0wned!!

twitterbugImpresionante agujero de seguridad en Twitter: la actualización que veis a la izquierda, que he mantenido en su sitio correspondiente, no la he hecho yo, sino los chicos de Security By Default, a quienes conozco desde hace tiempo, y que lo han llevado a cabo respetando todos los principios de eso que se ha dado en llamar «hacking ético» o «white hat hacking»: lo ha publicado a una hora de poco tráfico, no han puesto ninguna barbaridad sino únicamente una broma inofensiva, y me envían un correo inmediatamente informándome acerca del tema.

Hasta donde yo sé, y a falta de recibir un correo con las explicaciones, el agujero de seguridad utilizado es ya público, está en conocimiento de la compañía desde hace cierto tiempo, pero no ha sido todavía corregido. En realidad, el agujero de seguridad es el mismo que permite hacer spoofing de mensajes SMS (enviar a una persona un mensaje escrito por nosotros, pero que la persona recibe como si hubiese sido escrito por una tercera persona). Mientras en los Estados Unidos, los operadores de telefonía móvil se han protegido ya contra el SMS spoofing, en España y en otros países no es así, de manera que la única solución temporal que se me ocurre es eliminar temporalmente de la cuenta de Twitter la asociación con dispositivos móviles.

Así que, mientras esto no se solucione, si veis cualquier cosa rara en mis actualizaciones, haced el favor de tomárosla, como diría un inglés, with a grain of salt. En caso de duda, tened la precaución de consultar el from que aparece bajo cada actualización en la página de Twitter: mis actualizaciones están escritas habitualmente desde Ping.fm, TwitterBerry o from web, y eso es lo que debería aparecer al final de las mismas. Hasta nuevo aviso, cualquier actualización que aparezca en mi Twitter en la que aparezca from txt es falsa, y aunque será eliminada en cuanto la vea, no me gustaría que, en el tiempo que tarde en darme cuenta, pudiese dar lugar a ningun tipo de confusión o mala interpretación porque alguien pensase que está escrita por mí.

24 comentarios

  • #001
    PPA - 7 marzo 2009 - 09:53

    A ver si lo entiendo: si Internet Explorer tiene un fallo de seguridad se recomienda no usarlo. Si Twitter tiene un fallo de seguridad (que permite publicar en nombre de cualquier persona) simplemente hay que tener mucho cuidado, pero vamos, poco menos que da igual. Y además nos ahorramos todos los comentarios sobre la competencia de los dueños/desarrolladores de Twitter. ¿No falla algo aquí?

  • #002
    kiki - 7 marzo 2009 - 10:36

    Esto de los expertos de seguridad es como el experto en abrir cajas fuertes, que vale pa tó.
    Esto del hacking ético es cuestión de como lo tome uno, tu te lo has tomado bien, yo a lo mejor les hubiera puesto una denuncia, yo que sé.
    A mi me parece que la diferencia entre hacking y hacking ético es muy sutil. Yo creo que hay muchos hackers éticos de 8 a 18 horas que se convierten en hackers no éticos en su casa.
    A fin de cuentas para saber abrir cerraduras o una de dos o puedes ser cerrajero o puedes ser chorizo.

  • #003
    Ricardo - 7 marzo 2009 - 11:15

    A mí me parece que eso del hacking ético es lo mismo que hacking normal. La diferencia es de grado. Es como la diferencia entre robar 1 millón de euros y robar 50.000€. Son la misma cosa y no porque uno de los robos deje de robar todo lo que podría vamos a llamarlo «ético». Lo ético es que no perjudiquen a nadie ni por valor de 1 millón, ni de 50.000, ni de 1.

  • #004
    Óscar - 7 marzo 2009 - 12:19

    PPA, si Twitter tiene un fallo de seguridad que permite publicar en la cuenta de otro, ese fallo sólo afecta a su servicio; cuando Internet Explorer, u otro navegador, tiene un agujero, los servicios afectados podrían ser mucho más numerosos y de mayor gravedad.

    En cuanto al rasero o los principios de otros, no comment; que cada palo aguante su vela.

  • #005
    Javier Villarrubia - 7 marzo 2009 - 13:22

    Según comentan en The H Security ya ha sido cerrado este problema (aunque parece que con algún problema en el Reino Unido y Alemania). Si estais interesados, podeis ver esta información en

  • #006
    Javier Villarrubia - 7 marzo 2009 - 14:31

    Parece que no ha salido publicado el vínculo que mencionaba en mi comentario. Así que ahí va sin XHTML ni códigos raros:

    – Twitter closes SMS spoofing hole
    http://www.h-online.com/security/Twitter-closes-SMS-spoofing-hole-Updated–/news/112786
    TinyURL: http://tinyurl.com/brpvv5

    Perdón por las molestias.

  • #007
    Francisco - 7 marzo 2009 - 16:36

    Hola Enrique, creo que te puede interesar el post:

    http://tentandole.blogsome.com/2009/03/07/thinkepi-redisenando-google-propuesta-base-para-el-desarrollo-de-un-sistema-operativo-multimodal-ubicuo/

    Por cierto, si alguna vez no estimas oportuno publicar cuando te comento algún post, sin problema que no quiero parecer que hago publicidad.

