- PVSM.RU - https://www.pvsm.ru -
«Несколько дней назад
По итогам событий разработчики GIMP предупредили всех, что на SourceForge остаются зеркала многих проектов open source, и корыстный
Вчера тревогу поднял Гордон Лион (Gordon Lyon), известный в интернете под ником Fyodor, автор популярной утилиты для сканирования и аудита безопасности сайтов Nmap. Как выражается автор, SourceForge похитила его аккаунт с open source программой Nmap. Об этом он написал [3] в списке рассылки Seclists.org.
«Всем привет! Вы должно быть уже слышали последние новости о том, что Sourceforge.net похитил аккаунт проекта GIMP для распространения adware/malware. Ранее GIMP использовал этот аккаунт Sourceforge для распространения своего инсталлятора Windows, но они ушли после того, как Sourceforge начал обманывать пользователей с фальшивыми кнопками скачивания, которые вели к вредоносным программам, а не GIMP. Тогда Sourceforge завладел аккаунтом GIMP и начал распространять троянский инсталлятор, который пытался с помощью уловок установить различные malware и adware до начала реальной установки GIMP. Конечно, это прямо противоречит обещанию [4], сделанному Sourceforge менее двух лет назад: «Мы вас уверяем, что НИКОГДА не сделаем бандл ни с каким проектом без согласия разработчиков».
Такое сильное обещание! В любом случае, плохие новости в том, что Sourceforge также угнал у меня аккаунт Nmap. Старая страница проекта Nmap сейчас чиста:
sourceforge.net/projects/nmap [5]
В то же время, они перевели весь контент Nmap на свою новую страницу под своим контролем:
sourceforge.net/projects/nmap.mirror [6]
Вы видите наверху, что владельцы страницы Nmap теперь 'sf-editor1' и 'sf-editor3'. Можно нажать и посмотреть, какие ещё страницы они похитили.
Пока что они распространяют только официальные файлы Nmap (если не нажимать на фальшивые кнопки скачивания) и мы не словили их на троянизации Nmap таким способом, как они сделали с GIMP. Но мы естественно не доверяем им ни на йоту! Sourceforge разворачивает такую же схему, какую пробовал CNet Download.com, когда у них начались финансовые проблемы:
insecure.org/news/download-com-fiasco.html [7]
Мы попросим Sourceforge убрать похищенную страницу Nmap, но ещё важнее, что мы просим вас скачивать Nmap только с нашего официального сайта SSL Nmap:
Если вы не доверяете SSL самому по себе (и мы не можем вас винить за это), вы также можете проверить подписи GPG: nmap.org/book/install.html#inst-integrity [9]
С уважением,
Fyodor»
На открытое письмо Fyodor ответил старший директор по бизнес-развитию SourceForge Роберто Галоппини (Roberto Galoppini). Он заверил [10], что компания никогда не модифицировали файлы Nmap. А указанная им страница — это зеркало, организованное в конце 2011 года, которое размещается на серверах SourceForge и с тех пор обновляется, в соответствии с официальными релизами Nmap.
Автор: alizar
Источник [11]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/open-source/91498
Ссылки в тексте:
[1] хостер: https://www.reg.ru/?rlink=reflink-717
[2] пытался: https://geektimes.ru/post/251286/
[3] написал: http://seclists.org/nmap-dev/2015/q2/194
[4] обещанию: http://sourceforge.net/blog/advertising-bundling-community-and-criticism/
[5] sourceforge.net/projects/nmap: http://sourceforge.net/projects/nmap/
[6] sourceforge.net/projects/nmap.mirror: http://sourceforge.net/projects/nmap.mirror/
[7] insecure.org/news/download-com-fiasco.html: http://insecure.org/news/download-com-fiasco.html
[8] nmap.org/download.html: https://nmap.org/download.html
[9] nmap.org/book/install.html#inst-integrity: https://nmap.org/book/install.html#inst-integrity
[10] заверил: http://arstechnica.com/information-technology/2015/06/black-mirror-sourceforge-has-now-siezed-nmap-audit-tool-project/
[11] Источник: http://geektimes.ru/post/251470/
Нажмите здесь для печати.