Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 45 reacties

Een voor Twitter geschreven worm heeft de microblogdienst ge´nfecteerd en verstuurde automatisch berichten teneinde de infectie verder te verspreiden. De beheerders van Twitter zouden de worm echter onder controle hebben.

De worm zou gebruikmaken van een cross-site scripting-kwetsbaarheid in de Twitter-pagina's, maar het personeel van de webdienst zou dat lek inmiddels hebben gedicht. Zaterdag werden enkele Twitter-profielen geïnfecteerd, waarna de worm zich begon te verspreiden via tweets met een link naar de malware. Ook zou de StalkDaily-worm, vernoemd naar de vermeende banden met een gelijknamige website, de profielpagina's van Twitter-gebruikers voorzien hebben van een link naar de worm. De eigenaar van de StalkDaily-website ontkende de aantijgingen aanvankelijk, maar inmiddels lijkt hij middels een e-mail naar BNOnews.com schuld te hebben bekend.

De reden die de verantwoordelijke voor de StalkDaily-worm, de 17-jarige Mikeyy Mooney uit Brooklyn, gaf, was verveling. Tevens hoopte hij de beheerders van Twitter met de worm te waarschuwen en tegelijk zijn eigen site te promoten. De site van Mooney is een met Twitter vergelijkbare dienst. Volgens Mooney heeft zijn worm geen privacygevoelige informatie, zoals wachtwoorden, buitgemaakt, maar in sommige gevallen hebben de beheerders van Twitter het wachtwoord van accounts moeten resetten.

Reacties (45)

Reactiefilter:-145042+16+23+30
Moderatie-faq Wijzig weergave
Die code ziet er nog verrassend simpel geschreven uit. Toch nog altijd vreemd om te zien hoe 1,5 A4tje aan code een grote website als deze helemaal omver kan schoppen.

http://gist.github.com/93782

[Reactie gewijzigd door Sh1va op 12 april 2009 12:06]

een virus hoeft nooit lang te zijn, er bestaat zelfs een virus dat simpelweg je bestanden @ random begint te coderen in een 1024 bits beveiliging.

virussen zijn sluwe beestjes die zich bij voorkeur als een simpel bestand zoals .jpg of .gif , en daarbij nog liefst zo klein mogelijk :+

daarom is het ook zo moeilijk om ze te traceren

@ hierboven

scriptkiddie's plaatsen de frontpage op zwart met hun eigen signatuur, dit is echt wel een virussschrijvertje.
tenzij jij me de nickname van het scriptkiddie kan vertellen

[Reactie gewijzigd door pm1 op 12 april 2009 14:24]

Een XSS worm en een virus zijn nogal iets anders.

De volledige naam, leeftijd en z'n homepage staan in het aritkel vermeld.

Een worm is ook compleet iets anders als een hack, scriptkiddies die hacken zetten de frontpage op zwart met hun signature. Het doel van de deze scriptkiddie is om z'n eigen website op een zeer domme manier te promoten.

Het gebruik van z'n eigen voornaam in de code is al helemaal dom, dit script is enorm eenvoudig om naar hem te herleiden waardoor hij zeker aangepakt zal worden.

Lees de code maar, dit is een domme scriptkiddie die toevallig achter een XSS is gekomen en daar handig gebruik van heeft gemaakt.

Overigens zie ik je vergelijking tussen kort en random coderen met 1024 bit beveiliging niet. De code nodig om bestanden te coderen zal al langer zijn dan dit hele stukje javascript bij elkaar. Simpel en kort hebben niets met elkaar te maken.
In dit geval heeft hij de exploit zelf gevonden (en tevens gecode) en is hij dus geen scriptkiddie. Als hij de exploit nou van een site of ander persoon had gecopy paste, dan was het een ander verhaal.

http://nl.wikipedia.org/wiki/Scriptkiddie:
Een scriptkiddie heeft meestal geen verstand van de onderliggende technieken en is slechts een gebruiker van andermans tools.
Ik neem aan dat hij niet zomaar wat random AJAX is gaan googlen, en dus zeker wel wist wat er precies nodig was om deze worm te schrijven en effectief te maken. Het feit dat zijn eigen naam en URLs gehardcode zijn doet daar niet aan af.

[Reactie gewijzigd door plempkat op 12 april 2009 18:23]

Tjah, HTML in een user ingevoerd veld toelaten en vervolgens ook nog zonder te filteren weergeven is dan ook gewoon erg dom. De grootte van een site zegt niets over hoe goed het technisch in elkaar zit, dat blijkt maar weer eens.
ik ben geen webprogrammeur, maar ik zie dat de code een active x object instantieert. betekent dit dat alleen twitteraars op ms windows platformen (internet explorer) vatbaar zijn voor deze worm?

edit: laat maar: de code probeert verschillende mechanismen, waaronder ook een generiek xmlhttprequest als laatste.

