SourceForge
27 января 2011 года старейший портал для хостинга OpenSource-проектов SourceForge.net временно приостановил предоставление части сервисов (CVS, веб-доступ к исходным текстам ViewVC, возможность загрузки новых релизов, удаленный терминальный доступ). На следующий день, 28 января, зарегистрированным пользователям SourceForge.net пришло уведомление по электронной почте с уведомлением о том, что их пароли были сброшены.
Подробный отчет о вторжении по итогам `первого раунда анализа` администраторы SourceForge.net опубликовали в субботу 29 января. Впервые факт вторжения удалось обнаружить в среду 26 числа: по-видимому, атаке были в первую очередь подвержены серверы, на которых работала система управления версиями ПО CVS. Однако следы вторжения удалось обнаружить и на других серверах, обслуживающих портал.
Согласно сведениям SourceForge, общая последовательность атаки `была вполне стандартной`: `Все началось с повышения привилегий до уровня суперпользователя на одной из наших платформ, что позволило злоумышленнику получить аутентификационные данные, которые были затем использованы для доступа к машинам с активированным SSH-интерфейсом`. Однако сегментированная архитектура внутренней сети SourceForge позволила предотвратить распространение атаки на другие зоны сети. Именно в этот момент администраторы SourceForge обнаружили атаку.
Отключение части сервисов портала было предпринято для того, чтобы снизить вероятность распространения атаки. Что же касается сброса пользовательских паролей, то он был обусловлен обнаружением модифицированного сервера SSH, который был запрограммирован на сбор пользовательских паролей: `У нас нет оснований полагать, что взломщик преуспел в сборе паролей, – сообщается в блоге SourceForge. – Но наличие этого [модифицированного] сервера и наличие доступа к размещенным на сервере односторонне захэшированным и зашифрованным данным побудили нас принять превентивные меры и сбросить все пароли пользователей SourceForge`.
Помимо срочных мер, администраторы SourceForge приступили к анализу изменений, произошедших за время вторжения. `Лучше перестраховаться, чем сожалеть впоследствии, – сообщается в блоге, – поэтому мы решили провести широкомасштабную проверку данных проекта: от релизов файлов до новых добавлений в SCM`. Данные планируется сравнить с резервными копиями, записанными до вторжения, и при обнаружении подозрительных мест администраторы SourceForge свяжутся с конкретными проектными командами.Станислав Обухов, Т1 Иннотех: Автоматизация меняет функцию закупок
По мере завершения проверки данных серверы SourceForge возвращаются к нормальной работе.
Однако уже совершенно ясно, что в дальнейшем архитектура безопасности SourceForge станет более строгой: `В большинстве случаев, решения в прошлом принимались исходя из общего принципа доверия к разработчикам ПО с открытым кодом, которые работают вместе, играют по правилам и в целом делают то, что надо`, – сообщается в блоге. Но сегодня `наступило время пересмотреть баланс между всеобщим доверием и безопасностью`. Администраторы уже приступили к разворачиванию нового варианта веб-интерфейса доступа к исходным текстам `secure project web`, основанного на защищенной архитектуре. Кроме того, рассматривается вариант отказа от использования старой системы управления версиями CVS, которая обладает архитектурными ограничениями и с трудом поддается масштабированию. Администраторы SourceForge рекомендуют пользователям перейти на альтернативные системы SVN и Git.
2015: Не лучшие времена SourceForge
Основанный в 1999 году, когда ещё не было Github, сайт SourceForge.net стал местом для размещения свободных проектов. Однако проект, по мнению некоторых пользователей и участников, опустился на самое дно: там начали принудительно добавлять рекламное ПО (adware) в дистрибутивы свободных проектов, помимо воли самих разработчиков[1].
Первые проблемы появились в 2013 году, когда владельцы SourceForge решили внедрить «инновацию»: большую зелёную кнопку "Download", которая ведёт к загрузке инсталлятора, в составе которого не только оригинальная программа, но и adware - в довесок. Альтернативная опция загрузки программы без adware осталась в виде незаметной ссылки «Direct Download» под кнопкой.
Такой вариант монетизации вызвал возмущение у многих разработчиков программ open source и некоторые из них покинули SourceForge в 2013 году. В ответ на что SourceForge пообещала никогда не добавлять инсталлятор с adware без согласия мейнтейнеров проекта.
22 июня 2015 года стало известно, что для некогда популярного хостинга приложений SourceForge наступили трудные времена. На сайте How-To-Geek появилось обращение разработчиков ПО, в котором они предлагают бойкотировать этот портал. Затем в издании PC World опубликовали статью «Почему крупные OpenSource-проекты покидают SourceForge». Причина — весьма неудачная модель монетизации, выбранная руководством сервиса[2].
Несмотря на обещание администрации ресурса не применять свой инсталлятор для распространения программ без согласия разработчиков, ряд популярных свободных проектов прекратили сотрудничество с SourceForge. Оригинальные файлы, при этом, удалили, однако сервис самостоятельно следил за обновлениями и поддерживал соответствующие разделы в рабочем состоянии.
В 2015 году SourceForge без согласования с разработчиками ПО возобновил практику распространения востребованных программ при помощи собственного инсталлятора, в который входили и «рекламные» приложения. Началось это с GIMP (правда, через несколько дней инсталлятор удалили). Потом пришла очередь и других OpenSource-приложений.
Администрация портала пока воздерживается от внедрения дополнительных программ в инсталляторы свободного ПО, но возможность эта имеется и у разработчиков нет никаких гарантий, что она не будет использована.
Особенность свободных лицензий не позволяет разработчикам явно запретить размещение своих приложений. Поэтому они могут действовать исключительно «мягкими» методами. В частности, сайт уже блокируется расширением uBlock. А разработчики обратились к пользователям с просьбой загружать их программы с официальных сайтов, а не с хостинга SourceForge.
Сайт SourceForge блокируется расширением uBlock, 2015
3 июня 2015 тревогу поднял Гордон Лион (Gordon Lyon), известный в интернете под ником Fyodor, автор популярной утилиты для сканирования и аудита безопасности сайтов Nmap. По мнению автора, "SourceForge похитила его аккаунт с open source-программой Nmap". Он сообщил об этом в списке рассылки Seclists.org[3].
«Всем привет! Вы должно быть уже слышали последние новости о том, что Sourceforge.net похитил аккаунт проекта GIMP для распространения adware/malware. Ранее GIMP использовал этот аккаунт Sourceforge для распространения своего инсталлятора Windows, но они ушли после того, как Sourceforge начал обманывать пользователей с фальшивыми кнопками скачивания, которые вели к вредоносным программам, а не GIMP. Тогда Sourceforge завладел аккаунтом GIMP и начал распространять троянский инсталлятор, который пытался с помощью уловок установить различные malware и adware до начала реальной установки GIMP. Конечно, это прямо противоречит обещанию, сделанному Sourceforge менее двух лет назад: "Мы вас уверяем, что НИКОГДА не сделаем бандл ни с каким проектом без согласия разработчиков"».