Qui a fianco vedrete il famigerato «sfondo col teschio» che ormai alcuni utenti di Ubuntu e Kubuntu Edgy (con una sources.list “arricchita” :roll:) conosceranno…
Ma cos’è successo esattamente?
Qualche giorno fa ho pubblicato, con un po’ di ritardo – per riuscire a fare le cose nel miglior modo, la ormai arcinota Lista Repository (sources.list) per Ubuntu / Kubuntu Edgy Eft, nella speranza di fornire un servizio utile e comodo per gli utenti Ubuntu che volevano arricchire il proprio "parco software" con programmi più aggiornati od altrimenti non disponibili; tra questi repository ne ho aggiunti alcuni, oltre a quelli "convertitesi" ad edgy, che erano sorti da poco tempo (ovviamente, dopo averli controllati ed aver visto che erano ok).
Tutavia tra questi si annidava un repository che poi non si è dimostrato esattamente corretto abusando del proprio "potere" fornitogli dalla mia lista… Lo Ion’s Ubuntu packages, mantenuto da Jοhan Kiviniemi.
Di fatto, Ion ha deciso di sfruttare questa sua nuova “notorietà” pubblicando nel proprio repository dei pacchetti collegati ai desktop ubuntu e kubuntu “arricchiti” per modificare delle impostazioni di sistema (in questo caso, il desktop) per avvertire, a suo modo, la comunità…
Lo sfondo infatti riporta:
«Using untrusted repositories may cause permanent damage to your system»
«Usare repository non fidati può causare danni irreparabili al tuo sistema»
Ed è vero, ma come ho sottolineato nei thread a riguardo, se si vogliono usare fonti alternative bisogna sempre controllare le modifiche che il nostro sistema eseguirà durante gli aggiornamenti (ed infatti io non ci sono cascato…).
Se da una parte è comodo avere fonti alternative per poter mantenere la propria distro più aggiornata, dall’altra è necessario fare attenzione a cosa si fa sapendo che chi detiene un repository può avere il controllo totale sul nostro sistema… E questo l’ho sempre considerato ovvio… Il fatto di riconoscere o meno le chiavi GPG con cui viene firmato un repository non è un azione che deve essere fatta con sufficienza, ma bisogna prima essere sicuri di quello che si fa…!
Ad ogni modo, John ci ha fornito una sua spiegazione del suo gesto scrivendola in una pagina chiamata “The Treviño Story” (da cui deriva poi il titolo di questo post…) :angry:; praticamente Ion afferma di aver notato un aumento di contatti (dai ~5 ai ~700) da quando ho pubblicato la lista, ed essendo seccato della cosa mantenendo il repository sul proprio server, ha deciso di creare questi pacchetti “fake” per avvertire l’utenza del rischio che potevano correre…
Se di per sé l’intento può essere considerato abbastanza “nobile”, di fatto il metodo usato è stato davvero pessimo… Al di là del fatto che ha modificato pacchetti base dandogli numeri di versioni enormi (999… Così che fosse difficile rimpiazzarli automaticamente), poteva anche semplicemente mostrare un avviso di debconf avvertendo del rischio… Di certo danneggiava meno persone e riusciva meglio nel suo intento!
Conosciuto il danno, per risolvere questo “hack grafico” semplicemente tornate alla versione originale dei pacchetti modificati…
# Per Kubuntu
sudo apt-get install kubuntu-artwork-usplash/edgy kubuntu-default-settings/edgy
# Per Ubuntu
sudo apt-get install usplash-theme-ubuntu/edgy edgy-wallpapers/edgy
sudo nano "/etc/gconf/gconf.xml.mandatory/%gconf-tree.xml"
# quindi cancellate il suo contenuto
sudo gconftool-2 –shutdown # doppia linetta "-"
Altre informazioni le potete trovare qui.
Morale della favola, usate la lista (che è ripulita così come il pacchetto collegato) a vostro rischio e pericolo, stando attenti a quello che fate ad ogni passaggio…
Tutto dipende da chi gestisce i singoli repository, per ora non era mai successa una cosa simile visto che i mantainer si erano sempre comportati correttamente, ma a quanto pare non tutti sono così… Da parte mia, tutti i miei repository sono e saranno sempre puliti!
For English Readers, please read this post.