giovedì, novembre 27, 2014

Non scaricate niente da Sourceforge - Pericolo!

Questa è un'altra triste storia a proposito del declino di Internet.

Tempo fa esisteva un (famoso) servizio di hosting chiamato Sourceforge che era adoperato da quasi tutti i progetti Open Source, specie quelli di software per Windows. Per esempio io ne uso/usavo alcuni, un archiviatore chiamato 7-Zip, un instant messenger chiamato Miranda e un FTP client chiamato Filezilla.

ATTENZIONE: da qualche tempo questo servizio è stato trasformato in un metodo per distribuire spyware a chiunque provi a scaricare e installare uno di questi programmi (o un aggiornamento). Presumo che Sourceforge paghi i titolari di questi progetti perché fungano da distributori del loro spyware e questa è una cosa veramente pessima.

Funziona cosi: voi scaricate dal sito ufficiale del programma in questione quello che vi sembra il regolare file di installazione, lo eseguite e invece della normale procedura parte un aggeggio di Sourceforge che scarica da Internet delle cose che non vi fa vedere, poi vi dice che sta installando un programma di cui non sapete nulla e se anche voi scegliete l'opzione "rifiuta" lo installa ugualmente, poi il programma di Sourceforge termina e parte (apparentemente) l'installazione del programma che volevate installare o aggiornare.

Risultato, insieme al programma voluto vi trovate anche lo spyware di Sourceforge installato sul vostro PC.
Stamattina cercando di aggiornare Miranda mi sono trovato installato un coso che si chiama PCOptimizer Pro. L'ho rimosso immediatamente (senza aprirlo) dal Pannello di Controllo e ho cancellato un gruppo di chiavi dal Registro ma non ho modo di sapere cosa è rimasto in giro. Nel log di sistema c'erano due errori rilevati in fase di installazione.

L'unica soluzione è NON USARE NESSUN PROGRAMMA CHE FACCIA RIFERIMENTO A SOURCEFORGE.
Controllate i link a cui punta il download del file di installazione e se vedete che punta a Sourceforge annullate tutto.

Edit:
- Per chi usa Filezilla, questo link illustra il problema e offre una soluzione, fermo restando che secondo me non bisognerebbe usare un programma che volontariamente distribuisce spyware. La soluzione (per il momento) è "all download links on the additional download options page are unbundled."
Please offer a paid version of your product w/o adware
- Per chi usa Miranda, questo link punta ad un progetto che nasce come fork di Miranda e che non fa uso di Sourceforge.
Miranda NG
Per chi usa 7-Zip, per ora il progetto non sembra affiliato al programma di Sourceforge che distribuisce spyware. Fate attenzione.

Purtroppo lo stato attuale di involuzione di Internet e dei PC in generale ha prodotto una rarefazione dei progetti open source e il degrado dei servizi di hosting per cui da una parte è difficile trovare delle alternative e dall'altra tutti i servizi che distribuiscono software sono a rischio.

STRUMENTO ONLINE DI VERIFICA PRIMA DI INSTALLARE.
Se il file che volete controllare "pesa" meno di 128MB potete usare questo:
VirusTotal

NEL CASO IL VOSTRO PC SIA GIA "INFETTO".
Per prima cosa seguire le indicazioni di questo post:
Come rimuovere virus, spyware e malware dal PC
Se possibile seguire la procedura raccomandata, altrimenti l'altra.

Dopo avere messo il tutto "in sicurezza", si può fare la "pulizia fine", per esempio mettendo questo programma portabile su una chiavetta USB ed eseguendolo da li sopra:
Emsisoft Emergency Kit
Esistono altri programmi analoghi a questo. Mentre gli strumenti di cui sopra sono di Microsoft, quindi hanno il supporto di Microsoft, questi sono di terze parti quindi non posso raccomandarvene uno in particolare. Ho messo un link per completezza di informazione ma la scelta sta a voi. In linea generale vi consiglierei di non installare niente in un sistema compromesso quindi meglio usare un programma portabile.

28 commenti:

  1. L'entropia tende ad un massimo.

    Già.

    RispondiElimina
    Risposte
    1. Io invece direi che tutto tende a trasformarsi in merda.

      Elimina
  2. Che c'entra l'entropia con questo?

    Comunque: e fare manualmente con i vecchi comandi MSDos? Tipo apri una finestra di comando dos, con cd (o simili, non ricordo, devo ripassare!) ti posizioni nelle varie directory incriminate (che magari hai localizzato prima con qualche search intelligente di Windows) e pialli tutto con del (con i vari flag opportuni, quelli per forzare la rimozione).
    Certo non viene via tutto, ma (a mio avviso) viene via molto.
    Pero', lo ammetto, e' una rottura.

    Sourceforge mi era familiare, non ricordo cosa ci scaricavo, ma grazie per aver scritto questo post: nel mio immaginario era un buon sito affidabile, che non faceva certi tiri.
    E invece.

