News Einbruch im Forum der Linux-Distribution Ubuntu

[Don Sanchez]

@Sputn1k ?

Moment, das war doch auch der Twitter Account, auf den letztens bei dem Hack des vBulletin Forums von Steam verlinkt wurde: http://forums.steampowered.com/forums/showthread.php?t=3151540

Dort wurde ja hinterher erklärt, dass eigentlich nicht das Forum gehackt wurde, sondern nur das Passwort eines freiwilligen Community Moderators kompromittiert wurde (zum Beispiel weil der ein schwaches Passwort hatte, oder es aus Versehen in falsche Hände gegeben hat): http://forums.steampowered.com/forums/showpost.php?p=34674376&postcount=33

Jetzt wird das Ubuntu Forum gehackt und der selbe Twitter Account kommt ins Spiel... da frage ich mich doch, wie der Hack bei Ubuntu zustande kam.

 

[arne1234]

War wool ein Ubuntu-Server! Selbst schuld auf so eine Frikkelsotftware zu setzen! Wohfür gibbt es den Mircosoft QUALITÄHT?!?!?!?!?

Ironie oder ernst gemeint?

...ein Linux-Forum gehackt??? Wie geht das?
Dachte, Linux sei sooo sicher??? Oder lief das auf Windows

Wer so naiv ist dem kann man nicht mehr helfen

 

[derChemnitzer]

es wurden jetzt schon mehrfach VBulletin Boards gehackt

da sollten sich mal die Programmieren einen Kopf machen

 

[rony12]

Ich finde es immer erstaunlich wie unterschiedlich die Wahrnehmung der Netzgemeinde sein kann.

Dringt ein Haker in das Microsoft Netzwerk ein um brisante Daten daraus zu veröffentlichen, gilt Er als Held und guter Handwerker. Kommt ein Konzern wie Sony deshalb unter Druck, passiert das "zurecht". In diesem Zusammenhang habe ich hier niemals den O-Ton gelesen, es handelt sich um einen Idioten der fremdes Eigentum klaut. Genauso der Fall Manning oder Wikileaks, alles Helden.

Wird das Ubuntu-Forum, das "Hauptquartier der Guten", ein Symbol der Netzgemeinde und Ausdruck für offenen Umgang mit Information mit genau den selben handwerklich guten Fähigkeiten angegriffen und die Daten nicht veröffentlicht, dann handelt es sich auf einmal um eine schlechte Tat.

Es ist eben doch immer eine Frage der Perspektive, gut das wir das geklärt haben

natürlich ist das eine frage der perspektive.

Wenn du jemanden 15 Jahre untechtmassig gefangen hälst, dann wirst du, wenn das raus kommt, selber für viele Jahre legal weggesperrt.

Auch eine frage der perspektive...

Überall... Das nennt sich narrativ

 

[danny38448]

das sind für mich kein Hacker,das ist ein Krimineller

ein Hacker hat ein Ehrencodex und versucht Schwachstellen in Systemen zu finden und dann den entsprechenden Firmen Tipps zu geben wie man es beseidigen kann

wer Passworter und Emails einfach nur nach einen Einbruch kopiert und damit Schundluder treibt ist ein Kriminelles Element

 

[GrinderFX]

Viel lustiger hätte ich es gefunden, wenn sie Code in Ubuntu eingeschleust hätten.

 

[Captian Teemo]

das sind für mich kein Hacker,das ist ein Krimineller

ein Hacker hat ein Ehrencodex und versucht Schwachstellen in Systemen zu finden und dann den entsprechenden Firmen Tipps zu geben wie man es beseidigen kann

wer Passworter und Emails einfach nur nach einen Einbruch kopiert und damit Schundluder treibt ist ein Kriminelles Element

Die Frage ist eben, wie soll man als Hacker dann noch die Aufmerksamkeit bekommen. Hat man einen erfolgreichen Hack begangen, muss man eben irgendwie auf sich Aufmerksam machen, damit die Betreiber es auch mitbekommen.

Und Schindluder zu betreiben hat der Kollege hier ja scheinbar nicht. Eigentlich hat er auch nichts gestohlen sondern nur kopiert...


Wie als würdest du deine Haustür offenlassen, und bekommst am nächsten Tag nen Brief mit Bildern von deinem Hausinneren aus deinen Zimmern, dass jemand drin war. Könnte man so vergleichen.

 

[hardwarekäufer]

Wenn er schlau ist setzt er seine Fähigkeiten ein um damit Geld zu verdienen - also auf Legale weise indem er bei einer Softwarefirma arbeitet.

Wenn er dumm ist, baut er irgendwann mist und bekommt ne Anzeige.

