em 5 de dezembro, alguém pelo apelido do IRC de [Ubuntu] juntou-se ao canal #pinphone da discórdia Pine64 com uma ponte de IRC. No espírito de dezembro de prender as tradições, eles forneceram seus colegas pessoas de pinhões com um jogo de “cobra”. O que [Ubuntu] supostamente criou a perspectiva de acabar sendo uma aplicação de estoque, instalada em caixa com um pouco de vizinhança de fãs, modderes e speedrunners.
Infelizmente, isso não seria o mundo alternado que nós on-line, assim como tudo não estava bem com o pacote sendo compartilhado junto com um agradável “hei gaiz eu faço a cobra gaem aqui é o link www2-pinephnoe-games-com-tz substituir Dash com Dot Kthxbai “Anúncio. Chocantemente, era um trojan! Por baixo de camadas de base64, bem como Bashfuscator, encontramos o código do shell que possam estar na seção de “exemplos de uso” de uma entrada de thesaurus contemporânea para a palavra “Yeet”.
A parte maliciosa do código não é avançada – além da ofuscação, a coisa mais complexa sobre isso é que é bash, uma linguagem com ilegibilidade assada. Por causa dos privilégios raiz fornecidos ao instalar o pacote, o equivalente contemporâneo baseado em localização de RM -rf / * não tem dificuldade em fazer o seu trabalho imundo de limpar o sistema de arquivos limpo, executando um fragmento em todos os dados com antecedência, se oferecido para frustrar a recuperação de dados. Quanto ao “Limpe a parte de recompensa do firmware do modem celular, ele explora a CVE-2021-31698. Tudo isso ocorreria na próxima quarta-feira às 20:00, com a organização feita por um cronjob suportado.
[Ubuntu] não compartilhou fontes, apenas os binários, embalados para instalação simples no arch Linux. Um dos famosos membros do bairro de pinhóis instalados aquele binário, bem como teve prazer no “jogo” parte dele, perguntando sobre planos para torná-lo open-source – recebendo tranquilidade de [Ubuntu] que as fontes seriam lançadas eventualmente “, apenas requisito para limpá-lo “. Alguns não tinham tanta certeza, argumentando que as pessoas não deveriam instalar sudo – esses jogos aleatórios sem um link de repo de código fonte. As pessoas estavam em alerta baixo, assim como poderia ter sido tanto sobre uma quantidade de um lotes antes que um membro cuidadoso, bem como o Smart Member desatar o pacote, bem como pessoas informadas a suspeitas Base64 no script .install, cerca de meio dia mais tarde.
Como traduzimos isso?
Este foi um ataque destrutivo de pequena escala, mas de alto esforço em usuários de pinhões, direcionando os que utilizam o arco especificamente, pelo caminho. O remetente de malware revelou seus “esforços de avanço do jogo” antes de publicar, permaneceu no canal fazendo um pouco de pequena conversa, bem como Q & A, bem como, de outra forma, não foi rapidamente distinguível de um designer típico relativo a abençoar uma plataforma em potencial aplicativo. Muito de tudo, o jogo de cobra foi extremamente muito genuíno – não é remover se o código pode ter sido roubado de algum projeto de código aberto, no entanto, você não a diferenciá-lo de um jogo de cobra não malicioso. É curioso que o pacote não parece enviar dados pessoais para qualquer tipo de servidores (ou criptografar arquivos ou forçá-lo a desfrutar de anúncios para jogos móveis contemporâneos) – isso poderia, no entanto, não.
Com a quantidade de trabalho que está sendo feita na engenharia reversa do modem celular de pinhões, é peculiar que o malware aproveita os cáticos encontrados junto com esse esforço. Você não esperaria que um vírus normal do telefone fosse retirado de um truque de tijolos de modem celular, desde que a fragmentação do mundo Android, bem como a ofuscação do mundo da Apple. Firnily, o firmware de código aberto desenvolvido pela comunidade para o modem celular de Quectel é imune ao inseto que está sendo explorado, bem como é geral muito mais totalmente totalmente, no entanto, o Pine64 é necessário para enviar o firmware proprietário explorável por padrão para a conformidade regulatória Razões – as conseqüências para sair da linha em que são drásticas o suficiente, de acordo com uma fonte Pine64.
