Twitter: Tambang Keamanan yang Semakin Berkembang

Juni, dunia menyaksikan tweet dari jalan-jalan di Teheran membanjiri Twitter. Pengguna Twitter yang sering - dan orang-orang yang belum pernah mendengar tentang layanan microblogging - tiba-tiba dan secara bersamaan menyaksikan potensinya.

Pada saat yang sama, vendor antivirus memperingatkan serangan phishing baru yang menyebar melalui Twitter. Menggunakan akun Twitter, phisher akan mengikuti pengguna dan kemudian menginfeksinya melalui tautan ke halaman profil palsu yang sarat dengan malware. Seperti pesan instan, MySpace, dan Facebook sebelum itu, Twitter sudah dewasa.

Setelah tiga tahun perkembangan dan pertumbuhan yang relatif tenang, peningkatan pesat layanan di tahun 2009 sangat buruk. Selain masalah penskalaan karena masuknya pengguna baru, pada bulan Januari, peretasan Twitter menyusupi akun dari 33 pengguna profil tinggi, termasuk Presiden Barack Obama, pembaca CNN Rick Sanchez, dan penghibur Britney Spears.

[Bacaan lebih lanjut: Bagaimana untuk menghapus malware dari PC Windows Anda]

Pada bulan April, worm Twitter yang dikenal sebagai "Mikeyy" atau "StalkDaily" mengangkat kepalanya. Mirip dengan cacing Samy 2005 di MySpace, cacing Mikeyy ditulis oleh 17 tahun yang mengambil keuntungan dari karakter kode untuk mendapatkan kemasyhuran untuk situs Web-nya, StalkDaily.com. Twitter menutupnya - ditambah beberapa virus tindak lanjut ("Bagaimana cara menghapus worm Mikeyy baru!") - cukup cepat. Menyusul serangan worm, salah seorang pendiri Biz Stone menulis di blog perusahaan, "Twitter menangani keamanan dengan sangat serius dan kami akan menindaklanjuti semua front."

Shortened-URL Dangers

Sejalan dengan pertumbuhan Twitter adalah ekspansi layanan pemendekan URL. Menyesuaikan pikiran Anda ke dalam 140 karakter membutuhkan latihan; termasuk URL lengkap hampir tidak mungkin. Biasanya URL harus dipotong melalui layanan seperti Bit.ly dan TinyURL.com, yang juga menutupi URL tujuan yang sebenarnya dan dapat menyajikan masalah keamanan mereka sendiri sebagai hasilnya.

Tanda-tanda pertama dari masalah shortened-URL datang dengan sepasang worm Twitter yang berjanji untuk membantu pengguna menghapus cacing Mikeyy. Pada bulan Juni, gelombang URL beracun yang tersembunyi menyapu Twitter, menggunakan tautan Bit.ly ke domain low.cc dan myworlds.mp tempat pengguna diminta untuk mengunduh file bernama free-stream-player-v_125.exe untuk melihat video. File itu berisi malware. Bit.ly dan TinyURL telah responsif terhadap laporan penyalahgunaan; Bit.ly, untuk satu, sekarang memblokir domain low.cc dan myworlds.mp.

Setidaknya satu produk keamanan, ZoneAlarm, memblokir akses ke TinyURL.com secara default, mencantumkannya sebagai situs berpotensi berbahaya (Anda dapat membatalkan pencekalan) saya t). Anda memiliki cara lain untuk melindungi diri Anda juga. TinyURL memiliki fitur pratinjau, dan Firefox memiliki add-on preview Bit.ly. Beberapa aplikasi Twitter, seperti TweetDeck dan Tweetie, juga mempratinjau URL sebelum Anda mengklik.

Peneliti keamanan Aviv Raff menetapkan Juli 2009 sebagai "Satu Bulan Bug Twitter," selama itu para peneliti harus mengungkapkan kerentanan Twitter baru setiap hari. Mengutip upaya sebelumnya yang berfokus pada peramban dan kerentanan Apple Mac OS, Raff mengatakan tujuannya bukan untuk merusak Twitter tetapi untuk memperbaikinya dan mengatasi semua kelemahan jaringan sosial: "Saya berharap bahwa Twitter dan penyedia API Web 2.0 lainnya akan bekerja sama dengan mereka Konsumen API untuk mengembangkan produk yang lebih aman. " Bug Twitter pertama yang diungkapkan terkait dengan cacat skrip lintas situs di Bit.ly. Dalam beberapa jam setelah pengungkapan, Bit.ly mengoreksinya.

Ikuti Saya, Harap

Tujuan sering dari Twitterers adalah untuk membangun pemirsa; beberapa orang menilai profil mereka sukses jika memiliki ratusan atau bahkan ribuan pengikut. Sebuah situs bernama TwitterCut mengiklankan bahwa itu akan secara dramatis meningkatkan basis pengikut Anda - jika Anda memberikannya nama pengguna dan kata sandi Anda. Sebagian besar vendor keamanan menganggapnya sebagai scam bayar per klik.

Orang yang jatuh karena penipuan melihat akun Twitter mereka yang kemudian digunakan dalam serangan phishing "Video Terbaik", di mana siapa saja yang mengunjungi tautan di tweet akhirnya mengunduh PDF jahat yang kemudian mencoba menginstal produk keamanan palsu jika PC tidak memiliki pembaruan keamanan Adobe terbaru.

Gone Phishing

Sebagian besar upaya phishing Twitter, bagaimanapun, lebih mudah. Twitter secara rutin memberi tahu pengguna pengikut baru melalui email, seringkali dengan tautan ke profil pengikut. Serangan phishing baru-baru ini menipu email itu dan menahan tautan ke halaman log-on palsu.

Variasi lain dari penipuan phishing mengirimkan bacaan tweet, "Hei, lihat blog lucu ini tentang Anda." Mengklik URL membawa korban ke halaman palsu (di twitter.access-logins.com/login/). Tidak peduli seberapa bagus situs terlihat, periksa URL, dan berpikir dua kali tentang memasukkan info Anda - terutama jika Anda sudah masuk ke Twitter.

Orang jahat telah mencoba taktik yang lebih halus, juga, seperti pornografi permainan nama. Menurut permainan, untuk membuat nama yang akan Anda gunakan selama karier film dewasa Anda, Anda mengambil nama hewan peliharaan pertama Anda dan menggabungkannya dengan jalan tempat Anda dibesarkan, nama gadis ibu Anda, atau model mobil Anda. Kenali hal-hal itu? Mereka pertanyaan keamanan umum. Dengan men-tweet jawaban Anda, Anda dapat memberikan akses ke akun Twitter Anda - atau ke rekening bank Anda.

Beberapa aturan keamanan yang muncul untuk menggunakan Twitter hanyalah akal sehat. Sama seperti Anda tidak akan meninggalkan pesan telepon yang mengatakan bahwa Anda akan keluar kota, jangan tweet rencana liburan Anda. Dan jangan bagikan lokasi Anda jika Anda seorang anggota kongres AS yang melakukan perjalanan rahasia ke luar negeri. Tanya saja Perwakilan Pete Hoekstra (R-MI), yang menulis di awal tahun ini: "Baru saja mendarat di Baghdad. Saya percaya ini mungkin pertama kalinya saya punya layanan [BlackBerry] di Irak."