«Несколько дней назад хостер SourceForge пытался использовать заброшенный аккаунт GIMP, чтобы распространять копию популярной open source программы вместе со своим загрузчиком и adware. Попытка была отбита.

По итогам событий разработчики GIMP предупредили всех, что на SourceForge остаются зеркала многих проектов open source, и корыстный хостер может сделать с ними что-то подобное.

Вчера тревогу поднял Гордон Лион (Gordon Lyon), известный в интернете под ником Fyodor, автор популярной утилиты для сканирования и аудита безопасности сайтов Nmap. Как выражается автор, SourceForge похитила его аккаунт с open source программой Nmap. Об этом он написал в списке рассылки Seclists.org.

«Всем привет! Вы должно быть уже слышали последние новости о том, что Sourceforge.net похитил аккаунт проекта GIMP для распространения adware/malware. Ранее GIMP использовал этот аккаунт Sourceforge для распространения своего инсталлятора Windows, но они ушли после того, как Sourceforge начал обманывать пользователей с фальшивыми кнопками скачивания, которые вели к вредоносным программам, а не GIMP. Тогда Sourceforge завладел аккаунтом GIMP и начал распространять троянский инсталлятор, который пытался с помощью уловок установить различные malware и adware до начала реальной установки GIMP. Конечно, это прямо противоречит обещанию, сделанному Sourceforge менее двух лет назад: «Мы вас уверяем, что НИКОГДА не сделаем бандл ни с каким проектом без согласия разработчиков».

Такое сильное обещание! В любом случае, плохие новости в том, что Sourceforge также угнал у меня аккаунт Nmap. Старая страница проекта Nmap сейчас чиста:

sourceforge.net/projects/nmap

В то же время, они перевели весь контент Nmap на свою новую страницу под своим контролем:

sourceforge.net/projects/nmap.mirror

Вы видите наверху, что владельцы страницы Nmap теперь 'sf-editor1' и 'sf-editor3'. Можно нажать и посмотреть, какие ещё страницы они похитили.

Пока что они распространяют только официальные файлы Nmap (если не нажимать на фальшивые кнопки скачивания) и мы не словили их на троянизации Nmap таким способом, как они сделали с GIMP. Но мы естественно не доверяем им ни на йоту! Sourceforge разворачивает такую же схему, какую пробовал CNet Download.com, когда у них начались финансовые проблемы:

insecure.org/news/download-com-fiasco.html

Мы попросим Sourceforge убрать похищенную страницу Nmap, но ещё важнее, что мы просим вас скачивать Nmap только с нашего официального сайта SSL Nmap:

nmap.org/download.html

Если вы не доверяете SSL самому по себе (и мы не можем вас винить за это), вы также можете проверить подписи GPG: nmap.org/book/install.html#inst-integrity

С уважением,
Fyodor»

На открытое письмо Fyodor ответил старший директор по бизнес-развитию SourceForge Роберто Галоппини (Roberto Galoppini). Он заверил, что компания никогда не модифицировали файлы Nmap. А указанная им страница — это зеркало, организованное в конце 2011 года, которое размещается на серверах SourceForge и с тех пор обновляется, в соответствии с официальными релизами Nmap.