Llegamos a ustedes gracias a:



Alertas de Seguridad

Investigadores realizan un ataque a Twitter

Demostrando que podrían dejarlo vulnerable a un ataque viral de rápida difusión.

[20/03/2009] Investigadores de seguridad en computadoras han creado un nuevo ataque Twitter que afirman podría diseminarse en forma viral, muy similarmente a un gusano sobre el servicio de microblogging.

El ataque puesto en línea el jueves por los investigadores de Secure Science es una inocua prueba de concepto que fuerza a los usuarios a enviar un mensaje twitter predeterminado, pero al que se le puede convertir en un gusano muy desagradable, afirma Lance James, científico en jefe de Secure Science. Puede conectar un ataque con nuestro código y le va a hacer mucho daño a Twitter, afirmó.
El golpe es similar a un ataque clickjacking que estaba rondando en Twitter el mes pasado. Ahí, los hackers usaron una técnica furtiva para engañar a los usuarios y hacerles cliquear un enlace sin darse cuenta. Ese enlace postearía un mensaje twitter que dice dont click junto con una URL.
En esta ocasión, los investigadores de Secure Science encontraron una forma de aprovechar un error en la programación en el sitio de soporte de Twitter para publicar el indeseable mensaje. Luego de un mensaje de advertencia, el código de prueba de Secure Science publica el mensaje: @XSSExploits I just got owned! en el perfil de la víctima.
Sin embargo, un usuario malicioso podría hacer cosas peores con este bug, afirma James. El ataque podría ser modificado de tal forma que no haya ninguna advertencia, y podría reforzarse con un mensaje sensacional sobre el que los usuarios hagan clic con mayor probabilidad. Si se combinara con un código malicioso de ataque al navegador, podría ser usado para tomar el control de las máquinas de las víctimas, afirma James. Me aguanto la respiración esperando que nadie haga algo estúpido en este momento, afirma.
Twitter puede deshabilitar el ataque reparando el defecto del script entre sitios que los investigadores de Secure Science están explotando, pero si otro bug similar apareciera en el sitio, los usuarios se enfrentarían al mismo problema nuevamente.
El tema empeora por el hecho de que debido al límite en Twitter a 140 caracteres, los usuarios utilizan enlaces web acortados como Tinyurl.com, y generalmente no tienen idea si están haciendo clic en un enlace web confiable o no, señala James.
Las prácticas de seguridad de Twitter han sido objeto de atención pública últimamente a medida que el servicio ha ganado una gran popularidad. En enero, la compañía estableció una revisión de seguridad completa luego de que unos hackers obtuvieron acceso a las cuentas del presidente electo Barack Obama, Fox News, y CNN.
James ha afirmado que espera que esta demostración anime a Twitter a hacer de la seguridad su prioridad. No queremos causar ningún daño a Twitter, indicó.
Robert McMillan, IDG News Service