Wy hawwe koartlyn in situaasje tsjinkaam wêrby't in oantal antyvirussen (Kaspersky, Quuttera, McAfee, Norton Safe Web, Bitdefender en ferskate minder bekende) ús webside begon te blokkearjen. It studearjen fan 'e situaasje late my te begripen dat it ekstreem maklik is om op' e blokkearjende list te kommen; mar in pear klachten (sels sûnder rjochtfeardiging) binne genôch. Ik sil beskriuwe it probleem yn mear detail fierder.
It probleem is frij serieus, om't no hast elke brûker in antivirus of firewall hat ynstalleare. En it blokkearjen fan in side troch in grutte antivirus lykas Kaspersky kin de side net tagonklik meitsje foar in grut oantal brûkers. Ik wol graach de oandacht fan 'e mienskip op it probleem lûke, om't it enoarme romte iepenet foar smoarge metoaden fan omgean mei konkurrinten.
Ik sil gjin keppeling nei de side sels leverje of it bedriuw oanjaan, sadat dit net as in soarte fan PR wurdt waarnommen. Ik sil allinich oanjaan dat de side wurket neffens de wet, it bedriuw hat kommersjele registraasje, alle gegevens wurde op 'e side jûn.
Wy tsjinkamen koartlyn klachten fan kliïnten dat ús side waard blokkearre troch Kaspersky antivirus as in phishing-side. Meardere kontrôles fan ús kant hawwe gjin problemen op 'e side iepenbiere. Ik haw in rapport yntsjinne fia in formulier op 'e webside fan Kaspersky oer in falsk posityf fan it antyvirus. It resultaat wie de folgjende reaksje:
Wy hawwe de keppeling kontrolearre dy't jo stjoerd hawwe.
De ynformaasje oer de keppeling foarmje in bedriging fan ferlies fan brûkersgegevens; in falsk posityf is net befêstige.
Gjin befêstiging waard jûn dat de side in bedriging foarmet. By fierdere ûndersiken is it folgjende antwurd ûntfongen:
Wy hawwe de keppeling kontrolearre dy't jo stjoerd hawwe.
Dit domein is tafoege oan de databank fanwegen brûkersklachten. De keppeling sil útsletten wurde fan 'e anty-phishing-databases, mar tafersjoch sil ynskeakele wurde yn gefal fan werhelle klachten.
Fan hjirút wurdt dúdlik dat in genôch reden foar blokkearjen it feit is fan 'e oanwêzigens fan op syn minst guon klachten. Nei alle gedachten de side is blokkearre as der west hawwe mear as in bepaald oantal klachten, en gjin befêstiging fan de klacht is nedich.
Yn ús gefal hawwe de oanfallers in oantal klachten stjoerd. En nei ús DC, en nei in oantal antyfirussen, en oan tsjinsten lykas phishtank. Op phishtank befette klachten allinich in keppeling nei de side, en in oanwizing dat de side in phishing-side wie. En dat is it, gjin befêstiging waard jûn.
It docht bliken dat jo net winske siden kinne blokkearje mei ienfâldige klacht-spam. D'r kinne sels tsjinsten wêze dy't sokke tsjinsten leverje. As se der net binne, sille se gau dúdlik ferskine, sjoen it gemak fan it ynfieren fan 'e side yn' e databases fan guon antiviruses.
Ik wol graach reaksjes fan Kaspersky-fertsjintwurdigers hearre. Ek wol ik reaksjes hearre fan dyjingen dy't sels sa'n probleem tsjinkamen en hoe fluch it oplost is. Miskien sil immen yn sokke situaasjes juridyske metoaden fan ynfloed advisearje. Foar ús, de situaasje meibringt reputaasje en monetêre ferliezen, net te hawwen oer it ferlies fan tiid om it probleem op te lossen.
Ik soe graach lûke safolle mooglik omtinken foar de situaasje, sûnt eltse side is yn gefaar.
Tafoeging.
Yn 'e opmerkings joegen se in keppeling nei in nijsgjirrige post fan HerrDirektor oer dizze kwestje. Ik sil him sitearje
Ik sil jo mear fertelle - wolle jo problemen meitsje foar hast elke side (goed, útsein foar grutte, dikke en heul bekende) yn 10 minuten?
Wolkom by phishtank.
Wy registrearje 8-10 akkounts (jo hawwe allinich in e-post nedich foar befêstiging), selektearje de side dy't jo wolle, foegje it fan ien akkount ta oan 'e fishtank-database (om it libben dreger te meitsjen foar de eigner, kinne jo in soarte fan letterreklame ynfoegje porno mei dwergen yn 'e foarm by it tafoegjen).
Wy stimme foar phishing mei de oerbleaune akkounts oant se ús skriuwe "Dit is phish-side!"
Klear. Wy sitte en wachtsje. Hoewol, om sukses te konsolidearjen, kinne jo sawol http:// en https:// tafoegje en mei in slash oan 'e ein en sûnder in slash, of mei twa slashes. En as jo echt in protte tiid hawwe, dan kinne jo ek keppelings tafoegje op 'e side. Foar wat? Hjir is wêrom:Nei 6-12 oeren lûkt Avast op en nimt de gegevens dêrwei. Nei 24-48 oeren fersprieden de gegevens oer allerhanne "antiviruses" - comodo, bitferdigener, skjinne mx, CRDF, CyRadar ... Fan wêr't it ferdomme firustotaal dan de gegevens opsûpt.
Fansels kontrolearret NIEMMEN de krektens fan 'e gegevens, gjinien jout in dam.En as gefolch, de measte "antivirus" tafoegings foar browsers, frije anty-firus en oare software begjinne te swarren op de opjûne side op allerhanne manieren, fan reade buorden oant folsleine siden dy't útstjoere dat de side is ferskriklik gefaarlik en gean dêr is lykas dea.
En om dizze Augeanske stâlen te wiskjen, moat elk fan dizze "antiviruses" skriuwe nei technyske stipe. Foar ELKE keppeling! Avast reagearret frij fluch, de rest falt dom it bekende oargel.
Mar sels as de stjerren alignearje en it mooglik is om de side te skjin te meitsjen fan 'e antivirus-databases, dan makket it totaal fan' e "mega-boarne" firus hielendal net út. Binne jo net yn 'e database fan phishtank? Neat, it wie der ienris, wy sille sjen litte wat it is. Binne jo net in bytsje ferdigener? It makket neat út, wy sille noch sjen litte wat der bard is.
Dêrtroch sil elke software of tsjinst dy't rjochtet op firustotal oant it ein fan 'e tiid sjen litte dat alles min is op' e side. Jo kinne besteegje in lange tiid systematysk hammering fuort op dizze jammerdearlike boarne en miskien silst wêze gelok om te kommen út dêr. Mar jo meie net sa gelok.
* Sels de Fortinet-provider wie ûnder degenen dy't de side blokkearje. En wy hawwe de side noch altyd net fuortsmiten fan guon listen mei phishing-siden.
* Dit is myn earste post op Habré. Spitigernôch wie ik eartiids gewoan in lêzer, mar de hjoeddeistige situaasje motivearre my om in post te skriuwen.
Boarne: www.habr.com