ในวันที่ 5 ธันวาคมใครบางคนโดย Nickname IRC ของ [Ubuntu] เข้าร่วมช่อง #pinephone ของ Pine64 Discord ด้วยสะพาน IRC ในจิตวิญญาณของธันวาคมของประเพณีการให้ของขวัญพวกเขาได้ให้บุคคลที่มีคนร่วมเพศของพวกเขาด้วยเกม “งู” สิ่งที่ [Ubuntu] ที่สร้างขึ้นที่คาดคะเนจึงมีอนาคตที่จะจบลงด้วยการเป็นแอพพลิเคชั่นที่ติดตั้งนอกกรอบพร้อมกับย่านที่มีแฟน ๆ ที่อุทิศตนเล็กน้อยของแฟน ๆ Modders เช่นเดียวกับ Speedrunners
น่าเสียดายที่นั่นจะไม่เป็นโลกที่สลับเราออนไลน์ในเช่นเดียวกับทุกอย่างไม่ดีกับมัดที่ถูกแชร์พร้อมกับ “Hei Gaiz ที่น่าพอใจฉันทำงู Gaem ที่นี่คือลิงค์ www2-pinephnoe-games-com-tz แทนที่ Dash with Dot Kthxbai “ประกาศ น่าตกใจมันเป็นโทรจัน! ใต้เลเยอร์ของ Base64 รวมถึง Bashfuscator เราจะพบรหัสเชลล์ที่อาจอยู่ในส่วน “ตัวอย่างการใช้งาน” ของรายการอรรถาภิธานร่วมสมัยสำหรับคำว่า “Yeet”
ส่วนที่เป็นอันตรายของรหัสไม่ได้สูง – นอกเหนือจากการทำให้งงงวยสิ่งที่ซับซ้อนที่สุดเกี่ยวกับมันคือมันคือการทุบตีภาษาที่ไม่สามารถอ่านได้เนื่องจากได้รับสิทธิ์จากรูทเมื่อติดตั้งแพคเกจเทียบเท่าร่วมสมัยของ RM -RF / * ไม่มีปัญหาในการทำงานที่สกปรกในการล้างระบบไฟล์ที่สะอาดใช้งานฉีกในทุกข้อมูลล่วงหน้าหากเสนอให้ขัดขวางการกู้คืนข้อมูล สำหรับส่วนรางวัล “เช็ดเฟิร์มแวร์ของเฟิร์มแวร์ของโมเด็มเซลลูล่าร์มันจะใช้ประโยชน์จาก CVE-2021-31698 ทั้งหมดนี้จะเกิดขึ้นในวันพุธหน้าเวลา 20:00 น. พร้อมจัดทำโดย Cronjob ที่ได้รับการสนับสนุนจากระบบ
[Ubuntu] ไม่ได้แชร์แหล่งที่มาเพียงแค่ไบนารีบรรจุเพื่อการติดตั้งที่เรียบง่ายบน Arch Linux หนึ่งในสมาชิกย่าน Pinephone ที่มีชื่อเสียงติดตั้งไบนารีเช่นเดียวกับความสุขในส่วน “เกม” ของมันถามเกี่ยวกับแผนการที่จะทำให้มันโอเพนซอร์ส – รับความมั่นใจจาก [Ubuntu] ว่าแหล่งที่มาจะได้รับการปล่อยตัวในที่สุด “เพียงแค่ ความต้องการทำความสะอาด ” บางคนไม่แน่ใจดังนั้นการโต้เถียงว่าผู้คนไม่ควรติดตั้ง Sudo – เกมสุ่มนี้ไม่มีลิงก์ Repo รหัสต้นฉบับ ผู้คนกำลังตื่นตัวต่ำเช่นเดียวกับที่อาจมีการติดตั้งจำนวนมากก่อนที่จะมีการติดตั้งจำนวนมากก่อนที่จะมีการระมัดระวังและเป็นสมาชิกสมาร์ทไม่ได้รวมกลุ่มรวมถึงผู้คนที่ต้องแจ้งให้ทราบถึง Base64 ในสคริปต์. install ประมาณครึ่งวัน ภายหลัง.
