Ventoy се позиционира като популярен инструмент което ви позволява да създадете мултибутираща флашка и като такава, целта ѝ е да позволи на потребителите да копират множество ISO файлове на флашка и да ги стартират директно, без да е необходимо да ги извличат или модифицират.
iVentoy, създаден от същия разработчик от Ventoy, е решение за мрежово зареждане (PXE), което предлага на потребителя възможността да се откажем от използването на USB и вместо това превърнете компютъра си в сървър от който други компютри могат да зареждат ISO образи през локалната мрежа, без да е необходимо да са свързани физически носители.
В момента iVentoy участва в ситуация, която е породила загриженост в общността на свободния софтуер, тъй като наскоро беше засечено подозрително поведение.
Инцидентът включва подмяна на драйвера httpdisk.sys в Windows по време на процеса на зареждане от мрежата, в допълнение към инсталирането на самоподписан сертификат в хранилището за сертификати на операционната система, което е задействало предупреждения за сигурност от антивирусни решения и критици от различни фронтове на безплатната екосистема.
Ventoy инсталира несигурни драйвери за ядрото на Windows
iVentoy https://github.com/ventoy/PXE/releases
iventoy-1.0.20-linux-free.tar.gz, iventoy-1.0.20-win32-free.zip, iventoy-1.0.20-win64-free.zip
Всички тези дистрибутивни файлове съдържат «\data\iventoy.dat», който приложението iventoy декриптира в RAM паметта в «\data\iventoy.dat.xz».
Подозрения и аларми
Въпросният файл, httpdisk.sys е част от механизма iVentoy за монтиране на дискови образи през HTTP по време на инсталации на Windows. Въпреки това, представянето за системни драйвери и манипулирането на сертификати неизбежно поражда недоверие. Цели 31 от 70-те антивирусни програми, използвани за сканиране на файла, са предупредили за наличието на потенциални заплахи, подхранвайки усещането, че iVentoy може да включва скрита задна вратичка.
Тази ситуация съживи опасенията относно сигурността в инструменти, широко използвани в среди за внедряване и тестване на операционни системи, особено след скандала с XZ Utils, където също беше въведен злонамерен код, прикрит като легитимна функционалност. Проектът Ventoy, на който iVentoy е функционално производно, преди това е бил маркиран за използване на подозрителни двоични блобове в неговия изходен код.
Реакции на общността: Търсене на алтернативи
Общността реагира бързо, добре Разработчици на NixOSнапример, Те предложиха да заменят Ventoy в хранилището nixpkgs. с разклонение, поддържано от потребителя fnr1r, докато други гласове повдигнаха възможността за обмисляне на алтернативи като glim. Това недоверие се дължи на факта, че Ventoy и iVentoy споделят авторство и философия, макар и с разлики: Ventoy е напълно отворен и се фокусира върху зареждане от USB, докато iVentoy е частично затворен и е ориентиран към мрежово зареждане (PXE).
Авторът отговаря: обещани промени
Отговорният разработчик и на двата проекта се намеси в дебата с обяснение техника на наблюдавано поведение. Според него, httpdisk.sys е драйвер с отворен код, чиято цел е да монтира отдалечени дискове чрез HTTP, необходими за работата на iVentoy. Вмъкването на самоподписания сертификат би било мярка, която би позволила на драйвера да зарежда без ограничения. в средата на WinPE (среда за предварителна инсталация на Windows) и не засяга инсталираната на диска операционна система Windows.
iVentoy ще остане със затворен код.
Твърди се, че httpdisk.sys е драйвер с отворен код и не е несигурен.
Всъщност, когато iVentoy стартира Windows чрез PXE, той стартира WinPE в тестов режим, така че няма нужда да подписва файла с драйвера. Следователно, httpdisk_sig.sys не е необходим и може да бъде изтрит по-късно.Освен това, драйверът за httpdisk ще бъде инсталиран само във временната среда на WinPE (работеща в RAM паметта), а не на крайната Windows система, така че няма да повлияе на крайната Windows система, инсталирана на твърдия диск.
PXE зависи от мрежата, така че драйверът httpdisk се използва за получаване на инсталационните данни за Windows от сървъра до клиента, използвайки http.
Също така, няма да бъде инсталиран на крайната версия на Windows системата.
Той също така уверява, че Това поведение е документирано и използването на сертификата е ограничено до ефимерна RAM среда.. В директен отговор на критиките, обяви, че във версия 1.0.21 на iVentoy инсталирането на самоподписания сертификат вече е спряно. Вместо това се използва WDKTestCert, тестов подпис, предоставен от комплекта за разработка на драйвери за Windows (WDK). Към документацията на проекта са добавени и обяснения, за да се изясни функцията на httpdisk.sys и разграничението между Ventoy и iVentoy като отделни продукти.
Относно предварително компилираните двоични файлове вграден във Вентой, Авторът уточни, че те идват от съществуващи проекти с отворен код. и се използват без промени. Той обаче призна, че опасенията могат да бъдат избегнати, ако потребителите изберат да компилират свои собствени версии от изходния код, нещо, което може да се направи чрез GitHub CI.
Накрая, ако се интересувате да научите повече за това, можете да проверите подробностите в следваща връзка.