Trên 05 Tháng 12, ai đó bởi nickname IRC của [ubuntu] tham gia vào kênh #pinephone các Pine64 bất hòa với một cầu IRC. Theo tinh thần của truyền thống tặng quà tháng Mười Hai, họ đã cung cấp cá nhân PinePhone đồng của họ với một sử dụng – một “Rắn” trò chơi. Có gì [ubuntu] được cho là tạo ra có tiềm năng để kết thúc lên được một cổ phiếu, out-of-the-box-cài đặt ứng dụng với hàng xóm tuy nhiên một chút dành cho người hâm mộ, các modder cũng như speedrunners.
Thật không may, điều đó sẽ không phải là xen kẽ thế giới chúng ta trực tuyến tại, cũng như tất cả đã không tốt với các bó được chia sẻ cùng với một nơi vừa ý “hei gaiz tôi làm cho con rắn gaem ngay tại đây là link www2-pinephnoe-games-com-tz thay thế dash với dấu chấm kthxbai”thông báo. Đáng kinh ngạc, đó là một trojan! lớp bên dưới của Base64 cũng như Bashfuscator chúng tôi gặp phải mã shell có thể có trong “ví dụ sử dụng” của một mục từ điển đương đại cho từ “yeet”.
Phần nguy hiểm của mã này là không cao – bên cạnh việc gây rối, điều phức tạp nhất về nó là nó Bash, một ngôn ngữ với unreadability nướng tại vì quyền root được cung cấp khi cài đặt gói, phát hiện này dựa trên tương đương đương đại của rm. -rf / * không có khó khăn làm công việc bẩn thỉu của mình lau sạch hệ thống tập tin, chạy một xóa sạch trên tất cả các dữ liệu trước nếu được cung cấp để ngăn chặn phục hồi dữ liệu. như đối với “lau firmware modem di động của” phần thưởng, nó khai thác bản tin CVE-2.021-31.698. tất cả điều đó sẽ xảy ra vào ngày thứ Tư tới tại 20:00, với sắp xếp thực hiện bởi một cronjob systemd hậu thuẫn.
[Ubuntu] không chia sẻ nguồn khác nhau, chỉ là những chương trình, đóng gói để cài đặt đơn giản trên Arch Linux. một trong những thành viên khu phố PinePhone nổi tiếng được cài đặt nhị phân mà cũng như mất niềm vui trong “trò chơi” một phần của nó, hỏi về kế hoạch để làm cho nó mã nguồn mở – nhận bảo đảm từ [ubuntu] rằng các nguồn sẽ được phát hành cuối cùng, “chỉ yêu cầu để làm sạch nó lên”. Một số không như vậy chắc chắn, cho rằng người dân không nên sudo cài đặt-này trò chơi ngẫu nhiên mà không có một liên kết repo mã nguồn. mọi người đều trong tình trạng báo thấp, cũng như có thể đã được càng nhiều càng tốt về một rất nhiều cài đặt trước khi cẩn thận cũng như thành viên thông minh untarred bó cũng như những người hiểu biết để base64 đáng ngờ trong kịch bản .INSTALL, khoảng một nửa ngày một lát sau.
Làm thế nào Chúng tôi dịch này?
Đây là một quy mô nhỏ chưa nỗ lực cao tấn công phá hoại trên người dùng PinePhone, nhắm vào những người sử dụng Arch đặc biệt, bằng cách này. Người gửi malware tiết lộ “những nỗ lực tiến bộ trò chơi” của họ trước khi xuất bản, ở lại trong kênh làm một chút về cuộc nói chuyện nhỏ cũng như Q & A, cũng như bằng cách khác là không nhanh chóng phân biệt với một nhà thiết kế điển hình liên quan đến ban phước cho một nền tảng tiềm năng với họ đầu tiên ứng dụng. rất nhiều của tất cả, trò chơi con rắn đã vô cùng nhiều chính hãng – nó không loại bỏ xem mã có thể đã bị đánh cắp từ một số dự án mã nguồn mở, tuy nhiên bạn sẽ không phân biệt nó từ một trò chơi con rắn không độc hại. Đó là tò mò mà bó dường như không được gửi dữ liệu cá nhân cho bất kỳ loại máy chủ (hoặc mã hóa tập tin, hoặc buộc bạn phải thưởng thức quảng cáo tương tự như trò chơi di động hiện đại) – nó nhanh chóng có thể, tuy nhiên nó không.
