Πρόσφατα αντιμετωπίσαμε μια κατάσταση όπου μια σειρά από προγράμματα προστασίας από ιούς (Kaspersky, Quttera, McAfee, Norton Safe Web, Bitdefender και μερικά λιγότερο γνωστά) άρχισαν να μπλοκάρουν τον ιστότοπό μας. Η μελέτη της κατάστασης με οδήγησε στο να καταλάβω ότι η είσοδος στη λίστα μπλοκ είναι εξαιρετικά απλή, μόνο μερικά παράπονα (ακόμα και χωρίς αιτιολόγηση). Θα περιγράψω το πρόβλημα με περισσότερες λεπτομέρειες αργότερα.
Το πρόβλημα είναι αρκετά σοβαρό, αφού πλέον σχεδόν κάθε χρήστης έχει εγκατεστημένο antivirus ή τείχος προστασίας. Και ο αποκλεισμός ενός ιστότοπου με ένα σημαντικό πρόγραμμα προστασίας από ιούς όπως το Kaspersky μπορεί να καταστήσει έναν ιστότοπο μη προσβάσιμο σε μεγάλο αριθμό χρηστών. Θα ήθελα να επιστήσω την προσοχή της κοινότητας στο πρόβλημα, καθώς ανοίγει ένα τεράστιο περιθώριο για βρώμικες μεθόδους αντιμετώπισης των ανταγωνιστών.
Δεν θα δώσω σύνδεσμο προς τον ίδιο τον ιστότοπο ούτε θα υποδείξω την εταιρεία, ώστε να μην εκληφθεί ως κάποιου είδους PR. Θα επισημάνω μόνο ότι ο ιστότοπος λειτουργεί σύμφωνα με το νόμο, η εταιρεία έχει εμπορική εγγραφή, όλα τα δεδομένα δίνονται στον ιστότοπο.
Πρόσφατα αντιμετωπίσαμε παράπονα από πελάτες ότι ο ιστότοπός μας αποκλείστηκε από το Kaspersky Anti-Virus ως ιστότοπος phishing. Οι πολλαπλοί έλεγχοι από την πλευρά μας δεν αποκάλυψαν προβλήματα στον ιστότοπο. Υπέβαλα αίτηση μέσω της φόρμας στον ιστότοπο της Kaspersky σχετικά με ένα ψευδώς θετικό antivirus. Το αποτέλεσμα ήταν μια απάντηση:
Ελέγξαμε τον σύνδεσμο που στείλατε.
Οι πληροφορίες σχετικά με τον σύνδεσμο αποτελούν απειλή απώλειας δεδομένων χρήστη, το ψευδές θετικό δεν έχει επιβεβαιωθεί.
Δεν έχει δοθεί καμία απόδειξη ότι η τοποθεσία αποτελεί απειλή. Μετά από περαιτέρω έρευνες, ελήφθη η ακόλουθη απάντηση:
Ελέγξαμε τον σύνδεσμο που στείλατε.
Αυτός ο τομέας προστέθηκε στη βάση δεδομένων λόγω καταγγελιών χρηστών. Ο σύνδεσμος θα εξαιρεθεί από τις βάσεις δεδομένων κατά του phishing, αλλά η παρακολούθηση θα είναι ενεργοποιημένη σε περίπτωση επανειλημμένων παραπόνων.
Από αυτό καθίσταται σαφές ότι επαρκής λόγος αποκλεισμού είναι το ίδιο το γεγονός της παρουσίας τουλάχιστον ορισμένων καταγγελιών. Προφανώς, ο ιστότοπος είναι αποκλεισμένος εάν υπήρχαν περισσότερα από ένα συγκεκριμένο αριθμό παραπόνων και δεν απαιτείται επιβεβαίωση της καταγγελίας.
Στην περίπτωσή μας, οι επιτιθέμενοι έστειλαν μια σειρά από καταγγελίες. Και το DC μας, και μια σειρά από προγράμματα προστασίας από ιούς και υπηρεσίες όπως το phishtank. Στο phishtank, τα παράπονα περιελάμβαναν μόνο έναν σύνδεσμο προς τον ιστότοπο και μια ένδειξη ότι ο ιστότοπος ήταν phishing. Κι όμως, δεν δόθηκε καμία επιβεβαίωση.
Αποδεικνύεται ότι μπορείτε να αποκλείσετε απαράδεκτους ιστότοπους με ένα απλό spam παραπόνων. Ίσως υπάρχουν ακόμη και υπηρεσίες που παρέχουν τέτοιες υπηρεσίες. Εάν δεν υπάρχουν, προφανώς θα εμφανιστούν σύντομα, δεδομένης της ευκολίας εισαγωγής του ιστότοπου στις βάσεις δεδομένων ορισμένων προγραμμάτων προστασίας από ιούς.
Θα ήθελα να ακούσω σχόλια από εκπροσώπους της Kaspersky. Επίσης, θα ήθελα να ακούσω σχόλια από όσους αντιμετώπισαν οι ίδιοι ένα τέτοιο πρόβλημα και πόσο γρήγορα επιλύθηκε. Ίσως κάποιος να συμβουλεύσει νομικές μεθόδους επιρροής, σε τέτοιες καταστάσεις. Για εμάς, η κατάσταση συνεπαγόταν απώλειες φήμης και οικονομικές, για να μην αναφέρουμε την απώλεια χρόνου για την επίλυση του προβλήματος.
