pada 5 Desember, seseorang dengan nama panggilan IRC [Ubuntu] bergabung dengan saluran #pinephone perselisihan Pine64 dengan jembatan IRC. Dalam semangat tradisi pemberian hadiah Desember, mereka telah menyediakan sesama individu pinephone dengan penggunaan – permainan “ular”. Apa [Ubuntu] yang seharusnya dibuat memiliki prospektif untuk akhirnya menjadi saham, aplikasi out-of-the-box-install dengan sedikit lingkungan penggemar, modders serta speedrunners.
Sayangnya, itu tidak akan menjadi dunia bergantian yang kita online, serta semua tidak baik dengan bundel yang dibagikan bersama dengan “Hei Gaiz I Make Snake Gaem di sini adalah tautan www2-pinefnoe-games-com-tz ganti Dash dengan pengumuman dot kthxbai “. Mengejutkan, itu adalah Trojan! Di bawah lapisan Base64 serta Bashfuscator kami akan menemukan kode shell yang mungkin berada dalam bagian “Contoh Penggunaan” dari entri thesaurus kontemporer untuk kata “yeet”.
Bagian jahat dari kode ini tidak lanjutan – selain kebingungan, hal yang paling kompleks tentang hal itu adalah bahwa itu adalah bash, bahasa dengan tidak dibaca dipanggang. Karena hak istimewa yang disediakan ketika memasang paket, setara dengan RM yang berbasis -RF / * Tidak mengalami kesulitan melakukan pekerjaannya yang kotor untuk membersihkan sistem file, menjalankan hancur pada setiap data terlebih dahulu jika ditawarkan untuk menggagalkan pemulihan data. Sedangkan untuk “menghapus firmware modem seluler”, itu mengeksploitasi CVE-2021-31698. Semua itu akan terjadi pada Rabu depan pukul 20:00, dengan mengatur dilakukan oleh Cronjob yang didukung sistemD.
[Ubuntu] tidak berbagi sumber, hanya binari, dikemas untuk instalasi sederhana pada Linux Arch. Salah satu anggota lingkungan pinephone yang terkenal memasang biner serta dengan senang hati di bagian “Game”, menanyakan tentang rencana untuk membuatnya open-source – mendapatkan kepastian dari [Ubuntu] bahwa sumber-sumber itu akan dirilis, “Adil persyaratan untuk membersihkannya “. Beberapa tidak begitu yakin, dengan alasan bahwa orang tidak boleh sudo menginstal – game acak ini tanpa tautan Repo kode sumber. Orang-orang dengan peringatan rendah, serta mungkin ada banyak tentang banyak pemasangan sebelum anggota yang berhati-hati maupun pintar tidak merusak bundel serta orang-orang yang diinformasikan untuk base64 yang mencurigakan dalam skrip, sekitar setengah hari nanti.
Bagaimana cara kami menerjemahkan ini?
Ini adalah penyerangan destruktif skala kecil namun usaha tinggi pada pengguna Pinephone, menargetkan yang memanfaatkan lengkungan secara khusus, omong-omong. Pengirim Malware mengungkapkan “upaya kemajuan permainan” mereka sebelum menerbitkan, tinggal di saluran melakukan sedikit pembicaraan kecil serta T & J, serta sebaliknya tidak dapat dibedakan dengan cepat dari seorang desainer khas yang berkaitan dengan yang pertama kali. aplikasi. Banyak dari semua, permainan ular sangat asli – itu tidak menghapus apakah kode mungkin telah dicuri dari beberapa proyek open-source, namun Anda tidak akan membedakannya dari permainan ular yang tidak berbahaya. Sangat ingin tahu bahwa bundel tampaknya tidak mengirim data pribadi ke segala jenis server (atau mengenkripsi file, atau memaksa Anda untuk menikmati iklan yang mirip dengan game seluler kontemporer) – itu tidak bisa, namun tidak.
Dengan jumlah pekerjaan yang dilakukan pada modem seluler pinephone Reverse-Engineering, khususnya malware mengambil keuntungan dari CVS yang ditemukan bersama dengan upaya itu. Anda tidak akan mengharapkan virus telepon normal untuk melakukan trik bata modem seluler, memberikan fragmentasi dunia Android serta kebingungan dunia Apple. Cukup lucu, firmware open-source yang dikembangkan oleh masyarakat untuk modem seluler kuote kebal terhadap bug yang dieksploitasi dan juga umum lebih banyak ditampilkan sepenuhnya, namun Pinus64 diperlukan untuk mengirimkan firmware eksklusif yang dapat dieksploitasi secara default untuk kepatuhan peraturan Alasan – konsekuensi untuk melangkah keluar dari garis yang cukup drastis, menurut sumber Pine64.
Pertanyaan muncul di pikiran. Apakah Pinephone Platform Bebas Risiko? Ambil saya adalah – “ya” jika dibandingkan dengan apa pun, “tidak” jika Anda berharap bebas risiko tanpa syarat saat memanfaatkannya. Seperti berdiri, ini adalah platform yang secara eksplisit membutuhkan pemahaman Anda tentang apa yang Anda arahkan untuk melakukannya.
