Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Persoonlijke map in Ubuntu wordt standaard onleesbaar voor nieuwe accounts

Reageer met quote
14-01-2021, 15:40 door Anoniem, 19 reacties
Ik lees nu bij Tweakers dat Ubuntu tot 21.04 de standaard home directly world-readable maakte. |Wat even een eye opener is, aangezien dit best een groot security issue kan zijn.

Hoe zien we dit privacy en security issue tov standaard Windows security configuraties?
Immers Linux was bij default altijd veilig, en bij Windows moet je van alles finetunen hoor ik hier altijd.


https://tweakers.net/nieuws/176794/persoonlijke-map-in-ubuntu-wordt-standaard-onleesbaar-voor-nieuwe-accounts.html
Https niet prive
Alle leveranciers lekken hun database?
Reacties (19)
Reageer met quote
14-01-2021, 17:17 door Anoniem
Een world-readable directory maakt iets niet meteen een privacy issue. Wel goed dat het is aangepast m.i..
Reageer met quote
14-01-2021, 18:46 door Anoniem
Het readable hebben van de home-directory kan nodig zijn voor SSH en authorised servers, zoals te vinden is in ~/.ssh/
Reageer met quote
14-01-2021, 18:52 door Anoniem
Door Anoniem: Ik lees nu bij Tweakers dat Ubuntu tot 21.04 de standaard home directly world-readable maakte. |Wat even een eye opener is, aangezien dit best een groot security issue kan zijn.

Hoe zien we dit privacy en security issue tov standaard Windows security configuraties?
Immers Linux was bij default altijd veilig, en bij Windows moet je van alles finetunen hoor ik hier altijd.
Je moet "Ubuntu" niet verwarren met "Linux" en zeker niet met veilige versies zoals je die op servers zou willen gebruiken.
Het is meer opgezet als de hobby-versie met de nadruk op gemak en eenvoudigheid.
(daarom zijn ze ook afgesplitst van Debian)
Reageer met quote
14-01-2021, 18:54 door Anoniem
Bij Windows zie ik een soort gelijk probleem.
In principe als standaard gebruiker kan je niet in iemand anders zijn profiel, waar bijvoorbeeld documenten zijn opgeslagen.

Echter elke "local administrator" die op een Windows systeem is ingelogd, kan met zijn beheer rechten een user profiel folder openen... (mogelijk even de rechten overnemen/aanpassen, maar daarna lukt het).

Maakte mij hier ook wel eens zorgen om, omdat tegenwoordig veel gebruikers data opslaan in OneDrive (for Business) en deze data vaak lokaal synct naar de cache, welke weer in de user profiel wordt opgeslagen...
Lijkt mij dat deze door een "local administrator" dus ook benaderbaar wordt wanneer in de cache is opgeslagen in het profiel.
Tegenwoordig kan je wel een soort "persoonlijke kluis" gebruiken in OneDrive, dan wordt het versleuteld opgeslagen in je profiel, maar goed dat gebruikt niet iedereen.

Dus beheerders kunnen bij lokaal opgeslagen profiel data...
Als het alleen beheerders waren, wat naar mijn idee al vervelend kan zijn...
Maar sommige bedrijven heeft een normale eindgebruiker zelfs al "Local Administrator" rechten... dus kunnen die ook bij alle profielen die lokaal zijn opgeslagen...
Reageer met quote
14-01-2021, 19:14 door Anoniem
Door Anoniem: Een world-readable directory maakt iets niet meteen een privacy issue. Wel goed dat het is aangepast m.i..
Tot dat meerdere users het systeem gebruiken en iedereen elkaars home folder kan uitlezen.
Reageer met quote
14-01-2021, 20:46 door MathFox
Door Anoniem:
Door Anoniem: Een world-readable directory maakt iets niet meteen een privacy issue. Wel goed dat het is aangepast m.i..
Tot dat meerdere users het systeem gebruiken en iedereen elkaars home folder kan uitlezen.
Een world-readable home directory is decennialang standaard geweest op Unix systemen. Oplossing: Maak een "prive" subdirectory aan die alleen voor jezelf leesbaar is. Weet wel dat de systeembeheerder daar gewoon bij kan, ook vanwege de backup.
Reageer met quote
14-01-2021, 21:39 door Anoniem
Door Anoniem: Het is meer opgezet als de hobby-versie met de nadruk op gemak en eenvoudigheid.
(daarom zijn ze ook afgesplitst van Debian)

Hmmm... Iets zegt mij, als doorwinterde Debian ontwikkelaar, dat Ubuntu LTS allang geen kinderspeelgoed meer is :-)

https://www.ncsc.gov.uk/collection/end-user-device-security/platform-specific-guidance
Reageer met quote
14-01-2021, 22:41 door Erik van Straten
Dit is belangrijk op multi-user systemen met doorsnee gebruikers, vooral op flex-plek PC's (als lusers daar, post-Corona, weer op inloggen). Zeker als gebruikers wachtwoorden in onversleutelde bestandjes opslaan.

