Ändert eure Passwörter !

[phantastisch]

Willkommen zurück !

Das Forum ist endlich wieder online und in Anbetracht der Tatsache , dass nicht auszuschließen ist das die Angreifer Datenbank Zugriff hatten :

Ändert euer Foren-Passwort !

Obwohl die Passwörter mit 7500 Runden SHA 256 und einem Salt gehasht wurden , sind Wörterbuch-Attacken nicht auszuschließen.

Der Hack ansich wurde wohl über eine Backdoor ausgeführt welche seit 2011 als Nachwehen einer anderen Attacke noch im Code versteckt war.

SMF hatte einen Bug über den man sich nur mit dem Passwort-Hash einloggen konnte, dieser wurde zwar letztes Jahr gefixt, aber zu spät um den Einbau der Backdoor zu verhindern.

Checkt auch wenn möglich auf veränderte PNs,Bitcoinadressen und dergleichen.

Hier das Statement von Theymos :

On October 3, it was discovered that an attacker inserted some JavaScript into forum pages. The forum was shut down soon afterward so that the issue could be investigated carefully. After investigation, I determined that the attacker most likely had the ability to execute arbitrary PHP code. Therefore, the attacker probably could have accessed personal messages, email addresses, and password hashes, though it is unknown whether he actually did so.

Passwords were hashed very strongly. Each password is hashed with 7500 rounds of sha256crypt and a 12-byte random salt (per password). Each password would need to be individually attacked in order to retrieve the password. However, even fairly strong passwords may be crackable after a long period of time, and weak passwords (especially ones composed of only a few dictionary words) may still be cracked quickly, so it is recommended that you change your password here and anywhere else you used the password.

The attacker may have modified posts, PMs, signatures, and registered Bitcoin addresses. It isn't practical for me to check all of these things for everyone, so you should double-check your own stuff and report any irregularities to me.

How the attack was done

I believe that this is how the attack was done: After the 2011 hack of the forum, the attacker inserted some backdoors. These were removed by Mark Karpelles in his post-hack code audit, but a short time later, the attacker used the password hashes he obtained from the database in order to take control of an admin account and insert the backdoors back in. (There is a flaw in stock SMF allowing you to login as someone using only their password hash. No bruteforcing is required. This was fixed on this forum when the password system was overhauled over a year ago.) The backdoors were in obscure locations, so they weren't noticed until I did a complete code audit yesterday.

After I found the backdoors, I saw that someone (presumably the attacker) independently posted about his attack method with matching details. So it seems very likely that this was the attack method.

Because the backdoors were first planted in late 2011, the database could have been secretly accessed any time since then.

It was initially suspected by many that the attack was done by exploiting a flaw in SMF which allows you to upload any file to the user avatars directory, and then using a misconfiguration in nginx to execute this file as a PHP script. However, this attack method seems impossible if PHP's security.limit_extensions is set.

The future

The forum is now on a new server inside of a virtual machine with many extra security precautions which will hopefully provide some security in depth in case there are more exploits or backdoors. Also, I have disabled much SMF functionality to provide less attack surface. In particular, non-default themes are disabled for now.

I'd like to publish the forum's current code so that it can be carefully reviewed and the disabled features can be re-enabled. SMF 1.x's license prohibits publishing the code, though, so I will have to either upgrade to 2.x, get a special copyright exception from SMF, or do the auditing myself. During this investigation, a few security disadvantages to 2.x were brought to my attention, so I don't know whether I want to upgrade if I can help it. (1.x is still supported by SMF.)

Special thanks to these people for their assistance in dealing with this issue:
- warren
- Private Internet Access
- nerta
- Joshua Rogers
- chaoztc
- phantomcircuit
- jpcaissy
- bluepostit
- All others who helped

Code:

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

As of October 7 2013, the Bitcoin Forum has been restored to bitcointalk.org.
-----BEGIN PGP SIGNATURE-----

iF4EAREIAAYFAlJSRF8ACgkQxlVWk9q1keemWgD/WcvrsikPq6AHpEo20KGmQInp
FlyAWNbX74z65KJrsUEBAIcCzYnHZ7gAs49mlhSq1fR9o2LZCETV3BJveCTu7lAi
=b9Xb
-----END PGP SIGNATURE-----

[Nyx]

Drei Tage war der Bitcointalk so krank!
Jetzt schnauft er wieder.
Gott sei Dank!

+1 

[Akka]

Ja, das war ja was mit diesem perfekt getimten Angriff.

Da hat offensichtlich jemand auf eine gute Gelegenheit gewartet den durchzuführen, bin mal gespannt wie lange die schon Zugriff hatten um so etwas auszuführen.

Naja, bis auf ein paar Spekulanten, die auch offensichtlich nur gehofft haben wieder billiger einzukaufen hat sich der BTC ja ziemlich unbeeindruckt gehalten. 

So ein Stress Test ab und zu ist doch auch was wert. Der Bitcoin ist in den letzten Monaten offensichtlich um einiges widerstandsfähiger geworden.

[Zephir]

Ja, das war ja was mit diesem perfekt getimten Angriff.

Da hat offensichtlich jemand auf eine gute Gelegenheit gewartet den durchzuführen, bin mal gespannt wie lange die schon Zugriff hatten um so etwas auszuführen.