    Saludos

  • #008
    Agente Mulder - 7 marzo 2009 - 18:00

    Pongo en vuestro conocimiento que me ha sido asignado el caso después de haber rebotado por varios despachos del FBI y llegar al sótano.

    Sospecho que se trata de una «posesión en cadena» en la que el mismo espíritu se encarga de hacer las fechorías dentro de distintos individuos.

    Además, creo que se trata del mismo que mató a Laura Palmer.

    Lo tengo localizado desde que poseyó a Zapatero en una rueda de prensa.

  • #009
    Gorki - 7 marzo 2009 - 18:23

    Estas cosas les pasan a todos, pero los de Twiter son muy majos,…. Se les deja que lo arreglen y….. ¡olvidado!

  • #010
    Enrique Dans - 7 marzo 2009 - 20:25

    #1, #9: Sinceramente, no me parece muy comparable. Un fallo en Explorer compromete todo, tu banco, todos tus servicios, todo. El fallo de Twitter, como mucho, provoca que alguien pueda poner en boca de otro un comentario corto. En mi caso, la verdad, me trae al fresco, y si fuese un famoso, como mucho sería un pequeño escándalo sin consecuencias, como de hecho ya ocurrió. Lo dicho, para nada comparable: lo de Microsoft es una pasada de importante y viene de una compañía ultrapotente y con recursos ilimitados. Lo de Twitter no es importante y viene de una compañía de cuatro amiguetes. Igualito, vamos…,

  • #011
    Jose Miguel - 7 marzo 2009 - 21:40

    «Un fallo en Explorer compromete todo, tu banco, todos tus servicios, todo». Lo mismo sucede con quien no ha actualizado su Firefox, han tenido fallos similares o peores. Y sinceramente, que digas que alguien ponga en mi boca (no podrán hacerlo, no tengo cuenta en Twitter) algo que yo no he dicho, me preocupa más, bastante más, de lo que parece preocuparte a ti. Según tu… no es importante.

  • #012
    Mont - 7 marzo 2009 - 22:20

    Pues hace unos minutos pusieron una frase en tu twitter y ésa no creo que te haya hecho gracia ;) Está ahora borradita y no era una «broma inofensiva»… Quizás ahora convendría cambiar de opinión, ¿no?

  • #013
    paco - 7 marzo 2009 - 23:48

    ya sabes lo vulnerable que es dar tu movil a la gente, jeje

  • #014
    Enrique Dans - 8 marzo 2009 - 00:06

    #12: pero Mont, vamos a ver… ¿Cambiar de opinión? ¿Estás de broma? ¿Pero de verdad crees que a mí esa basura me importa lo más mínimo? ¿Piensas que tiene la más mínima importancia? ¿Que me fastidia? Mira, al verlo, me he descojonado de risa, despuês he dedicado un rato a pensar en el pobre y patético personaje que obtiene satisfacción de una travesurilla así, lo borro, y no me afecta absolutamente nada, ahí termina el espacio neuronal que le dedico. Si realmente crees que lo que ha pasado es importante y que tengo que cambiar de opinión por ello, tienes un verdadero problema de asignación de prioridades, tío…

  • #015
    Antón - 8 marzo 2009 - 11:20

    Así que esto es lo que le pasó a Rosa Díez, ¿no?

  • #016
    Jorge - 8 marzo 2009 - 14:44

    Siguiendo esta regla de tres, lo de Rosa Díez también pudo ser una broma xD

  • #017
    subpop - 8 marzo 2009 - 15:36

    @#2 y #3 La diferencia entre un hacker etico es que intenta encontrar vulnerabilidades para arreglarlas.

    Es como si dices que un auditor financiero juega al limite porque buscar estafas financieras ….o esa otra afirmacion de lo que hacen despues del trabajo…es como decir «es abogado de 9 a 18, pero luego es un asesino».

    Os puedo asegurar que una de las cosas mas dificiles de ser hacker blanco es tener claras las fronteras del bien y del mal, y los de Security by Default son muy profesionales….no todo el mundo aguanta la presion (y las tentaciones) estando en esa fina linea.

    Enrique, te felicito por tu reacción y comentarios .

  • #018
    ender wiggins - 8 marzo 2009 - 15:39

    #1: la diferencia entre un sistema de microblogging en el que pueden suplantarte y un navegador en el que se pueden llevar tus claves almacenadas, o reventarte el sistema operativo a través de una vulnerabilidad es grande; lo que marca la recomendación es:

    a ) gravedad del error (la aplicación se cae,perdida de datos,…)
    b) a qué afecta (¿solo a la aplicación?¿aplicación y SSOO?)
    c) ¿se puede evitar? (en este caso, sí, desactivando la funcionalidad de dispositivos móviles)

    Por tanto, no es lo mismo un bug en Internet explorer que permite ejecutar codigo de otras páginas (siendo internet explorer una aplicación que almacena datos privados bastante importantes) a un bug en twitter que permite suplantar identidad solo si tienes activada una opción de configuración… hay niveles :-)

    Y porqué no decirlo, también hay mucha tirria a microsoft, obviamente. si la comparación fuese entre fiorefox e internet explorer, te daría toda la razón :-), independientemente de que me guste más firefox por su facil ampliación mediante plugins y por su filosofía…

  • #019
    Domi - 8 marzo 2009 - 22:58

    Estoy de acuerdo con Enrique. No se puede comparar Twiter con IE. Nada que ver.