[Reactie gewijzigd door BreezahBoy op 12 april 2009 12:57]

Die code is gewoon standaard Ajax code die je kunt vinden op iedere Ajax tutorial pagina. Het is dus overduidelijk het werk van een scriptkiddie.

Ook een aantal van de andere functies zijn gewoon standaard.
Hij heeft het zelf al toegegeven. Het is trouwens maar wat je een 'worm' noemt.
Het is een XSS - Cross Site Scripting bug, iets waar Twitter in eerste instantie zelf schuldig aan is (test management? security management?.. etc. Met automatisch testen haal je nog XSS bugs eruit).
Iedereen had dit kunnen doen. Ik vind het een flinke tik op de fingers van Twitter.

Aangezien 'iedereen' lekker op die site zit en klikt,.. gaat het wel lekker snel ja ;)

[Reactie gewijzigd door Roel Broersma op 12 april 2009 12:06]

Als we dan toch een schuldige moeten aanwijzen: Waarom niet degene die misbruik maakt van een zwakte in een website.

En een stap de andere kant op: Waarom niet de browserbouwers. Het is eenvoudig om XSS te detecteren in een browser. Ik krijg (dankzij noscript) netjes een melding als er XSS'ed wordt met de mededeling dat dat "gevaarlijk" is.
Als we dan toch een schuldige moeten aanwijzen: Waarom niet degene die misbruik maakt van een zwakte in een website.
Het bekende hackers en crackers verhaal denk ik. Naar eigen zeggen wilde hij de makers van Twitter waarschuwen en bovendien heeft hij geen privacygevoelige informatie buitgemaakt. Lijkt me redelijk onschuldig dus. Dat hij reclame wilde maken voor zijn eigen site, so be it, dat is op zich niet gevaarlijk. Gevalletje hacker dus, en die mogen van mijn part best zulke dingen doen, zolang ze de makers van een site maar op de hoogte stellen van de lek.
Maar als je de code leest zie je dat ie wel de cookies van de gebruiker even naar zichzelf stuurt. Dat lijkt me toch wel onder de noemer 'privacy gevoelig' te vallen.
En een stap de andere kant op: Waarom niet de browserbouwers
Omdat het soms toch wel verrekte handig is dat het kan ivm de 2 connecties per server regel in het HTTP protocol.

Maar iedere moderne browser heeft toch een optie om dit te detecteren en blokkeren? Het hangt alleen van je beveiligingsinstellingen af, maar je hebt gelijk in dat de browsermakers de standaard beveiligingsinstellingen wat strakker mogen afstellen.
Dit werkt niet standaard en zelfs niet door de beveiligingsniveaus van je browsers omhoog te halen, enkel noscript heeft een (zogoed als) volledige beveiliging tegen *script gerelateerde problemen.
Lees de artikels van Giorgo maar na op hackers academy.
Dit is zonder een behoorlijk asociale actie van een 17 jarige puber.

Stel je voor dat d'r iemand ziet dat de deur van je auto niet op slot is.

Een whitehat hacker zou je deur op slot doen en een briefje op je stoel achterlaten met de mededeling dat je auto niet op slot zat.

Een scriptkiddie zou foto's van zijn eigen auto aan de binnenkant van de ramen plakken om te laten zien dat hij zijn auto wel goed op slot kan doen.

Een cracker zou je auto meejatten om 'm te verkopen.

De actie van dit kulletje om de worm te schrijven is hetzelfde als
constateren dat iemand z'n auto open staat;
en deze dan vol plakken met grote stickers waar op staat:
"JOEHOE!! IK BEN NIET OP SLOT!"

Gevolg: Je moet in je eentje alle stickers d'r af krabben en in de tussen tijd proberen je auto op slot te krijgen terwijl je ook nog 4 mensen in je auto moet vervoeren.

[Reactie gewijzigd door Eric Oud Ammerveld op 12 april 2009 15:20]

Onder controle? Volgens mij niet... "Mikeyy" blijft zich as we speak verder verspreiden, ik was net ook de klos. Misschien goed om te melden dat je nu beter GEEN profielen op twitter.com kan bekijken, want als je een ge´nfecteerd profiel bekijkt ben je zelf ook de sjaak.
I did this out of boredom, to be honest. I usually like to find vulnerabilities within websites and try not to cause too much damage, but start a worm or something to give the developers an insight on the problem and while doing so, promoting myself or my website.”
Het is weliswaar publiciteit voor zijn StalkDaily dienst, maar het lijkt me nou niet echt goeie publiciteit...

