(3ª actualización) Twitter is Down - Crónica de un ataque

Edit el 7/8/09

Ataque a Twitter A estas horas ya es agua pasada, pero el pajarito azul sufrió uno de los peores ataques de su (relativamente) corta historia hace sólo unas horas.

Muchos ya lo saben, otros vivimos el ataque segundo a segundo, pero muchos ni si quiera se enteraron de que Twitter sufrió un ataque DoS (Denegación de Servicio) que colapsó el sistema durante casi dos horas...
Eran las 16:30 h. aproximadamente (horario de España) cuando recibí en mi teléfono móvil un extraño SMS de tres palabras enviado por mi amigo @banakabanaka:
-"Twitter is Down"-

Al que yo, sin darle mayor importancia, respondí:
-"Arponea la ballena, arponéala!!... o dispara a los pajaritos, al gusto..."-

Su contestación fue la siguiente, y despertó en mi la curiosidad:
-"Ja!! No hay ballena, Twitter is Down pero Down del Down de verdad!! No sale ni en los blogs ni nada. Compruébalo...

Como me encontraba en casa viendo una peli (hoy no tocaba trabajar) corrí a encender el equipo para comprobarlo por mí mismo. -"Será un problema de capacidad, simplemente, como otras veces..."- pensaba para mis adentros mientras esperaba a que mi PC se encendiese. -"Habrán cambiado las claves después del último ataque, digo yo..."- rumiaba mientras se cargaba el Firefox (que por cierto, me tarda una barbaridad en cargar...).
Me preocupaba sobre todo este blog, ya que si Twitter no "tira", la mayoría de los script que tenemos instalados retrasarían su carga e incluso algunos iban a impedir la carga del mismo. Efectivamente, mi blog no cargaba, bueno, sí que lo hacía, pero un tiempo de carga de 5 minutos es como si el blog no cargase en absoluto. Por supuesto, ninguno de los scripts que se "alimentan" de Twitter funcionaba correctamente, mostrando un espacio vacío en su lugar.
Clico en mi marcador de Twitter para conectarme a mi cuenta, pero el error se repite una y otra vez:



Me dirijo entonces al Twitter Status en busca de alguna respuesta a la caída:



El mensaje es tan difuso como preocupante, es decir, algo pasa, pero no sabemos qué...
Busco en Google y sólo encuentro entradas antiguas sobre anteriores ataques. Intento utilizar distintas aplicaciones para Twittear pero todas parecen inútiles.
Poco a poco, parece que Twitter reacciona y publica lo siguiente en el Status:



Así que se trataba de eso, un ataque DoS, es decir, un ataque de Denegación de Servicio (en inglés Denial of Service) consistente en un sistema por el que los hackers envían peticiones incompletas a los servidores de una determinada empresa, en este caso Twitter. Cuando el servidor de la compañía recibe la petición espera una confirmación para empezar a enviar los datos, confirmación que nunca llega. Si este ataque se hace organizadamente, las máquinas se van llenando de procesos que nunca se completan, lo que provoca el colapso del sistema.

Bien, eso en parte es un alivio, quiero decir, si el ataque ha consistido en un colapso de Twitter mediante miles de peticiones incompletas significa que no se trata de una intrusión en el sistema, por lo que nuestras contraseñas estarían seguras(yo, por si las moscas, ya he cambiado la mía...).

Pasa el tiempo y Twitter sigue sin dar señales de vida. Desde el Status y el Blog de Twitter se confirma el ataque DoS y se comunica que se está trabajando en el restablecimiento del sistema. Sobre las 18:45 h. parece que el servicio de Twitter se restablece poco a poco y consigo volver a entrar a la página de inicio. Otra cosa sería conseguir "loguearme" para ver mi perfil de Twitter.
El servicio, a pesar de estar restablecido iba (y aún va) a "medio gas", con lo que me costó bastante poder acceder y enviar un tweet. Ese fue prácticamente el único que pude enviar vía web, ya que el sistema se negaba a actualizar mi perfil y se bloqueaba al cambiar de página.

Desde ese momento hasta ahora, y a pesar de que no soy muy amigo de este tipo de aplicaciones (claaaaro, por eso no he posteado ninguna, pero todo llegará), todos los tweets y DMs que he enviado han sido emitidos desde TwitterFox, ya que por algún motivo, las aplicaciones de escritorio funcionan actualmente (y por el ataque) mejor que la propia web de Twitter.

Mientras, en la red la noticia se extiende, ya aparece en los resultados de Google y los principales medios de comunicación comienzan a hacerse eco de la noticia. En Televisión y medios escritos se da la noticia, y se comunica que es posible que facebbok también se haya visto afectado por el ataque.
En el Blog de Twitter se confirma de nuevo el ataque y se hace hincapié en que la seguridad de los datos de los usuarios no se ha visto comprometida en ningún momento, y se informa de que se está trabajando estrechamente con otros servicios similares que han sido afectados en este ataque coordinado. Según mis fuentes, esos "otros servicios" son Facebook y LiveJournal.