  • #020
    Miguel - 9 marzo 2009 - 11:42

    Nada es como el IE que parece estar siempre de «puertas abiertas» pero hay que reconocer que es demasiado fácil «meter ruido» en un sistema de comunicación en tiempo real.

    Un aplauso para los chicos de Security By Default que han demostrado que se pueden hacer las cosas bien y no hace falta meter spam en su cuenta para sacar unos dolares ni vender los datos a terceros ni nada.

  • #021
    Anónimo - 9 marzo 2009 - 13:33

    Esto tiene un uso interesante: si en algún momento te quieren meter una de esas acostumbradas denuncias por «atentar contra el honor» de alguien simplemente puedes alegar que es de público conocimiento que cualquiera puede invadir la cuenta twitter de otro así que no pueden demostrar quién es el responsable.

    Es algo parecido a lo que ocurrió en Australia, que comenzaron a recurrir las multas de tránsito porque las cámaras que tomaban las fotos de los coches usaban MD5 para verificar la autenticidad de la foto, y como se descubrió que el MD5 es relativamente vulnerable, lo consideraron suficiente para alegar que no se podía verificar la autenticidad de la foto.

  • #022
    Belén - 9 marzo 2009 - 18:56

    Enrique, le puedes quitar todo el hierro al asunto que quieras, pero el hierro se oxida… no lo olvides.

    Para mi, es tan grave como cualquier otro fallo de seguridad por una razón muy importante: desde que Twitter se usa por empresas, políticos, gente conocida con nombres y apellidos o cualquier organización, la cosa tiene mucha trascendencia.

    No es lo mismo que me hackeen a mi la cuenta, porque al fin y al cabo, es medianamente anónima. Pero poner algo en boca de alguien que puede sufrir responsabilidades por lo que diga es algo bastante grave. Si se dedican a poner twiteos injuriosos o calumniosos, entonces tendrías que meterte a demostrar que no fuiste tú quien lo posteó, y eso ya no te haría tanta gracia, por las molestias. (doy por hecho que podrías demostrar en último caso tu inocencia, pero dañaría tu imagen o la de una empresa, etc)

    No es comparable en términos de consecuencias directas para ti a un fallo en Internet Explorer, eso es obvio, pero tampoco minusprecies el daño que se puede hacer, porque es mucho.

  • #023
    theeleb - 10 marzo 2009 - 17:20

    Creo que sois un poco alarmistas, quien me dice algun servicio web que no tiene o tuvo vulnerabilidades. No vamos a entrar en el tema del software (explorer, firefox, clientes de correo ,etc, etc) ..

    Por lo pronto alguno que se me ocurra ahora mismo, y que podais conocer mmmmmmmmmm, GMAIL, podeis leer este post:

    http://www.kriptopolis.org/vulnerabilidad-gmail

    OOOOOHHH!!!! Dios mio borremos nuestras cuentas volvamos a utilizar el correo ordinario, denunciemos a Google por comprometer nuestra seguridad!!! Todos a las armas!!!

    Lo primero es ver en el contexto donde nos movemos, internet … y luego asumir los riesgos que se toman cuando se utilizan determinados servicios. Y ya esta, no hay mas.

    Yo por mi parte aplaudo a Security By Default, por reportar el fallo de seguridad, quizás lo hicierón de la manera mas eficiente para llegar al mayor número de personas.

    Bueno, sigo a menudo este blog, aunque no comento casi nada, bueno nada, creo que «is my first time», un saludo y enhorabuena por nicho.

    theeleb.

  • #024
    Alonso (Desde Los Cabos) - 14 marzo 2009 - 19:14

    Pero… entonces tengo que borrar mi twitter y cambiarme al nuevo cochinero ese de facebook que lo emula?

    YA NO HAY LUGAR SEGUROOOO AGHHH!!!

Dejar un Comentario

Los comentarios están cerrados

5 comentarios en Menéame

#001
Nemigo - 7 marzo 2009 - 11:26

este hombre es el pupas de la web 2.0» autor: Nemigo

#002
BOT - 7 marzo 2009 - 11:39
#003
Stash - 7 marzo 2009 - 11:54

#2

Más gráfico imposible.» autor: Stash

#004
MGR - 7 marzo 2009 - 12:28

#2 Buuuu, pues yo no veo nada irrelevante que exista un fallo que permita que cualquiera pueda escribir cosas con usuarios ajenos en twitter… A no ser que no uses twitter, claro » autor: MGR

#005
eldios13 - 9 marzo 2009 - 03:30

ahora llegara la segunda «oleada» de «hackeos de sombrero negro» que usaran este metodo para registrar a sus enemigos en servicios de SMS PREMIUM de pago utilizando una tarjeta sim antigua anonima

» autor: eldios13