Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 71 reacties

SourceForge heeft enkele diensten stopgezet en een aantal servers gesloten nadat de organisatie erachter kwam dat hackers onder andere de servers voor cvs-hosting waren binnengedrongen. Onduidelijk is hoe lang ze toegang hadden.

De beheerders van SourceForge ontdekten de hack woensdag. De aanval was gericht op diensten voor ontwikkelaars, volgens de organisatie die zorg draagt voor de hosting van zo'n kwart miljoen opensourceprojecten.

"Het probleem was in eerste instantie ontdekt op de servers die cvs hosten, maar na analyse bleek dat diverse andere machines getroffen waren. Hoewel we geloven dat we de reikwijdte van de aanval vastgesteld hebben, gaan we nu al onze diensten en data na", schrijft SourceForge op zijn blog. Uit voorzorg zijn de diensten cvs-hosting, ViewVC, de uploadmogelijkheid van nieuwe releases en de Interactive Shell-diensten tijdelijk uitgeschakeld. Met cvs zijn alle veranderingen bij projecten en bestanden bij te houden en het systeem stelt ontwikkelaars in staat om samen te werken.

Meer details geeft de organisatie nog niet, hangende het onderzoek. Ondertussen is het team druk bezig de data-integriteit na te gaan. Een inbreuk op de servers van SourceForge zou zeer gevaarlijk kunnen zijn; er zouden bijvoorbeeld heimelijk backdoors in veelgebruikte applicaties als Abiword, VLC en 7-zip kunnen worden ingebouwd.

Moderatie-faq Wijzig weergave

Reacties (71)

Wel triest dat een dergelijke dienst wordt gehacked.

Immers een ideaal distributieplatform voor open source projecten. Typisch een bedrijf wat eigenlijk alles goed deed (of ik moet iets gemist hebben).
Blijkbaar deden ze toch 1 ding niet goed: hun security :+
Maar ok, das een beetje flauw. Voor hetzelfde geld was het social engineering ofzo.

Ik zou verder ook niet weten wie ze zou willen hacken. Zal wel een commerciŽle software vendor zijn geweest die een hekel heeft aan open source. De meeste hackers zullen toch wel op z'n minst ergens een stukkie software gebruiken wat op sf gehost wordt, en daarom geen behoefte hebben ze te hacken.
Blijkbaar deden ze toch 1 ding niet goed: hun security :+
Maar ok, das een beetje flauw. Voor hetzelfde geld was het social engineering ofzo.
Zonder te weten hoe ze gehacked zijn kun je hier geen uitspraak over doen.

Er is geen enkele server hoe gepatched dan ook die niet gehacked kan worden.
Met een 0 uur exploit kun je een systeem waar die software draait hacken.

Als dit bijvoorbeeld een cvs exploit was dan zijn dat direct veel servers bij sourceforge.
Een bestaand en vertrouwd platform voor software distributie is natuurlijk ideaal voor het verspreiden van malware.
Ik denk dat de reden vooral in deze richting gezocht moet worden; criminelen die hun bot netwerk willen uitbreiden of persoonlijke gegevens willen bemachtigen.
Zal wel een commerciŽle software vendor zijn geweest die een hekel heeft aan open source.
Iets aannemelijkere verdachte: botnet exploitanten. Voor een commerciele software vendor is dit een nogal belachelijk hoog risico.

[Reactie gewijzigd door Dreamvoid op 29 januari 2011 00:31]

En doordat het zo goed bekend stond was het een ideaal slachtoffer om te hacken en code aan te passen, aangezien mensen de naam 'SourceForge' koppelden aan een betrouwbaar (in de zin van veilig, niet perse goed) product en het dus minder snel controleerden.
aangezien mensen de naam 'SourceForge' koppelden aan een betrouwbaar (in de zin van veilig, niet perse goed) product en het dus minder snel controleerden.
Een beetje een vreemde opmerking.

