iProfesionaliProfesional

Twitter se "resfrió" en el Dí­a de la Primavera y millones de usuarios "estornudaron"

La famos red social de microblogging sufrió una epidemia de mensajes y alteraciones por un problema técnico en su propio sitio web
iProfesional | Tecnología |
Por iProfesional
22/09/2010 - 10:32hs
Twitter se "resfrió" en el Dí­a de la Primavera y millones de usuarios "estornudaron"

Un "resfrí­o informático" afectó este martes la salud cibernética de millones de usuarios de la red social de microblogging Twitter. 

Durante un par de horas, vieron cómo sus mensajes y sus perfiles en este servicio, basado en Internet, sufrí­an alteraciones de todo tipo y se redireccionaban a páginas web potencialmente peligrosas para sus equipos.

Según reconoció la propia compañí­a, se trató de un ataque que aprovechó una falla de este servicio, que utilizan alrededor de 150 millones de personas y organizaciones de todo el mundo.

A raí­z de ello, se llenó la web con textos ilegibles, en la mayorí­a de los casos, que los usuarios difundieron en forma involuntaria cuando moví­an el mouse sobre dichos mensajes infectados.

Así­, se propagó esta epidemia con miles de "twitts" -como se los conoce en la jerga informática- de hasta 140 caracteres, no autorizados por sus usuarios.

Incluso, los mensajes abrí­an nuevas páginas web ajenas a Twitter y, en algunos casos, hasta de contenido pornográfico.

Según indicaron desde la red social, una de las estrellas de Internet por su crecimiento numérico y su fama mediática, el ataque fue del tipo XSS. Sus autores aprovecharon una vulnerabilidad en el código de la propia web de Twitter para introducir una nueva parte de código con funciones no previstas por los administradores del sitio.

En otro comunicado, el sitio admitió que tardó media hora en reaccionar ante el hecho. Los trabajos para solucionarlo demoraron casi 4 horas y, para superarlo por completo, casi 6 horas y media.

"Descubrimos y parcheamos este tema el mes pasado. Sin embargo, una reciente actualización del sitio (no vinculada a la nueva versión de Twitter) resurgió el inconveniente", admitió la empresa.

Según la explicación oficial de la red social, un usuario encontró "el agujero de seguridad y se aprovechó de ella en Twitter.com".

"La gran mayorí­a de las actividades relacionadas con este incidente cayeron bajo las categorí­as de broma o de promoción. (...) Sin embargo, no estamos al tanto de problemas relacionados que causaran un daño a las computadoras o a las cuentas. Y no hay necesidad de cambiar las contraseñas ya que la información no se vio comprometida", aseguró la compañí­a.

Los atacantes aprovecharon el error ("bug", en la jerga informática) para reenviar ("retwittear") mensajes sin la aprobación del usuario. También pudieron expandir la infección e incluir enlaces ("links") a otras páginas web. La empresa aseguró que el problema fue reparado "por completo".

ProblemasSe trató de la primera infección masiva de Twitter. Los usuarios miraban atónitos cómo una cadena de caracteres extraños aparecí­an en su perfil, como se puede apreciar en esta captura de pantalla.

Así­, cuando se pasaba el puntero del mouse por el mensaje que contení­a esta cadena extraña, pasaron estas cosas:

  • Automáticamente, y sin que se hiciera nada, se enviaba a los seguidores ("followers", en la jerga) la cadena maliciosa, contribuyendo así­ a su distribución.
  • Aparecí­an mensajes extraños con letras gigantes, cuadros de diálogo donde se lee "Hola", cuadros negros donde deberí­a estar el texto de un tweet, entre otros inconvenientes.
  • Cuando cualquiera visitaba su perfil, éste fue redirigido a cualquier otra dirección web.
  • En la lí­nea de tiempo ("timeline") aparecieron manchas de colores y letras gigantes.

Esta vulnerabilidad permitió la ejecución de código javascript, con el que se pueden hacer diferentes cosas y abre grandes posibilidades a usuarios que pretendan utilizarlo de forma maliciosa.

Según Luis Corrons, director técnico de la empresa de seguridad informática PandaLabs, "el mayor peligro podrí­a ser que la URL utilizada en el ataque usara alguna vulnerabilidad para infectar nuestros equipos. Si un delincuente hace que, además de hacer un RT del código, la URL implicada use técnicas de Drive-by-Download, estarí­amos hablando de millones de ví­ctimas potenciales, aunque es poco probable".

El origen fue una cuenta creada en Twitter, llamada Rainbow.

Maximiliano Cittadini, de la empresa de seguridad informática Trend Argentina, recordó a iProfesional.com que el problema surgió hace una semana, pero explotó hoy con niveles de 50 mil mensajes reenviados cada 5 minutos.

Para Corrons, al principio, las primeras inyecciones de javascript eran simples bromas, aunque con el paso del tiempo, fueron evolucionando, y "parece que algunos usuarios, con otras intenciones, están utilizando dicha vulnerabilidad para hacer cosas más serias".

