По итогам событий разработчики GIMP предупредили всех, что на SourceForge остаются зеркала многих проектов open source, и корыстный хостер может сделать с ними что-то подобное.
Вчера тревогу поднял Гордон Лион (Gordon Lyon), известный в интернете под ником Fyodor, автор популярной утилиты для сканирования и аудита безопасности сайтов Nmap. Как выражается автор, SourceForge похитила его аккаунт с open source программой Nmap. Об этом он написал в списке рассылки Seclists.org.
«Всем привет! Вы должно быть уже слышали последние новости о том, что Sourceforge.net похитил аккаунт проекта GIMP для распространения adware/malware. Ранее GIMP использовал этот аккаунт Sourceforge для распространения своего инсталлятора Windows, но они ушли после того, как Sourceforge начал обманывать пользователей с фальшивыми кнопками скачивания, которые вели к вредоносным программам, а не GIMP. Тогда Sourceforge завладел аккаунтом GIMP и начал распространять троянский инсталлятор, который пытался с помощью уловок установить различные malware и adware до начала реальной установки GIMP. Конечно, это прямо противоречит обещанию, сделанному Sourceforge менее двух лет назад: «Мы вас уверяем, что НИКОГДА не сделаем бандл ни с каким проектом без согласия разработчиков».
Такое сильное обещание! В любом случае, плохие новости в том, что Sourceforge также угнал у меня аккаунт Nmap. Старая страница проекта Nmap сейчас чиста:
sourceforge.net/projects/nmap
В то же время, они перевели весь контент Nmap на свою новую страницу под своим контролем:
sourceforge.net/projects/nmap.mirror
Вы видите наверху, что владельцы страницы Nmap теперь 'sf-editor1' и 'sf-editor3'. Можно нажать и посмотреть, какие ещё страницы они похитили.
Пока что они распространяют только официальные файлы Nmap (если не нажимать на фальшивые кнопки скачивания) и мы не словили их на троянизации Nmap таким способом, как они сделали с GIMP. Но мы естественно не доверяем им ни на йоту! Sourceforge разворачивает такую же схему, какую пробовал CNet Download.com, когда у них начались финансовые проблемы:
insecure.org/news/download-com-fiasco.html
Мы попросим Sourceforge убрать похищенную страницу Nmap, но ещё важнее, что мы просим вас скачивать Nmap только с нашего официального сайта SSL Nmap:
nmap.org/download.html
Если вы не доверяете SSL самому по себе (и мы не можем вас винить за это), вы также можете проверить подписи GPG: nmap.org/book/install.html#inst-integrity
С уважением,
Fyodor»
На открытое письмо Fyodor ответил старший директор по бизнес-развитию SourceForge Роберто Галоппини (Roberto Galoppini). Он заверил, что компания никогда не модифицировали файлы Nmap. А указанная им страница — это зеркало, организованное в конце 2011 года, которое размещается на серверах SourceForge и с тех пор обновляется, в соответствии с официальными релизами Nmap.
Комментарии (14)
stigracer
04.06.2015 14:43+4Fyodor? Как это читается? Фёдор?
a5b
04.06.2015 19:01+3Точнее Fyodor Vaskovich (english wikipedia), в честь писателя Fyodor Dostoyevsky.
insecure.org/fyodor Fyodor FAQ
Where did the nickname Fyodor come from? — Like many hackers, I enjoy reading. For a while in the early 90s I was particularly enamored with Russian author Fyodor Dostoevsky.
mousus
05.06.2015 10:50+5Ахтунг, они даже без .mirror захватили много Windows инсталляторов опенсорсных проектов, например Filezilla Server при этом с официального сайта проекта ссылка идёт на sourceforge и не факт что авторы знают что их инсталлятор теперь скачивается только после загрузки и запуска adware загрузчика, который упорно впаривает установку всякого crapware..((
roboter
05.06.2015 12:05Попался какраз на FileZilla, и поверьте разработчики в курсе (можно зайти к ним на форум) и судя по ссылке выше разработчикам выплачивают бонусы.
fcuked
10.06.2015 11:13+1так вот оно что. Как-то скачивал с SourceForge, что-то на подобии screen record и мне в довесок установились программы, которые отправляли пакеты в Китай:) Удалил программы, пакеты все еще уходили, так как программы создали еще и джобу, которая работает независимо от них.
iDeBugger
Какой ад.
Halt
И правда жесть. А ведь было время, когда для поиска и скачивания софта первым делом шли на sourceforge.
Lure_of_Chaos
Отучили большой зеленой кнопкой.
Что у нас остается? Гитхаб?
Halt
Ну как инструмент работы над исходниками и их распространения — да. А с задачей поиска хорошо справляются дистрибутивы и их пакетные менеджеры.
Lure_of_Chaos
Вопрос единого репозитария, грубо говоря — урл, который можно вбить в пакетный менеджер, который найдет нам все нужные пакеты (и это не поисковик)