Vi løb for nylig ind i en situation, hvor en række antivirus (Kaspersky, Quttera, McAfee, Norton Safe Web, Bitdefender og et par mindre kendte) begyndte at blokere vores websted. At studere situationen førte mig til forståelsen af, at det er ekstremt simpelt at komme på blokeringslisten, kun nogle få klager (selv uden begrundelse). Jeg vil beskrive problemet mere detaljeret senere.
Problemet er ret alvorligt, da næsten alle brugere nu har en antivirus eller firewall installeret. Og blokering af et websted med et større antivirus som Kaspersky kan gøre et websted utilgængeligt for et stort antal brugere. Jeg vil gerne henlede fællesskabets opmærksomhed på problemet, da det åbner op for et enormt spillerum for beskidte metoder til at håndtere konkurrenter.
Jeg vil ikke give et link til selve siden eller angive virksomheden, så det ikke ville blive opfattet som en form for PR. Jeg vil kun gøre opmærksom på, at siden fungerer efter loven, virksomheden har kommerciel registrering, alle data er opgivet på siden.
Vi stødte for nylig på klager fra kunder over, at vores websted blev blokeret af Kaspersky Anti-Virus som et phishing-websted. Flere kontroller fra vores side afslørede ikke nogen problemer på webstedet. Jeg indgav en ansøgning via formularen på Kaspersky-webstedet om en falsk positiv antivirus. Resultatet var et svar:
Vi tjekkede det link, du sendte.
Oplysninger på linket udgør en trussel om tab af brugerdata, en falsk positiv er ikke blevet bekræftet.
Der er ikke givet bevis for, at webstedet udgør en trussel. Ved yderligere henvendelser er der modtaget følgende svar:
Vi tjekkede det link, du sendte.
Dette domæne blev tilføjet til databasen på grund af brugerklager. Linket vil blive udelukket fra anti-phishing-databaser, men overvågning vil blive aktiveret i tilfælde af gentagne klager.
Heraf bliver det klart, at en tilstrækkelig grund til at blokere er selve det faktum, at der er i det mindste nogle klager. Formodentlig er siden blokeret, hvis der var mere end et vist antal klager, og der kræves ingen bekræftelse af klagen.
I vores tilfælde sendte angriberne en række klager. Og vores DC, og en række antivirus og tjenester såsom phishtank. På phishtank indeholdt klagerne kun et link til webstedet og en indikation af, at webstedet var phishing. Og dog blev der ikke givet nogen bekræftelse.
Det viser sig, at du kan blokere forkastelige websteder med en simpel spam af klager. Måske er der endda tjenester, der leverer sådanne tjenester. Hvis de ikke er der, vil de naturligvis snart dukke op, da det er nemt at indtaste webstedet i databaserne for nogle antivirus.
Jeg vil gerne høre kommentarer fra repræsentanter for Kaspersky. Jeg vil også gerne høre kommentarer fra dem, der selv stødte på et sådant problem, og hvor hurtigt det blev løst. Måske vil nogen rådgive juridiske metoder til indflydelse i sådanne situationer. For os indebar situationen omdømme- og økonomiske tab, for ikke at tale om tab af tid til at løse problemet.
Jeg vil gerne henlede så meget opmærksomhed som muligt på situationen, da ethvert websted er i fare.
Tilføjelse.
I kommentarerne gav de et link til et interessant indlæg fra HerrDirektor om dette spørgsmål. Jeg vil citere ham
Jeg vil fortælle dig mere - vil du skabe problemer for næsten ethvert websted på 10 minutter (nå, bortset fra store, fede og meget berømte)?
Velkommen til phishtank.
Vi registrerer 8-10 konti (du behøver kun en e-mail til bekræftelse), vælg det websted, du kan lide, tilføj det fra én konto til fisketankdatabasen (for at gøre livet vanskeligere for ejeren, kan du sætte nogle breve, der reklamerer for homoseksuelle porno med dværge ind i formen, når den tilføjes).
Med de resterende konti stemmer vi for phishing, indtil de skriver til os "Dette er phish-side!".
Parat. Vi sidder og venter. Selvom du for at konsolidere succes kan tilføje både http:// og https:// og med en skråstreg i slutningen og uden en skråstreg, eller med to skråstreg. Og hvis der er meget tid, så kan der også tilføjes links til siden. For hvad? Men hvorfor:Efter 6-12 timer trækker Avast op og tager data derfra. Efter 24-48 timer spredes dataene gennem alle mulige "antivirus" - comodo, bit forsvarer, clean mx, CRDF, CyRadar... Hvorfra den forbandede virustotal suger dataene.
Selvfølgelig kontrollerer INGEN nøjagtigheden af dataene, alle er dybt kneppet.Og som et resultat begynder de fleste af "antivirus"-udvidelserne til browsere, gratis antivirus og anden software at bande på det angivne websted på alle mulige måder, fra røde skilte til fuldgyldige sider, der udsender, at webstedet er frygtelig farligt, og gå der som døden.
Og for at rydde op i disse Augian-stalde skal hver af disse "antivirus" skrive til teknisk support. For HVER link! Avast reagerer ret hurtigt, resten lægger dumt et velkendt orgel fra sig.
Men selvom stjernerne konvergerer, og det viser sig at rense webstedet fra antivirusdatabaserne, så er "mega-ressource" virustotal overhovedet ligeglad. Er du ikke i phishtanks database? Ja, ligeglad, når der var, vil vi vise, hvad der er. Er du ikke i bit forsvarer? Det er lige meget, vi viser dig alligevel, hvad det var.
Derfor vil enhver software eller service, der fokuserer på virustotal, indtil tidens ende vise, at alt er dårligt på webstedet. Du kan hakke denne dårlige ressource i lang tid og systematisk, og måske vil du være heldig at komme ud derfra. Men du er måske ikke heldig.
* Blandt dem, der blokerer siden, var der endda en fortinet-udbyder. Og vi har stadig ikke fjernet webstedet fra nogle lister over phishing-websteder.
* Dette er mit første indlæg på Habré. Desværre plejede jeg kun at være læser, men den nuværende situation motiverede mig til at skrive et indlæg.
Kilde: www.habr.com