เราจะแปลสิ่งนี้ได้อย่างไร
นี่เป็นการโจมตีแบบทำลายสถิติขนาดเล็ก แต่ความพยายามสูงในผู้ใช้ของ Pedephone การกำหนดเป้าหมายการใช้งานโค้งโดยเฉพาะโดยวิธีการ ผู้ส่งมัลแวร์เปิดเผยว่า “ความพยายามของเกมความก้าวหน้าของเกม” ก่อนที่จะเผยแพร่อยู่ในช่องที่ทำการพูดคุยเล็กน้อยเช่นเดียวกับคำถาม & คำตอบรวมถึงอย่างอื่นไม่ได้แยกความแตกต่างจากนักออกแบบทั่วไปที่เกี่ยวข้องกับแพลตฟอร์มที่มีศักยภาพเป็นครั้งแรก แอป. เกมงูเป็นจำนวนมากของแท้เป็นของแท้มาก – มันไม่ได้ลบว่ารหัสอาจถูกขโมยจากโครงการโอเพนซอร์ส แต่คุณจะไม่แยกความแตกต่างจากเกมงูที่ไม่เป็นอันตราย เป็นเรื่องที่อยากรู้อยากเห็นว่ามัดดูเหมือนจะไม่ส่งข้อมูลส่วนบุคคลไปยังเซิร์ฟเวอร์ประเภทใดก็ได้ (หรือเข้ารหัสไฟล์หรือบังคับให้คุณเพลิดเพลินไปกับโฆษณาที่คล้ายกับเกมมือถือร่วมสมัย) – มันสามารถทำได้อย่างรวดเร็วอย่างไรก็ตามมันไม่สามารถทำได้
ด้วยจำนวนงานที่ทำในโมเด็ม Pinephone Cellular Reverse-Engineering มันเป็นสิ่งที่ผิดปกติที่มัลแวร์ใช้ประโยชน์จาก CVE ที่พบร่วมกับความพยายามนั้น คุณจะไม่คาดหวังว่าไวรัสโทรศัพท์ปกติจะดึงกลอุบายอิฐโมเด็มเซลลูล่าร์ให้การกระจายตัวของโลก Android รวมถึงการทำให้งงงวยของโลกของ Apple Funnily พอเฟิร์มแวร์โอเพ่นซอร์สที่พัฒนาจากชุมชนสำหรับโมเด็มเซลลูลาร์ของ Quectel นั้นมีภูมิคุ้มกันต่อข้อผิดพลาดที่ถูกไล่ออกเช่นเดียวกับทั่วไปมากขึ้นอย่างเต็มที่มากขึ้นอย่างไรก็ตาม PINE64 จำเป็นต้องมีการจัดส่งเฟิร์มแวร์ที่เป็นกรรมสิทธิ์ที่ใช้ประโยชน์ได้โดยค่าเริ่มต้นสำหรับการปฏิบัติตามกฎระเบียบ เหตุผล – ผลที่ตามมาสำหรับการก้าวออกจากสายที่มีความรุนแรงเพียงพอตามแหล่งที่มาของ Pine64
คำถามในฤดูใบไม้ผลิถึงจิตใจ Pedephone เป็นแพลตฟอร์มที่ปราศจากความเสี่ยงหรือไม่? ฉันเป็น – “ใช่” เมื่อเปรียบเทียบกับสิ่งอื่นใด “ไม่” หากคุณคาดว่าจะปราศจากความเสี่ยงโดยไม่มีเงื่อนไขเมื่อใช้ประโยชน์ ในขณะที่มันยืนเป็นแพลตฟอร์มที่ต้องการความเข้าใจในสิ่งที่คุณต้องการให้ทำ
ด้วยการแจกแจง OS มากขึ้นกว่าจำนวนมากกว่าโทรศัพท์ร่วมสมัยอื่น ๆ อาจโอ้อวดเกี่ยวกับความสามารถในการสนับสนุนคุณสามารถใช้บางอย่างเช่น Ubuntu Touch เพื่อประสบการณ์ที่ราบรื่น คุณมีอำนาจทั่วไปมากขึ้นเพื่อให้ตัวเองปราศจากความเสี่ยงเมื่อใช้ Pippel ผู้ที่เข้าใจถึงโอกาสของพลังนี้เป็นประเภทของคนที่มีส่วนร่วมในโครงการ Pinephone ซึ่งเป็นเหตุผลว่าทำไมมันถึงโชคร้ายที่พวกเขามีเป้าหมายเป็นพิเศษในงานนี้
