Wiemy już co się stało z zapisami DNS Twittera
 Oceń wpis
   

Po udanej zmianie zapisów DNS Twittera przez Iranian Cyber Army ujawniane sa kolejne szczegóły. Dostawca usługi DNS dla Twittera, firma Dyn Inc (Dynect). twierdzi, że jej systemy nie zostały złamane. Oznacza to, że przestepcy zmienili wpisy korzystając z konta należącego do Twittera.

Tom Daly, CTO w Dyn Inc., zapewnił Washington Post, że wszystkie procedury i systemy w jego firmie działały poprawnie, a zapisy zmienił ktoś, posługujący się normalnym kontem Twittera. Informację potwierdził też szef firmy, Kyle York.

Ustawienia zostały przywrócone a konto Twittera w serwerze DNS zresetowane w ciągu godziny od ataku. Atak nie miał żadnego wpływu na pracę serwisu ani konta użytkownika. Jego jedynym efektem był fakt, że około 80% ruchu www do Twittera było przez kilkadziesiąt minut kierowane na witrynę kontrolowaną przez ICA. Wciąż nie wiadomo kto i w jaki sposób uzyskał dostęp do administracyjnego konta Twittera. Wiadomo jednak, że tym razem nie zawiniła technologia. Najsłabszym ogniwem zabezpieczeń znów okazał się człowiek.

Przeczytaj więcej o ataku na Twittera.

 

 

 

 

 

 

Komentarze (0)
Twitter i Iranian Cyber Army - co się naprawdę stało?
 Oceń wpis
   

Poranek 18 grudnia 2009 przyniósł wysyp informacji o "zhackowaniu" Twittera przez grupę Iranian Cyber Army. Co tak naprawdę się stało?

[UPDATE: Kolejne szczegóły o ataku na Twittera]

twitter hacked in google

Użytkownicy korzystający z Twittera przez www (przez przeglądarkę internetową), w nocy mogli zobaczyć podmienioną witrynę z komunikatem na dole strony:

Iranian Cyber Army

THIS SITE HAS BEEN HACKED BY IRANIAN CYBER ARMY

iRANiAN.CYBER.ARMY@GMAIL.COM

U.S.A. Think They Controlling And Managing Internet By Their Access, But THey Don’t, We Control And Manage Internet By Our Power, So Do Not Try To Stimulation Iranian Peoples To….

NOW WHICH COUNTRY IN EMBARGO LIST? IRAN? USA?
WE PUSH THEM IN EMBARGO LIST ;)
Take Care.

Skuteczność komunikatu nieco ograniczało umieszczenie go na dole strony, oraz zapisanie go po arabsku.

Na stronie Mowjcamp można nadal zobaczyć efekt działań ICA, w ładnej oprawie graficznej - podobno twitter wyglądał tak samo:

iranian cyber army

Twitter działał podczas ataku sprawnie, użytkownicy korzystający z niego przez różne aplikacje do Twittera korzystające z API nie zauważyli żadnych problemów. To dlatego, że sam Twitter nie został w żaden sposób zaatakowany.

Ofiarą ataku były serwery DNS, a metoda użyta przez Iranian Cyber Army to prawdopodobnie cache poisoning. Serwery DNS odpowiadają za to, aby wpisany w przeglądarkę adres w formie tekstowej został zamieniony na odpowiedni adres IP. Dla twitter.com poprawny adres to 168.143.162.100. W czasie ataku serwery DNS podawały jednak inny, zapisany w sfałszowanym przez crackerów rekordzie zestaw cyfr, kierując użytkowników na zupełnie inną stronę internetową, kontrolowaną przez ICA.

Juha Saarinen zapisal następujący rekord:

;; QUESTION SECTION:

;twitter.com. IN A

;; ANSWER SECTION:

twitter.com. 1901 IN A 74.217.128.160

;; QUESTION SECTION:

;160.218.217.74.in-addr.arpa. IN PTR

;; ANSWER SECTION:

160.218.217.74.in-addr.arpa. 3600 IN PTR www.perfectworld.com.

Jak widać ICA umieściła swój komunikat na hostowanym przez kanadyjski PNAP serwisie z grami online, co prawdopodobnie było znacznie łatwiejsze niż zrobienie krzywdy Twitterowi.

W tej chwili sytuacja jest opanowana, a kolejne komunikaty pojawiają się na oficjalnym blogu Twittera oraz w tweetach firmowym Twittera oraz prywatnym Alexa Payne.

Komentarze (2)
Facebook et al., czyli jak oddajemy wolność za wygodę.
 Oceń wpis
   

Nowe serwisy internetowe kradną nam Internet. Korzystając z Twittera, Facebooka czy Naszej-Klasy tracimy największą zaletę Sieci. Decentralizację. Czyli wolność.

