для расчета стоимости абонентского обслуживания компьютеров Вашей организации
Twitter в выходные был перегружен из-за атаки червя |
14.04.2009 | |||
Сайт микроблогов Twitter поразила лавинообразная атака червя. Пользователи сами порождали десятки тысяч сообщений, просто открывая страницы с профилями собеседников. Атака началась ранним субботним утром и стала результатом XSS (cross-site scripting) в Twitter. В результате каждый, кто открывал профиль ранее инфицированного пользователя, невольно публиковал сообщения, рекламирующие сайт StalkDaily.com. Профили самих посетителей, в свою очередь, изменялись: в них внедрялся код javascript и ждал очередную жертву. В течение последующих 36 часов работали как минимум три подобных червя и наплодили более 10000 сообщений. Twitter не раскрывает количество пострадавших аккаунтов и предстоящие изменения в сервисе. Неспособность Twitter внедрить разумную систему безопасности критиковалась обозревателями задолго до этих событий. Дыры в защите позволяли вставлять в профили пользователей javascript с посторонних веб-серверов. Как часто бывает в XSS-атаках, червь был бессилен в случае применения пользователем браузера Firefox с аддоном NoScript. Администраторы Twitter сумели блокировать атаку на некоторое время. Однако изощренный код червя вскоре преодолел контрмеры, сосредоточенные на идентификации сигнатур вместо затыкания уязвимостей XSS. Twitter не в первый раз демонстрирует замедленную реакцию на уязвимости своего сайта, что позволяет самореплицируемому коду атаковать пользователей. В прошлом месяце сотрудникам Twitter потребовалось более суток для устранения дыры, обнаруженной независимыми экспертами. Нынешняя XSS-атака на Twitter заставила вспомнить предыдущий нашумевший случай атаки на социальные сети. В 2005 году червь Samy поразил MySpace и сделал около миллиона пользователей MySpace "друзьями" пользователя под ником Samy. Автор Samy впоследствии был установлен и осужден. |