Perguntas primavera à mente. Pinephone é uma plataforma livre de risco? Minha tomada é – “sim” quando comparado com o que mais, “não” se você espera ser livre de direitos à incondicional ao utilizá-lo. Como é, é uma plataforma que precisa explicitamente sua compreensão do que você está dirigindo.
Com muitas distribuições do sistema operacional oferecidas do que qualquer tipo de outro telefone contemporâneo pode se orgulhar de ser capaz de suportar, você pode utilizar algo como o Ubuntu Touch para uma experiência suave. Você é fornecido muito mais poder para se manter livre de risco ao utilizar um pinhão. As pessoas que compreendem a perspectiva desse poder são o tipo de pessoas que contribuem para o projeto de pinhões, e é por isso que é particularmente alvo desse evento.
Outras plataformas corrigem esses problemas de maneiras diferentes, onde apenas parte da opção é o aplicativo de software real, bem como o trabalho arquitetônico feito pela plataforma, bem como mais um é treinando os usuários. ParaInstância, você não é esperado para utilizar um appstore de terceiros (ou firmware ou carregador ou método de aderência) no seu iPhone, assim como o Android tem caixas de seleção de modo de designer que você pode alcançar se você recriar o terceiro movimento de “vôo de” O Bumblebee “com o dedo na tela de configurações. O método do ecossistema do Linux depende do kernel para fornecer primitivos de segurança de baixo nível confiável, no entanto, a obrigação é sobre as distribuições para integrar a aplicação de software, bem como configurações que tornem a utilização desses primitivos.
Eu sugeriria que as distribuições do Linux móvel devem definir, bem como preservar sua configuração na escala “segurança” também, elaborando os procedimentos que levam quando se refere aos aplicativos de terceiros. Meio ano atrás, quando eu estava preparando um resumo sobre os diferentes operados oferecidos para pinhões, bem como suas posturas na segurança do aplicativo, levou-me um método muito mais tempo do que eu me sentiria confortável com alguém gastar em uma tarefa de tal significado.
Quais são as nossas opções?
A essência das recomendações previstas para os recém-chegados é “Não configure o aplicativo de software aleatório que você não pode confiar”. Enquanto isso é ótimas recomendações por conta própria, você seria ideal para apontar – um jogo não deve ser capaz de limpar seu sistema, bem como “obter usuários muito melhores” normalmente não é uma estratégia viável. Qualquer tipo de estrategista de segurança em negação sobre falibilidade humana inerente não vai torná-lo no mundo contemporâneo, então vamos ver o que podemos fazer ao lado da parte normal da “educação”. Como de costume, há um XKCD para começar.
Mesmo sendo capaz de compor a um dado de propriedade do usuário arbitrário em um sistema Linux, é “Game Over”. Diga, em $ Home / .bashrc, você pode alias sudo para o STDIN-Graving-App sudo, bem como se apossar da senha do usuário da próxima vez que correrem sudo no terminal. .bashrc não é os únicos dados graváveis pelo usuário realizados regularmente. Embora as opções de sandboxing estejam sendo estabelecidas para corrigir esses tipos de problemas, o trabalho é lento, assim como os elementos que não são triviais, normalmente mais finos referidos como “dinâmicos e complexos desportistas”.
Uma peça de recomendações freqüentemente entregues é “se você não conseguir checar o código, bem como compreender o que faz, não o execute”, presumivelmente, destinado a se aplicar a pacotes, bem como das faixas de code mais do que um projeto de fim de semana. Ironicamente, isso coloca o Linux em uma desvantagem injustificada para sistemas fechados. O método “Compartilhar um .exe” de distribuir aplicativos é mais antigo do que eu pessoalmente, assim como ainda é uma técnica aceita de compartilhar o aplicativo de software que alguém compôs para Windows, com o UAC tendo acabado sendo mais uma caixa de cliques reflexivo. Mais uma vez, colocando muito mais um problema de segurança nos ombros dos usuários do Linux é simples, por mais tolo.
Compartilharia o código-fonte ainda ajudando na situação de malware? Não! Na verdade, anexar um link para um repo de código fonte ajudaria [Ubuntu] tornar a distribuição de malware muito mais plausível. Quando você publica um pacote, mesmo em plataformas supostamente confiáveis, raramente há qualquer tipo de verifica se o código dentro do pacote que você publica corresponde ao código em seu repo.
