Malware de pe Twitter

Salutări!

La rugămintea vechiului meu prieten Radu Georgescu (GeCAD), am scris un post despre Krab Krawler. Ce este Krab Krawler?
Krab Krawler este un sistem dezvoltat de către echipa KL România care monitorizează atacurile prin intermediul site-ului de networking social Twitter. Iată, pe scurt, despre ce este vorba:

• Twitter-ul în diversele lui ipostaze: de la o platformă nouă şi interesantă până la un site popular, atât pentru utilizatorii obişnuiţi, cât şi pentru infractorii cibernetici.

Acum doi ani şi ceva, colegul meu din Italia, David Orban mă bătea la cap cu o chestiune nouă ce se chema Twitter. Într-o seară, când stăteam la o cafea şi un trabuc, mi-a arătat cum există acest site care se cheamă Twitter.com, pe care poate să trimită un mesaj cu exact ceea ce facem noi în momentul respectiv, adică de exemplu, bem o cafea şi fumăm un trabuc la o terasă în Sicilia, şi automat toţi prietenii lui pot să vadă treaba asta. După care, prietenii pot să îşi dea cu părerea dacă e cool sau nu, că fumătorii mor mai tineri şi tot aşa.

Recunosc, la momentul respectiv idea de un site pe care să scrii ce faci mi s-a părut cam ciudată. Mai ales, cu maxim 140 de caractere pe mesaj. În primul rând, poate nu interesează pe nimeni ce faci în momentul respectiv şi în al doilea rând, în meseria mea, mai tot ce se întamplă e secret, deci, poate n-ar fi prea multe de spus.

Însă Twitter a devenit din ce în ce mai popular şi prin Octombrie 2007 mi-am facut şi eu cont. Ca mai toată lumea, au trecut 5-6 luni până să încep să-l folosesc mai serios.

Treaba interesantă la început era că puteai să primeşti SMS-uri cand un amic posta ceva. În practică, asta însemna că la fiecare 5 minute venea câte un SMS, iar dacă închideai telefonul la un film, cand ieseai erau în mod normal 20-30 de mesaje noi. Din păcate, din trimisul de mesaje nu prea ieşeau bani pentru Twitter, aşa că prin August 2008 l-au suspendat. Pe treaba asta au încasat destul de multe înjurături, însă n-a fost sfârşitul lumii.

• Despre modalitatea prin care un site popular ajunge ţinta preferată a hackerilor şi cât de uşor se răspândesc aceste atacuri cu malware.

Tot în August 2008 s-a întâmplat şi primul atac cu malware pe Twitter. Într-o dimineaţă am primit un mesaj ce îmi spunea că un utilizator nou mă urmăreşte acum pe Twitter. Profilul acestuia arata cam aşa:

Chiar dacă nu ştim Portugheza, nu e greu de ghicit ce înseamnă "Video Pornografico" iar link-ul din post ducea la o pagina de web din China, ce distribuia malware.

Iniţial, incidentul a fost izolat, sau cel puţin, eu nu am mai primit astfel de mesaje. Însă încet, încet, au început să apară tot mai multe rapoarte despre atacuri cu malware pe Twitter.

• Din categoria Ştiaţi că?:
În timp ce unii elevi de clasa a 12-a se pregătesc intens pentru BAC, alţii, pe deasupra, mai sunt şi interni la Kaspersky!? Vorbesc şi despre sistemul Krab Krawler care analizează cam jumătate de milion de URL-ul pe zi, astfel monitorizând atacurile ce au loc prin intermediul Twitter-ului.

Astfel mi-a venit idea să implementez un sistem care urmăreşte tot ce se întamplă în timeline-ul public al Twitter-ului, analizează tot ce se scrie, extrage URL-urile şi verifică dacă redirecţionează utilizatorul care site-uri cu malware. În ultimii 9 ani, de când lucrez la Kaspersky, m-am ocupat aproape exclusiv de proiectarea de sisteme de monitorizare a atacurilor, deci experienţa există, chiar şi infrastructura şi serverele erau deja disponibile.

Sistemul, denumit Krab Krawler (la Kaspersky exista un obicei prin care toate proiectele trebuie măcar să conţină litera ‘K', daca nu să înceapă cu ea) a devenit operaţional în August 2009. Internii biroului din România, Selma Ardelean, Dan Demeter şi Alexandru Tudorica l-au programat în PHP, având în spate o bază de date MySQL, totul rulând pe sisteme Linux.

În momentul de faţă, sistemul analizează cam jumătate de milion de URL-ul pe zi, descărcând în medie 60GB de date pe lună. În felul acesta, putem monitoriza noile atacuri ce au loc prin intermediul Twitter-ului şi putem adăuga detecţie în Kaspersky AntiVirus imediat ce descoperim malware nou, fiindcă majoritatea atacurilor de acest gen se bazează pe cai troieni complet noi şi nedetectaţi de majoritatea firmelor producătoare de AV.

• Da, este frumos să fim dezinvolţi, deschişi dar oare cât ne costă neglijenţa pe reţelele sociale?

Twitter este unul din site-urile Web 2.0 cele mai populare în acest moment. Web 2.0 a devenit o ţintă interesantă pentru atacatori, deorece este extrem de uşor să exploatezi falsa impresie de încredere pe care ţi-o oferă un nume sau o fotografie cunoscută. De exemplu, daca eşti prieten cu Kevin Rose pe Twitter, iar Kevin postează un mesaj de genul "Very cool video: http://...", 95% din cei care îl urmăresc vor da click pe URL fără să se mai gândească. Dacă la adresa respectivă apare o avertizare că trebuie instalat un plugin nou, sunt sigur că măcar jumătate vor cocheta cu idea de a-l rula în sistem. Asta fiindcă este improbabil ca o persoană precum Kevin Rose sau Radu Georgescu să vrea să infecteze pe cineva în mod voit. Marea majoritate a atacurilor prin intermediul site-urile de tip Web 2.0 se bazează pe exploatarea încrederii în prieteni sau persoane publice.

Pentru mai multe informaţii, vă invit să vedeţi online prezentarea "Twarfing: Malicious Tweets", pe care am susţinut-o la Virus Bulletin, împreună cu prietenul şi colegul meu Morton Swimmer, de la Trend Micro:

http://www.slideshare.net/craiu/twarfing-malicious-tweets

Costin G. Raiu
http://twitter.com/craiu

(post apărut original la adresa

http://www.radugeorgescu.ro/2009/10/15/malware-de-pe-twitter/ )