,由[Ubuntu]的IRC暱稱的某人加入了與IRC橋的Pine64 Discord的#Pinephone頻道。本著12月的聖誕節的傳統,他們已經為他們的同伴帶來了一個“蛇”遊戲。據稱[ubuntu]據說是潛在的前瞻性,最終是一個股票,禁止的安裝申請與粉絲,莫德人以及速度齊全的粉絲和速度建立了一點。
不幸的是,這不會是我們在線的交替的世界,以及所有與愉快的“嘿嘿的捆綁捆綁在一起的捆綁,我在這裡讓Snake Gaem就是Link www2-pinephno-games-com-tz替換用dot kthxbai宣布破折號。令人震驚,這是一個特洛伊木馬!在Base64的層數以及Bashfuscator之下,我們會遇到可能處於“yeet”一詞的當代詞庫條目的“示例用法”部分中的shell代碼。
代碼的惡意部分不是高級的 – 除了混淆,它的最複雜的事情是它是它的bash,一種具有易受寬容的語言烘焙。由於在安裝包時提供的根權限,基於查找的當代等效應率-RF / *在擦除文件系統清潔的污穢工作沒有難以提前運行SHRED,如果提前提供挫敗數據恢復,則會在每個數據上運行碎片。至於“擦除蜂窩調製解調器固件”獎勵部分,它利用CVE-2021-31698。所有這一切都將在下週三20:00發生,並通過系統支持的Cronjob進行安排。
[ubuntu]沒有分享源,只是二進製文件,包裝在Arch Linux上的簡單安裝。其中一個著名的Pine鄰里成員安裝了二進製文件,並在其中的“遊戲”中享受了樂趣,詢問計劃使其開源的計劃 – 從[Ubuntu]獲得源頭最終將被釋放的源,“只是要求清理它“。有些人不太確定,爭論人們不應該在沒有源代碼repo鏈接的情況下安裝這個隨機遊戲。人們在很低的警報中,並且在小心和智能成員之前可能會有很多安裝,並且聰明的成員圍繞著捆綁包,並以通知人們在.install腳本中向可疑的基礎64。之後。
我們如何翻譯這個?
這是對PinePhone用戶的一小部分但高度努力的破壞性侵犯,旨在通過方式瞄準利用拱門的拱門。惡意發件人在出版之前揭示了他們的“遊戲進步努力”,留在頻道中,達到一點點談話以及問答,以及典型的設計師並不迅速區分,這些設計師與他們的第一款潛在平台有關的典型設計師應用程序。很多,蛇遊戲非常真實 – 它不是刪除代碼是否可能從某些開源項目中被盜,但是您不會將其區分離出非惡意蛇遊戲。好奇的是,捆綁包似乎沒有向任何類型的服務器發送個人數據(或加密文件,或強制您以類似於當代手機遊戲的廣告) – 但它很快就可以了。
隨著在Pinephone蜂窩調製解調器逆向工程上進行的工作量,惡意軟件利用C瓦斯與這種努力一起發現的纖維是特殊的。您不會指望普通手機病毒剝離蜂窩調製解調器磚塊,提供了Android世界的碎片以及蘋果世界的混淆。足夠有趣的是,Equelel蜂窩調製解調器的社區開發的開源固件免受被利用的錯誤,以及一般更全面的突發,但默認情況下,Pine64需要默認發出可利用的專有固件。原因 – 根據PINE64來源,踩出線路踩出線的後果。
問題春天想到了。 Pinephone是一個無風險的平台嗎?與其他無論如何,如果您希望在利用它時無條件無條件無條件無條件無條件,則“是”。正如它所致,這是一個明確需要你理解你指導它的平台。
通過提供更多提供的OS分佈,而不是任何類型的其他當代手機可能會吹噓能夠支持,您可以利用ubuntu觸摸的東西,以實現平滑的體驗。在利用PINEPHONE時,您將提供一般的權力,以保持自身的風險。理解這種權力前瞻性的人是為PinePhone項目做出貢獻的人,這就是為什麼這不幸的是,他們特別是在這次活動中所針對的原因。
其他平台以不同的方式解決此類問題,其中僅部分選項是實際的軟件應用程序以及平台完成的架構工作,以及培訓用戶的架構。為了實例,您預計將在iPhone上使用第三方Appstore(或固件或充電器或握持方法)以及Android具有設計師模式複選框,如果您重新創建“飛行的飛行” BumbleBee“用手指在設置屏幕中。 Linux生態系統方法是依賴於內核來提供值得信賴的低級安全性原語,但義務在分佈上,以集成軟件應用程序以及利用這些基元的配置。
我建議移動Linux發行版應該定義,並在“安全性”規模上保留它們的設置,詳細說明他們在第三方應用程序所採取的過程中。半年前,當我正在為Pinephone提供的不同OS的摘要以及應用程序安全的立場時,我花了更多時間比我覺得有人花在這種意義上的任務的時間更多的時間。
我們的選擇是什麼?
