kan gebeuren is dat ik op Tweakersnet door het jatten van een wachtwoord een levenslange ban krijg, waar ik ook niet mee zit want heb het 40 jaar zonder computers moeten doen en dat is mij tot op de dag van vandaag best gelukt zonder wachtwoorden en accounts. Voor de rest heb ik geen Gmail of andere dingen op het internet die vertrouwelijk zijn. ;) Het grote probleem voor de gen die mijn wachtwoorden jat, is dat het e-mail adres dat ik gebruik al een jaar niet meer bestaat, want die heb ik opgeheven bij de provider, dat houdt in dat ik bij de meeste site's een nieuw account zou moeten maken omdat wachtwoord herstel volledig onmogelijk meer is via dat e-mail adres :) want quicknet bestaat niet meer sinds jaren alleen nog ziggo.nl

[Reactie gewijzigd door Athalon1951 op 21 juli 2013 18:54]

Dat is een slechte strategie gebaseerd op gebrek aan kennis. Je hoeft je wachtwoorden namelijk niet op te slaan in een simpel text document (of word of whatever plain-text achtig iets). Een password management tool is hiervoor het antwoord en de enige juiste strategie als je echt veilig bezig wilt zijn. Een simpel tootlje met 1 master wachtwoord (welke goed encrypt en alleen op je eigen pc staat) waarmee je alle andere wachtwoorden kunt opvragen. Al die wachtwoorden staan met een degelijke encryptie op je eigen computer (dus echt niet in plain text) en daar kun je alleen bij als je het master-password weet. Welke dus weer degelijk goed encrypted alleen op je eigen pc staat.

Het lijkt mij dat dit toch wel redelijk algemeen bekende informatie is bij het overgrote deel van de tweakers.net bezoekers.

Zelf gebruik ik Clipperz. Web-based tool wat op m'n servertje op zolder draaid. Je kunt vanaf daar ook een HTML pagina exporteren waarmee je de laatste versie van je wachtwoorden mee kunt nemen en zelfs offline kunt gebruiken. Uiteraard allemaal beveiligd met een degelijke encryptie en je master wachtwoord.

[Reactie gewijzigd door Ron-ner op 21 juli 2013 21:14]

Volkomen los van jullie mening over het onderwerp en deze toch al enigszins off-topic thread, verbaast het mij nogal dat jullie je wachtwoordstrategie hier zo uitgebreid gaan lopen uitleggen :) Ik begrijp dat security through obscurity achterhaald is, maar dan wel alleen bij gebruik van een kwalitatief alternatief, en daar gaat de discussie nu juist over :)
Daarom is het ook heel verstandig om voor elke site een ander password te gebruiken
Voor sites waar je enkel wat op forums rondhangt of comments post of whatever lijkt me dat schromelijk overdreven.

Wel is het zeer raadzaam unieke wachtwoorden te gebruiken voor diensten zoals je bankzaken, je internet/telecom provider(s), HTTP/IMAP/Pop3 mail, Steam, websites/diensten die je creditcard gegevens hebben, etc. Dus alles waarbij geld, diensten en privé informatie betrokken is.
en die middels een password-manager te beheren.
Alleen als die password manager goed beveiligd is, en het systeem waarop die draait qua software en fysiek goed beveiligd is.

[edit.]

@White Modder:
Voor bijvoorbeeld Paypal is enkel een password nodig en omdat je het aan je bankpas kan koppelen valt het wel degelijk onder je bankzaken.

[Reactie gewijzigd door houseparty op 22 juli 2013 10:47]

bankzaken en passwoord gaan niet samen, en gelukkig maar.
Schijnbaar wel, misschien wilde de hacker aantonen hoe "slecht" zo iets beveiligd is?
Ik vind het anders redelijk slecht beveiligt als iemand zo even ruim 1,5 miljoen personengegevens kan buitmaken...
Zoals door Chip. aangegeven heeft het forum zo'n 1.8 miljoen gebruikers, dat zijn evenveel mail adressen. het lijkt me dat ze deze adressen wel voor een mooie prijs kunnen verkopen.

Gerichte reclame kan voor bepaalde bedrijven zeker een fiks bedrag waard zijn.
Tuurlijk wel, Linux / Ubuntu is ontzettend aan het opkomen en daar zijn bepaalde partijen vast niet blij mee. Het zou zo maar kunnen dat iemand Ubuntu in kwaad daglicht wil stellen.
Waarom krijgt Snooby ee -1?

