Pahadimas
14-10-2015, 22:51
Cercando un programma che permettesse di scaricare i sottotitoli dei video di YouTube mi imbatto in Google2SRT, trovandolo sul sito google2srt.sourceforge.net, e mi dico "ah, da qui posso scaricare tranquillamente... il dominio è sourceforge.net!". Clicco su scarica e mi reindirizza alla pagina
http://sourceforge.net/projects/google2srt/files/latest/download
Finché mi si aprono due finestre di download del file. (EDIT: Dopo altre prove, riavviando il browser, me ne ha aperto solo una, quella farlocca. Ma non anticipiamo niente e continuiamo...)
Quindi dicevamo due finestre di download del file: una con dominio sourceforge.net e una con dominio diverso... w*w.appworldcentral.com!
http://i.imgur.com/LmAe0tw.png
cosa che mi ha stranizzato: due download, sito diverso e versione "0" quando l'ultima versione dell'installer di Google2SRT non è un exe bensì un msi, e si chiama google2srt-0.7.3.msi.
Il sito in questione porta su una pagina completamente bianca.
Così comincio a fare un po' di prove, su altri software hostati da sourceforge.net, come per esempio FileZilla. Pagina di sourceforge:
http://sourceforge.net/projects/filezilla/
Vado per scaricare e scarica ancora da w*w.appworldcentral.com...
http://i.imgur.com/KOWRoSU.png
Provo allora con software mezzi sconosciuti, come questo (http://sourceforge.net/projects/smoothwall/) e questo (http://sourceforge.net/projects/texstudio/), e da questi progetti mi scarica invece i file da sourceforge.net!
Tutto questo con Firefox. Provo con Google Chrome, che mi scarica tutti i software correttamente da sourceforge.net! (...e dire che, a differenza di Chrome, su Firefox ho installato l'estensione NoScript, anche se con script abilitati... vabbé, "dettagli"...)
Pare che Chrome sia immune da questo problema e affezioni solo Firefox. Qualcuno riesce a risalire al perché? Non ho provato altri browser.
Così disabilito gli script, e anche Firefox mi scarica il file corretto! Faccio un po' di prove e vedo che il requisito minimo affinché venga avviato il download dal sito farlocco è abilitare contemporaneamente gli script provenienti da sourceforge.net e da fsdn.com:
http://i.imgur.com/p0G7Iod.png
Il sito fsdn.com dà errore caricamento pagina.
Ora andiamo agli eseguibili farlocchi. Intanto hanno una bella iconcina sf (sourceforge) su sfondo bianco:
http://i.imgur.com/NHHA8iw.png
come a dire "ehi, è un file di sourceforge!".
I file farlocchi scaricati hanno hash tutti diversi tra di loro, anche se scaricati due volte dalla stessa pagina (!). Hanno hash diverso ma comparandoli tra di loro sono tutti uguali presentando una differenza di soli 4 byte su 905.064 (dimensione del file).
Dettagli del programma? Il prodotto si chiama Program Installer versione 0.0.0.0, con copyright Installer Generic! Ma che bello!
http://i.imgur.com/EcPQqvx.png
Ma il file ha una firma digitale almeno? Sì, ce l'ha! E ha firmato la Theory Media (Fried Cookie Ltd)! Suvvia... chi non la conosce!?
Anche se il timestamp non è presente.
http://i.imgur.com/htcN9tY.png
Il certificato della firma è stato rilasciato dalla GlobalSign CodeSigning CA - G2, ed è un certificato valido! Dal 28/04/2015 al 28/04/2016.
http://i.imgur.com/cG9MT2z.png
Tutto molto bello.
Provato anche su un profilo pulito di Firefox, e su macchina virtuale.
Esempi in rete di utenti che hanno riscontrato la cosa, sempre su FileZilla: link 1 (https://community.norton.com/en/forums/why-filezilla-blocked-norton-360), link 2 (https://forum.filezilla-project.org/viewtopic.php?t=34489).
Che è successo a sourceforge? È stato hackerato?
http://sourceforge.net/projects/google2srt/files/latest/download
Finché mi si aprono due finestre di download del file. (EDIT: Dopo altre prove, riavviando il browser, me ne ha aperto solo una, quella farlocca. Ma non anticipiamo niente e continuiamo...)
Quindi dicevamo due finestre di download del file: una con dominio sourceforge.net e una con dominio diverso... w*w.appworldcentral.com!
http://i.imgur.com/LmAe0tw.png
cosa che mi ha stranizzato: due download, sito diverso e versione "0" quando l'ultima versione dell'installer di Google2SRT non è un exe bensì un msi, e si chiama google2srt-0.7.3.msi.
Il sito in questione porta su una pagina completamente bianca.
Così comincio a fare un po' di prove, su altri software hostati da sourceforge.net, come per esempio FileZilla. Pagina di sourceforge:
http://sourceforge.net/projects/filezilla/
Vado per scaricare e scarica ancora da w*w.appworldcentral.com...
http://i.imgur.com/KOWRoSU.png
Provo allora con software mezzi sconosciuti, come questo (http://sourceforge.net/projects/smoothwall/) e questo (http://sourceforge.net/projects/texstudio/), e da questi progetti mi scarica invece i file da sourceforge.net!
Tutto questo con Firefox. Provo con Google Chrome, che mi scarica tutti i software correttamente da sourceforge.net! (...e dire che, a differenza di Chrome, su Firefox ho installato l'estensione NoScript, anche se con script abilitati... vabbé, "dettagli"...)
Pare che Chrome sia immune da questo problema e affezioni solo Firefox. Qualcuno riesce a risalire al perché? Non ho provato altri browser.
Così disabilito gli script, e anche Firefox mi scarica il file corretto! Faccio un po' di prove e vedo che il requisito minimo affinché venga avviato il download dal sito farlocco è abilitare contemporaneamente gli script provenienti da sourceforge.net e da fsdn.com:
http://i.imgur.com/p0G7Iod.png
Il sito fsdn.com dà errore caricamento pagina.
Ora andiamo agli eseguibili farlocchi. Intanto hanno una bella iconcina sf (sourceforge) su sfondo bianco:
http://i.imgur.com/NHHA8iw.png
come a dire "ehi, è un file di sourceforge!".
I file farlocchi scaricati hanno hash tutti diversi tra di loro, anche se scaricati due volte dalla stessa pagina (!). Hanno hash diverso ma comparandoli tra di loro sono tutti uguali presentando una differenza di soli 4 byte su 905.064 (dimensione del file).
Dettagli del programma? Il prodotto si chiama Program Installer versione 0.0.0.0, con copyright Installer Generic! Ma che bello!
http://i.imgur.com/EcPQqvx.png
Ma il file ha una firma digitale almeno? Sì, ce l'ha! E ha firmato la Theory Media (Fried Cookie Ltd)! Suvvia... chi non la conosce!?
Anche se il timestamp non è presente.
http://i.imgur.com/htcN9tY.png
Il certificato della firma è stato rilasciato dalla GlobalSign CodeSigning CA - G2, ed è un certificato valido! Dal 28/04/2015 al 28/04/2016.
http://i.imgur.com/cG9MT2z.png
Tutto molto bello.
Provato anche su un profilo pulito di Firefox, e su macchina virtuale.
Esempi in rete di utenti che hanno riscontrato la cosa, sempre su FileZilla: link 1 (https://community.norton.com/en/forums/why-filezilla-blocked-norton-360), link 2 (https://forum.filezilla-project.org/viewtopic.php?t=34489).
Che è successo a sourceforge? È stato hackerato?