Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 45 reacties, 18.997 views •

Een voor Twitter geschreven worm heeft de microblogdienst ge´nfecteerd en verstuurde automatisch berichten teneinde de infectie verder te verspreiden. De beheerders van Twitter zouden de worm echter onder controle hebben.

De worm zou gebruikmaken van een cross-site scripting-kwetsbaarheid in de Twitter-pagina's, maar het personeel van de webdienst zou dat lek inmiddels hebben gedicht. Zaterdag werden enkele Twitter-profielen geïnfecteerd, waarna de worm zich begon te verspreiden via tweets met een link naar de malware. Ook zou de StalkDaily-worm, vernoemd naar de vermeende banden met een gelijknamige website, de profielpagina's van Twitter-gebruikers voorzien hebben van een link naar de worm. De eigenaar van de StalkDaily-website ontkende de aantijgingen aanvankelijk, maar inmiddels lijkt hij middels een e-mail naar BNOnews.com schuld te hebben bekend.

De reden die de verantwoordelijke voor de StalkDaily-worm, de 17-jarige Mikeyy Mooney uit Brooklyn, gaf, was verveling. Tevens hoopte hij de beheerders van Twitter met de worm te waarschuwen en tegelijk zijn eigen site te promoten. De site van Mooney is een met Twitter vergelijkbare dienst. Volgens Mooney heeft zijn worm geen privacygevoelige informatie, zoals wachtwoorden, buitgemaakt, maar in sommige gevallen hebben de beheerders van Twitter het wachtwoord van accounts moeten resetten.

Reacties (45)

Onder controle? Volgens mij niet... "Mikeyy" blijft zich as we speak verder verspreiden, ik was net ook de klos. Misschien goed om te melden dat je nu beter GEEN profielen op twitter.com kan bekijken, want als je een ge´nfecteerd profiel bekijkt ben je zelf ook de sjaak.
I did this out of boredom, to be honest. I usually like to find vulnerabilities within websites and try not to cause too much damage, but start a worm or something to give the developers an insight on the problem and while doing so, promoting myself or my website.”
Het is weliswaar publiciteit voor zijn StalkDaily dienst, maar het lijkt me nou niet echt goeie publiciteit...

[Reactie gewijzigd door Maniakje op 12 april 2009 12:00]

Nee. Dit is de soort publiciteit waarna je een paar maanden de bak in verdwijnt...
nauw, ik was die mening eerst ook toegedaan. Maar na enkele weken gebruik, begin ik het wel een leuke webapplicatie te vinden! Best leuk dat je kan zien wat anderen bezig zijn. Ik heb nu DutchCowboys, NY Times, NBA, ... staan.

Btw: Hoe schraal is je leven niet als je "uit verveling" een worm schrijft.. Wat een zielig kereltje seg!
Ik begrijp Twitter ook niet echt.
De dingen die jij noemt, NY Times e.d., kan je toch beter doen met RSS feeds? En lezen wat andere doen; is dat niet beter te doen met Facebook en/of Hyves?
Misschien snap ik Twitter niet helemaal, maar het lijkt mij echt zwaar overbodig.
Nee, dat gaat met Twitter makkelijker. Om dat in Hyves te moeten veranderen moet je een aantal pagina's diep gaan. Op Twitter kan het op de eerste pagina al. Ander voordeel is dat er voor Twitter meer desktopapplicaties zijn.
Ik kan me zo voorstellen dat er nog veel meer RSS readers dan twitter-clients zijn.
Door de gigantische populariteit van het hele Twitter-gedoe kan dat nog wel eens aardig tegenvallen... ik kom tenminste meer Twitter-clients tegen dan RSS-readers.
Je kan als je wilt ook je facebookaccount linken aan twitter denk ik, kan je meteen alles op 1 plaats bekijken.

En hij zegt dat hij het deed uit verveling is om duidelijk te maken dat het simpel voor hem was en zijn naam erbij omdat iedereen zou zien dat hij wel degelijk iets kan! en beetje bekendheid wil. Daarentegen niet echt slim natuurlijk.
Hoe schraal is je leven niet als je "uit verveling" een worm schrijft.
Voor sommige mensen met een zeer creatieve geest is de wereld enorm saai.

Zo vreemd is dit nou ook weer niet. Ik kan me prima inleven in dit soort mensen. Het enige verschil is dat ik altijd aan de developers rapporteer wat er misbruikt kan worden in plaats van dat ook daadwerkelijk te doen. Maar het is "leuk" om te kijken of je slimmer bent dan iemand anders, dus enigszins een uitdaging. Zeker als het om een grote site als twitter gaat.

Als je dat niet begrijpt kun je ook bijvoorbeeld sport niet waarderen. Hoeveel zin heeft het om 0.01 seconde sneller te kunnen sprinten of zwemmen? De wereld is eigenlijk best saai ;)
Is hier ook een MSN versie van?
Ik krijg tegenwoordig berichtjes van onbekende accounts in de trand van wvw.sexnearyourhome.com etc. Erg irritant.
Heb mijn hele systeem van onder tot boven doorgelicht maar vond niks.

