Ventoy har posisjonert seg som et populært verktøy som lar deg opprette en multiboot-minnepinne, og målet er derfor å la brukere kopiere flere ISO-filer til en minnepinne og starte dem direkte uten å måtte pakke ut eller endre dem.
iVentoy, laget av samme utvikler fra Ventoy, er en nettverksoppstartsløsning (PXE), som tilbyr brukeren muligheten å legge til side bruken av en USB og i stedet Gjør PC-en din om til en server som andre datamaskiner kan starte ISO-bilder fra over det lokale nettverket, uten behov for fysiske medier koblet til dem.
For tiden har iVentoy vært involvert i en situasjon som har skapt bekymring i fri programvare-samfunnet, siden mistenkelig oppførsel nylig ble oppdaget.
Hendelsen innebærer å erstatte httpdisk.sys-driveren i Windows under nettverksoppstartsprosessen, i tillegg til å installere et selvsignert sertifikat i operativsystemets sertifikatlager, som utløste sikkerhetsvarsler av antivirusløsninger og kritikere fra ulike fronter av det frie økosystemet.
Ventoy installerer usikre Windows-kjernedrivere
iVentoy https://github.com/ventoy/PXE/releases
iventoy-1.0.20-linux-free.tar.gz, iventoy-1.0.20-win32-free.zip, iventoy-1.0.20-win64-free.zip
Alle disse distribusjonsfilene inneholder «\data\iventoy.dat» som iventoy-applikasjonen dekrypterer i RAM til «\data\iventoy.dat.xz».
Mistanker og alarmer
Filen det er snakk om, httpdisk.sys er en del av iVentoy-mekanismen for å montere diskavbildninger over HTTP under Windows-installasjoner. Imidlertid å utgi seg for å være systemdrivere og manipulere sertifikater skaper uunngåelig mistillit. Så mange som 31 av de 70 antivirusprogrammene som ble brukt til å skanne filen, kom med en advarsel om potensielle trusler, noe som forsterket oppfatningen om at iVentoy kunne inkludere en skjult bakdør.
Denne situasjonen har gjenopplivet bekymringer om sikkerhet i verktøy som er mye brukt i distribusjons- og testmiljøer for operativsystemer, spesielt i kjølvannet av XZ Utils-skandalen, hvor ondsinnet kode også ble introdusert forkledd som legitim funksjonalitet. Ventoy-prosjektet, hvorav iVentoy er et funksjonelt derivat, hadde tidligere blitt flagget for bruk av mistenkelige binære blobber i kildekoden.
Reaksjoner fra lokalsamfunnet: Søker etter alternativer
Samfunnet reagerte raskt, vel NixOS-utviklere, for eksempel, De foreslo å erstatte Ventoy i nixpkgs-depotet med en fork vedlikeholdt av brukeren fnr1r, mens andre stemmer tok opp muligheten for å vurdere alternativer som glim. Denne mistilliten skyldes at Ventoy og iVentoy deler forfatterskap og filosofi, men med forskjeller: Ventoy er helt åpen og fokuserer på oppstart fra USB, mens iVentoy er delvis lukket og er orientert mot nettverksoppstart (PXE).
Forfatteren svarer: lovet endringer
Den ansvarlige utvikleren av begge prosjektene blandet seg inn i debatten med en forklaring observert atferdsteknikk. Ifølge ham, httpdisk.sys er en åpen kildekode-driver som har som formål å montere eksterne disker via HTTP, nødvendig for driften av iVentoy. Å sette inn det selvsignerte sertifikatet ville være et tiltak for å la sjåføren laste uten begrensninger i WinPE-miljøet (Windows Preinstallation Environment), og påvirker ikke Windows-operativsystemet som er installert på disken.
iVentoy vil forbli lukket kildekode.
httpdisk.sys sies å være en driver med åpen kildekode og er ikke usikker.
Faktisk, når iVentoy starter opp Windows via PXE, starter den opp WinPE i testmodus, så det er ikke nødvendig å signere driverfilen. Derfor er ikke httpdisk_sig.sys nødvendig og kan slettes senere.I tillegg vil httpdisk-driveren bare bli installert i det midlertidige WinPE-miljøet (som kjører i RAM), ikke på det endelige Windows-systemet, så det vil ikke påvirke det endelige Windows-systemet som er installert på harddisken.
PXE er nettverksavhengig, så httpdisk-driveren brukes til å hente Windows-installasjonsdataene fra serveren til klienten ved hjelp av http.
Den vil heller ikke bli installert på det endelige Windows-systemet.
Han forsikrer også at Denne oppførselen er dokumentert, og bruken av sertifikatet er begrenset til et flyktig RAM-miljø.. Som et direkte svar på kritikken, annonserte at installasjonen av det selvsignerte sertifikatet allerede er stoppet i versjon 1.0.21 av iVentoy. I stedet brukes WDKTestCert, en testsignatur levert av Windows Driver Development Kit (WDK). Det er også lagt til forklaringer i prosjektdokumentasjonen for å tydeliggjøre funksjonen til httpdisk.sys og skillet mellom Ventoy og iVentoy som separate produkter.
Angående forhåndskompilerte binærfiler innebygd i Ventoy, Forfatteren presiserte at disse kommer fra eksisterende åpen kildekode-prosjekter. og brukes uten modifikasjoner. Han erkjente imidlertid at bekymringer kunne unngås dersom brukere valgte å kompilere sine egne versjoner fra kildekoden, noe som kan gjøres gjennom GitHub CI.
Til slutt, hvis du er interessert i å lære mer om det, kan du sjekke detaljene i følgende lenke.