Przeskocz do treści

Mastodon – co warto o nim wiedzieć [Aktualizacja: 20.11.2022]


Na przeczytanie potrzebujesz
5 minut(y).

Mastodon - co warto o nim wiedzieć

Chyba nikt, kto używa na co dzień Twittera nie zdołał uciec przed krążącymi wiadomościami o jego rychłym końcu. Zresztą nie pierwszy raz. Tym razem jednak perturbacje związane z przejęciem przez Elona Muska odbijają się echem w internecie wyjątkowo głośno. Dowodem na to może być fala zwolnień goniona przez dobrowolne odejścia pracowników firmy. Niektórzy użytkownicy Twittera powoli zastanawiają się, gdzie w przyszłości będą dzielić się swoimi opiniami, jeżeli serwis jeszcze bardziej  podupadnie lub wręcz zniknie z internetu. Jedną z opcji jest platforma Mastodon.

Czym jest Mastodon?

Mastodon sam siebie określa jako „radykalnie inna sieć społecznościowa, z powrotem w rękach ludzi”. Jest to sieć serwerów hostujących wolne i otwarte oprogramowanie mikroblogowe. Każdy węzeł, tak zwana instancja, jest niezależny od pozostałych i może rządzić się swoimi prawami, w tym stopniem moderacji treści i zasadami prywatności. Użytkownicy jednego serwera mogą jednak bez przeszkód wchodzić w interakcje z użytkownikami innego serwera. Można powiedzieć, że to sieć rozproszonych serwerów, a’la małych “Twitterków”, między którymi użytkownicy mogą się komunikować. Platforma nie jest nowa, bo została ogłoszona publicznie przez swojego twórcę, Eugen'a Rochko, w 2016 roku. Czy jest jednak dojrzała pod względem bezpieczeństwa i prywatności? Na co uważać zakładając konto na Mastodon?

Zacznijmy od podstaw

Przyjrzyjmy się dwóm podstawowym zasadom higieny związanym z każdym kontem do internetowego serwisu (choć jestem przekonany, że każdy czytelnik naszego bloga dobrze już je zna).

  1. Tworząc nowe konto na Mastodon pamiętaj o użyciu silnego i unikalnego hasła. O tym jak stworzyć takie hasło i czemu nie warto używać popularnych haseł pisaliśmy już na łamach naszego bloga. Najlepiej pozwól managerowi haseł na wygenerowanie i przechowywanie go. Jeśli nie wiesz jak zacząć, zapraszamy tutaj.
  2. Po utworzeniu konta włącz dwustopniowe uwierzytelnienie (tzw. 2FA). W zależności od serwera mogą być dostępne różne opcje np. kody OTP generowane przez aplikację (opisane w artykule Nie daj przestępcy ukraść swojego konta gamingowego, czyli co to jest dwuskładnikowe uwierzytelnianie i dlaczego jest ważne? ), klucz sprzętowy (np. Yubikey), czy nawet Passkey (artykuł o tym jeszcze się pisze). Tej opcji należy szukać w Edit Profile > Account > Two-factor Auth. Może się to różnić w zależności od serwera, więc podaną ścieżkę traktuj jako przykład. Zawsze jednak należy skorzystać z tej możliwości, dodać więcej niż jeden „drugi składnik” i zachować kody zapasowe (ang. backup keys) w bezpiecznym miejscu.

Co może was zaskoczyć

1. Wybór serwera

Jest wiele serwerów, na których można założyć konto. Może się wydawać, że nie ma to większego znaczenia, bo przecież i tak można „followować’ ludzi z innych serwerów. Trzeba się jednak zastanowić nad aspektem prywatności. Administratorzy danego serwera nie należą do wielkiej firmy pełnej zasad, których muszą przestrzegać i zależnej od nadzorców, którzy patrzą im na ręce. Instancja Mastodona przypomina raczej forum studenckie, o które dbają ochotnicy. Mają oni dostęp do danych konta, takich jak adres e-mail, adres IP, treść wiadomości prywatnych (o tym później), czy tego jak użytkownik korzysta ze swojego konta.

Administratorzy mogą także usunąć konto na swoim serwerze, a użytkownik nie ma na to wpływu, ani często formalnej drogi odwołania się od decyzji. Ba! Cały serwer może zniknąć z dnia na dzień, bo jest to czyjaś prywatna własność. Administratorzy mogą też zablokować wszystkie konta i kazać użytkownikom płacić za odzyskanie dostępu. Oczywiście łatwo założyć konto na innym serwerze, ale nie odzyskamy listy obserwowanych osób, ani nie poinformujemy naszych „followersów” o nagłej zmianie serwera.

