Что говорят критические исправления ошибок Mastodon об уязвимостях безопасности Crypto

Несколько критических ошибок в социальной медиа-платформе Mastodon, похожей на Twitter, были исправлены на прошлой неделе после того, как исследователи, финансируемые Mozilla Foundation, признались в своей работе.уязвимости. Ситуация демонстрирует ONE из основных компромиссов в разработке программного обеспечения с открытым исходным кодом: общедоступный код может быть просмотрен и использован кем угодно.

Иногда это означает, что ошибки обнаруживаются так называемымибелые хакеры, а иногда их оставляют открытыми для эксплуатации. В случае с Mastodon, Mozilla заплатила немецкой фирме безопасности Cure53 за проверку социальной сети на проникновение, после объявления о планах, что она будетс использованием Мастодонтадля некоторых корпоративных коммуникаций.

Это отрывок из информационного бюллетеня The Node, ежедневного обзора самых важных новостей Криптo на CoinDesk и за его пределами. Вы можете подписаться, чтобы получать полную информационный бюллетень здесь.

Особенно в эпоху после покупки Twitter Илоном Маском, Mastodon стал ONE из самых популярных децентрализованных приложений, используемых обычными людьми. Mastodon называет себя «федерацией», поскольку состоит из нескольких тысяч отдельных «экземпляров», которые обслуживают людей контентом (в отличие от таких компаний, как Twitter или Facebook, которые поддерживают свои собственные серверы). Любой может запустить свой собственный экземпляр или попросить присоединиться к другому экземпляру, который может устанавливать свои собственные стандарты модерации.

О пяти исправленных ошибках пока ничего не известно, хотя независимый исследователь безопасности Кевин Бомонт, пишущий о Mastodon, сказал, что ONE потенциальный эксплойт, получивший название #TootRoot, мог предоставить хакерам доступ с правами root к экземплярам Mastodon, что могло вызвать всевозможные проблемы, включая взлом учетных записей и другие фишинговые схемы.

Смотрите также:Криптo склонны возвращать украденные деньги: TRM Labs

Mastodon gGmbH, организация, которая поддерживает программное обеспечение Mastodon с открытым исходным кодом, оценила еще ONE ошибку как критическую, а три других как высокую и среднюю серьезность. Крупные серверы также получили предварительные объявления о дырах в безопасности в последние недели, чтобы они могли быть готовы быстро развернуть исправление, когда оно будет запущено, согласно Ars Technica.

Насколько я могу судить, ни один из 14,5 миллионов пользователей Mastodon не пострадал от плохих строк кода, которые, похоже, не были использованы. Но ситуация действительно вызывает некоторые неприятные опасения, включая то, как долго критические проблемы оставались бы бездействующими, если бы Mozilla не была заинтересована в том, чтобы заплатить за проверку безопасности Mastodon. И мог ли злоумышленник добраться до них первым.

Это актуальные проблемы в мире свободного и открытого программного обеспечения, включая (и, возможно, особенно) Криптo. Оставляя в стороне проблемы, связанные с необходимостью убедиться, что все загружают патч или используют последнюю версию программного обеспечения (если вы пользователь Mastodon, проверьте, что используемый вами экземпляр имеет версию 4.1.3 или более позднюю, или попросите сервер обновиться), безопасность общих сетей полностью зависит от рыночных сил.

Финансовые стимулы обоюдоострые для хакеров, которые иногда могут получить вознаграждение за правильное раскрытие проблемы или же развернуться и продать вредоносную информацию на рынке даркнета. И T всегда найдется Mozilla, которая захочет платить за углубленные аудиты, чтобы убедиться, что эти системы безопасны.

Проблема только усложняется Криптo, которая превращает приложения в «многомиллионные вознаграждения за ошибки» или хакерские пакеты для наживы, которые хотят QUICK заработать. Некоторые Было украдено 3,1 миллиарда долларов только от протоколов децентрализованных Финансы (DeFi) в прошлом году. И даже когда фонды протоколов или пользователи объединяются и платят за проверки кода, не всегда ясно, можно ли доверять одобрению аудитора (часто из-за некомпетентности и жадности).

Смотрите также:Называя взлом эксплойтом, мы минимизируем Human ошибку | Мнение

Дияхир Кампос, пользователь Криптo и разработчик, который утверждает, что он понес убытки после многомиллионной атаки Euler Финансы, недавно раскрыто«Выключатель» DeFi, который приостановит протоколы, увидев аномальные снятия. Это будет«вещь, требующая выбора», что, конечно, T обеспечит пользователям полной безопасности, но может свести к минимуму сумму денег, потерянных в результате взломов.

Подобные решения достойны восхищения, даже если нет простых решений проблем криптографии (и определенно не «универсального» варианта). И, конечно, есть базовый риск в использовании любой компьютерной программы, независимо от того, открыта она или нет. Не стоит забывать, что даже самые компетентные на первый взгляд учреждения, такие как Министерство обороны США или Microsoft, не застрахованы от катастрофических ошибок.

Сообщество FOSS воспитывает настоящую культуру солидарности и общей ответственности, где уважение, полученное за обнаружение и раскрытие проблем, часто стоит больше, чем деньги, которые они могли бы заработать. Пусть это будет слабым утешением для Криптo, независимо от того, находятся ли такие институты, как Mozilla, на пути к принятию.