Het zou niet de eerste keer zijn dat een bepaald bedrijf iets kuts zou willen of financieren.

[Reactie gewijzigd door Vegettokai op 21 juli 2013 14:25]

Gewoon de groote van de userbase, reden genoeg. Dat is namelijk behoorlijk wat inlog gegevens (die mogelijk op andere sites/diensten gebruikt worden).
En dat zo'n wordlist van een groffe 1.8 miljoen ubuntu geeks wel eens waardevol kan zijn. :)
tja, om in jouw denkwijze door te gaan, waarom zou je dan uberhaupt een forum aanvallen..
Ik lees nu heel veel over hoe mensen met wachtwoorden om moeten gaan. Maar ik mis een beetje de essentie. Het forum draait namelijk op open source, Linux met Apache en vBulletin.

Wat ik me af vraag is hoe iemand uberhaubt het gebeuren kon kraken omdat de combinatie van software heel veilig is. Het is namelijk open source, dus men had de fout(en) er uit kunnen halen, dat is de grote kracht van Open source namelijk waarmee closed source altijd wordt afgebroken.

Echter geeft dit incident aan dat het qua veiligheid dus niets uit maakt dat iets Closed Source is of Open Source zolang er niet goed mee om wordt gegaan en kan je concluderen dat het argument "het is open" niet staat voor extra veiligheid.
Open source is doorsnee veilig MITS je de updates bij houd.
Dat is hier dus niet gebeurd en persoonlijk valt me dat behoorlijk tegen van de organisatie.
Ik ben het helemaal met je eens, in essentie had dit dan ook nooit mogen gebeuren.
Inderdaad, mij stoot het ook enorm tegen de borst. Mede ook doordat Ubuntu nu net zo simpel te upgraden is. Dit is echt gewoon luiheid.
Verwar je de automatische updates van Ubuntu niet met de vBulletin installatie?

Ik kan me trouwens voorstellen dat een forum niet altijd even snel up to date kan gebracht worden. Zolang je de standaard installatie gebruikt, zal dat wel meevallen, maar het begint meestal mis te gaan als je een eigen thema gebruikt, of addons/plugins aan het forum hebt toegevoegd. Deze kunnen immers in conflict komen met de update.

Dat maakt he tnoodzakelijk eerst uitvoerig te testen of alles nog netjes draait, voordat het forum geüpdatet wordt. En daar kruipt tijd in...
Ik denk dat het meer aangeeft dat je altijd je beveiligingsupdates moet bijhouden. Zoals Chip. in 'nieuws: Officieel forum Ubuntu is getroffen door hackers' aangeeft, lijkt het er op dat ze een verouderde versie van de forumsoftware hadden draaien met bekende kwetsbaarheden.

Daarnaast is er geen garantie dat "open" gelijkstaat aan "veilig". Je hebt echter wel de mogelijkheid om zelf de veiligheid te (laten) controleren, iets wat met "closed" een stuk lastiger is. Maar dan gaan we wel redelijk off-topic en dat lijkt me niet helemaal de bedoeling.
Klopt, ik zeg eigenlijk ook niet dat OS vs CS verschild in veiligheid. Het gaat meer om hoe men er mee om gaat. Installatie en beheer zijn meer dan setup, configure, run :-)
Even een opmerking vBulletin is niet open source.

En ik vermoed dat die persoon een zwakheid in vBulletin gebruikt b.v. sql injection en zo heeft hij een sql dump gemaakt.
Daar naast is het mogelijk om bestanden hernoemen en uploaden via sql injection.
Volgens mij gebruiken ze nginx ipv apache maar dat terzijde.

Buiten linux en apache/nginx/watdanook noem je de punten die er in dit soort gevallen toe doen niet. PHP en mySQL. Apache en de Linux installatie zullen niet gekraakt zijn, het zal eerder brakke kut PHP code die iemand heeft weten te exploiten zijn. PHP is een risico ansich om te draaien :P Open of closed source maakt geen hol uit.

vBulletin is geschreven in PHP, dat is de voornaamste factor waar het hier ergens fout gegaan zal zijn. Ergens een regeltje code die niet doet wat ie moet doen of een gat opent en het is einde verhaal als iemand het uitbuit :)
Lol gister net aangemeld bij dat forum :P. Net overgestapt van windows 7 naar Linux Mint mede door het nsa schandaal :)
kun je nu dus weer terug naar windows, want elk OS is bijna zeker bemoeid bij het NSA schandaal. en nu zie je dus ook gelijk dat elke vorm van OS, of software gehacked kan worden, of het nu opensource of closed source is.
euhm ... in linux is alles open source en iedereen kan de boel nakijken. Als er in linux iets zou inziten dan werd het al lang gevonden door vrijwilligers.
Onzin. Sowieso zoveel code dat t bijna ondoenlijk is om te checken, maar dan nog is er zat software voor op linux die niet opensource is... De kern bestanden zijn wellicht in te zien, maar dan alsnog... :)

