Ventoy pozycjonuje się jako popularne narzędzie który pozwala na stworzenie multibootowego pendrive'a, a jego celem jest umożliwienie użytkownikom kopiowania wielu plików ISO na pendrive i bezpośredniego ich uruchamiania, bez konieczności ich wypakowywania lub modyfikowania.
iVentoy, stworzony przez tego samego programistę od Ventoy, to rozwiązanie do rozruchu sieciowego (PXE), które oferuje użytkownikowi możliwość zrezygnować z używania USB i zamiast tego zmień swój komputer w serwer z którego inne komputery mogą uruchamiać obrazy ISO za pośrednictwem sieci lokalnej, bez konieczności podłączania do nich jakichkolwiek nośników fizycznych.
Obecnie zaangażowana jest firma iVentoy w sytuacji, która wygenerowała obawy w społeczności wolnego oprogramowania, ponieważ niedawno wykryto podejrzane zachowanie.
Incydent polega na zastąpieniu sterownika httpdisk.sys w systemie Windows podczas procesu rozruchu sieciowego, oprócz zainstalowania certyfikatu podpisanego przez siebie w magazynie certyfikatów systemu operacyjnego, co spowodowało wyświetlenie alertów bezpieczeństwa przez firmy zajmujące się rozwiązaniami antywirusowymi i krytyków z różnych frontów wolnego ekosystemu.
Ventoy instaluje niebezpieczne sterowniki jądra systemu Windows
iVentoy https://github.com/ventoy/PXE/releases
iventoy-1.0.20-linux-free.tar.gz, iventoy-1.0.20-win32-free.zip, iventoy-1.0.20-win64-free.zip
Wszystkie te pliki dystrybucyjne zawierają plik «\data\iventoy.dat», który aplikacja iventoy odszyfrowuje w pamięci RAM do pliku «\data\iventoy.dat.xz».
Podejrzenia i alarmy
Plik w kwestii, httpdisk.sys jest częścią mechanizmu iVentoy do montowania obrazów dysków przez HTTP podczas instalacji systemu Windows. Jednak podszywanie się pod sterowniki systemowe i manipulowanie certyfikatami nieuchronnie rodzi nieufność. Aż 31 z 70 programów antywirusowych użytych do przeskanowania pliku wyświetliło ostrzeżenie o obecności potencjalnych zagrożeń, co wzmocniło obawy, że iVentoy może zawierać ukryte tylne wejście.
Ta sytuacja ożywiło obawy dotyczące bezpieczeństwa w narzędziach powszechnie stosowanych w środowiskach wdrażania i testowania systemów operacyjnych, szczególnie w obliczu skandalu XZ Utils, gdzie również wprowadzano złośliwy kod podszywając się pod legalną funkcjonalność. Projekt Ventoy, którego iVentoy jest funkcjonalną pochodną, został wcześniej oznaczony jako używający podejrzanych binarnych blobów w kodzie źródłowym.
Reakcje społeczności: poszukiwanie alternatyw
Społeczność zareagowała szybko, więc to Programiści NixOSNa przykład, Zaproponowali zastąpienie Ventoya w repozytorium nixpkgs z forkiem utrzymywanym przez użytkownika fnr1r, podczas gdy inne głosy podnosiły możliwość rozważenia alternatyw, takich jak glim. Ta nieufność wynika z faktu, że Ventoy i iVentoy są autorami i mają tę samą filozofię, choć istnieją pewne różnice: Ventoy jest całkowicie otwarty i koncentruje się na rozruchu z USB, podczas gdy iVentoy jest częściowo zamknięty i nastawiony na rozruch sieciowy (PXE).
Autor odpowiada: obiecano zmiany
Odpowiedzialny deweloper obu projektów włączył się do debaty z wyjaśnieniem technika obserwowanego zachowania. Według niego, httpdisk.sys to sterownik typu open source, którego celem jest montowanie dysków zdalnych za pośrednictwem protokołu HTTP, niezbędne do działania iVentoy. Wstawienie certyfikatu podpisanego przez siebie byłoby środkiem umożliwiającym sterownikowi ładowanie bez ograniczeń w środowisku WinPE (Windows Preinstallation Environment) i nie ma wpływu na system operacyjny Windows zainstalowany na dysku.
iVentoy pozostanie oprogramowaniem o zamkniętym kodzie źródłowym.
httpdisk.sys jest sterownikiem typu open source i nie jest niebezpieczny.
W rzeczywistości, gdy iVentoy uruchamia system Windows za pośrednictwem PXE, uruchamia środowisko WinPE w trybie testowym, więc nie ma potrzeby podpisywania pliku sterownika. W związku z tym plik httpdisk_sig.sys nie jest potrzebny i można go później usunąć.Ponadto sterownik httpdisk zostanie zainstalowany wyłącznie w tymczasowym środowisku WinPE (uruchomionym w pamięci RAM), a nie w końcowym systemie Windows. Nie będzie więc miał wpływu na końcowy system Windows zainstalowany na dysku twardym.
PXE jest zależne od sieci, dlatego sterownik httpdisk służy do pobierania danych instalacyjnych systemu Windows z serwera do klienta za pomocą protokołu http.
Ponadto nie zostanie on zainstalowany w docelowej wersji systemu Windows.
Zapewnia również, że To zachowanie jest udokumentowane, a użycie certyfikatu jest ograniczone do środowiska pamięci RAM o charakterze efemerycznym. W bezpośredniej odpowiedzi na krytykę, poinformował, że w wersji 1.0.21 iVentoy instalacja certyfikatu podpisanego własnoręcznie została już zatrzymana. Zamiast tego używany jest WDKTestCert, testowy podpis dostarczany przez Windows Driver Development Kit (WDK). Do dokumentacji projektu dodano również wyjaśnienia mające na celu wyjaśnienie funkcji pliku httpdisk.sys i rozróżnienie Ventoy i iVentoy jako oddzielnych produktów.
W odniesieniu do skompilowanych plików binarnych osadzony w Ventoy, Autor wyjaśnił, że pochodzą one z istniejących projektów open source. i są używane bez modyfikacji. Przyznał jednak, że obaw można by uniknąć, gdyby użytkownicy zdecydowali się na kompilowanie własnych wersji z kodu źródłowego. Jest to możliwe dzięki GitHub CI.
Na koniec, jeśli jesteś zainteresowany, aby dowiedzieć się więcej, możesz sprawdzić szczegóły w następujący link.