Avseende angreppet mot Twitter har blandade kompletterande uppgifter samlats. En komplettering efter denna med ytterligare några uppgifter finns i DOS-angreppet mot Twitter: Mer om motiv och säkerhetshål.
Vad var det för typ av DOS-angrepp?
USA Today uppger att även Facebook och Livejournal varit påverkade. Men inte lika mycket jämfört med Twitter. De uppger även att angreppet skett med botnets:
"Thousands of infected home and workplace PCs, called bots, were instructed to flood the websites with nuisance requests, thus cutting off access to anyone else."
Om det stämmer är det kanske goda nyheter? Botnets är ett idag välkänt problem. Det hade varit mycket mer oroande om det varit ett angrepp som utnyttjat någon mindre känd ev. svagheten i arkitekturen för Web 2.0.
Uppgifter InternetNews.com fått från Facebook indikerar också detta:
"Earlier this morning, Facebook encountered network issues related to an apparent distributed denial of service attack, that resulted in degraded service for some users."
Men Wired har fått en helt annan uppgift av Bill Woodcock:
"According to Bill Woodcock of Packet Clearing House (a nonprofit organization tracking Internet traffic), the attack wasn’t a traditional DDoS attack using automated bots, but one conducted through a wave of spam email messages that hit Twitter, LiveJournal, and other websites. On top of that, it looks like YouTube was targeted."
Det förvånande mig något då jag uppfattat att det är infrastruktur med större resistens. Sedan slog det mig att det nog handlar om funktioner för mikrobloggning via e-post. E-post har ju ingen egentlig autentisering och avsändare kan enkelt förfalskas. Kanske har det gjort det möjligt att gå runt säkerhetsfunktioner för filtrering.
Facebook och Liverjournal verkar ha påverkats mycket mindre än Twitter. Kanske var påverkan på dem p.g.a. av propagering av feeds mellan sajterna. Att folk importerar sina egna Twitter-strömmar på sina profiler på dessa sajter. Påverkan kan då tänkas påverkas av antalet användare hos dessa som även använder Twitter liksom hur de egentligen gör för att importera strömmar. Har Bill Woodcock rätt om orsakerna ska det åtminstone inte uteslutas.
Uppgifter hos ThreatChaos pekar på att DNS kanske också angreps. ThreatChaos citerar uppgifter från DYNECT.NET:
Beginning at approximately 1630 UTC, the DynDNS.com WebHop servers experienced a very high traffic spike in our Newark Data Center. The high traffic resulted in an interruption in service for our DynDNS.com website, NIC update, and WebHop.
Det ska väl komma klarare uppgifter om vad det var de närmaste dagarna.
Påverkades Google?
Blog.twitter.com är driftsatt hos Google Blogger. Även status.twitter.com tror jag är driftsatt annorlunda. Ingen av dessa har så vitt jag vet haft något allvarligt problem. Att ha bloggar för företagsinformation driftsatt annorlunda ger redundans och är rekommenderat.
Följande uppgift i PC World pekar dock på att även Blogger kanske påverkades:
"However, a source with knowledge of the situation said that the company is working with Google and Twitter to investigate the matter further. The source said there were reports Google's Blogspot site also had been hit with a DoS attack, although Google did not immediately respond to an inquiry about whether this was indeed the case."
Även det kanske kan tänkas vara indirekt påverkan via import av tweets. Dock kan jag egentligen för lite om arkitekturen och last kring sådant för att kunna bedöma hur troligt det är oavsett om det handlar om Blogger, Facebook eller Livejournal.
Att Google även tittar på angreppet har jag sett en till uppgift om där en medarbetare hos Google citerades. Twitter uppges dessutom sista tiden (redan före angreppet) ha börjat använda Google Safe Browsing API för att minska problemet med spridningen av malware.
Statistik
Pingdom indikerar att Twitter var nere cirka två timmar och 53 minuter.
Twitters statussida anger att sajten i början kan vara lite slö trots att angreppet hanterats:
"As we recover, users will experience some longer load times and slowness. This includes timeouts to API clients. We’re working to get back to 100% as quickly as we can."
Orsaken behöver inte vara annat än att folk gör mer tweets samtidigt som systemprocesser behöver arbeta i fatt.
Orsaker till angreppet
Diverse aktörer har spekulerat om orsaken och här har vi några teorier. Från Twitter finns dock ännu ingen teori:
"Over the last few hours, Twitter has been working closely with other companies and services affected by what appears to be a single, massively coordinated attack. As to the motivation behind this event, we prefer not to speculate."
USA Today tror att det kanske är någon som vill visa hur kraftfullt ett botnet kan vara:
"By shutting down Twitter, the attacker may have been trying to show how powerful bot networks can be in the hands of criminals [...]."
Thompson, "senior researcher" vid antivirusföretaget AV.
Hacker attack takes down Twitter, Facebook, LiveJournal
Fler idéer ges av Randy Abrams anställd hos ESET:
"Perhaps the bad guys are upset that Twitter has recently started filtering URLs in order to cut back on the amount of malware the user’s experience.
[...]
If it isn’t an organized criminal group that is attacking Twitter I would expect the attacker will draw the ire of criminal groups that abuse Twitter for illegal gains.
Update: It occurs to me that this could be how a major botnet operator markets a botnet."
Joris Evers på Mcafees blogg ger också (förutom att försöka sälja säkerhetsprodukter) har också några idéer om motivet:
"In this case it could simply be for the notoriety of taking down a high profile Web site like Twitter.com or Facebook, but it may also be for more nefarious reasons such as political motivations or to extort money. Hacktivism and extortion schemes are common online, the equivalent of disruptive protests in the streets and ‘protection money’ in the brick and mortar world."
Graham Cluley ger Sophos blogg flera möjliga förklaringar:
"The question on my mind is - why would someone want to attack Twitter? I can't imagine it's a commercial competitor of theirs, but it could be someone with a political or financial motivation (blackmail?), or a teenager in a back bedroom with access to an awfully large botnet."
Ben Parr skriver på Mashable.com:
"There are also indications that the attack may be related to an ongoing conflict between Georgia and Russia."
Och länkar till Georgia Takes a Beating in the Cyberwar With Russia på en blogg hos New York Times.
Denna uppgift ges tydligare hos CNET InSecurity Complex:
"A Russian activist blogger with accounts on Twitter, Facebook, LiveJournal and Google's Blogger and YouTube was targeted in a denial of service attack that led to the site-wide outage at Twitter and problems at the other sites on Thursday, according to a Facebook executive."
Vad jag tror är orsaken
Twitter handlar om kommunikation och det används för detta av ett enormt stort antal personer. Bland dessa finns mängder av privatpersoner, företag, organisationer, grupper, subkulturer m.fl. entiteter. När antalet entiteter blir så pass stort kommer det regelbundet dyka upp situationer där någon vill hindra kommunikation mellan personer på Twitter för att gynna något annat.
Jag tror att det var detta som inträffade igår. Därför tycker jag att San Francisco Chronicle tänker rätt:
"It's also why making sure Twitter consistently works and is impervious to future attacks is a national security issue. Remember how The U.S. State Department contacted Twitter to convince them to change their maintenance schedule as it happened during the Iran protest? Do you have any idea how many people have been saved, helped, or advanced by the existence and operation of Twitter?"
Fler säkerhetsfrågor runt sociala nätverk
Flera potentiella säkerhetsproblem associerade till sociala nätverk har diskuterats på SEOTaktik och går att nå via inlägget:
Kommentera