    B.

    RispondiElimina
    Risposte
    1. Prima cosa, la procedura che descrivi non è alla portata dello "utente medio".
      Seconda cosa, lo scopo in teoria non è mettere una pezza più o meno ma ripristinare il PC il più possibile nello stato precedente. Data la stratificazione delle "infezioni" in varie parti del sistema, è più pratico usare un automatismo piuttosto che ricorrere ad una procedura manuale.
      Per cui direi che conviene ricorrere alla shell solo come ultima risorsa.

      Per Sourceforge in realtà c'è un link nella finestra che dice "direct download - yes/no" e che in teoria dovrebbe consentire di scavalcare l'aggeggio che ti installa lo spyware, scaricando solo l'eseguibile "pulito". Però, con quelle premesse, conviene farne a meno se possibile.

      Elimina
    2. > Che c'entra l'entropia con questo?

      Anche le strutture software e le società virtuali, le comunità software hanno un disordine che tende al massimo.

      Elimina
  3. Io uso regolarmente Filezilla ed è pure adottato qui in ufficio. Ma l'ho scaricato dal suo sito apposito che c'entra nulla con Sourceforge... idem per gli aggiornamenti

    RispondiElimina
    Risposte
    1. Non so cosa intendi per "suo sito apposito", visto che nel sito ufficiale di Filezilla i link di download puntano a Sourceforge. Comunque l'importante è che tu stia attento.

      Elimina
    2. Giulio, come scrivevo sopra, se proprio devi scaricare un programma da Sourceforge, vai nella pagina di Sourceforge del programma in questione, guarda in alto a destra, c'è una opzione "direct download" oppure "direct download - link off/on", devi cliccare su quello per scaricare solo l'installazione del programma senza la sorpresina. Almeno, finché funziona.

      Elimina
  4. Filezilla conviene aggiornarlo dallo stesso programma, c'è l'apposita voce "Controlla aggiornamenti". Se invece vuoi eseguire la prima installazione si è purtroppo costretti a passa da SourceForge, tutto quello che ha scritto Lorenzo purtroppo è vero.

    RispondiElimina
  5. su internet gira troppa schifezza ormai, gli spyware sono ovunque. credo sia una battaglia persa.

    RispondiElimina
    Risposte
    1. io sono nato e cresciuto con windows. faccio fatica con il mac, figurati......

      Elimina
    2. E' un malinteso. In realtà le distribuzioni più diffuse di Linux nell'uso sono praticamente uguali a Windows. Provare per credere. Il guaio è che nei negozi non vendono PC con Linux preinstallato. Se io fossi l'imperatore investirei un po' di risorse in questa direzione.

      Elimina
  6. anch'io ho sempre considerato sourceforge un sito affidabile. grazie dell'informazione.

    RispondiElimina
  7. ringrazio per le informazioni esaurienti che ci hai fornito, ne terrò senz'altro conto.

    RispondiElimina
  8. @te e UUIC

    https://www.youtube.com/watch?v=vgMOvmNRMeA

    RispondiElimina
    Risposte
    1. La parodia ha un retrogusto sgradevole per me, causa l'accento dei protagonisti. Siamo sempre li, all'annosa questione della "responsabilità".

      Se tu credi che un imprenditore abbia la "responsabilità" della felicità dei dipendenti, cosa che a me fa ridere, per inciso, io invece sono convinto che un italiano abbia la responsabilità su quello che succede nel suo intorno. Quindi tutte le rogne italiane, in particolare quelle del centro-sud, sono responsabilità degli Italiani che ci vivono e ci lavorano. Sentire uno con accento romano che dice "basta che se n' annamo" è ancora una volta auto-ironia inconsapevole, visto che non sono i Tedeschi disposti a pagare, sono io che vorrei che i Romani "se n' annassero".

      Elimina
    2. @ Lorenzo : sei sicuro che l'installer non ti abbia propinato una schermata di dialogo - magari scritta con caratteri minuscoli ... come le postille sui contratti cartacei - con l'avviso di installazione di un altro software, aggiuntivo e magari di un altro produttore, e il checkbox per il consenso già spuntato ...

      e tu non abbia clickato distrattamente su Avanti ?

      E' la tecnica-base per somministrare all'utente programmi che egli coscientemente non ha richiesto né desiderato ( PUP ... potentially unwanted programs ).

      =

      Una bastardata tediosa - convengo - e costoro meriterebbero ( come minimo ) la diarrea.
      Ma di solito l'installer te la sbatte in faccia, i programmatori confidano nel fatto che l'utente sia abituato a clickare a manetta sul bottone Avanti nella finestra dell'installazione, per terminare prima possibile la noiosa procedura.

