Насколько безопасна замена Twitter на Mastodon? Давайте посчитаем пути
Насколько безопасна замена Twitter на Mastodon? Давайте посчитаем пути
Развернуть
Гетти Изображений
Поскольку критики Илона Маска просочились в Твиттер, Mastodon кажется наиболее распространенной заменой. За последний месяц количество ежемесячно активных пользователей Mastodon увеличилось более чем в три раза с 1 млн до 3,5 млн, а общее число пользователей увеличилось примерно с 6,5 млн до 8,7 млн.
Это значительное увеличение поднимает важные вопросы о безопасности этой новой платформы, и на то есть веские причины. В отличие от централизованной модели Twitter и практически всех других платформ социальных сетей, Mastodon построен на федеративной модели независимых серверов, называемых экземплярами. В этом отношении он больше похож на электронную почту или Internet Relay Chat (IRC), где безопасность зависит от способности и внимания администратора, который его настраивает и управляет каждым отдельным сервером.
В прошлом месяце количество инстансов выросло с 11 000 до более чем 17 000. Люди, которые управляют этими инстансами, являются добровольцами, которые могут разбираться в нюансах безопасности, а могут и не разбираться. Сложность настройки и обслуживания экземпляров оставляет много места для ошибок, которые могут подвергнуть риску пароли пользователей, адреса электронной почты и IP-адреса (подробнее об этом позже). Безопасность Твиттера оставляла желать лучшего, но, по крайней мере, у него был выделенный персонал с солидным опытом обеспечения безопасности.
Недостатки безопасности
"Честно говоря, я думаю, что это самая большая проблема безопасности в этой области", – сказал Майк Лендвай, сертифицированный специалист по информационной безопасности и сертифицированный специалист по безопасности облачных вычислений, который также управляет экземпляром friendsofdesoto.social Mastodon. "Особенно с Twitter Diaspora, многие серверы поднялись очень быстро, и уровень квалификации людей, которые их администрируют, будет очень неравномерным."
Еще одна проблема связана с программным обеспечением платформы Mastodon. Он никогда не подвергался официальному аудиту безопасности, хотя Европейская комиссия спонсировала программу вознаграждения за ошибки, в результате которой были исправлены 35 действительных сообщений об ошибках. Ранее в этом месяце исследователь обнаружил неправильную настройку в нескольких случаях, которая позволяла загружать и удалять все файлы, хранящиеся на сервере, и заменять изображение профиля каждого пользователя.
Отсутствие аудита и годы тщательного стороннего тестирования безопасности означают, что почти наверняка присутствуют серьезные уязвимости в системе безопасности.
В этом месяце отдельный исследователь обнаружил сервер, которому удалось извлечь данные более чем 150 000 пользователей с неправильно настроенного сервера. К счастью, данные были ограничены именами учетных записей, отображаемыми именами, изображениями профиля, количеством подписчиков, количеством подписчиков и последним обновлением статуса. Третья уязвимость, обнаруженная в этом месяце, позволяла красть пароли пользователей в виде открытого текста путем внедрения на сайт специально созданного HTML-кода.
Конечно, такие уязвимости есть на всех платформах, и разработчики и администраторы экземпляров Mastodon сразу же исправили их, как только о них стало известно. Но на других платформах есть команды инженеров по безопасности, исследователей и специалистов по соблюдению требований, которые проверяют недавно исправленные уязвимости, чтобы убедиться, что на их платформе работают современные компоненты. Федеративная структура Mastodon не может воспроизвести это. Ожидать, что добровольцы будут работать в том же масштабе, что и централизованная платформа, по меньшей мере нереалистично.
Отсутствие специальных групп безопасности может стать проблемой, особенно если в программной экосистеме, на которую опирается Mastodon, существует серьезная уязвимость. Платформа построена на Ruby on Rails, Postgres и Redis. Во-первых, комбинация этих трех приложений с открытым исходным кодом зарекомендовала себя с использованием известных платформ, таких как GitHub, GitLab, Shopify и Discourse.
Но все может пойти наперекосяк, если одно из этих приложений пострадает от чего-то такого серьезного, как HeartBleed, ошибка 2014 года в приложении OpenSSL с открытым исходным кодом...