W 2007 roku serwis Facebook zablokował wyszukiwania dla frazy "Ron Paul". Nie zaryzykuję twierdzenia, że właśnie dlatego libertariański kandydat na Prezydenta USA przegrał swoją opartą na Internecie kampanię. Na pewno jednak pomogło to w zwycięstwie Obamy.

Cztery lata temu Facebook nie był jeszcze tak potężny jak dziś. Dziś, w 2009 roku wielu użytkowników traktuje ten serwis jako swoją główną/jedyną usługę internetową. To dlatego spore poruszenie wśród komentatorów wywołał z pozoru niewinny błąd w obsłudze Twittera przez Facebook. W piątek 13 listopada 2009 Facebook przestał obsługiwać odnośniki zawarte w komentarzach z Twittera.

Sam twórca pojęcia Web 2.0, Tim O'Reilly z zaniepokojeniem zareagował artykułem "Wojna o Web".
Blokada linków wychodzących z Facebook, choć początkowo uzasadniana względami bezpieczeństwa, stanowi poważny problem dla wydawców internetowych. Jeśli opierasz swój biznes na użytkownikach z Facebook, jego właściciele mogą Cię po prostu wyłączyć z obiegu.

Niestety, to samo dzieje się np. w wypadku Twittera. Jednym z najlepszych (o ile istnieją dobre, ale o tym za chwilę) serwisów do skracania długich adresów URL był tr.im. W chwili, kiedy Twitter zdecydował, że domyślnym skracaczem ma być bit.ly, tr.im nie miał wyjścia innego niż zwinąć biznes.

Dużo większym, tak dużym, że aż niedostrzegalnym problemem są wyszukiwarki. Nie wszyscy są świadomi, że wielu użytkowników w ogóle nie korzysta już z adresów URL. Używają wyszukiwarek, najczęściej zaś Google. To od tajemniczych, kontrolowanych przez właściciela wyszukiwarki zasad zależy, którą witrynę zobaczą, a która nigdy nie zostanie im przedstawiona. Sytuację pogarszają opisywane akapit wyżej skracacze linków - ich pośrednictwo dodatkowo utrudnia odnalezienie prawdziwego wydawcy interesującej wiadomości.

Jak wiedzą czytelnicy Wnet, od dawna uważam, że przyszłością Sieci są urządzenia mobilne. Teraz wydaje się to być oczywiste dla większości obserwatorów, także dla tych niegdyś sceptycznych. Sposób, w jaki rozwija się ten "ekosystem" w połączeniu z centralizacyjnymi tendencjami w Internecie niesie kolejne zagrożenia.

Aplikacje do telefonów komórkowych są dystrybuowane na kilka sposobów. W okresie wielu systemów operacyjnych dopasowanych do konkretnych modeli urządzeń, dominującą drogą był wspólny proces akceptacji aplikacji przez operatora sieci komórkowej oraz producenta urządzenia. Decydujący głos miał zwykle operator subsydiujący zakup urządzenia przez klienta końcowego. Użytkownik i deweloper byli jedynie petentami bez możliwości legalnego wpływu na to co znajdzie się w ich telefonie. Tak dzieje się także dziś, jeśli chodzi o tańsze modele telefonów.

Symbian OS, jedyny szeroko rozpowszechniony otwarty system operacyjny dla telefonów komórkowych zrywał z ta zasadą pozwalając na rozproszoną dystrybucję. W skrócie wygląda to tak, ze aplikację można pobrać skądkolwiek w dowolny sposób. Od wersji S60 3rd Edition Symbian OS wymaga certyfikacji aplikacji, lecz użytkownik może sam "podpisać" aplikację, którą chce zainstalować na własne ryzyko.

To najzdrowszy dla konkurencji i użytkowników system dystrybucji. Każdy może wyprodukować aplikację, każdy moze ją pobrać z dowolnego miejsca, cena jest dowolnie ustalana przez producenta oprogramowania, a płatne certyfikaty gwarantują bezpieczeństwo aplikacji producentów, którzy się na to zgodzili. Podobny system dystrybucji ma także oparty na Linuksie system Maemo rozwijany przez firmę Nokia.

Najszybciej rozwijająca się platforma aplikacji mobilnych - iPhone OS oraz AppStore to zaprzeczenie otwartego modelu Symbiana. Sukces biznesowy jest tu połączony z całkowitą kontrolą producenta sprzętu nad rynkiem oprogramowania. Apple ma możliwość zablokowania dystrybucji oprogramowania, a nawet usunięcia już zainstalowanej aplikacji z urządzeń użytkowników.

