Attacco hacker al forum Ubuntu: le password non sarebbero state compromesse
In breve: Sembra che il 14 Luglio scorso il forum di Ubuntu sia stato compromesso. I malintenzionati sono riusciti a superare le misure di sicurezza implementate da Canonical ottenendo così l’accesso al database. Gli hacker non sarebbero pero’ riusciti ad ottenere le password degli utenti.
Qualcuno ha tentato di copiare il database del forum di Ubuntu, amato e consultato da tutta la community del sistema operativo più utilizzato in ambiente GNU/Linux. Dopo una rapida fase investigativa sembra che l’attacco sia avvenuto alle 20:33 UTC (quindi le 22:33 del 14 Luglio orario italiano, ndr).
Stando alle parole di Jane Silber, CEO di Canonical, gli hacker avrebbero sfruttato una nota vulnerabilità dell’add-on del forum. In termine tecnico viene definita come “SQL injection vulnerability”. SQL injection è una tecnica di code injection, usata per attaccare applicazioni data-driven, con la quale vengono inseriti degli statement SQL malevoli all’interno di campi di input in modo che vengano eseguiti (ad esempio per fare inviare il contenuto del database all’attaccante). L’SQL injection sfrutta le vulnerabilità di sicurezza del software di un’applicazione, ad esempio, quando l’input dell’utente non è correttamente filtrato da ‘escape characters’ contenuti negli statement SQL oppure non è fortemente tipizzato e viene eseguito inaspettatamente. L’SQL injection è più conosciuto come attacco per i siti web, ma è anche usato per attaccare qualsiasi tipo di database SQL. L’SQL injection permette agli attaccanti di effettuare spoof identify, modificare dati esistenti oppure crearne una copia, è altresì possibile eliminare dati e, addirittura, diventare amministratori del database server. In uno studio del 2012, è stato osservato che in media le applicazioni web ricevono 4 attacchi al mese, ed i rivenditori ricevono il doppio degli attacchi rispetto alle industrie.
Jane Silber ha affermato che gli hacker hanno avuto accesso ‘solo’ alla ‘user table’ ciò significa che sono entrati in possesso degli indirizzi IP, degli indirizzi email e degli username degli utenti registrati, più di due milioni. Le password non sarebbero state compromesse in quanto salvate come stringhe casuali grazie alla tecnologia Ubuntu Single Sign On (SSO). Queste stringhe sono pero’ ora in possesso dei malintenzionati. La compagnia ha assicurato che gli hacker non sono entrati in possesso della capacità di scrittura sul database nè hanno colpito qualsivoglia servizio di Canonical.
Per far fronte a questi attacchi Canonical installerà ModSecurity. Si tratta di un web application firewall open source che utilizza un sistema di “regole” modulare. Queste regole possono essere scaricate e aggiornate da vari repository sia a pagamento che gratuitamente. Inoltre è possibile “scrivere” le proprie regole ed eccezioni a seconda dell’ambiente dove verrà utilizzato ModSecurity.
L’unico consiglio che posso dare è il seguente: è noto che gli hacker hanno acquisito un bacino di oltre 2 milioni di email che potrebbero usare per spam phising o altro. Se eravate registrati sul forum cambiate password e state ancora più attenti alle e-mail che ricevete.
Vi terremo informati non appena emergeranno ulteriori novità.