Een sourceforge project is zo veilig als de onbetrouwbaarste ontwikkelaar.

Belangrijke/populaire projecten worden door een heel mensen in de gaten gehouden ook t.a.v. veranderingen in de tijd.

Dat Sourceforge direct reageert, publiceert en cvs/svn etc. offline haalt vind ik erg goed. Dat het het voordeel van openheid van OSS. Een commercieel bedrijf moet in zo'n geval ook aan commerciŽle belangen denken.
Ik lees net deze mail van ze.

Hello,

We recently experienced a directed attack on SourceForge infrastructure
(http://sourceforge.net/blog/sourceforge-net-attack/) and so we are
resetting all passwords in the sf.net database -- just in case. We're
e-mailing all sf.net registered account holders to let you know about this
change to your account.

Our investigation uncovered evidence of password sniffing attempts. We have
no evidence to suggest that your password has been compromised. But, what
we definitely don't want is to find out in 2 months that passwords were
compromised and we didn't take action.

So, as a proactive measure we've invalidated your SourceForge.net account
password. To access the site again, you'll need to go through the email
recovery process and choose a shiny new password:

[Reactie gewijzigd door DigitalTux op 29 januari 2011 08:17]

En wat wil jij nu hiermee precies zeggen / aangeven,
ik bedoel, nog 3 miljoen mensen hebben deze e-mail ontvangen,
dus wat is jou "point of statement" hier?
Hij zal willen aangeven wat de exacte maatregel van sourceforge is richting de gebruikers. Ik vond het in elk geval verhelderend. Immers 1 mail zoals die verstuurd is zegt meer dan 100 speculaties en verhalen van horen zeggen.
ikzelf kreeg deze mail niet en vond het in deze context wel informatief.
Rvdven doelt niet op de projecten die er 'gehost' worden, maar op het bedrijf SourceForge zelf.

Ergens heeft hij wel gelijk, want het is al meermalen voorgekomen dat er een bedrijf met hoog aanzien toch gehackt werd en mensen dachten dat het wel veilig was.
Een commercieel bedrijf moet in zo'n geval ook aan commerciŽle belangen denken.
SourceForge *is* een commercieel bedrijf.

[Reactie gewijzigd door Dreamvoid op 29 januari 2011 00:28]

Helaas gebeurt het vaker dat hacker mannetjes de boel vernielen van goede initiatieven en websites. Denk hierbij aan de zinloze aanvallen van Anonymous
Die van Anonymous wil ik niet bepaald zinloos noemen :)
Anon heeft echt wel wat zinloze aanvallen gedaan hoor. Ik herinner me een keer dat iemand voorstelde om een DDoS door een proxy heen te leiden zodat de leden van Anon hun IP niet zouden mee sturen. Natuurlijk ging de proxy server neer lang voordat het doelwit problemen kreeg. Dat was een nutteloze actie, maar als je doelt op de laatste paar aanvallen ben ik het met je eens, die waren niet zinloos.

On topic:
Tis altijd erg vervelend als de servers van zo'n prachtig platform worden gehacked, ik hoop dat er niet teveel schade is. Nu maar hopen dat ze er van leren en de beveiliging beter optrekken maar je blijft altijd trieste crackers hebben die er een kick van krijgen dingen te slopen.
Trieste hackers die een kick krijgen valt te bezien, het kunnen net zo goed vrolijke criminelen zijn geweest die hun werk saai vinden, maar wel even een paar nieuwe backdoors in populaire software hadden bedacht om aan geld te komen.
Niet? Je wilt het daadwerkelijk zinvol noemen? Want welke zin hebben ze dan bereikt?
Compleet off-topic, maar de zin van een actie en wat de actie bereikt heeft zijn 2 verschillende begrippen. Ook False Messiah lijkt het woord "zin" niet helemaal te begrijpen; de zin of onzin van een actie kan niet besproken worden aan de hand van het amateurisme waarmee ze uitgevoerd werd.