Với khối lượng công việc được thực hiện trên PinePhone modem di động ngược-kỹ thuật, nó đặc biệt mà các phần mềm độc hại lợi dụng các CVEs tìm thấy cùng với nỗ lực đó. Bạn sẽ không mong đợi một loại virus điện thoại bình thường để kéo giảm một thủ thuật gạch modem di động, cung cấp sự phân mảnh của thế giới Android cũng như obfuscation của Apple trên thế giới. Funnily đủ, firmware mã nguồn mở cộng đồng phát triển cho modem di động Quectel là miễn dịch với các lỗi được khai thác cũng như được rất nhiều tổng quát hơn đầy đủ tính năng, tuy nhiên Pine64 là cần thiết để tàu firmware độc quyền khai thác bằng cách mặc định cho tuân thủ quy định lý do – những hậu quả cho bước ra khỏi dòng trên có đủ quyết liệt, theo một nguồn tin Pine64.
Câu hỏi mùa xuân trong tâm trí. PinePhone là một nền tảng rủi ro? mất của tôi là – “yes” khi so sánh với bất cứ điều gì khác, “không” nếu bạn mong đợi để được rủi ro vô điều kiện khi sử dụng nó. Khi đứng, đó là một nền tảng đó một cách rõ ràng cần thấu hiểu của bạn về những gì bạn đang chỉ đạo nó làm.
Với các bản phân phối hệ điều hành rất nhiều cung cấp hơn bất kỳ loại hình khác điện thoại đương đại sức tự hào về việc có thể để hỗ trợ, bạn có thể sử dụng một cái gì đó như Ubuntu Touch cho trải nghiệm mượt mà. Bạn được cung cấp rất nhiều tổng quát hơn sức mạnh để giữ cho mình rủi ro khi sử dụng một PinePhone. những người hiểu được tiềm năng của năng lượng này là loại người đã đóng góp cho dự án PinePhone, đó là lý do tại sao nó không may rằng họ đặc biệt được nhắm mục tiêu trong sự kiện này.
các nền tảng khác sửa chữa các vấn đề như vậy trong nhiều cách khác nhau, nơi mà chỉ là một phần của các tùy chọn là phần mềm ứng dụng thực tế cũng như công trình kiến trúc được thực hiện bởi nền tảng này, cũng như một trong hơn là bằng cách đào tạo người sử dụng. VìVí dụ, bạn không dự kiến sẽ sử dụng một appstore của bên thứ ba (hoặc firmware, hoặc sạc, hoặc phương pháp grip) trên iPhone của bạn, cũng như Android có hộp kiểm chế độ thiết kế, bạn có thể đạt được nếu bạn tái tạo chuyển động thứ ba của “Flight of các Bumblebee”với ngón tay của bạn vào màn hình cài đặt. Phương pháp hệ sinh thái Linux là phụ thuộc vào hạt nhân để cung cấp đáng tin cậy nguyên thủy an toàn ở mức độ thấp, tuy nhiên hiện nghĩa vụ là trên các bản phân phối để tích hợp phần mềm ứng dụng cũng như cấu hình mà làm cho sử dụng các nguyên thủy.
Tôi muốn đề nghị rằng các bản phân phối Linux di động nên xác định cũng như bảo vệ thiết lập của họ trên phạm vi “an ninh” cũng vậy, xây dựng trên quy trình họ thực hiện khi nó gắn liền với ứng dụng của bên thứ ba. nửa năm trước, khi tôi đang chuẩn bị một bản tóm tắt về hệ điều hành khác nhau cung cấp cho PinePhone cũng như quan điểm của họ về an ninh ứng dụng, nó đã cho tôi phương pháp rất nhiều thời gian hơn tôi sẽ cảm thấy thoải mái khi có ai đó chi tiêu trên một nhiệm vụ có ý nghĩa như vậy.
Tùy chọn chúng tôi là gì?