Ten model przynosi producentowi sprzętu ogromne zyski, pozostawiając użytkownikom i deweloperom złudne poczucie kontroli. W rzeczywistości jednak, jedyny wybór jaki Apple pozostawia swoim partnerom to "bierze czy nie?" znany starszym Polakom z PRL-owskich sklepów.

Najdalej idącym w kierunku ograniczenia wolności użytkowników projektem jest opublikowany niedawno system Google Chromium OS. Choć oparty na poczciwym, otwartym Linuksie, system ten jest kompletnym zaprzeczeniem wolności wyboru. Do dyspozycji otrzymujemy całkowicie zależną od firmy Google przeglądarkę internetową, domyślne logowanie do domeny Google Account, oraz domyślne korzystanie z aplikacji dostarczanych przez firmę Google. Bardzo utrudnione, a praktycznie niemożliwe w tym systemie jest instalowanie własnych aplikacji czy nawet zapisywanie czegokolwiek lokalnie. Mamy tu tylko chmurę należącą do Google.

Ilu użytkowników będzie miało tyle samozaparcia, żeby przejść do usług innych dostawców, skoro Google oferuje wszystko? Czy będzie to w ogóle możliwe? Apple pokazał, że można zabronić użytkownikom korzystania z tak powszechnych rozwiązań jak Flash czy Java... Już teraz Chromium OS niczym Facebook ostrzega, że chcesz korzystać z aplikacji "obcych i potencjalnie groźnych". Mark Pilgrim z Google pisze, że nie ma nic przeciwko rozwiązaniu akceptującemu tylko aplikacje zaakceptowane przez jego firmę.

Czy model Apple iTunes/AppStore będzie dominującym sposobem dystrybucji programów i treści cyfrowych w przyszłości? Czy Sieć zamknie się w zamkniętych i chroniących przed wyjściem na zewnątrz systemach - silosach takich jak Facebook, Twitter czy Chromium OS?

Jeśli tak, to monopol Windows z ich ogromną ilością niezależnych aplikacji będziemy wkrótce traktować jak złote lata wolności informacji. A może by tak wcześniej zawalczyć o swoje prawa?

"They that can give up essential liberty to obtain a little safety deserve neither liberty nor safety."

- Benjamin Franklin

Komentarze (2)
Twitterujący hakerzy wygrali bitwę o nasze bezpieczeństwo
 Oceń wpis
   

Społeczność programistów, niezarządzana przez żadną firmę w całkowitej tajemnicy zorganizowała się i błyskawicznie zlikwidowała zagrożenie. Błąd dotyczył m.in. użytkowników Google, Yahoo, MySpace, Twittera.

Użytkownicy korzystający z serwisu Twitter mieli od poprzedniego piątku (16.04) problemy z korzystaniem z aplikacji wykorzystujących metodę korzystania z danych użytkownika za pośrednictwem technologii OAuth.

OAuth to popularna, oparta na otwartym protokole, metoda pozwalająca zewnętrznym aplikacjom na dostęp oraz interakcję z danymi przypisanych do konta użytkownika. Zaletą OAUth jest to, że użytkownik nie podaje aplikacji swojego hasła do serwisu, w którym znajdują się dane. Oprócz twittera OAuth można wykorzystywać w 28 serwisach internetowych, w tym Google, MySpace oraz Yahoo. Dzięki OAuth aplikacje zaakceptowane przez użytkownika mogą korzystać z zabezpieczonych hasłem danych.

Twitter zebrał z tego powodu cięgi, zwłaszcza, że wyłączył logowanie OAuth bez ostrzeżenia i bez żadnych wyjaśnień, jednak całkiem niesłusznie. Była to bowiem operacja naprawiania luki bezpieczeństwa (implementacje OAuth pozwalały na zafiksowanie sesji użytkownika). W grę wchodziły dane milionów użytkowników korzystających z serwisów z włączoną OAuth.

Naprawa luki wymagała współpracy wszystkich serwisów, oraz społeczności deweloperów aplikacji używających OAuth. Na dodatek, cala operacja wymagała dyskrecji wszystkich zaangażowanych. Gdyby informacja o błędzie przedostała się do publicznej wiadomości przed poprawkami, wystarczyłoby, aby przestępcy namówili użytkowników do skorzystania z ich aplikacji - dane z kont stanęłby dla nich otworem.

Eran Hammer-Lahav, odkrywca błędu powiadomił o nim najpierw Alexa Payne zajmującego się API twittera. Twitter błyskawicznie wyłączył OAuth dla swoich użytkowników. Przez 48 godzin, podczas których kontaktowano się z innymi serwisami (w czym wielce pomogło odbywające się w weekend spotkanie Social Web FooCamp 2009, na którym był zarówno Eran, jak i przedstawiciele większości zainteresowanych) panowała kompletna blokada informacji. Deweloperzy odłączonych aplikacji nie wiedzieli co się dzieje. Branżowe blogi i fora gubiły się w domysłach i oskarżeniach.

