5 декабря, кто-то по словам IRC Niscname [Ubuntu] присоединился к каналу #pinephone Pine64 Discord, с мостом IRC. В духе декабря подарочные традиции они предоставили своим соотечественникам людей с помощью игры – «змея». Какой [Ubuntu] предположительно создал, имел перспективе, чтобы оказаться запасом, внестроенным приложением, установленным в коробке с небольшим, однако преданным соседством вентиляторов, модулей, а также SpeedRunners.
К сожалению, это не было бы чередующимся миром мы в Интернете, как и все было не очень хорошо с пакетом совместно с приятным «Hei Gaiz, я делаю змею Gaem прямо здесь, это ссылка www2-pinephnoe-games-com-tz заменить Dash с объявлением DOT KTHXXBAI. Шокирующе, это был троян! Под слоями Base64, а также BashFuscator, мы бы столкнулись с кодом оболочки, который может быть в разделе «Пример использования» современного входа тезаура для слова «Еет».
Вредоносная часть кода не продвинута – помимо запутывания, самая сложная вещь в том, что это то, что это Bash, язык с нечитаемой, выпечкой. Из-за корневых привилегий, предусмотренных при установке пакета, находной современный эквивалент RM -RF / * У него нет никаких трудностей, чтобы сделать свою грязную работу вытирания файловой системы чистота, заранее запущена на каждые данные, если они предлагаются для восстановления данных Thwart. Что касается «протрите прошивку клеточного модема», она использует CVE-2021-31698. Все это произойдет в следующую среду в 20:00, с организацией, выполненной системой Cronjob.
[Ubuntu] не разделял источники, просто двоичные файлы, упакованные для простой установки на Arch Linux. Один из знаменитых членов соседства соседа соседа установил, что двоичные, а также наслаждались удовольствием в «игровой» части этого, спрашивая о планах сделать его открытым исходным кодом – получать уверенность из [Ubuntu], что источники будут выпущены в конце концов, требование очистить его ». Некоторые не были так уверены, утверждая, что люди не должны Sudo Install – это случайные игры без ссылки REPO исходного кода. Люди были на низком уровне оповещения, а также там, возможно, были столько, сколько и много установочных установок перед осторожностью, а также смарт-членом, развязанным пакетом, а также проинформированным людям с подозрением в скрипте. позже.
Как мы переводим это?
Это было небольшим, но с высоким усилием разрушительным нападением на пользователи сосных телефонов, ориентируясь на тех, как специально использует арку, кстати. Усынщик Malware выявил их «усилия по продвижению игры», прежде чем публиковать, остался в канале, делая немного небольшого разговора, а также Q & A, а также иначе не было быстро различимым от типичного дизайнера, касающегося благословления потенциальной платформы с их очень первым приложение. Многие из всех, змеиная игра была чрезвычайно намного подлинной – она не удаляет, может ли код быть украден из какого-то проекта с открытым исходным кодом, однако вы не будете дифференцировать его от некулярной игры змеиной игры. Любопытно, что пучок, похоже, не отправляет персональные данные любым видам серверов (или зашифрованных файлов, или заставляет вас наслаждаться рекламой, похожим на современные мобильные игры) – это быстро может, однако это не так.
С суммой работы, проводимой на сосновом сочетании сотовой модема обратной машины, свойственнее, что вредоносное ПО только что использует в виде CEND, найденных вместе с этим усилиями. Вы не ожидаете, что обычный вирус телефона сдвинул сотовый модемный кирпичный трюк, предоставил фрагментацию мира Android, а также запутывание мира Apple. Sunnily достаточно, разработанная община, разработанная на открытом воздухе, прошивка с открытым исходным кодом для quectel Cellural Modem – невосприимчивая к эксплуатации ошибки, а также общее гораздо более полнофункциональное, однако PINE64 необходимо для отправки эксплуатационной пробитой прошивки по умолчанию для нормативного соответствия. Причины – последствия для выхода из линии на которые достаточно резки, согласно источнику сосна 64.
