Clever Geek Handbook

SourceForge Hijacked Nmap Developer Account

«Il y a quelques jours, l'hôte de SourceForge a essayé d' utiliser un compte GIMP abandonné pour distribuer une copie du programme open source populaire avec son chargeur de démarrage et son logiciel publicitaire. La tentative a été repoussée.

À la suite des événements, les développeurs de GIMP ont averti tout le monde qu'à SourceForge, il y avait des miroirs de nombreux projets open source, et un hébergeur égoïste pourrait faire quelque chose de similaire avec eux.

Hier, Gordon Lyon, connu sur Internet sous le surnom de Fyodor, auteur de l'utilitaire populaire de scan et d'audit de la sécurité des sites Nmap, a sonné l'alarme. Comme le dit l'auteur, SourceForge a volé son compte avec le programme open source Nmap. Il a écrit à ce sujet sur la liste de diffusion Seclists.org.

"Bonjour à tous! Vous devriez avoir entendu les dernières nouvelles que Sourceforge.net a volé un compte de projet GIMP pour la distribution de logiciels publicitaires / malveillants. GIMP utilisait auparavant ce compte Sourceforge pour distribuer son programme d'installation Windows, mais ils sont partis après que Sourceforge a commencé à usurper les utilisateurs avec de faux boutons de téléchargement qui ont conduit à des logiciels malveillants plutôt qu'à GIMP. Ensuite, Sourceforge a repris le compte GIMP et a commencé à distribuer le programme d'installation de cheval de Troie, qui a essayé d'utiliser des astuces pour installer divers logiciels malveillants et logiciels publicitaires avant que l'installation réelle de GIMP ne commence. Bien sûr, cela contredit directement la promesse faite par Sourceforge il y a moins de deux ans: "Nous vous assurons que nous ne faisons JAMAIS de bundle avec un projet sans le consentement des développeurs."

Une telle promesse forte! Dans tous les cas, la mauvaise nouvelle est que Sourceforge a également détourné mon compte Nmap. L'ancienne page du projet Nmap est maintenant propre:

sourceforge.net/projects/nmap

En même temps, ils ont transféré tout le contenu Nmap vers leur nouvelle page sous leur contrôle:

sourceforge.net/projects/nmap.mirror

Vous voyez en haut que les propriétaires de la page Nmap sont maintenant 'sf-editor1' et 'sf-editor3'. Vous pouvez cliquer et voir quelles autres pages ils ont volées.

Jusqu'à présent, ils ne distribuent que des fichiers Nmap officiels (sauf si vous cliquez sur les faux boutons de téléchargement) et nous ne les avons pas capturés sur le cheval de Troie Nmap de la même manière qu'avec GIMP. Mais nous ne leur faisons naturellement pas confiance d'un iota! Sourceforge déploie le même modèle que CNet Download.com a essayé quand ils ont commencé à avoir des problèmes financiers:

insecure.org/news/download-com-fiasco.html

Nous demandons à Sourceforge de supprimer la page Nmap volée, mais plus important encore, nous vous demandons de télécharger Nmap uniquement à partir de notre site SSL officiel Nmap:

nmap.org/download.html

Si vous ne faites pas confiance à SSL par vous-même (et nous ne pouvons pas vous en blâmer), vous pouvez également vérifier les signatures GPG: nmap.org/book/install. html # inst -égrité

Cordialement,
Fyodor »

Roberto Galoppini, directeur principal du développement commercial chez SourceForge, a répondu à la lettre ouverte de Fyodor. Il a assuré que la société n'avait jamais modifié les fichiers Nmap. Et la page qu'il a indiquée est un miroir, organisé fin 2011, qui est hébergé sur les serveurs SourceForge et a depuis été mis à jour conformément aux versions officielles de Nmap.

More articles:


All Articles