向新人提供的建議書是“不要設置你不能信任的隨機軟件應用程序”。雖然這是一個自有的重要建議,但你是光明的理想選擇 – 遊戲不應該能夠擦除你的系統,以及“獲得更好的用戶”通常不是可行的策略。任何類型的安全戰略家都拒絕固有的人類識別性不會在當代世界中製作它,因此讓我們看看我們在正常的“教育用戶”部分旁邊可以做些什麼。像往常一樣,有一個XKCD開始。
甚至能夠在Linux系統上撰寫到任意用戶擁有的數據是“遊戲結束”。例如,在$ home / .bashrc中,您可以在下次運行終端中運行sudo時別名sudo到stdin-redoort-app sudo以及持有用戶的密碼。 .bashrc也不是唯一一個定期進行的用戶可寫數據。雖然正在建立沙箱選項來解決這些問題,但工作是緩慢的,並且它的元素是非微不足道的,通常是最優質的,通常是“動態和復雜的白名單”。
一段經常發行的建議是“如果您無法檢查代碼以及理解它所所做的代碼,請不要運行它”,可能是意味著應用於捆綁包以及比周末項目長長。具有諷刺意味的是,這將Linux放在一個無標記的下行界面到閉合源系統。分發應用程序的“共享”方法比我個人更舊的方法,以及它仍然是共享某人為Windows組成的軟件應用程序的可接受的技術,其中UAC最終還有一個更改的單擊框。再次,在Linux用戶的肩膀上為Linux用戶提供了更多的安全問題是簡單的。
將共享源代碼甚至協助惡意軟件情況嗎?不!實際上,將鏈接附加到源代碼repo將幫助[Ubuntu]使惡意軟件分佈更加合理。當您發布包時,即使在據說是可靠的平台上,還有很少有任何類型的檢查是否在您發布的捆綁包中的代碼與repo中的代碼匹配。
這對於大量的位置來說是真實的 – Github以及Gitlab版本,DockerHub,NPM,RubyGems,瀏覽器擴展名存儲,Pypi以及即使是F-Droid,也是F-Droid的無風險的Linux存儲庫易受攻擊。沿著惡意捆綁提供源代碼增加了合法性,以及為技能人員帶走激勵措施,以在第一個位置檢查二進制部分 – 嘿,代碼已經看到了!如果[ubuntu]這樣做,也許我們會在幾天后談到這一事件,以及更悲傷的語氣。供應鏈攻擊是2020年的新熱度以及2021年。
我們設置的大量安全系統是基於信任的。捆綁簽名是最著名的,其中一個人的加密簽名用於保留捆綁包的人被用來建立“用於這種包的無害的人X憑證”。 HTTPS是一種更具基於信任的創新,但我們確實使用,您真的,您可以相信您的瀏覽器或OS的密鑰庫維護者方法多於任何類型的特定關鍵所有者。
當強制執行它真正使我們更安全的程度,基於信任的技術對新的設計師來說,這是一個沒有相當拋光的社交和加密司的新設計師。但是,當普生已經滿足於缺乏文檔時,不完整的API以及未經測試的圖書館,我們必須真正提高任何類型的問題嗎?也許這不是那麼糟糕。
我提到的基於信任的簽名技術通常用於OS圖片您通常使用Linux安裝引導PC(或手機!),但是在Pinephone上尚未突出 – 例如,對於PinePhone的幾張OS圖片在考慮到PC S的許多主要發行版,我有這樣的簽名尤其是我期望Linux電話區沒有什麼不同,也沒有簽名可能是災難性的。相反,在那裡的一些安全相關的特徵,然而,沒有被利用,因為他們需要在項目的設施中需要非微不足道的努力,如果沒有從開始的安全性的安全性,或者在開發人員身上產生額外的問題。
我們真的需要什麼?
Pinephone社區已經實施了一些新規則,一些渠道進入“自動化”領域。這將可能有助於某種類型的問題在未來的影響不大 – 儘管我建議制度記憶必須在這方面發揮更大的部分。小心希臘人承受禮物……直到他們發現完全如何解決您的Discord Bot的啟發式?例如,我已經擁有了。這是一個巨大的主題,具有超出2021年的優秀Pinephone蛇惡意軟件的根源,以及這篇文章甚至沒有關於協助您理解Linux安全性的關鍵要素,或者甚至的安全性所有開源軟件。
對我來說,這種惡意軟件襲擊了“不可避免的”的票據以及“課程調整”以及“成長痛苦”。關於依賴的討論以及軟件應用程序在每個鄰居中佔用的位置足夠大。
我們要求確認Linux惡意軟件是可能的,也可能最終最終普遍存在,以及關於如何停止其至關重要的健康討論。 Linux仍然成功沒有惡意軟件,但是我們無法再指明的那一天所以即將到來。
我不確定我們需要的精確程序修改。理解系統走得很長,但我們預期的安全程序不能排除權力和初學者開發人員。從技術上講,無論是集裝箱化,沙箱,基於信任的基礎設施還是內存安全的語言,我們要求在理解要求之前了解我們的要求。
我想謝謝Pine64鄰居的[Lukasz]以及[黑客奇妙],以協助Pinephone環境的事實檢查。