Ataque a twitter
Víctor Manuel Jáquez LealAyer me levanté con un par de correos de Twitter en mi buzón:
Dear Twitter User:As a precautionary security measure, we have reset your Twitteraccount password. [..]This attack was not the work of amateurs, and we do not believe it wasan isolated incident. The attackers were extremely sophisticated, andwe believe other companies and organizations have also been recentlysimilarly attacked.
Y también colgaron un blog post con más información.
Leyendo en hacker news, al parecer sólo pudieron “descargar” las primeras 250,000 cuentas creadas. La mía la abrí en febrero del 2007 y me tocó la rifa del tigre.
Lo bueno es que Twitter es responsable y no almacena las contraseñas planas, sino cifradas (hash+salt). Lo que los crackers tuvieron acceso fue a nombres y direcciones de correo válidas que, tal vez, pudieran ser usadas luego para spamming. Aunque, con una copia local de las contraseñas cifradas, el proceso de decodificación por fuerza bruta, es muy más ágil. Es por esto que Twitter borró as contraseñas y pidió que los usuarios crearan una nueva. Algunas personas vinculan este ataque a estados totalitarios, ya que mucha gente utiliza Twitter como plataforma de activismo político.
El vector de ataque, algunos suponen por el contenido del blog post antes mencionado, es que la computadora de un sysadmin de Twitter fue crackeada a través de últimos agujeros de seguridad encontrados en Java y, de ahí tuvieron acceso a los servidores.
¿Moraleja? Desactiven Java del navegador. Nadie necesita esa mierda. Personalmente, como uso iceweasel (bueno, está bien, firefox para los no-debianitas), uso una extensión llamada noscript, la cual bloquea todo javascript, flash, java, etc., de una página, que no haya yo activado explícitamente.
Por último, en cambiando levemente de tema, Ruby On Rails tiene un agujero de seguridad del tamaño del de la capa de ozono. Y al parecer, es un error de diseño, al permitir la deserialización de código arbitrario y su ejecución fuera de un entorno seguro.