Nedavno smo naišli na situaciju da su brojni antivirusi (Kaspersky, Quttera, McAfee, Norton Safe Web, Bitdefender i nekoliko manje poznatih) počeli blokirati našu web stranicu. Proučavanje situacije dovelo me do shvaćanja da je ulazak na listu blokiranih krajnje jednostavan, samo nekoliko pritužbi (čak i bez opravdanja). Kasnije ću detaljnije opisati problem.
Problem je prilično ozbiljan, jer sada skoro svaki korisnik ima instaliran antivirus ili firewall. A blokiranje sajta velikim antivirusom kao što je Kaspersky može učiniti veb lokaciju nedostupnom velikom broju korisnika. Želeo bih da skrenem pažnju javnosti na problem, jer otvara ogroman prostor za prljave metode obračuna sa konkurencijom.
Neću davati link na samu stranicu niti naznačiti kompaniju, kako se to ne bi doživjelo kao neka vrsta PR-a. Samo ću istaći da sajt radi po zakonu, firma je komercijalno registrovana, svi podaci su dati na sajtu.
Nedavno smo naišli na pritužbe kupaca da je Kaspersky Anti-Virus blokirao našu stranicu kao lokaciju za krađu identiteta. Višestruke provjere s naše strane nisu otkrile nikakve probleme na stranici. Podnio sam prijavu putem obrasca na Kaspersky web stranici o lažno pozitivnom antivirusu. Rezultat je bio odgovor:
Provjerili smo link koji ste poslali.
Информация по ссылке представляет угрозу потери пользовательских данных, ложное срабатывание не подтвердилось.
Nisu dati dokazi da lokacija predstavlja prijetnju. Na daljnje upite dobijen je sljedeći odgovor:
Provjerili smo link koji ste poslali.
Ova domena je dodana u bazu podataka zbog pritužbi korisnika. Link će biti isključen iz anti-phishing baza podataka, ali će nadzor biti omogućen u slučaju ponovljenih pritužbi.
Iz ovoga postaje jasno da je dovoljan razlog za blokiranje sama činjenica prisustva barem nekih pritužbi. Pretpostavlja se da je stranica blokirana ako je bilo više od određenog broja pritužbi i nije potrebna potvrda žalbe.
U našem slučaju, napadači su uputili niz pritužbi. I naš DC, i niz antivirusa, i servisa kao što je phishtank. Na phishtanku, žalbe su uključivale samo vezu do stranice i naznaku da je stranica phishing. Pa ipak, nije data potvrda.
Ispostavilo se da možete blokirati nepoželjne stranice jednostavnim neželjenim sadržajem pritužbi. Možda čak postoje službe koje pružaju takve usluge. Ako ih nema, očito će se uskoro pojaviti, s obzirom na lakoću ulaska stranice u baze podataka nekih antivirusa.
Želeo bih da čujem komentare predstavnika kompanije Kaspersky. Također, volio bih čuti komentare onih koji su se i sami susreli sa takvim problemom i koliko je brzo riješen. Možda će neko savjetovati legalne metode utjecaja, u takvim situacijama. Za nas je situacija povlačila reputacijske i finansijske gubitke, a da ne spominjemo gubitak vremena za rješavanje problema.
Želio bih da skrenem što više pažnje na situaciju, jer je svaka lokacija ugrožena.
Dodatak.
U komentarima su dali link na zanimljivu objavu HerrDirektora po ovom pitanju. Citirat ću ga
Reći ću vam više - da li želite da za 10 minuta napravite probleme za skoro bilo koji sajt (pa, osim za velike, podebljane i veoma poznate)?
Dobrodošli u phishtank.
Registrujemo 8-10 naloga (potreban vam je samo e-mail za potvrdu), izaberite sajt koji vam se sviđa, dodajte ga sa jednog naloga u bazu podataka akvarijuma (da otežate život vlasniku, možete staviti neko pismo reklamnog gej pornića sa patuljci u formu prilikom dodavanja).
Sa preostalim nalozima glasamo za phishing dok nam ne napišu “Ovo je phish stranica!”.
Spreman. Sjedimo i čekamo. Iako, da biste konsolidirali uspjeh, možete dodati i http:// i https:// i sa kosom crtom na kraju i bez kose crte ili sa dvije kose crte. A ako ima puno vremena, onda se na stranicu mogu dodati i linkovi. Za što? Ali zašto:Nakon 6-12 sati, Avast se povlači i preuzima podatke odatle. Nakon 24-48 sati, podaci se šire kroz sve vrste "antivirusa" - comodo, bit defender, clean mx, CRDF, CyRadar... Odakle jebeni virus total usisava podatke.
Naravno, NIKO ne provjerava tačnost podataka, svi su duboko sjebani.I kao rezultat toga, većina "antivirusnih" ekstenzija za preglednike, besplatne antiviruse i drugi softver počinje da psuje na navedenu web lokaciju na razne načine, od crvenih znakova do punopravnih stranica koje emituju da je stranica užasno opasna i odlazi tamo kao smrt.
A da bi očistili ove Augejeve štale, svaki od ovih "antivirusa" mora pisati tehničkoj podršci. ZA SVAKI link! Avast dosta brzo reaguje, ostali glupo polažu dobro poznati organ.
Ali čak i ako se zvijezde spoje i ispostavi se da je mjesto očistilo od antivirusnih baza podataka, tada virusu "mega-resursa" uopće nije stalo. Zar niste u phishtank bazi podataka? Da, nije briga, kad je bilo, pokazaćemo šta je. Zar nisi u bit defanzivcu? Nema veze, mi ćemo vam ipak pokazati šta je bilo.
U skladu s tim, svaki softver ili usluga koja se fokusira na virustotal pokazat će do kraja vremena da je sve loše na stranici. Ovaj jadni resurs možete dugo i sistematski kljucati, a možda ćete imati sreće da se izvučete odatle. Ali možda nećete imati sreće.
* Među onima koji blokiraju stranicu, bio je čak i fortinet provajder. I još uvijek nismo uklonili stranicu sa nekih lista stranica za krađu identiteta.
* Ovo je moj prvi post na Habréu. Nažalost, nekada sam bio samo čitalac, ali me trenutna situacija motivisala da napišem post.
izvor: www.habr.com