¿Qué tan seguro es un reemplazo de Twitter con Mastodon? Contemos los caminos

Comentario ¿Seguro que un sustituto de Twitter es Mastodon? Contemos las formasExpand imágenes falsas

A medida que los críticos de Elon Musk filtran Twitter, Mastodon parece ser el reemplazo más común. Durante el último mes, la cantidad de usuarios activos mensuales en Mastodon se triplicó con creces, de alrededor de 1 millón a 3,5 millones, mientras que la cantidad total de usuarios aumentó de alrededor de 6,5 millones a 8,7 millones.

Este aumento sustancial plantea preguntas importantes sobre la seguridad de esta nueva plataforma, y ​​por una buena razón. A diferencia del modelo centralizado de Twitter y prácticamente todas las demás plataformas de redes sociales, Mastodon se basa en un modelo federado de servidores independientes, llamados instancias. En este sentido, es más parecido al correo electrónico o Internet Relay Chat (IRC), donde la seguridad depende de la habilidad y la atención del administrador que lo configura y administra cada servidor individual.

El mes pasado, la cantidad de instancias aumentó de alrededor de 11 000 a más de 17 000. Las personas que administran estas instancias son voluntarios que pueden o no estar versados ​​en los matices de la seguridad. La dificultad para configurar y mantener instancias deja mucho espacio para errores que pueden poner en riesgo de exposición las contraseñas de los usuarios, las direcciones de correo electrónico y las direcciones IP (más sobre esto más adelante). La seguridad de Twitter dejaba mucho que desear, pero al menos tenía personal dedicado con sólida experiencia en seguridad.

Desventajas de la seguridad

"Honestamente, creo que esa es la mayor preocupación de seguridad en el espacio", dijo Mike Lendvay, un profesional certificado en seguridad de la información y un profesional certificado en seguridad en la nube, que también administra la instancia de friendsofdesoto.social Mastodon. "Especialmente con la diáspora de Twitter, muchos servidores han funcionado muy rápido y el nivel de habilidad de las personas que los administran será muy desigual".

Otra preocupación es el software que impulsa la plataforma Mastodon. Nunca se ha sometido a una auditoría de seguridad formal, aunque la Comisión Europea patrocinó un programa de recompensas por errores que resultó en correcciones para 35 envíos de errores válidos. A principios de este mes, un investigador descubrió una configuración incorrecta en varios casos que permitía la descarga y eliminación de todos los archivos almacenados en el servidor y el reemplazo de la imagen de perfil de cada usuario.

La falta de auditorías y los años de rigurosas pruebas de seguridad de terceros significan que es casi seguro que existen graves vulnerabilidades de seguridad.

En este punto, otro investigador descubrió este mes un servidor que había logrado extraer los datos de más de 150.000 usuarios de un servidor mal configurado. Afortunadamente, los datos se limitaron a nombres de cuentas, nombres para mostrar, imágenes de perfil, conteo de seguidores, conteo de seguidores y última actualización de estado. Una tercera vulnerabilidad descubierta este mes en una instancia permitía robar las contraseñas de texto sin formato de los usuarios al inyectar un código HTML especialmente diseñado en el sitio.

Por supuesto, todas las plataformas tienen este tipo de vulnerabilidades, y los desarrolladores y administradores de instancias de Mastodon se apresuraron a corregirlas una vez que se informaron. Pero otras plataformas tienen equipos de ingenieros de seguridad, investigadores y especialistas en cumplimiento que revisan las vulnerabilidades parcheadas recientemente para garantizar que su plataforma esté ejecutando componentes actualizados. La estructura federada de Mastodon no puede reproducir esto. Esperar que los voluntarios operen a la misma escala que una plataforma centralizada no es realista, por decir lo menos.

La falta de equipos de seguridad dedicados podría ser un problema, especialmente si existe una vulnerabilidad de alta seguridad en el ecosistema de software en el que se basa Mastodon. La plataforma está construida sobre Ruby on Rails, Postgres y Redis. Por un lado, la combinación de estas tres aplicaciones de código abierto ha demostrado su eficacia, con el uso de plataformas notables como GitHub, GitLab, Shopify y Discourse.

Pero las cosas podrían salir mal si una de esas aplicaciones se ve afectada por algo tan grave como HeartBleed, el error de 2014 en la aplicación OpenSSL de código abierto que...

  Tecnología   Nov 30, 2022   0   16  Add to Reading List
¿Qué tan seguro es un reemplazo de Twitter con Mastodon? Contemos los caminos
Comentario ¿Seguro que un sustituto de Twitter es Mastodon? Contemos las formasExpand imágenes falsas

A medida que los críticos de Elon Musk filtran Twitter, Mastodon parece ser el reemplazo más común. Durante el último mes, la cantidad de usuarios activos mensuales en Mastodon se triplicó con creces, de alrededor de 1 millón a 3,5 millones, mientras que la cantidad total de usuarios aumentó de alrededor de 6,5 millones a 8,7 millones.

Este aumento sustancial plantea preguntas importantes sobre la seguridad de esta nueva plataforma, y ​​por una buena razón. A diferencia del modelo centralizado de Twitter y prácticamente todas las demás plataformas de redes sociales, Mastodon se basa en un modelo federado de servidores independientes, llamados instancias. En este sentido, es más parecido al correo electrónico o Internet Relay Chat (IRC), donde la seguridad depende de la habilidad y la atención del administrador que lo configura y administra cada servidor individual.

El mes pasado, la cantidad de instancias aumentó de alrededor de 11 000 a más de 17 000. Las personas que administran estas instancias son voluntarios que pueden o no estar versados ​​en los matices de la seguridad. La dificultad para configurar y mantener instancias deja mucho espacio para errores que pueden poner en riesgo de exposición las contraseñas de los usuarios, las direcciones de correo electrónico y las direcciones IP (más sobre esto más adelante). La seguridad de Twitter dejaba mucho que desear, pero al menos tenía personal dedicado con sólida experiencia en seguridad.

Desventajas de la seguridad

"Honestamente, creo que esa es la mayor preocupación de seguridad en el espacio", dijo Mike Lendvay, un profesional certificado en seguridad de la información y un profesional certificado en seguridad en la nube, que también administra la instancia de friendsofdesoto.social Mastodon. "Especialmente con la diáspora de Twitter, muchos servidores han funcionado muy rápido y el nivel de habilidad de las personas que los administran será muy desigual".

Otra preocupación es el software que impulsa la plataforma Mastodon. Nunca se ha sometido a una auditoría de seguridad formal, aunque la Comisión Europea patrocinó un programa de recompensas por errores que resultó en correcciones para 35 envíos de errores válidos. A principios de este mes, un investigador descubrió una configuración incorrecta en varios casos que permitía la descarga y eliminación de todos los archivos almacenados en el servidor y el reemplazo de la imagen de perfil de cada usuario.

La falta de auditorías y los años de rigurosas pruebas de seguridad de terceros significan que es casi seguro que existen graves vulnerabilidades de seguridad.

En este punto, otro investigador descubrió este mes un servidor que había logrado extraer los datos de más de 150.000 usuarios de un servidor mal configurado. Afortunadamente, los datos se limitaron a nombres de cuentas, nombres para mostrar, imágenes de perfil, conteo de seguidores, conteo de seguidores y última actualización de estado. Una tercera vulnerabilidad descubierta este mes en una instancia permitía robar las contraseñas de texto sin formato de los usuarios al inyectar un código HTML especialmente diseñado en el sitio.

Por supuesto, todas las plataformas tienen este tipo de vulnerabilidades, y los desarrolladores y administradores de instancias de Mastodon se apresuraron a corregirlas una vez que se informaron. Pero otras plataformas tienen equipos de ingenieros de seguridad, investigadores y especialistas en cumplimiento que revisan las vulnerabilidades parcheadas recientemente para garantizar que su plataforma esté ejecutando componentes actualizados. La estructura federada de Mastodon no puede reproducir esto. Esperar que los voluntarios operen a la misma escala que una plataforma centralizada no es realista, por decir lo menos.

La falta de equipos de seguridad dedicados podría ser un problema, especialmente si existe una vulnerabilidad de alta seguridad en el ecosistema de software en el que se basa Mastodon. La plataforma está construida sobre Ruby on Rails, Postgres y Redis. Por un lado, la combinación de estas tres aplicaciones de código abierto ha demostrado su eficacia, con el uso de plataformas notables como GitHub, GitLab, Shopify y Discourse.

Pero las cosas podrían salir mal si una de esas aplicaciones se ve afectada por algo tan grave como HeartBleed, el error de 2014 en la aplicación OpenSSL de código abierto que...

What's Your Reaction?

like

dislike

love

funny

angry

sad

wow