Dopiero w środę (22.04) serwis CNET poinformował, że przerwa w działaniu OAuth ma związek z luką bezpieczeństwa. Ponieważ poprawki nie były jeszcze wdrożone Carolyn McCarthy powstrzymała się od omawiania charakteru zagrożenia. McCarthy uczestniczyła w FooCamp, jednak dotrzymała ustalonej daty blokady informacji. Po jej artykule wyjaśnienia pojawiły się też na oficjalnym blogu twittera, oraz stronach OAuth. Pełny opis błędu można znaleźć na blogu jego odkrywcy. Całą historię świetnie opisał też RWW.

Z mojego punktu widzenia najważniejsze, co widać w tej historii to szybkość reakcji i efektywność działania społeczności zgromadzonej wokół serwisu Twitter oraz spotkań "campowych". Dzięki nieformalnym więziom i zaufaniu jakie udało się stworzyć na campach i przez mikroblogosferę, można było szybko i dyskretnie działać.

Myślicie, że polski blip i barcampy też by dały radę?

Komentarze (2)
Po co Ci serwis społecznościowy?
 Oceń wpis
   

Wszędzie pełno bełkotu o sieciach społecznych. Dziennikarzom mylą się blogi z twitterem, blogerzy zachęcają do Twistera (podobno ta kanapka z KFC pozwala coś wygrać), nasza-klasa sama nie wie czy ma nasze dane osobowe, czy jednak nie. Cezary Łasiczka z Krzysztofem Urbanowiczem tropią pokolenie GoldenLine, które walczy z mBankiem.

Mówiąc szczerze, to już nawet nie jest śmieszne. Czytelnik z odrobią rozsądku powinien po prostu zostawić szaleńców z ich zabawkami. Jeśli jednak pominiemy niekompetentnych "ekspertów i komentatorów", może się okazać, że serwisy społecznościowe to naprawdę genialna sprawa. Być może to także sposób na kryzys?

W Ameryce mieszka niezbyt przystojny facet przedstawiający się jako Scobleizer. Naprawdę nazywa się Robert Scoble, jest znanym blogerem (który od jakiegoś czasu nie pisze), oraz był szefem serwisu Fast Company TV. Właśnie go zwolniono. Scobleizer ma jednak konto na twitterze, czytane przez ponad 67 000 ludzi.

Według NYT w lutym 2009 oprócz Roberta Scoble pracę straciło 651 000 mieszkańców USA. Jednak tylko Scoble dostał w ciągu kilku minut od zwolnienia kilkaset ofert, które zresztą odrzucił (bo tworzy własny, kolejny projekt). Oto jedno z zastosowań Twittera.

Inne, odkryte w zeszłym tygodniu to Twitter jako lepsza niż Google wyszukiwarka. W Twitterze można wyszukiwać wpisy z daną frazą. Serwisu używają miliony ludzi, wielu z nich jest świetnie zorientowanych w Sieci oraz najnowszych trendach technologicznych. Rezultaty z Twitter Search są więc lepsze (sprawdzone przez użytkowników) i świeższe niż te z Google. Warto spróbować, nawet jeśli polscy eksperci przekonują, że "Twitter to serwis tylko dla geeków".

Komentarze (0)
1 | 2 |
Ankieta
Co stanie się z telewizorami?
Zostaną wyparte przez komputery PC
Przejmą funkcje komputerów PC
Razem z PC znikną z rynku
Będą się rozwijać niezależnie od komputerów
Nie mam zdania na ten temat
Mam inne zdanie (komentarz pod wpisem)
O mnie
Piotr Wrzosiński
Piotr Wrzosiński
Najnowsze wpisy
2011-10-03 10:41 W zeszłym tygodniu pod nowym adresem
2011-09-25 18:20 Minął kolejny tydzień
2011-09-19 11:07 Podsumowanie tygodnia
2011-09-12 13:37 Przedruk i przeprowadzka
2011-09-02 17:36 Wybierz swój e-book!
Najnowsze komentarze
2015-02-24 18:33
KamilDawid:
Minął kolejny tydzień
Mam nadzieje, że to nie będzie koniec bloga. Zapraszam
2014-10-08 04:36
Thank you:
Nie ukradliśmy tego HTC z Windows Mobile. Serio.
Thank you http://gamesfree4flash.blogspot.com/[...]
2014-10-08 04:34
Thank you:
Nie ukradliśmy tego HTC z Windows Mobile. Serio.
Thank you http://downloadgamesair.blogspot.com/[...]