Twitter: Ένα αυξανόμενο ορυχείο ασφαλείας

Ταυτόχρονα, οι προμηθευτές ιών προειδοποιούσαν για νέες επιθέσεις phishing που εξαπλώνονται μέσω του Twitter. Χρησιμοποιώντας τους λογαριασμούς Twitter, οι phishers θα ακολουθούν τους χρήστες και στη συνέχεια θα τους μολύνουν μέσω ενός συνδέσμου σε μια σελίδα ψεύτικου προφίλ φορτωμένο με κακόβουλο λογισμικό. Όπως και τα στιγμιαία μηνύματα, το MySpace και το Facebook πριν από αυτό, το Twitter είχε συμπληρώσει την ηλικία του.

Μετά από τρία χρόνια σχετικά ήρεμης ανάπτυξης και ανάπτυξης, η μετεωρική άνοδος της υπηρεσίας το 2009 ήταν σκληρή. Εκτός από τα ζητήματα κλιμάκωσης που οφείλονται στην εισροή νέων χρηστών, τον Ιανουάριο, ένα χτύπημα Twitter έθεσε σε κίνδυνο τους λογαριασμούς 33 υψηλού προφίλ χρηστών, συμπεριλαμβανομένου του προέδρου Μπαράκ Ομπάμα, του άγκυρα του CNN Rick Sanchez και της ψυχαγωγίας Britney Spears. για να καταργήσετε το κακόβουλο λογισμικό από τον υπολογιστή σας των Windows]

Τον Απρίλιο, ένα σκουλήκι Twitter γνωστό ως "Mikeyy" ή "StalkDaily" εκτρέφει το κεφάλι του. Παρόμοιο με το σκουλήκι Samy του MySpace για το 2005, ο σκουλήκι Mikeyy γράφτηκε από έναν 17χρονο, ο οποίος εκμεταλλεύτηκε ένα κωμικό κώδικα για να κερδίσει την φήμη του για την ιστοσελίδα του, StalkDaily.com. Το Twitter τερμάτισε - και μερικούς επόμενους ιούς ("Πώς να αφαιρέσετε νέο σκουλήκι Mikeyy!") - αρκετά γρήγορα. Μετά από τις επιθέσεις των σκουληκιών, ο συνιδρυτής Biz Stone έγραψε στο ιστολόγιο της εταιρείας, "Το Twitter παίρνει την ασφάλεια πολύ σοβαρά και θα συνεχίσουμε σε όλα τα μέτωπα."

Συντομευμένοι κίνδυνοι URL

Παράλληλα με την ανάπτυξη του Twitter είναι η επέκταση των υπηρεσιών συντόμευσης URL. Η τοποθέτηση των σκέψεών σας σε 140 χαρακτήρες απαιτεί πρακτική. συμπεριλαμβανομένων των πλήρων διευθύνσεων URL είναι σχεδόν αδύνατη. Συνήθως, οι διευθύνσεις URL πρέπει να περικοπούν μέσω υπηρεσιών όπως Bit.ly και TinyURL.com, οι οποίες επίσης αποκρύπτουν την πραγματική διεύθυνση URL προορισμού και μπορούν ως εκ τούτου να παρουσιάσουν τα δικά τους προβλήματα ασφάλειας.

Τα πρώτα σημάδια του προβλήματος των συντομευμένων διευθύνσεων URL έλαβαν ένα ζεύγος σκουληκιών Twitter που υποσχέθηκε να βοηθήσει τους χρήστες να αφαιρέσουν το σκουλήκι Mikeyy. Τον Ιούνιο, ένα κύμα κρυφών δηλητηριασμένων διευθύνσεων URL σάρωσε το Twitter, χρησιμοποιώντας συνδέσμους Bit.ly στους τομείς low.cc και myworlds.mp όπου οι χρήστες κλήθηκαν να κατεβάσουν ένα αρχείο που ονομάζεται free-stream-player-v_125.exe για να προβάλουν ένα βίντεο. Το αρχείο περιέχει κακόβουλο λογισμικό. Bit.ly και TinyURL έχουν ανταποκριθεί στις αναφορές της κατάχρησης? Το Bit.ly, για ένα, αποκλείει τώρα τους τομείς low.cc και myworlds.mp.

Τουλάχιστον ένα προϊόν ασφαλείας, ZoneAlarm, αποκλείει την πρόσβαση στο TinyURL.com από προεπιλογή, αναφέροντάς το ως δυνητικά κακόβουλο ιστότοπο (μπορείτε να τον ξεκλειδώσετε το). Έχετε και άλλους τρόπους για να προστατεύσετε τον εαυτό σας. Το TinyURL έχει μια δυνατότητα προεπισκόπησης και ο Firefox έχει ένα πρόσθετο προεπισκόπησης Bit.ly. Ορισμένες εφαρμογές Twitter, όπως το TweetDeck και το Tweetie, προεπισκόπησαν επίσης τη διεύθυνση URL προτού κάνετε κλικ.