Вопросы пружины на ум. Является ли Pinephone без риска платформа? Мой взять – «Да» по сравнению с чем-то другим, «нет», если вы ожидаете быть безоговорочно без рисков при его использовании. Когда он стоит, это платформа, которую явно нуждается в том, что вы направляете, чтобы сделать.
С гораздо большим количеством распределений ОС, предлагаемых, чем любой тип другого современного телефона, может похвастаться способностью поддержать, вы можете использовать что-то вроде ubuntu Touch для гладкого опыта. Вы предоставляете общее возможность, намного больше энергии, чтобы заставить себя без рисков при использовании сосновых телефонов. Люди, которые понимают предполагаемую эту силу, являются тип людей, которые способствуют проекту соайнфонов, поэтому, к сожалению, что они особенно были нацелены на это событие.
Другие платформы исправляют такие проблемы по-разному, где только часть опции – это фактическое программное приложение, а также архитектурная работа, выполняемая платформой, а также еще одна – обучение пользователей. ДляЭкземпляр, вы не должны использовать стороннюю AppStore (или прошивку или зарядное устройство или метод GRIP) на вашем iPhone, а также флажок Android имеет флажок, вы можете добраться, если вы воссоздаете третье движение «полет шмель “с вашим пальцем на экране настроек. Метод ECOSYSTEM Linux состоит в том, чтобы зависеть от ядра для обеспечения заслуживающих доверия примитивы безопасности низкого уровня, однако обязательство находится в распределениях для интеграции программного приложения, а также конфигурации, которые используют эти примитивы.
Я бы предположил, что мобильные дистрибутивы Linux должны определять, а также сохранить их настройку в масштабе «Безопасность», разработав процедуры, которые они принимают, когда он относится к сторонним приложениям. Полге год назад, когда я готовит резюме на разных ОС, предлагаемых для сосных телефонов, а также своих позиций в безопасности приложений, это потребовало меня методом гораздо больше времени, чем я чувствовал себя комфортно, что кто-то потратил на задачу такого значения.
Каковы наши варианты?
Гист рекомендаций, предусмотренных новичками, является «не устанавливать случайное программное приложение, которое вы не можете доверять». Хотя это очень хорошие рекомендации самостоятельно, вы будете идеальны, чтобы указать – игра не должна удавать свою систему, а также «получить гораздо лучших пользователей», как правило, не является жизнеспособной стратегией. Любой тип стратегии безопасности в отрицании о присущей человеческой ошибке не собирается сделать его в современном мире, поэтому давайте посмотрим, что мы можем сделать рядом с обычными «воспитанными пользователями». Как обычно, есть XKCD для начала.
Даже возможность сочинять произвольные пользовательские данные на системе Linux, – «Игра более». Скажите, в $ home / .bashrc, вы можете псевдоним Sudo в STDIN-записи-приложение Sudo, а также получить удержание пароля пользователя в следующий раз, когда они запускают Sudo в терминале. .bashrc не единственный, кто регулярно проводится, не единственный, кто выполняет запись. В то время как варианты песочницы устанавливаются для устранения этих проблем, работающая работа, работающая, а также элементы ее нетривиальные, обычно самые лучшие, называемые «динамическими, а также сложными белочками».
Частого рекомендаций «Если вы не можете проверить код, а также понять, что он делает, не запустите его», – предположительно, предназначен для применения к пучкам, а также с кодовыми базами дольше, чем выходной проект. По иронии судьбы, это помещает Linux в необоснованные понижающиеся системы. Метод «Поделиться .exe» распределения приложений. Опять же, надевая гораздо больше проблем безопасности на плечах пользователей Linux проста, однако глупо.
Поделился бы исходным кодом, даже помогаю в положении вредоносных программ? Нет! На самом деле, прикрепление ссылки на репо исходного кода поможет [Ubuntu] сделать распределение вредоносных программ намного более правдоподобным. Когда вы публикуете пакет, даже на предположительно надежных платформах, есть редко любой тип проверки на том, есть ли код внутри комплекта, который вы публикуете, соответствуют коду в вашем репо.