On-topic: inderdaad zeer spijtig, SourceForge is een degelijke site die -- zoals reeds verschillende malen gezegd hier -- enkel goed doet.
Dat ze gearresteerd werden. Best zinvol imo.
Dat ze gearresteerd werden. Best zinvol imo.
Maar verder heeft dan weer weinig zin want de groep als geheel zal niet stoppen, als ze er geen zin in hebben.

Ook zogeheten veilige bedrijven worden gehackt.
Misschien deden ze het wel om te 'trainen in de praktijk',
voordat ze de US-Goverment gaan hacken...? ;) Of zo iets...? :?
Ik ben inderdaad net zo verrast.

Ik benieuwd of we uiteindelijk achter de achterliggende reden zullen komen van deze hack. Natuurlijk kun je geld verdienen aan het inbouwen van backdoors in open-source projecten. De hack is in ieder geval niet uitgevoerd met "ethiek" in het achterhoofd.
Geen nood. De FBI zal nu ongetwijfeld ook in actie schieten net als bij de wikileaks vergeldings aanvallen en deze mensen onmiddellijk voor het gerecht slepen.

Complot denkers gaan nu misschien vermoeden dat M$ ofzo achter de aanvallen zit om de veiligheid van open source te bekritiseren. Maar waarschijnlijk zijn het ofwel gewoon studenten die willen zien hoever ze kunenn gaan of georganiseerde misdaad die inderdaad op grote schaal bank-gegevens willen verzamelen door de gehoste software aan te passen.
Wel triest dat een dergelijke dienst wordt gehacked.

alsof het bij andere diensten niet erg is..
Vervelend. Maar wat betekend dit voor de gehoste software/applicaties en weet ik wat? Kan ik nog veilig een applicatie of sources downloaden, of moet elk stukje code worden nagekeken cq. door een vertrouwde medewerker van het project opnieuw geupload worden?

Moeten we wachten op een sein "veilig" van SF?
Ik neem aan dat ze kunnen zien welke bestanden er gewijzigd zijn, maar dat zal misschien niet waterdicht zijn. Hoe dan ook een lastige situatie!
Het lastige is dat veel bestanden om legale redenen gewijzigd kunnen zijn. Daarnaast is het ook goed mogelijk om in cvs de geschiedenis aan te passen. Jou upload om je backdoor te introduceren, pas je aan en maak je onderdeel van een upload van iemand anders die een legale fix uitgevoerd heeft. Success met zoeken

En helaas is het niet 1 project maar kan men duizenden projecten hebben aangepast. Aantonen dat er niets veranderd is, is dus vrijwel onmogelijk.
En helaas is het niet 1 project maar kan men duizenden projecten hebben aangepast. Aantonen dat er niets veranderd is, is dus vrijwel onmogelijk.
Dat valt best mee. De mensen in het project kunnen dit vrij gemakkelijk. Door te kijken of de huidige versie gelijk is aan de laatst veilige versie plus alle commits die je via een commit email binnen krijgt.

De laatste goede versie is altijd wel ergens te achter halen.
Dat is SF nu aan het onderzoeken... ;)
Had al gelezen over hoe onveilig sourceforge was op exploit-db. Interessant artikel voor diegene die het willen lezen; http://www.exploit-db.com/papers/15823/
Wat inderdaad wel interessant is uit dat stukje (en waar keejoz dus op doelde) is het volgende:
So, why is their website so insecure? Ettercap's message board is
hosted at Sourceforge, so they share a server with thousands of other
customers. Every single customer is able to execute commands and
access the other project directories. Pretty stupid, eh? You only need
to find one hole in one hosted site and you can access ALL the project
databases. Of course that isn't ALoR's fault, it's Sourceforge's
fault. Regardless, people who care about security and data integrity
wouldn't use such a shitty provider, would they? To be fair, the
Ettercap project is dead. Most of the admins have been inactive for a
few years now, but that is no excuse for such a security mess.
Especially since the server was compromised some five years ago.
Maar je hebt wel enige kennis nodig van programmeren om het een beetje te kunnen begrijpen. Die ik dus bijvoorbeeld niet in die mate heb.