Łatwo powiedzieć: „wybierz serwer, którego administratora znasz i mu ufasz”. Nie sądzę, żebym sam znał osobiście kogoś takiego, a kilka osób parających się IT poznałem. Z racji branży, w której działamy, wybraliśmy serwer https://infosec.exchange, który skupia osoby zajmujące się bezpieczeństwem i prywatnością.

2. Zdradzanie adresu e-mail administratorom serwera

Podstawową informacją potrzebną do założenia konta na Mastodon jest oczywiście adres e-mail. Jeśli uznajecie, że podanie go podczas rejestracji na Mastodon może narazić was na ataki phishingowe lub zwiększoną ilość spamu, możecie założyć osobne konto mailowe lub jakąś formę aliasu (np. korzystając z funkcji Hide My Email, jeśli korzystacie z poczty w Apple iCloud). Czy jest się jednak czego bać? Nie sądzę. Wasz adres e-mail i tak prawdopodobnie już jest w sporej liczbie baz spamerów. Dlatego nie musicie się obawiać otrzymywania jeszcze większej liczby reklam produktów na powiększenie tego i owego. Jeśli chcecie sprawdzić, skąd wyciekł wasz adres, odsyłamy do serwisu Have I Been Pwned. Jeśli chodzi o celowane ataki (ang. spear phishing) na podstawie waszej aktywności na Mastodon, to może trzeba się zastanowić, co publikujecie w mediach społecznościowych. Pewnie więcej informacji o was można zdobyć z Facebooka.

3. Zdradzanie adresu IP adminom serwera

Adresy IP, z których łączycie się do serwera, szczególnie po dłuższym czasie używania Mastodona, mogą zdradzać informacje o tym, skąd postujecie. Podobnie, jak to bywa z innymi mediami społecznościowymi. Oczywiście możecie korzystać z usług VPN, ale zastanówcie się, czy to ma sens. Czy zawsze przed zalogowaniem się będziecie pamiętać o zestawieniu „bezpiecznego” połączenia? Macie osobnego VPN-a do każdej platformy? 

4. Odpowiedzi na żądania służb

Administratorzy serwerów Mastodon to w większości wolontariusze. Robią to po pracy kosztem innych zajęć, znajomych, rodziny. Czy sądzicie, że jeśli dostaną od policji żądanie udostępnienia w ciągu 48 godzin wszystkich postów i danych konta użytkownika podejrzanego o łamanie prawa, to będą przepychać się ze służbami? Walczyć o prywatność użytkowników swojego serwera? Wynajmą do tego celu drogiego prawnika? Mają gotowe procedury na takie przypadki? Przecież dziecko płacze, kolacja stygnie, a nikt nie płaci im za tę robotę… O kłopotach z weryfikacją, czy żądanie rzeczywiście pochodzi od policji nie wspomnę.

Pamiętajcie, że to, co wysyłacie do jakimkolwiek medium społecznościowym, powinno być traktowane jako publiczne nawet, jeśli na takie nie wygląda. W końcu nawet Markowi Zuckerbergowi wyciekły zdjęcia z Facebooka…

5. Wiadomości „prywatne” 

W kwestii wiadomości prywatnych (ang. direct messages) są dwie duże różnice w porównaniu z innymi platformami rzeczy, o których trzeba pamiętać. Po pierwsze wiadomości nie są szyfrowane end-to-end. Coś, co może się wydawać standardem w dzisiejszych mediach społecznościowych komunikatorach, nie zostało (jeszcze?) zaimplementowane w Mastodon. Może nagły przypływ użytkowników zachęci twórców do wprowadzenia tej funkcji. Brak szyfrowania end-to-end oznacza, że administratorzy serwera mogą mieć wgląd do wiadomości użytkowników. Mamy nadzieję, że nasi czytelnicy już wiedzą, że serwisy społecznościowe i komunikatory, które nie korzystają z szyfrowania to nie miejsce na poufne informacje. Polecamy korzystać do tego celu z uznawanego za bezpieczny komunikatora Signal.

7. Wspominanie użytkownika dołącza go do konwersacji „prywatnej”

Drugą dużą różnicą w działaniu wiadomości prywatnych jest mechanizm dołączania użytkownika do „prywatnej’ konwersacji prowadzonej przez inne osoby, w której wspomniano jego nick (np. @[email protected]). Pomyślcie o sytuacji, w której raportujecie do administratora serwera osobę, która łamie zasady. Używacie do tego prywatnej wiadomości, a raportowany jest automatycznie dołączany do tej rozmowy. Nie jest to coś, czego spodziewają się użytkownicy innych platform i może to prowadzić do nieprzyjemnych sytuacji. Aby tego uniknąć należy pominąć znak „@” przed nazwą użytkownika, gdy wspominacie o nim w prywatnej wiadomości.

