Twitter: un campo de minas de seguridad creciente

Después de tres años de desarrollo y crecimiento relativamente silenciosos, el ascenso meteórico del servicio en 2009 ha sido duro. Además de problemas de escala debido a la afluencia de nuevos usuarios, en enero un hack de Twitter comprometió las cuentas de 33 usuarios de alto perfil, incluido el presidente Barack Obama, el presentador de CNN Rick Sanchez y la artista Britney Spears.

[Lectura adicional: cómo para eliminar el malware de su PC con Windows]

En abril, un gusano de Twitter conocido como "Mikeyy" o "StalkDaily" levantó su cabeza. Similar al gusano Samy 2005 en MySpace, el gusano Mikeyy fue creado por un joven de 17 años que aprovechó una peculiaridad del código para ganar notoriedad en su sitio web, StalkDaily.com. Twitter lo cerró, además de algunos virus de seguimiento ("Cómo eliminar el nuevo gusano Mikeyy"), bastante rápido. Tras los ataques de gusanos, el cofundador Biz Stone escribió en el blog de la compañía: "Twitter se toma la seguridad muy en serio y seguiremos en todos los frentes".

Peligros de URL acortados

Paralelo al crecimiento de Twitter está la expansión de servicios de reducción de URL. Ajustar tus pensamientos en 140 caracteres requiere práctica; incluyendo URL completas es casi imposible. Por lo general, las URL deben truncarse a través de servicios como Bit.ly y TinyURL.com, que también enmascaran la verdadera URL de destino y pueden presentar sus propios problemas de seguridad como resultado.

Los primeros signos de problemas de URL acortada vinieron con un par de gusanos de Twitter que prometieron ayudar a los usuarios a eliminar el gusano Mikeyy. En junio, una ola de URL envenenadas ocultas barrió Twitter, utilizando los enlaces de Bit.ly a los dominios low.cc y myworlds.mp, donde los usuarios debían descargar un archivo llamado free-stream-player-v_125.exe para ver un video. El archivo contenía malware. Bit.ly y TinyURL han respondido a los informes de abuso; Bit.ly, por ejemplo, ahora bloquea esos dominios low.cc y myworlds.mp.

Al menos un producto de seguridad, ZoneAlarm, bloquea el acceso a TinyURL.com de forma predeterminada, incluyéndolo como un sitio potencialmente malicioso (puede desbloquearlo) eso). También tienes otras formas de protegerte. TinyURL tiene una función de vista previa, y Firefox tiene un complemento de vista previa Bit.ly. Algunas aplicaciones de Twitter, como TweetDeck y Tweetie, también previsualizan la URL antes de hacer clic.

El investigador de seguridad Aviv Raff designó julio de 2009 como "Un mes de errores de Twitter", durante el cual los investigadores revelarán una nueva vulnerabilidad de Twitter cada día. Citando esfuerzos previos enfocados en navegadores y en vulnerabilidades de Apple Mac OS, Raff dice que su objetivo no es romper Twitter, sino mejorarlo y abordar todas las fallas de las redes sociales: "Espero que Twitter y otros proveedores de la API Web 2.0 trabajen estrechamente con sus Los consumidores API para desarrollar productos más seguros ". La primera falla de Twitter divulgada se refería a defectos de scripts entre sitios en Bit.ly. A las pocas horas de la divulgación, Bit.ly los corrigió.

Sígueme, por favor

Un objetivo frecuente de los Twitterers es crear una audiencia; algunas personas califican su perfil como un éxito si tiene cientos o incluso miles de seguidores. Un sitio llamado TwitterCut anunció que aumentaría drásticamente su base de seguidores, si le diera su nombre de usuario y contraseña. La mayoría de los proveedores de seguridad lo consideraron una estafa de pago por clic.

Las personas que cayeron en la estafa vieron sus cuentas de Twitter utilizadas posteriormente en el ataque de phishing "Mejor video", en el que cualquiera que visitaba un enlace en el tweet terminaba la descarga un PDF malicioso que luego intentó instalar un producto de seguridad falso si la PC no tenía la última actualización de seguridad de Adobe.

Gone Phishing

Sin embargo, la mayoría de los intentos de phishing de Twitter son más directos. Twitter notifica rutinariamente a los usuarios de seguidores recientes por correo electrónico, a menudo con un enlace al perfil del seguidor. Los recientes ataques de phishing falsificaron ese correo electrónico y contenían un enlace a una página falsa de inicio de sesión de Twitter.

Otra variación de la estafa de phishing envió un tweet que decía: "Oye, mira este divertido blog sobre ti". Hacer clic en la URL llevó a la víctima a una página falsa (en twitter.access-logins.com/login/). No importa cuán bueno se vea el sitio, examine la URL y piénselo dos veces antes de ingresar su información, especialmente si ya ha iniciado sesión en Twitter.

Los tipos malos también han probado tácticas más sutiles, como el porno. nombre del juego De acuerdo con el juego, para crear el nombre que usará durante su carrera cinematográfica adulta, tome el nombre de su primera mascota y combínela con la calle donde creció, el apellido de soltera de su madre o el modelo de su automóvil.. Reconocer esas cosas? Son preguntas de seguridad comunes. Al tuitear sus respuestas, podría ceder el acceso a su cuenta de Twitter, o a su cuenta bancaria.

Algunas de las reglas de seguridad emergentes para usar Twitter son simplemente de sentido común. Del mismo modo que no dejaría un mensaje telefónico diciendo que estará fuera de la ciudad, no twittee sus planes de vacaciones. Y no comparta su ubicación si es un congresista de EE. UU. Que realiza un viaje confidencial al extranjero. Simplemente pregúntale al Representante Pete Hoekstra (R-MI), que tuiteó a principios de este año: "Acabo de aterrizar en Bagdad. Creo que puede ser [la] primera vez que tengo servicio [de BlackBerry] en Iraq".