[Reactie gewijzigd door arbraxas op 12 april 2009 12:01]

Dan zit jouw email adres in een spamnetwerk wat werkt via MSN... daarvoor hoeft er niets op je pc zelf te staan, maar komt normaal gesproken door niet zo voorzichtig omspringen met je emailadres ;)
Dat is het m juist, ik laat normaal gesproken mijn emailadressen nergens achter.
Heb 1 voor als je toch een emailadres moet invullen als een soort spambox. Maar dat is niet mn hotmailadres.
Ja, dat doe ik ook niet, maar toch komen de berichten binnen. Het meest wazige vind ik dat het eigenlijk begon met allerlei aanbiedingen uit Rusland nadat ik een aantal keer naar de Oekraine was geweest en tegenwoordig zit er ook Chinees bij nadat ik een aantal keer naar China ben geweest. Het lijkt een beetje op lokatiegebonden advertenties, maar dan via msn. Google schotelt me tegenwoordig als ik in Nederland ben soms nog een Chineze advertentie voor. Wat ik niet snap is dat er willekeurige vrouwen tegen me beginnen te praten. Ok, dat gedeelte snap ik nog wel. Maar wat ik niet snap is dat deze vrouwen toevallig komen uit landen die ik vaak bezoek. 2 jaar geleden was het alleen maar Russisch en tegenwoordig zijn het ook tientallen Chinezen. Eigenlijk begon dit precies na m'n eerste bezoek daar en na een aantal bezoeken werd het alleen maar erger.

Dit is eigenlijk wel behoorlijk offtopic. Misschien meer iets voor op het forum.
Kan ook heel goed dat er een paar mensen zo stom zijn geweest malware te openen die je MSN afstruinen naar wachtwoorden en contactgegevens. Krijg ik ook wel eens, dan is er opeens een contactpersoon die voor een enkele seconde online komt en je een link stuurt. Lijkt me niet onwaarschijnlijk dat je op deze manier ook je e-mailadres verspreidt krijgt.
Die berichtjes krijg ik ook van 1 persoon. Moet je je niet druk om maken. Heeft niks met jou pc te maken maar met die waarvan je de berichtjes krijgt. Het enige wat je kan doe is die persoon even op de hoogte brengen als hij/zij online is.
De berichten komen van accounts die niet in mijn lijst staan.
dan moet je ergens in je privacy opties aanvinken dat je iedereen die niet in je lijst is opgenomen wilt blokkeren.
Heb ik ook. Zeer irritant. Het zijn bij mij mensen die heel niet in mn contact lijst staan. Lijkt me toch niet moeilijk een plugin te schijven die berichten van mensen die niet in contact lijst staan te blokkeren?
Zie flamingworm, dit kan je uitschakelen door de berichten van contactpersonen die niet in je lijst staan te weigeren + als je mensen verwijdert ze ook te blokeren...
Die code ziet er nog verrassend simpel geschreven uit. Toch nog altijd vreemd om te zien hoe 1,5 A4tje aan code een grote website als deze helemaal omver kan schoppen.

http://gist.github.com/93782

[Reactie gewijzigd door Sh1va op 12 april 2009 12:06]

Tjah, HTML in een user ingevoerd veld toelaten en vervolgens ook nog zonder te filteren weergeven is dan ook gewoon erg dom. De grootte van een site zegt niets over hoe goed het technisch in elkaar zit, dat blijkt maar weer eens.
ik ben geen webprogrammeur, maar ik zie dat de code een active x object instantieert. betekent dit dat alleen twitteraars op ms windows platformen (internet explorer) vatbaar zijn voor deze worm?

edit: laat maar: de code probeert verschillende mechanismen, waaronder ook een generiek xmlhttprequest als laatste.

[Reactie gewijzigd door BreezahBoy op 12 april 2009 12:57]

Die code is gewoon standaard Ajax code die je kunt vinden op iedere Ajax tutorial pagina. Het is dus overduidelijk het werk van een scriptkiddie.

Ook een aantal van de andere functies zijn gewoon standaard.
een virus hoeft nooit lang te zijn, er bestaat zelfs een virus dat simpelweg je bestanden @ random begint te coderen in een 1024 bits beveiliging.

virussen zijn sluwe beestjes die zich bij voorkeur als een simpel bestand zoals .jpg of .gif , en daarbij nog liefst zo klein mogelijk :+

daarom is het ook zo moeilijk om ze te traceren

@ hierboven

scriptkiddie's plaatsen de frontpage op zwart met hun eigen signatuur, dit is echt wel een virussschrijvertje.
tenzij jij me de nickname van het scriptkiddie kan vertellen

[Reactie gewijzigd door pm1 op 12 april 2009 14:24]

Een XSS worm en een virus zijn nogal iets anders.

De volledige naam, leeftijd en z'n homepage staan in het aritkel vermeld.

Een worm is ook compleet iets anders als een hack, scriptkiddies die hacken zetten de frontpage op zwart met hun signature. Het doel van de deze scriptkiddie is om z'n eigen website op een zeer domme manier te promoten.

