Informatica.CAT
Informatica.cat es un bloc sobre informàtica on es tracta temes d'interès... 
Cibersocietat, Internet, Seguretat
L'atacant va aprofitar una vulnerabilitat que ja hauria d'haver estat corregida

Analitzem l’atac a Twitter i les lliçons que en podem treure

By , on 29 de setembre de 2010

Així es veien els comptes dels usuaris de Twitter el dia 21, amb els tweets dels seus contactes víctimes de la broma

Fa pocs dies va saltar a la primera plana de tots els informatius un atac patit pel servei de microblogging Twitter, que havia revolucionat no només als seus usuaris, sinó a l’Internet en general. Fou, concretament el passat dimarts dia 21 al matí, data en la qual un estrany missatge va començar a aparèixer als comptes de diversos usuaris i a provocar comportaments estranys en els seus ordinadors. Què havia passat exactament?

El culpable (pel que he pogut saber, un noi japonès) va formatar una línia de codi JavaScript* de manera que, inserida en un tweet, aquesta es comportava de manera efectiva com a codi executable. Concretament es tractava d’una sentència onMouseOver, una instrucció mitjançant la qual un programador pot decidir què és el que farà el navegador quan l’usuari faci passar el cursor del ratolí per sobre d’un element determinat.

En principi, aquesta possibilitat hauria d’haver estat desactivada en Twitter, i de fet segons confirma l’empresa, la fallada de seguretat que va permetre el problema havia estat eliminada, però una recent actualització de la web la va fer tornar a aparèixer (coses de la programació).

L’incident no va provocar pèrdues de dades als usuaris o possibles robatoris d’aquestes, i el màxim que va passar foren les molèsties degudes a l’aparició de finestres emergents i anuncis publicitaris a les pantalles dels internautes afectats.

Què n’hem d’aprendre d’aquest cas?

Poc ens podíem imaginar tots aquells internautes que emprem el servei Twitter que ens podia passar quelcom semblant, i hem de donar gràcies a què la cosa ha acabat en una simple broma. Però al mateix temps, aquest incident m’ha fet reflexionar i preguntar-me quantes possibles trampes serioses i perilloses es poden amagar en les pàgines de Twitter.

És difícil -malgrat que no impossible- que aquestes possibles trampes s’emparin en una fallada de seguretat com la que s’ha explotat en el present cas, car Twitter és un servei online amb poques funcionalitats i, per això mateix, senzill de programar i mantenir. Si el comparéssim amb Facebook, pot fer moltes menys coses, i quant més senzill, més fàcil de controlar el codi. Difícil, no impossible.

Però és que a banda d’aquests perills, ens podem trobar amb casos d’enginyeria social que ens portin a pàgines web on se’ns infecti amb malware o es busqui robar-nos les nostres dades.

Què podem fer per evitar tots aquests perills? Doncs em sap greu dir-vos-ho, però poca cosa. Pel que fa a les trampes d’enginyeria social, tan sols anar amb molt de compte i desconfiar sistemàticament del que veiem publicat, fins i tot dels nostres amics i contactes, i pel que fa a fallades que exploten forats de seguretat i fallades de programari… pot semblar dràstic, però l’única consigna que us puc donar és: limiteu l’estona que us passeu emprant serveis online, quantes menys “hores de vol”, menys perill d’estavellar-vos…

* Llenguatge de programació senzill i molt emprat en les pàgines web, amb el qual tots els navegadors hi són compatibles

Foto: cortesia de Panda Security a través de nota de premsa.

Comment | Trackbacks Closed.

Comments of “Analitzem l’atac a Twitter i les lliçons que en podem treure”

While there have been no comments.

Leave a comment

 

 

 


 

Sections

© Copyright 2017, Blogestudio. Red de blogs, SEO and Webs 2.0

Powered by WordPress

Creative Commons - Some Rights Reserved
 
Un proyecto realizado por Blogestudio