Bin auch mal "Opfer" so eines Foren-Hacks gewordenim windows-tweaks-forum (gibt es niht mehr) und der Hacker hatte mich als Hauptadmin eingetragen.. warum er mich ausgewählt hat, kA. Drei nutzer waren als Admins eingetragen, alle anderen waren gesperrt.
hatte den Forenbetreiber daraufhin sofort telefonisch kontaktiert und die Sache richtig gestellt..
Da wurden aber keine Daten entwendet.

 

[Konsolengamer]

Meinen Respekt hat er, definitiv klug gemacht. Evtl. sollten die mal die Lücke fixen, der Typ scheint immerhin kein Arsch zu sein wenn er keine Daten preis gibt. Meine Sympathie hat er jedenfalls!

Aha, warum muss man eine Sicherheitslücke zuerst ausnutzen bevor man diese meldet?! Warum sucht sich der nicht einen richtigen Job wenn er doch so gut ist?
Er ist und bleibt ein asoziales Kellerkind, der Typ soll mal an die Sonne gehen anstelle den IT'lern bei Canonical das Wochenende zu vermiesen. Einbruch ist Einbruch, solange Canonical ihm keinen Ethical Hacking Auftrag erteil ist und bleibt er ein armer kranker einsamer Taugenichts (kurzform: Hacker).

 

[hardwarekäufer]

Zumindest kann man festhalten, dass er kosten verursacht hat.
Auch wenn manche das nicht glauben, so eine Internetseite bzw. ein Forum verursacht auch dann Kosten bei so einer Geschichte, wenn ein Großteil der Mitarbeiter ehrenamtlich arbeitet.

 

[Bogeyman]

Aha, warum muss man eine Sicherheitslücke zuerst ausnutzen bevor man diese meldet?

Mal ne andere Frage: Wieso soll man den Firmen kostenlos helfen? Bei Microsoft bekommste auch Geld wenn du ne Lücke meldest. Allerdings haben die sich auch ne Hintertür eingebaut dass sie nur zahlen müssen wenn man eine "neue Lücke" entdeckt. Und ob die Lücke neu ist entscheidet MS bzw. die Firma.

Sprich der Hacker "liefert" hat aber keine Garantie auf "Belohnung". Und wenn du heutzutage nichts in der Hand hast, haste nunmal schlechte Karten. Er hat jetzt immerhin den Beweis dass ein Einbruch möglich ist. Ohne Daten was hätte er da in der Hand? Nichts.

Da könnte ne Firma oder der Betreiber einer Seite einfach alles abstreiten. So geht dies jetzt nicht mehr so einfach, weil der Hacker etwas in der Hand hat und es auch im Interesse der Firma ist sich mit ihm zu einigen nun. Die wissen selber wenn sie ihn meinen verarschen zu müssen es auch Konsequenzen für sie selber hat.



Warscheinlich hätte der Fall auch gar nicht die Öffentlichkeit erreicht wenn der Hacker keine Daten kopiert hätte weil man ihn dann als Lügner hätte hinstellen können.

Letztendlich sehe ich das kopieren der Daten eher als Beweis an dass man es tatsächlich geschafft hat wo einzubrechen.

 

[d4nY]

Die Frage ist eben, wie soll man als Hacker dann noch die Aufmerksamkeit bekommen. Hat man einen erfolgreichen Hack begangen, muss man eben irgendwie auf sich Aufmerksam machen, damit die Betreiber es auch mitbekommen.

ja stimmt leider...das liest man zB in der c't bzw. heise security öfters, dass von sicherheitsexperten entdeckte und gemeldete (!) lücken einfach bestehen bleiben und die firma dahinter nichts tut...erst wenn man mit veröffentlich droht bzw. dann die schwachstelle eben veröffentlicht, wird gefixt...

mit dieser "veröffentlichung" werden vielleicht auch andere nutzer der forensoftware aktiv und kümmern sich um die sicherheit (ja ich bin optimist )

 

[racer320kmh]

Ich habe den Adblocker auch nur auf CB, Golem, etc. (Stammseiten) deaktiviert.

 

[tarrabas]

manche haben hier ein kurioses verständniss von der rechtslage und moral.

tatsache ist doch, eine schwachstelle findet man höchstens "just do it" also kann man nicht zuerst sagen, da ist ne lücke, wenn man es nicht ausprobiert hat. darum so rum und NIE anders. mag man gerne vergessen und drehen wollen, aber das ist nur noch dummes gebrabbel.

der zweite punkt ist doch, verwendet er die daten um damit geld zu erheimschen.

manning - bekam kein geld.
snowden - kein geld.

verkauf von datensätzen = geld.

solange also mit den daten nichts missbräuchliches geschehen ist, ist der hacker mit sauberer weste da.

dazu kommt noch die unschuldsvermutung und der menschenverstand.

hacker machten mit ihren herausgefundenen sicherheitslücken die programme sicherer. tatsache, auch wenn manche geschichtsvergessene das zu gerne leugnen. es ist also gut, das auch bei ubuntu lücken gefunden werden. selbst wenn es unangenehm ist und einen wechsel des passwortes verursacht. da man diese sowieso all halbes jahr verändern sollte.

das fazit : gut für ubuntu. solange der hacker die daten nicht veräussert, ist er ein guter.*auch falls er die daten überhaupt noch besitzt. denke das wird gerade noch geklärt.

greez

 

[Randy89]

Ich habe den Adblocker auch nur auf CB, Golem, etc. (Stammseiten) deaktiviert.

