Στις 5 Δεκεμβρίου κάποιος από το IRC ψευδώνυμο του [ubuntu] εντάχθηκε το κανάλι #pinephone του Pine64 Έριδος με μια γέφυρα IRC. Στο πνεύμα του Δεκεμβρίου παραδόσεις δώρο-δίνοντας, έχουν παράσχει συναδέλφους άτομα PinePhone τους με τη χρήση – το «φίδι» το παιχνίδι. Τι [ubuntu] που υποτίθεται ότι δημιουργήθηκε έπρεπε ο υποψήφιος να κατέληξε να είναι ένα απόθεμα, out-of-the-box-εγκατεστημένη εφαρμογή με μια μικρή όμως αφιερωμένο γειτονιά των οπαδών, modders, καθώς και speedrunners.
Δυστυχώς, αυτό δεν θα είναι το εναλλασσόμενο κόσμο που σε απευθείας σύνδεση σε, καθώς και όλα δεν ήταν καλά με το πακέτο που μοιράζεται μαζί με μια ευχάριστη «Hei gaiz κάνω φίδι gaem εδώ είναι η σύνδεση www2-pinephnoe-games-com-tz αντικατάσταση παύλα με τελεία kthxbai ανακοίνωση». Συγκλονιστικά, ήταν ένα trojan! κάτω από τα στρώματα του Base64 καθώς και Bashfuscator είχαμε συναντήσει κέλυφος κώδικα που μπορεί να είναι στην ενότητα «παράδειγμα χρήσης» ενός σύγχρονου εισόδου θησαυρό για τη λέξη «yeet».
Το κακόβουλο τμήμα του κώδικα δεν έχει προχωρήσει – εκτός από συσκότιση, το πιο πολύπλοκο πράγμα για αυτό είναι ότι είναι Bash, μια γλώσσα με αδυναμία ανάγνωσης ψημένο σε εξαιτίας των προνομίων root παρέχονται κατά την εγκατάσταση του πακέτου, το εύρημα με βάση το σύγχρονο αντίστοιχο του rm. -rf / * δεν έχει καμία δυσκολία να το κάνουν βρώμικο έργο της σκουπίζοντας το σύστημα αρχείων καθαρό, τρέχει ένα κομματάκι σε κάθε δεδομένα εκ των προτέρων αν προσφέρθηκε να ματαιώσει την ανάκτηση των δεδομένων. Όσο για την «σκουπίσει firmware του κυψελοειδούς μόντεμ» μέρος ανταμοιβή, εκμεταλλεύεται την CVE-2021 με 31698. όλα αυτά θα συμβούν σε επόμενη Τετάρτη στις 20:00, με την οργάνωση γίνεται από έναν systemd-backed cronjob.
[Ubuntu] δεν μοιράζονται τις πηγές, μόνο τα δυαδικά αρχεία, συσκευασμένα για απλή εγκατάσταση σε Arch Linux. ένα από τα διάσημα μέλη της γειτονιάς PinePhone εγκατασταθεί αυτό το δυαδικό, καθώς πήρε την ευχαρίστηση στο «παιχνίδι» μέρος του, ζητώντας σχετικά με τα σχέδια για το open-source κάνουν – να πάρει διαβεβαίωση από [Ubuntu] ότι οι πηγές θα κυκλοφορήσει τελικά, «μόνο υποχρέωση να το καθαρίσει». Κάποιοι δεν ήταν τόσο σίγουρος, υποστηρίζοντας ότι οι άνθρωποι δεν θα πρέπει να sudo εγκαταστήσετε-αυτό τυχαία παιχνίδια χωρίς repo σύνδεσμο πηγαίο κώδικα. οι άνθρωποι ήταν σε χαμηλή επιφυλακή, καθώς εκεί μπορεί να πάει όσο περίπου ένα πολλά εγκαταστάσεις πριν από μια προσεκτική, καθώς και έξυπνη μέλος untarred το πακέτο, καθώς και ενημέρωση τους ανθρώπους να ύποπτες base64 στο σενάριο .install, περίπου μισή ημέρα αργότερα.
