Canonical acaba de anunciar que sus foros de ayuda Ubuntu han sufrido el pasado fin de semana un fallo de seguridad, como consecuencia de un ataque que permitió recaudar unos 1,8 millones de nombres de usuario, direcciones de correo y contraseñas de este site. Canonical explica que no está segura de cómo los piratas lograron romper sus sistemas de seguridad y, como precaución, ha desconectado todos los foros de Ubuntuforums.com.
seguridadhackerokbuena.jpg
Canonical, responsable de la distribución Ubuntu Linux, está alertando del problema vía email a todos los usuarios con cuenta en sus foros y recomienda cambiar las credenciales de seguridad en otros sitios, especialmente el correo, si utilizan la misma contraseña, correo o usuario en otros servicios online.
Los servicios Ubuntu.com como Ubuntu One parece ser que no se han visto afectados ya que no comparten los mismos datos de acceso que los foros Ubuntu.
Los seguidores de estos foros comenzaron a informar de que el site había sido atacado el pasado sábado. El pirata o piratas que vulneraron el sitio subieron posts con la imagen de un pingüino que llevaba un rifle AK-47 (el pingüino es el emblema de Linux)
El mensaje que se incluía debajo sugiere que los piratas no estaban interesados más que en denunciar la baja seguridad del site, aunque no está claro si se publicarán las bases de datos de usuarios y passwords. En todo caso, hay muchas posibilidades de que estos datos empiecen a circular por las zonas de peor reputación de la red.
Por ahora, el ataque no parece muy dañino, pero los usuarios deben tomar precauciones. Canonical asegura que las contraseñas de los usuarios de los foros se guardan en texto plano y se le aplica un sistema hash. Un hash utiliza un algoritmo matemático para convertir las contraseñas de texto sin formato en una serie de números y letras. Un hash concreto creará la misma cadena de letras y números, cada vez que se produzca la misma entrada (en este caso de contraseña). Para disponer de hashes aún más seguros se suelen ocultar, mediante un proceso que inserta bits aleatorios en el hash para dificultar que se adivine la contraseña original.
Canonical no ha querido responder a cuestiones al respecto, por lo que no está claro qué algoritmo hash estaba utilizando la compañía. Sin embargo, un informe de Ars Technica dice que se trataba de MD5, un popular algoritmo que utilizan a menudo las compañías de software y que permite a los usuarios estar seguros de que los archivos ejecutables descargados no están alterados o dañados. Pero MD5 no se considera una opción muy indicada para hashing de contraseñas.
Las noticias sobre violaciones de contraseñas son siempre una buena excusa para reevaluar nuestras prácticas de seguridad online. Asegurarse siempre de utilizar contraseñas únicas en cada site que visitemos o generar contraseñas seguras es fundamental. También es recomendable utilizar un administrador de contraseñas, como LastPass o Password Safe, para almacenar seguridadtodas las contraseñas de nuestros sitios. Estos programas también pueden crear nuevas contraseñas y rellenar automáticamente formularios de entrada.
Por último, activar la autenticación de doble factor en los servicios online, como Battle.net, Dropbox, Evernote, Facebook, Gmail, Twitter y Outlook.com resulta muy útil. Este procedimiento requiere introducir una segunda contraseña temporal, más corta, que se genera normalmente por una aplicación de teléfono inteligente.
Muchos de los servicios que ofrecen autenticación de dos factores permiten configurar PCs seguros para que sólo sea necesario introducir la acreditación una vez en nuevos equipos o navegadores.
Canonical no ha dicho cuándo dispondrá de una copia de seguridad de los foros Ubuntu. Mientras tanto, cualquier usuario de Ubuntu que busque apoyo en este tema, puede echar un vistazo a sitios como Stack Exchanges Ask Ubuntu o Ubuntu Discourse.
fuente
seguridadhackerokbuena.jpg
Canonical, responsable de la distribución Ubuntu Linux, está alertando del problema vía email a todos los usuarios con cuenta en sus foros y recomienda cambiar las credenciales de seguridad en otros sitios, especialmente el correo, si utilizan la misma contraseña, correo o usuario en otros servicios online.
Los servicios Ubuntu.com como Ubuntu One parece ser que no se han visto afectados ya que no comparten los mismos datos de acceso que los foros Ubuntu.
Los seguidores de estos foros comenzaron a informar de que el site había sido atacado el pasado sábado. El pirata o piratas que vulneraron el sitio subieron posts con la imagen de un pingüino que llevaba un rifle AK-47 (el pingüino es el emblema de Linux)
El mensaje que se incluía debajo sugiere que los piratas no estaban interesados más que en denunciar la baja seguridad del site, aunque no está claro si se publicarán las bases de datos de usuarios y passwords. En todo caso, hay muchas posibilidades de que estos datos empiecen a circular por las zonas de peor reputación de la red.
Por ahora, el ataque no parece muy dañino, pero los usuarios deben tomar precauciones. Canonical asegura que las contraseñas de los usuarios de los foros se guardan en texto plano y se le aplica un sistema hash. Un hash utiliza un algoritmo matemático para convertir las contraseñas de texto sin formato en una serie de números y letras. Un hash concreto creará la misma cadena de letras y números, cada vez que se produzca la misma entrada (en este caso de contraseña). Para disponer de hashes aún más seguros se suelen ocultar, mediante un proceso que inserta bits aleatorios en el hash para dificultar que se adivine la contraseña original.
Canonical no ha querido responder a cuestiones al respecto, por lo que no está claro qué algoritmo hash estaba utilizando la compañía. Sin embargo, un informe de Ars Technica dice que se trataba de MD5, un popular algoritmo que utilizan a menudo las compañías de software y que permite a los usuarios estar seguros de que los archivos ejecutables descargados no están alterados o dañados. Pero MD5 no se considera una opción muy indicada para hashing de contraseñas.
Las noticias sobre violaciones de contraseñas son siempre una buena excusa para reevaluar nuestras prácticas de seguridad online. Asegurarse siempre de utilizar contraseñas únicas en cada site que visitemos o generar contraseñas seguras es fundamental. También es recomendable utilizar un administrador de contraseñas, como LastPass o Password Safe, para almacenar seguridadtodas las contraseñas de nuestros sitios. Estos programas también pueden crear nuevas contraseñas y rellenar automáticamente formularios de entrada.
Por último, activar la autenticación de doble factor en los servicios online, como Battle.net, Dropbox, Evernote, Facebook, Gmail, Twitter y Outlook.com resulta muy útil. Este procedimiento requiere introducir una segunda contraseña temporal, más corta, que se genera normalmente por una aplicación de teléfono inteligente.
Muchos de los servicios que ofrecen autenticación de dos factores permiten configurar PCs seguros para que sólo sea necesario introducir la acreditación una vez en nuevos equipos o navegadores.
Canonical no ha dicho cuándo dispondrá de una copia de seguridad de los foros Ubuntu. Mientras tanto, cualquier usuario de Ubuntu que busque apoyo en este tema, puede echar un vistazo a sitios como Stack Exchanges Ask Ubuntu o Ubuntu Discourse.
fuente