Mikroblog platformu Mastodon’daki dört güvenlik açığı geçen hafta geç saatlerde düzeltildi ve merkezi olmayan platformun güvenliği hakkında geçmiş yılların açık kaynak tartışmalarının ima ettiği yeni sorulara yol açtı.
GitHub’da yayınlanan güvenlik önerileri Mastodon’un kurucusu Eugen Rochko tarafından geliştirilen siteler arası komut dosyası çalıştırma (XSS), rastgele dosya oluşturma ve hizmet reddi (DoS) güvenlik açıklarının yanı sıra saldırganların URL’lerin bazı kısımlarını keyfi olarak gizlemesine olanak tanıyan bir zayıflık içeriyordu. CVSS standardı kullanılarak hatalara 5,4 (orta) ile 10 üzerinden 9,9 (kritik) arasında değişen puanlar verildi.
Dördü de o zamandan beri yamalandı, ancak tehdit henüz önlenmedi. 10 üzerinden 9.9 önem dereceli dosya oluşturma hatasının yazılması, bir güvenlik araştırmacısı kaydetti Mastodon sunucularını barındıran kullanıcıların ve kuruluşların “önemli bir yüzdesinin” yama uygulamadığını ve bunun vahşi sömürüde görülmesi çok muhtemel. bir tweet.
Araştırmacılar tarafından TootRoot olarak adlandırılan kritik hata şu şekilde tanımlandı: CVE-2023-36460.
Mastodon’un güvenlik zorlukları, bazılarına Twitter’ın pembe gözlüklerle siber güvenlik konusunda yıldızlardan daha az geçmişine bakma konusunda ilham verebilir. Gerçekten de, platformun merkezi olmayan yapısı, bir sosyal platform için yeni tür güvenlik endişeleri ortaya çıkarır. Ancak uzmanlar aşırı tepki vermeye gerek olmadığını söylüyor.
ZeroFox’un baş geliştirme sorumlusu Bryan Ware, “Benim görüşüm şu: Bir İnternet platformu şirketini yönetmenin hayatında bir gün,” diyor. “Hatalar iyi değil ama tipik. Bence buradaki fark, bunun açık kaynaklı bir proje olması. Bu yüzden bunu çok görünür bir şekilde görüyoruz ve hayır, hayır, o kadar da kötü değil demeye çalışan bir pazarlama departmanı yok. .”
Mastodon Güvensiz mi?
Mastodon güvenlik konularında yeni değil. Araştırmacılar ortaya çıkardı HTML enjeksiyonu gibi basit güvenlik açıkları Ve sunucu yanlış yapılandırması gibi daha sistemik sorunlar. Saldırganlar, geçen Kasım ayında gizemli bir sunucu tespit edildiğinde olduğu gibi suları da test etmeye başladı. yüzbinlerce Mastodon kullanıcısından veri toplama.
Sorunun özünde Mastodon’un merkezi olmayan yapısı yatmaktadır. Tek bir şirket tarafından çalıştırılmak yerine, kullanıcılar ve kuruluşlar kendi Mastodon sunucularını (“örnekler”) çalıştırır ve bunlara abone olur. Critical Start’ın siber tehdit araştırma üst düzey yöneticisi Callie Guenther, “Örnekler bağımsız olarak çalıştırıldığından ve farklı düzeylerde güvenlik uygulamalarına sahip olabileceğinden, birleşik ağın genel güvenliği en zayıf halkadan etkilenebilir,” diye belirtiyor. “Gevşek güvenlik önlemlerine veya eski yazılım sürümlerine sahip örnekler, potansiyel olarak saldırganlar için hedef haline gelebilir ve kullanıcılarının güvenliğini tehlikeye atabilir.”
Bir saldırgan, “hassas bilgilere yetkisiz erişim elde etmek, hizmet reddi saldırıları gerçekleştirmek, keyfi kod yürütmek veya kimlik avı veya siteler arası komut dosyası çalıştırma gibi sosyal mühendislik saldırılarına katılmak için” savunmasız bir hesaptan veya örnekten yararlanabilir. “Kurumsal bir ortamda, gizli iş verilerine yetkisiz erişim, iletişim ve işbirliğinin kesintiye uğraması, veri ihlallerine yol açan kullanıcı hesaplarının ele geçirilmesi veya kuruluşun Mastodon örneğinin güvenlik açıklarıyla tanınır hale gelmesi durumunda itibarın zarar görmesini içerebilir.”