Zodra insider threats met meer dan doorsnee ICT-kennis en/of malware een rol spelen, maakt dit allemaal niet zoveel meer uit. Immers, op alle bekende besturingssystemen barst het elke maand opnieuw van de privilege escalation vulnerabilities (niet zelden gecreëerd door beveiligingssoftware) - die meestal als low of medium risk worden gecategoriseerd. Met de alsmaar toenemende complexiteit van besturingssystemen (en beveiligingssoftware) zie ik het aantal LPE kwetsbaarheden per maand voorlopig niet afnemen, integendeel.
Reageer met quote
15-01-2021, 00:46 door Anoniem
Door MathFox:
Door Anoniem:
Door Anoniem: Een world-readable directory maakt iets niet meteen een privacy issue. Wel goed dat het is aangepast m.i..
Tot dat meerdere users het systeem gebruiken en iedereen elkaars home folder kan uitlezen.
Een world-readable home directory is decennialang standaard geweest op Unix systemen. Oplossing: Maak een "prive" subdirectory aan die alleen voor jezelf leesbaar is. Weet wel dat de systeembeheerder daar gewoon bij kan, ook vanwege de backup.
Onzin je kan je home gewoon zelf onleesbaar maken. Bij de meeste Linux distro's staat het ook op 700. Ubuntu vond het nodig om makkelijk tussen huisgenoten te kunnen sharen.
Reageer met quote
15-01-2021, 08:51 door Anoniem
Er is een instelling in /etc/adduser.conf die bepaalt met welke rechten nieuwe home-directory's worden aangemaakt. Zo krijgt iedereen leesrechten:

DIR_MODE=0755

Zo niet:

DIR_MODE=0750

Dit heeft effect als nieuwe home-directory's worden aangemaakt. Met deze instelling verander je niets aan de toegangsrechten op home-directory's die al bestaan.

Ik vermoed dat de wijziging niet meer is dan een andere default voor deze instelling.

Elke user kan het vanuit een terminal venster eenvoudig aanpassen voor zijn eigen home-directory. Zo zet je toegang voor de rest van de gebruikers uit:

$ chmod 750 ~

En zo zet je het aan:

$ chmod 755 ~

Het is niet alleen in Ubuntu dat de default was om home-directory's world-readable te maken. Debian doet het net zo goed.

Er is hierboven al door iemand gemeld dat het in de Unix-wereld al decennia gangbaar was. Dan heb je het over vaak academische werkomgevingen waar het niet primair om privédata gaat maar om gegevens in een in omgeving waar uitgebreid op elkaars kennis wordt voortgebouwd en waar het delen ervan dus een heel natuurlijke basisinstelling is.

Ik kan me voorstellen dat de gedachtengang bij hedendaagse Linux-systemen vaak is dat een typische thuisgebruiker er meer last van heeft als je op een gedeelde computer niet makkelijk bij elkaars data kan en dat in omgevingen waar de eisen hoger liggen wel een beheerder aanwezig is van wie je mag verwachten dat die de DIR_MODE-instelling in /etc/adduser.conf weet te vinden.

Ik geef de voorkeur aan de restrictievere variant (DIR_MODE=0750), en op mijn Debian-systemen pas ik de default ook aan. Maar ik ben me ervan bewust dat er vaak ook argumenten zijn voor dingen die tegen mijn voorkeur ingaan, en dat het niet meer dan een default is voor een instelling die je gewoon zelf kan doen. Het is niet zo dat Ubuntu, of Debian, of welke distro dan ook, je iets opdringt dat je maar te slikken hebt. Je kan er op systeemniveau iets aan veranderen en gebruikers kunnen het zelf veranderen voor hun eigen home-directory.

Hoe zien we dit privacy en security issue tov standaard Windows security configuraties?
Immers Linux was bij default altijd veilig, en bij Windows moet je van alles finetunen hoor ik hier altijd.
Dit is een van die vele voorbeelden van hoe dingen die genuanceerd liggen heel makkelijk tot een zwart/wit-beeld gereduceerd worden als mensen erover gaan bekvechten. Er zijn verschillen, ja, en die zijn terug te voeren op de ontstaansgeschiedenis van de verschillende besturingssystemen.

Je maakt altijd een fundamentele denkfout als je denkt dat besturingssysteem A inherent veilig is en besturingssysteem B inherent onveilig. Dat komt omdat veiligheid een proces is dat ook vergt dat de beheerder van een systeem niet blundert, of die nou professioneel is of de spreekwoordelijke "domme" thuisgebruiker, en of die nou een systeem beheert met Windows, Linux of iets anders. Elk besturingssysteem dat geen hermetisch dichtgetimmerde "walled garden" is, waar de leverancier je buitensluit van belangrijke delen van het systeembeheer, is een systeem dat je een hoop vrijheid geeft, maar daardoor is het meteen ook door slecht beheer en geblunder volledig kapot te maken. Dat geldt voor Windows én Linux.

Blijf dus niet hangen in wat er allemaal aan meningen gespuid wordt door liefhebbers van verschillende besturingssystemen. Die kunnen zeker relevante informatie bevatten, maar ze kunnen ook persoonlijke voorkeuren en vooroordelen bevatten. Het zijn niet per se absolute waarheden, en de waarheid is niet per se in simpele zwart/wit-termen uit te drukken.
Reageer met quote
15-01-2021, 09:30 door Anoniem
Door Anoniem: Bij Windows zie ik een soort gelijk probleem.
In principe als standaard gebruiker kan je niet in iemand anders zijn profiel, waar bijvoorbeeld documenten zijn opgeslagen.

Echter elke "local administrator" die op een Windows systeem is ingelogd, kan met zijn beheer rechten een user profiel folder openen... (mogelijk even de rechten overnemen/aanpassen, maar daarna lukt het).

Maakte mij hier ook wel eens zorgen om, omdat tegenwoordig veel gebruikers data opslaan in OneDrive (for Business) en deze data vaak lokaal synct naar de cache, welke weer in de user profiel wordt opgeslagen...
Lijkt mij dat deze door een "local administrator" dus ook benaderbaar wordt wanneer in de cache is opgeslagen in het profiel.
Tegenwoordig kan je wel een soort "persoonlijke kluis" gebruiken in OneDrive, dan wordt het versleuteld opgeslagen in je profiel, maar goed dat gebruikt niet iedereen.

Dus beheerders kunnen bij lokaal opgeslagen profiel data...
Als het alleen beheerders waren, wat naar mijn idee al vervelend kan zijn...
Maar sommige bedrijven heeft een normale eindgebruiker zelfs al "Local Administrator" rechten... dus kunnen die ook bij alle profielen die lokaal zijn opgeslagen...
Dat probleem is niet een probleem van het OS, maar een probleem van de beheersverantwoordelijken in dat bedrijf. Wanneer je gebruikers local admin maakt, "want dat werkt makkelijker", heb je een ander probleem. Daardoor kan iedereen standaard van alles installeren, inclusief via die gebruiker allerlei malware. In mijn persoonlijke omgeving staat op iedere pc een local admin account en werkt iedereen onder gewone gebruiker accounts.
Reageer met quote
15-01-2021, 09:39 door Anoniem
Door Anoniem: Een world-readable directory maakt iets niet meteen een privacy issue. Wel goed dat het is aangepast m.i..
Totdat je prive documenten opslaat in je home directory en er meerdere gebruikers op dit systeem werken.
Reageer met quote
15-01-2021, 10:04 door Anoniem
Door Anoniem: Er is een instelling in /etc/adduser.conf die bepaalt met welke rechten nieuwe home-directory's worden aangemaakt. Zo krijgt iedereen leesrechten:

DIR_MODE=0755

Zo niet:

DIR_MODE=0750

Dat klopt niet, of in ieder geval niet altijd!
Het hangt er vanaf hoe users worden aangemaakt. Traditioneel worden users lid gemaakt van de groep "users", en in
een dergelijk systeem doet het bovenstaande helemaal niets. Want iedereen is lid van de groep users en de directories
in /home hebben als groep ook users, dus kunnen users dan gewoon bij elkaar kijken.