Các ý chính của các khuyến nghị được cung cấp ra người mới là “không thiết lập phần mềm ứng dụng ngẫu nhiên bạn không thể tin tưởng”. Trong khi đây là lời khuyên hữu ích trên riêng của mình, bạn sẽ là lý tưởng để chỉ ra – một trò chơi không nên có thể xóa sạch hệ thống của bạn, cũng như “có được người dùng tốt hơn nhiều” thường không phải là một chiến lược khả thi. bất kỳ loại chiến lược an toàn phủ nhận về sai lầm của con người vốn có sẽ không làm cho nó trong thế giới hiện đại, vì vậy chúng ta hãy xem những gì chúng ta có thể làm gì tiếp theo để bình thường “giáo dục người dùng” phần. Như thường lệ, có một XKCD để bắt đầu với.
Ngay cả việc có thể để soạn vào tập dữ liệu người dùng sở hữu tùy ý trên một hệ thống Linux là “game over”. Say, trong $ HOME / .bashrc, bạn có thể alias sudo để stdin-ghi-app sudo cũng như có được giữ mật khẩu của người dùng lần sau họ chạy sudo trong nhà ga. .bashrc không phải là dữ liệu chỉ có một người sử dụng có thể ghi nhận được thực hiện thường xuyên, một trong hai. Trong khi lựa chọn sandboxing đang được thiết lập để sửa chữa các loại của các vấn đề, công việc là chậm chạp cũng như các yếu tố của nó là không tầm thường, thông thường nhất được gọi là “năng động cũng như danh sách trắng phức tạp”.
Một mảnh các khuyến nghị thường xuyên trao là “nếu bạn không thể kiểm tra ra mã cũng như thấu hiểu những gì nó, đừng chạy nó”, có lẽ, có nghĩa là để áp dụng cho các bó cũng như codebases dài hơn một dự án vào cuối tuần. Trớ trêu thay, điều này đặt Linux tại một nhược điểm không có cơ sở để hệ thống mã nguồn đóng. Các “chia sẻ một .exe” phương pháp của các ứng dụng phân phối là lớn tuổi hơn tôi cá nhân, cũng như nó vẫn là một kỹ thuật được chấp nhận chia sẻ phần mềm ứng dụng mà ai đó sáng tác dành cho Windows, với UAC đã kết thúc lên được nêu ra một hộp nhấp phản hơn. Một lần nữa, đặt rất nhiều chi tiết của một vấn đề an toàn trên vai người dùng Linux là đơn giản tuy nhiên ngu ngốc.
Would chia sẻ mã nguồn thậm chí hỗ trợ trong tình hình phần mềm độc hại? Không! Trong thực tế, gắn một liên kết đến một repo mã nguồn sẽ hỗ trợ [ubuntu] làm cho phân phối phần mềm độc hại rất nhiều hợp lý hơn. Khi bạn xuất bản một gói, thậm chí trên các nền tảng được cho là đáng tin cậy, có hiếm khi bất kỳ loại hình kiểm tra về việc liệu các mã bên trong bó bạn xuất bản các trận đấu mã trong repo của bạn.
Đó là đúng đối với rất nhiều địa điểm – GitHub cũng như các phiên bản GitLab, DockerHub, NPM, RubyGems, cửa hàng mở rộng trình duyệt, PyPi, kho Linux cũng như một số thậm chí được cho là phi rủi ro, như F-droid, dễ bị tổn thương. cung cấp mã nguồn cùng một gói độc hại thêm tính hợp pháp, cũng như mất đi ưu đãi cho những người có tay nghề cao để kiểm tra việc nhị phân ở vị trí đầu tiên – hey, của có mã để xem đã! Nếu [ubuntu] đã làm điều đó, có lẽ chúng ta muốn được nói về điều này xảy ra vài ngày sau đó cũng như trong một giai điệu buồn nhiều hơn nữa. tấn công chuỗi cung ứng là nóng mới vào năm 2020 cũng như năm 2021.
Rất nhiều hệ thống an toàn, chúng tôi đã thiết lập được niềm tin dựa trên. bó ký là một trong những nổi tiếng nhất, nơi một chữ ký mật mã của một người chịu trách nhiệm về việc bảo tồn các bó được sử dụng để thiết lập “chứng từ X người cho vô hại của gói này”. HTTPS là thêm một sự đổi mới niềm tin dựa trên chúng tôi sử dụng hàng ngày, tuy nhiên, thực sự, bạn đang tin tưởng của trình duyệt của bạn hoặc phương pháp keystore duy trì hệ điều hành nhiều hơn bất kỳ loại của chủ sở hữu quyết định cụ thể.