Dengan lebih banyak distribusi OS yang ditawarkan daripada jenis telepon kontemporer lainnya yang mungkin bermegah untuk dapat mendukung, Anda dapat memanfaatkan sesuatu seperti Ubuntu Touch untuk pengalaman yang lancar. Anda diberikan umum lebih banyak kekuatan untuk menjaga diri Anda bebas risiko saat memanfaatkan sebuah pinephone. Orang-orang yang memahami prospek kekuatan ini adalah tipe orang yang berkontribusi pada proyek pinephone, itulah sebabnya tidak disayangkan bahwa mereka terutama ditargetkan dalam acara ini.
Platform lain memperbaiki masalah-masalah seperti itu dengan cara yang berbeda, di mana hanya sebagian dari opsi tersebut adalah aplikasi perangkat lunak aktual serta pekerjaan arsitektur yang dilakukan oleh platform, serta satu lagi dengan melatih pengguna. UntukMisalnya, Anda tidak diharapkan untuk memanfaatkan appstore pihak ketiga (atau firmware, atau charger, atau metode pegangan) pada iPhone, serta Android memiliki modus desainer centang Anda dapat mencapai jika Anda menciptakan gerakan ketiga “Flight of Bumblebee”dengan jari Anda di layar pengaturan. Metode ekosistem Linux adalah bergantung pada kernel untuk memasok primitif keamanan tingkat rendah dapat dipercaya, namun kewajiban adalah pada distribusi untuk mengintegrasikan aplikasi perangkat lunak serta konfigurasi yang membuat memanfaatkan primitif ini.
Saya akan menyarankan bahwa distribusi Linux ponsel harus mendefinisikan serta melestarikan pengaturan mereka pada skala “keamanan”, juga, menguraikan tentang prosedur mereka mengambil ketika berkaitan dengan aplikasi pihak ketiga. setengah tahun lalu, ketika saya sedang mempersiapkan ringkasan pada OS yang berbeda ditawarkan untuk PinePhone serta sikap mereka pada keamanan aplikasi, butuh metode yang lebih banyak waktu daripada aku akan merasa nyaman memiliki seseorang menghabiskan pada tugas penting tersebut.
Apakah Pilihan kami?
Inti dari rekomendasi yang diberikan kepada pendatang baru adalah “tidak mengatur aplikasi perangkat lunak acak Anda tidak bisa percaya”. Sementara ini rekomendasi besar sendiri, Anda akan ideal untuk menunjukkan – game tidak dapat menghapus sistem Anda, serta “mendapatkan pengguna yang lebih baik” biasanya bukanlah strategi yang layak. setiap jenis strategi keamanan dalam penyangkalan tentang kekeliruan manusia yang melekat tidak akan membuatnya dalam dunia kontemporer, jadi mari kita lihat apa yang bisa kita lakukan selanjutnya ke normal “mendidik pengguna” bagian. Seperti biasa, ada sebuah XKCD untuk memulai dengan.
Bahkan mampu menulis ke data yang dimiliki pengguna sewenang-wenang pada sistem Linux adalah “game over”. Katakanlah, di $ HOME / .bashrc, Anda dapat alias sudo ke stdin-rekaman-aplikasi sudo serta mendapatkan password pengguna saat mereka menjalankan sudo di terminal. .bashrc tidak data hanya satu ditulisi user-mendapatkan dilakukan secara teratur, baik. Sementara pilihan sandboxing sedang dibentuk untuk memperbaiki jenis ini masalah, pekerjaan lamban serta unsur-unsur itu adalah non-sepele, biasanya terbaik disebut sebagai “dinamis serta membolehkan akses kompleks”.
Sepotong sering diserahkan rekomendasi adalah “jika Anda tidak dapat memeriksa kode serta memahami apa itu, tidak menjalankannya”, mungkin, dimaksudkan untuk diterapkan ke bundel serta codebases lebih lama dari proyek akhir pekan. Ironisnya, ini menempatkan Linux pada downside tidak beralasan untuk sistem sumber tertutup. The “berbagi .exe” metode aplikasi mendistribusikan lebih tua dari saya pribadi, serta masih merupakan teknik yang diterima berbagi aplikasi perangkat lunak bahwa seseorang terdiri untuk Windows, dengan UAC setelah akhirnya menjadi belum satu kotak klik per tayang lebih refleksif. Sekali lagi, menempatkan lebih banyak dari masalah keamanan di bahu pengguna Linux sederhana namun bodoh.
Akankah berbagi kode sumber bahkan membantu dalam situasi malware? Tidak! Bahkan, melampirkan link ke repo source code akan membantu [ubuntu] membuat distribusi malware banyak lebih masuk akal. Ketika Anda mempublikasikan sebuah paket, bahkan pada platform seharusnya diandalkan, ada jarang setiap jenis pemeriksaan pada apakah kode di dalam bundel yang Anda mempublikasikan pertandingan kode dalam repo Anda.
