Oberon System 3 原生端口为 Raspberry Pi 提升供应链安全担忧

Oberon System 3 Raspberry Pi 3原生移植引发供应链安全担忧

执行摘要

一个将Oberon System 3操作系统原生移植到Raspberry Pi 3的项目，在Hacker News上推广，引入了实际的供应链安全风险。主要担忧在于分发方式：一个准备就绪的SD卡镜像文件（OberonSystem3Native.img.xz）托管在个人GitHub仓库上。尽管该项目本身看起来是一个合法的技术努力，但由于缺乏可验证的构建来源、可复制的构建以及二进制镜像的独立代码签名，为恶意行为者提供了破坏镜像的机会。使用这个镜像的用户授予其中包含的软件对其硬件的完全控制权，这使得对来源的信任至关重要。

技术分析

该项目在其Hacker News帖子和GitHub发布页面上描述，提供了一个磁盘镜像，允许Oberon System 3操作系统在Raspberry Pi 3 Model B上原生启动，绕过典型的Linux内核。Oberon是一个历史上重要的最小操作系统和编程环境。安全分析的焦点不在于Oberon代码本身，而在于分发渠道。镜像文件是一个压缩的二进制块。如果没有访问用于创建它的确切工具链、配置和构建脚本，第三方就无法从可用的源代码独立复制镜像并验证其完整性。这是一个典型的可复制构建问题。仓库所有者Rochus Keller表示镜像已在“Raspberry Pi 3 Model B上进行了测试”，但没有提供任何加密证明或详细的构建日志。风险在于，被破坏的构建环境或在发布页面上恶意替换镜像可能会嵌入未被检测到的恶意软件，例如后门或启动套件，这些软件在启动时将拥有ring-0级别的访问权限。

入侵指标

目前没有识别出任何入侵指标。警报是预防性的，关注的是潜在的入侵可能性，而不是确认的恶意事件。

战术、技术与程序

假设的威胁模型与已建立的软件供应链攻击模式一致。威胁行为者可以采用T1574.006:动态链接器劫持或T1543.003:创建或修改系统进程技术，在分发前篡改操作系统镜像。主要程序涉及破坏开发人员的系统或GitHub账户，用恶意的OberonSystem3Native.img.xz文件替换真实的文件。或者，如果工具链被破坏，行为者可以在构建过程中引入漏洞。分发利用T1105:入侵工具传输通过公共GitHub发布，这是一个受信任的平台，可能会让用户对小众项目降低警惕。

威胁行为者背景

没有证据将这个特定项目与任何已知的威胁行为者联系起来。背景是机会主义的，而不是针对性的。风险在于，任何行为者——从脚本小子到复杂的APT——都可能识别出类似的小众操作系统移植项目作为高效率、低可见性的载体。这些项目通常只有一个维护者，安全审查有限，受众是技术好奇的用户，他们可能会优先考虑功能而非安全验证，使它们成为广泛或针对性间谍活动的目标。

缓解措施与建议

1. 避免预构建的镜像用于关键用途： 不要在用于任何敏感或网络目的的硬件上闪存来自不可验证来源的二进制操作系统镜像。这是主要的缓解措施。
2. 要求可复制的构建： 对于分发二进制文件的开源项目，维护者应提供一个可验证的构建过程。用户应该倡导并使用提供这种能力的项目。
3. 从源代码构建： 使用这样的端口的最安全方法是使用可信的工具链从其源代码构建系统，尽管这需要显著的专业知识，并且可能没有文档记录。
4. 隔离实验硬件： 如果测试这样的镜像，只在物理上与任何受信任网络断开连接且不包含敏感数据的Raspberry Pi上使用它。
5. 严格验证校验和： 尽管GitHub发布提供了SHA-256校验和，这些只验证了从特定下载的文件完整性。它们不证明文件的来源或安全性。信任这些校验和假设GitHub账户和发布过程是安全的。