Πώς θα μεταφράσει αυτό;
Αυτό ήταν ένα μικρής κλίμακας αλλά υψηλής προσπάθεια καταστροφική επίθεση σε χρήστες PinePhone, με στόχο αυτά που χρησιμοποιούν Arch συγκεκριμένα, από τον τρόπο. Το κακόβουλο λογισμικό αποστολέα αποκάλυψε «τις προσπάθειες εξέλιξη του παιχνιδιού» τους πριν από τη δημοσίευση, έμεινε στο κανάλι κάνει λίγη λίγη συζήτηση, καθώς και Q & A, καθώς διαφορετικά δεν ήταν άμεσα διακρίνεται από μια τυπική σχεδιαστή σχετικά με ευλογήσει μια πιθανή πλατφόρμα με το πρώτο τους πολύ app. πολλοί απ ‘όλα, το παιχνίδι φίδι ήταν εξαιρετικά πολύ γνήσια – δεν είναι αφαιρέσετε αν ο κωδικός μπορεί να έχουν κλαπεί από κάποιο έργο ανοικτού πηγαίου κώδικα, ωστόσο, δεν θα το διαφοροποιούν από ένα μη-κακόβουλες παιχνίδι φίδι. Είναι περίεργο το γεγονός ότι η δέσμη δεν φαίνεται να είναι η αποστολή δεδομένων προσωπικού χαρακτήρα σε κάθε είδους servers (ή κρυπτογράφηση αρχείων, ή να σας αναγκάσει να απολαύσετε τις διαφημίσεις παρόμοια με τη σύγχρονη κινητά παιχνίδια) – γρήγορα μπορούσε, όμως δεν το κάνει.
Με το ποσό της εργασίας που γίνεται στο PinePhone κυψελοειδές μόντεμ αντίστροφη μηχανική, περίεργο το ότι το κακόβουλο λογισμικό εκμεταλλεύεται τα CVEs που βρέθηκαν μαζί με την εν λόγω προσπάθεια. Δεν θα περίμενε κανείς ένα κανονικό ιό τηλέφωνο για να τραβήξει από μια κυτταρική τέχνασμα μόντεμ τούβλα, υπό την προϋπόθεση ότι ο κατακερματισμός του Android κόσμο, καθώς και τη συσκότιση της Apple κόσμου. Παραδόξως, το λογισμικό ανοιχτού κώδικα κοινότητα που αναπτύχθηκε για το κυψελοειδές μόντεμ Quectel είναι απρόσβλητες από τον ιό της εκμετάλλευσης, καθώς είναι γενικά πολύ πιο πλήρως εξοπλισμένο, ωστόσο Pine64 είναι απαραίτητη για την αποστολή του εκμεταλλεύσιμα ιδιόκτητο firmware από προεπιλογή για την κανονιστική συμμόρφωση λόγους – οι συνέπειες για την ενίσχυση από τη γραμμή για να είναι δραστική αρκετά, σύμφωνα με μια πηγή Pine64.
Οι ερωτήσεις έρχονται στο μυαλό. Είναι PinePhone μια πλατφόρμα χωρίς κίνδυνο; Να μου είναι – «ναι» σε σύγκριση με οτιδήποτε άλλο, «όχι» αν περιμένετε να είναι άνευ όρων χωρίς κίνδυνο όταν χρησιμοποιούν. Όπως έχουν τα πράγματα, είναι μια πλατφόρμα που χρειάζεται ρητή σας την κατανόηση του τι είστε κατευθύνει να κάνει.
Με πολλά περισσότερα διανομές OS που προσφέρονται από οποιοδήποτε είδος των άλλων σύγχρονων τηλεφώνου μπορεί να επαίρεται για να είναι σε θέση να υποστηρίξει, μπορείτε να χρησιμοποιήσετε κάτι σαν το Ubuntu Touch για μια ομαλή εμπειρία. Σας παρέχεται γενικά πολύ περισσότερη δύναμη για να κρατήσει τον εαυτό σας χωρίς κίνδυνο όταν χρησιμοποιούν μια PinePhone. οι άνθρωποι που κατανοούν την προοπτική αυτής της ενέργειας είναι το είδος των ανθρώπων που συνεισφέρουν στο έργο PinePhone, και γι ‘αυτό είναι ατυχές το γεγονός ότι κυρίως στόχευαν σε αυτή την εκδήλωση.
