Политизация проектов с открытым исходным кодом началась после того как Россия начала специальную операцию на Украине. Прошло уже больше месяца и в это время в сети Интернет наметилась эта опасная тенденция.

На самом деле "тренировки" уже проходили, когда в угоду BLM из репов начали изымать термины master и slave.

Это очень тревожная тенденция, которая может привести к встраиванию в программы вредоносного кода, который будет срабатывать только при запуске в определенных странах.

Энтузиастами был создан сайт https://toxic-repos.ru со списком тех, кто добавляет политические лозунги в свои проекты. На момент написания этой статьи в базе уже 350 записей.

Чем политизация ПО опасна, как уменьшить шанс скачать то, что я  бы назвал - Boobyware (от Booby Trap – смертельная ловушка, капкан, мина) рассмотрим в этой статье.

Так же будет рассмотрен метод безопасного скачивания образов операционной системы.

Не люблю писать о политике, но ситуация, в которую Россию поставил Запад заставляет принимать её в расчет!

С чего всё началось?

Автор npm-пакета node-ipc встроил в свой проект программный код, который создавал сервере жертвы файлы с политическими лозунгами и с 25% вероятностью мог стереть всю информацию на сервере затерев все файлы значком со сердечком!

Конечно, подобный код был быстро удален, так как напрямую нарушает правила npm и все репозитории зафиксировали версию пакета до изменений и забанили  его!

Почему это опасно?

Дело даже не в том, что это по сути растяжка с осколочной гранатой или противопехотная мина, никогда не знаешь кто из проходящих мимо на нее наступит. Все хуже!

Всё это создает опасный прецедент!

Малейшая ошибка в коде и закладка может сработать вообще у всех, кто скачивал и устанавливал обновление! А учитывая, как взаимосвязаны многие сервисы во всем мире эффект может оказаться сродни взрыву водородной бомбы посреди мегаполиса! Да, серверы можно со временем восстановить, есть резервные копии, есть СХД, которые гарантируют что информация не может быть перезаписана поверх резервных копий. Но на это уйдет время, а «посыпаться» может не только бизнес, но и экономика целого государства, неважно где оно находится! И это не говоря о том, что подобный код могут использовать хакеры, чтобы вывести из строя любую систему.

В сети Интернет развернулся целый флеш-моб, до этого 8 лет не замечавшие обстрелов на Донбассе и гибели людей и детей, разнообразные личности вдруг начали «поддерживать» Украину, при этом выбрав странный путь – мелко гадить как простым жителям России так и просто русскоговорящим по всему миру.

Такое явление как русофобская истерия очень опасно! До этого была антисемитская, а еще была антикоммунистическая и вообще охота на ведьм в средние века. Ничем хорошим это не кончится, в первую очередь для самих инициаторов.

Можно много еще всего написать, но суть я кратко изложил.

Что же делать?

• Приостановите установку обновлений из всех источников, кроме тех, которые вы контролируете и, разве что, репозиториев Astra Linux, там пакеты обновляются не так часто, как бы хотелось, но зато все проверяются на «вкладки» перед добавлением. Поэтому наличие всякого Boobyware исключено!
• Для скачивания файлов используйте VPN. В данный момент проверка ведется по по IP адресу. При скачивании с Российского и Белорусского сегментов сети Интернет можно получить вместе с установщиком в довесок зловреда.
• По возможности загружайте программы с российских "зеркал" и не используйте версии вышедшие после 23 февраля 2022 года. 

Скачиваем образы операционных систем Linux с российского зеркала

Установка операционных систем Linux требует предварительно загруженный образ формата ISO.

В связи с вышеописанными угрозами загружать образы с зарубежных серверов чревато, но выход есть!

Довольно давно Яндексом было создано зеркало для практически всех дистрибутивов Linux, найти вы его можете по адресу: 

https://mirror.yandex.ru/

Открыв его, вы найдете список с папками. Если вам нужен образ, ищите папку, имя которой оканчивается на «-cd».

Например, для Debian 11 ссылка будет такой: 

https://mirror.yandex.ru/debian-cd/11.3.0/amd64/iso-dvd/

Просто скачайте файл как вам удобнее.

Проверка подписи образа

Прежде чем использовать образ, особенно в продакшне, нелишне проверить, что же мы скачали.