[Reactie gewijzigd door crizyz op 28 januari 2011 17:39]

Schokkende hack. Ongelofelijk en daar zit denk ik wel meer achter.

Als ik dit draadje lees (en sommige links) dan schrik ik er wel van hoe slecht Sourceforge de beveiliging en infrastructuur op orde heeft. Dat vind ik echt het meest schokkende aan dit hele verhaal en ik denk alle developers die daar hun projecten hebben ook.

Benieuwd hoe dit gaat aflopen.
Als ik dit draadje lees (en sommige links) dan schrik ik er wel van hoe slecht Sourceforge de beveiliging en infrastructuur op orde heeft.
IMO er overdreven.

Ik zie nergens enig bewijs dat Sourceforge hun beveiliging niet orde had.
Dat vind ik echt het meest schokkende aan dit hele verhaal en ik denk alle developers die daar hun projecten hebben ook.
Dit valt allemaal best mee. Dit risico zit er altijd in.

Aan de hand van de commit messages en de laatste betrouwbare versie kun je altijd achterhalen of je repostry ongeoorloofd aangepast was.
Toch wel een indrukwekkende hack te noemen. Mede door de impact die het kan hebben op de 1001 OSS.

topic; http://sourceforge.net/blog/sourceforge-net-attack/

[Reactie gewijzigd door himlims_ op 28 januari 2011 16:48]

Damn! Dit is toch een van de weinige keren, dat ik het echt uit de grond van mijn hart jammer vind dat een site gehackt is. ScoureForge is een geweldige site die naar mijn mening een erg belangrijke speler is in de open-source community.
Tig van de programma's die ik gebruik komen van/via SourceForge. Wel goed dat ze meteen servers afsluiten.
Benieuwd of later ook nog bekend gemaakt wordt of er, en zo ja welke, programma's gehackt zijn.
Blijkbaar waren ze achter de paswoorden van gebruikers. 10 minuten geleden een berichtje gekregen:

Hello,

We recently experienced a directed attack on SourceForge infrastructure
(http://sourceforge.net/blog/sourceforge-net-attack/) and so we are
resetting all passwords in the sf.net database -- just in case. We're
e-mailing all sf.net registered account holders to let you know about this
change to your account.

Our investigation uncovered evidence of password sniffing attempts. We have
no evidence to suggest that your password has been compromised. But, what
we definitely don't want is to find out in 2 months that passwords were
compromised and we didn't take action.

So, as a proactive measure we've invalidated your SourceForge.net account
password. To access the site again, you'll need to go through the email
recovery process and choose a shiny new password:

https://sourceforge.net/account/registration/recover.php

If you need help with this, feel free to e-mail us:

sfnet_ops@geek.net

We appreciate your patience with us as we work to respond to this attack.
We'll be working through the weekend to get things back to normal as
quickly as possible.

Watch for updates on the service outages on our blog:

http://sourceforge.net/blog/

Thank you,

The SourceForge Team
Ik lees alleen iets over pogingen, waarom is het dan gelijk waar dat het gelukt is?
De verdere ondergang van de nestor van de open-source community. De moderne wereld gebruikt immers al GitHub of Google Code.
En dan wordt GitHub of zelfs Google's code onderdeel gehacked (alles kan) - dan zie je het zelfde nieuws bericht maar dan 6 maanden nadat de hack of exploit geconstateerd is.
Bij github is het probleem een stuk minder groot dan bij SourceForge... Ik kan zonder dat jij het ziet wijzigingen in je CVS repository aanbrengen. Bij GIT lukt dat niet.
Ik kan zonder dat jij het ziet wijzigingen in je CVS repository aanbrengen. Bij GIT lukt dat niet.
Ik ken git niet zo goed.

