Ars Technica - Twitter bo dobil izboljšane varnostne ukrepe za prijavo, ki naj bi zmanjšali možnost zlorab, so sporočili po petkovem razkritju napada. Da bi karseda zmanjšali škodo, ki jo lahko napadalci v podobnih situacijah povzročijo, bo prijava v Twitter odslej tudi dvostopenjska. Podoben sistem že imajo Gmail, Dropbox, Microsoft ...

Kmalu po odkritju vdora so se pojavila odprta delovna mesta pri Twitterju, kjer iščejo inženirje za razvoj in implementacijo dodatnih varnostnih ukrepov. Za prijavo prek aplikacij v mobilnih napravah ali drugih spletnih straneh Twitter ta hip uporablja OAuth, medtem ko se neposredna prijava vrši prek SSL. Ti ukrepi preprečujejo napade z neposrednim prestrezanjem, niso pa uporabni proti MITM-napadom.

Zato bo sedaj Twitter dobil dvostopenjsko preverjanje...

CNet - Čeprav so vedno glasnejše zahteve po vsaj dvofazni prijavi v Twitterjeve račune za tiste, ki imajo veliko bralcev, jih Twitter za zdaj še ni uslišal. Po drugi strani pa se napadi na Twitterjeve račune priljubljenih časnikov vrstijo. Pred obletnico napadov 11. septembra so kompromitirali račun @NBCNews in javnost prestrašili z navedbami, da je Ground Zero spet napaden. Naslednji v vrsti je račun @USAToday, ki je bil kompromitiran včeraj.

Odgovornost za napad je prevzela ista skupina, ki je napadal tudi NBC, a se še vedno podpisuje kot Script Kiddies (čeprav njihovega računa na Twitterju že od NBC-ja ni več). To pot niso razširili nobene novinarske race, ampak so pobahali z...

CNet - Na predvečer 10. obletnice terorističnih napadov 11. setembra 2001 je hekerska skupina The Script Kiddies (@s_kiddies) uspela pritibiti dostop do twitter računa ameriške televizijske mreže NBC (@NBCNews) in objaviti par lažnih tvitov o domnevnem napadu na Ground Zero, lokacijo nekdanjih WTC stolpnic. Twiti (glej sliko) so bili napisani humorističnem stilu in opremljeni z ikonico trola, kar je dalo vsem jasno opozorilo, da novice po vsej verjetnosti niso pristne.

NBC se je hitro odzval in od Twitterja zaprosil za blokado računa, čemur je bilo tudi ugodeno (isto z računom @s_kiddies). Njihova direktorica za digitalne medije, Vivian Schiller, pa je na svojem profilu potrdila napad...

BBC - Amnesty International je sporočila, da je na Kitajskem 27. oktobra izginila Džjanping Čeng in šele ta teden so odkrili, kaj se ji je zgodilo. Čengova je bila aretirana in brez sodnega procesa obsojena na leto dni prevzgoje s prisilnim delom v kampu Šibali v mestu Džengdžov zaradi protijaponske objave na Twitterju. Uradno je kriva motenja družbenega reda, ker je na Twitterju povzela sarkastično objavo svojega zaročenca, da bi morali Japonski paviljon na šanghajskem Expoju napasti.

Njen zaročenec Čunhuj Hua je v svoji objavi na Twitterju v kitajščini zapisal Protijaponske demonstracije, razbijanje japonskih izdelkov; vse to so počeli že pred leti pod Čvanom Gvojem (aktivist in izvedenec za posilstvo...

Slashdot - V okrožju Montgomery v ameriškem Teksasu so se problema vožnje pod vplivom alkohola lotili na moderen način. Med božičem in novim letom, ko je število teh prekrškov tradicionalno največje, bodo imena vseh kršiteljev objavili na Twitterju. Warren Diepraam, idejni oče projekta, pravi, da ne gre za čudežno zdravilo, bo pa mogoče odvrnilo kakšnega pivca od vožnje. Isto metodo bodo uporabili tudi ob drugi rizičnih terminih, denimo na dan neodvisnosti in spominski dan. Podatki o vinjenih voznikih so v ZDA že sedaj javni, tako da ni redko, da lokalni časniki objavijo sezname vinjenih voznikov, nad čemer se mnogi mrščijo. Sedaj se sprašujejo, ali ne gre vse skupaj predaleč, saj so obtoženi še vedno nedolžni, dokler se jim krivda ne dokaže na sodišču.