Ο ερευνητής ασφαλείας Aviv Raff χαρακτήρισε τον Ιούλιο του 2009 ως "Μήνα Twitter Bugs", κατά την οποία οι ερευνητές θα αποκαλύψουν μια νέα ευπάθεια Twitter κάθε μέρα. Αναφερόμενος στις προηγούμενες προσπάθειες που έχουν επικεντρωθεί στα προγράμματα περιήγησης και στις ευπάθειες του Apple Mac OS, ο Raff λέει ότι ο στόχος του δεν είναι να σπάσει το Twitter, αλλά να το βελτιώσει και να αντιμετωπίσει όλες τις αδυναμίες κοινωνικής δικτύωσης: «Ελπίζω ότι το Twitter και άλλοι πάροχοι API του Web 2.0 θα συνεργαστούν στενά API καταναλωτές να αναπτύξουν ασφαλέστερα προϊόντα. " Το πρώτο σφάλμα Twitter που αποκαλύφθηκε αφορούσε σφάλματα δέσμης ενεργειών μεταξύ ιστότοπων στο Bit.ly. Μέσα σε λίγες ώρες από την αποκάλυψη, το Bit.ly τις διόρθωσε.

Ακολουθήστε με, Παρακαλώ

Ένας συχνός στόχος των Twitterers είναι να οικοδομήσουμε ένα ακροατήριο. μερικοί άνθρωποι βαθμολογούν το προφίλ τους με επιτυχία εάν έχουν εκατοντάδες ή και χιλιάδες οπαδούς. Ένας δικτυακός τόπος που ονομάζεται TwitterCut δηλώνει ότι θα αυξήσει δραματικά τη βάση των οπαδών σας - αν του δώσατε το όνομα χρήστη και τον κωδικό πρόσβασής σας. Οι περισσότεροι πωλητές ασφαλείας θεωρούν ότι είναι μια απάτη με πληρωμή ανά κλικ.

Οι άνθρωποι που έπεσαν για απάτη είδαν τους λογαριασμούς τους στο Twitter που χρησιμοποιήθηκαν αργότερα για την επίθεση phishing "Best Video", όπου οποιοσδήποτε επισκέφθηκε ένα σύνδεσμο στο tweet έκλεισε τη λήψη ένα κακόβουλο αρχείο PDF που στη συνέχεια προσπάθησε να εγκαταστήσει ένα πλαστό προϊόν ασφαλείας αν ο υπολογιστής δεν είχε την πιο πρόσφατη ενημερωμένη έκδοση ασφαλείας της Adobe

Gone Phishing

Οι περισσότερες απόπειρες ηλεκτρονικού ψαρέματος στο Twitter είναι πιο απλές. Το Twitter ειδοποιεί συστηματικά τους χρήστες πρόσφατων οπαδών μέσω ηλεκτρονικού ταχυδρομείου, συχνά με σύνδεσμο στο προφίλ του οπαδού. Πρόσφατες επιθέσεις ηλεκτρονικού "ψαρέματος" απάγουν το ηλεκτρονικό ταχυδρομείο και κρατούσαν έναν σύνδεσμο σε μια πλαστή σελίδα σύνδεσης στο Twitter.

Μια άλλη παραλλαγή της απάτης ηλεκτρονικού "ψαρέματος" έστειλε ένα τιτίβισμα διαβάζοντας: "Ελέγξτε αυτό το αστείο blog για εσάς". Κάνοντας κλικ στο URL, το θύμα πήρε μια ψεύτικη σελίδα (στο twitter.access-logins.com/login/). Ανεξάρτητα από το πόσο καλή είναι η τοποθεσία, εξετάστε τη διεύθυνση URL και σκεφτείτε δύο φορές σχετικά με την εισαγωγή των στοιχείων σας - ειδικά εάν είστε ήδη συνδεδεμένοι στο Twitter.

Οι κακοί τύποι έχουν δοκιμάσει πιο λεπτή τακτική, όνομα παιχνίδι. Σύμφωνα με το παιχνίδι, για να δημιουργήσετε το όνομα που θα χρησιμοποιήσετε κατά τη διάρκεια της σταδιοδρομίας σας για ενήλικες, παίρνετε το όνομα του πρώτου σας κατοικίδιου ζώου και το συνδυάζετε με το δρόμο που μεγάλωσε, το πατρικό όνομα της μητέρας σας ή το μοντέλο του αυτοκινήτου σας. Αναγνωρίστε αυτά τα πράγματα; Είναι κοινά ερωτήματα ασφάλειας. Με το tweeting τις απαντήσεις σας, θα μπορούσατε να δώσετε πρόσβαση στον λογαριασμό σας Twitter - ή στον τραπεζικό σας λογαριασμό.

Μερικοί από τους αναδυόμενους κανόνες ασφαλείας για τη χρήση του Twitter είναι απλά κοινή λογική. Ακριβώς όπως δεν θα αφήσετε ένα τηλεφωνικό μήνυμα λέγοντας ότι θα είστε έξω από την πόλη, μην τιτσάρετε τα σχέδια διακοπών σας. Και παρακαλώ μην μοιραστείτε την τοποθεσία σας εάν είστε κάτοικος των Η.Π.Α. που πραγματοποιεί εμπιστευτικό ταξίδι στο εξωτερικό. Απλώς ρωτήστε τον εκπρόσωπο Pete Hoekstra (R-MI), ο οποίος tweeted νωρίτερα αυτό το έτος: "Απλά προσγειώθηκε στη Βαγδάτη. Πιστεύω ότι μπορεί να είναι η πρώτη φορά που είχα την υπηρεσία BlackBerry στο Ιράκ."