مشروع Nmap

أصبح مشروع Nmap أحدث ضحية “للحظر الخاطئ” من Google لموارد الأمن السيبراني
تشارلي أوزبورن 26 يناير 2021 الساعة 12:10 بالتوقيت العالمي المنسق
تم التحديث: 26 كانون الثاني (يناير) 2021 الساعة 15:09 بالتوقيت العالمي المنسق
متصفحات أخبار صناعة البرمجيات مفتوحة المصدر
تم تصنيف أداة مفتوحة المصدر بشكل غير صحيح على أنها تهديد بواسطة برنامج التصفح الآمن في Chrome الأسبوع الماضي

أصبح مشروع Nmap أحدث ضحية لحظر Google الخاطئ لموارد الأمن السيبراني

تم تصنيف مشروع Nmap خطأً على أنه “تهديد” للأمن السيبراني بواسطة خدمة التصفح الآمن في Google Chrome.

الحادث هو أحدث مثال على أدوات الأمان المشروعة التي يتم تصنيفها بنفس طريقة تصنيف البرامج الضارة أو رموز التصيد الاحتيالي أو عمليات الاستغلال الضارة.

Network Mapper (Nmap) هو ماسح ضوئي مفتوح المصدر لاكتشاف الشبكة وعمليات تدقيق الأمان. ظهرت الأداة الحائزة على جوائز في العديد من الأفلام.

في 21 يناير ، قال فريق Nmap في تغريدة أن Google Chrome كان يحذر المستخدمين من أن إصدارًا قديمًا من برنامج Ncat كان برنامجًا “ضارًا”.

ومما زاد الطين بلة ، تم حظر الدليل بأكمله ، الذي يحتوي على 458 ملفًا آخر – بما في ذلك أحدث إصدار من Nmap.

قبل أسبوع ، حظر المتصفح أيضًا ملفات شفرة المصدر البالغة من العمر 24 عامًا في الأرشيف التاريخي للمشروع.

في حديثه إلى The Daily Swig ، المطور والمشرف على Nmap ، قال Gordon ‘Fyodor’ Lyon إن الحالات تسلط الضوء على Google “تمارس مثل هذه القوة الهائلة بلا مبالاة […] خاصة وأن رسالة التحذير تخبر المستخدم بأن موقعنا” خطير ” و “يحتوي على برامج ضارة” عندما يكون ذلك من أخطاء Google الخاصة “.

حفر أعمق
عندما تم اكتشاف الكتلة ، انطلق ليون أولاً لفهم الملف الذي تم الإبلاغ عنه ولماذا.

قد تكون هذه عملية تستغرق وقتًا طويلاً ومعقدة لأنها تتطلب إضافة سجلات TXT محددة لنظام أسماء النطاقات إلى المجال المعني لإثبات الملكية قبل أن تقدم شركة التكنولوجيا العملاقة مزيدًا من المعلومات.

بعد ذلك ، كان على ليون أن يقرر كيفية الرد وما إذا كان سيحاول استئناف القرار أم لا بينما يغرق أيضًا بالاجتماعات وعبء العمل الحالي.

منحنى التعلم ذي الصلة: يجلب LiveOverflow من YouTube القرصنة الأخلاقية للجماهير

كانت هناك طريقتان – إزالة ملف لا يزال “مفيدًا للعديد من الأشخاص” ، أو محاولة إقناع Google بأن نظامها قام بشكل غير صحيح بوضع علامة على مورد أمان إلكتروني شرعي على أنه برنامج ضار.

في النهاية ، يقول المطور ، إنه ببساطة “أصيب بالجنون” وكتب على تويتر إحباطه للجماهير.

أُطلقت التغريدة على 130 ألف متابع واكتشف مساعد في Google Security الرسالة. ثم تم تصعيد المشكلة شخصيًا ، على الرغم من أن المطور أضاف أن آخرين ربما شاهدوا التغريدة وساعدوا أيضًا.

استغرقت إزالة التحذير أقل من ساعة بعد نشر التغريدة.

وعلق ليون: “لا ينبغي علينا القيام بذلك ، وربما نجحنا فقط بسبب الحظ أو الشعبية”. “قد تواجه المنظمات الأخرى أوقاتًا أكثر صعوبة.”

الصورة: PortSwigger Ltd تم إطلاق برنامج التصفح الآمن من Google في عام 2007 للمساعدة في حماية المستخدمين من المحتوى الضار

نقاط ضعف الأمان
تحذير Nmap هو الأحدث في سلسلة من حوادث التسمية الخاطئة بواسطة Google Safe Browsing. بينما يهدف البرنامج إلى تنبيه المستخدمين إلى مواقع الويب والتنزيلات الخطرة ، لاحظ آخرون أن خوارزميات التكنولوجيا العملاقة لديها القدرة على التأثير بشدة على الشركات والمطورين الأبرياء.

على YouTube ، تم وضع علامة مرتين على خبير الأمن السيبراني ومنشئ الموارد التعليمية Stök بسبب الروابط “الضارة”.

أخبرنا Stök أنه لكي تكون شريكًا في YouTube ، يجب أن تلتزم بسياسات النظام الأساسي ، وبسبب “سوء فهم عالمي في الخطاب القائل بأن المتسللين = مجرمو الإنترنت” ، يمكن أن يتعارض محتوى أعمال الإعلانات والأمن السيبراني على YouTube.

اقرأ المزيد من نصائح Burp Suite من المستخدم المتميز و Stök “hackfluencer”

من الممكن تجنب بعض الكلمات أو العبارات المشغلة لمحاولة الابتعاد عن الخوارزميات التي يمكن أن تؤدي إلى عمليات إزالة والبقاء جديرة بالإعلان ، ولكن الصناعة في “منطقة رمادية [و] لا يحدث ذلك” ، وفقًا للمحتوى المنشئ.

قال ستوك: “على الرغم من أنه من المزعج إزالة القنوات والإبلاغ عن المحتوى ، فهذه هي اللعبة التي نلعبها”.

“ولكي أكون صادقًا ، لا يوجد حقًا أي بديل حقيقي إذا كنت تريد أن تكون قادرًا على العيش فعليًا في حرفتك والحصول على أموال مقابل ما تفعله ، دون الحاجة إلى فرض رسوم على المستخدم النهائي. ليس هناك وجبة غداء مجانية.”

من جانب البائع ، قام Google Chrome أيضًا بوضع علامة غير صحيحة على تطبيقات Burp Suite من PortSwigger Web Security في متجر BApp في أكثر من مناسبة.

علق Kieron Hughes ، مدير الأداء العضوي في PortSwigger *: “لدينا عمليات مطبقة لمراقبة أداء موقعنا على الويب واتخاذ خطوات لتصحيح الأخطاء في التسمية الخاطئة عبر Chrome أو بحث Google عند ظهورها”.