[Reactie gewijzigd door Maniakje op 12 april 2009 12:00]

Nee. Dit is de soort publiciteit waarna je een paar maanden de bak in verdwijnt...
Is hier ook een MSN versie van?
Ik krijg tegenwoordig berichtjes van onbekende accounts in de trand van wvw.sexnearyourhome.com etc. Erg irritant.
Heb mijn hele systeem van onder tot boven doorgelicht maar vond niks.

[Reactie gewijzigd door arbraxas op 12 april 2009 12:01]

Dan zit jouw email adres in een spamnetwerk wat werkt via MSN... daarvoor hoeft er niets op je pc zelf te staan, maar komt normaal gesproken door niet zo voorzichtig omspringen met je emailadres ;)
Dat is het m juist, ik laat normaal gesproken mijn emailadressen nergens achter.
Heb 1 voor als je toch een emailadres moet invullen als een soort spambox. Maar dat is niet mn hotmailadres.
Ja, dat doe ik ook niet, maar toch komen de berichten binnen. Het meest wazige vind ik dat het eigenlijk begon met allerlei aanbiedingen uit Rusland nadat ik een aantal keer naar de Oekraine was geweest en tegenwoordig zit er ook Chinees bij nadat ik een aantal keer naar China ben geweest. Het lijkt een beetje op lokatiegebonden advertenties, maar dan via msn. Google schotelt me tegenwoordig als ik in Nederland ben soms nog een Chineze advertentie voor. Wat ik niet snap is dat er willekeurige vrouwen tegen me beginnen te praten. Ok, dat gedeelte snap ik nog wel. Maar wat ik niet snap is dat deze vrouwen toevallig komen uit landen die ik vaak bezoek. 2 jaar geleden was het alleen maar Russisch en tegenwoordig zijn het ook tientallen Chinezen. Eigenlijk begon dit precies na m'n eerste bezoek daar en na een aantal bezoeken werd het alleen maar erger.

Dit is eigenlijk wel behoorlijk offtopic. Misschien meer iets voor op het forum.
Kan ook heel goed dat er een paar mensen zo stom zijn geweest malware te openen die je MSN afstruinen naar wachtwoorden en contactgegevens. Krijg ik ook wel eens, dan is er opeens een contactpersoon die voor een enkele seconde online komt en je een link stuurt. Lijkt me niet onwaarschijnlijk dat je op deze manier ook je e-mailadres verspreidt krijgt.
Die berichtjes krijg ik ook van 1 persoon. Moet je je niet druk om maken. Heeft niks met jou pc te maken maar met die waarvan je de berichtjes krijgt. Het enige wat je kan doe is die persoon even op de hoogte brengen als hij/zij online is.
De berichten komen van accounts die niet in mijn lijst staan.
dan moet je ergens in je privacy opties aanvinken dat je iedereen die niet in je lijst is opgenomen wilt blokkeren.
Heb ik ook. Zeer irritant. Het zijn bij mij mensen die heel niet in mn contact lijst staan. Lijkt me toch niet moeilijk een plugin te schijven die berichten van mensen die niet in contact lijst staan te blokkeren?
Zie flamingworm, dit kan je uitschakelen door de berichten van contactpersonen die niet in je lijst staan te weigeren + als je mensen verwijdert ze ook te blokeren...
Lol, een worm onder controle hebben, knap :+ .
En ik gebruik geen twitter, voor de rest, jammer dan ;(
Wat ik me dan afvraag is hoeveel geld deze persoon moet gaan betalen voor de schade die hij heeft aangericht.
Verveeling. Flaw excuse vindt ik. Zo iets doe je gewoon niet. Je kan het ook vriendelijk melden aan de beheerders :s
Ik begrijp eerlijk gezegd niet wat het probleem is voor Twitter om dit met een enkele opschoonactie uit te roeien.

Als ik het goed begrijp speels alles zich af binnen Twitter-profielen, toch? Als je een geinfecteerd profiel bekijkt wordt jouw profiel ook geinfecteerd, etc.

Twitter heeft toch volledige controle over wat de inhoud is van die profielen? Een filter voor wijzigingen daarin plus een simpel script dat de database opschoont van een bepaalde string moet toch niet zo'n probleem zijn als lapmiddel. Kun je dan even rustig gaan nadenken over een echte oplossing.

Op dit item kan niet meer gereageerd worden.



Microsoft Windows 10 Home NL Apple iPhone 6s Star Wars: Battlefront (2015) Samsung Galaxy S6 edge Apple Watch Project CARS Nest Learning Thermostat Ibood

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True