Άλλες πλατφόρμες διορθώσετε τα ζητήματα αυτά με διάφορους τρόπους, όπου μόνο μέρος του επιλογή είναι πραγματική εφαρμογή λογισμικού, καθώς και αρχιτεκτονικές εργασίες της πλατφόρμας, καθώς και ένα ακόμα είναι η εκπαίδευση των χρηστών. Γιαπαράδειγμα, δεν είστε αναμένεται να χρησιμοποιήσει μια AppStore τρίτου μέρους (ή το firmware, ή το φορτιστή, ή μέθοδος λαβή) στο iPhone σας, καθώς το Android έχει πλαίσια ελέγχου λειτουργίας σχεδιαστής μπορείτε να φτάσετε αν αναδημιουργήσει την τρίτη κίνηση «Πτήση του η μέλισσα»με το δάχτυλό σας στην οθόνη ρυθμίσεων. Η μέθοδος οικοσύστημα του Linux είναι ότι εξαρτάται από το πυρήνα για την παροχή αξιόπιστων πρωτόγονων ασφάλειας χαμηλού επιπέδου, ωστόσο, η υποχρέωση αυτή από τις κατανομές για την ενσωμάτωση εφαρμογών λογισμικού καθώς και διαμορφώσεις που κάνουν χρησιμοποιούν αυτών των πρωτόγονων.
Θα πρότεινα ότι η κινητή διανομές Linux θα πρέπει να καθορίσει, καθώς και τη διατήρηση ρύθμιση τους στην κλίμακα «ασφάλεια», επίσης, την εκπόνηση σχετικά με τις διαδικασίες που λαμβάνουν όταν αναφέρεται σε εφαρμογές τρίτων. Πριν από μισό χρόνο, όταν ετοίμαζα μια περίληψη σε διαφορετικά λειτουργικά συστήματα που προσφέρονται για PinePhone, καθώς και τις θέσεις τους για την ασφάλεια app, μου μέθοδο πήρε πολύ περισσότερο χρόνο από ό, τι θα ήθελα να αισθάνονται άνετα με κάποιον δαπάνη για ένα έργο τέτοιας σημασίας.
Τι είναι οι επιλογές μας;
Η ουσία των συστάσεων που προβλέπονται με νέα μέλη είναι «μην δημιουργηθεί τυχαία εφαρμογή λογισμικού που δεν μπορείτε εμπιστοσύνης». Αν και αυτό είναι μεγάλη συστάσεις από μόνη της, θα ήταν ιδανικό να επισημάνω – ένα παιχνίδι που δεν θα πρέπει να είναι σε θέση να εξαλείψει το σύστημά σας, καθώς και «να πάρει πολύ καλύτερα χρήστες» συνήθως δεν είναι μια βιώσιμη στρατηγική. κάθε είδους στρατηγικής ασφάλειας σε άρνηση σχετικά με εγγενή ανθρώπινα λάθη δεν πρόκειται να το κάνει στο σύγχρονο κόσμο, οπότε ας δούμε τι μπορούμε να κάνουμε στη συνέχεια στην κανονική «εκπαιδεύσει τους χρήστες» μέρος. Ως συνήθως, υπάρχει μια XKCD για να αρχίσει με.
Ακόμα και να είναι σε θέση να συνθέσει σε ένα αυθαίρετο δεδομένων των χρηστών που ανήκουν σε ένα σύστημα Linux είναι «το παιχνίδι τελείωσε». Ας πούμε, στο $ HOME / .bashrc, μπορείτε να το ψευδώνυμο sudo για να stdin-ηχογράφηση-app sudo καθώς και να πάρει στα χέρια του κωδικού πρόσβασης του χρήστη επόμενη φορά που θα εκτελέσετε sudo στο τερματικό. .bashrc δεν είναι τα δεδομένα μόνο ένας χρήστης-εγγράψιμο πάρει διενεργούνται τακτικά, είτε. Ενώ το περιβάλλον δοκιμών επιλογές που δημιουργήθηκε για να διορθώσετε αυτού του είδους τα προβλήματα, η εργασία είναι υποτονική, καθώς και τα στοιχεία που είναι μη-τετριμμένο, συνήθως καλύτερα αναφέρεται ως «δυναμικό, καθώς και πολύπλοκες λευκές λίστες».