Federico Pacheco, manager de Educación e Investigación de la firma de seguridad informática ESET, remarcó que, a principios de septiembre, ya hubo una "importante falla" en Twitter que permití­a robar las credenciales de autenticación de los usuarios mediante un ví­nculo que explota una falla de XSS (cross-site scripting).

Pacheco distinguió que la falla sólo apareció ante quienes usaron Twitter a través de la propia web del servicio. "Esto se debe a una vulnerabilidad en el acortador de las URL propio de Twitter mediante la cual, al pasar el puntero del mouse por encima de un ‘twitt’ especialmente armado, se lanza un script que hace que, por ejemplo, el ví­nculo malicioso se retwittee a todos los contactos".

El ejecutivo de ESET aclaró que "la naturaleza de difusión viral de esta falla no la transforma en un virus, sino que no deja de ser un clásico error de XSS, semejante -en este caso- al comportamiento de un gusano, dado que puede prescindir prácticamente de la interacción del usuario para su propagación".

Cittadini insistió en que el problema se redujo, en un principio, sólo al sitio. "No se robó la contraseña ni nada", señaló al respecto, aunque aclaró que eso no quita que esos datos sensibles hayan sido luego captados en algún sitio web malicioso al cual fue derivado el usuario.

"Este tipo de error es tí­pico de un sitio web", explicó Pacheco. "No es un problema del navegador", como Internet Explorer, Firefox,  Chrome, Safari u Opera.

"Podrí­a haber sido mucho peor", advirtió Pacheco, si no fuera porque cada vez menos usuarios utilizan esta red desde la propia web. "Esto es bastante normal, es como un resfrí­o", ilustró.

Antecedentes

Durante el primer trimestre del año el laboratorio de análisis e investigación de ESET alertó sobre la existencia de una aplicación que permití­a automatizar la generación de perfiles en Twitter para luego ser utilizados como "puente comunicacional" entre las computadoras infectadas y una red de robots ("botnet").

Durante agosto fue detectada una nueva aplicación de similares caracterí­sticas llamada TWot Bot, que deja al descubierto que Twitter se encuentra en la mira de los administradores de redes de robots ("botmaster").

Utilizando los perfiles de Twitter, la aplicación permite enviar comandos para, entre otras cosas, descargar y ejecutar de forma automática códigos maliciosos y robar contraseñas del programa FileZilla.

En junio, se descubrió una estrategia de engaño dirigida a los usuarios que utilizan esta red de microblogging mediante la cual se propaga un código malicioso ("malware").

Estos enví­os formaron parte de una campaña masiva y a gran escala que se encontró activa entre mayo y junio y que no solo propagó códigos maliciosos sino que también busca promocionar, a través de spam, diferentes páginas web entre las cuales se encuentran Canadian Pharmacy y Greenbang.

El ciclo se completaba cuando el usuario, luego de hacer clic sobre el enlace incrustado en el cuerpo del mensaje supuestamente emitido por el "Team de Twitter", era redireccionado hacia algunas de esas páginas.

Uso seguroTwitter es un servicio gratuito de microblog, que permite tener una página personal. Una de las razones de su éxito es su sencillez: con la elección de un nombre, una contraseña y una casilla de correo electrónico válida ya se accede al servicio, donde una simple caja de diálogo invita a relatar lo que el usuario hace en apenas 140 caracteres.

Por supuesto, la consigna inicial fue ampliada a otros campos y fines. Por ejemplo, hoy se usa para compartir noticias, sugerencias e iniciar conversaciones.

Nacida hace apenas cuatro años, hoy cuenta con alrededor de 150 millones de usuarios y se convirtió en un sitio popular utilizado por polí­ticos y artistas para comunicar noticias y opiniones de manera instantánea y en forma directa a sus seguidores.

El problema que explotó este 21 de septiembre afectó a quienes usan el servicio de microblogging directamente desde Twitter.com, pero no a quienes lo usan mediante aplicaciones externas en su computadora o en el teléfono móvil.

Es que no resulta necesario ir a la página del servicio para emplearlo, ya que hay aplicaciones gratis que brindan acceso a él. Por ejemplo, Tweetdeck, Twhirl, Twibble, Twitterpod o Twitterrific.

También se pueden utilizar, en el caso del navegador Firefox, agregados como TwitterFox o TwitterBar. En el caso del Internet Explorer, TweetIE.

Se puede actualizar la cuenta desde celulares como el iPhone de Apple, o los fabricados por Nokia o aquellos que tengan Windows Mobile.

Además, se puede renovar la información a través de sitios como Ping.fm (http://ping.fm), que admite actualizaciones por correo electrónico y mensajero instantáneo.

Pacheco concluyó que ante el problema de este Dí­a de la Primavera "las recomendaciones son elementales: evitar el uso de Twitter desde el sitio web oficial, desactivar javascripts, o utilizar algún bloqueador de scripts como el plugin para Firefox: NoScript".César Dergarabedian© iProfesional.com