Θα ήθελα να επιστήσω όσο το δυνατόν μεγαλύτερη προσοχή στην κατάσταση, καθώς οποιοσδήποτε ιστότοπος κινδυνεύει.
Προσθήκη.
Στα σχόλια έδωσαν έναν σύνδεσμο προς μια ενδιαφέρουσα ανάρτηση από τον HerrDirektor για αυτό το θέμα. Θα τον αναφέρω
Θα σας πω περισσότερα - θέλετε να δημιουργήσετε προβλήματα για σχεδόν οποιοδήποτε ιστότοπο σε 10 λεπτά (καλά, εκτός από μεγάλα, τολμηρά και πολύ διάσημα);
Καλώς ήρθατε στο phishtank.
Καταχωρούμε 8-10 λογαριασμούς (χρειάζεστε μόνο ένα email για επιβεβαίωση), επιλέγουμε τον ιστότοπο που σας αρέσει, τον προσθέτουμε από έναν λογαριασμό στη βάση δεδομένων fishtank (για να κάνετε τη ζωή πιο δύσκολη για τον ιδιοκτήτη, μπορείτε να βάλετε κάποια επιστολή διαφήμισης για γκέι πορνό με νάνοι στη μορφή κατά την προσθήκη του).
Με τους υπόλοιπους λογαριασμούς, ψηφίζουμε υπέρ του phishing μέχρι να μας γράψουν "This is phish site!".
Ετοιμος. Καθόμαστε και περιμένουμε. Αν και, για να εδραιώσετε την επιτυχία, μπορείτε να προσθέσετε και τα δύο http:// και https:// και με κάθετο στο τέλος και χωρίς κάθετο ή με δύο κάθετες. Και αν υπάρχει πολύς χρόνος, τότε μπορούν επίσης να προστεθούν σύνδεσμοι στον ιστότοπο. Για τι? Μα γιατί:Μετά από 6-12 ώρες, το Avast τραβάει και παίρνει δεδομένα από εκεί. Μετά από 24-48 ώρες, τα δεδομένα διαδίδονται μέσω όλων των ειδών "antiviruses" - comodo, bit Defender, clean mx, CRDF, CyRadar ... Από όπου το γαμημένο virustotal ρουφάει τα δεδομένα.
Φυσικά, ΚΑΝΕΝΑΣ δεν ελέγχει την ακρίβεια των δεδομένων, όλοι είναι βαθιά γαμημένοι.Και ως αποτέλεσμα, οι περισσότερες από τις επεκτάσεις "antivirus" για προγράμματα περιήγησης, δωρεάν προγράμματα προστασίας από ιούς και άλλο λογισμικό αρχίζουν να βρίζουν στον καθορισμένο ιστότοπο με διάφορους τρόπους, από κόκκινες πινακίδες έως πλήρεις σελίδες που μεταδίδουν ότι ο ιστότοπος είναι τρομερά επικίνδυνος εκεί σαν θάνατος.
Και για να καθαριστούν αυτοί οι στάβλοι του Augean, κάθε ένα από αυτά τα "antiviruses" πρέπει να γράψει στην τεχνική υποστήριξη. ΓΙΑ ΚΑΘΕ σύνδεσμο! Το Avast αντιδρά αρκετά γρήγορα, οι υπόλοιποι ξάπλωσαν βλακωδώς ένα γνωστό όργανο.
Αλλά ακόμα κι αν τα αστέρια συγκλίνουν και αποδειχθεί ότι καθαρίζει τον ιστότοπο από τις βάσεις δεδομένων προστασίας από ιούς, τότε το virustotal "μεγα-πόρων" δεν ενδιαφέρεται καθόλου. Δεν είστε στη βάση δεδομένων του phishtank; Ναι, μην σε νοιάζει, αφού υπήρχε, θα δείξουμε τι είναι. Δεν είσαι στο bit Defender; Δεν πειράζει, θα σας δείξουμε ούτως ή άλλως τι ήταν.
Αντίστοιχα, κάθε λογισμικό ή υπηρεσία που εστιάζει στο virustotal θα δείχνει μέχρι το τέλος του χρόνου ότι όλα είναι άσχημα στον ιστότοπο. Μπορείτε να ραμφίζετε αυτόν τον φτωχό πόρο για μεγάλο χρονικό διάστημα και συστηματικά, και ίσως είστε τυχεροί να βγείτε από εκεί. Αλλά μπορεί να μην είσαι τυχερός.
* Ανάμεσα σε αυτούς που μπλοκάρουν το site, υπήρξε ακόμη και πάροχος fortinet. Και ακόμα δεν έχουμε αφαιρέσει τον ιστότοπο από ορισμένες λίστες ιστότοπων ηλεκτρονικού ψαρέματος.
* Αυτή είναι η πρώτη μου ανάρτηση στο Habré. Δυστυχώς, κάποτε ήμουν απλώς αναγνώστης, αλλά η σημερινή κατάσταση με παρακίνησε να γράψω μια ανάρτηση.
Πηγή: www.habr.com