Aunque muchos analistas de seguridad informática han intentado definir la fuente y origen del ataque, todaví­a no se sabe con exactitud dicha información, sin embargo Bill Woodcock, director de investigación del Centro de Intercambio de Información de Paquetes, una organización dedicada al seguimiento del tráfico en internet, señalo que por los volumenes de tráfico con los que se realizó el ataque, este pudo provenir de alguna zona cerca de Rusia y Georgia y corresponder a una extensión del conflicto existente entre estos paises.

Además descartó que la culpable de este acontecimiento fuera una botnet y señaló que se debió a una ola de mensajes spam que fue utilizada para redirigir a las victimas al sitio y así­ de esta forma saturar de peticiones los servidores de Twitter.

Facebook y LiveJournal también se vieron afectados, aunque no en la medida del servicio de los 140 caracteres, investigadores de prestigiosas firmas de seguridad como Kaspersky Lab manifestaron que es inusual un ataque de esta magnitud, tanto en la duración como en si misma, por la condición de que la mayoría de sitios con elevadas cantidades de tráfico estan blindados y prevenidos para actuar en este tipo de situaciones.

No obstante señalaron que tal vez por el sostenido ritmo de crecimiento que tiene el servicio, el tiempo no ha sido el mejor aliado para los creadores de Twitter en lo que respecta a establecer medidas de contención para esta clase de sucesos, ¿o es que Twitter peca de falta de seguridad?, ya lo dirán las investigaciones sobre el caso y el futuro de tal servicio.

Parte de la información fue vista en NYTimes

¿Qué tipo de urls son consideradas maliciosas por Twitter?

En Twitter como en cualquier otra red social, al volverse tan popular, también ha sido objeto deseado por los spammers, distribuidores de malwares y otras amenazas para los internautas. Recordemos que en Twitter las urls se acortan de modo que parece una especie de encriptación para el usuario que no sabe a donde le van a dirigir. Parece que Twitter ha tomado recomendaciones de F-Secure, una empresa experta en seguridad y ha comenzado a utilizar un filtro de enlaces que redirigen a sitios conocidos que tienen malware.

No se sabe muy bien si han tomado como referencia la base de datos de StopBadware, se comenta también que usan la API de Google para filtrar las urls de los enlaces en los Tweets.

Existe también protección antimalware si se usan aplicaciones externas de terceros que toman nuestros datos de acceso para enviar actualizaciones a Twitter, ya sea Tweetdeck, TwitterFeed, Tweetie, Seesmic, Twitterfox, etc, el mensaje simplemente no aparecerá en nuestra linea de tiempo, tal como si no hubiésemos enviado nada.

Bit.ly es por ahora el único servicio que esta comprobando también las URL enviadas por los usuarios, el acortador por defecto que se usa en el sitio de Twitter, aunque no todos los acortadores de urls proporcionan la misma seguridad.

Luego de que utilizara una falla en el sistema de validación de HTML del servicio, misma que fue explotada por el gusano realizando 3 ataques XSS, logrando enviar 10,000 tweets spam e infectando y comprometiendo cerca de 190 cuentas.

Los ataques tuvieron lugar entre las 2 a.m del sábado y la mañana del domingo, después de que se crearan 4 cuentas que contenian el código malicioso y se utilizará ingenieria social para difundir dicho gusano.

Ya que debido a la naturaleza de éste, bastaba con echarle una mirada a los perfiles de las cuentas maliciosas para contraer la misma infección mediante una inyección de HTML por parte de un script.

Aunque la gente de Twitter ya casi resolvio el problema, una buena forma de protegerse de este worm es desactivar la ejecución de Javascript en el navegador o si se usa el navegador web Firefox instalar y activar el plugin No Script y así poder tener un tweeteo tranquilo.

Mas información en Twitter Blog.

Este ataque se dio de forma masiva con el registro de varios cientos de cuentas de Twitter, las que comenzaron a realizar bastante actividad en el servicio dando “follow” a cualquier usuario que encontraban en busca de que el mismo también realizara la misma acción (algo muy recurrente entre los usuarios de Twitter). De esta forma, el robot que controlaba las cuentas fraudulentas simulaba ser una chica de 23 años que incitaba a los usuarios para que visitaran el sitio web del que hicimos mención en el párrafo anterior.

La supuesta invitación de “la chica” se daba en forma de un enlace disfrazado a través del servicio de acortamiento de URL’s TinyURL.com, comprometiendo a más de 750 usuarios que hicieron click en dicho enlace, llegando al sitio web en cuestión y en donde más de la mitad de ellos descargó alguna de las variantes del software malintencionado que se alojaba en este sitio.

Los altos mandos de Twitter han informado que ya tienen control sobre la situación, aunque recomendaron a los usuarios que fueron víctimas de este ataque cambiar la contraseña de su cuenta.

Fuente: Viruslist.