Ik heb veel comments gelezen hier, het lijkt er op dat veel mensen echt geen idee hebben wat opensource is en doet en al helemaal verkeerd geïnformeerd zijn over de veiligheid ervan, ideeen dat linux niet te penetreren of te infecteren valt e.d. Beetje jammer voor een site als Tweakers.
Ja, er zijn ook genoeg voorbeelden te noemen van bugs in open source die pas vele jaren later zijn gevonden en gefixt. Soms zelfs een jaar of 10.
Dat van die "vele ogen" is echt een mythe.
Nee hoor, ook daar is al lang een workaround voor gevonden, zoals verteld door Ken Thompson:
http://cm.bell-labs.com/who/ken/trust.html
http://c2.com/cgi/wiki?TheKenThompsonHack

[Reactie gewijzigd door Scalibq op 21 juli 2013 17:08]

In feite zou je een open source OS zichzelf dus 'schoon' moeten laten verklaren door handmatig een primitieve compiler in te tikken in machinecode die vervolgens de next-generation compiler bouwt uit een bak leesbare code, die datzelfde vervolgens weer doet tot je een compiler hebt die in staat is het gewenste uiteindelijk OS te compileren. (Als je de machinecode-compiler over wil slaan moet je nog wel de assembler zelf schrijven in machinecode anders heb je nog kans dat die dirty is. :+ )
Maar dan nog heb je kans dat er een stukje evil code verborgen zit in je compleet leesbare source, plus dat je testhardware ook nog fout kan zijn. Eigenlijk moet je die ook zelf maken.
Ja, zoals ook al aangegeven in dat gelinkte artikel: de code kan wel schoon zijn, maar is de hardware dat ook? En dat gaat heel ver: niet alleen je eigen hardware, maar als jij die sourcecode en/of binaries van zo'n 'schoon' OS downloadt, gaat dat via een aantal servers, routers, modems, weet-ik-wat. Die kunnen OOK allemaal nog besmet zijn.
Het is in de praktijk onmogelijk om een echt 'schone' omgeving te creeren, zolang je ook maar enigszins afhankelijk bent van software en/of hardware van anderen.
na ik heb altijd windows gebruikt maar ik moet toch zeggen er is echt fucking veel verandert, Tot nu toe tenminste heb ik linux mint nog gebruiksvriendelijker ervaren als windows :P Alles werkt perfect, Niks hoeft meer via de console en het is ook nog super snel en robuust, Er is zelfs een gratis app store van ubuntu :D Ik denk dat ik toch maar vast houd aan linux en andere opensource software, Ben ik tenminste niet de data hoer van Amerikaanse corporaties, En het is nog gratis ook. En ik heb nu ook wat meer vertrouwen van dat er niet een miljard dingen op de achtergrond draaien waarvan de helft een exploid of spyware zit. En jij zegt dat het niet uitmaakt of het closed source of open source is maar een tijd geleden was er ook een bericht op tweakers van een bedrijf dat het aantal fouten in software analyseerde en die had geconstateerd dat opensource echt veeeeeeeeeeeeeel minder fouten zitten Apache was de winnaar volgens mij.

[Reactie gewijzigd door kajdijkstra op 21 juli 2013 16:51]

hoe veilig het is, is nog altijd afhankelijk van de gebruiker. dit forum is wat ik gehoord heb ook gehacked omdat er software draaide wat niet up2date was, en ja, het was toch open source, dus er mogen minder fouten in zitten, de waarheid is gewoon dat ook open source niet zo veilig is als door sommigen word verkondigd.

