In breve: Sembra che il 14 Luglio scorso il forum di Ubuntu sia stato compromesso. I malintenzionati sono riusciti a superare le misure di sicurezza implementate da Canonical ottenendo così l’accesso al database. Gli hacker non sarebbero pero’ riusciti ad ottenere le password degli utenti.

Qualcuno ha tentato di copiare il database del forum di Ubuntu, amato e consultato da tutta la community del sistema operativo più utilizzato in ambiente GNU/Linux. Dopo una rapida fase investigativa sembra che l’attacco sia avvenuto alle 20:33 UTC (quindi le 22:33 del 14 Luglio orario italiano, ndr).

ubuntu forum hacker

Stando alle parole di Jane Silber, CEO di Canonical, gli hacker avrebbero sfruttato una nota vulnerabilità dell’add-on del forum. In termine tecnico viene definita come “SQL injection vulnerability”. SQL injection è una tecnica di code injection, usata per attaccare applicazioni data-driven, con la quale vengono inseriti degli statement SQL malevoli all’interno di campi di input in modo che vengano eseguiti (ad esempio per fare inviare il contenuto del database all’attaccante). L’SQL injection sfrutta le vulnerabilità di sicurezza del software di un’applicazione, ad esempio, quando l’input dell’utente non è correttamente filtrato da ‘escape characters’ contenuti negli statement SQL oppure non è fortemente tipizzato e viene eseguito inaspettatamente. L’SQL injection è più conosciuto come attacco per i siti web, ma è anche usato per attaccare qualsiasi tipo di database SQL. L’SQL injection permette agli attaccanti di effettuare spoof identify, modificare dati esistenti oppure crearne una copia, è altresì possibile eliminare dati e, addirittura, diventare amministratori del database server. In uno studio del 2012, è stato osservato che in media le applicazioni web ricevono 4 attacchi al mese, ed i rivenditori ricevono il doppio degli attacchi rispetto alle industrie.

Jane Silber ha affermato che gli hacker hanno avuto accesso ‘solo’ alla ‘user table’ ciò significa che sono entrati in possesso degli indirizzi IP, degli indirizzi email e degli username degli utenti registrati, più di due milioni. Le password non sarebbero state compromesse in quanto salvate come stringhe casuali grazie alla tecnologia Ubuntu Single Sign On (SSO). Queste stringhe sono pero’ ora in possesso dei malintenzionati. La compagnia ha assicurato che gli hacker non sono entrati in possesso della capacità di scrittura sul database nè hanno colpito qualsivoglia servizio di Canonical.

Per far fronte a questi attacchi Canonical installerà ModSecurity. Si tratta di un web application firewall open source che utilizza un sistema di “regole” modulare. Queste regole possono essere scaricate e aggiornate da vari repository sia a pagamento che gratuitamente. Inoltre è possibile “scrivere” le proprie regole ed eccezioni a seconda dell’ambiente dove verrà utilizzato ModSecurity.

L’unico consiglio che posso dare è il seguente: è noto che gli hacker hanno acquisito un bacino di oltre 2 milioni di email che potrebbero usare per spam phising o altro. Se eravate registrati sul forum cambiate password e state ancora più attenti alle e-mail che ricevete.

Vi terremo informati non appena emergeranno ulteriori novità.

  • Pingback: Attacco hacker al forum Ubuntu: le password non sarebbero state compromesse | Aggregatore GNU/Linux e dintorni()

  • abePdIta

    Insomma, anche loro, come dei polli.

    • pinotto

      Culubuntu e Linux Min-chia, un’accoppiata vincente.

      • IlTizioCheNonVuoleRegistrarsi

        Però, a onor del vero (e diversamente da Linux Mint), gli hacker sono riusciti ad attaccare SOLO IL FORUM di Ubuntu (quindi non hanno avuto accesso a tutti gli altri servizi erogati da Canonical e alle .iso della distribuzione), senza tral’altro recuperare “in chiaro” le passwords, rendendo quindi i codici da loro ricavati totalemente inutili. Invece, quando è capitato l’attacco sul sito di Linux Mint, è stato hackerato il forum, sono state recuperate in chiaro tutto le passwords, le .iso della distribuzione sono state cambiate con una versione modificata per creare una rete di computers zombie ecc. Alla fine dei conti l’attaco al forum di Ubuntu è stato poco grave, inoltre Canonical ha immediatamente aumentato la sicurezza del sito stesso con ModSecurity, diversamente da Mint che, prima dell’attacco, utilizzava ancora http, senza manco implementare https sul suo sito web.

        • Aury88

          beh, anche nel caso di mint ho letto che le password fossero in realtà criptate…comunque in questo caso, pur avendo avuto accesso alla tabella contenente le stringhe casuali delle password, non sono state neanche scaricate (a differenza di quanto affermato da questo articolo, bisognerebbe usare le fonti ufficiali e in questo caso il report di canonical in cui questa cosa viene detta).
          Le differenze non si fermano qui: in questo caso canonical ha cominciato le indagini subito dopo la prima segnalazione e ha tirato giù i server dopo poche ore, nel caso di mint dalla prima segnalazione è passato un mese. inoltre i server di canonical non hanno subito un secondo attacco dopo l’intervento di canonical, mentre per mint ci fu bisogno del secondo attacco, dopo il riavvio, prima di scoprire e correggere la falla di sicurezza nei loro sistemi.

          comunque sia hanno fatto una brutta figura :-/

          • IlTizioCheNonVuoleRegistrarsi

            Grazie mille Aury88 per avermi fatto capire che l’articolo era errato 🙂 Pensavo fosse stato solo tradotto…Peccato comunque, come hai detto tu hanno fatto una brutta figura. Mi consolo ricordando che anche altri siti come quello di Debian e di aziende più grandi come Microsoft ed Apple sono stati comunque attaccati allo stesso modo, con conseguenze anche maggiori (tipo il furto del codice sorgente di Windows NT).
            Buon pomeriggio 🙂

          • Stefano Fanucchi

            consolazione ?!

      • michele casari

        Vi ricordo che qualche anno fa hanno mandato down il sito di debian, la distribuzione più sicura nel mondo linux.

        • lTizioCheNonVuoleRegistrarsi

          Concordo, una svista può capitare a chiunque 🙂

  • SeaPatrol

    Cavolo avevo un indirizzo mail spam free, dopo questo attacco è stato inondato, maledetti.

No more articles