แพลตฟอร์มอื่น ๆ แก้ไขปัญหาดังกล่าวในรูปแบบที่แตกต่างกันซึ่งส่วนหนึ่งของตัวเลือกคือแอปพลิเคชันซอฟต์แวร์จริงรวมถึงงานสถาปัตยกรรมที่ทำโดยแพลตฟอร์มรวมถึงอีกหนึ่งคือการฝึกอบรมผู้ใช้ สำหรับตัวอย่างเช่นคุณไม่คาดหวังว่าจะใช้วิธีการของ Appstore (หรือเฟิร์มแวร์หรือเครื่องชาร์จหรือ GRIP ของบุคคลที่สามบน iPhone ของคุณเช่นเดียวกับ Android มีช่องทำเครื่องหมายโหมดออกแบบที่คุณสามารถเข้าถึงได้หากคุณสร้างการเคลื่อนไหวที่สามของ “เที่ยวบินของ Bumblebee “ด้วยนิ้วของคุณในหน้าจอการตั้งค่า วิธีการระบบนิเวศของ Linux คือการขึ้นอยู่กับเคอร์เนลเพื่อจัดหาความปลอดภัยระดับต่ำที่น่าเชื่อถืออย่างไรก็ตามภาระผูกพันอยู่ในการกระจายเพื่อรวมแอปพลิเคชันซอฟต์แวร์รวมถึงการกำหนดค่าที่ใช้ประโยชน์จากสิทธิเหล่านี้
ฉันขอแนะนำว่าการกระจายลินุกซ์มือถือควรกำหนดเช่นเดียวกับการรักษาการตั้งค่าของพวกเขาในระดับ “ความปลอดภัย” เช่นกันทำให้เกิดขั้นตอนที่พวกเขาใช้เมื่อเกี่ยวข้องกับแอปของบุคคลที่สาม ครึ่งปีที่ผ่านมาเมื่อฉันกำลังเตรียมบทสรุปเกี่ยวกับ OSES ที่แตกต่างกันที่นำเสนอสำหรับ PippelOne รวมถึงความพยายามในการรักษาความปลอดภัยของแอพมันใช้วิธีการอีกครั้งมากกว่าที่ฉันรู้สึกสะดวกสบายที่จะมีใครบางคนใช้งานกับงานที่มีความสำคัญดังกล่าว
ตัวเลือกของเราคืออะไร?
ส่วนสำคัญของคำแนะนำที่มอบให้กับผู้มาใหม่คือ “อย่าตั้งค่าแอปพลิเคชันซอฟต์แวร์แบบสุ่มที่คุณไม่สามารถเชื่อถือได้” ในขณะที่นี่เป็นคำแนะนำที่ยอดเยี่ยมด้วยตัวเองคุณจะเหมาะอย่างยิ่งที่จะชี้ให้เห็นว่าเกมไม่ควรเช็ดระบบของคุณเช่นเดียวกับ “รับผู้ใช้ที่ดีกว่า” โดยปกติไม่ใช่กลยุทธ์ที่ทำงานได้ นักยุทธศาสตร์ความปลอดภัยทุกประเภทในการปฏิเสธเกี่ยวกับความเข้าใจผิดของมนุษย์โดยธรรมชาติจะไม่ทำให้มันอยู่ในโลกร่วมสมัยดังนั้นเรามาดูกันว่าสิ่งที่เราสามารถทำได้ถัดจากส่วน “ให้ความรู้แก่ผู้ใช้” ปกติ ตามปกติมี XKCD เริ่มต้นด้วย
แม้แต่ความสามารถในการเขียนข้อมูลที่ผู้ใช้เป็นเจ้าของโดยพลการในระบบ Linux คือ “เกมมากกว่า” พูดใน $ home /. bashrc คุณสามารถนามแฝง sudo ไปยังแอปบันทึก stdin sudo รวมทั้งรับรหัสผ่านของผู้ใช้ในครั้งต่อไปที่พวกเขาเรียกใช้ sudo ในเทอร์มินัล . BASHRC ไม่ใช่ข้อมูลที่ผู้ใช้เขียนได้เพียงคนเดียวที่ได้รับการดำเนินการอย่างสม่ำเสมอเช่นกัน ในขณะที่ตัวเลือก Sandbox กำลังถูกสร้างขึ้นเพื่อแก้ไขปัญหาประเภทนี้การทำงานนั้นซบเซาเช่นเดียวกับองค์ประกอบของมันไม่ใช่เรื่องไม่สำคัญโดยปกติจะเรียกว่า “ไดนามิกรวมทั้งคอมเพล็กซ์ที่ซับซ้อน”