Proofpoint’te tehdit algılama direktörü Randy Pargman, kurumsal hesapların ele geçirilmesindeki benzersiz riskin altını çiziyor, çünkü bilgisayar korsanları “utanç uyandırmak veya bir dolandırıcılığı ilerletmek için muhtemelen doğrudan mesajların kopyalarını indiriyor ve muhtemelen kurumsal hesaptan herkese açık gönderiler gönderiyor.”
Ve sonra daha ilginç vaka senaryoları var. Ware, “Bu dağıtılmış ağın parçası olan bir sunucuyu tehlikeye atma ve bu uzlaşma yoluyla, neredeyse bir tedarik zinciri uzlaşması gibi, onu ekosistem boyunca genişletme şansınız var” diyor. Bu sayede ne meli merkezi olmayan modelin bir avantajı olması – tüm kullanıcı verilerinin veya erişim kontrollerinin sızabileceği tek bir hata noktası olmaması – bir dereceye kadar geçersiz kılınır, çünkü Ware, “doğrudan Mastodon’dan veya doğrudan Instagram Konularından taviz vermeniz gerekmez. , eğer federe bir sunucuyu tehlikeye atabilirseniz.”
Mastodon’u Korumak İçin Kullanıcılara Yüklenen Yük
Pargman, Mastodon için ilk savunma hattının kullanıcıların kendileri olduğunu açıklıyor. “Birçok Mastodon örneği, bir kişi veya küçük bir gönüllü grubu tarafından yönetilir, bu nedenle yamaları hızlı bir şekilde dağıtmak ve ayrıca bir saldırganın bir sunucuya yetkisiz erişim elde edip etmediğini belirlemek için olası olayları araştırmak bu kişilere ve uygunluklarına bağlıdır. gerçek.”
Gönüllülerin taramaya, düzeltme ekine veya böcek avına ayırmak için daha az teşviki ve zamanı olabilir. Mastodon’un en son hataları, yalnızca Mozilla tarafından yaptırılan bir denetim sayesinde keşfedildi. başka yerde, AB böcek ödüllerini devreye aldı platform için, ancak 5.000 $ ‘a varan ödülleri, herhangi bir sosyal medya titanının sunabileceği şeylerle karşılaştırılamaz. Herhangi bir açık kaynak projesinin karşılaştığı sorunla aynı.
Öte yandan, Ware, “her şey dağıtıldığında, sorunları bulup düzeltmek isteyen çok sayıda göz ve el var ve bu sorunların ne olabileceği konusunda çok fazla şeffaflık var. Tescilli ve kapalı bir platforma karşı ve siz almaları gereken tüm çabayı göstereceklerine güvenmek zorundalar.”
Sonuç olarak, Mastodon kullanıcılarının kendi güvenlikleriyle daha geleneksel platformların kullanıcılarından daha fazla ilgilenmesi gerekecek.
Guenther, “Bu tür riskleri azaltmak için,” diyor, “işletmeler, Mastodon kurulumlarını en son yamalar ve güvenlik güncellemeleriyle güncel tuttuklarından, güçlü erişim kontrolleri uyguladıklarından, güvenli kimlik doğrulama mekanizmalarını zorunlu kıldıklarından, şüpheli etkinlikleri düzenli olarak izlediklerinden ve güvenlik sağladıklarından emin olmalıdırlar.” çalışanlarına bilinçlendirme eğitimleri verildi.”
Pargman ise ihlal sonrası iyileştirmeyi vurguluyor. “Güvenliği ihlal edilmiş bir hesabın kontrolünü geri almanın ne kadar süreceğini ve sunucu operatörünün (eğer varsa) kontrolü yeniden kazanmak için bir hesap sahibinin kimliğini doğrulamak için hangi süreci devreye soktuğunu planlamak önemlidir” diyor.
“Sosyal medyayı kullanan çoğu insan için güvenlik, yalnızca bir güvenlik olayı yaşadıktan sonra ciddi olarak düşündükleri bir şeydir” diye ekliyor. Mastodon kullanıcılarının diğer platformlardaki kardeşlerinden daha proaktif olmaları gerekebilir, ancak reklam olmamasının ve yıldız gizliliğinin faydaları buna değer olabilir.