Er zijn ook systemen waar men voor iedere user ook een eigen aparte groep aanmaakt (met dezelfde naam als de user)
en dan werkt het wel.
Echter beter is DIR_MODE=0700 dan werkt het gewoon altijd goed.
Reageer met quote
15-01-2021, 10:49 door Ron625
Door Anoniem:daarom zijn ze ook afgesplitst van Debian
Dat is verkeerde informatie.
Er wordt gebruik gemaakt van elkaars source, verbeteringen worden aan elkaar doorgegeven, Canoncal werkt dus ook mee aan Debian en omgekeerd.
De *buntu versie die voor eindgebruikers gratis te gebruiken is, heeft als doel om het te testen op zoveel mogelijk platvormen.
Canonical leeft van de ondersteuning en het leveren van maatwerk.
Reageer met quote
15-01-2021, 11:14 door Anoniem
Door Anoniem:
Door Anoniem: Er is een instelling in /etc/adduser.conf die bepaalt met welke rechten nieuwe home-directory's worden aangemaakt. Zo krijgt iedereen leesrechten:

DIR_MODE=0755

Zo niet:

DIR_MODE=0750

Dat klopt niet, of in ieder geval niet altijd!
Het hangt er vanaf hoe users worden aangemaakt. Traditioneel worden users lid gemaakt van de groep "users", en in
een dergelijk systeem doet het bovenstaande helemaal niets. Want iedereen is lid van de groep users en de directories
in /home hebben als groep ook users, dus kunnen users dan gewoon bij elkaar kijken.

Er zijn ook systemen waar men voor iedere user ook een eigen aparte groep aanmaakt (met dezelfde naam als de user)
en dan werkt het wel.
Echter beter is DIR_MODE=0700 dan werkt het gewoon altijd goed.

Ik gebruik toch al een behoorlijk aantal jaar Ubuntu en daarvan afgeleide OS'en. Er is bij altijd voor elke user een aparte groep aangemaakt. Een groep "users" heb ik nog nooit gezien. Maar goed, dat wil niet zeggen dat het ~10 jaar geleden niet zo was.

Ook interessant: adduser vs useradd om een nieuwe gebruiker aan te maken. Om de default van /etc/adduser.conf moet je wel "adduser" gebruiken en niet useradd.
Reageer met quote
15-01-2021, 12:10 door Anoniem
Door Anoniem: Er zijn ook systemen waar men voor iedere user ook een eigen aparte groep aanmaakt (met dezelfde naam als de user)
en dan werkt het wel.
Echter beter is DIR_MODE=0700 dan werkt het gewoon altijd goed.
De vraag ging over Ubuntu.

En "altijd goed" is betrekkelijk. Met 0750 op een systeem waar iedere user een eigen groep heeft kan leestoegang van specifieke users tot de home-directory's van specifieke andere users geregeld worden via groepslidmaatschappen. Met 0700 lukt dat niet.
Reageer met quote
15-01-2021, 12:36 door Anoniem
Door Anoniem:
Door Anoniem: Er zijn ook systemen waar men voor iedere user ook een eigen aparte groep aanmaakt (met dezelfde naam als de user)
en dan werkt het wel.
Echter beter is DIR_MODE=0700 dan werkt het gewoon altijd goed.
De vraag ging over Ubuntu.

En "altijd goed" is betrekkelijk. Met 0750 op een systeem waar iedere user een eigen groep heeft kan leestoegang van specifieke users tot de home-directory's van specifieke andere users geregeld worden via groepslidmaatschappen. Met 0700 lukt dat niet.

Mee eens. Sommige programma's hebben een sticky-bit op group, en zodoende kan het zo zijn dat de applicatie niet bij de user data kan komen.

Home directory is voor de gebruiker. Data deelt men niet via home directories, maar op locaties die daar voor ingericht is; meestal via een mount-point. De mount heeft dan een user/dir mask.
Reageer met quote
15-01-2021, 18:25 door walmare
Dat hele Ubuntu geneuzel komt omdat amateur gebruikers in de home directory bv ook webservers willen installeren.
Ubuntu is steeds minder een Linux desktop maar meer een server in de cloud oplossing.
Heeft ook allemaal niks met Linux te maken zoals sommigen hier denken. Linux is alleen een kernel met een bak tools om de resources aan te spreken.
Wat er zich in user space afspeelt wordt door de software er omheen bepaalt. Dat samen heet een Linux distro en is geen mono cultuur zoals Windows. Het doel bepaalt de setting.
De Redhat afgeleide distro's (fedora, centos maar ook suse) zetten je homefolder default dicht (700). Als je toch iets van je home wilt delen kan dat eenvoudig via de default gnome verkenner en je openbare map op delen zetten. Deze map is dan beschikbaar in je thuiswerk voor anderen via webdav (dav://home.local). Zelfs bij een echte Linux desktop zoals Manjaro.
Voor wat betreft permissies kan het nog steeds zijn dat SELinux (user_home_dir_t) roet in het eten gooit .
Je kan trouwens met je ssh keys niet het netwerk op als je je eigen homefolder niet hebt afgeschermd.