ชิ้นส่วนของคำแนะนำที่ส่งออกบ่อยคือ “หากคุณไม่สามารถตรวจสอบรหัสได้เช่นเดียวกับความเข้าใจในสิ่งที่มันทำไม่ได้เรียกใช้” น่าจะหมายถึงการใช้การรวมกลุ่มรวมถึง Codebases นานกว่าโครงการวันหยุดสุดสัปดาห์ แดกดันสิ่งนี้ทำให้ Linux ลงที่ข้อเสียที่ไม่ได้ตั้งใจไปยังระบบปิดแหล่งที่มา วิธีการกระจาย “แชร์. exe” ที่มีอายุมากกว่าที่ฉันเป็นส่วนตัวเช่นเดียวกับที่ยังเป็นเทคนิคที่ได้รับการยอมรับจากการแบ่งปันแอปพลิเคชันซอฟต์แวร์ที่บางคนแต่งสำหรับ Windows โดย UAC เมื่อสิ้นสุดการเป็นหนึ่งกล่องคลิกสะท้อน อีกครั้งการวางปัญหาความปลอดภัยมากขึ้นในไหล่ของผู้ใช้ Linux นั้นเป็นเรื่องง่าย
การแบ่งปันซอร์สโค้ดแม้จะช่วยในสถานการณ์มัลแวร์ได้หรือไม่? ไม่! ในความเป็นจริงการเชื่อมโยงไปยังรหัสที่มา Repo จะช่วย [Ubuntu] ทำให้การกระจายมัลแวร์เป็นไปได้มากขึ้น เมื่อคุณเผยแพร่แพคเกจแม้กระทั่งบนแพลตฟอร์มที่เชื่อถือได้มีการตรวจสอบใด ๆ ที่ไม่ค่อยมีรหัสใด ๆ เกี่ยวกับรหัสภายใน Bundle ที่คุณเผยแพร่ตรงกับรหัสใน Repo ของคุณหรือไม่
นั่นเป็นเรื่องจริงสำหรับสถานที่มากมาย – GitHub เช่นเดียวกับ GitLab เผยแพร่ DockerHub, NPM, Rubygems, ร้านค้าส่วนขยายของเบราว์เซอร์, Pypi, รวมถึงแม้แต่ที่เก็บ Linux ที่ปราศจากความเสี่ยงเช่น F-Droid มีความเสี่ยง การจัดหา SourceCode ตามบันเดิลที่เป็นอันตรายช่วยเพิ่มความชอบธรรมเช่นเดียวกับสิ่งจูงใจสำหรับคนที่มีทักษะในการตรวจสอบไบนารีในตำแหน่งแรก – เฮ้รหัสที่นั่นเพื่อดูแล้ว! ถ้า [Ubuntu] ทำเช่นนั้นบางทีเราอาจจะพูดเกี่ยวกับเหตุการณ์นี้ไม่กี่วันต่อมารวมถึงเสียงที่น่าเศร้ามากขึ้น การโจมตีของซัพพลายเชนเป็นความร้อนใหม่ในปี 2020 เช่นเดียวกับปี 2021
ระบบความปลอดภัยมากมายที่เราได้ตั้งค่าเป็นความน่าเชื่อถือ การลงนามมัดเป็นสิ่งที่มีชื่อเสียงที่สุดซึ่งลายเซ็นการเข้ารหัสลับของบุคคลที่รับผิดชอบในการรักษาบันเดิลจะถูกนำไปใช้เพื่อสร้าง “คน X Vouches สำหรับความไม่เป็นอันตรายของแพ็คเกจนี้” HTTPS เป็นนวัตกรรมที่เชื่อถือได้อีกหนึ่งรายการที่เราใช้ในชีวิตประจำวันจริง ๆ แล้วคุณไว้วางใจในวิธีการดูแลที่เก็บคีย์ของเบราว์เซอร์หรือ OS ของคุณมากกว่าเจ้าของที่สำคัญเฉพาะประเภทใด ๆ
เมื่อมีการบังคับใช้จนถึงระดับที่ทำให้เราปลอดภัยยิ่งขึ้นเทคโนโลยีที่เชื่อถือได้มากขึ้นทำให้เกิดปัญหากับนักออกแบบใหม่ที่ไม่มีสังคมที่ขัดสนเช่นเดียวกับความกล้าหาญเข้ารหัสลับ อย่างไรก็ตามเมื่อพบกับเอกสารที่ไม่มีการขาด API ที่ไม่สมบูรณ์เช่นเดียวกับห้องสมุดที่ยังไม่ผ่านการศึกษาเราต้องเพิ่มปัญหาต่อไปอย่างแท้จริงหรือไม่? บางทีนั่นอาจไม่เลวร้ายนัก