Ένα κομμάτι της συχνά διανέμονται συστάσεις είναι «αν δεν μπορείς να ελεγχθεί το κωδικό καθώς και κατανοεί τι σημαίνει, δεν το τρέξει», προφανώς, προορίζεται να εφαρμοστεί σε δέσμες, καθώς και codebases περισσότερο από ένα έργο το Σαββατοκύριακο. Κατά ειρωνικό τρόπο, αυτό βάζει Linux σε μια αδικαιολόγητη μειονέκτημα σε συστήματα κλειστού κώδικα. Η μέθοδος «μοιράζονται ένα .exe» για τη διανομή εφαρμογών είναι μεγαλύτερα από ό, τι είμαι προσωπικά, καθώς εξακολουθεί να είναι αποδεκτή τεχνική διαμοιρασμού εφαρμογή λογισμικού που κάποιος αποτελείται για Windows, με το UAC που κατέληξε να είναι ένα ακόμη αντανακλαστικές κουτί κλικ. Και πάλι, βάζοντας πολύ περισσότερο από ένα πρόβλημα ασφαλείας στους ώμους τους χρήστες του Linux είναι απλή, ωστόσο ανόητο.
Θα μπορούσε μοιράζονται τον πηγαίο κώδικα, ακόμη και να βοηθήσει στην malware κατάσταση; Οχι! Στην πραγματικότητα, συνδέοντας μια σύνδεση με ένα πηγαίο κώδικα των συμφωνιών επαναγοράς θα βοηθούσε [ubuntu] κάνει το κακόβουλο λογισμικό διανομής πολύ πιο πιθανή. Όταν δημοσιεύετε ένα πακέτο, ακόμα και σε δήθεν αξιόπιστες πλατφόρμες, υπάρχει σπάνια οποιοδήποτε είδος των ελέγχων σχετικά με το εάν ο κώδικας μέσα στο πακέτο που δημοσιεύει αγώνες ο κώδικας σε repo σας.
Αυτό είναι αλήθεια για μια μεγάλη περιοχές – GitHub, καθώς και τα δελτία GitLab, DockerHub, NPM, RubyGems, καταστήματα επέκταση του προγράμματος περιήγησης, PyPi, αποθετήρια Linux καθώς και μάλιστα ορισμένοι δήθεν άνευ κινδύνου, όπως το F-Droid, είναι ευάλωτα. παροχή πηγαίο κώδικα μαζί με κακόβουλο πακέτο προσθέτει νομιμότητα, καθώς αφαιρεί τα κίνητρα για τους ειδικευμένους ανθρώπους για να επιθεωρήσει το δυαδικό στην πρώτη θέση – Γεια σου, ο κωδικός εκεί για να δούμε ήδη! Εάν [ubuntu] έκανε ακριβώς αυτό, ίσως θα πρέπει να μιλάμε για αυτό το περιστατικό λίγες ημέρες αργότερα, καθώς και σε μια πολύ πιο θλιβερή τόνο. επιθέσεις εφοδιαστικής αλυσίδας είναι η νέα hotness το 2020 καθώς και το 2021.
Αφθονία των συστημάτων ασφάλειας που έχουμε δημιουργήσει είναι βασίζεται στην εμπιστοσύνη. δέσμη υπογραφή είναι η πιο γνωστή μία, όπου μια κρυπτογραφική υπογραφή του προσώπου υπεύθυνου για τη διατήρηση της δέσμης χρησιμοποιείται για τη δημιουργία «εγγυάται Χ άτομο για αβλαβές αυτού του πακέτου». HTTPS είναι ένα βασίζεται περισσότερο στην εμπιστοσύνη καινοτομίας χρησιμοποιούμε καθημερινά, όμως, πραγματικά, είστε εμπιστοσύνη του browser σας ή τη μέθοδο αποθήκευσης κλειδιών συντηρητή OS είναι πολύ περισσότερο από οποιοδήποτε είδος των συγκεκριμένων κρίσιμο ιδιοκτήτη.
Όταν εφαρμόζονται στο βαθμό που αυτό μας κάνει πραγματικά πολύ πιο ασφαλή, βασισμένη στην εμπιστοσύνη τεχνολογίας βάζει ένα πρόβλημα για νέους σχεδιαστές που δεν έχουν αρκετά γυαλισμένο κοινωνική όσο και κρυπτογραφικές ανδρεία. Ωστόσο, όταν συνήθως ήδη ικανοποιημένοι με την έλλειψη τεκμηρίωσης, ελλιπής APIs καθώς και μη δοκιμασμένες βιβλιοθήκες, πρέπει να είμαστε πραγματικά να ενισχύοντας το πρόβλημα κάθε είδους περαιτέρω; Ίσως αυτό δεν είναι τόσο κακό.