Slashdot - Kot poročajo na Slashdotu, je center za kiberkriminal na ameriški carinski upravi kupil 20 PlayStation 3 igralnih konzol, načrtujejo pa še nakup dodatnih 40.

Vendar pa igralnih konzol ne bodo uporabljali za igranje iger, pač pa za razbijanje gesel na zaseženih računalnikih. PS3, ki stane 300 USD, namreč lahko preizkusi 4 milijone gesel na sekundo in je precej bolj učinkovita od namenskih Tableau/Dell strežnikov, ki so tudi dražji.

Za preverjanje gesel z grobo silo je seveda potrebna precej velika računska moč (za 6-mestno geslo je 281474976710656 kombinacij), vendar pa je gesla mogoče razbijati tudi z bolj učinkovitim napadom s slovarjem oz. z nekaj poznavanja načinov kako ljudje izbiramo gesla. Zato vsekakor ni odveč kakšen nasvet glede izbire kvalitetnega gesla.

Seveda pa gesla ne potrebujete, če nimate česa skrivati...

engadget - Iz starih vohunskih filmov se gotovo spomnite scen, ko so prišleku odprli vrata samo, če je pravilno potrkal. Da je trkanje mogoče uporabiti kot avtentikacijski mehanizem pa se je spomnil tudi Steve Hoefer.

Z nekaj elektronike, plastike in elektromotorčkom je sestavil napravo, ki odklepa vrata glede na pravilen ritem trkanja. Skrivno sekvenco trkanja je seveda mogoče tudi spremeniti.



Visoke varnosti naprava sicer ne nudi, morda pa bo uporabna za zaščito kakšne shrambe pred mlajšimi sladkosnedneži.

The Wall Street Journal - Twitter je končal s pomembnim krogom pridobivanja investitorjev, je dejal njegov izvršni direktor Evan Williams. Od podjetij, kot so T. Rowe Price, Institutional Venture Partners, Spark Capital, Benchmark Capital in Morgan Stanley so prejeli 100 milijonov dolarjev, za kar so jim pripisali desetodstotni lastniški delež v Twitterju. Z malo matematike vidimo, da celotno podjetje cenijo na milijardo dolarjev. Twitter je imel še pred enim letom štiri milijone obiskovalcev mesečno, letos pa jih ima 55. Spomnimo, da je letos Twitter že zbiral kapital in zbral 20 milijonov dolarjev pri vrednotenju podjetja na četrt milijarde dolarjev. Od kod torej Twitterju tolikšna rast? Bojda so uporabili enako metodo kot pri Facebooku, ki naj bi bil s 300 milijoni uporabnikov vreden 6,5 milijard dolarjev. Kako nameravajo investitorji iz Twitterja izvleči to milijardo, je drugo vprašanje. Bo spet pokalo?

PC Pro - Dell je priznal, da je z oglaševanjem svojih izdelkov na Twitterju zaslužil več kot tri milijone dolarjev, kar je izvrsten primer uporabnosti novih tehnologij. Na Twitterju oglašujejo že dve leti, a so več kot milijon zaslužili samo v zadnjih šestih mesecih, ko je Twitterjeva popularnost eksplodirala. Večino zaslužka je zbral @DellOutlet, kjer Dell tedensko objavi šest do deset posebnih ponudb, med njimi kar nekaj eksluzivnih. V primerjavi z 12 milijardami dolarjev prihodkov v prvem četrtletju so twitterski prihodki res videti zanemarljivi, a so dober indikator, da Twitter počasi, a zanesljivo spreminja tudi nakupovalne navade, in da se ga morajo podjetja karseda hitro priučiti. Klik!

