Apa tindakan yang benar ketika menemukan proyek perangkat lunak bebas yang executable-nya menyebarkan virus

19
Hari ini saya menemukan proyek GPL di SourceForge yang executable-nya menyebarkan virus. Fakta ini telah ditunjukkan beberapa kali dalam tinjauan proyek dan executable yang terinfeksi masih tersedia untuk diunduh. Tampaknya, executable lama tidak terinfeksi, sehingga proyek itu sendiri tampaknya tidak dibuat dengan tujuan jahat. Tidak ada cara yang disukai untuk menghubungi pengembang dan forum untuk proyek sudah mati. Apa yang harus saya lakukan?
AndrejaKo
sumber
2
Pertanyaan ini tentang topik, tetapi di masa depan, jika Anda ingin bertanya apakah sebuah pertanyaan sesuai topik, silakan gunakan situs meta
1
Mengapa menunggu sebelum menghubungi SourceForge secara langsung? Verifikasi apakah itu virus, lalu hubungi mereka segera.
Peter Boughton
1
Suntingan Anda menjadikan pertanyaan ini di luar topik / terlokalisasi . Programmers.SE adalah untuk diskusi subyektif atau diperpanjang tentang topik-topik yang menyangkut mayoritas programmer, bukan untuk mendiagnosis pemindaian virus.
@ Mark Trapp Ya, saya berpikir bagaimana membagi ini menjadi dua bagian, satu untuk kasus umum dan satu untuk kasus khusus ini. Bagian kedua dapat dianggap di luar topik.
AndrejaKo

Jawaban:

26

Jika Anda tidak dapat menghubungi pengembang, maka hubungi SourceForge. Laporkan masalah, beri mereka informasi terperinci yang dapat mereka gunakan untuk memverifikasi masalah, dan mereka (mungkin) akan mengatasinya. Mereka adalah situs yang memiliki reputasi baik dan saya pikir mereka tidak ingin dikaitkan dengan malware.

Mason Wheeler
sumber
Hai Mason, Apa pendapat Anda tentang fakta bahwa di antara ketika Anda memposting pertanyaan ini dan hari ini, reputasi SourceForge telah anjlok dan kepemilikan telah berpindah tangan (dan SourceForge ini berpotensi memiliki reputasinya yang perlahan naik kembali ke atas)? Jika jawaban ini mencerminkan fakta bahwa ketika orang benar-benar meminta SourceForge untuk melakukan sesuatu tentang hal itu, mereka tidak melakukan apa-apa, dan kadang-kadang, SourceForge sendirilah yang bertanggung jawab untuk mengirimkan virus-virus ini, baik melalui iklan, atau melalui niatnya sendiri. ?
whn
@opa Wow, ya, ini adalah jawaban yang belum berumur ...
Mason Wheeler
11

Saya akan mulai dengan mengirim email ke pengelola proyek dan pengembang.

Brian R. Bondy
sumber
0

Keadaan Proyek

Proyek-proyek lama yang populer, dan tidak lagi dipelihara dan dilupakan sering dapat digunakan sebagai vektor untuk menyebarkan virus jika seseorang dapat membahayakan akun dan mengunggah versi yang baru dikompilasi. Hal yang sama sering dilakukan dengan sistem pembaruan otomatis - bahkan lebih buruk karena mereka akan mengirimkan sendiri dan sering menginstal pembaruan pada sistem pengguna tanpa sepengetahuan pengguna akhir.

Kemungkinan Tindakan untuk Mengambil

Pemelihara dan Pengembang

Anda dapat mencoba menghubungi pengembang / pengelola tetapi jika ini adalah proyek lama, mereka tidak akan merespons. Jika akun mereka dikompromikan maka Anda akan memberi mereka kepala atau dibiarkan berteriak di dinding.

Platform / Jaringan Pengiriman

Anda mungkin memiliki peluang lebih baik untuk menghapus kode berbahaya dengan menghubungi platform yang menjadi tempat hosting perangkat lunak. Saya sendiri belum mencoba menghubungi langsung platform seperti Sourceforge atau NPM. Kemungkinan Anda menerima respons balik sering kali dikaitkan dengan ukuran bisnis dan jika sudah dimonetisasi - jika ini adalah pertunjukan satu orang maka semoga sukses!

Semakin banyak informasi yang Anda harus memverifikasi permintaan penghapusan Anda semakin besar kemungkinan dan cepat itu harus terjadi.

Komunitas & Suara Anda

Seringkali Anda dapat mencoba langkah-langkah di atas dan sampai di sini merasa tidak berdaya, tetapi jika Anda dapat meninggalkan komentar atau ulasan pada perangkat lunak yang mungkin merupakan hal terbaik yang dapat Anda lakukan. Meskipun banyak pengguna akhir masih akan mengunduh perangkat lunak secara membabi buta atau sebelumnya mempercayai perangkat lunak tersebut.