Het gebruik van z'n eigen voornaam in de code is al helemaal dom, dit script is enorm eenvoudig om naar hem te herleiden waardoor hij zeker aangepakt zal worden.

Lees de code maar, dit is een domme scriptkiddie die toevallig achter een XSS is gekomen en daar handig gebruik van heeft gemaakt.

Overigens zie ik je vergelijking tussen kort en random coderen met 1024 bit beveiliging niet. De code nodig om bestanden te coderen zal al langer zijn dan dit hele stukje javascript bij elkaar. Simpel en kort hebben niets met elkaar te maken.
In dit geval heeft hij de exploit zelf gevonden (en tevens gecode) en is hij dus geen scriptkiddie. Als hij de exploit nou van een site of ander persoon had gecopy paste, dan was het een ander verhaal.

http://nl.wikipedia.org/wiki/Scriptkiddie:
Een scriptkiddie heeft meestal geen verstand van de onderliggende technieken en is slechts een gebruiker van andermans tools.
Ik neem aan dat hij niet zomaar wat random AJAX is gaan googlen, en dus zeker wel wist wat er precies nodig was om deze worm te schrijven en effectief te maken. Het feit dat zijn eigen naam en URLs gehardcode zijn doet daar niet aan af.

[Reactie gewijzigd door plempkat op 12 april 2009 18:23]

Hij heeft het zelf al toegegeven. Het is trouwens maar wat je een 'worm' noemt.
Het is een XSS - Cross Site Scripting bug, iets waar Twitter in eerste instantie zelf schuldig aan is (test management? security management?.. etc. Met automatisch testen haal je nog XSS bugs eruit).
Iedereen had dit kunnen doen. Ik vind het een flinke tik op de fingers van Twitter.

Aangezien 'iedereen' lekker op die site zit en klikt,.. gaat het wel lekker snel ja ;)

[Reactie gewijzigd door Roel Broersma op 12 april 2009 12:06]

Als we dan toch een schuldige moeten aanwijzen: Waarom niet degene die misbruik maakt van een zwakte in een website.

En een stap de andere kant op: Waarom niet de browserbouwers. Het is eenvoudig om XSS te detecteren in een browser. Ik krijg (dankzij noscript) netjes een melding als er XSS'ed wordt met de mededeling dat dat "gevaarlijk" is.
Als we dan toch een schuldige moeten aanwijzen: Waarom niet degene die misbruik maakt van een zwakte in een website.
Het bekende hackers en crackers verhaal denk ik. Naar eigen zeggen wilde hij de makers van Twitter waarschuwen en bovendien heeft hij geen privacygevoelige informatie buitgemaakt. Lijkt me redelijk onschuldig dus. Dat hij reclame wilde maken voor zijn eigen site, so be it, dat is op zich niet gevaarlijk. Gevalletje hacker dus, en die mogen van mijn part best zulke dingen doen, zolang ze de makers van een site maar op de hoogte stellen van de lek.
Maar als je de code leest zie je dat ie wel de cookies van de gebruiker even naar zichzelf stuurt. Dat lijkt me toch wel onder de noemer 'privacy gevoelig' te vallen.
En een stap de andere kant op: Waarom niet de browserbouwers
Omdat het soms toch wel verrekte handig is dat het kan ivm de 2 connecties per server regel in het HTTP protocol.

Maar iedere moderne browser heeft toch een optie om dit te detecteren en blokkeren? Het hangt alleen van je beveiligingsinstellingen af, maar je hebt gelijk in dat de browsermakers de standaard beveiligingsinstellingen wat strakker mogen afstellen.
Dit werkt niet standaard en zelfs niet door de beveiligingsniveaus van je browsers omhoog te halen, enkel noscript heeft een (zogoed als) volledige beveiliging tegen *script gerelateerde problemen.
Lees de artikels van Giorgo maar na op hackers academy.
Lol, een worm onder controle hebben, knap :+ .
En ik gebruik geen twitter, voor de rest, jammer dan ;(
Wat ik me dan afvraag is hoeveel geld deze persoon moet gaan betalen voor de schade die hij heeft aangericht.
Verveeling. Flaw excuse vindt ik. Zo iets doe je gewoon niet. Je kan het ook vriendelijk melden aan de beheerders :s
Ik begrijp eerlijk gezegd niet wat het probleem is voor Twitter om dit met een enkele opschoonactie uit te roeien.

Als ik het goed begrijp speels alles zich af binnen Twitter-profielen, toch? Als je een geinfecteerd profiel bekijkt wordt jouw profiel ook geinfecteerd, etc.

Twitter heeft toch volledige controle over wat de inhoud is van die profielen? Een filter voor wijzigingen daarin plus een simpel script dat de database opschoont van een bepaalde string moet toch niet zo'n probleem zijn als lapmiddel. Kun je dan even rustig gaan nadenken over een echte oplossing.

Op dit item kan niet meer gereageerd worden.



Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBWebsites en communities

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True