Itu berlaku untuk banyak lokasi – GitHub serta GitLab rilis, DockerHub, NPM, RubyGems, toko ekstensi browser, PyPI, serta bahkan beberapa seharusnya bebas risiko repositori Linux, seperti F-droid, rentan. memasok source bersama bundel berbahaya menambahkan legitimasi, serta menghilangkan insentif bagi orang-orang terampil untuk memeriksa biner di lokasi pertama – hei, kode di sana untuk melihat sudah! Jika [ubuntu] tidak hanya itu, mungkin kita akan berbicara tentang kejadian ini beberapa hari kemudian serta dengan nada lebih banyak sedih. serangan rantai pasokan adalah hotness baru pada tahun 2020 serta 2021.
Banyak sistem keamanan kami telah menetapkan yang kepercayaan berbasis. Penandatanganan bundel adalah yang paling salah satu yang terkenal, di mana tanda tangan kriptografi dari orang yang bertanggung jawab untuk melestarikan bundel digunakan untuk membangun “orang X vouches untuk tidak menyakiti ini paket ini”. HTTPS adalah satu lagi inovasi berbasis kepercayaan kita memanfaatkan setiap hari, meskipun, benar-benar, Anda percaya browser Anda atau metode keystore pemelihara OS lebih banyak daripada jenis pemilik penting tertentu.
Ketika diberlakukan untuk tingkat bahwa itu benar-benar membuat kita lebih banyak aman, menempatkan teknologi berbasis kepercayaan masalah pada desainer baru yang tidak memiliki cukup dipoles sosial serta kecakapan kriptografi. Namun, ketika umumnya sudah puas dengan kurang dokumentasi, API tidak lengkap serta perpustakaan belum teruji, harus kita benar-benar akan meningkatkan masalah jenis lebih lanjut? mungkin itu tidak begitu buruk.
Berbasis kepercayaan penandatanganan tech saya menyebutkan umumnya digunakan untuk gambar OS Anda biasanya men-download untuk bootstrap PC Anda (atau telepon!) Dengan menginstal Linux, namun itu belum menonjol di PinePhone – misalnya, bukan beberapa gambar OS untuk PinePhone don ‘t memiliki tanda tangan seperti itu, yang saya tidak puas dengan, mengingat bahwa banyak distribusi utama untuk s PCUpply ini dan saya harapkan area ponsel Linux tidak berbeda, serta tidak memiliki tanda tangan bisa menjadi bencana. Sebaliknya beberapa fitur yang berhubungan dengan keamanan seperti ini ada untuk pengambilan, namun tidak digunakan karena mereka membutuhkan upaya non-sepele dalam bentuk ke dalam fasilitas proyek jika tidak diciptakan dengan keselamatan dalam pikiran, atau menghasilkan masalah ekstra pada pengembang.
Apa yang benar-benar kita butuhkan?
Lingkungan Pinephone telah menerapkan beberapa aturan baru, beberapa menyalurkan ke wilayah “otomasi”. Ini berpotensi membantu jenis masalah tertentu agar kurang berdampak di masa depan – meskipun saya menyarankan bahwa memori kelembagaan harus memainkan bagian yang lebih besar dalam hal ini. Hati-hati dengan hadiah Bantalan Yunani … sampai mereka menemukan persis bagaimana cara bekerja di sekitar heuristik Bot Perselisihan Anda? Saya sudah punya, misalnya. Ini adalah topik monumental dengan akar di luar malware ular pinephone yang sangat baik tahun 2021, serta posting ini bahkan tidak tentang hal itu sama seperti membantu Anda memahami apa yang terjadi dengan elemen penting dari keamanan Linux, atau mungkin bahkan keamanan Semua perangkat lunak sumber terbuka.
Bagi saya, malware ini menyerang catatan “tak terhindarkan” serta “penyesuaian kursus” serta “rasa sakit yang tumbuh”. Diskusi tentang tergantung pada dan aplikasi perangkat lunak mengambil lokasi di setiap lingkungan yang cukup besar.
Kami membutuhkan pengakuan bahwa malware Linux dimungkinkan serta pada akhirnya mungkin berakhir meluas, serta diskusi yang sehat tentang bagaimana cara menghentikannya sangat penting. Linux masih belum berhasil membuat malware, namun hari kita tidak bisa lagi menentukan begitu juga mendekati kita.
Saya tidak yakin pada modifikasi program yang kami butuhkan. Memahami sistem berjalan jauh, namun prosedur keselamatan yang kami harapkan tidak dapat mengecualikan individu kekuasaan serta pengembang pemula. Secara teknis, apakah itu wadah, sandboxing, infrastruktur berbasis kepercayaan, atau bahasa aman memori, kami membutuhkan untuk memahami apa yang kami butuhkan sebelum kami memahami apa yang harus diminta.
Saya ingin mengucapkan terima kasih kepada [Lukasz] dari lingkungan Pine64 serta [Hacker Fantastic] untuk membantu pada saat pemeriksaan fakta.