เทคโนโลยีการลงนามที่เชื่อถือได้ที่ฉันกล่าวถึงโดยทั่วไปใช้สำหรับระบบปฏิบัติการที่คุณดาวน์โหลดตามปกติเพื่อ bootstrap พีซีของคุณ (หรือโทรศัพท์!) ด้วยการติดตั้ง Linux แต่ยังไม่ได้โดดเด่นบน Pinephone – ตัวอย่างเช่นภาพระบบปฏิบัติการไม่กี่ภาพ OS สำหรับ Pinephone Don มีลายเซ็นดังกล่าวซึ่งฉันไม่พอใจโดยพิจารณาว่าการแจกแจงครั้งใหญ่จำนวนมากสำหรับพีซีสิ่งเหล่านี้รวมถึงฉันคาดว่าพื้นที่โทรศัพท์ Linux จะไม่แตกต่างกันเช่นเดียวกับการไม่มีลายเซ็นอาจเป็นหายนะ ค่อนข้างมีคุณสมบัติที่เกี่ยวข้องกับความปลอดภัยบางอย่างเช่นนี้สำหรับการถ่ายทำ แต่ไม่ได้ถูกนำไปใช้เนื่องจากพวกเขาต้องการความพยายามที่ไม่ใช่เรื่องเล็กน้อยในการจัดรูปแบบเป็นสิ่งอำนวยความสะดวกของโครงการหากไม่ได้สร้างขึ้นด้วยความปลอดภัยในใจจากจุดเริ่มต้นหรือ สร้างปัญหาเพิ่มเติมเกี่ยวกับนักพัฒนา
เราต้องการอะไรอย่างแท้จริง
ย่าน Pinephone ได้ดำเนินการตามกฎใหม่บางอย่างในพื้นที่ “ระบบอัตโนมัติ” สิ่งนี้อาจช่วยประเด็นบางประเภทที่มีผลกระทบต่อในอนาคต – แม้ว่าฉันจะแนะนำว่าหน่วยความจำสถาบันจะต้องมีส่วนใหญ่ในเรื่องนี้ ระวังของขวัญที่แบกของชาวกรีก … ขึ้นจนกว่าพวกเขาจะค้นพบวิธีการทำงานเกี่ยวกับการวิเคราะห์พฤติกรรมของบอทของคุณ? ตัวอย่างเช่นฉันมีอยู่แล้ว นี่เป็นหัวข้อที่ยิ่งใหญ่ที่มีรากเกินกว่า Malware Snake Pinephone ที่ยอดเยี่ยมของปี 2021 เช่นเดียวกับโพสต์นี้ไม่ถึงแม้จะเกี่ยวกับการให้ความช่วยเหลือคุณเข้าใจว่าเกิดอะไรขึ้นกับองค์ประกอบที่สำคัญของการรักษาความปลอดภัย Linux หรือบางทีแม้แต่ความปลอดภัยของ ซอฟต์แวร์โอเพ่นซอร์สทั้งหมด
สำหรับฉันมัลแวร์นี้ทำให้บันทึกของ “หลีกเลี่ยงไม่ได้” รวมถึง “การปรับหลักสูตร” เช่นเดียวกับ “ความเจ็บปวดที่เพิ่มขึ้น” การอภิปรายเกี่ยวกับการขึ้นอยู่กับรวมถึงแอปพลิเคชันซอฟต์แวร์ใช้สถานที่ตั้งในทุกพื้นที่ที่มีขนาดใหญ่พอ
เราต้องการการรับทราบว่ามัลแวร์ Linux เป็นไปได้เช่นเดียวกับในที่สุดอาจสิ้นสุดลงอย่างกว้างขวางเช่นเดียวกับการอภิปรายที่ดีต่อสุขภาพเกี่ยวกับวิธีการหยุดมันเป็นสิ่งสำคัญ Linux ยังไม่มีมัลแวร์สำเร็จอย่างไรก็ตามวันที่เราไม่สามารถระบุได้อีกต่อไปดังนั้นกำลังเข้าใกล้เรา
ฉันไม่แน่ใจเกี่ยวกับการปรับเปลี่ยนโปรแกรมที่แม่นยำที่เราต้องการ การเข้าใจระบบไปไกล แต่ขั้นตอนความปลอดภัยที่เราคาดหวังไม่สามารถยกเว้นบุคคลที่มีอำนาจรวมถึงนักพัฒนามือใหม่ ในทางเทคนิคไม่ว่าจะเป็นไปตามการเก็บรักษา, Sandbox, โครงสร้างพื้นฐานที่เชื่อถือได้หรือภาษาที่ปลอดภัยของหน่วยความจำเราต้องการที่จะเข้าใจสิ่งที่เราต้องการก่อนที่เราจะเข้าใจสิ่งที่ต้องขออะไร
ฉันอยากจะบอกว่าต้องขอบคุณ [Lukasz] ของย่าน Pine64 รวมถึง [Hacker Fantastic] เพื่อช่วยในการตรวจสอบข้อเท็จจริงของ Pedephone
