Getty Resimleri
Elon Musk eleştirmenleri Twitter’dan kaçarken, Mastodon en yaygın ikame gibi görünüyor. Geçen ay, Mastodon’daki aylık aktif kullanıcı sayısı üç kattan fazla artarak yaklaşık 1 milyondan 3,5 milyona, toplam kullanıcı sayısı ise yaklaşık 6,5 milyondan 8,7 milyona sıçradı.
Bu önemli artış, bu yeni platformun güvenliği hakkında önemli soruları gündeme getiriyor ve bunun iyi bir nedeni var. Twitter’ın merkezi modelinin ve hemen hemen tüm diğer sosyal medya platformlarının aksine Mastodon, bulut sunucuları olarak bilinen birleşik bir bağımsız sunucu modeli üzerine kuruludur. Bu açıdan, e-postaya veya Internet Relay Chat’e (IRC) benzer; burada güvenlik, onu yapılandıran ve her bir sunucunun bakımını yapan yöneticinin becerisine ve dikkatine bağlıdır.
Geçen ay vaka sayısı yaklaşık 11.000’den 17.000’in üzerine çıktı. Bu örnekleri yürüten kişiler, güvenlik nüansları konusunda bilgili olan veya olmayan gönüllülerdir. Örnekleri yapılandırmanın ve sürdürmenin zorluğu, kullanıcı parolalarını, e-posta adreslerini ve IP adreslerini ifşa olma riskine sokabilecek hatalara çok yer bırakır (buna daha sonra değineceğiz). Twitter güvenliği arzulanan çok şey bıraktı, ancak en azından güvenlik konusunda derin bir geçmişe sahip özel bir kadroya sahipti.
Güvenlik eksileri
Sertifikalı bir bilgi güvenliği uzmanı ve aynı zamanda Mastodon örneği friendsofdesoto.social’ı da yöneten sertifikalı bir bulut güvenliği uzmanı olan Mike Lendvay, “Dürüst olmak gerekirse, uzayda güvenliğin karşı karşıya olduğu en büyük endişenin bu olduğunu düşünüyorum.” “Özellikle Twitter diasporasında, çok hızlı bir şekilde yükselen çok sayıda sunucunuz oldu ve bunları yöneten kişilerde çok dengesiz bir beceri düzeyi olacak.”
Diğer bir endişe, Mastodon platformuna güç veren yazılımdır. Avrupa Komisyonu, 35 geçerli hata bildirimi için yamalarla sonuçlanan bir hata ödül programına sponsor olmasına rağmen, hiçbir zaman resmi bir güvenlik denetiminden geçmemiştir. Bu ayın başlarında bir araştırmacı, sunucuda depolanan tüm dosyaların indirilmesine ve silinmesine ve her kullanıcının profil resminin değiştirilmesine izin veren birden çok örnekte bir yanlış yapılandırma keşfetti.
Denetim eksikliği ve yabancılar tarafından yıllarca süren sağlam güvenlik testleri, ciddi güvenlik zayıflıklarının neredeyse kesin olarak mevcut olduğu anlamına gelir.
Bu noktaya kadar, bu ay ayrı bir araştırmacı, bir şekilde 150.000’den fazla kullanıcının verilerini kazıyın yanlış yapılandırılmış bir sunucudan. Neyse ki, veriler hesap adları, görünen adlar, profil resimleri, takip sayısı, takipçi sayısı ve son durum güncellemesiyle sınırlıydı. Bu ay bir örnekte keşfedilen üçüncü bir güvenlik açığı, siteye özel hazırlanmış HTML enjekte ederek kullanıcıların düz metin parolalarının çalınmasını mümkün kıldı.
Tabii ki, tüm platformlarda bu tür güvenlik açıkları vardır ve Mastodon geliştiricileri ve bulut sunucusu yöneticileri, rapor edildikten sonra bu güvenlik açıklarına hızlı bir şekilde yama uygular. Ancak diğer platformlarda, platformlarının güncel bileşenleri çalıştırdığından emin olmak için yakın zamanda yamalanan güvenlik açıklarını inceleyen güvenlik mühendisleri, araştırmacılar ve uyumluluk uzmanlarından oluşan ekipler bulunur. Mastodon’un birleşik yapısı bunu tekrarlayamaz. Gönüllülerin merkezi bir platformla aynı ölçekte performans göstermesini beklemek, en hafif tabirle gerçekçi değil.
Özel güvenlik ekiplerinin olmaması, özellikle Mastodon’un güvendiği yazılım ekosisteminde yüksek güvenlik açığı olması durumunda bir sorun olabilir. Platform, Ruby on Rails, Postgres ve Redis üzerine inşa edilmiştir. Bir yandan, GitHub, GitLab, Shopify ve Discourse gibi önemli platformlar tarafından kullanılan bu üç açık kaynaklı uygulamanın kombinasyonu denenmiş ve doğrudur.
Ancak, bu uygulamalardan biri, bankacılık web sitelerinden ve diğer yüksek değerli hedeflerden her türlü hassas verinin ifşa edilmesine neden olan açık kaynaklı OpenSSL uygulamasında 2014 hatası olan HeartBleed gibi bir şeyin ciddiyetine sahip bir şey tarafından vurulursa işler kötü gidebilir. .
Dahası, Mastodon yazılımında otomatik güncelleme ve hatta güncelleme kullanılabilirliği özelliği yoktur.
Lendvay, “GitHub sürümlerini şahsen kontrol etmelisiniz,” dedi. “Bunu her hafta yapmaya çalışıyorum. Ama birçokları için dedikodudan duyacaklarını düşünürdüm. Çalışan farklı versiyonlar gördüm, bu yüzden tutarlılığın ne olacağını kim bilebilir.”
Mastodon veya en azından yaygın olarak bilinen veya etkili kullanıcıları barındıran bulut sunucuları, kaldırabileceklerinden daha fazla trafik veya komut içeren sunucuları bombalayarak siteleri çevrimdışı duruma getiren dağıtılmış hizmet reddi saldırılarına (DDos) karşı çok daha hassastır. Derin ceplere sahip merkezi platformlar, DDoS azaltma sunucularını temel bir maliyet olarak kabul eder. Gönüllü olarak çalıştırılan örneklerin aynı kaynaklara sahip olması muhtemel değildir. Mastodon’un kullanıcı tabanı mevcut büyüme atağına devam ederse, bu duyarlılık muhtemelen her türden eleştirmeni susturmak için kullanılacaktır.
Bilgisayar korsanları, veri çalmanın yanı sıra etkili kişilerin hesaplarını ele geçirme veya idari işlevlerin denetimini ele geçirme eğiliminde olabilir. Her iki durumda da, bilgisayar korsanı etkili kullanıcıları taklit etmeye devam edebilir.
Bir kullanıcı, “ActivityPub protokolünde, birinin ünlü bir tanıtıcıya atfedilebilen yanlış bir toot yayınlamasına izin verecek güvenlik açıkları olduğuna bahse girerim” dedi. “Ya da başka bir protokol sorunu bulunur.”
Son olarak, Mastodon, geniş ölçekte yürütüldüğü varsayıldığında, taciz ve yanlış bilgilendirme kampanyalarına karşı muhtemelen daha hassastır.
Nexus of Privacy’den Jon Pincus, “Kişisel güvenlik konusunda tacize karşı çok fazla koruma yok” dedi. “Pek çok örnek iyi denetlenmiyor (mastodon.social dahil, [Mastodon creator] Eugene [Rochko] koşar). İyi denetlenen bulut sunucuları bile kararlı saldırılarla alt edilebilir.”
