Pech dosięga nawet największych producentów oprogramowania, które ma zabezpieczać użytkowników przed zagrożeniami płynącymi z sieci. Czy tym razem również szewc bez butów chodzi? Jak widać nie wszyscy radzą sobie z aktualizacjami oprogramowania.
Wczoraj na blogu Avasta pojawiła się informacja, że jego forum padło w weekend ofiarą ataku, w ramach którego wykradzione zostały:
- loginy,
- e-maile użytkowników,
- hasła (hashowane (oraz solone przy pomocy nazwy użytkownika))
w liczbie 400 000 rekordów. Nie wyciekły natomiast żadne dane finansowe, ani te związane z licencjami, gdyż forum hostowane było na niezależnej infrastrukturze. Obecnie trwa odbudowa forum w nowszej wersji. Avast we wpisie informuje również, że nie wie jeszcze gdzie tkwił błąd, ale w wyjaśnieniu pomogli użytkownicy.
Wyjaśnienie w Google Cache
Użytkownicy w komentarzach do informacji o wycieku, na podstawie zapisów z Google Cache zwracają uwagę, że forum oparte było o skrypt SMF w wersji 2.0.6, a obecnie najnowszą wersją jest 2.0.7. CEO Avasta – Vince Steckler, odpowiedział również na ten zarzut, potwierdzając doniesienia czytelników. Jednocześnie wspomniał on, że w wersji 2.0.6 występuje błąd zdalnego wykonywania kodu (RCE), który nie został odpowiednio zaznaczony w informacji o wydaniu, przez co aktualizacja nie została na czas zainstalowana.
Wujek dobra rada
Jeśli mieliście konto na forum Avasta, a hasła tam zastosowanego używaliście gdziekolwiek indziej, zmieńcie je natychmiast, szczególnie jeśli identyczne było używane do e-maila którego powiązaliście z kontem na forum. Algorytm przechowywania haseł w SMF jest znany i jest to funkcja skrótu SHA1 hasła posolonego poprzez nazwę użytkownika:
$hash = sha1(strtolower($username) . $password);
więc tylko kwestią (niedługiego) czasu pozostaje, kiedy hasła zostaną złamane. Jeśli natomiast administrujecie forum opartym na darmowym skrypcie Simple Machine Forum, zweryfikujcie czy nie jest to przypadkiem wersja 2.0.6 lub wcześniejsza, aby i wam nie przytrafił się podobny przypadek.
PS. Przerwa w aktualizacji serwisu nie oznacza w żadnym wypadku jego końca. – Z3S wkrótce powróci do dawnej formy, tylko redakcja upora się z pilniejszymi projektami.
Komentarze
Ostatni akapit cieszy bardziej niz wpadka Avasta.
dokładnie tak. Już myślałem, że będę musiał się żegnać i zostanie sam kuniecznik. To byłaby smuta w internecie polskim.
Choć stwierdzenie: „Przerwa w aktualizacji serwisu NIE oznacza BYNAJMNIEJ jego końca”, sprawia wrażenie jak by jednak coś było na rzeczy.
(że też to 'bynajmniej’ sprawia tak wiele problemów)
voila! :)
Ej, to akurat jest prawidłowe użycie.
Heartbleed odebrało nam wpisy na Z3S! ;)
Dokładnie tak ;) czekamy na Z3S dziennie aktualizowaną ;)
To już sha1 takie słabe jest ? MD5 to czytałem, ale sha1 myslałem że potrzebuje sporo mocy obliczeniowej aby hasła wyciągnąć.
sha1(strtolower($username) . $password); to będzie hash-mode 105 w oclhashcat pojedynczy Radeon R9 290X robi 2366.1 MH/s przy ustawieniach Core: 1000 Mhz, Memory 1250 Mhz, dla porównania ten sam Radeon na tych samych ustawieniach MD5 to już 10200.8 MH/s.
Generalnie nie byłoby problemu, gdyby hasła ludzi były losowe, wtedy na nic byłyby słowniki i rulesety, a prawda jest taka, że 98% haseł pada w top 10000 najpopularniejszych haseł :(
czyli znając samą sól można rzeczywiście tak szybko złamać hash?? przecież dodanie jakiegokolwiek znaku zmienia go?
aby się nie powtarzać, odsyłam do Sekuraka, który w wystarczającej mierze opisał ten temat: http://sekurak.pl/lamanie-hasel-z-wykorzystaniem-cpugpu/
Dzięki za link, przeczytałem :)
> w *ilości* 400 000 rekordów.
liczbie ;)
A coś więcej wiadomo o tym Truecryp’cie?
Torepublic padło?
Czy ta strona jeszcze żyje?