Isso é verdade para uma grande quantidade de locais – GitHub, bem como lançamentos Gitlab, DockerHub, NPM, Rubygemem, lojas de extensão do navegador, pypi, bem como até mesmo alguns repositórios Linux sem risco, como o f-droid, são vulneráveis. Fornecimento de sourcecode ao longo de um pacote malicioso adiciona legitimidade, bem como tira incentivos para pessoas qualificadas para inspecionar o binário na primeira localização – ei, o código lá para ver já! Se [Ubuntu] fizeram apenas isso, talvez havíssemos falando sobre essa ocorrência alguns dias depois, bem como em um tom muito mais triste. Os ataques da cadeia de suprimentos são a nova calor em 2020, bem como 2021.
Abundância de sistemas de segurança que criamos são baseados em confiança. A assinatura do pacote é a mais famosa, onde uma assinatura criptográfica de uma pessoa responsável por preservar o pacote é utilizada para estabelecer “Pessoa X Tercas para a inofensividade deste pacote”. A HTTPS é mais uma inovação baseada em confiança que utilizamos diariamente, no entanto, você está confiando em seu método do mantenedor do seu navegador ou do sistema operacional mais do que qualquer tipo de proprietário crucial específico.
Quando fortalecido até o grau que realmente nos torna muito mais seguro, a tecnologia baseada em confiança coloca um problema em novos designers que não têm proeza social bastante polido e criptográfica. No entanto, quando comumente já satisfeito com a falta de documentação, as APIs incompletas, bem como as bibliotecas não testadas, devemos realmente aumentar o problema de qualquer tipo de mais? Talvez isso não seja tão ruim.
A tecnologia de assinatura baseada em confiança que mencionso comumente é usada para fotos do sistema operacional você normalmente baixar para bootstrap seu PC (ou telefone!) Com uma instalação do Linux, no entanto, ainda não é proeminente em pinhões – por exemplo, um pouco de fotos para pinephone don Tão assinaturas, que eu estava insatisfeito, considerando que muitas distribuições importantes para o PC SInquietamente estes, assim como esperava que a área telefônica do Linux não fosse diferente, bem como não ter assinaturas pode ser desastrosa. Em vez disso, algumas características relacionadas à segurança, como esta, há para a tomada, no entanto, não estão sendo utilizadas, uma vez que precisam de esforços não triviais para se envolver em instalações de um projeto se não for criado com segurança em mente desde o início, ou produzir um problema extra nos desenvolvedores.
O que realmente precisamos?
O bairro de pinhões implementou algumas novas regras, algumas canalizadas para o território “Automação”. Isso potencialmente ajudará um certo tipo de problema a ser menos impactante no futuro – embora eu sugira que a memória institucional deve desempenhar uma peça maior nisso. Tenha cuidado com os gregos que rolam presentes … até que eles descobrem exatamente como trabalhar em torno de suas heurísticas do Bot Discord? Eu já tenho, por exemplo. Este é um tópico monumental com raízes além do excelente malware de cobra de pinhões de 2021, bem como este post nem sequer sobre isso, tanto quanto sobre ajudá-lo a compreender o que está com elementos cruciais da segurança do Linux, ou talvez até a segurança de Todos os softwares de código aberto.
Para mim, este malware atinge as notas de “inevitável”, bem como “ajuste do curso”, bem como “dores de crescimento”. As discussões sobre dependem, bem como o aplicativo de software, aproveite a localização em todos os bairros que sejam grandes o suficiente.
Nos exigimos que o reconhecimento de que o malware do Linux é possível, bem como pode acabar sendo generalizado, bem como uma discussão saudável sobre exatamente como parar é crucial. O Linux ainda não tem malware, no entanto, no dia que não podemos mais especificar, então está nos aproximando.
Não tenho certeza na modificação do programa preciso que precisamos. Compreender o sistema vai longe, no entanto, os procedimentos de segurança que esperamos não podem excluir indivíduos poderes, bem como desenvolvedores iniciantes. Tecnicamente, se é contêinerização, sandboxing, infraestrutura baseada em confiança ou idiomas seguras de memória, exigência de entender o que exigimos antes de entender o que pedir.
Gostaria de dizer graças a [Lukasz] do bairro Pine64, bem como [Hacker Fantastic] para assistência nas verificações de fatos de circunstância de pinhóis.