O que as correções de bugs críticos do Mastodon dizem sobre as vulnerabilidades de segurança da Crypto

Vários bugs críticos na plataforma de mídia social Mastodon, semelhante ao Twitter, foram corrigidos na semana passada, depois que pesquisadores financiados pela Mozilla Foundation tiraram o chapéu para osvulnerabilidades. A situação mostra uma das compensações fundamentais no desenvolvimento de software de código aberto: o código disponível publicamente pode ser revisado e explorado por qualquer pessoa.

Às vezes isso significa que os bugs são encontrados pelos chamadoshackers de chapéu branco, e às vezes são deixados abertos para serem explorados. No caso do Mastodon, a Mozilla pagou à empresa de segurança alemã Cure53 para testar a rede social, após anunciar planos de que seriausando Mastodonpara algumas comunicações corporativas.

Este é um trecho do boletim informativo The Node, um resumo diário das notícias de Cripto mais importantes no CoinDesk e além. Você pode se inscrever para obter o boletim completo boletim informativo aqui.

Especialmente na era do Twitter pós-compra de Elon Musk, o Mastodon se tornou um dos aplicativos descentralizados mais populares usados ​​por pessoas comuns. O Mastodon se autodenomina uma “federação” porque consiste em vários milhares de “instâncias” separadas que servem conteúdo às pessoas (ao contrário de empresas como Twitter ou Facebook, que mantêm seus próprios servidores). Qualquer um pode executar o seu próprio ou pedir para se juntar a outra instância, que pode definir seus próprios padrões de moderação.

Pouco foi revelado sobre os cinco bugs que foram corrigidos, embora o pesquisador de segurança independente Kevin Beaumont, escrevendo no Mastodon, tenha dito que uma potencial exploração chamada #TootRoot poderia ter dado aos hackers acesso root às instâncias do Mastodon — o que poderia ter causado todos os tipos de problemas, incluindo contas comprometidas e outros esquemas de phishing.

Veja também:Hackers de Cripto Tendem a Devolver Dinheiro Roubado: TRM Labs

Mastodon gGmbH, a organização que mantém o software de código aberto da Mastodon, classificou um outro bug como crítico e os outros três como de alta e média gravidade. Grandes servidores também receberam pré-anúncios sobre as falhas de segurança nas últimas semanas, para que pudessem estar prontos para implementar rapidamente um patch quando ele fosse ao ar, de acordo com a Ars Technica.

Até onde eu sei, nenhum dos 14,5 milhões de usuários do Mastodon foi afetado pelas linhas ruins de código, que parecem não ter sido exploradas. Mas a situação levanta algumas preocupações desconfortáveis, incluindo quanto tempo os problemas críticos teriam ficado adormecidos se a Mozilla não estivesse interessada em pagar para ver se o Mastodon era seguro. E se um ator ruim poderia ter chegado a ele primeiro.

Essas são questões atuais no mundo do software livre e de código aberto, incluindo (e talvez especialmente) em Cripto. Deixando de lado os desafios de garantir que todos baixem um patch ou estejam executando o software mais recente – (se você for um usuário do Mastodon, verifique se a instância que você está usando está na versão 4.1.3 ou posterior ou persiga o servidor para atualizar) – a segurança de redes compartilhadas está totalmente sujeita às forças de mercado.

Incentivos financeiros cortam os dois lados para hackers, que às vezes podem receber uma recompensa por bug por divulgar adequadamente um problema ou virar e vender as informações maliciosas em um mercado darknet. E T sempre há um Mozilla por aí disposto a pagar por auditorias aprofundadas para garantir que esses sistemas sejam seguros.

O problema só é complicado pela Cripto, que transforma aplicativos em “recompensas multimilionárias por bugs” ou bolsas de surpresas para hackers que buscam ganhar dinheiro QUICK . Alguns US$ 3,1 bilhões foram roubados somente de protocolos de Finanças descentralizadas (DeFi) no ano passado. E mesmo quando fundações de protocolos ou usuários se unem pagam por revisões de código, nem sempre fica claro se o selo de aprovação de um auditor é confiável (frequentemente devido tanto à incompetência quanto à ganância).

Veja também:Chamar um hack de exploit minimiza o erro Human | Opinião

Diyahir Campos, um usuário e desenvolvedor de Cripto que diz ter perdido após o ataque multimilionário à Euler Finanças, revelado recentementeum “disjuntor” DeFi que pausaria os protocolos que estão vendo retiradas anormais. Isso seria um“coisa de adesão voluntária” o que certamente T ofereceria segurança completa aos usuários, mas poderia minimizar a quantidade de dinheiro perdida em hacks.

Soluções como essa são admiráveis, mesmo que não haja soluções fáceis para os problemas da criptografia (e definitivamente não é uma opção “tamanho único”). E, claro, há um risco básico no uso de qualquer programa de computador, seja ele de código aberto ou não. Para não esquecermos que mesmo as instituições aparentemente mais competentes, como o Departamento de Defesa dos EUA ou a Microsoft, não são imunes a bugs catastróficos.

A comunidade FOSS promove uma cultura real de solidariedade e responsabilidade compartilhada, onde o respeito conquistado ao encontrar e divulgar problemas geralmente vale mais do que o dinheiro que eles poderiam ter ganho. Que isso seja um consolo frio para a Cripto, estejam ou não instituições como a Mozilla a caminho da adoção.