6. Weryfikacja kont

Nie istnieje. Każdy może zarezerwować dowolną nazwę użytkownika. Można nawet dodać do niej ikonę podobną do znaku weryfikacji znanego z Twittera (tzw. blue check). Zresztą ostatnio na samym Twitterze, w zależności od wizji Elona, znaczy on różne rzeczy. Może to prowadzić do podszywania się pod marki i ludzi przez nieuczciwe osoby, a nawet przestępców. Wyobraźcie sobie sytuację, że ktoś podszywa się pod konto prezydenta USA (@POTUS na Twitterze), używane również do oficjalnych komunikatów, i publikuje informacje o wypowiedzeniu wojny innemu państwu. Albo podszywa się pod firmę i publikuję informację skutkującą spadkiem jej wartości na giełdzie. Sami musicie upewnić się, że dane konto jest pod kontrolą osoby, za którą się podaje. Najlepiej sprawdzić taką informację na oficjalnej stronie/blogu danej osoby/firmy lub zapytać ją bezpośrednio na Twitterze.

Blue check z Twittera nieobecny na Mastodon
Blue check z Twittera oznaczający, że konto zostało zweryfikowane przez platformę.

Z racji swojej rozproszonej natury, różne osoby mogą mieć tę samą nazwę na różnych serwerach Mastodon. Pełna nazwa użytkownika na Mastodon jest skonstruowana z dwóch części:

  • nazwa np. Bezpiecznyblog,
  • adres serwera np. infosec.exchange.
Konstrukcja nazwy użytkownika na platformie Mastodon
Konstrukcja nazwy użytkownika na platformie Mastodon

Zarówno przed jedną, jak i drugą występuje znak „@”. W całości nazwa użytkownika naszego bloga to @[email protected]. Jeśli zobaczycie konto @[email protected], to raczej nie my.

Różne instancje i aplikacje klienckie Mastodon wprowadzają swoje mechanizmy weryfikacji kont. Ze względu na rozdrobnienie i brak spójności, nie wymieniam ich, aby nie wprowadzać zamieszania.

Podsumowanie

Nie wiem, czy Mastodon zostanie z nami na dłużej. Może jest to tylko przelotna moda w odpowiedzi na zmiany w Twitterze (czy ktoś pamięta jeszcze Clubhouse?). Ani nie zniechęcam, ani nie zachęcam do używania tej platformy. Sam mam tam konto, nasz blog z resztą też i zapraszam do obserwowania. Zachęcam jedynie do stosowania podstawowych zasad bezpieczeństwa w internecie i nieco więcej ostrożności niż w przypadku komercyjnych platform.

Aktualizacja [20.11.2022]:

Czytelnik Leszek Karlik w komentarzu pod wpisem zwrócił uwagę, że z akapitu „5. Wiadomości „prywatne”” wynika, że DM na Twitterze i innych mediach społecznościowych są szyfrowane end-to-end, co nie jest prawdą. Akapit został poprawiony. Dzięki!

Jest nam niezwykle miło, że dotarłeś aż tutaj! Jeżeli uważasz, że powyższy tekst jest wartościowy, będziemy wdzięczni za udostępnienie go dalej, bo być może dzięki temu trafi do innej osoby, która również potrzebuje go przeczytać.

Marcin

Bezpiecznik w pracy, geek w domu, macuser tu i tu. Uwielbia słuchać podcastów, automatyzować swoje zadania i pić dobrą kawę.

3 myśli na “Mastodon – co warto o nim wiedzieć [Aktualizacja: 20.11.2022]

  1. Leszek Karlik

    Weryfikacja kont w Mastodonie istnieje i odbywa się przez wstawienie na kontrolowaną przez siebie stronę WWW URL do swojego profilu Mastodona z atrybutem "rel=me" oraz podanie tego URL w profilu Mastodona, dostaje wtedy zielonego ptaszka i tło potwierdzające.

    (A szyfrowanie end-to-end nie istnieje na Twitterze i nie jest standardem na Facebooku, jest obsługiwane tylko w Messengerze między klientami w telefonach, w jakich mediach społecznościowych E2EE jest standardem?)

    Odpowiedz
  2. Marcin

    Zgadzam się, że można zastosować taką metodę (sami ją stosujemy), ale nie działa ona wszędzie np. w oficjalniej aplikacji Mastodona na iOS. Nie jest więc uniwersalna i dlatego pominąłem ją w artykule.

    Dzięki za zwrócenie uwagi na ten błąd z szyfrowaniem end-to-end!

    Odpowiedz

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *