Nedávno jsme se dostali do situace, kdy řada antivirů (Kaspersky, Quttera, McAfee, Norton Safe Web, Bitdefender a pár méně známých) začala blokovat náš web. Studium situace mě vedlo k pochopení, že dostat se na seznam blokovaných je extrémně jednoduché, stačí pár stížností (i bez odůvodnění). Podrobněji problém popíšu později.
Problém je poměrně vážný, protože nyní má téměř každý uživatel nainstalován antivirus nebo firewall. A blokování webu pomocí velkého antiviru, jako je Kaspersky, může způsobit, že web bude nedostupný pro velký počet uživatelů. Rád bych na problém upozornil komunitu, protože otevírá obrovský prostor pro špinavé metody jednání s konkurenty.
Nebudu dávat odkaz na samotné stránky ani uvádět firmu, aby to nebylo vnímáno jako nějaké PR. Pouze upozorňuji, že stránky fungují podle zákona, společnost má komerční registraci, veškeré údaje jsou uvedeny na stránkách.
Nedávno jsme se setkali se stížnostmi zákazníků, že naše stránky byly blokovány aplikací Kaspersky Anti-Virus jako phishingové stránky. Vícenásobné kontroly z naší strany neodhalily na webu žádné problémy. Podal jsem žádost prostřednictvím formuláře na webu Kaspersky o falešně pozitivním antiviru. Výsledkem byla odpověď:
Zkontrolovali jsme odkaz, který jste poslali.
Informace na odkazu představují hrozbu ztráty uživatelských dat, falešný poplach nebyl potvrzen.
Nebyl předložen žádný důkaz, že stránka představuje hrozbu. Na další dotazy byla obdržena následující odpověď:
Zkontrolovali jsme odkaz, který jste poslali.
Tato doména byla přidána do databáze kvůli stížnostem uživatelů. Odkaz bude vyřazen z antiphishingových databází, ale bude umožněn monitoring v případě opakovaných stížností.
Z toho je zřejmé, že dostatečným důvodem pro zablokování je samotná skutečnost přítomnosti alespoň některých stížností. Pravděpodobně je stránka zablokována, pokud existuje více než určitý počet stížností, a není vyžadováno žádné potvrzení stížnosti.
V našem případě útočníci poslali řadu stížností. A naše DC a řada antivirů a služeb, jako je phishtank. Pokud jde o phishtank, stížnosti obsahovaly pouze odkaz na web a náznak, že web byl phishing. A přesto nebylo vydáno žádné potvrzení.
Ukázalo se, že můžete blokovat závadné stránky jednoduchým spamem stížností. Možná dokonce existují služby, které takové služby poskytují. Pokud tam nejsou, zjevně se brzy objeví, vzhledem k snadnému vstupu na stránky do databází některých antivirů.
Chtěl bych slyšet komentáře od zástupců společnosti Kaspersky. Také bych rád slyšel komentáře od těch, kteří se s takovým problémem sami setkali a jak rychle byl vyřešen. Možná někdo poradí legální způsoby ovlivňování v takových situacích. Situace pro nás znamenala reputační a finanční ztráty, nemluvě o ztrátě času na řešení problému.
Chtěl bych na situaci co nejvíce upozornit, protože ohrožená je jakákoli stránka.
Dodatek.
V komentářích dali odkaz na zajímavý příspěvek od HerrDirektor k tomuto problému. Budu ho citovat
Řeknu vám více - chcete vytvořit problémy pro téměř jakýkoli web za 10 minut (dobře, kromě velkých, odvážných a velmi slavných)?
Vítejte v phishtanku.
Zaregistrujeme 8-10 účtů (potřebujete pouze e-mail pro potvrzení), vyberte stránku, která se vám líbí, přidáme ji z jednoho účtu do databáze fishtank (abyste majiteli ztížili život, můžete vložit dopisovou reklamu na gay porno s trpaslíci do formuláře při jeho přidávání).
U zbývajících účtů hlasujeme pro phishing, dokud nám nenapíší „Toto je phish stránka!“.
Připraveno. Sedíme a čekáme. I když pro upevnění úspěchu můžete přidat jak http://, tak https:// a s lomítkem na konci a bez lomítka, nebo se dvěma lomítky. A pokud je hodně času, lze na stránky přidat i odkazy. Proč? Ale proč:Po 6-12 hodinách se Avast stáhne a vezme odtud data. Po 24-48 hodinách se data šíří přes všemožné "antiviry" - comodo, bit defense, clean mx, CRDF, CyRadar ... Odkud ten zasranej virustotal saje data.
Správnost údajů samozřejmě NIKDO nekontroluje, všichni jsou hluboce v prdeli.A v důsledku toho většina „antivirových“ rozšíření pro prohlížeče, bezplatné antiviry a další software začne na uvedenou stránku nadávat všemožnými způsoby, od červených značek až po plnohodnotné stránky, které vysílají, že stránka je strašně nebezpečná a přejdou tam jako smrt.
A aby bylo možné vyčistit tyto Augeovské stáje, musí každý z těchto „antivirů“ napsat na technickou podporu. ZA KAŽDÝ odkaz! Avast reaguje celkem rychle, zbytek hloupě položí známý orgán.
Ale i kdyby se hvězdy sblížily a ukázalo se, že vyčistí web od antivirových databází, pak to „megazdrojový“ virus total vůbec nezajímá. Nejste v databázi phishtanku? Ano, to je jedno, jakmile to bylo, ukážeme, co je. Nejsi v bitovém obránci? Nevadí, stejně vám ukážeme, co to bylo.
V souladu s tím jakýkoli software nebo služba, která se zaměřuje na virustotal, bude až do konce času ukazovat, že na webu je vše špatné. Tento ubohý zdroj můžete klovat dlouho a systematicky a možná budete mít štěstí, že se odtud dostanete. Ale možná nebudete mít štěstí.
* Mezi těmi, kteří blokují stránky, byl dokonce poskytovatel fortinetu. A stále jsme web neodstranili z některých seznamů phishingových webů.
* Toto je můj první příspěvek na Habrého. Dříve jsem byl bohužel jen čtenář, ale současná situace mě motivovala k napsání příspěvku.
Zdroj: www.habr.com