Twitter：就在你身边的安全大漏勺

ZDNet安全频道原创翻译 转载请注明作者以及出处

我们都明白，网站遭受攻击是迟早的事。因此，当得知Twitter 被攻击后，人们也没有太多的惊讶。重要的是，我们该如何面对攻击。
--------------------------------------------------------------------------------------------

　　2009年4月11日，是Twitter 一周岁生日。和很多新兴IT技术一样，它被黑客盯上并遭受攻击只是一个时间问题。

　　StalkDaily/Mikeyy 蠕虫

　　这场攻击的始作俑者是一个名叫Mike Mooney的 17岁少年。在发现了Twitter 应用中存在的Cross-Site Scripting (XSS)漏洞后，他通过自己的四个Twitter帐户 ，利用这一漏洞对网站发送了攻击代码。

　　和网络钓鱼一样，插入攻击代码后所要做的就是等待。最终，某个用户浏览了Mooney的账户页面，恶意代码通过所谓的 drive-by dropper 感染了这个用户的账户。接下来，随着浏览量的增加，蠕虫的扩散就越来越容易了。此次蠕虫传播所采取的途径是：

　　1. 每个新被感染的Twitter 应用会向本帐户的联系人发送未验证的包含了恶意链接的Twitter 消息(tweets)。

　　2. Twitter用户收到来自朋友的tweets消息(这里利用了社会学原理)。

　　3. tweet中要求用户访问一个名叫StalkDaily.com小型的博客服务网站(这个网站就是蠕虫基地)。

　　4. 用户点击链接后，电脑上的Twitter应用程序立即被蠕虫感染。

　　从这个过程中我们可以看出受害者的数量是以多么快的速度在增加，尤其是某些受害人的Twitter帐户上有大量的好友时。

　　更糟的是，没有收到恶意信息的用户也可以在浏览被感染的Twitter用户的个人页面时被蠕虫感染。 因此， Damon Cortesi 曾经写了篇博客，专门阐述该蠕虫的工作模式。

　　变种情况

　　以上我所介绍的蠕虫活动方式，只是一个大概的状况，因为从目前来看，该蠕虫已经出现了四个变种，每个变种所利用的社会学行为稍有不同。还好每次蠕虫出现新变种后，Twitter都能在第一时间都对这些蠕虫进行处理，但是不可否认， Twitter 应用程序中还存在潜在的可导致XSS攻击的漏洞。

　　如何删除

　　虽然Twitter的开发人员总是及时解决问题，但是仍然会有一些用户的个人界面上存留有蠕虫代码。因此我又在网上搜索了一番，在Twittercism网站上找到了针对StalkDaily 和Mikeyy 蠕虫的删除方法 ：

　　1. 在浏览器中清理临时文件以及所有的cookie。(可以在浏览器设置中看到清理选项)

　　2. 退出TweetDeck或其它正在运行的扩展应用。

　　3. 检查网页地址，并进入个人资料页面(Twitter.com里的设置/帐户 页面)，从中查看是否有被蠕虫感染的迹象。如果被蠕虫感染，会发现很多自己没有填写的资料项目被自动填写了内容。由此情况，则需要清除这些资料。

　　4. 在 Twitter.com上修改你的帐户密码。

　　5. 重新登录。

　　6. 删除全部由StalkDaily发送的信息。这一点很重要。

　　7. 将 @stalkdaily 写入信息中发送给Twitter的 @spam 帐户，如下所示： @spam @stalkdaily。

　　如何预防

　　Twittercism还有一个不错的博客，专门谈论如何预防 诸如StalkDaily和 Mikeyy 这样的感染Twitter用户资料页面的蠕虫。从中我摘录出几个重要的预防措施，与大家分享。

　　· 使用 Twitter 客户端 It从目前的蠕虫传播方式看，如果通过浏览器直接访问Twitter用户的资料页面，很可能被蠕虫感染。因此建议大家采用诸如 TweetDeck 这样的Twitter客户端来运行 Twitter应用。

　　· 避免在Twitter.com上访问用户资料页面 这里指的是不要点击通过Tweets信息或电子邮件发送过来的活动链接。

　　· 留神被缩短的URL地址 在我之前的文章《URL缩写:另一个安全风险》就曾经提到过此类风险，而现在这类风险的数量正在逐渐增加。

　　另一个应对此类蠕虫，甚至其它多种蠕虫的方法，就是关闭浏览器对JavaScript 的支持。不过大多数情况下，这种预防方式并不现实，而另一种变通的方式就是使用带有 NoScript 插件的火狐浏览器。

　　接下来

　　由于此类问题基本上都是由 XSS漏洞引发的，因此我向大家推荐一篇由华盛顿邮报的Brian Krebs编写的文章 《不安全网站成为公害》。这篇文章都是围绕XSS展开的，并讨论了利用此漏洞的各种攻击方式：

　　“XSS漏洞可以用来制造基于Web的蠕虫。前不久，一系列利用XSS漏洞的蠕虫就攻击了小型博客网站Twitter.com，波及了数千名Twitter用户。虽然这些蠕虫并没有给用户带来损失，但是流氓反病毒软件厂商却已经开始行动起来，通过收集公众的兴趣点，通过搜索引擎排名，将自己的流氓软件推销出去。”

　　Google搜索帮助恶意软件散播

　　TrendLabs证实了Brian 在一封电子邮件中向其警告的内容。邮件内容如下：

　　“网络犯罪分子利用公众感兴趣的话题以及大面积的媒体覆盖方式来传播恶意链接。在Google中搜索“Twitter worm” 和 “Mikeyy,” ，在列出的前十个结果中，有一个关于17岁蠕虫开发者的连接，而这个链接实际上就是一个指向恶意代码页面的链接。该页面中的恶意代码采用JavaScript形式，经检测为JS_DLOADR.NIB 蠕虫。”

　　总 结

　　这种无害的Twitter蠕虫看上去好像只是一个开始，而通过网页隐藏真正的恶意软件则早已经是事实了。可悲的是，那些已经被蠕虫感染的电脑成为了蠕虫传播的途径。在我的文章 《下载时最小化安全风险》 中，对于这个话题有过深入讨论，同时也给出了很多读者推荐的预防方式。