Pericol Rainbow pentru reţeaua Twitter!

 Un nou vierme care exploatează o vulnerabilitate în Twitter a provocat o serie de evenimente neobişnuite în reţeaua socială. Utilizatorii au fost victimele unei vulnerabilităţi cross-site scripting (XSS), fiind înregistrate mai mult de 1.000 de infecţii la fiecare 10 secunde.

În dimineaţa zilei de 21 septembrie, producătorul de soluţii de securitate Panda Security a înregistrat prima infecţie masivă a popularei reţele de micro-blogging Twitter.

Utilizatorii afectaţi au constatat că în profilurile lor Twitter a apărut un şir ciudat de caractere, care au înlocuit obişnuitele mesaje tweet.

Aceasta s-a datorat unei vulnerabilităţi în Twitter, rezolvată la acestă oră, care a condus la diverse evenimente neaşteptate : astfel, atunci când utilizatorii  treceau cu cursorul mouse-ului peste tweet-uri, aspectul mesajelor se modifica, afişându-se cu totul alte caractere decât cele postate.

Mai mult, malware-ul se autocopia în fluxul de mesaje al utilizatorilor care mişcau cursorul mouse-ului pe mesajele infectate, viermele fiind trimis automat către cei din grupul său şi continuând distribuirea de „tweet maliţios".

Vulnerabilitatea a permis sa fie rulate scripturi Java, deschizând o multitudine de posibilităţi pentru utilizatorii cu intenţii dăunătoare.

Potrivit lui Luis Corrons, Director Tehnic al Panda Security, principalul pericol l-a constituit faptul că URL-ul folosit în atac ar fi putut profita de o altă vulnerabilitate pentru a infecta computerele utilizatorilor.  „Pe lângă pericolul reprezentat de retransmiterea codului, dacă un răufăcător ar fi transformat URL-ul într-unul care s-ar fi instalat automat, fără ştirea utilizatorului, folosind tehnici de drive-by-download, am fi înregistrat milioane de potenţiale victime, deşi acest lucru este puţin probabil acum - pentru că Twitter a reacţionat în timp util şi a acoperit breşa de securitate", spune Corrons.

Sursa de atac, cred specialiştii Panda, ar fi un cont creat în Twitter, numit Rainbow - nume care a fost dat viermelui.

Clienţii de Twitter care nu au rulat scriptul Java, cum ar fi TweetDeck, nu au fost afectaţi, permiţând utilizatorilor să continue folosirea reţelei sociale fără riscuri. Utilizatorii pot utiliza acum site-ul, Twitter blocând vulnerabilitatea  JavaScript denumită OnMouseOver, care se activa la simpla trecere a mouse-ului peste un link. Aparent, total a început de la un programator norvegian,Magnus Holm, care a experimentat o scăpare din site-ul Twitter, vulnerabilitatea permiţând utilizatorilor să execute un cod cu ajutorul cursorului unui mouse. Versiunea de cod creată de Holm se putea auto-replica: „Am vrut doar să verific dacă este posibil să creez un vierme", a declarat acesta publicaţiei The New York Times, adăugând că a fost extrem de surprins de faptul că acesta s-a extins atât de rapid. „Pentru că era foarte uşor să ştergi tweet-ul care conţinea viermele, am crezut că toată lumea va proceda aşa, atunci când utilizatorii vor realiza că este vorba despre o infecţie. În doar câteva minute am văzut cum acesta se extinde - a fost inspaimantator!

 

„Paternitatea" evenimentului este revendicată şi de un licean australian din Melbourne, care s-a „autodenunţat", pretinzând că el este la originea malware-ului. Pearce Delphin a declarat, într-un mesaj e-mail, că a sesizat potențialul dăunător al acestei vulnerabilităţi într-un tweet al altui utilizator din Japonia. Conform specialiştilor, se pare că atât Holm cât şi Delphin au dreptate: codul JavaScript a fost creat, iniţial, de japonezul Masato Kinugawa şi, ulterior, a fost „rafinat" de Magnus Holm. Kinugawa spune că a raportat către Twitter vulnerabilitatea XSS pe data de 14 august. Acesta a făcut un nou cont Twitter, folosind user-ul Rainbow Twtr, pe care a demonstrat modul în care vulnerabilitatea XSS poate fi exploatată pentru ca mesajele tweet să poată fi vizualizate în culori diferite.

Delphin, al cărui nume de utilizator Twitter este ZZAP, spune că a analizat codul „rainbow" al lui Kinugawa, cu ajutorul căruia profilul şi mesajele sale erau afişate pe un fundal roşu, galben şi violet şi că astfel a descoperit vulnerabilitatea.  „În loc să modific doar modul în care este afişat tweet-ul, am reuşit să execut comenzi în broserul utilizatorilor care accesau tweet-ul", spune acesta.

Pentru a testa codul, Delphin susţine că a creat mesaje ce conţineau comanda Javascript OnMouseOver şi care afişau cuvintele „uh oh"  la trecerea mouse-ului. Alţi hackeri, spune el, au creat un software maliţios şi au retrimis viermele prin intermediul tweet-urilor, direcţionând utilizatorii către site-uri pronografice. „ Am încercat doar să verific dacă acel cod JavaScript poate fi executat într-un tweet. În doar o jumătate de oră am văzut script-ul primului vierme care se auto-replica prin intermediul tweet-urilor", spune Delphin, care susţine că un este autorul codului maliţios.

„Principala problemă consta în faptul că acel cod trebuia scris în aşa fel încât să se încadreze în cele 140 de caractere care constituie limita pentru un tweet. Din fericire, nimeni un a folosit codul pentru a extrage parole de la utilizatori", mai spune australianul. Printre cei afectaţi de această vulnerabilitate s-au numărat Robert Gibbs , secretarul de presă al Casei Albe şi Sarah Brown, soţia fostului premier britanic Gordon Brown.

Paul Mutton, un specialist în securitate al companiei britanice Netcraft, a fost primul care a identificat vulnerabilitatea şi a notificat Twitter la 5:40 a.m. (ora locală New York), pe 21 septembrie, „chiar înainte să apară primul vierme", susţine Mutton. Vulnerabilitatea a fost remediată la ora 10 a.m., au anunţat oficialii Twitter pe blogul companiei. Aceştia susţin că vulnerabilitatea fusese identificată şi reparată cu o lună înainte de acest incident, dar că a putut fi din nou exploatată în urma unui update de software.