Репозиторий Microsoft добавлен в Raspberry Pi OS⁠⁠

Репозиторий Microsoft был добавлен в официальный дистрибутив GNU/Linux для Raspberry Pi под названием Raspberry Pi OS (в прошлом известный как Raspbian) в одном из последних обновлений дистрибутива. Если быть точнее, то нововведение скрывается в пакете raspberrypi-sys-mods. Теперь, хотите вы того или нет, но при следующем обновлении вашего одноплатника у него появится еще один источник пакетов для обновления системы. Это за собой влечет как минимум две проблемы. Читайте о них ниже или смотрите в ролике.

Проблема 1

Репозиторий от Microsoft – это полноправный гражданин в вашей системе. Эта становится возможным благодаря тому, что в систему также устанавливается GPG-ключ от Microsoft, которым подписываются пакеты из этого репозитория. В итоге все пакеты из репозитория Microsoft имеют тот же приоритет, что и пакеты из стандартного репозитория, через который распространяются все программное обеспечение дистрибутива, включая обновления. Обратите внимание.

На скриншоте показана информация о двух пакетах. Первый, coreutils, является частью базовой системы, без которого немыслима любая Debian-подобная система, а второй, code, который содержит интегрированную среду разработки Visual Studio Code от Microsoft. У обоих этих пакетов приоритет 500. И это говорит нам о том, что теперь Raspberry Pi OS сильно подвержен атаке на цепь поставок программного обеспечения, от которой, по иронии судьбы, совершенно недавно сильно пострадала сама Microsoft. Компания ровно таким же образом доверяла на 100% одному поставщику программного обеспечения, который добросовестно доставлял обновления через свои каналы Microsoft'у. Затем инфраструктура поставщика была скомпрометирована и в обновления, которые полагались заказчикам, был интегрирован бекдор. Так как Microsoft доверяла этому поставщику на 100%, она без лишних вопросов скачала обновление с бекдором и открыла доступ к своей инфраструктуре злоумышленникам, после чего пострадали некоторые клиенты Microsoft, для которых уже это компания является поставщиком чего бы то там ни было. Это и называется атакой на цепь поставок программного обеспечения. А теперь представьте, что инфраструктура Microsoft успешно взломана. Злоумышленники могут опубликовать через репозиторий для Raspberry Pi OS пакет с обновлением для любого из компонентов дистрибутива, в который будет интегрирован бекдор, а ваша система, в свою очередь, посчитает этот пакет супер важным обновлением и без лишних вопросов загрузит и установит его.

Проблема 2

Теперь любая попытка обновить Raspberry Pi OS будет приводить к тому, что пакетный менеджер системы будет обращаться к репозиторию Microsoft. Это даст компании возможность накапливать на своих серверах информацию об IP-адресах пользователей. А эта информация, в свою очередь, сможет пригодиться для построения профиля пользователя для таргетированной рекламы. В идеале таргетированная реклама должна использовать данные о пользователях, которыми они добровольно делятся. А здесь пользователей никто не спрашивал.

Как удалить репозиторий от Microsoft

Рекомендую удалить репозиторий от Microsoft из своей системы, только если конечно вы его ранее не устанавливали сами. Удалить его просто. Сначала удалите репозиторий из списка источников, а затем удалите ключ Microsoft из системы. Два этих действия показаны на скриншоте ниже.

Заключение

Не знаю, кому именно принадлежит идея добавить репозиторий Microsoft в Raspberry Pi OS – самой Microsoft или Raspberry Pi Foundation, которая стоит за разработкой дистрибутива – но идея, на мой взгляд, дурацкая. Дурацкая хотя бы потому, что нововведение не обсуждалось заранее. Задачи Raspberry Pi Foundation, как некоммерческой организации, заключаются в том, чтобы преследовать цели своего сообщества, а не отдельной компании. Вышло как раз наоборот.

Поделитесь в комментариях, используете ли альтернативные дитсрибутивы на своих одноплатниках? И если да, то какие?