Ekstra: Pencegahan Baru & Akan Datang

Berhenti Membaca Di Sini ™ atau Lanjutkan ¯\_(ツ)_/¯

Ada paket NPM yang sangat digunakan yang dilakukan oleh pengelola asli - karena banyak proyek open source mencapai dalam siklus hidup mereka. Seseorang mengulurkan tangan meminta untuk mempertahankannya. Tentunya ini harus terasa seperti beban yang mengganggu diangkat dari bahu pengembang. Sayangnya pengelola baru merilis malware untuk mencuri dompet crypto .

Ironisnya saya mendengar hal ini dari mulut ke mulut dan membaca masalah yang dibuka di repositori github sebelum membaca artikel tentang itu atau melihatnya muncul di Internet npm audit. Ini menunjukkan bahwa suara Anda di platform publik benar-benar dapat berdampak .

Grup pertemuan kami mengadakan pembicaraan singkat tentang apa yang bisa dilakukan masyarakat untuk mencegah hal seperti itu, dan siapa yang bertanggung jawab untuk mencegah hal itu terjadi.

Platform / Jaringan Pengiriman

Menjadikannya sebagai tanggung jawab npm akan membutuhkan situasi uang di tempat yang akan menyedot, atau mungkin itu hanya akan tersedia untuk bisnis - tetapi kemudian semua orang akan mendapat manfaat secara gratis?

Pemelihara Sumber

Sebagai pengelola open source, kita perlu memperhatikan konsekuensi dari tindakan kita. Jika Anda pernah menjadi pengelola open source, itu bisa menjadi tugas karena nilai intrinsik Anda yang Anda dapatkan dari proyek berkurang. Akan sulit untuk mengatakan tidak kepada seseorang yang tampaknya memiliki energi yang pernah Anda miliki untuk membuat proyek Anda bergerak maju. Satu hal yang perlu diperhatikan adalah bahwa beberapa platform memungkinkan untuk proses peninjauan sebelum menerbitkan jika tingkat izin yang benar ada. Dalam hal ini, kepemilikan proyek sepenuhnya diserahkan, Anda harus mencoba untuk tidak melakukan ini kecuali Anda benar-benar mempercayai orang / entitas - meskipun ini masih terasa seperti bukan cara yang bersih untuk melakukan kelanjutan perangkat lunak yang telah dibuat dan dipercaya. Orang-orang juga bisa membuat fork kode mereka tetapi kemudian itu bisa berantakan.

Komunitas & Konsumen

Infrastruktur saat ini dapat menggunakan beberapa fitur untuk membantu.

Misalnya rilis dapat diverifikasi, disetujui, atau ditandai oleh komunitas, sama seperti bagaimana torrent dapat dinilai naik atau turun oleh komunitas sehingga orang lain dapat membuat keputusan cepat sebelum mereka mengambil risiko. Peringkat negatif yang tinggi dapat menandai sebuah paket dan memperingatkan konsumen tentang hal itu dan pemasangan di masa mendatang.

Sebagai konsumen yang secara buta menginstal perangkat lunak dan memutakhirkannya, Anda bertanggung jawab untuk menonton apa yang Anda konsumsi. Anda dapat menggunakan manajer paket yang memiliki penguncian versi di tempat untuk membantu meniadakan ini. Sayangnya saya ragu banyak orang menghabiskan waktu yang dibutuhkan untuk meninjau 100 paket yang mereka instal ketika mereka meletakkan good'ol npm install. Beberapa bisnis melalui proses vendor ketika perangkat lunak berubah; Saya berharap tidak ada bisnis yang melakukan ini untuk paket NPM (ini bisa menghentikan pengembangan), tetapi ini adalah opsi yang muncul.

Uang $$$

Tidak ada yang mau membayar untuk perangkat lunak open source gratis, tetapi jika mereka yang menulis kode dihargai atas kontribusi mereka, mereka mungkin lebih termotivasi untuk mempertahankan perangkat lunak dan citra komunitas mereka. Uang bisa datang langsung dari konsumen atau sebagai menetes ke bawah untuk platform itu dikirim. Sebanyak yang saya benci melihatnya, saya bisa melihat perpustakaan mengikuti jalur yang sama dengan platform CI - gratis untuk open source tetapi biaya untuk pribadi / bisnis - ini bisa ditangani dengan lisensi, tetapi pengembang tidak ingin membuang waktu menjadi profesi lisensi baik (mungkin mereka bisa disederhanakan dan lurus ke depan).

CTS_AE
sumber