Atónito me quedé cuando leí el correo electrónico de la lista nmap-hackers, escrito por el mismo Fyodor, donde describía con gran enfado que las descargas de Nmap desde la web de CNet, venían con algo más que el deseado "analizador remoto de puertos".
Nmap, en plataformas Microsoft puede ser instalado de dos maneras: Una es utilizando el entorno Cygwin. La otra es mediante un fichero instalador ejecutable directamente en Windows (hecha con Nullsoft Scriptable Install System) que incorpora entre otras, además de los binarios necesarios de Nmap, las librerías Winpcap, así como una GUI para Windows llamada Zenmap. Esto es lo oficialmente ofrecido desde la web oficial de descarga de Nmap.
Por otro lado, en el caso de CNET, conocida web de descargas de software gratuito, se ofrece también a cualquier navegante, un instalador ejecutable de Nmap. Sin embargo, Fyodoor se dio cuenta que la versión dispuesta en la web de CNET no era idéntico al software original ofrecido. Al descargarlo, el programa de instalación añadía al navegador molestas barras de herramientas, cambios en las preferencias del motor de búsqueda por defecto al buscador Bing, y predeterminaba la página de inicio hacia Microsoft MSN. Enviando el fichero a Virustotal, el resultado era escandaloso. Varios motores antivirus catalogaban dicho fichero como Malware.
Nmap, en plataformas Microsoft puede ser instalado de dos maneras: Una es utilizando el entorno Cygwin. La otra es mediante un fichero instalador ejecutable directamente en Windows (hecha con Nullsoft Scriptable Install System) que incorpora entre otras, además de los binarios necesarios de Nmap, las librerías Winpcap, así como una GUI para Windows llamada Zenmap. Esto es lo oficialmente ofrecido desde la web oficial de descarga de Nmap.
Por otro lado, en el caso de CNET, conocida web de descargas de software gratuito, se ofrece también a cualquier navegante, un instalador ejecutable de Nmap. Sin embargo, Fyodoor se dio cuenta que la versión dispuesta en la web de CNET no era idéntico al software original ofrecido. Al descargarlo, el programa de instalación añadía al navegador molestas barras de herramientas, cambios en las preferencias del motor de búsqueda por defecto al buscador Bing, y predeterminaba la página de inicio hacia Microsoft MSN. Enviando el fichero a Virustotal, el resultado era escandaloso. Varios motores antivirus catalogaban dicho fichero como Malware.
En el momento de redacción de este post (las 20:35 del martes 6 de Diciembre) me proponía analizar la versión descargada desde CNET, instalarla en un entorno de Sandbox y contaros los resultados, buscando los cambios en el registro de Windows, procesos raros añadidos, etc, etc,…
Sin embargo, mi gozo en un pozo. Ni el antivirus de mi sandbox con Windows XP, ni el servicio ofrecido por Virustotal, detectaron malware alguno en la versión 5.51 de Nmap para Windows descargada de CNET en ese momento.
Supongo que después del correo de Fyodoor, así como sus quejas sobre violaciones de licencia de distribución de Nmap, debido al regalazo gratuito ofrecido por CNET, habrá hecho que hayan modificado la descarga, puesto que el fichero subido por Fyodoor a Virustotal era cnet2_nmap5_51-setup.exe y el ofrecido por CNET cuando lo descargué, era nmap-5.51-setup.exe
Lo malo es que, según cuentan en Extremetech, es una práctica habitual por parte de CNET, ofrecer instaladores con software modificado a sus usuarios, que incluyen características adicionales no deseadas. Se puede ver, en el citado enlace, una versión de un instalador del popular reproductor multimedia VLC, con la conocida Babylon Toolbar incluida,... y vaya usted a saber qué otro regalito oculto más!
Como hemos recomendado muchas veces en SbD, es siempre una buena práctica el descargar el software o drivers que queramos instalar en nuestros ordenadores, siempre en la medida de lo posible, desde los repositorios oficiales.
No sería la primera vez que incluso repositorios originales han sido comprometidos y software descargado desde sitios de la mayor de las confianzas, han venido con regalo incluido. Sin embargo, ese riesgo siempre se corre, a no ser que descarguemos el código fuente de los programas y los compilemos nosotros mismos, después de auditarlo línea a línea. Evidentemente, esta propuesta es inviable, ya sea por tratarse de software de código privativo, como por el tamaño de determinado tipo de proyectos.
UPDATE [7/12/2011]: Efectivamente, las quejas de Fyodor han tenido sus consecuencias y han causado que CNET distribuya el instalador verdadero de Nmap para Windows, sin troyanos, ni malware asociado. Así ha quedado patente en un nuevo correo que ha enviado Fyodor a la lista nmap-hackers. Cuenta incluso que Microsoft se puso en contacto con él para decirle que no sabían que patrocinaban un sitio que ofrecía software troyanizado y que directamente han dejado de hacerlo!
Fyodor ha creado una web en la que irá contando con pelos y señales cómo evoluciona el tema.
UPDATE [7/12/2011]: Efectivamente, las quejas de Fyodor han tenido sus consecuencias y han causado que CNET distribuya el instalador verdadero de Nmap para Windows, sin troyanos, ni malware asociado. Así ha quedado patente en un nuevo correo que ha enviado Fyodor a la lista nmap-hackers. Cuenta incluso que Microsoft se puso en contacto con él para decirle que no sabían que patrocinaban un sitio que ofrecía software troyanizado y que directamente han dejado de hacerlo!
Fyodor ha creado una web en la que irá contando con pelos y señales cómo evoluciona el tema.
7 comments :
Hola Lorenzo,
hay muchos haciendo eso. Hace no mucho, el creador de VLC reventó en colera por lo mismo. Lo que se denominan "empresas de Crapware"
Enfado del creador de VLC con empresas de Crapware
Saludos!
En español tenemos a Softonic, portal que es visitado por más de 100 millones de personas cada mes, muchos de los programas que ofrecen se descargan por medio de un instalador propio que viene con barritas extras y otras sorpresas.
Si bien es software opcional, las casillas de instalación vienen marcadas por defecto e incluso al lado llegan a decir "Recomendado" para que el usuario que no sabe lo que está instalando, por las dudas lo instale ya que dice "recomendado" :)
¿Realmente alguien gana dinero modificando la página de inicio de los navegadores?
Y lo que no sabremos...
Así es Chema. Por eso lo he puesto en el post. Que no es el único software que esta gente encapsula en otro ejecutable que hace más "cositas"... De hecho Fyodor incluso decía que los de CNET no tienen moral ninguna porque incluso lo han llegado a hacer en la descarga de un software para niños!
Aunque te advierta que te lo va a instalar, no me negarás que genera una desconfianza tremenda... Estos tipos han cambiado el instalador original por otro que han hecho ellos. Aunque yo diga que no quiero barritas ni el resto de lo que me "recomiendan", me harán caso? me meterán algo que no quiero?
Este es el Alexa de un buscador que se mete como página de inicio al instalar algunos programas falsos: http://www.alexa.com/siteinfo/webplayersearch.com
Ranking 30 mil en 2 meses... aunque Alexa puede tener errores, sirve para ver la tendencia. Seguro en miles de computadoras ese buscador está como página de inicio y mostrando publicidad.Muchos usuarios como no entienden lo que sucede, lo dejan... algunos incluso pueden pensar que es una nueva versión de Google y cosas así :DAhora, el dueño de esa web seguro tiene varios más que se instalan con distintos programas... sumando todo, no sé cuánto dinero ganará... pero un sueldo como para vivir tranquilo y darse algún gusto todos los meses seguro recibe.
Publicar un comentario