Кроме самого образа в папке вы найдете файл SHA256SUMS

Скачайте и откройте его: 

fab0b6d2ea4fa4fb14100225fcb2988b94a8e391f273b4bfaed6314dff124a42  debian-11.3.0-amd64-DVD-1.iso
fdb4eeffa20756d189242334dc3d9c7d2e233c4e539cd3ff1b21fb82b73fffdc  debian-11.3.0-amd64-DVD-10.iso
13ef0ff3a95c0c73ba7be300112bdf811f17420d4953b49bd634ca7e452e9229  debian-11.3.0-amd64-DVD-11.iso
bfb1765882f3b0ac50cb5487bffd82c20dbc9bfd9725a247d0735763405a0ee5  debian-11.3.0-amd64-DVD-12.iso
bb4ea5ac9eb875ccade4baac689cd820cb4799c5ec7d2bce6bae13de8383371a  debian-11.3.0-amd64-DVD-13.iso
c858b8d2cf7deda98f2959449fbc237fd7de6876ed67ac3a5e6ae4334a9797fd  debian-11.3.0-amd64-DVD-14.iso
c35557ffe52921293228a94d16c08d9fbddcae8357c129000a16acce3fd7c655  debian-11.3.0-amd64-DVD-15.iso
648ec49370c101165f9e39f7c28a25f8c7ba637872bdee971794e17b5e6c7d38  debian-11.3.0-amd64-DVD-16.iso
cda3ba72d17d62014c7cc9edf2313b46dcf85267939f5a358f26c682895460d1  debian-11.3.0-amd64-DVD-17.iso
f7a89a47f7cfff28b839a7fb1a71c716719dc907c51469e86a6f125efdb2a488  debian-11.3.0-amd64-DVD-18.iso
e45a893011b08606f5518ba820620e1ce7f913fdd773380cbd6e9d6c3f82619b  debian-11.3.0-amd64-DVD-19.iso
93d05550045f47dc9974b7d670834d55c54cc09e6dd21876ea5260978a734ad7  debian-11.3.0-amd64-DVD-2.iso
c01fba8c7453b5f492bbe3e772ac2bb856207331ef630c87a401ceada258a4a9  debian-11.3.0-amd64-DVD-3.iso
16fd546a1739ee649e37d37e5603319ca0521a64e8ac4ab13e1ee87bf88087f4  debian-11.3.0-amd64-DVD-4.iso
e92399e231ee435f6653257fd187590902206ef2ebc62cf34f7e1ba11d4c63da  debian-11.3.0-amd64-DVD-5.iso
1f3547ad271913cb3b0587bd1a156b63e733861200b056f6c8a6432f8c8f195f  debian-11.3.0-amd64-DVD-6.iso
47f5ee7ce2dae921fce247d99a78c38f96d88feab2e137a3aba2bb9989cbaa59  debian-11.3.0-amd64-DVD-7.iso
7b054b7a59fbdf62bc2f28b3ca22386dcc51de6fae7e4ea5430edd49c7116820  debian-11.3.0-amd64-DVD-8.iso
e8e169e1a411d3e780e008d2bf9bad1fcd560c44d95875776e58214688e9ce77  debian-11.3.0-amd64-DVD-9.iso
0856b20ed13edf42c75645689c8f70d929fc7bfe1a4043b2899a88007af27c6c  debian-update-11.3.0-amd64-DVD-1.iso
dd8ae529cc565cff29bd09c40c069f288168eae988b54f98c40da3a9d6f94bc5  debian-update-11.3.0-amd64-DVD-2.iso
5bb2fd8d416eb9b499e02a745e036d0c58c59b98b97f8c96181ed01fae7d9eb3  debian-update-11.3.0-amd64-DVD-3.iso

Нас интересует строчка с именем файла debian-11.3.0-amd64-DVD-1.iso, и строка с хэшем: 

fab0b6d2ea4fa4fb14100225fcb2988b94a8e391f273b4bfaed6314dff124a42

Откроем PowerShell перейдем в папку с загруженным образом 

cd d:\downloads

запустим: 

Get-FileHash .\debian-11.3.0-amd64-DVD-1.iso

Результат: 

Algorithm       Hash                                                                   Path
---------       ----                                                                   ----
SHA256          FAB0B6D2EA4FA4FB14100225FCB2988B94A8E391F273B4BFAED6314DFF124A42       D:\Downloads\debian-11.3.0-amd64-DV...

Сравним строки: 

FAB0B6D2EA4FA4FB14100225FCB2988B94A8E391F273B4BFAED6314DFF124A42 FAB0B6D2EA4FA4FB14100225FCB2988B94A8E391F273B4BFAED6314DFF124A42  

 Как видите, они совпадают, значит загруженный образ не был модифицирован!

Подобным образом вы можете проверить любые дистрибутивы и установочные пакеты, для которых производитель прикладывает контрольные суммы!

Заключение

Сегодня мы рассмотрели зеркало Яндекса с дистрибутивами Linux.

Узнали, как скачать образ с этого зеркала и проверить его контрольную сумму.

К сожалению политическая ситуация начинает сильно влиять на IT-сферу всего мира. Развязанная Западом против России информационная война разрушает сообщество OpenSource изнутри и внедряет в него сегрегацию по национальному и языковому признакам!

Хочется верить, что это временное явление, что люди придут в чувство и начнут думать сами, не поддаваясь на хайп, флешмобы и прочие манипуляции.

А пока, нам, в России нужно быть внимательными к тому, что мы скачиваем и запускаем с серверов, расположенных за пределами страны.