¿Qué sentido tiene un experimento como el de Osen Komura?

Osen Komura es un perfil creado por Stefan Tanase, un investigador rumano residente en Bucarest, trabajador del equipo de análisis del laboratorio de la firma de seguridad informática Kaspersky. Su especialidad son los tests de penetración, la web 2.0 y la seguridad informática. Su experimento trata de demostrar el peligro de los spammers en Twitter, el modo en el que pueden obtener un gran porcentaje de respuestas a sus follows automatizados, para después enviar spam mediante links en los twitteos a los usuarios de la red social. Tras el experimento de Stefan, obtuvo un porcentaje de penetración del 17% aproximadamente, lo cual muestra que de forma masiva, con miles de contactos, los spammers pueden formar una gran base de datos online dentro de una red social.

La herramienta funciona online pero establece conexión con Twitter si el usuario proporciona determinados datos para que la aplicación compruebe el número de seguidores de cada contacto de la cuenta, el número de personas que siguen ellos y el ratio que puede calcularse entre personas de las cuales se es seguidor dividido entre los seguidores del perfil. Si una persona asociada a un perfil está siguiendo más de (n) personas teniendo (n) como una variable que podemos elegir dandole el valor de un número entero; y tiene un ratio de seguidores/personas seguidas superior a 1:(m) siendo m un valor que podemos modificar, seremos notificados con un aviso de que podemos tener seguidores spammers en nuestro perfil de Twitter.

El autor de la aplicación añade una nota aclaratoria para quienes se sientan preocupados por entregar sus datos de acceso a su cuenta Twitter en una aplicación online. Cosa que es bastante normal ya que es una técnica utilizada para el robo de identidad, sin embargo el autor asegura que el programa no guarda dicha información y que solamente se usa para establecer conexión con Twitter.

Puedes probar Twitter Twerp Scan desde su pagina oficial.

Sin embargo, lo que en un principio es bastante inocente y divertido se utiliza también como medio de marketing, muchos usuarios envian links para vender productos a través de Twitter, cuantos más seguidores o followers tengan, mayor es la probabilidad de hacer ventas. Al igual que muchos vendedores tratan de promocionar sus productos y sitios web por Twitter también hay peligrosos spammers que envian links a malware o spam puro y duro.

Una de las formas más utilizadas para realizar SPAM en Twitter acumulando primero followers, y una manera de acumular followers es dedicarse a hacer amigos, siguiendo previamente las actualizaciones de los demás, uno puede seguir a otros usuarios para recibir sus actualizaciones y en el momento que hacemos esto dicho usuario se entera por un aviso del sistema, con lo que es normal que muchos de estos usuarios nos devuelvan el contacto siguiéndonos para recibir nuestras actualizaciones, como si de un favor amistoso se tratase. Tú me sigues a mi, pues como me has caido majo, yo te sigo a ti.

Entonces el peligro viene de los spammers que hayan logrado ser seguidos por muchas personas a las que previamente han seguido ellos para ver si les devolvian el “follow”. Ya que cuantos más seguidores estén en su lista, antes podran contactar con más personas para enviar sus links. Para accelerar este procedimiento y ahorrar tiempo entre los spammers se venden aplicaciones a bajo costo que se encargan de recorrer las redes de contactos dentro de Twitter siguiendo y haciendo follow a cualquier usuario detectado.

Como podemos comprender, a nadie le gusta que le envien actualizaciones o twitteos que continuamente son links para vender cosas o publicidad no solicitada. Generalmente los spammers son ignorados y cuando envian mucha basura pierden a los seguidores, pero para entonces ya han conseguido enviar bastantes enlaces de ventas.

Desde Twitter quieren evitar este tipo de practicas y para ello comunican que han puesto un límite, no se podrá seguir a un gran número de perfiles a menos que nuestro número de seguidores tenga un equilibrio frente a los que seguimos. Desde el blog prometen seguir mejorando sus sistemas para erradicar a los usuarios maliciosos. En un comunicado oficial en el blog de Twitter, explican de que se trata el fenómeno del “Follow Spam”, el seguimiento masivo buscando la simpatia del usuario real. Desde Twitter avisan de que no hay formula mágica ni porcentaje que determine quien hace spam o no. Solamente puede suponerse el Follow spam cuando un usuario que no es una personalidad reconocida, tiene una gran actividad y un gran número (miles y miles) de contactos en seguimiento.

Algunas ideas sugeridas por comentaristas del blog, son limitar el número de cuentas que pueden seguirse dependiendo de tus propios seguidores, algo asi como tener al menos un 10% de seguidores dentro del mínimo para poder seguir un determinado número de cuentas de Twitter, también limitar el numero de veces que se puede usar el botón Follow por cuenta en un periodo determinado de horas, para evitar los bots automatizados y las herramientas que se venden entre spammers para rastrear a toda velocidad, sin una persona que lo haga manualmente.