Maar het lijkt me sterk dat dat niet mogelijk is.

Zonder encryptie is het altijd mogelijk. Dat het veel omslachtiger is dan voor CVS geloof ik wel.

Software revision control systemen zijn niet gemaakt om de opslag helemaal secure te maken. Dit doe je via rechten op je systeem en op basis van toegang. Een admin kan altijd administratieve handelingen doen op de repositry.

Daarbij krijg je bij sourceforge altijd commit berichten zodra je versie x die zeker voor de hack was vergelijk met de huidige versie in combinatie met de commit berichten zie je al snel of je repositry nog in orde is.
git werkt interen met SHA hashes voor commit referenties en allerlei andere objecten. Daarnaast worden alle objecten ook naar andere repositories gedownload, in tegenstelling tot CVS en Subversion. Daar check je alleen de versie die je wil hebben uit.

Als de 'centrale' git repository bewerkt wordt, merken de andere repositories dat vrij snel en kunnen de ook de 'centrale' repository herstellen. Ik heb centrale hier tussen aanhalingstekens geplaatst omdat technisch zo'n repository niet veel anders is dan de lokale repository bij de developers. Er is technisch gezien geen single master.
Totdat Github gehacked wordt... Tis maar net wat het smaakje van de maand is...
Niks mis met SF imho, en tis heus niet perse moderner als je iets gebruikt wat minder lang bestaat.
De verdere ondergang van de nestor van de open-source community. De moderne wereld gebruikt immers al GitHub of Google Code.
Dat valt erg mee. Ik ken nog heel veel grote en nog steeds actieve projecten op sourceforge.

Mijn voorkeur gaat uit naar een non-profit organisatie zoals Sourceforge.
Mijn voorkeur gaat uit naar een non-profit organisatie zoals Sourceforge.
SourceForge is geen non-profit. SourceForge is eigendom van Geeknet; die tevens eigenaar is van de bekende technologie nieuws site Slashdot, de OSS index Freshmeat en de ThinkGeek winkel en genoteerd staat aan de NASDAQ. SourceForge is dus net zo commercieel als bijvoorbeeld een GitHub en Bitbucket.

Ik denk trouwens dat na deze hack (de spreekwoordelijke 'druppel') en de issues die SF in het verleden heeft gehad Google, GitHub en Bitbucket behoorlijk wat nieuwe klanten/bezoekers tegemoet kunnen gaan zien de komende tijd...

[Reactie gewijzigd door mindcrash op 28 januari 2011 23:51]

Ik denk trouwens dat na deze hack (de spreekwoordelijke 'druppel') en de issues die SF in het verleden heeft gehad Google, GitHub en Bitbucket behoorlijk wat nieuwe klanten/bezoekers tegemoet kunnen gaan zien de komende tijd...
Ik denk het niet.

Het overgrote deel van OSS projecten die niet op een eigen site gehost worden staan bij sourceforge.

Ik kan me eerlijk gezegd geen project herinneren dat een beetje naam heft dat ik op gitHub gedownload heb.

gitHub is een commerciŽle provider die zich naast hun commerciŽle repositry hosting op free hosting richt. Daar zal het overgrote deel van GPL ontwikkelaars niet voor gaan.

GoogleCode is naar mij gevoel ook minder onafhankelijk dan Sourceforge.

En daarbij, waarom zou je al afstappen van sourceforge. Is er iets gebeurt wat niet bij GoogleCode of gitHub zou kunnen gebeuren?
Ik vraag me erg af of dit door dezelfde media-industry hitmen georgiseerd werd die enkele jaren geleden Shareaza kaapte. (Artikels daarover staan zelfs in de lijst van "gerelateerd content" rechtsboven).

Gezien die hufters echt van alles probeerden om gebruikers te overtuigen dat hun versie van Shareaza de echte was (die in feite erg gemene backdoors en trojans op hun systeem losliet) en gelijk alle sites en links van de *echte* Shareaza verving door verwijzingen naar hun spul zou dit niet buiten hun methoden vallen.

