Ventoy se pozicionirao kao popularan alat što vam omogućava kreiranje multiboot USB memorije, i kao takvo, njegov cilj je da omogući korisnicima kopiranje više ISO datoteka na USB memoriju i njihovo direktno pokretanje bez potrebe za njihovim izdvajanjem ili modifikovanjem.
iVentoy, kreiran od strane istog programera od Ventoya, je rješenje za pokretanje putem mreže (PXE), koje nudi korisniku mogućnost da se odreknete upotrebe USB-a i umjesto toga pretvorite svoj računar u server s kojeg drugi računari mogu pokrenuti ISO slike preko lokalne mreže, bez potrebe za bilo kakvim fizičkim medijem povezanim s njima.
Trenutno je iVentoy uključen u situaciji koja je generirala zabrinutost u zajednici slobodnog softvera, budući da je nedavno otkriveno sumnjivo ponašanje.
Incident uključuje zamjenu drajvera httpdisk.sys u Windowsu tokom procesa pokretanja mreže, pored instaliranja samopotpisanog certifikata u skladištu certifikata operativnog sistema, što je aktiviralo sigurnosna upozorenja od strane antivirusnih rješenja i kritičara s različitih frontova slobodnog ekosistema.
Ventoy instalira nesigurne drajvere za Windows kernel
iVentoy https://github.com/ventoy/PXE/releases
iventoy-1.0.20-linux-free.tar.gz, iventoy-1.0.20-win32-free.zip, iventoy-1.0.20-win64-free.zip
Sve ove distribucijske datoteke sadrže «\data\iventoy.dat» koju iventoy aplikacija dešifrira u RAM-u u «\data\iventoy.dat.xz».
Sumnje i alarmi
Dotični fajl, httpdisk.sys je dio iVentoy mehanizma za montiranje slika diska preko HTTP-a tokom instalacije Windowsa. Međutim, lažno predstavljanje sistemskih drajvera i manipulisanje certifikatima neminovno stvara nepovjerenje. Čak 31 od 70 antivirusnih programa korištenih za skeniranje datoteke prikazalo je upozorenje o prisutnosti potencijalnih prijetnji, što je potaknulo percepciju da bi iVentoy mogao uključivati skriveni backdoor.
Ova situacija ponovo je oživio zabrinutost zbog sigurnosti u alatima koji se široko koriste u okruženjima za implementaciju i testiranje operativnih sistema, posebno nakon skandala sa XZ Utils, gdje je također uveden zlonamjerni kod prikriven kao legitimna funkcionalnost. Projekt Ventoy, čiji je iVentoy funkcionalni derivat, prethodno je bio označen zbog korištenja sumnjivih binarnih blobova u njegovom izvornom kodu.
Reakcije zajednice: Potraga za alternativama
Zajednica je brzo reagovala, well the NixOS programeri, na primjer, Predložili su zamjenu Ventoya u nixpkgs repozitoriju. s forkom koju održava korisnik fnr1r, dok su drugi glasovi pokrenuli mogućnost razmatranja alternativa poput glim-a. Ovo nepovjerenje je posljedica činjenice da Ventoy i iVentoy dijele autorstvo i filozofiju, iako s razlikama: Ventoy je potpuno otvoren i fokusira se na pokretanje s USB-a, dok je iVentoy djelomično zatvoren i orijentiran je na pokretanje s mreže (PXE).
Autor odgovara: obećane promjene
Odgovorni programer oba projekta umiješao se u raspravu s objašnjenjem tehnika posmatranog ponašanja. Prema njegovim riječima, httpdisk.sys je drajver otvorenog koda čija je svrha montiranje udaljenih diskova putem HTTP-a., neophodno za rad iVentoy-a. Umetanje samopotpisanog certifikata bila bi mjera koja bi omogućila upravljačkom programu učitavanje bez ograničenja. u WinPE (Windows Preinstallation Environment) okruženju i ne utiče na operativni sistem Windows instaliran na disku.
iVentoy će ostati zatvorenog koda.
Za httpdisk.sys se kaže da je drajver otvorenog koda i da nije nesiguran.
U stvari, kada iVentoy pokreće Windows putem PXE-a, on pokreće WinPE u testnom režimu, tako da nema potrebe za potpisivanjem drajverske datoteke. Stoga, httpdisk_sig.sys nije potreban i može se kasnije izbrisati.Osim toga, httpdisk drajver će biti instaliran samo u privremenom WinPE okruženju (koje radi u RAM-u), a ne na konačnom Windows sistemu, tako da neće uticati na konačni Windows sistem instaliran na tvrdom disku.
PXE zavisi od mreže, tako da se httpdisk drajver koristi za dobijanje podataka za instalaciju Windowsa sa servera na klijenta koristeći http.
Također, neće biti instaliran na konačnu verziju Windows sistema.
On također uvjerava da Ovo ponašanje je dokumentirano i upotreba certifikata je ograničena na okruženje kratkotrajne RAM memorije.. Kao direktan odgovor na kritiku, je objavljeno da je u verziji 1.0.21 iVentoy-a instalacija samopotpisanog certifikata već zaustavljena. Umjesto toga, koristi se WDKTestCert, testni potpis koji pruža Windows Driver Development Kit (WDK). U projektnu dokumentaciju su također dodana objašnjenja kako bi se razjasnila funkcija httpdisk.sys i razlika između Ventoy-a i iVentoy-a kao odvojenih proizvoda.
Što se tiče prekompiliranih binarnih datoteka ugrađen u Ventoy, Autor je pojasnio da oni potiču iz postojećih projekata otvorenog koda. i koriste se bez ikakvih modifikacija. Međutim, priznao je da bi se zabrinutosti mogle izbjeći ako bi korisnici odlučili kompajlirati vlastite verzije iz izvornog koda, što se može učiniti putem GitHub CI-ja.
Konačno, ako ste zainteresirani da saznate više o tome, možete provjeriti detalje u sljedeći link.