Ook bij selfmade Linuxbeheerders zie ik rare dingen. Dan hebben ze de homefolders afgeschermd maar worden ze vervolgens niet geencrypt via nfs gemount. Systeembeheer is een vak! dat leer je niet door alleen maar wat rond te klikken.
Reageer met quote
15-01-2021, 18:47 door Anoniem
Door walmare: Dat hele Ubuntu geneuzel komt omdat amateur gebruikers in de home directory bv ook webservers willen installeren.
Kan ook zakelijk erg interessant zijn. Bijvoorbeeld je presentatie in je home-folder onder ~/username/.public_html en deze tonen aan de klant als je op hun netwerk bent ingelogd. Geen authenticatie nodig.

Ubuntu is steeds minder een Linux desktop maar meer een server in de cloud oplossing.
Ubuntu werd groot omdat de video support redelijk goed was. Server? Nah...

Heeft ook allemaal niks met Linux te maken zoals sommigen hier denken. Linux is alleen een kernel met een bak tools om de resources aan te spreken.
Wat je hier noemt heet eigenlijk GNU/Linux

Wat er zich in user space afspeelt wordt door de software er omheen bepaalt. Dat samen heet een Linux distro en is geen mono cultuur zoals Windows. Het doel bepaalt de setting.
Nee, je kunt GNU/Linux zowel als Desktop, alsook als server tegelijk perfect laten functioneren.

De Redhat afgeleide distro's (fedora, centos maar ook suse) zetten je homefolder default dicht (700). Als je toch iets van je home wilt delen kan dat eenvoudig via de default gnome verkenner en je openbare map op delen zetten. Deze map is dan beschikbaar in je thuiswerk voor anderen via webdav (dav://home.local). Zelfs bij een echte Linux desktop zoals Manjaro.
Voor wat betreft permissies kan het nog steeds zijn dat SELinux (user_home_dir_t) roet in het eten gooit .
Je kan trouwens met je ssh keys niet het netwerk op als je je eigen homefolder niet hebt afgeschermd.
Je kunt perfect het netwerk op, maar andersom werkt authenticated_keys van ssh niet. Dat bedoel je denk ik.

Ook bij selfmade Linuxbeheerders zie ik rare dingen. Dan hebben ze de homefolders afgeschermd maar worden ze vervolgens niet geencrypt via nfs gemount. Systeembeheer is een vak! dat leer je niet door alleen maar wat rond te klikken.
True!
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Je reactie is verstuurd en wordt zo spoedig mogelijk gemodereerd.

Verder
captcha
Nieuwe code
Preview Reageren
Zoeken
search
Vacature
Image

Security-engineer IAM

Krijg jij energie van technische vraagstukken op het vlak van Security en Risk? En steek je graag je handen uit de mouwen om zelf een bijdrage te leveren aan een veilige digitale omgeving waarin de data en euro’s van onze klanten worden beheerd. Dan komen we graag met jou in contact.

Lees meer

Heb jij een Hacker Mindset?

5 reacties
Aantal stemmen: 331
Vacature
Image

Senior Security Consultant

Als security consultant bij Cegeka speel je een uitermate belangrijke rol in het veilig houden van de bedrijven in Nederland en de Nederlandse maatschappij. Vandaar ook dat Cegeka dit hoog op de agenda heeft staan. Wij doen dit door, in close cooperation, onze klanten advies te geven op strategisch, tactisch en operationeel niveau.

Lees meer
Is een laptop die via de werkkostenregeling wordt vergoed een privélaptop?
03-03-2021 door Arnoud Engelfriet

Juridische vraag: Bij ons bedrijf is gekozen voor bring-your-own-device, waarbij mensen zelf privé een laptop mogen kopen en ...

19 reacties
Lees meer
Certified Secure LIVE Online training
De verkiezingsprogramma's doorgelicht: Deel 4 digitalisering
20-02-2021 door Redactie

Een digitaal paspoort, recht op betaalbaar en snel internet, 'digitale inburgering' of digitaal stemmen, het zijn slechts een ...

8 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter