Malware de pe Twitter

La invitatia lui Radu, va scriu un pic despre un proiect la care am lucrat in ultima vreme. Desi poate nu este direct legat de treburile antreprenoricesti, sper sa il gasiti interesant.   Costin

Treaba sta cam asa:

Acum doi ani si ceva, colegul meu din Italia, David Orban ma batea la cap cu o chestiune noua ce se chema Twitter. Intr-o seara, cand stateam la o cafea si un trabuc, mi-a aratat cum exista acest site care se cheama Twitter.com, pe care poate sa trimita un mesaj cu exact ceea ce facem noi in momentul respectiv, adica de exemplu, bem o cafea si fumam un trabuc la o terasa in Sicilia, si automat toti prietenii lui pot sa vada treaba asta. Dupa care, prietenii pot sa isi dea cu parerea daca e cool sau nu, ca fumatorii mor mai tineri si tot asa.

Rescunosc, la momentul respectiv idea de un site pe care sa scrii ce faci mi s-a parut cam ciudata. Mai ales, cu maxim 140 de caractere pe mesaj. In primul rand, poate nu intereseaza pe nimeni ce faci in momentul respectiv si in al doilea rand, in meseria mea, mai tot ce se intampla e secret, deci, poate n-ar fi prea multe de spus.

Insa Twitter a devenit din ce in ce mai popular si prin Octombrie 2007 mi-am facut si eu cont. Ca mai toata lumea, au trecut 5-6 luni pana sa incep sa-l folosesc mai serios.

Treaba interesanta la inceput era ca puteai sa primesti SMS-uri cand un amic posta ceva. In practica, asta insemna ca la fiecare 5 minute venea cate un SMS, iar daca inchideai telefonul la un film, cand ieseai erau in mod normal 20-30 de mesaje noi. Din pacate, din trimisul de mesaje nu prea ieseau bani pentru Twitter, asa ca prin August 2008 l-au suspendat. Pe treaba asta au incasat destul de multe injuraturi, insa n-a fost sfarsitul lumii.

Tot in August 2008 s-a intamplat si primul atac cu malware pe Twitter. Intr-o dimineata am primit un mesaj ce imi spunea ca un utilizator nou ma urmareste acum pe Twitter. Profilul acestuia arata cam asa:

Chiar daca nu stim Portugheza, nu e greu de ghicit ce inseamna “Video Pornografico” iar link-ul din post ducea la o pagina de web din China, ce distribuia malware.

Initial, incidentul a fost izolat, sau cel putin, eu nu am mai primit astfel de mesaje. Insa incet, incet, au inceput sa apara tot mai multe rapoarte despre atacuri cu malware pe Twitter.

Astfel mi-a venit idea sa implementez un sistem care urmareste tot ce se intampla in timeline-ul public al Twitter-ului, analizeaza tot ce se scrie, extrage URL-urile si verifica daca redirectioneaza utilizatorul care site-uri cu malware. In ultimii 9 ani, de cand lucrez la Kaspersky, m-am ocupat aproape exclusiv de proiectarea de sisteme de monitorizare a atacurilor, deci experienta exista, chiar si infrastructura si serverele erau deja disponibile.

Sistemul, denumit Krab Krawler (la Kaspersky exista un obicei prin care toate proiectele trebuie macar sa contina litera ‘K’, daca nu sa inceapa cu ea) a devenit operational in August 2009. Internii biroului din Romania, Selma Ardelean, Dan Demeter si Alexandru Tudorica l-au programat in PHP, avand in spate o baza de date MySQL, totul ruland pe sisteme Linux.

In momentul de fata, sistemul analizeaza cam jumatate de milion de URL-ul pe zi, descarcand in medie 60GB de date pe luna. In felul acesta, putem monitoriza noile atacuri ce au loc prin intermediul Twitter-ului si putem adauga detectie in Kaspersky AntiVirus imediat ce descoperim malware nou, fiindca majoritatea atacurilor de acest gen se bazeaza pe cai troieni complet noi si nedetectati de majoritatea firmelor producatoare de AV.

Twitter este unul din site-urile Web 2.0 cele mai populare in acest moment. Web 2.0 a devenit o tinta interesanta pentru atacatori, deorece este extrem de usor sa exploatezi falsa impresie de incredere pe care ti-o ofera un nume sau o fotografie cunoscuta. De exemplu, daca esti prieten cu Kevin Rose pe Twitter, iar Kevin posteaza un mesaj de genul “Very cool video: http://…”, 95% din cei care il urmaresc vor da click pe URL fara sa se mai gandeasca. Daca la adresa respectiva apare o avertizare ca trebuie instalat un plugin nou, sunt sigur ca macar jumate vor cocheta cu idea de a-l rula in sistem. Asta fiindca este improbabil ca o persoana precum Kevin Rose sau Radu Georgescu sa vrea sa infecteze pe cineva in mod voit. Marea majoritate a atacurilor prin intermediul site-urile de tip Web 2.0 se bazeaza pe exploatarea increderii in prieteni sau persoane publice.

Pentru mai multe informatii, va invit sa vedeti online prezentarea “Twarfing: Malicious Tweets”, pe care am sustinut-o la Virus Bulletin, impreuna cu prietenul si colegul meu Morton Swimmer, de la Trend Micro:

http://www.slideshare.net/craiu/twarfing-malicious-tweets

Costin G. Raiu
http://twitter.com/craiu