El gobierno venezolano se prepara para elecciones regionales con un proxy de Twitter que se presta para ataques de phishing. ¿Que planean al montar un proxy de Twitter?
Como muchos recordaran durante las pasadas elecciones presidenciales de Venezuela parte de la población tuvo problemas para resolver dominios momentáneamente. El usuario final por lo general lo resolvia reiniciando su computadora, simultáneamente muchos sitios que eran favorecidos por opositores sufrieron ataques de DDoS.
Este año con la penetración de las redes sociales y el uso que la comunidad estudiantil de Venezuela le han dado para hacer llegar su mensaje y denuncia de injusticias; el Gobierno Venezolano prepara de nuevo una arremetida.
Repetir como loritos
Como todos saben el candidato presidencial y actual presidente de la república usa el twitter handle @chavezcandanga el cual es controlado por lo que asumo es su comité de P.R.
Este mismo grupo tiene una aplicación compatible con twitter que convierte a cada uno de quienes la usen en robotos (bots) que retuitearan lo que el publique automáticamente. Esto sin contar que cerca del 46% de los seguidores de @chavezcandanga son usuarios que solo tienen un tweet o menos, tienen un seguidor o menos cosa que para mi, los convierte en cuentas falsa y bots.
Para que no quede duda de quien esta detrás de este proxy vamos a consultar la base de datos de registro de dominios la cual la mantiene el mismo estado venezolano.
Por lo pronto queda claro que es el PSUV (Partido Socialista Unido de Venezuela) el responsable financiero, técnico y administrativo de el dominio detrás de todo esto.
La estocada que se prepara
Lo que me preocupa este momento es que la misma dirección IP que alojael subdominio http://mensajes.chavezcandanga.org.ve/ también aloja un proxy a twitter que hasta ahora no contiene código malicioso (que yo vea). Pero no quiere decir que esto vaya a cambiar días antes de las elecciones o durante.
En estos momentos pueden verlo por ustedes mismos pero en caso de que CONATEL (ente que controla esta IP) tumbe el proxy, la pagina que distribuye la aplicación para enviar enviar spam en twitter y quien sabe que mas, aquí les dejo unas capturas de pantalla.
Como ven la IP en cuestion es 190.202.80.20 y que difieren de las IPs de twitter como pueden ver:
host twitter.com | grep address
twitter.com has address 199.59.149.230
twitter.com has address 199.59.150.39
twitter.com has address 199.59.148.82
Investigando un poco mas a fondo podemos ver que de hecho la IP que aloja este proxy a twitter de hecho apunta a otro dominio:
Para los que se están preguntando la fuente de esta noticia o como me entere, al parecer un seguidor de un contacto en twitter fue el que dio
con esta "coincidencia" como pueden ver en este tweet:
Update: Diciembre 15, 2012
Aun http://190.202.80.20 apunta a un proxy de Twitter aunque sigue sin código malicioso deben estar pendientes para las elecciones
regionales en Venezuela a celebrarse el Domingo 16. Recomiendo que sigan
atentos a los certificados SSL y eviten usar sus credenciales si
"misteriosamente" Twitter.com se las pide y la URL no tiene el prefijo
HTTPS.