Вопрос или проблема
Я заметил, что обновилось приложение, которое я не узнаю… Bubblewrap.
Поиск в Google показывает, что есть две основных определения… пузырчатая упаковка, используемая в упаковке/доставке, и вредоносное ПО BubbleWrap на Windows.
Это Bubblewrap вредоносное ПО на Linux? Должен ли я беспокоиться?
$ man bwrap показывает:
ОПИСАНИЕ
bwrap — это инструмент для песочницы низкого уровня без привилегий (опционально setuid на старых дистрибутивах). Вы вряд ли будете использовать его напрямую из командной строки, хотя это возможно.
Он работает, создавая новое, совершенно пустое пространство имен файловой системы, где корень находится на tmpfs, который невидим для хоста и который будет автоматически очищен, когда
последний процесс завершится. Вы можете затем использовать параметры командной строки для построения корневой файловой системы и окружения процесса для выполнения команды в этом пространстве имен.
По умолчанию bwrap создает новое пространство имен монтирования для песочницы. Опционально он также настраивает новые пространства имен пользователя, ipc, pid, сети и uts (но обратите внимание, что пространство имен пользователя
требуется, если bwrap не установлен как setuid root). Приложение в песочнице может быть запущено с другим UID и GID.
Если это необходимо (например, при использовании пространства имен PID) bwrap запускает минимальный процесс pid 1 в песочнице, который отвечает за утилизацию зомби. Он также обнаруживает, когда начальный
процесс приложения (pid 2) умирает и сообщает его статус выхода обратно оригинальному создателю. Процесс pid 1 завершает работу, чтобы очистить песочницу, когда в
песочнице не осталось других процессов.
$ synaptic показывает:
утилита для манипуляции chroot и пространством имен без привилегий
bubblewrap использует простанства имен Linux для запуска контейнеров без привилегий.
Эти контейнеры могут быть использованы для создания песочницы для полудоверенных приложений, таких как приложения Flatpak, миниатюры изображений/видео и компоненты веб-браузера,
или для запуска программ в другом стеке библиотек, таком как среда выполнения Flatpak или другая версия Debian.
По умолчанию этот пакет зависит от ядра с включенными пространствами имен пользователей.
Официальные ядра Debian и Ubuntu подходят.
В ядрах без пространств имен пользователей системные администраторы могут сделать исполняемый файл bwrap setuid root, что позволяет создавать контейнеры без привилегий, даже если обычные процессы пользователей не могут.
Похоже, что Bubblewrap работает с приложениями flatpak.
Если я запускаю приложение flatpak под названием “Mission Control”, я вижу три процесса bwrap:
$ ps auxc|grep -i bwrap
al 22155 0.5 0.0 3580 2048 ? S 12:23 0:00 bwrap
al 22162 0.0 0.0 3580 1920 ? S 12:23 0:00 bwrap
al 22166 0.1 0.0 3676 1280 ? S 12:23 0:00 bwrap
Похоже, что Bubblewrap находится в репозитории security.ubuntu.com.
Я не знаю, достаточно ли я «в теме» (или о чем мне нужно быть в теме), но, насколько я понимаю, инструмент bubblewrap (сайт связан с индексом пакетов Ubuntu) не является вредоносным ПО. Au contraire, если использовать его правильно, он поможет предотвратить произвольный запуск вредоносных программ в системе, ограничивая повышение привилегий программы, которую он оборачивает. Для любых дальнейших гарантий свяжитесь с компанией по аудиту программного обеспечения, чтобы провести аудит исходного кода. Что касается вредоносного программного обеспечения BUBBLEWRAP, я не знаю, доступно ли оно для Linux — на странице MITRE говорится, что оно предназначено для Windows, но кто знает, может быть, оно было перенесено.
Ответ или решение
Bubblewrap — это утилита для создания низкоуровневой песочницы (sandbox) в операционной системе Linux, и она не является вредоносным программным обеспечением (малвари). Bubblewrap используется для изоляции приложений с помощью пространств имен (namespaces) и монтирования файловых систем, что позволяет запускать программы в ограниченной среде, минимизируя риски для основной системы.
Что такое Bubblewrap?
Bubblewrap, часто упоминаемый через исполняемую команду bwrap, предоставляет механизм для запуска приложений в контексте, где они не могут получить доступ к остальной части системы без необходимых прав. Это делает его полезным для запуска полузаведомо доверенных приложений, таких как Flatpak-приложения, обработчики thumbnail и компоненты веб-браузеров.
Использование Bubblewrap
Например, когда вы запускаете Flatpak-приложение, такое как "Mission Control", вы можете заметить, что в процессе работы создаются несколько экземпляров bwrap. Эти процессы работают для обеспечения песочницы, в которой запускается приложение, и помогают предотвратить возможность его взаимодействия с системными ресурсами и данными пользователя вне данной песочницы.
Отношение к безопасности
Как было упомянуто, Bubblewrap может быть даже инструментом безопасности. Правильное использование Bubblewrap позволяет ограничивать возможность повышения привилегий (privilege escalation) для приложений, что в свою очередь способствует снижению риска запуска вредоносного ПО.
О Bubblewrap как о вредоносном ПО
Что касается упоминания Bubblewrap в контексте вредоносного ПО, то действительно существует семья вирусов с аналогичным названием, относящаяся к платформе Windows. Однако это не имеет никакого отношения к утилите Bubblewrap в Linux. Утилита bubblewrap, о которой идет речь, официально доступна в репозиториях таких дистрибутивов, как Ubuntu, и поддерживается сообществом.
Если вас беспокоит наличие злоумышленного кода в конкретной версии Bubblewrap, вы можете выполнить аудит программного обеспечения, обратившись к специализированной компании, занимающейся проверкой безопасности программного обеспечения.
Заключение
Таким образом, Bubblewrap на Linux не является вредоносным программным обеспечением. Наоборот, это инструмент, который может помочь повысить безопасность вашей системы, изолируя приложения и ограничивая их доступ к ресурсам. Если вы используете его в соответствии с назначением, он будет полезным для защиты от потенциальных угроз.