Twitter objetivo de los gusanos Web mediante XSS

17 04 2009

Un gusano Web y tres variantes más se han extendido en cientos de cuentas de usuario en la red Twitter en el fín de semana, produciendo 10,000 posts ó “twiteos” a otros usuarios, la compañía lo ha confirmado el Domingo.

El gusano, que empezó a expandirse a las 2 A.M en la noche del Sábado, ha usado un exploit de JavaScript para ejecutar una vulnerabilidad XSS (Cross Site Scripting) en Twitter, infectando perfiles de usuarios con código malicioso. Ha comprometido cuentas enviando así mensajes de infección a otros para seguir infectando.
Un residente de Brooklyn de 17 años y dueño de La competición Twitter, StalkDaily, reconoce la creación y liberación de los gusanos de acuerdo a varios nuevos informes, Yo sólamente lo hice porque estaba aburrido“, dijo el propio autor para CNET News.com. “Yo no pienso que Twitter corrija el fallo muy pronto, pero támpoco pensé que el gusano se expandería tan rápido como lo ha hecho“.

Twitter que ha nombrado al gusano comoStalkDaily“, ha recordado al programa Samy que infectó en 2005 a los usuarios de MySpace, afirmando que la compañía tomará medidas legales contra el autor.

“En ese momento, MySpace tómo medidas legales contra el creador del virus resultando en una sentencia severa”, la compañía dice en su blog que:  “Nos tomamos la seguridad con mucha seriedad y seguiremos todos los frentes“.
Mientras que el gusano StalkDaily no ha robado los credenciales de los usuarios, los expertos de seguridad que en el pasado los gusanos como éste, hicieron un daño significativo ya que las redes sociales aumentas su popularidad. Similar al gusano Samy que se expandía mediante MySpace en el año 2005, el gusano StalkDaily ha seguido unas cuentas de usuario particulares, como en el caso “OneDegrees”. Los futuros gusanos web se podrían expandir mediante redes sociales, infectando el ordenador de las víctimas y continuar expandiendose ó saltar a otras redes sociales.

Twitter está actualmente realizando análisis de el incidente y planea publicar detalles del mismo.
“Todavía estamos observando todos los detalles, limpiando y seguimos en alerta”, ha dicho la compañía en su blog. “Cada vez que libramos una batalla, evaluamos nuestras prácticas de programación web para aprender cómo podríamos hacerlo mejor para prevenir ésto en un futuro“.

Fuente:  SecurityFocus (en Inglés)

Traducción por Cross.

Anuncios




Ubuntu 8.04 Hardy Heron Alpha 6 Ya disponible

9 03 2008

Aquí os traigo la última Alpha pública de Ubuntu. Hablando de novedades lo nuevo que podemos apreciar frente a las otras Alphas que ya os he comentado estas son las nuevas;

Integración de ActiveDirectory

Likewise Open está disponible atraves del repositorio “Universe”. Esto permite la integración de Ubuntu con una red de Active Directory. Los usuarios pueden usar sus credenciales AD (ActiveDirectory) para registrarse desde sus Ubuntu’s y acceder a cualquier servicio kerberizado que ofreca un servidor Ubuntu.

Soporte iSCSI

iSCSI ha sido totalmetne integrado con el kernel, permitiendo a ubuntu montar objetivos iSCSI como un dispositivo más.
iSCSI está disponible en la versión de Servidor de Ubuntu si iscsi=true (Verdadero) en la linea de comandos del kernel en el principio de la instalación.

Protección de Memoria

Se han añadido algunos checkeos adicionales para que así /dev/mem y /dev/kmem solo puedan usarse para acceder al dispositivo de memoria. Estos cambios ayudaran a defendernos contra los RootKits y otros códigos maliciosos.
Los 64k más bajos de memoria no podrán ser accesibles por defecto. Esto ayudará a defendernos contra códigos maliciosos que intentan hacer uso de los bugs (Fallos) dee el kernel y convertirlos en vulnerabilidades de seguridad.
Aplicaciones compiladas como Position Independent Executables (PIE && Ejecutables de Posición Independiente) son ahora puestos en localizaciones inpredecibles haciendo más dificil explotar vulnerabilidades de seguridad.

Aquí podeís encontrar los enlaces para Ubuntu y sus distribuciones hermanas:

http://cdimage.ubuntu.com/releases/hardy/alpha-6/ (Ubuntu)
http://cdimage.ubuntu.com/kubuntu/releases/hardy/alpha-6/ (Kubuntu)
http://cdimage.ubuntu.com/kubuntu-kde4/releases/hardy/alpha-6/ (Kubuntu with KDE4)
http://cdimage.ubuntu.com/edubuntu/releases/hardy/alpha-6/ (Edubuntu)
http://cdimage.ubuntu.com/jeos/releases/hardy/alpha-6/ (Ubuntu JeOS)
http://cdimage.ubuntu.com/xubuntu/releases/hardy/alpha-6/ (Xubuntu)
http://cdimage.ubuntu.com/gobuntu/releases/hardy/alpha-6/ (Gobuntu)
http://cdimage.ubuntu.com/ubuntustudio/releases/hardy/alpha-6/ (UbuntuStudio)