Was ist die richtige Vorgehensweise beim Auffinden von freien Softwareprojekten, deren ausführbare Dateien einen Virus verbreiten?

19
Heute habe ich ein GPLed-Projekt auf SourceForge gefunden, dessen ausführbare Dateien einen Virus verbreiten. Auf diese Tatsache wurde in den Reviews des Projekts mehrmals hingewiesen, und die infizierte ausführbare Datei steht weiterhin zum Download zur Verfügung. Anscheinend sind ältere ausführbare Dateien nicht infiziert, sodass das Projekt selbst nicht mit böswilligen Absichten erstellt wurde. Es gibt keine bevorzugte Möglichkeit, Entwickler zu kontaktieren, und die Foren für das Projekt sind nicht mehr verfügbar. Was sollte ich tun?
AndrejaKo
quelle
2
Diese Frage ist Thema, aber in der Zukunft, wenn Sie , wenn Sie eine Frage stellen möchten , ist beim Thema finden Sie in der Verwendung Meta - Website
1
Warum warten, bevor Sie sich direkt an SourceForge wenden? Überprüfen Sie, ob es sich um einen Virus handelt, und setzen Sie sich sofort mit ihm in Verbindung.
Peter Boughton
1
Ihre Änderungen haben dazu geführt, dass diese Frage vom Thema abweicht / zu lokalisiert ist . Programmers.SE ist für subjektive oder erweiterte Diskussionen zu Themen gedacht, die die Mehrheit der Programmierer betreffen, nicht für die Diagnose von Virenscans.
@ Mark Trapp Ja, ich habe darüber nachgedacht, wie ich dies in zwei Teile aufteilen kann, einen für den allgemeinen Fall und einen für diesen speziellen Fall. Der zweite Teil kann als nicht thematisch betrachtet werden.
AndrejaKo

Antworten:

26

Wenn Sie nicht mit den Entwicklern in Kontakt treten können, wenden Sie sich an SourceForge. Melden Sie das Problem, geben Sie ihnen detaillierte Informationen, mit denen sie das Problem überprüfen können, und sie werden es (wahrscheinlich) abstellen. Sie sind eine seriöse Website und ich kann mir vorstellen, dass sie nicht mit Malware in Verbindung gebracht werden möchten.

Mason Wheeler
quelle
Hey Mason, Was denken Sie über die Tatsache , dass zwischendurch, wenn Sie diese Frage gestellt und heute Source Ruf hat sowohl stark gesunken , und Besitz Hände geändert hat (und das Source hat möglicherweise hatte langsam seinen Ruf wieder nach oben klettern)? Sollte diese Antwort die Tatsache widerspiegeln, dass die Leute SourceForge tatsächlich darum gebeten haben, etwas dagegen zu unternehmen, haben sie nichts unternommen, und manchmal war SourceForge selbst dafür verantwortlich, diese Viren entweder durch Werbung oder durch eigene Absichten zu verbreiten ?
am
@opa Wow, ja, das ist eine Antwort, die nicht gut gealtert ist ...
Mason Wheeler
11

Ich würde zunächst eine E-Mail an den Projektbetreuer und die Entwickler senden.

Brian R. Bondy
quelle
0

Der Stand der Projekte

Alte beliebte und nicht mehr gepflegte und vergessene Projekte können häufig als Überträger zur Verbreitung von Viren verwendet werden, wenn jemand in der Lage ist, das Konto zu gefährden und eine neue kompilierte Version hochzuladen. Dasselbe wurde oft mit automatischen Aktualisierungssystemen gemacht - noch schlimmer, als sie sich selbst liefern und häufig ein Update auf den Systemen der Benutzer installieren, ohne dass der Endbenutzer davon erfährt.

Mögliche Maßnahmen

Betreuer und Entwickler

Sie können versuchen, Kontakt mit den Entwicklern / Betreuern aufzunehmen, aber wenn es sich um ein altes Projekt handelt, ist es unwahrscheinlich, dass sie antworten. Wenn ihr Konto kompromittiert wurde, geben Sie ihnen einen Kopf nach oben oder lassen sie an einer Wand schreien.

Plattform / Zustellnetzwerk

Möglicherweise haben Sie eine bessere Chance, den schädlichen Code zu entfernen, indem Sie sich an die Plattform wenden, auf der die Software gehostet wird. Ich selbst habe nicht versucht, eine Plattform wie Sourceforge oder NPM direkt zu kontaktieren. Die Wahrscheinlichkeit, dass Sie eine Antwort zurückerhalten, hängt oft von der Größe des Unternehmens ab und wenn es monetarisiert wurde - wenn es sich um eine Einzelperson handelt, dann viel Glück!

Je mehr Informationen Sie benötigen, um Ihre Deaktivierungsanforderung zu überprüfen, desto wahrscheinlicher und schneller sollte dies geschehen.

