Twitter: Kasvava turvallisuuskeskustelu

Samaan aikaan virustentorjunta-alan myyjät varoittavat uusista Twitterissä levinneistä phishing-hyökkäyksistä. Twitter-tilejä käyttävien phishers seuraisivat käyttäjiä ja infektoivat ne sitten linkillä väärennettyyn profiilisivuun haittaohjelmilla. Kuten pikaviestit, MySpace ja Facebook ennen sitä, Twitter oli ikääntynyt.

Kolmen vuoden suhteellisen hiljaisen kehityksen ja kasvun jälkeen palvelun meteorinen nousu vuonna 2009 on ollut karkea. Sen lisäksi, että skaalausongelmat johtuivat uusien käyttäjien tulvista, tammikuussa Twitter-hakkeri heikensi 33 korkean profiilin käyttäjää, mukaan lukien presidentti Barack Obama, CNN-ankkuri Rick Sanchez ja viihdyttäjä Britney Spears.

[Lue lisää: How poista haittaohjelmat Windows-tietokoneelta]

Huhtikuussa ns. Mikeyy tai StalkDaily nimitetty Twitter-mato nosti päätään. Samanlainen kuin MySpacein vuoden 2005 Samy-mato, Mikeyy-mato kirjoitti 17-vuotias, joka käytti hyväkseen koodin viihdettä saadakseen tunnustusta Web-sivustolleen StalkDaily.com. Twitter sulkee sen - lisäksi muutamia seurantaviruksia ("Kuinka poistaa uusi Mikeyy-mato!") - melko nopeasti. Mato-iskujen jälkeen perustaja Biz Stone kirjoitti blogissaan "Twitter ottaa turvallisuuden erittäin vakavasti ja seuraamme kaikkia rintamia."

Lyhentynyt URL-vaara

Twitterin kasvun rinnalla laajentuminen URL-lyhentämispalveluista. Ajatusten sovittaminen 140 kirjaimeen vie käytännön; Täysi URL-osoite on lähes mahdotonta. Yleensä URL-osoitteet on katkaistava Bit.ly- ja TinyURL.com-palveluiden kautta, jotka myös peittävät todellisen kohde-URL: n ja voivat aiheuttaa omaa tietoturvaongelmia.

Ensimmäiset lyhennetyn URL-ongelman merkit saivat paria matoja, jotka lupasivat auttaa käyttäjiä poistamaan Mikeyy-matoja. Kesäkuussa ajettaessa piilotettuja myrkkyjä URL-osoitteita pyyhkäisi Twitterin käyttämällä Bit.ly-linkkejä low.cc- ja myworlds.mp-verkkotunnuksiin, joissa käyttäjiltä pyydettiin ladata tiedosto nimeltä free-stream-player-v_125.exe nähdäksesi videon. Tiedosto sisälsi haittaohjelmia. Bit.ly ja TinyURL ovat vastanneet väärinkäytösten raportointiin; Bit.ly puolestaan ​​sulkee nämä pienet ja myworlds.mp-verkkotunnukset.

Vähintään yksi ZoneAlarm-suojauslaite estää oletusarvoisesti pääsyn TinyURL.com-sivustoon ja mainitsee sen mahdollisesti haitalliseksi sivustoksi (voit poistaa tunnuksen käytöstä se). Sinulla on myös muita tapoja suojella itseäsi. TinyURL: llä on esikatselutoiminto, ja Firefoxilla on Bit.ly-esikatseluohjelma. Jotkut Twitter-sovellukset, kuten TweetDeck ja Tweetie, myös esikatselevat URL-osoitetta ennen napsauttamista.

Tietoturva-tutkija Aviv Raff nimitti heinäkuussa 2009 "Kuukauden Twitter-bugit", jonka aikana tutkijat paljastavat uuden Twitter-haavoittuvuuden joka päivä. Viitaten aiempiin ponnisteluihin, jotka kohdistuvat selaimiin ja Apple Mac OS -haavoihin, Raff sanoo, että hänen tavoitteenaan ei ole katkaista Twitter, vaan parantaa sitä ja käsitellä kaikkia sosiaalisen verkostoitumisen puutteita: "Toivon, että Twitter ja muut Web 2.0 -liittymän tarjoajat toimivat läheisessä yhteistyössä heidän API-kuluttajat voivat kehittää turvallisempia tuotteita. " Ensimmäinen paljastettu viserrysvirhe koski Cross-site scripting puutteita Bit.ly. Tunnin kuluttua paljastamisesta, Bit.ly korjasi ne.

Seuraa minua, Ole hyvä

Twitterien tavallinen tavoite on luoda yleisö; jotkut arvostavat profiiliaan menestystä, jos sillä on satoja tai jopa tuhansia seuraajia. Sivusto nimeltä TwitterCut ilmoitti, että se kasvattaisi dramaattisesti seuraajiesi perustaa - jos annoit sille käyttäjänimesi ja salasanasi. Useimmat tietoturvayritykset pitivät sitä napsautuskohtaisena huijauksina.

Huijautuneet ihmiset näkivät Twitter-tilejään myöhemmin "Best Video" -hyökkäyksen hyökkäyksessä, jossa jokainen, joka vieraili linkissä tweetissä, lopetti lataamisen haitallinen PDF, joka yritti sitten asentaa väärennetyn tietoturvatuotteen, jos tietokoneessa ei ollut viimeisintä Adobe-tietoturvapäivitystä.

Viallinen phishing

Useimmat Twitter-phishing -yritykset ovat kuitenkin yksinkertaisempia. Twitter rutiininomaisesti ilmoittaa viimeaikaisten seuraajien käyttäjille sähköpostilla, usein linkin seuraajien profiiliin. Viimeiset tietojenkalasteluhyökkäykset ovat väärennettyjä sähköpostiviestejä ja heillä on linkki faux-viserrys -hakemistoon.

Phishing-huijauksen toinen variantti lähetti tweet-lukemisen, "Hei, tarkista tämä hauska blogi sinusta". URL-osoitteen napsauttaminen vei uhrin fake-sivulle (osoitteessa twitter.access-logins.com/login/). Riippumatta siitä, kuinka hyvä sivusto näyttää, tutustu URL-osoitteeseen ja mieti kahdesti tietojen antamista - varsinkin jos olet jo kirjautuneena Twitteriin.

Bad-kaverit ovat yrittäneet myös entistä hienompaa taktiikkaa, kuten porno- nimi peli. Pelin mukaan voit luoda nimesi, jota käytät aikuiselokuva-urasi aikana, otat ensimmäisen lemmikin nimen ja yhdistät sen kadulle, johon olet kasvanut, äitisi tyttönimi tai auton malli.. Tunnistako nämä asiat? He ovat yleisiä turvallisuuskysymyksiä. Tweeting vastauksillasi voit antaa pääsyn Twitter-tilillesi - tai pankkitilillesi.

Jotkin kehittyvien tietoturvastandardien käyttämisestä Twitterissä ovat yksinkertaisesti järkeä. Aivan kuin et jätä puhelintekstiä sanomalla, että olet poissa kaupungista, älä tweet lomasuunnitelmasi. Äläkä myöskään jakaa sijaintiasi, jos olet Yhdysvaltain kongressin jäsen, joka käy luottamuksellisella ulkomaanmatkalla. Pyydä vain edustaja Pete Hoekstra (R-MI), joka tweetoi aiemmin tänä vuonna: "Juoksin Bagdadissa. Uskon, että se saattaa olla [ensimmäistä kertaa BlackBerry-palvelua Irakissa."