Nedavno smo se susreli sa situacijom u kojoj je niz antivirusa (Kaspersky, Quuttera, McAfee, Norton Safe Web, Bitdefender i nekoliko manje poznatih) počeo blokirati našu web stranicu. Proučavajući situaciju shvatio sam da je vrlo lako doći na listu za blokiranje, dovoljno je samo nekoliko pritužbi (čak i bez opravdanja). Dalje ću detaljnije opisati problem.
Problem je prilično ozbiljan, jer sada gotovo svaki korisnik ima instaliran antivirusni ili vatrozid. A blokiranje web-mjesta glavnim antivirusnim programom kao što je Kaspersky može učiniti web-mjesto nedostupnim velikom broju korisnika. Želio bih skrenuti pozornost zajednice na problem, jer otvara ogroman prostor za prljave metode suočavanja s konkurencijom.
Neću stavljati link na samu stranicu niti navoditi tvrtku, kako se to ne bi shvatilo kao nekakav PR. Naglasit ću samo da stranica radi po zakonu, tvrtka ima trgovačku registraciju, svi podaci su navedeni na stranici.
Nedavno smo naišli na pritužbe klijenata da je našu stranicu blokirao Kaspersky antivirus kao stranicu za krađu identiteta. Višestruke provjere s naše strane nisu otkrile nikakve probleme na stranici. Podnio sam prijavu putem obrasca na web stranici Kaspersky o lažno pozitivnom antivirusu. Rezultat je bio sljedeći odgovor:
Provjerili smo link koji ste poslali.
Informacije na poveznici predstavljaju prijetnju gubitka korisničkih podataka; lažno pozitivno nije potvrđeno.
Nije dana potvrda da stranica predstavlja prijetnju. Tijekom daljnjeg upita zaprimljen je sljedeći odgovor:
Provjerili smo link koji ste poslali.
Ova domena je dodana u bazu zbog pritužbi korisnika. Poveznica će biti isključena iz antiphishing baza podataka, ali će praćenje biti omogućeno u slučaju ponovljenih pritužbi.
Odavde postaje jasno da je dovoljan razlog za blokiranje sama činjenica prisutnosti barem nekih pritužbi. Pretpostavlja se da je stranica blokirana ako je bilo više od određenog broja pritužbi, a potvrda pritužbe nije potrebna.
U našem slučaju napadači su poslali niz pritužbi. I našem DC-ju, i brojnim antivirusima, i servisima poput phishtanka. Na phishtanku, pritužbe su uključivale samo poveznicu na web mjesto i naznaku da je to web mjesto za krađu identiteta. I to je to, potvrda nije stigla.
Ispostavilo se da možete blokirati neželjene stranice jednostavnim neželjenim pritužbama. Možda čak postoje službe koje pružaju takve usluge. Ako ih nema, jasno će se pojaviti uskoro, s obzirom na jednostavnost ulaska stranice u baze podataka nekih antivirusnih programa.
Želio bih čuti komentare predstavnika tvrtke Kaspersky. Također, volio bih čuti komentare onih koji su se i sami susreli s takvim problemom i koliko je brzo riješen. Možda će netko savjetovati pravne metode utjecaja u takvim situacijama. Za nas je situacija podrazumijevala reputacijske i novčane gubitke, a da ne spominjemo gubitak vremena za rješavanje problema.
Želio bih skrenuti što više pozornosti na situaciju, budući da je svaka stranica ugrožena.
Dodatak.
U komentarima su dali link na zanimljivu objavu HerrDirektora po ovom pitanju. Citirat ću ga
Reći ću vam više - želite li stvoriti probleme za gotovo bilo koje mjesto (dobro, osim velikih, masnih i vrlo poznatih) u 10 minuta?
Dobrodošli u phishtank.
Registriramo 8-10 računa (trebate samo e-mail za potvrdu), odaberete stranicu koja vam se sviđa, dodate je s jednog računa u bazu podataka fishtank-a (da otežate život vlasniku, možete ubaciti nekakvo pismo koje reklamira homoseksualce porn s patuljcima u formu pri dodavanju).
Glasamo za phishing s preostalim računima dok nam ne napišu "Ovo je phish stranica!"
Spreman. Sjedimo i čekamo. Iako, za konsolidaciju uspjeha, možete dodati i http:// i https:// i s kosom crtom na kraju i bez kose crte ili s dvije kose crte. A ako stvarno imate puno vremena, možete dodati i poveznice na stranicu. Za što? Evo zašto:Nakon 6-12 sati, Avast se povlači i preuzima podatke od tamo. Nakon 24-48 sati podaci se šire po kojekakvim “antivirusima” - comodo, bit defender, clean mx, CRDF, CyRadar... Odakle onda jebeni virustotal usisava podatke.
Naravno, NITKO ne provjerava točnost podataka, nikoga nije briga.I kao rezultat toga, većina “antivirusnih” ekstenzija za preglednike, besplatnih antivirusnih programa i drugog softvera počinje psovati navedeno mjesto na sve moguće načine, od crvenih znakova do potpunih stranica koje emitiraju da je to mjesto užasno opasno i da je odlazak tamo poput smrti.
A kako bi očistili te augijeve staje, svaki od ovih “antivirusa” mora pisati tehničkoj podršci. Za SVAKI link! Avast reagira prilično brzo, ostali glupo preklapaju dobro poznati organ.
Ali čak i ako se zvjezdice polože i ako je moguće očistiti web mjesto od antivirusnih baza podataka, tada "mega-resurs" virustotal uopće ne mari. Niste u phishtankovoj bazi podataka? Nema veze, bilo je jednom, pokazat ćemo što je. Niste u bit defenderu? Nema veze, još ćemo pokazati što se dogodilo.
U skladu s tim, bilo koji softver ili usluga koja se fokusira na virustotal će do kraja vremena pokazivati da je na stranici sve loše. Možete provesti dugo vremena sustavno iskapajući ovaj jadni resurs i možda ćete imati sreće da se izvučete odatle. Ali možda nećete biti te sreće.
* Čak je i pružatelj usluga Fortinet bio među onima koji su blokirali stranicu. I još uvijek nismo uklonili web mjesto s nekih popisa web mjesta za krađu identiteta.
* Ovo je moj prvi post na Habréu. Nažalost, prije sam bila samo čitateljica, ali trenutna me situacija potaknula da napišem post.
Izvor: www.habr.com