Posted on Sep 21, 2010

‘Twitter got hacked’ explicado para dummies

rainbow 300x209 Twitter got hacked explicado para dummies

La inyección de código en Twitter

A la hora de escribir esto, “Twitter got hacked” es trending topic y algunos me han preguntado qué pasa exactamente en Twitter. Vamos a explicarlo a grandes rasgos.

A media mañana, ha aparecido @RainbowTwtr, un usuario capaz de convertir su timeline en franjas de colores mediante inyecciones de código CSS (el código que utilizamos los desarrolladores para definir el aspecto gráfico de una web). Algunos hemos estado probando estos códigos, jugando a poner cosas de colores en el timeline, incluso los amigos de CSS Barcelona han conseguido poneer una imagencita muy graciosa de Chuck Norris (era complicado hacerlo sólo en los 140 caracteres de Twitter).

Hasta aquí la parte amable de esta incidencia que, pese a oler a chamusquina, al principio parecía divertida.

Lo malo ha sido cuando esas inyecciones inocuas de código CSS (sólo afecta al diseño de la web) se han convertido en inyecciones de JavaScript (el lenguaje que utilizamos los desarrolladores web para definir procesos en el ordenador de los navegantes). Esto permitía que cualquier acción del usuario, por pequeña que fuera, disparara un proceso en JavaScript capaz de lanzar un retwitt: un twitt podía retwittearse a sí mismo a través de los timelines de miles de usuarios.

140 caracteres parece poco para un procedimiento, pero teniendo en cuenta que Twitter utiliza JQuery el código se convertía en algo sencillísimo. Un usario llamado @Matsa, cuya cuenta ya ha sido suspendida, lo ha hecho utilizando este código:

http://t.co/@”onmouseover=”document.getElementById(‘status’).value=’RT Matsta’;$(‘.status-update-form’).submit();”class=”modal-overlay”/

Teniendo en cuenta que Twitter se caracteriza por la inmediatez con la que se transmite la información de unos usuarios a otros y que este tipo de twitts no requerían una acción voluntaria del usuario, la rapidez con la que se podía transferir era tremenda. Si a eso añadimos que mediante inyecciones de código javascript podemos llamar a procedimientos alojados en otras páginas web, la posibilidad de ejecutar código malicioso en las máquinas de los usuarios de Twitter ha sido tremenda.

La vulnerabilidad parece que no ha llegado a ser explotada de una forma peligrosa (al menos yo no tengo aún noticia de ello). A estas horas la falla ya ha sido corregida.

Posted on Sep 1, 2010

Mac OSX: No funciona la eñe, ni la arroba, ni esos caracteres “raros”

Dejo esto anotado porque es la segunda vez que me pasa en un mes. En ambos casos, un MacBook Pro de 13″ recién salido de tienda viene mal configurado y la distribución de teclado no es la que debería ser (somos incapces de teclear acentos, eñes, arrobas…).

La solución es ir a nuestro menús de Ajustes -> Idioma y texto. Veremos que el idioma seleccionado es ‘Español’. Vamos a la pestaña de fuentes de entrada y veremos seleccionado también Español. Aquí debemos desmarcarlo y marcar Español (ISO), y todo solucionado (no es necesario reiniciar).