개인용 단문 서비스인 트위터는 개설 초기부터 보안 문제로 인해 여러가지 말들이 많아 왔습니다.

특히, 개발자의 메일 주소가 노출되는 바람에 톡톡히 망신을 당하곤 했습니다. 관련 자료는 http://moonslab.com/693 링크를 참고하세요.

또한 어제부터는 트위터 서버로의 DDoS 공격이 진행되어 일부 서비스의 장애가 발생하는 상황입니다.

트위터는 이러한 보안적 위협으로 안전해지기 위해 다양한 수단을 강구하고 있으며, 오늘  악성 URL을 트윗(단문 메시지)로 적지 못하도록 차단하는 기능을 소개합니다.

지난 월요일에 보안 기업인 F-Secure의 연구자인 Mikko Hypponen은 트위터에 글을 쓰는 도중에 악성 URL을 포함할 때에 경고창이 나타나면서 제대로 등록되지 않는 현상을 발견했습니다. 경고창에는 "Oops! Your tweet contained a URL to a known malware site"이 표시됩니다. 

이러한 기능은 구글의 Safe Browsing API를 이용하여 악성 링크를 확인하는 것으로 구글 관계자가 공식적으로 확인해 주었습니다.

구글의 Safe Browsing API는 구글로 검색하는 과정에서 유해 사이트로 등록된 곳을 방문할 때에 알려주는 즉, 악성 코드가 포함되어 있거나 과거에 포함된 전력이 있는 유해한 사이트를 미리 알려 주어 방문을 하지 않도록 유도합니다.

하지만, 일부 보안 전문가들은 악성 URL을 차단하는 기능이 유용할 수도 있지만, 마찬가지로 우회할 수 있는 구멍을 가지고 있다고 얘기합니다.

우회하는 방법은 바로 URL을 짧게 표시하는 서비스입니다. 트위터에서 주고 받는 메시지, 즉 트윗은 140글자(영문)까지 적을 수 있기 때문에 우리가 자주 입력하는 URL을 최대한 줄이는 필요성이 제기되어 왔으며, 이러한 수요에 맞게 여러 개의 URL 단축 서비스를 제공하는 사이트가 활성되어 있습니다. 대표적인 서비스로는 Tinyurl.com, Bit.ly 등이 있습니다.

또한, 악성 URL에서 www 글자를 빼고 테스트한 결과 또한 마찬가지로 우회할 수 있는 방법으로 알려 지고 있습니다.

한 편, 짧은 URL로 악성 URL을 변환하더라도 언젠가는 구글에서 이러한 짧은 URL도 인식할 것이라는 의견도 있습니다.

트위터는 웹 2.0 기반의 서비스로 보안상 아직 취약한 점이 매우 많습니다. 얼마만큼 보안을 해결할 수 있을지 관심을 두고 봐야 할 것으로 보입니다.



 


reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus

    댓글을 달아 주세요

    1. Favicon of http://six003.tistory.com BlogIcon sisters 2009.08.07 17:29 신고  댓글주소  수정/삭제  댓글쓰기

      트위터도 고생이 많군요 ㅎㅎㅎ

    요즘 SNS 서비스로 인기가 높아져 가고 있는 트위터에서 웜으로 보이는 악성 프로그램이 출현한 것으로 알려지고 있습니다.

    트위터의 글인 트위트(tweet)에서 "http://juste.ru"라는 링크를 가진 "Best Video"를 클릭하게 되면 악성 프로그램에 감염됩니다. 아직 전파 경로에 대해서 명확히 알려진 것은 없습니다. 하지만, 이 링크를 클릭하게 되면 트위터 계정이 침해되어 비밀번호가 누출되어 스팸이 발송될 수 있다고 합니다.

    트위터 측에서는 아직까지 이 문제를 해결하고 있지는 못한 상태이며 사용자에게 이 링크를 클릭하지 않도록 주의하라는 정도입니다.

    한편 트위터에서는 4월 초에도 서비스에 웜이 감염된적이 있습니다. 이번 주에는 "twittercut" 웜이 출현하여 사용자가 이 링크를 클릭하는 순간에 계정 정보가 누출됩니다.
    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus

      댓글을 달아 주세요

      1. Favicon of http://arrestlove.tistory.com/ BlogIcon 물여우 2009.06.01 00:52  댓글주소  수정/삭제  댓글쓰기

        트위터 자체에 있는 취약점을 이용하는 것인가요? 웹사이트에나 메신져를 통항 감염과는 좀 다른 것 같군요. 백만단위의 follow를 가진 분들도 있다고 하던데 이런 분들의 계정 정보가 유출된다면 파급력이 상당할 것 같습니다.

