Connect with us

Linux

Repo Microsoft installato segretamente su tutti i sistemi operativi Linux di Raspberry Pi


Raspberry Pi è un piccolo computer utile per l’apprendimento della programmazione e la creazione di progetti. Viene fornito con il sistema operativo modificato basato su Debian Linux chiamato Raspbian. È il sistema operativo più installato su RPi. In un recente aggiornamento, il sistema operativo Raspberry Pi ha installato un repository Microsoft apt su tutte le macchine che eseguono il sistema operativo Raspberry Pi all’insaputa della persona o dell’amministratore. Ogni volta che un dispositivo Raspbian viene aggiornato con questo repository, eseguirà il ping di un server Microsoft. La telemetria Microsoft ha una cattiva reputazione nella comunità Linux. Vediamo perché e come questo è importante per gli utenti Linux.

Repo Microsoft installato segretamente su tutti i sistemi operativi Linux di Raspberry Pi

Cerchiamo di scoprire cosa contiene questo repo:
ssh pi@192.168.2.180
Ecco come possiamo confermarlo:

lsb_release -a
ls -l /etc/apt/sources.list.d/
ls -l /etc/apt/trusted.gpg.d/
cat /etc/apt/sources.list.d/vscode.list

Vediamo cosa contiene il repository Microsoft installato segretamente a tua insaputa su Raspberry PI:

curl -s http://packages.microsoft.com/repos/code/dists/stable/main/binary-arm64/Packages 
| grep "^Package: " 
| cut -d" " -f2 
| sort -u


Sembra che contenga VS Code IDE per il tuo Raspberry Pi. Ora tieni presente che questo è un server con un’immagine leggera, e non è necessario installarlo sul mio vecchio RPi 2. Naturalmente, ha reso infelici molti utenti Linux. A peggiorare le cose, gli amministratori ufficiali dei forum Raspberry Pi hanno rapidamente bloccato ed eliminato i thread dell’argomento, sostenendo che si trattava di “Microsoft bashing”.

Perché questa cattiva notizia?

Sembra che la fondazione RPi raccomandi ufficialmente MS IDE, e quindi questo è stato incluso Raspberry Pi OS. Dovrebbero mantenerlo nell’immagine della GUI per i bambini o per chiunque desideri imparare Python e altre cose usando VS Code. La maggior parte dei fanatici di Linux e degli utenti esperti usa RPi come server git o adblocker e così via come server headless. C’è sempre un problema di fiducia quando il repository di software indesiderato è configurato e le chiavi gpg vengono installate segretamente, che è il problema principale. Quali altri problemi possono incontrare gli utenti Linux:

  1. Gli utenti Linux hardcore come me (o chiunque lavori in infosec / IT) non si fideranno mai di Microsoft o del sistema operativo Raspberry Pi per installare segretamente un tale repository.
  2. Microsoft può raccogliere ulteriori informazioni sugli utenti RPi e Linux poiché molti cercano di ridurre la loro impronta digitale come il tuo indirizzo IP e creare un profilo su di te.
  3. Ogni apt-get update comando pingback al repository MS.
  4. Se tu o un membro della tua famiglia avete effettuato l’accesso all’ecosistema MS come Github, Bing, Office / Live, potrebbero identificarti e tracciarti quando utilizzi lo stesso IP pubblico condiviso a casa.

Se ti va bene, smetti di leggere e torna alla tua vita. Non c’è niente di sbagliato in questo. Ma se non sei d’accordo con un tale cambiamento. Ecco alcune opzioni per te.

1. Smetti di usare Raspbian

Questa è la migliore soluzione possibile. Probabilmente passerò a Debian semplice per RPi 2. L’altro sistema operativo include:

2. Blocca Microsoft VSCode se desideri comunque utilizzare il sistema operativo Raspbian

Modifica il tuo / etc / hosts su RPI (o aggiungi quel dominio al tuo Pi-Hole)
sudo vim /etc/hosts
Aggiungi la seguente riga:
0.0.0.0 packages.microsoft.com
Salva e chiudi il file in vim. Metti in attesa il pacchetto Debian in modo che non installi ulteriori aggiornamenti:
sudo apt-mark hold raspberrypi-sys-mods
Elimina la chiave GPG di Microsoft utilizzando il comando rm:
sudo rm -vf /etc/apt/trusted.gpg.d/microsoft.gpg
Assicurati che non sia possibile installare nuove chiavi:
sudo touch /etc/apt/trusted.gpg.d/microsoft.gpg
Quindi, proteggi da scrittura quel file su Linux usando il comando chattr:
sudo chattr +i /etc/apt/trusted.gpg.d/microsoft.gpg
lsattr /etc/apt/trusted.gpg.d/microsoft.gpg

3. Usa la sicurezza VSCode, soprattutto quando i tuoi figli lo usano

VSCode ha anche la telemetria, usa una versione di VSCode con la telemetria rimossa:

Binari software open source Free / Libre di VSCode con tutti i dati di telemetria rimossi

Riassumendo

A dire il vero, RPis non è open source al 100%. Come Intel e AMD CPU / GPU, viene fornito anche con un firmware binario closed source. Tuttavia, ciò non significa, installare segretamente il repository di software indesiderato e le chiavi gpg sul tuo dispositivo a tua insaputa. Questo è ciò che fa il malware, e quindi Linux e la comunità opensource sono sconvolti. Spero che lo risolveranno. Dai un’occhiata al thread di Reddit con molti altri suggerimenti. Il manutentore di RPis / OS avrebbe dovuto pubblicare un post sul blog su un cambiamento così notevole, e farlo senza informare gli utenti di RPis non è eccezionale. Cosa ne pensi? Fateci sapere nella sezione commenti qui sotto.


Ti e piaciuto questo articolo?
Supporta il mio lavoro, facendo una donazione!

Click to comment

Leave a Reply

Esegui l'accesso per Commentare

Di tendenza

Close Popup
Questo sito utilizza i cookie per migliorare servizi ed esperienza dei lettori. Se decidi di continuare la navigazione senza blocchi premi su Accetto, oppure continua tranquillamente la navigazione, nessun dato sulla tua navigazione verrà raccolto.
Close Popup
Privacy Settings saved!
Impostazioni

Quando visiti un sito Web, esso può archiviare o recuperare informazioni sul tuo browser, principalmente sotto forma di cookies. Controlla qui i tuoi servizi di cookie personali.

Questi cookie sono necessari per il funzionamento del sito Web e non possono essere disattivati nei nostri sistemi.

Cookie tecnici
Per utilizzare questo sito web usiamo i seguenti cookie tecnici necessari:
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec
  • swpm_session

Google Adsense
Usiamo la pubblicità di Google solo per mantenere attivi i nostro sito. Con ip anonimizzati.

Rifiuta tutti i Servizi
Save
Accetta tutti i Servizi