Die Gefahr kann aber auch auf den Stammseiten lauern, weswegen ich grundsätzlich jegliche Werbung blockieren lasse, zur Not greift dann die Host Datei das meiste ab, falls irgendwas mit dem Adblocker nicht mehr wie gewünscht läuft. Selbst wenn ich Adblock Plus deaktivieren würde, würde ich immernoch keinerlei Werbung auch im unregistrierten Zustand zu sehen bekommen.

hacker machten mit ihren herausgefundenen sicherheitslücken die programme sicherer.

Stimmt schon, nur ändert dies nichts an der Illegalität. Es gibt aber auch Hackerwettbewerbe, wie z.B. das Pwnium von Google, bei dem Hacker für erfolgreiche Angriffe bezahlt werden und ein Patch spätestens nach einem Tag schon draußen ist.

 

[Bogeyman]

tatsache ist doch, eine schwachstelle findet man höchstens "just do it" also kann man nicht zuerst sagen, da ist ne lücke, wenn man es nicht ausprobiert hat. darum so rum und NIE anders. mag man gerne vergessen und drehen wollen, aber das ist nur noch dummes gebrabbel.

Man kann das ganze sogar weiterspinnen und dem "Hacker" sogar wenn er denn gar nichts kopiert hat einfach als Lügner darstellen.

Daher würde ich auch zusehen wenn ich behaupte dass etwas unsicher ist, ich es auch beweisen kann. Ohne kopierte Daten gibts aber nunmal keinen handfesten Beweis.

das fazit : gut für ubuntu. solange der hacker die daten nicht veräussert, ist er ein guter.*auch falls er die daten überhaupt noch besitzt. denke das wird gerade noch geklärt.

Der Verständnis der Leute von Moral und Anstand ist manchmal echt bekloppt. Ich erinnere mich noch als irgendein Hacker doch diese Pornoseite gehackt hat und da persönliche Daten veröffentlicht hat und viele Leute blos gestellt hat.

Da gabs auch zahlreiche Forenbeiträge mit "selbst Schuld wer auf so schmutzigen Seiten angemeldet ist soll ruhig dazu stehen!" und der Hacker wurde gelobt.

Problem an der Sache ist wohl eher dass Kriminelle für entdeckte Sicherheitslücken oftmals deutlich besser bezahlen als Firmen. Komisch dass für solche Dinge dann auf einmal kein Geld da ist, man sich aber nen dicken Vorstand auf der anderen Seite völlig problemlos mit jährlichen Gehaltssteigerungen leisten kann.

Microsoft zahlt 100k soweit ich weiß maximal. Das ist in meinen Augen einfach nen Witz. Die Sicherheit der persönlichen Daten von zahlreichen Kunden sollten deutlich mehr Wert sein.

Wenns in der Wirtschaft immer um "Gewinnmaximierung" geht, wieso sollte dann ein Hacker nicht auch so verfahren mit Sicherheitslücken und sie einfach an den Meistbietenden verkaufen.

 

[Testfall]

Ich frage mich was man mit sinnlosen Forum Passwörtern und Benutzernamen anstellt.

Das kann ich dir gerne verraten: Statistiken.
Man glaubt nicht, wie blöde User bei der Passwortwahl sind.
Und wenn du dann eine ganze Herde untersucht hast, kannst du das nächste Rindvieh schon beim zweiten Versuch mit Namen nennen.

 

[M24o]

Die Gefahr kann aber auch auf den Stammseiten lauern, weswegen ich grundsätzlich jegliche Werbung blockieren lasse, zur Not greift dann die Host Datei das meiste ab, falls irgendwas mit dem Adblocker nicht mehr wie gewünscht läuft. Selbst wenn ich Adblock Plus deaktivieren würde, würde ich immernoch keinerlei Werbung auch im unregistrierten Zustand zu sehen bekommen.

Welche Gefahr?

 

[Randy89]

Welche Gefahr?

Drive By Downloads durch manipulierte Werbebanner.

 

[GrinderFX]

Ich habe den Adblocker auch nur auf CB, Golem, etc. (Stammseiten) deaktiviert.

Dumm nur, dass man auch schon mal über die Viren bekommen hat.