¿Qué tan seguro es un reemplazo de Twitter para Mastodon?  Contemos los caminos

imágenes falsas

Mientras los críticos de Elon Musk huyen de Twitter, Mastodon parece ser el reemplazo más común. En el último mes, la cantidad de usuarios activos mensuales en Mastodon se triplicó con creces, de aproximadamente 1 millón a 3,5 millones, mientras que la cantidad total de usuarios aumentó de aproximadamente 6,5 millones a 8,7 millones.

Este aumento significativo plantea preguntas importantes sobre la seguridad de esta nueva plataforma, y ​​con razón. A diferencia del modelo centralizado de Twitter y prácticamente todas las demás plataformas de redes sociales, Mastodon se basa en un modelo federado de servidores independientes llamados instancias. En este sentido, es más como el correo electrónico o Internet Relay Chat (IRC), donde la seguridad depende de la habilidad y vigilancia del administrador que lo configura y administra cada servidor individual.

En el último mes, la cantidad de instancias aumentó de alrededor de 11,000 a más de 17,000. Las personas que ejecutan estas instancias son voluntarios que pueden o no conocer los matices de la seguridad. La dificultad de configurar y mantener las instancias deja mucho espacio para el error, lo que puede llevar a la divulgación de las contraseñas de los usuarios, las direcciones de correo electrónico y las direcciones IP (más sobre esto más adelante). La seguridad de Twitter dejaba mucho que desear, pero al menos tenía empleados dedicados con conocimientos profundos de seguridad.

desventajas de seguridad

«Honestamente, creo que esta es la preocupación número uno para la seguridad en el espacio», dijo Mike Lendvay, un profesional certificado en seguridad de la información y un profesional certificado en seguridad en la nube que también ejecuta la instancia de mastodon friendsofdesoto.social. «Particularmente en la diáspora de Twitter, muchos servidores están aumentando muy rápidamente y las personas que los administran tendrán niveles de habilidad muy desiguales».

Otro problema es el software que alimenta la plataforma Mastodon. Nunca se sometió a una auditoría de seguridad formal, aunque la Comisión Europea patrocinó un programa de recompensas por errores que resultó en parches para 35 envíos de errores válidos. A principios de este mes, un investigador descubrió una configuración incorrecta en varios casos que permitía descargar y eliminar todos los archivos almacenados en el servidor y reemplazar las imágenes de perfil de todos los usuarios.

La falta de una auditoría y años de sólidas pruebas de seguridad por parte de personas externas significan que es casi seguro que existen graves debilidades de seguridad.

Hasta este punto, un investigador independiente descubrió este mes un servidor que de alguna manera lo había hecho Raspe los datos de más de 150,000 usuarios de un servidor mal configurado. Afortunadamente, los datos se limitaron a nombres de cuentas, nombres para mostrar, imágenes de perfil, número de seguidores, número de seguidores y última actualización de estado. Una tercera vulnerabilidad, descubierta en un caso este mes, hizo posible robar las contraseñas de texto sin formato de los usuarios mediante la inserción de un código HTML especialmente diseñado en el sitio web.

Por supuesto, todas las plataformas tienen este tipo de vulnerabilidades, y los desarrolladores y administradores de instancias de Mastodon se apresuraron a parchearlas tan pronto como se informaron. Pero otras plataformas cuentan con equipos de ingenieros de seguridad, investigadores y especialistas en cumplimiento que trabajan en vulnerabilidades parcheadas recientemente para garantizar que su plataforma ejecute componentes actualizados. La estructura federada de Mastodon no puede replicar esto. Esperar que los voluntarios trabajen a la misma escala que una plataforma centralizada no es realista, por decir lo menos.

La falta de equipos de seguridad dedicados podría plantear un problema, especialmente en el caso de una brecha de alta seguridad en el ecosistema de software en el que se basa Mastodon. La plataforma está basada en Ruby on Rails, Postgres y Redis. Por un lado, la combinación de estas tres aplicaciones de código abierto ha demostrado su eficacia y es utilizada por plataformas conocidas como GitHub, GitLab, Shopify y Discourse.

Pero las cosas podrían salir mal si alguna de estas aplicaciones se ve afectada por algo grave como HeartBleed, el error de 2014 en la aplicación OpenSSL de código abierto que provocó la exposición de todo tipo de datos confidenciales de sitios web bancarios y otros objetivos de alto valor.

Además, el software Mastodon no tiene una función de actualización automática o incluso disponibilidad de actualización.

«Tienes que revisar personalmente los lanzamientos de GitHub», dijo Lendvay. «Trato de hacer eso todas las semanas. Pero para muchos, me imagino escuchando a través de la fábrica de rumores. He visto diferentes versiones, así que quién sabe cuál será la consistencia».

Mastodon, o al menos las instancias que albergan usuarios conocidos o influyentes, también es probablemente mucho más vulnerable a los ataques de denegación de servicio distribuido (DDos), que desconectan los sitios web al bombardear los servidores con más tráfico o comandos de los que pueden manejar. . Las plataformas centralizadas con mucho dinero consideran los servidores de mitigación de DDoS como un costo base. Las instancias dirigidas por voluntarios probablemente no tengan los mismos recursos. Si la base de usuarios de Mastodon continúa con su crecimiento actual, es probable que esta vulnerabilidad se utilice para silenciar a los críticos de todo tipo.

Además de robar datos, los piratas informáticos también pueden verse tentados a piratear las cuentas de personas influyentes o tomar el control de las funciones administrativas. En ambos casos, el hacker podría hacerse pasar por un usuario influyente.

«Apuesto a que hay vulnerabilidades en el protocolo de ActivityPub que permiten que alguien envíe un pitido falso atribuido a un identificador famoso», dijo un usuario. «O se encuentra otro problema de protocolo».

Por último, es probable que Mastodon sea más propenso a campañas de acoso y desinformación, siempre que se lleven a cabo a gran escala.

«Cuando se trata de seguridad personal, no hay muchas salvaguardas contra el acoso», dijo Jon Pincus de Nexus of Privacy. «Muchas instancias no están bien moderadas (incluyendo mastodon.social, what [Mastodon creator] eugenio [Rochko] carreras). Incluso las instancias bien moderadas pueden verse abrumadas por ataques dirigidos”.



DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí