Cosa dicono le correzioni di bug critici di Mastodon sulle vulnerabilità di sicurezza di Crypto

Diversi bug critici sulla piattaforma di social media simile a Twitter Mastodon sono stati corretti la scorsa settimana, dopo che i ricercatori finanziati dalla Mozilla Foundation hanno fatto un cenno di ringraziamentovulnerabilitàLa situazione mostra ONE dei compromessi fondamentali nello sviluppo di software open source: il codice disponibile al pubblico può essere esaminato e sfruttato da chiunque.

A volte ciò significa che i bug vengono trovati dai cosiddettihacker white hat, e a volte sono lasciati aperti allo sfruttamento. Nel caso di Mastodon, Mozilla ha pagato la società di sicurezza tedesca Cure53 per testare la penetrazione del social network, dopo aver annunciato i piani che sarebbe statoutilizzando Mastodonper alcune comunicazioni aziendali.

Questo è un estratto dalla newsletter The Node, un riepilogo quotidiano delle notizie più importanti Cripto su CoinDesk e oltre. Puoi abbonarti per ricevere l'intero newsletter qui.

Soprattutto nell'era di Twitter post-acquisizione di Elon Musk, Mastodon è diventata ONE delle applicazioni decentralizzate più popolari utilizzate dalla gente comune. Mastodon si definisce una "federazione" perché è composta da diverse migliaia di "istanze" separate che forniscono contenuti alle persone (a differenza di aziende come Twitter o Facebook, che gestiscono i propri server). Chiunque può gestire la propria istanza o chiedere di unirsi a un'altra istanza, che può stabilire i propri standard di moderazione.

Non è stato rivelato molto sui cinque bug che sono stati corretti, anche se il ricercatore indipendente sulla sicurezza Kevin Beaumont, scrivendo su Mastodon, ha affermato che ONE potenziale exploit denominato #TootRoot avrebbe potuto fornire agli hacker l'accesso root alle istanze di Mastodon, il che avrebbe potuto causare tutti i tipi di problemi, tra cui account compromessi e altri schemi di phishing.

Vedi anche:Gli hacker Cripto tendono a restituire il denaro rubato: TRM Labs

Mastodon gGmbH, l'organizzazione che gestisce il software open source di Mastodon, ha classificato ONE altro bug come critico e gli altri tre come gravi e di media gravità. Anche i server di grandi dimensioni hanno ricevuto pre-annunci sulle falle di sicurezza nelle ultime settimane, in modo che potessero essere pronti a distribuire rapidamente una patch quando fosse stata pubblicata, secondo Ars Technica.

Per quanto ne so, nessuno dei 14,5 milioni di utenti di Mastodon è stato colpito dalle cattive linee di codice, che sembrano non essere state sfruttate. Ma la situazione solleva alcune preoccupazioni scomode, tra cui per quanto tempo i problemi critici sarebbero rimasti dormienti se Mozilla non fosse stata interessata a pagare per verificare se Mastodon fosse sicuro. E se un malintenzionato avrebbe potuto arrivarci per primo.

Questi sono problemi vivi nel mondo del software libero e open source, incluso (e forse soprattutto) nella Cripto. Mettendo da parte le sfide di assicurarsi che tutti scarichino una patch o utilizzino il software più recente (se sei un utente Mastodon, controlla che l'istanza che stai utilizzando sia sulla versione 4.1.3 o successiva o sollecita il server ad aggiornarsi), la sicurezza delle reti condivise è totalmente soggetta alle forze di mercato.

Gli incentivi finanziari sono reciproci per gli hacker, che a volte possono ricevere una ricompensa per bug per aver correttamente segnalato un problema o girarsi e vendere le informazioni dannose su un mercato darknet. E T c'è sempre una Mozilla là fuori disposta a pagare per audit approfonditi per assicurarsi che questi sistemi siano sicuri.

Il problema è complicato solo dalla Cripto, che trasforma le applicazioni in "taglie di bug multimilionarie" o borse di riscatto per gli hacker che cercano di fare soldi QUICK . Alcuni Sono stati rubati 3,1 miliardi di dollari solo dai protocolli Finanza decentralizzata (DeFi) dell'anno scorso. E anche quando le fondazioni o gli utenti dei protocolli si sono uniti per pagare le revisioni del codice, non è sempre chiaro che il timbro di approvazione di un revisore sia attendibile (spesso dovuto tanto all'incompetenza quanto all'avidità).

Vedi anche:Chiamare un hack un exploit riduce al minimo l'errore Human | Opinioni

Diyahir Campos, un utente e sviluppatore Cripto che afferma di aver perso dopo l'attacco multimilionario di Euler Finanza, recentemente rivelatoun "interruttore" DeFi che metterebbe in pausa i protocolli che vedono prelievi anomali. Questo sarebbe un"cosa di opt-in", che, certamente, T garantirebbe agli utenti una sicurezza completa, ma potrebbe ridurre al minimo la quantità di denaro perso a causa degli attacchi informatici.

Soluzioni come questa sono ammirevoli, anche se non ci sono soluzioni facili ai problemi delle criptovalute (e sicuramente non un'opzione "taglia unica"). E, naturalmente, c'è un rischio di base nell'usare qualsiasi programma per computer, che sia open source o meno. Non dimentichiamo che anche le istituzioni apparentemente più competenti come il Dipartimento della Difesa degli Stati Uniti o Microsoft non sono immuni da bug catastrofici.

La comunità FOSS promuove una vera cultura di solidarietà e responsabilità condivisa, dove il rispetto ottenuto dalla scoperta e dalla divulgazione dei problemi vale spesso più del denaro che avrebbero potuto guadagnare. Che questo sia un magro conforto per le Cripto, indipendentemente dal fatto che istituzioni come Mozilla siano o meno sulla strada dell'adozione.