Die Community und Ihre Stimme

Oft können Sie die oben genannten Schritte ausführen und fühlen sich hier machtlos. Wenn Sie jedoch in der Lage sind, einen Kommentar oder eine Bewertung zur Software abzugeben, ist dies möglicherweise das Beste, was Sie tun können. Auch wenn viele Endbenutzer die Software weiterhin blind herunterladen oder der Software zuvor vertrauen.


Extra: Vor kurzem & Zukunftsprävention

Stoppen Sie hier ™ zu lesen oder fahren Sie fort ¯\_(ツ)_/¯

Es gab ein viel genutztes NPM-Paket, mit dem der ursprüngliche Betreuer fertig war - so viele Open-Source-Projekte in ihrem Lebenszyklus. Jemand streckte die Hand aus und bat darum, es zu warten. Sicherlich muss sich dies wie eine quälende Bürde anfühlen, die von den Schultern eines Entwicklers genommen wird. Leider hat der neue Betreuer Malware veröffentlicht, um Krypto-Geldbörsen zu stehlen .

Ironischerweise hörte ich davon durch Mundpropaganda und las die Ausgabe, die im Github-Repository geöffnet war, bevor ich einen Artikel darüber las oder sah, dass sie im Internet auftauchte npm audit. Dies zeigt, dass Ihre Stimme auf einer öffentlichen Plattform wirklich einen Einfluss haben kann .

Unsere Meetup-Gruppe hatte ein kurzes Gespräch darüber, was die Community tun könnte, um so etwas zu verhindern, und wessen Verantwortung es ist, dies zu verhindern.

Plattform / Zustellnetzwerk

Die Verantwortung von npm zu übernehmen, würde eine monetäre Situation erfordern, die scheiße wäre, oder würde sie möglicherweise nur Unternehmen zur Verfügung stehen - aber dann würden alle anderen kostenlos davon profitieren?

Quellcodeverwalter

Als Open Source-Betreuer müssen wir die Konsequenzen unseres Handelns berücksichtigen. Wenn Sie ein Open Source-Betreuer waren, kann dies zu einer lästigen Pflicht werden, da der Wert, den Sie durch das Projekt erhalten, abnimmt. Es ist schwer, zu jemandem Nein zu sagen, der scheinbar die Energie hat, die Sie einst hatten, um Ihr Projekt voranzutreiben. Zu beachten ist, dass einige Plattformen einen Überprüfungsprozess vor der Veröffentlichung zulassen, wenn die richtigen Berechtigungsstufen vorhanden sind. In diesem Fall wurde die Eigentümerschaft des Projekts vollständig übergeben. Sie sollten versuchen, dies nur dann zu tun, wenn Sie der Person / Entität absolut vertrauen. Trotzdem scheint dies keine saubere Methode zu sein, um die Fortführung der etablierten und vertrauenswürdigen Software zu gewährleisten. Die Leute könnten auch ihre Code-Gabeln einschalten, aber dann kann das chaotisch werden.

Community & Verbraucher

Die derzeitige Infrastruktur könnte einige Funktionen nutzen, um Abhilfe zu schaffen.

Zum Beispiel können Releases von der Community überprüft, genehmigt oder gekennzeichnet werden, so wie Torrents von der Community nach oben oder unten bewertet werden können, damit andere schnell Entscheidungen treffen können, bevor sie den Sprung wagen. Eine hohe negative Bewertung könnte ein Paket kennzeichnen und die Verbraucher darüber und über zukünftige Installationen informieren.

Als Verbraucher, der Software blind installiert und aktualisiert, liegt es in Ihrer Verantwortung, zu beobachten, was Sie verbrauchen. Sie können Paketmanager mit Versionssperrung verwenden, um dies zu negieren. Leider bezweifle ich, dass viele Leute die erforderliche Zeit aufwenden, um die Hunderte von Paketen zu überprüfen, die sie installieren, wenn sie ein Good'ol ablegen npm install. Einige Unternehmen durchlaufen einen Anbieterprozess, wenn sich die Software ändert. Ich würde hoffen, dass dies kein Geschäft für NPM-Pakete macht (dies könnte die Entwicklung ernsthaft stoppen), aber dies war eine Option, die angesprochen wurde.

Geld $$$

Niemand möchte für kostenlose Open-Source-Software bezahlen, aber wenn diejenigen, die Code geschrieben haben, für ihre Beiträge belohnt werden, sind sie möglicherweise motivierter, ihr Software- und Community-Image zu pflegen. Das Geld könnte direkt von den Verbrauchern kommen oder für die Plattform, auf der es geliefert wird, herunterfallen. So sehr ich es auch hassen würde, ich könnte sehen, dass Bibliotheken denselben Pfad wie CI-Plattformen verfolgen - kostenlos für Open Source, aber kostenpflichtig für Privat- und Geschäftskunden - dies könnte mit Lizenzen behandelt werden, aber Entwickler möchten keine Zeit verschwenden Lizenzberufe entweder (vielleicht könnten sie vereinfacht und einfach sein).

CTS_AE
quelle