Η εμπιστοσύνη που βασίζεται υπογραφή τεχνολογίας αναφέρω συνήθως χρησιμοποιείται για τις εικόνες OS κανονικά κατεβάσετε για την εκκίνηση του υπολογιστή σας (ή το τηλέφωνο!) Με το Linux εγκατάσταση, ωστόσο δεν είναι ακόμα εμφανή σε PinePhone – για παράδειγμα, μάλλον μερικές φωτογραφίες λειτουργικό σύστημα για PinePhone don «t έχουν τέτοιες υπογραφές, που ήμουν δυσαρεστημένος με, θεωρώντας ότι πολλές μεγάλες διανομές για τα PC sΈλαβα αυτά καθώς και που περίμενα η περιοχή του Linux Phone δεν είναι διαφορετική, καθώς και δεν έχει υπογραφές μπορεί να είναι καταστροφικές. Μάλλον μερικά χαρακτηριστικά που σχετίζονται με την ασφάλεια, όπως αυτές, για τη λήψη, ωστόσο, δεν χρησιμοποιούνται, καθώς χρειάζονται μη τετριμμένες προσπάθειες σε σχήμα διαμόρφωσης σε εγκαταστάσεις ενός έργου, αν δεν δημιουργήθηκε με γνώμονα την ασφάλεια από την αρχή, ή παράγουν ένα επιπλέον πρόβλημα στους προγραμματιστές.
Τι πραγματικά χρειαζόμαστε;
Η γειτονιά Pinephone έχει εφαρμόσει ορισμένους νέους κανόνες, μερικές διοχετεύσεις στην επικράτεια “αυτοματισμού”. Αυτό θα βοηθήσει ενδεχομένως ένα συγκεκριμένο είδος έκδοσης να είναι λιγότερο αποτέλεσμα στο μέλλον – αν και προτείνω ότι η θεσμική μνήμη πρέπει να διαδραματίσει μεγαλύτερο μέρος σε αυτό. Να είστε προσεκτικοί από τους Έλληνες που φέρουν δώρα … μέχρι να ανακαλύψουν ακριβώς πώς να εργαστούν γύρω από τα ευρετικά του Discord Bot; Έχω ήδη, για παράδειγμα. Αυτό είναι ένα μνημειώδες θέμα με τις ρίζες πέρα από το εξαιρετικό κακόβουλο λογισμικό Pinephone του Pinephone του 2021, καθώς και αυτή η ανάρτηση δεν είναι ακόμη γι ‘αυτό όσο και για να σας βοηθήσει να κατανοήσετε τι συμβαίνει με τα κρίσιμα στοιχεία της ασφάλειας του Linux ή ίσως ακόμη και την ασφάλεια του Όλα τα λογισμικά ανοιχτού κώδικα.
Για μένα, αυτό το κακόβουλο λογισμικό χτυπά τις σημειώσεις του “αναπόφευκτη” καθώς και “προσαρμογή μαθημάτων” καθώς και “αυξανόμενους πόνους”. Οι συζητήσεις σχετικά με το γεγονός ότι εξαρτώνται από την εφαρμογή του λογισμικού, ακολουθούν την τοποθεσία σε κάθε γειτονιά που γίνεται αρκετά μεγάλη.
Απαιτούμε την επιβεβαίωση ότι το Linux Malware είναι δυνατό, καθώς μπορεί τελικά να κατέληξε να είναι ευρέως διαδεδομένη, καθώς και μια υγιή συζήτηση για ακριβώς πώς να σταματήσει να είναι ζωτικής σημασίας. Το Linux δεν έχει ακόμα κακόβουλο λογισμικό, ωστόσο την ημέρα που δεν μπορούμε πλέον να διευκρινίσουμε έτσι μας προσεγγίζει.
Δεν είμαι σίγουρος για την ακριβή τροποποίηση του προγράμματος που χρειαζόμαστε. Η κατανόηση του συστήματος πηγαίνει πολύ μακριά, ωστόσο οι διαδικασίες ασφαλείας που αναμένουμε δεν μπορούν να αποκλείσουν τα άτομα εξουσίας καθώς και για αρχάριους προγραμματιστές. Τεχνικά, είτε πρόκειται για εμπορευματοκιβώτιο, Sandboxing, Υποδομή με βάση την εμπιστοσύνη ή σε ασφαλείς γλώσσες, απαίτηση να καταλάβουμε τι απαιληθούμε πριν καταλάβουμε τι να ζητήσουμε.
Θα ήθελα να πω χάρη στο [Lukasz] της γειτονιάς Pine64 καθώς και [Hacker Fantastic] για βοήθεια σχετικά με τους ελέγχους περιστροφικής περιστροφής Pinephone.