Khi thi hành đến mức độ mà nó thực sự làm cho chúng tôi rất nhiều, tin tưởng dựa trên puts công nghệ an toàn hơn là một vấn đề về thiết kế mới, những người không có khá đánh bóng xã hội cũng như sức mạnh mật mã. Tuy nhiên, khi thường đã hài lòng với thiếu tài liệu hướng dẫn, các API không đầy đủ cũng như các thư viện chưa được kiểm tra, phải chúng ta thực sự được đẩy mạnh vấn đề bất kỳ loại hơn nữa? có lẽ đó không phải là quá tệ.
Việc ký kết công nghệ tin tưởng dựa trên tôi đề cập thường được sử dụng để hình ảnh hệ điều hành bạn thường tải về bootstrap máy tính của bạn (hoặc điện thoại!) Với Linux cài đặt, tuy nhiên nó vẫn chưa nổi bật trên PinePhone – ví dụ, chứ không phải một vài hình ảnh hệ điều hành cho PinePhone don ‘t có chữ ký như vậy, mà tôi đã không hài lòng bởi, xem xét rằng rất nhiều nhà phân phối lớn cho s PCUpply những điều này cũng như tôi mong đợi khu vực điện thoại Linux không khác nhau, cũng như không có chữ ký có thể là thảm họa. Thay vào đó, một vài tính năng liên quan đến bảo mật như thế này để có để thực hiện, tuy nhiên không được sử dụng vì họ cần nỗ lực phi tầm thường để tạo hình thành các cơ sở của dự án nếu nó không được tạo ra với sự an toàn trong tâm trí từ đầu, hoặc tạo ra một vấn đề thêm cho các nhà phát triển.
Chúng ta thực sự cần gì?
Vùng lân cận PinePhone đã triển khai một số quy tắc mới, một số kênh vào lãnh thổ “Tự động hóa”. Điều này có khả năng hỗ trợ một loại vấn đề nhất định ít có tác động hơn trong tương lai – mặc dù tôi khuyên rằng bộ nhớ thể chế phải đóng một phần lớn hơn trong việc này. Hãy cẩn thận với những người Hy Lạp mang quà tặng … lên cho đến khi họ khám phá chính xác cách làm việc xung quanh heuristic của Bot của bạn? Tôi đã có, ví dụ. Đây là một chủ đề hoành tráng với rễ vượt quá phần mềm độc hại rắn thông lớn năm 2021, cũng như bài đăng này thậm chí không phải là về nó nhiều như đang hỗ trợ bạn hiểu những gì với các yếu tố quan trọng của bảo mật Linux, hoặc thậm chí có thể là sự an toàn của Tất cả các phần mềm nguồn mở.
Đối với tôi, phần mềm độc hại này sẽ tấn công các ghi chú của “không thể tránh khỏi” cũng như “điều chỉnh khóa học” cũng như “Nỗi đau đang phát triển”. Các cuộc thảo luận về việc phụ thuộc vào cũng như ứng dụng phần mềm mang vị trí ở mọi khu phố đủ lớn.
Chúng tôi yêu cầu xác nhận rằng phần mềm độc hại Linux là có thể cũng như cuối cùng có thể kết thúc là rộng rãi, cũng như một cuộc thảo luận lành mạnh về chính xác làm thế nào để ngăn chặn nó là rất quan trọng. Linux vẫn còn thành công không có phần mềm độc hại, tuy nhiên ngày chúng ta không còn có thể chỉ định như vậy là tiếp cận chúng ta.
Tôi không chắc chắn về sửa đổi chương trình chính xác mà chúng ta cần. Sống trong hệ thống đi một chặng đường dài, tuy nhiên các quy trình an toàn mà chúng tôi hy vọng không thể loại trừ các cá nhân quyền lực cũng như các nhà phát triển mới bắt đầu. Về mặt kỹ thuật, cho dù đó là container hóa, sandboxing, cơ sở hạ tầng dựa trên tin cậy hoặc các ngôn ngữ an toàn bộ nhớ, chúng ta yêu cầu hiểu những gì chúng ta yêu cầu trước khi chúng ta hiểu những gì cần hỏi.
Tôi muốn nói lời cảm ơn đến [Lukasz] của khu phố Pine64 cũng như [hacker Fantastic] để hỗ trợ các kiểm tra thực tế hoàn cảnh thông.