      =

      Questo è uno dei punti sui quali batto come un fabbro con gli amici che assisto : leggere sempre bene tutto, passo-a-passo e mai frettolosamente ... in caso di qualche dubbio sulla lingua, copiare-e-incollare in uno dei traduttori on-line ( Google ... altro ) ... in caso di dubbio persistente sulla finalità dell'operazione, frizzare lo schermo ( ad esempio con Strumento di cattura in Windows ) e spedire la frizzata a chi ne sa di più.

      ...

      Certo.
      Bisognerebbe dare dei giri di vite al malcostume etico ( basterebbe il checkbox non spuntato di default, per evitare scocciature ).
      Nel frattempo : passaparola.

      ===

      Elimina
    3. Ciccio, te che sei ancora nella fase in cui pensi di essere immortale, perché non provi? :)

      Elimina
    4. Ho provato tante volte, fratello.
      Fammi l'esempio di una procedura di download-e-installazione da Sourceforge, che non ti avvisa - nemmeno con testi degni di un Bignami - dell'installazione di PUP ...
      Posta il link qui, che provo e poi analizziamo insieme.

      Elimina
    5. Se tu segui il link che c'è scritto sopra relativo al forum di Filezilla, c'è tanto di immagini che ti mostrano le schermate dell'aggeggio. Prego notare che QUALSIASI cosa tu faccia, sia che tu accetti o neghi il consenso, l'aggeggio si installa comunque, in ogni caso.

      Poi, questo esempio non è catastrofico, infatti io ne sono uscito facilmente. Quello che però tu fai finta di non capire è che, per come è costruito Windows, l'eseguibile che tu lanci dopo averlo scaricato dal sito XYZ può fare QUALSIASI COSA e se chi lo fa è intenzionato a fare dei danni, non ha nessun limite al peggio, può piallare tutto il disco.

      Elimina
    6. Per conseguire lo stesso risultato con Linux bisogna prima prendere il controllo del repository, metterci sopra l'aggeggio e le relative chiavi di autenticazione.

      Elimina
    7. Ah, io ne sono uscito facilmente perché NON HO ESEGUITO il "payload" della procedura di installazione, l'ho interrotta. Anche cosi ho dovuto andare a rimuovere alcune chiavi di registro. In ogni caso non posso avere la certezza che non ci sia qualcosa nel sistema che elude la mia capacità di individuarlo. Per esempio qualcosa che opera a livello del kernel.

      Elimina
    8. D'accordo.
      La situazione in Windows è sporca - ho forse scritto, qui o da me, che dici cazzate ? - ma fino ad oggi non è stata disastrosa.

      Elimina
    9. Ok.
      Visto il forum : è stata una porcheria.

      { io, non ho avuto problemi con FileZilla perché sul tablet-Pc nuovo ho installato una vecchia versione e poi le ho fatto fare l'upgrade }.

      ...

      Però, visto che FZ è un freeware, mi piacerebbe sapere se gli utenti abituali del software che in quel forum ( e altrove ) strepitano contro i ''trenta denari'' per i quali il team FZ si sarebbe venduto in cambio dell'infezione di [ n ] macchine, abbiano mai versato una piccola donazione a chi a creato e poi aggiornato il codice.
      Mi piacerebbe saperlo, davvero.

      ^_____^

      Perché quando discutiamo di morale e di etica nella rete, il problema è a 360 gradi.

      ===

      Elimina
    10. Na na, non hai capito. Uno dei progetti più importanti coinvolti in questo trucchetto (che ripeto, è grave più per le conseguenze potenziali che per quelle che ho sperimentato) è stato GIMP, il programma di grafica e fotoritocco che usa GTK e che è onnipresente in Linux e che si può usare anche su Windows.
      C'è stata una certa maretta dopodiché se non ricordo male i responsabili hanno cambiato servizio di hosting.

      Questo è solo un esempio. Il fatto è che lo stesso programma Filezilla lo puoi scaricare da una fonte qualsiasi, non necessariamente dal sito "ufficiale" dello sviluppatore. Chi controlla l'integrità degli eseguibili? Chi verifica le intenzioni di quelli che mettono insieme i pacchetti di installazione? E' un modello, un ecosistema che come dicevo è fatto cosi per rendere tutto facile ma il prezzo da pagare è che non c'è modo di garantire ne la qualità del software ne la sua "sicurezza".

      Non c'entra niente ne la morale ne l'etica.

      La situazione di Windows è peggio che disastrosa, è disastrosa e non percepita come tale.

      Elimina
    11. La percentuale di PC con sopra Windows che sono compromessi da uno o più software malevoli è enorme e questa è la ragione per cui MS ha via via integrato in Windows strumenti per filtrare le connessioni di rete e strumenti per controllare (per quanto possibile) i programmi installati. Lo stesso Windows Update include sempre un update che esegue la scansione e la rimozione silente di un certo numero di "minacce" tra quelle più diffuse, principalmente quelle legate alle botnet.

      Elimina
    12. C'è anche un sitarello di MS, questo:
      http://www.microsoft.com/security/sir/threat/default.aspx

      Elimina