zie net dat vbulletin niet opensource is dus misschien was ik te voorbarig :P


daarnaast ben ik blij dat mint voor jou de ogen opent, ik heb het hier draaien op mn laptop en ik kan er niet warm van worden. het werkt hier zeker niet perfect, en al helemaal niet sneller als windows 7. app store van ubuntu zit in elke build en ik vind het alleen maar onzinnig. daarnaast vind ik het vreemd dat MS word aangekeken op het feit dat MS gebruikers iets voorschotelt zonder dat ze daar voor kiezen, maar bij Linux slikken we het als zoete broodjes dat je een installatie heb waarbij er weet ik hoeveel onzin mee komt die je nooit gebruik en ook niet om gevraagd heb. als ik dan ook nog s zie hoe vaak mijn Linux mint versie updates heeft, en hoeveel updates dat per x zijn is mijn keuze om ooit volledig op Linux over te stappen dusdanig klein geworden dat het te verwaarlozen is. ventrilo server opstarten op windows is binnen 3 minuten inclusief download gepiept. in mint koste het mij 4 uur om de server draaiend te hebben, en dan nog met behulp van externe kanalen omdat het zo duidelijk beschreven staat 8)7

[Reactie gewijzigd door huntedjohan op 21 juli 2013 18:31]

@huntedjohan

Dat is raar, ik heb toevallig ook onlangs Linux Mint geinstalleerd en dat was echt binnen tien minuten gepiept. ISO gedownload, gebrand op CD. Daarna de Windows 7 SSD eruit getrokken, schone SSD erin. CD erin, opgestarten en in no-time was alles klaar.

En veel updates? Denk dat je jezelf eerst eens in het principe upstream-downstream en de verschillende levels daarbinnen moet verdiepen voordat je klaagt over de updates. Level 1 updates zie je niet vaak.
welk lvl niveau de updates zijn weet ik niet, maar en met mint en met ubuntu kreeg ik echt veel meldingen binnen over updates. of dat lvl 1 of lvl 10 is maakt voor mij als eind gebruiker toch niet uit? en bij mij ging de installatie van mint zelf ook zonder problemen, maar software achteraf installeren op een Linux bak is gewoon veel lastiger als bij windows. tenzij het in de library staat die erbij geleverd word. ik heb op mijn mint install vanaf de library iets gedownload om mijn opstart te kunnen veranderen. ik wilde niet dat Linux automatisch opstarte maar wilde dat ik keuze menu kreeg en dat windows de standaard os zou zijn. dat programmatje kan ik nog altijd niet meer terug vinden, en kan ook geen enkele manier vinden om het op te starten of wat dan ook, in de library staat ie nog wel als geinstalleerd. daarnaast had ik dus 5 uur nodig voordat ik ventrilo server werkend had op mijn Linux bak, terwijl op dezelfde laptop met windows 7 het echt binnen 5 minuten gepiept was.
Het Ubuntu forum gehackt, dat op Linux draait.

Is dan niks meer veilig tegenwoordig? de laatste tijd is het ook meerdere keren per dag dat iets gehackt wordt, 5 jaar terug hoorde je het veel minder en het gebeurde minder, en tegenwoordig lijkt het net alsof kind kan de was doen.
Het heeft niet echt met een server te maken, of ubuntu zelf. Het is gewoon een CMS die gehackt is. vBullitin.

https://www.vbulletin.com/
Community software, het is geen CMS.
Just for clarification :)

Maar idd, heeft niets met linux te maken. Eerder met brakke PHP waarschijnlijk.
En dan nog... Mensen die denken dat ze helemaal veilig zijn op linux, dat er geen virussen voor zijn e.d.: terug naar school! Inderdaad: NIETS is veilig... Zeker niet als t op internet aangesloten is.
Ach kom, wat is nou het ergste dat er kn gebeuren. Iemand heeft toegang tot een forumaccountje. Big deal. Het is niet alsof je hele financiele en juridische verleden daar in staan.
op zich niet, maar ik denk dat er een zeker percentage voor andere diensten dezelfde username /password combo hebben ... en dan wordt het toch een ander verhaal ...
Van het volk op een forum van een linux distro verwacht ik toch wel beter. Maargoed, je hebt natuurlijk gelijk. Dan is vervolgens alleen nog de vraag: welke andere diensten, met welke usernames en welke wachtwoorden.

Het is niet waterdicht, maar een hacker gaat echt geen tientallen miljoenen combinaties uitproberen. Dat kost veel te veel tijd en het levert bijna niets op.
Je hebt t wel over Noobuntu he... Zoveel tech savvy mensen komen daar totaal niet.

Maar opzich kan het niet bizar veel kwaad nee, en nu t bekend is moet men ff wachtwoordje aanpassen.

Ben nu wel benieuwd... dit is t zoveelste vbulletin forum dat gekraakt wordt in korte tijd. De nieuwste vBulletin was al een major piece of shit maar ben toch benieuwd of ze er geen dik lek in hebben zitten.

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True