bit-tech.net - Twitter, 'Facebook brez slik', je s svojim konceptom mikro-bloganja povzročil pravi bum in ustvaril nov tip socialnih omrežij. Zaradi velikega uspeha 'na kratko opiši vse, kar počneš v eni vrstici' stila bloganja (število znakov v enem tweetu je omejeno na 140) se je servis močno razširil, dvignila pa se mu je seveda tudi vrednost. Pri Twitterju jo sami ocenjujejo na okrog 250 milijonov dolarjev, vseeno pa naj bi bila Googlova ponudba znatno višja od te vrednosti, izplačana pa naj bi bila deloma v denarju, deloma pa v delnicah, če bo do prevzema sploh prišlo, saj so zaenkrat še v zgodnjihh fazah pogajanj.

Googlova poteza je deloma presenetljiva, deloma pa logična. Ravno pred kratkim so namreč zaprli lastno, močno podobno storitev, Jaiku, njegovo kodo pa odprli. Poraja se vprašanje, zakaj se tako hitro vračajo na ta trg. Odgovor je preprost, število ogledov. Twitter si mesečno ogleda vedno več in več ljudi, kar seveda pomeni več oči oz. več ogledov Googlovih oglasov.

Twitterjev...

Schneier.com - Da lahko ugotovimo kaj uporabnik tipka na svoj računalnik na določeno razdaljo preko elektromagnetnega valovanja dandanes ni več pretresljiva novica - po novem pa lahko varnostni raziskovalci izvedejo podoben trik na enkrat večje razdalje z laserjem.

Varnostna raziskovalca Andrea Barisani in Daniele Bianco sta z opremo, vredno le 80 dolarjev, uspela izdelati ročno lasersko enoto, ki z fotodiodo meri vibracije na prenosniku, nakar s programsko opremo za analizo frekvenčnih spektrogramov za posamezne tipke in s pomočjo slovarja za predvidevanje besed iz slovarja poskuša uganiti besede. Za primerjavo podobnosti signalov sta uporabila tehniko, imenovano dynamic time warping,...

Wired Blog - Kot poročajo na Wiredu in Coding Horror, je 18-letni napadalec, znan pod vzdevkom GMZ, pred kratkim vdrl v številne račune Twitter, med drugim tudi v račun Baracka Obame in Fox News.

Pri vsem skupaj pa je najbolj zanimiv način, na katerega je napadalec uspel izpeljati vdor.

Napadalec je namreč uporabil napad s slovarjem. Gre za ugibanje gesel s pomočjo slovarja (preverjanje vseh besed v slovarju), kar je bilo mogoče uporabiti zato, ker Twitter ni onemogočal večkratnih poskusov prijave.

Kot so izračunali na Coding Horror, bi preverjanje vseh angleških besed (vsako sekundo eno) trajalo slaba dva dni. Proti takšnim napadom se je seveda mogoče povsem enostavno zavarovati tako, da strežnik za vsakim neuspešnim poskusom prijave počaka dlje časa in šele nato dovoli nov poskus. Kar preseneča je, da očitno pri Twitterju tega ne vedo ali pa so to pravilo preprosto zanemarili.

Smola, še posebej, če uporabljate isto geslo za različne storitve ...

dheera.net - Včasih je na spletu objavljeno slikovno gradivo, ki ga avtorji delno zabrišejo z uporabo blur efekta. S tem naj bi bila vsebina zakritega dela slike neprepoznavna in zavarovana. Pa je res tako?

Kot ugotavljajo na dheera.net, temu ni tako. Na zabrisanih slikah je namreč mogoče uporabiti modificirani napd s slovarjem (dictionary attack) in zabrisane podatke rekonstruirati.

Ideja je v bistvu povsem preprosta. Najprej je potrebno generirati vse možne različice manjkajočega dela slike, jih zabrisati, nato pa primerjati z originalom, ujemanje pa pokaže na možno rešitev. Podobno kot poteka napad s slovarjem na kontrolne vsote gesel.

Zanimivo.