Это правда для большого количества мест – Github, а также релизы Gitlab, Dockerhub, NPM, Rubygems, магазины наращивания браузера, Pypi, а также даже некоторые предполагаемые репозитории Linux без риска, такие как F-Droid, являются уязвимыми. Поставляя SourceCode вдоль злонамеренного пачка добавляет легитимность, а также отнимает стимулы для квалифицированных людей, чтобы осмотреть двоичные в самом первом месте – эй, код там, чтобы увидеть уже! Если бы [Ubuntu] сделал только что, возможно, мы будем говорить об этом возникновении через несколько дней, а также в гораздо более грустном тоне. Атаки для цепочек питания являются новой жаркостью в 2020 году, а также 2021.
Множество систем безопасности, которые мы настроили, являются доверием. Подписание пакета является самым известным, где криптографическая подпись лица, ответственного для сохранения связки, используется для установления «человека X Vouches для безвредности этого пакета». HTTPS – это еще одно инновация на основе доверительного доверия, которое мы ежедневно используем, хотя, на самом деле, вы доверяете методу основного состава вашего браузера или ОС намного больше, чем любой тип конкретного важнейшего владельца.
При принуждении к тому степени, что она действительно делает нас намного более безопасным, Tech Tech Tech ставит проблему на новых дизайнерах, которые не имеют довольно отполированной социальной, а также криптографического мастерства. Однако, когда обычно уже довольны отсутствием документации, неполные API, а также запрещенные библиотеки, должны ли мы по-настоящему повысить проблему любого типа дальше? Возможно, это не так плохо.
Опублику, на основе доверия, которые я упоминаю, обычно используется для картинок ОС, которые вы обычно загружаете на загрузку вашего компьютера (или телефона!) С установкой Linux, однако это еще не заметно на PinePhone – например, скорее несколько фотографий OS для PinePhone У таких подписей, которые я был недоволен, учитывая, что многие основные распределения для ПКТаким образом, эти, а также я ожидал, что область телефона Linux не будет отличаться, а также не имеющие подписи могут быть катастрофическими. Скорее несколько функций, связанных с безопасностью, такие как это для принятия, однако, не используются, так как они нуждаются в нетривиальных усилиях в форму в объекты проекта, если оно не было создано с учетом безопасности с самого начала или производить дополнительную проблему на разработчиках.
Что нам по-настоящему нужны?
Соседство сосных телефонов внедрила некоторые новые правила, некоторые направляющие на территорию «Автоматизацию». Это потенциально поможет определенному типу вопроса оказаться менее эффективным в будущем – хотя я бы предположил, что институциональная память должна играть большую часть в этом. Будьте осторожны с греческими подшипниками … вверх, пока они не обнаружит, как точно работать вокруг эвристики разногласий бота? У меня уже есть, например. Это монументальная тема с корнями, за пределами превосходных вредоносных программ соревнований со скоростью сосредоточенности 2021, а также этот пост даже не о том, что о том, что о помощи вам понять, что с важных элементов безопасности Linux или, возможно, даже безопасность Все программное обеспечение с открытым исходным кодом.
Для меня это вредоносное ПО перемещает ноты «неизбежного», а также «корректировку курса», а также «растущие боли». Обсуждения о зависимости от программного обеспечения, а также программного приложения принимают местонахождение в каждом районе, который достаточно большой.
Мы требоваем подтверждение того, что Minux Malware возможна, а также может в конечном итоге оказаться широко распространенным, а также полезным обсуждением о том, как остановить его решающее значение. Linux все еще не успешно отсутствует вредоносным обеспечением, однако в тот день, когда мы больше не можем указать, так что приближается к нам.
Я не уверен в точной модификации программы, которые нам нужны. Понимание системы проходит долгий путь, однако процедуры безопасности, которые мы ожидаем, не могут исключить силовых людей, а также для начинающих разработчиков. Технически, будь то контейнеризация, петербоксинг, инфраструктура на основе доверия или безопасные языки, мы требовались понять, что мы требоваем, прежде чем мы понимаем, что попросить.
Я хотел бы сказать благодаря [Lukasz] окрестностей Pine64, а также [хакера фантастика] для оказания помощи в обстоятельствах обстоятельства сосредоточения.