Attraverso un recente aggiornamento (fine gennaio 2021), il sistema operativo Raspberry Pi ha installato un repository Microsoft con il servizio apt su tutte le macchine che eseguono il sistema operativo Raspberry Pi, all’insaputa della persona o dell’amministratore di sistema.
Ogni volta che un dispositivo Raspberry con il S.O. Raspbian (o nel nostro caso radioamatoriale con il S.O. modificato pi-star) viene aggiornato con questo repository presente, il sistema operativo eseguirà il ping verso un server Microsoft. La telemetria Microsoft ha una cattiva reputazione nella comunità Linux.
Vediamo assieme come identificarlo e come eliminare questa opzione, in quanto reputo che questo sia importante per gli utenti Linux e non.
Come controllarne l’esistenza sul vostro dispositivo
Ecco come cercare e confermare la sua esistenza nel sistema operativo; utilizzando i seguenti comandi da terminale, che potrete inserire utilizzando la finestra SSH del pi-star (menu Configuration > Expert > SSH Access. Inserite le credenziali abituali di accesso al pi-star.
Successivamente, con il comando:
lsb_release -a
otterrete la descrizione del S.O. in uso.
con il comando:
ls -l /etc/apt/sources.list.d/
(evidenziando la presenza della lista aggiuntiva riguardante vscode, utilizzato per trasferire i vostri dati ai Server di Microsoft)
con il comando:
ls -l /etc/apt/trusted.gpg.d/
otterrete questa risposta:
-rw-r–r– 1 root root 641 Jan 30 16:11 microsoft.gpg (evidenziando la presenza della chiave gpg utilizzata per scaricare il software Microsoft)
con il comando:
cat /etc/apt/sources.list.d/vscode.list
# You may comment out this entry, but any other modifications may be lost.
Vediamo cosa contiene il repository Microsoft installato, segretamente e a vostra insaputa, sul Raspberry PI:
curl -s http://packages.microsoft.com/repos/code/dists/stable/main/binary-arm64/Packages \
Potrete notare che tra i vari software, ci diversi software riferiti a VisualStudio e VScode già installati nel vostro sistema. Come sistemare?
Perché questa cattiva notizia?
Sembra che la fondazione RPi raccomandi ufficialmente MS IDE, e quindi questo è stato incluso nel S.O. del Raspberry Pi. Dovrebbero mantenerlo nell’immagine della GUI per i bambini o per chiunque desideri imparare Python e altre cose usando VS Code.
La maggior parte dei sostenitori di Linux e gli utenti esperti usano RPi come server git o adblocker e così via, come server headless.
C’è sempre un problema di fiducia quando esiste un repository di software indesiderato già configurato e le chiavi gpg vengono installate segretamente; QUESTO è il problema principale!!
Quali altri problemi possono incontrare gli utenti Linux
Continuando ad utilizzare il repository M$ forzatamente sui miei Rpi 0, Rpi 2 e i RPi 3, M$ continuerebbe a controllare anche tutto il software che installo manualmente. Ad esempio, quando eseguo `apt install nome_della_app`, otterrò un’app distribuita e modificata da MS.
Forse non faranno nulla di male, ma non voglio avere niente a che fare con loro. È una mia scelta!
Gli utenti Linux hardcore come me (o chiunque lavori in infosec / IT) non si fideranno MAI di Microsoft o del sistema operativo Raspberry Pi che installa segretamente un tale repository.
Microsoft può raccogliere ulteriori informazioni sugli utenti RPi e Linux, poiché molti cercano di ridurre la loro impronta digitale come il vostro indirizzo IP e creare quindi un profilo su di voi.
Ogni comando apt-get update pingback viene gestito da e sul MS repo.
Se voi o un membro della vostra famiglia avete effettuato l’accesso all’ecosistema MS come Github, Bing, Office / Live, potrebbero identificarvi e rintracciarvi quando utilizzate lo stesso IP pubblico condiviso nella rete di casa.
Se questo vi va bene, smettete pure di leggere questo articolo e ritornate alla vostra vita. Non c’è niente di sbagliato in questo. Ma se non siete d’accordo con un tale cambiamento, fatto tra l’altro in modo nascosto, ecco come potete sistemare facilmente il ‘problema’ sul vostro Raspberry, con pochi comandi da terminale.
Risolvere il problema utilizzando la finestra SSH del Raspberry Pi
Sempre lavorando da dentro la finestra SSH del vostro pi-star, editate il vostro file /etc/hosts del RPI, con il comando:
sudo nano /etc/hosts
Aggiungete la seguente linea, che eviterà che il vostro Rpi vada a contattare i server di Microsoft.
0.0.0.0 packages.microsoft.com
Salvate il file e chiudete l’editor nano.
Impostate i vecchi pacchetti Debian su bloccato, in modo da non ritornare ad installare lo stesso pacchetto indesiderato nel futuro.
Per farlo, utilizzate il seguente comando:
sudo apt-mark hold raspberrypi-sys-mods
Cancellate la chiave GPG di Microsoft, utilizzando il comando rm:
sudo rm -vf /etc/apt/trusted.gpg.d/microsoft.gpg
Assicuratevi che una nuova chiave identica non venga reinstallata nuovamente, con il comando:
sudo touch /etc/apt/trusted.gpg.d/microsoft.gpg
Di seguito, abilitate il modo protetto da scrittura di Linux, per bloccare l’aggiornamento della chiave indesiderata, atraverso questi due comandi:
sudo chattr +i /etc/apt/trusted.gpg.d/microsoft.gpg
lsattr /etc/apt/trusted.gpg.d/microsoft.gpg
Personalmente, per avere la sicurezza di non andare mai a ‘bussare‘ sui repository di Micro$oft, ho applicato successivamente anche questa mia ulteriore e semplice modifica.
Posizionatevi nella directory dove si trova il file contenente la regola per scaricare il codice di Micro$oft, con il comando:
cd /etc/apt/sources.list.d/
Troverete all’interno il file vscode.list, che andremo a modificare in modo da renderlo da comando a semplice commento (e non verrà eseguito nell’aggiornamento del pi-star).
Modificate il file con il comando:
nano vscode.list
Troverete all’interno il seguente codice:
# You may comment out this entry, but any other modifications may be lost.
deb [arch=amd64,arm64,armhf] http://packages.microsoft.com/repos/code stable main
Aggiungete il carattere # davanti al comando deb, ottenendo questo risultato:
# You may comment out this entry, but any other modifications may be lost.
# deb [arch=amd64,arm64,armhf] http://packages.microsoft.com/repos/code stable main
Salvate la modifica al file con Ctrl X e uscite dall’editor.
Avete terminato le modifiche; non è necessario riavviare il vostro Raspberry Pi.
Conclusioni
A dire il vero, il sistema del Rasp Pi non è open source al 100%. Come Intel e AMD CPU / GPU, viene fornito con un firmware binario closed source. Tuttavia, ciò non significa che sia una cosa corretta installare di nascosto il repository di software indesiderato e le chiavi gpg sul dispositivo a vostra insaputa.
Questo è ciò che fa un malware; per questo motivo le comunità Linux e la comunità opensource sono sconvolti. Spero tanto che possano risolvere velocemente questo problema.
Buon sperimentazione con il software libero.
’73 de Paolo IV3BVK
Scopri di più da Il mondo di Paolettopn (IV3BVK - K1BVK)
Abbonati per ricevere gli ultimi articoli via e-mail.