Sigo atento al Twitter Status que en el momento de escribir estas líneas presenta el siguiente estado:



Lo que viene a significar que aunque el servicio esté funcionando, aún no lo hace al 100%, y que algunos usuarios tendrán dificultades para actualizar su estado vía web o Api, que estamos trabajando en ello...

En las últimas horas parece ser, tal y como informa @spamloco en esta entrada de su blog, el ataque es debido al ya conocido gusano Koobface que ya atacó a Facebook en otra ocasión.
Este gusano funciona de la siguiente manera:
Una vez infectado un sistema genera una serie de mensajes automáticos con un enlace de forma masiva. Todos los tweets contenían un mismo texto (My home video), un enlace de bit.ly (se generaron gran cantidad de direcciones URL distintas) y un texto variable (LOL, W.O.W, HA-HA, y otros). Todos los enlaces apuntaban a un mismo sitio (http://uppi[ELIMINADO].se/pub1icm0vies/?1369576621) que ya fue dado de baja. El mismo contenía un falso video de YouTube que descargaba el archivo ejecutable del gusano. En cualquier caso es posible que las acciones realizadas por el gusano pueden haber causado la baja del servicio de Twitter.

Las causas del atque siguen siendo aún algo difusas... por mi parte opino que es bastante casualidad que se produzca poco tiempo después de la última "limpieza de Spam" de Twitter y justo unos días después de que Twittercomenzara a bloquear URLs maliciosas

************************************************************
Actualizado(1):
Parece que muchas de las herramientas que solemos utilizar junto a Twitter, como TwitterFeed, Twitter Gadget, Tweet This Text y demás similares, también están presentando problemas para conectar a Twitter, por lo que aún no podrán ser utilizadas normalmente.
Paciencia entonces...
Actualizado(2):
A estas horas, sobre las 04:45 hora española, el servicio TwitterFeedya vuelve a funcionar, no hay más que ver el perfil de @Blogscon (el Twitter de Blogs con EÑE, del que soy co-administrador), que parece que se ha vuelto loco...
Probablemente eso sea así con la mayoría de las aplicaciones, que irán "conectándose" poco a poco a medida que pasen las horas. Así que debemos estar preparados y no tener en cuenta algunos tweets "atrasados" que puede que se emitan ahora...
Por otro lado, sigo teniendo problemas para acceder y utilizar el servicio vía web. Incluso algunos usuarios no pueden "followear" a nuevos usuarios.
Ya queda menos para la normalidad... espero.

Actualizado(3):
Son las 17:36 hora española y según los últimos datos, el ataque a Twitter, FaceBook y demás plataformas pudo estar motivado por la intención de callar a un único usuario... Increíble, verdad? Según se publica en algunos medios como Telecinco.com, Soitu.es o CNNexpansión, el ataque pretendía silenciar al usuario georgiano @Cyxymu.
Según Max Kelly, oficial en jefe de la seguridad de Facebook, -"un bloguero que tiene cuentas en Twitter, Facebook, Live Journal y Blogger de Google fue el objetivo atacado por los hackers"-, en declaraciones para el portal de noticias sobre tecnología CNET News.
Realmente parece de película armar tanto barullo por un único usuario, y mientras no lo comunique el Twitter Status, no podremos estar seguros del todo (también seguiremos atentos el Blog de Twitter). Pero debemos recordar que se cumple un año desde que estalló el conflicto en Osetia del Sur (Georgia) y @Cyxymu ha sido muy crítico con Rusia y Georgia. Para leer un estupédo artículo sobre el ataque en relación con este usuario y el conflicto de Georgia, te recomiendo visitar Esta entrada de Soitu.es.
Por cierto, a estas horas aún no se ha restablecido el 100% de la normalidad en Twitter sigo teniendo problemas para utilizar el servicio vía web (puedo acceder pero no puedo Twittear ni mandar DM), y parece que las aplicaciones externas siguen fallando... lo de TwitterFeed? habrá sido un espejismo...;)
Paciencia...(un poco más)
Seguiremos al acecho...
************************************************************

Fuentes: SpamLoco.net, No la cagues huevón, Tve.es, WWwhatsnew.com, El Pais.com, Público.es, ESET latinoamérica
Gracias por los enlaces a: @lavozdeunagata, @cvargasc, @InmaMalaga, @Pateador


En fin, parece que poco a poco se vuelve a la normalidad. Lo que queda claro es que aún le queda bastante por hacer a los "chicos del staff", aunque no sé si contra un ataque de este tipo se podrá hacer algo...

Suscribirte por RSS: Rss