Mastodon Twitter değişimi ne kadar güvenli? yolları sayalım


Mastodon Twitter değişimi ne kadar güvenli?  yolları sayalım

Getty Resimleri

Elon Musk eleştirmenleri Twitter’dan kaçarken, Mastodon en yaygın ikame gibi görünüyor. Geçen ay, Mastodon’daki aylık aktif kullanıcı sayısı üç kattan fazla roketlendiyaklaşık 1 milyondan 3,5 milyona, toplam kullanıcı sayısı ise yaklaşık 6,5 milyondan 8,7 milyona sıçradı.

Bu önemli artış, bu yeni platformun güvenliği hakkında önemli soruları gündeme getiriyor ve bunun iyi bir nedeni var. Twitter’ın merkezi modelinin ve hemen hemen tüm diğer sosyal medya platformlarının aksine Mastodon, bulut sunucuları olarak bilinen birleşik bir bağımsız sunucu modeli üzerine kuruludur. Bu açıdan, e-postaya veya Internet Relay Chat’e (IRC) benzer; burada güvenlik, onu yapılandıran ve her bir sunucunun bakımını yapan yöneticinin becerisine ve dikkatine bağlıdır.

Geçen ay vaka sayısı yaklaşık 11.000’den 17.000’in üzerine çıktı. Bu örnekleri yürüten kişiler, güvenlik nüansları konusunda bilgili olan veya olmayan gönüllülerdir. Örnekleri yapılandırmanın ve sürdürmenin zorluğu, kullanıcı parolalarını, e-posta adreslerini ve IP adreslerini ifşa olma riskine sokabilecek hatalara çok yer bırakır (buna daha sonra değineceğiz). Twitter güvenliği arzulanan çok şey bıraktı, ancak en azından güvenlik konusunda derin bir geçmişe sahip özel bir kadroya sahipti.

Güvenlik eksileri

Sertifikalı bir bilgi güvenliği uzmanı ve aynı zamanda Mastodon örneği friendsofdesoto.social’ı da yöneten sertifikalı bir bulut güvenliği uzmanı olan Mike Lendvay, “Dürüst olmak gerekirse, uzayda güvenliğin karşı karşıya olduğu en büyük endişenin bu olduğunu düşünüyorum.” “Özellikle Twitter diasporasında, çok hızlı bir şekilde yükselen çok sayıda sunucunuz oldu ve bunları yöneten kişilerde çok dengesiz bir beceri düzeyi olacak.”

Diğer bir endişe, Mastodon platformuna güç veren yazılımdır. Avrupa Komisyonu bir güvenlik denetimine sponsor olmasına rağmen, hiçbir zaman resmi bir güvenlik denetiminden geçmemiştir. hata ödül programı bu, 35 geçerli hata gönderimi için yamalarla sonuçlandı. Bu ayın başlarında, bir araştırmacı yanlış bir yapılandırma keşfetti sunucuda depolanan tüm dosyaların indirilmesine ve silinmesine ve her kullanıcının profil resminin değiştirilmesine izin veren birden çok örnekte.

Denetim eksikliği ve yabancılar tarafından yıllarca süren sağlam güvenlik testleri, ciddi güvenlik zayıflıklarının neredeyse kesin olarak mevcut olduğu anlamına gelir.

Bu noktaya kadar, bu ay ayrı bir araştırmacı, bir şekilde 150.000’den fazla kullanıcının verilerini kazıyın yanlış yapılandırılmış bir sunucudan. Neyse ki, veriler hesap adları, görünen adlar, profil resimleri, takip sayısı, takipçi sayısı ve son durum güncellemesiyle sınırlıydı. Bu ay bir örnekte keşfedilen üçüncü bir güvenlik açığı bunu mümkün kıldı kullanıcıların düz metin şifrelerini çalmak için siteye özel hazırlanmış HTML enjekte ederek.

Tabii ki, tüm platformlarda bu tür güvenlik açıkları vardır ve Mastodon geliştiricileri ve bulut sunucusu yöneticileri, rapor edildikten sonra bu güvenlik açıklarına hızlı bir şekilde yama uygular. Ancak diğer platformlarda, platformlarının güncel bileşenleri çalıştırdığından emin olmak için yakın zamanda yamalanan güvenlik açıklarını inceleyen güvenlik mühendisleri, araştırmacılar ve uyumluluk uzmanlarından oluşan ekipler bulunur. Mastodon’un birleşik yapısı bunu tekrarlayamaz. Gönüllülerin merkezi bir platformla aynı ölçekte performans göstermesini beklemek, en hafif tabirle gerçekçi değil.

Özel güvenlik ekiplerinin olmaması, özellikle Mastodon’un güvendiği yazılım ekosisteminde yüksek güvenlik açığı olması durumunda bir sorun olabilir. Platform, Ruby on Rails, Postgres ve Redis üzerine inşa edilmiştir. Bir yandan, GitHub, GitLab, Shopify ve Discourse gibi önemli platformlar tarafından kullanılan bu üç açık kaynaklı uygulamanın kombinasyonu denenmiş ve doğrudur.

Ancak, bu uygulamalardan biri, bankacılık web sitelerinden ve diğer yüksek değerli hedeflerden her türlü hassas verinin ifşa edilmesine neden olan açık kaynaklı OpenSSL uygulamasında 2014 hatası olan HeartBleed gibi bir şeyin ciddiyetine sahip bir şey tarafından vurulursa işler kötü gidebilir. .

Dahası, Mastodon yazılımında otomatik güncelleme ve hatta güncelleme kullanılabilirliği özelliği yoktur.

Lendvay, “GitHub sürümlerini şahsen kontrol etmelisiniz,” dedi. “Bunu her hafta yapmaya çalışıyorum. Ama birçokları için dedikodudan duyacaklarını düşünürdüm. Çalışan farklı versiyonlar gördüm, bu yüzden tutarlılığın ne olacağını kim bilebilir.”

Mastodon veya en azından yaygın olarak bilinen veya etkili kullanıcıları barındıran bulut sunucuları, kaldırabileceklerinden daha fazla trafik veya komut içeren sunucuları bombalayarak siteleri çevrimdışı duruma getiren dağıtılmış hizmet reddi saldırılarına (DDos) karşı çok daha hassastır. Derin ceplere sahip merkezi platformlar, DDoS azaltma sunucularını temel bir maliyet olarak kabul eder. Gönüllü olarak çalıştırılan örneklerin aynı kaynaklara sahip olması muhtemel değildir. Mastodon’un kullanıcı tabanı mevcut büyüme atağına devam ederse, bu duyarlılık muhtemelen her türden eleştirmeni susturmak için kullanılacaktır.

Bilgisayar korsanları, veri çalmanın yanı sıra etkili kişilerin hesaplarını ele geçirme veya idari işlevlerin denetimini ele geçirme eğiliminde olabilir. Her iki durumda da, bilgisayar korsanı etkili kullanıcıları taklit etmeye devam edebilir.

Bir kullanıcı, ” ActivityPub protokolünde birisinin ünlü bir tanıtıcıya atfedilebilecek yanlış bir toot yayınlamasına izin verecek güvenlik açıkları olduğuna bahse girerim” dedi. söz konusu. “Ya da başka bir protokol sorunu bulunacaktır.”

Son olarak, Mastodon, geniş ölçekte yürütüldüğü varsayıldığında, taciz ve yanlış bilgilendirme kampanyalarına karşı muhtemelen daha hassastır.

Jon Pincus, “Kişisel güvenlik konusunda, tacize karşı çok fazla koruma yok” dedi. Gizlilik Bağlantı Noktası. “Pek çok örnek iyi denetlenmiyor (mastodon.social dahil, [Mastodon creator] Eugene [Rochko] koşar). İyi denetlenen bulut sunucuları bile kararlı saldırılarla alt edilebilir.”




Kaynak : https://arstechnica.com/?p=1900717

Yorum yapın