Поскольку критики Илона Маска просочились в Твиттер, Mastodon кажется наиболее распространенной заменой. За последний месяц количество ежемесячно активных пользователей Mastodon увеличилось более чем в три раза с 1 млн до 3,5 млн, а общее число пользователей увеличилось примерно с 6,5 млн до 8,7 млн.
Это значительное увеличение поднимает важные вопросы о безопасности этой новой платформы, и на то есть веские причины. В отличие от централизованной модели Twitter и практически всех других платформ социальных сетей, Mastodon построен на федеративной модели независимых серверов, называемых экземплярами. В этом отношении он больше похож на электронную почту или Internet Relay Chat (IRC), где безопасность зависит от способности и внимания администратора, который его настраивает и управляет каждым отдельным сервером.
В прошлом месяце количество инстансов выросло с 11 000 до более чем 17 000. Люди, которые управляют этими инстансами, являются добровольцами, которые могут разбираться в нюансах безопасности, а могут и не разбираться. Сложность настройки и обслуживания экземпляров оставляет много места для ошибок, которые могут подвергнуть риску пароли пользователей, адреса электронной почты и IP-адреса (подробнее об этом позже). Безопасность Твиттера оставляла желать лучшего, но, по крайней мере, у него был выделенный персонал с солидным опытом обеспечения безопасности.
Недостатки безопасности
"Честно говоря, я думаю, что это самая большая проблема безопасности в этой области", – сказал Майк Лендвай, сертифицированный специалист по информационной безопасности и сертифицированный специалист по безопасности облачных вычислений, который также управляет экземпляром friendsofdesoto.social Mastodon. "Особенно с Twitter Diaspora, многие серверы поднялись очень быстро, и уровень квалификации людей, которые их администрируют, будет очень неравномерным."
Еще одна проблема связана с программным обеспечением платформы Mastodon. Он никогда не подвергался официальному аудиту безопасности, хотя Европейская комиссия спонсировала программу вознаграждения за ошибки, в результате которой были исправлены 35 действительных сообщений об ошибках. Ранее в этом месяце исследователь обнаружил неправильную настройку в нескольких случаях, которая позволяла загружать и удалять все файлы, хранящиеся на сервере, и заменять изображение профиля каждого пользователя.
Отсутствие аудита и годы тщательного стороннего тестирования безопасности означают, что почти наверняка присутствуют серьезные уязвимости в системе безопасности.
В этом месяце отдельный исследователь обнаружил сервер, которому удалось извлечь данные более чем 150 000 пользователей с неправильно настроенного сервера. К счастью, данные были ограничены именами учетных записей, отображаемыми именами, изображениями профиля, количеством подписчиков, количеством подписчиков и последним обновлением статуса. Третья уязвимость, обнаруженная в этом месяце, позволяла красть пароли пользователей в виде открытого текста путем внедрения на сайт специально созданного HTML-кода.
Конечно, такие уязвимости есть на всех платформах, и разработчики и администраторы экземпляров Mastodon сразу же исправили их, как только о них стало известно. Но на других платформах есть команды инженеров по безопасности, исследователей и специалистов по соблюдению требований, которые проверяют недавно исправленные уязвимости, чтобы убедиться, что на их платформе работают современные компоненты. Федеративная структура Mastodon не может воспроизвести это. Ожидать, что добровольцы будут работать в том же масштабе, что и централизованная платформа, по меньшей мере нереалистично.
Отсутствие специальных групп безопасности может стать проблемой, особенно если в программной экосистеме, на которую опирается Mastodon, существует серьезная уязвимость. Платформа построена на Ruby on Rails, Postgres и Redis. Во-первых, комбинация этих трех приложений с открытым исходным кодом зарекомендовала себя с использованием известных платформ, таких как GitHub, GitLab, Shopify и Discourse.
Но все может пойти наперекосяк, если одно из этих приложений пострадает от чего-то такого серьезного, как HeartBleed, ошибка 2014 года в приложении OpenSSL с открытым исходным кодом...
Развернуть
Гетти Изображений