      최근 SNS로 인기를 얻고 있는 트위터(Twitter)가 크래커의 공격을 받고 있는데, 이 시점에 트위터 웹사이트의 관리자 계정이 침해되어 특정 사용자의 계정을 미리보기할 수 있는 것이 알려졌으며 최소한 10개의 개인 계정이 노출되었다고 공식적으로 확인되었습니다.

      Korben이라는 블로그를 운영하는 Manuel Dorne는 크래커가 트위터의 제품 관리 책임자인 Jason Goldman의 계정에 접근할 수 있는 권한을 가진 해커의 소식과 이에 관련된 스크린샷을 공개했습니다. 스크린샷에는 트위터 관리자를 포함하는 계정들의 민감한 정보인 IP 주소와 메일 주소를 보이지 않게 처리했습니다만 손쉽게 Jason Goldman의 계정을 검색할 수 있었습니다.

      13 장의 스크린샷을 통해 트위터에 관련된 계정을 보여 주었으며 특히 필요한 경우 트위터 계정을 추가할 때 새로운 구성원을 제안할 수 있돌고 하는 즉 관련된 사용자를 추가하거나 삭제할 수 있다는 점을 보여 주었습니다.

      스크린샷에는 페레스 힐튼의 가십 블로그에 차단된 사용자를 보여 주었으며 특히 미 대통령인 버락 오바마의 홈페이지에는 96 명의 트위터 유저가 차단되었습니다. 게다가 누출된 페이지에는 차단된 사용자의 목록과 사이트에 대한 설정 값을 포함하고 있습니다.

      (주: 트위터 홈페이지 관리자는 악성 댓글을 다는 등의 피해가 발생할 경우에는 방문자를 차단할 수 있습니다. 원래 차단한 내역은 관리자 이외에는 알기 어려우며 특히 차단된 사용자는 홈페이지의 컨텐트를 볼 수 없어 꽤 높은 차단 성능을 제공한다고 알려져 있었습니다.)

      트위터 대표인 Biz Stone은 이러한 보안 침해 사고에 대해 "비밀번호에 관련된 정보와 개인끼리 주고 받은 메시지는 노출되거나 변조되지 않았으며 트위터는 이 사건을 통해 보다 진지하게 보안적 측면을 검토하고 있습니다. 또한 모든 내부 시스템의 독립적인 보안 감사 시스템 구축 뿐만 아니라 사용자의 데이터를 보호하기 위해 침입 방지에 관련된 수단을 마련 중"이라고 밝혔습니다.

      트위터는  이들 사용자의 연락처는 모두 침해되었다고 언급했습니다.

      이 사건을 처음 알린 Dorne은 admin.twitter.com을 사용하여 트위터 관리자 계정에 로그온할 수 있는 웹페이지가 노출되어 있어 트위터의 보안은 아주 형편없다고 느꼈다고 합니다. 트위터의 사용자ID는 다른 사람이 공개적으로 획득할 수 있어 이를 통해 비밀번호를 손쉽게 추측할 수 있습니다.

      크래커는 먼저 트위터 관리자인 Goldman의 야후 계정을 해킹하여 트위터 계정에 접근할 수 있었다고 주장했습니다. 즉, 야휴의 계정이 바로 트위터의 관리자 계정이라는 의미로 비밀번호 찾기 질문에 응답함으로써 비밀번호를 초기화하였으며 메일 박스에 온 메일을 통해 비밀번호를 획득했다고 밝혔습니다. 크래커는 익스플로잇이나 XSS, 백도어, SQL 인젝션과 같이 최근 유행하는 공격 기법이 아닌 단순한 사회 공학적(Social engineering) 기법만으로 공격에 성공했으며 이러한 사항은 트위터의 공식 네트워킹 사이트를 통해 GOldman이 공식적으로 확인했다고 합니다.

      아래는 노출된 스크린샷의 일부입니다.



      트위터에서 Goldman의 계정이 복구된 화면입니다.

      이러한 해킹 공격과 더불어 트위터는 사이트의 웹 프로그래밍 취약점을 이용하는 다단계의 웜 공격이 있었다고 밝혔습니다. 이에 대한 소식은 따로 하나의 기사로 나눠서 올릴 예정입니다.

      http://www.tgdaily.com/content/view/42279/108/

      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus

        댓글을 달아 주세요



        Web Analytics Blogs Directory