105374

Juli wird Monat der Twitter-Bugs

16.06.2009 | 13:52 Uhr |

Ein bekannter Sicherheitsforscher hat den Juli zum Monat der Twitter-Bugs erklärt. Er will an jedem Tag des Monats eine Sicherheitslücke in Twitter und dessen Programmierschnittstelle offen legen.

Der Monat der *-Bugs hat eine gewisse Tradition. Diese begann vor drei Jahren im Juli, als der Sicherheitsforscher HD Moore zusammen mit anderen den " Monat der Browser-Bugs " ausrief. Täglich eine Sicherheitslücke, vorwiegend ActiveX-Lücken im IE, haben Moore und seine Kollegen damals veröffentlicht. Zu den Mitstreitern gehörte auch Aviv Raff, der nun den Juli 2009 zum "Month of Twitter Bugs" (MoTB) erklärt hat.

Der Tradition folgend, will Aviv Raff im Juli täglich eine XSS-, CSRF- oder andere Schwachstelle in der Twitter-API und darauf basierenden Anwendungen offen legen. Diese Programmierschnittstelle bietet Dritten die Möglichkeit Anwendungen zu realisieren, die den Zugriff auf Twitter-Dienste erlauben. Sie bietet jedoch offenbar auch reichlich Gelegenheiten für Programmierfehler, die zur Manipulation durch Unbefugte einladen.

Die von Aviv Raff gesammelten Schwachstellen in auf der Twitter-API basierenden Anwendungen sollen sich allesamt eignen, um (jeweils) einen Wurm zu programmieren, der sich in Twitter fortpflanzen kann. Daher will Raff den Programmierern der betroffenen Anwendungen zumindest 24 Stunden Zeit geben, bevor die er die jeweilige Sicherheitslücke auf seiner Website " TwitPwn " veröffentlicht.

Genug Material für 31 Tage habe er bereits, weitere Hinweise seien jedoch willkommen, schreibt Raff in seinem Blog . Gemeldete neue Bugs würden durch Nennung der Tippgeber honoriert. Das gibt dann wohl nicht nur einen Wink mit dem Zaunpfahl, sondern mit einem ganzen Lattenzaun...

Aviv Raff betont, Twitter diene als Beispiel für unsichere APIs von Web-2.0-Diensten - er hätte auch andere Dienste wählen können. Raff will mit seiner Aktion die Aufmerksamkeit der Entwickler auf die Schwächen ihrer APIs lenken, damit sie sicherere Schnittstellen bereit stellen.

Dem Monat der Browser-Bugs folgten ein Reihe weiterer Projekte dem Vorbild - zunächst ein Monat der Sicherheits-Tipps des Internet Storm Center im August 2006, dann zum Beispiel ein Monat der Kernel-Fehler (November 2006), der Apple-Bugs (Januar 2007), der PHP-Bugs (März 2007), der Myspace-Bugs (April 2007) und der ActiveX-Bugs (Mai 2007). Die Ankündigung eines Monats der Viren-Bugs war hingegen ein Aprilscherz eines Malware-Forschers bei McAfee.

0 Kommentare zu diesem Artikel
105374