Червь раскрасил Twitter

Пострадали около полумиллиона аккаунтов. Официально проблема решена, но специалисты по информационной защите не рекомендуют ещё некоторое время использовать веб-интерфейс.

С серьёзной уязвимостью столкнулся сервис микроблогов Twitter. Атака началась около двух часов дня по московскому времени. Ее источником стал пользователь RainbowTwtr, опубликовавший несколько постов формата “http://twitter.com/RainbowTwtr#@”style=”background-color:red;color:red;position:absolute;top:0;left:0;width:100%;height:100%”/”. Особенность таких постов заключается в том, что после символов “#@” в кавычках размещается набор команд, которые автоматически исполняются на странице, где размещена такая запись. Например, приведенная команда раскрашивает часть фона твиттер-странички в красный цвет.

За очень короткое время, рассказал агентству “Интерфакс” главный антивирусный эксперт Лаборатории Касперского Александр Гостев, появились минимум два “червя”, стремительно распространявшихся в Twitter.

Черви распространялись с огромной скоростью. Система наблюдения Лаборатории Касперского фиксировала примерно 100 зараженных аккаунтов в секунду — страницы многочисленных пользователей были “раскрашены” в разные цвета.

Администрация ресурса сообщила, что она “идентифицировала нападение” и решает проблему. В 16.52 была закрыта возможность отправлять сообщения-твиты, содержащие подобные коды. В 17.45 администрация официально сообщила о ликвидации проблемы. К этому моменту, по оценкам разных специалистов, от атак пострадали порядка 500 000 аккаунтов.

Пользователи применяли похожий скрипт для развлечения. Так, например, “раскрашиванию” подвергся аккаунт Сары Браун, жены бывшего премьер-министра Великобритании, сообщил Гостев. Появились и хулиганы, которые уже не раскрашивали экран, а заставляли пользователей постоянно нажимать на одно и то же окошко. В частности, как сообщает исследовательская компания Netcraft, одним из таких хулиганов был австралийский подросток под ником @zzap.

Потенциальные возможности данной уязвимости социальной сети довольно быстро были использованы и киберпреступниками.

Они начали запускать на страничках сервиса сценарии JavaScript, используя так называемое событие onMouseOver (срабатывание команды при наведении мышкой на тот или иной объект). При проведении курсором поверх ссылок, находящихся в сообщении, у пользователей автоматически открывались новые вкладки в браузере или появлялись текстовые сообщения во весь экран. Подобные надписи были плохо видны (например, написаны белым цветом на белом фоне) или непонятны, это заставляло пользователей навести на них курсор мышки и активировать “спрятанную” в коде команду.

Такие уязвимости относятся к классу XSS-инъекций (Cross Site Scripting). С их помощью можно показывать твиттер-пользователям спам или переводить пользователей на порносайты через всплывающие окна. Технология XSS в различных вариациях уже широко использовалась как в хакерских атаках на компьютеры пользователей, так и применялась легальными игроками в сравнительно мирных целях — сборе данных о посещениях интернет-страниц путем экстракции и анализа файлов типа cookies, где содержатся данные о посещенных вэб-страницах, рассказывает представитель компании G Data Software Роман Карась.

Мало того, “атака может закончиться для пользователя установкой вредоносного ПО на компьютер, что может повлечь за собой и потерю Twitter-аккаунта”, рассказал РИА “Новости” руководитель центра вирусных исследований и аналитики компании ESET Александр Матросов. “Функционал уязвимости позволяет злоумышленникам похищать аккаунты доступа к этой социальной сети”, — рассказывает Гостев.

Это не первая серьёзная атака на Twitter. В декабре прошлого года сайт подвергся хакерской атаке со стороны “Иранской армии хакеров”. Взлом был произведен посредством JavaScript. На сайте хакеры оставили свое послание, суть которого сводилась к тому, что “если американцы не могут контролировать свои сайты и свою кибербезопасность, то что говорить об их оружии?” Скрипт “ретвитил” (ретранслировал) все сообщения с упоминанием имени некоего Даниеля Фарлея.

Специалисты в области безопасности, однако, рекомендуют воздержаться от использования веб-интерфейса до полной уверенности, что проблема решена. Пользоваться сервисом можно через сторонние клиенты типа TweetDeck, Seesmic и прочие.

Данный вид атак направлен не столько на Twitter, сколько на его пользователей, убежден Карась. “После запрета поддержки на сервере JavaScript (на Twitter это вариант onMouseOver JavaScript code) ситуация вернется в старое русло, — считает он. — Однако пользователям так или иначе хотелось бы рекомендовать не “вестись” на психологические уловки злоумышленников — не кликать на неизвестных линках, а если все же случилась неприятность — сразу же останавливать свое дальнейшее путешествие по сети”. Также Карась рекомендует пользоваться платными программами безопасности для интернета.

 Рустам КУТЕРГИН