Amigos, tenemos una mala noticia que daros. Canonical acaba de anunciar que el foro oficial de Ubuntu ha sido hackeado, por lo cual, se recomienda inmediatamente cambiar las credenciales de acceso.
Este suceso ha afectado a casi 2 millones de usuarios, ya que los atacantes han conseguido acceder a la base de datos del foro, consiguiendo en el proceso la dirección IP, el nombre de usuario, el email y las claves de los usuarios del foro.
Los hackers consiguieron entrar gracias a un fallo de seguridad del foro, el cual consistía en una protección insuficiente del sitio contra ataques tipo inyección SQL.
La inyección SQL consiste en introducir comandos SQL en el sitio con el fin de acceder a la base de datos del mismo. Gracias a un fallo de seguridad, los atacantes consiguieron acceder a la tabla de usuarios del sitio, la cual contiene toda la información de los usuarios del foro.
Canonical ya ha pedido disculpas en este comunicado, en el cual también dice que se espera solucionar el error pronto y que todo vuelva a la normalidad. Yo si fuera vosotros, cambiaría la contraseña de vuestro email, sobre todo los que utilicéis la misma clave para el foro de Ubuntu y para el correo electrónico.
Sin duda hay que tener mucho cuidado con estas cosas, ya que estos agujeros de seguridad pueden costar muy caro a millones de usuarios. Sin embargo, Canonical es una gran compañía y sin duda sabrá ponerle remedio a esta situación para que no vuelva a ocurrir.
Desgraciadamente, este no es el primer ataque realizado contra linux y el software libre ni será el último. Sonado fue el ataque contra el sitio web de Linux Mint, en el cual cambiaron la ISO oficial del sistema operativo por una ISO maliciosa destinada a robar datos.
Ahora solo esperemos que esto sólo se quede en una anécdota,y que Canonical se sepa recomponer de esto.
Fuente de información en español:Linux Adictos
Fuente original:Notice of security breach on Ubuntu Forums
Inyección de SQL
Muchos desarrolladores web no son conscientes de cómo las consultas SQL pueden ser manipuladas, y asumen que una consulta SQL es una orden fiable. Esto significa que las consultas SQL son capaces de eludir controles de acceso, evitando así las comprobaciones de autenticación y autorización estándar, e incluso algunas veces, que las consultas SQL podrían permitir el acceso a comandos al nivel del sistema operativo del equipo anfitrión.
La inyección directa de comandos SQL es una técnica donde un atacante crea o altera comandos SQL existentes para exponer datos ocultos, sobrescribir los valiosos, o peor aún, ejecutar comandos peligrosos a nivel de sistema en el equipo que hospeda la base de datos. Esto se logra a través de la práctica de tomar la entrada del usuario y combinarla con parámetros estáticos para elaborar una consulta SQL. Los siguientes ejemplos están basados en historias reales, desafortunadamente.
Debido a la falta de validación en la entrada de datos y a la conexión a la base de datos con privilegios de superusuario o de alguien con privilegios para crear usuarios, el atacante podría crear un superusuario en la base de datos.
Ejemplo #1 Dividir el conjunto de resultados en páginas ... y crear superusuarios (PostgreSQL)
<?php
$índice = $argv[0]; // ¡Cuidado, no hay validación en la entrada de datos!
$consulta = "SELECT id, name FROM products ORDER BY name LIMIT 20 OFFSET $índice;";
$resultado = pg_query($conexión, $consulta);
?>
Un usuario común hace clic en los enlaces 'siguiente' o 'atrás' donde el $índice está codificado en el URL. El script espera que el $índice entrante sea un número décimal. Sin embargo, ¿qué pasa si alguien intenta irrumpir anteponiendo a la URL algo como lo siguiente empleando urlencode()?
Ejemplo
0;
insert into pg_shadow(usename,usesysid,usesuper,usecatupd,passwd)
select 'crack', usesysid, 't','t','crack'
from pg_shadow where usename='postgres';
--
Si esto sucediera, el script podría otorgar un acceso de superusuario al atacante. Observe que 0; es para proveer un índcie válido a la consulta original y así finalizarla.
Nota:
Es una técnica común forzar al analizador de SQL a ignorar el resto de la consulta escrita por el desarrollador con --, lo cual representa un comentario en SQL
Fuente de explicación:Inyección SQL