Na een kort maar schadelijke oorlog was Shareaza's enige redmiddel toen juist om naar SourceForge te vluchten... [puntje puntje puntje]


Edit: -1 ongewenst?!? WTF? Ik mag hier toch en mening geven over een mogelijke oorzaak van het onderwerp? Stel dat dit waar blijkt te zijn dan gaat dit over de kern van het verhaal!

[Reactie gewijzigd door MossMan op 28 januari 2011 17:51]

Na een kort maar schadelijke oorlog was Shareaza's enige redmiddel toen juist om naar SourceForge te vluchten...
Ik snap je verhaal niet helemaal.

Shareaza is 2p2.
Shareaza is een peer-to-peer client, voor Windows ontworpen, die de netwerkprotocollen van Gnutella, Gnutella2, eDonkey2000 en BitTorrent ondersteunt. Het programma is ontwikkeld door Michael Stokes in de programmeertaal C++ en is opensourcesoftware, vrijgegeven onder de GPL.
SourceForge is een site voor software ontwikkeling.
SourceForge.net is een website voor opensourcesoftware.

SourceForge.net is 's werelds grootste verzamelplaats voor opensource software. De ontwikkeling van de software, de homepage en het downloaden van de software wordt beheerd door de site.

Van de software is de broncode openbaar.
Ik vraag me af wat het een met het ander te maken heeft?
Shareaza is P2P software die gehost was op een eigen site. DIe domein werd gekaapt door een derde partij in opdracht van Franse media bedrijven, waarna de site deed voor alsof het nog van Shareaza was en een malware-versie daarvan verspreide.

Na een korte, heftige oorlog zijn de Shareaza ontwikkelaars naar SourceForge gestapt om de software, forum en website te hosten. Kort daarna werd SourceForge zelf aangevallen door de media industrie - maar SF bleek te groot en bekend te zijn om te bezijken onder druk.

HIEROM gaf ik mijn MENING dat zo'n aanval op SF, die van soortgelijke aarde is als de aanval op Shareaza, *misschien* aan verwant kan zijn.
Edit: -1 ongewenst?!? WTF? Ik mag hier toch en mening geven over een mogelijke oorzaak van het onderwerp? Stel dat dit waar blijkt te zijn dan gaat dit over de kern van het verhaal!
Nee, ten eerste is dit alleen speculatie, wat op zich een score van 0 had gekregen in plaats van -1 als het niet ook nog eens gepaard zou gaan met het onnodige gevloek.

On topic: Diep triest vind ik dit, Sourceforge is een geweldige site.
Comments zijn altijd of opinie of speculatie. "Hufters" vind ik nauwelijks gevloek.
Ik kan me best voorstellen dat je een kijkje achter de schermen wil nemen bij wat de ontwikkelaars van applicaties die zoals bij vlc op menig computer te vinden zijn zoal onderling met elkaar bespreken.

Ik neem althans aan dat bij een systeem dat ontwikkelaars in staat stelt om samen te werken er ook een afgeschermd deel aanwezig zal zijn waar nieuwe implementaties en god mag weten wat allemaal besproken wordt.

[Reactie gewijzigd door ROT13 op 28 januari 2011 20:19]

Nee. Open Source projecten opereren over het algemeen voledig transparant. Je kunt dus echt alles volgen, elke discussie, elke code wijziging elk issue, alles. Dit is niet per se om politiek correct te zijn maar vooral omdat het coordineren van Open Source projecten al moeilijk genoeg is als iedereen alle communicatie kan lezen. Als je ook nog een deel gaat afschermen maak je het aleen maar onnodig moeilijk.

De reden is simpel: Duizenden projecten waar je de source code van kunt mainupuleren, dus duizenden mogelijkheden om trojans en backdoors in te bouwen in (anderszins betrouwbaer) software die veel gedownload wordt.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True