Naja, bis auf ein paar Spekulanten, die auch offensichtlich nur gehofft haben wieder billiger einzukaufen hat sich der BTC ja ziemlich unbeeindruckt gehalten. 

So ein Stress Test ab und zu ist doch auch was wert. Der Bitcoin ist in den letzten Monaten offensichtlich um einiges widerstandsfähiger geworden.

Der Angriff war zeitlich perfekt, aber ich bin mir sicher, derjenige hat sich grün geärgert, dass das Ergebnis nicht nach seinen Wünschen gelaufen ist.
Derjenige wollte einen crash herbeiführen, nur hatte das hacken des bitcointalk forums, keine Auswirkungen auf den Kurs.

Also ich bin begeistert, wie gut der btc diese Woche durchstanden hat. 
Jetzt fällt nämlich auch das mieseste Argument gegen btc weg(SR).
Cheers!

[klaus]

So ein Stress Test ab und zu ist doch auch was wert. Der Bitcoin ist in den letzten Monaten offensichtlich um einiges widerstandsfähiger geworden.

Also ich bin begeistert, wie gut der btc diese Woche durchstanden hat.  
Jetzt fällt nämlich auch das mieseste Argument gegen btc weg(SR).

Bin ebenfalls begeistert.
Geiler vergleich mit dem Stress Test Akka. Bitcoin hat ja wohl voll bestanden.
Ich denke wenn das 2011 passiert wäre wäre der Kurs damals wieder unter 1 US$ gerutscht. 2013 aber nur minus 20-25% und nach 6 Tagen alles wieder fast beim alten. Was für ne geile Außenwirkung in den Medien!

Stress Test für mich 100% bestanden.

[klaus]

'Wir' also das ganze Bitcoinforum sind derzeit 150.000 Mitglieder. https://bitcointalk.org/index.php?action=stats


Auf der Silkroad waren knapp 1 Mio User angemeldet.
Ich finde das ist eine mehr als beeindruckende Dunkelziffer die dadurch ans Licht kam. WOW !

Hinter jedem von uns fleißig tippenden Leuten stehen 6 die nicht im Bitcoinforum angemeldet sind aber dafür auf der SR angemeldet waren. Nochmal WOW !

[qwk]

Hinter jedem von uns fleißig tippenden Leuten stehen 6 die nicht im Bitcoinforum angemeldet sind aber dafür auf der SR angemeldet waren.

Kann natürlich aber auch einfach daran liegen, dass die Leute bei silkroad sich mehrfach angemeldet haben.
Und es werden sich auch ne Menge Leute aus reiner Neugier angemeldet haben, um zu sehen, wie's im dunkelsten Teil des Internet so aussieht.
Da sind wir hier einfach zu uninteressant mit unserer Fachsimpelei über Crypto-Geld

[fronti]

Besonders wenn man bedenkt das es wohl nur 4 Millionen Tor User (und die auch erst seit kurzem) geben soll
https://metrics.torproject.org/users.html

Dann hätte ja jeder 4. einen Account bei SR was ich dann doch bezweifle 

[candoo]

Die Zahl der SR Accounts hat nichts zu sagen. Aktive Accounts davon waren es glaube ich ca. 140k ? Steht auf jedem Fall in dem Bericht mit drin. Aktiv = entweder was gekauft oder verkauft,

Die anderen waren wohl nur neugierig.

[numismatist]

Die Zahl der SR Accounts hat nichts zu sagen. Aktive Accounts davon waren es glaube ich ca. 140k ? Steht auf jedem Fall in dem Bericht mit drin. Aktiv = entweder was gekauft oder verkauft,

Die anderen waren wohl nur neugierig.

Ja, traurig. Stehen 9 von 10 Typen einfach nur im Bahnhof, und alle werden dumm angemacht weil sie FIAT in der Tasche haben und damit einkaufen, nur weil 1 ~einer~ da Joints unter der Hand verkauft. So sieht's aus. Das grenzt an Sippenhaft!

Da findet aktuell mal, was nur etwa alle 1000 Jahre geschieht, eine Innovation im Bereich der Währungen statt, und dann wird das so diskreditiert.

Desweiteren bin ich etwas entäuscht das dieses Webforum seit 2011 gehackt ist. Verwanzt sicherlich auch. Hallo, STASI!

[Gordon Bleu]

Da stimme ich zu der letzte Funhack mit den Raketen und Bitcoins scheint mir als hätte einer einfach gezeigt das er es kann,
das dumme für die anderen war das man nun auch deren Hintertüren gefunden hat (FEDS?)
somit hat der böse Spasshacker eigentlich was ganz gutes gemacht.

[Sukrim]

das dumme für die anderen war das man nun auch eine derer Hintertüren gefunden hat (FEDS?)

/fixed ...

[BeeCoin]

Ändert euer Foren-Passwort !
Obwohl die Passwörter mit 7500 Runden SHA 256 und einem Salt gehasht wurden , sind Wörterbuch-Attacken nicht auszuschließen.

Das hört sich doch in jedem Fall recht robust an...
Mir scheint, selbst einfachere Kennwörter würden da eine ganze Weile brauchen...