Við lentum nýlega í aðstæðum þar sem fjöldi vírusvarnar (Kaspersky, Quttera, McAfee, Norton Safe Web, Bitdefender og nokkrir minna þekktir) byrjuðu að loka vefsíðunni okkar. Að rannsaka aðstæður leiddi mig til þess skilnings að það er mjög einfalt að komast á blokkalistann, bara nokkrar kvartanir (jafnvel án rökstuðnings). Ég mun lýsa vandanum nánar síðar.
Vandamálið er nokkuð alvarlegt, þar sem nú eru næstum allir notendur með vírusvörn eða eldvegg uppsettan. Og að loka á síðu með stóru vírusvarnarefni eins og Kaspersky getur gert síðuna óaðgengilega fjölda notenda. Mig langar að vekja athygli samfélagsins á vandanum þar sem það opnar mikið svigrúm fyrir skítugar aðferðir við að eiga við samkeppnisaðila.
Ég mun ekki gefa upp hlekk á síðuna sjálfa eða gefa til kynna fyrirtækið, svo að það yrði ekki litið á það sem einhvers konar PR. Ég vil aðeins benda á að síðan virkar samkvæmt lögum, fyrirtækið er með viðskiptaskráningu, öll gögn eru gefin upp á síðunni.
Við fundum nýlega kvartanir frá viðskiptavinum um að Kaspersky Anti-Virus hafi lokað á síðuna okkar sem vefveiðar. Margar athuganir af okkar hálfu leiddu ekki í ljós nein vandamál á síðunni. Ég lagði inn umsókn í gegnum eyðublaðið á Kaspersky vefsíðunni um falskt jákvætt vírusvarnarefni. Niðurstaðan var svar:
Við skoðuðum hlekkinn sem þú sendir.
Upplýsingar á hlekknum fela í sér hættu á tapi notendagagna, rangt jákvætt hefur ekki verið staðfest.
Engar sannanir hafa verið gefnar fyrir því að ógn stafi af síðunni. Eftir frekari fyrirspurnir barst eftirfarandi svar:
Við skoðuðum hlekkinn sem þú sendir.
Þessu léni var bætt við gagnagrunninn vegna kvartana notenda. Tengillinn verður útilokaður frá gagnagrunnum gegn vefveiðum, en eftirlit verður virkt ef endurteknar kvartanir koma upp.
Af þessu verður ljóst að fullnægjandi ástæða fyrir lokun er sú staðreynd að að minnsta kosti nokkrar kvartanir eru til staðar. Væntanlega er síða lokað ef kvartanir voru fleiri en ákveðinn og ekki þarf að staðfesta kvörtunina.
Í okkar tilviki sendu árásarmennirnir fjölda kvartana. Og DC okkar, og fjöldi vírusvarnar, og þjónustu eins og phishtank. Á phishtank innihéldu kvartanir aðeins hlekk á síðuna og vísbendingu um að vefsíðan væri að vefveiðum. Og þó fékkst engin staðfesting.
Það kemur í ljós að þú getur lokað á gagnrýnisverðar síður með einföldu ruslpósti af kvörtunum. Kannski er jafnvel til þjónusta sem veitir slíka þjónustu. Ef þeir eru ekki til staðar munu þeir augljóslega birtast fljótlega, þar sem auðvelt er að komast inn á síðuna í gagnagrunna sumra vírusvarnar.
Mig langar að heyra athugasemdir frá fulltrúum Kaspersky. Einnig vil ég heyra athugasemdir frá þeim sem sjálfir lentu í slíku vandamáli og hversu fljótt það var leyst. Kannski mun einhver ráðleggja lagalegum áhrifaaðferðum við slíkar aðstæður. Fyrir okkur hafði ástandið í för með sér orðspors- og fjárhagstjón, svo ekki sé minnst á tímatap til að leysa vandann.
Ég vil vekja eins mikla athygli og hægt er á ástandinu þar sem hvaða síða er í hættu.
Viðbót.
Í athugasemdunum gáfu þeir hlekk á áhugaverða færslu frá HerrDirektor um þetta mál. Ég skal vitna í hann
Ég skal segja þér meira - viltu búa til vandamál fyrir næstum hvaða síðu sem er á 10 mínútum (ja, nema stórar, feitletraðar og mjög frægar)?
Velkomin í phishtank.
Við skráum 8-10 reikninga (þú þarft aðeins tölvupóst til staðfestingar), veldu síðuna sem þér líkar, bættu henni af einum reikningi í gagnagrunn fiskabúrsins (til að gera eigandanum lífið erfiðara geturðu sett smá bréfauglýsingu fyrir homma klám með dvergar í formið þegar því er bætt við).
Með reikningunum sem eftir eru kjósum við vefveiðar þar til þeir skrifa okkur „Þetta er vefveiðar!“.
Tilbúið. Við sitjum og bíðum. Þó, til að treysta árangur, geturðu bætt við bæði http:// og https:// og með skástrik í lokin og án skástrik, eða með tveimur skástrikum. Og ef það er mikill tími, þá er líka hægt að bæta við tenglum á síðuna. Til hvers? En afhverju:Eftir 6-12 klukkustundir dregur Avast upp og tekur gögn þaðan. Eftir 24-48 klukkustundir dreifast gögnin í gegnum alls kyns "antivirus" - comodo, bit defender, clean mx, CRDF, CyRadar ... Þaðan sem helvítis vírusinn sýgur gögnin.
Auðvitað athugar ENGINN nákvæmni gagnanna, allir eru djúpt helvíti.Og fyrir vikið byrja flestar „vírusvarnarviðbætur“ fyrir vafra, ókeypis vírusvörn og annan hugbúnað að blóta tilgreindri síðu á alls kyns vegu, allt frá rauðum skiltum til fullgildra síðna sem senda út um að síðan sé hræðilega hættuleg og fara þar eins og dauði.
Og til að hreinsa til í þessum Augean hesthúsum þarf hver þessara „vírusvarna“ að skrifa til tækniaðstoðar. Fyrir ALLA hlekki! Avast bregst nokkuð hratt við, hinir leggja heimskulega frá sér þekkt orgel.
En jafnvel þó að stjörnurnar renni saman og það reynist hreinsa síðuna úr vírusvarnargagnagrunnum, þá er „mega-auðlind“ vírusatalinu alveg sama. Ertu ekki í gagnagrunni phishtank? Já, ekki sama, þegar það var, munum við sýna hvað er. Ertu ekki í bit varnarmanni? Það skiptir ekki máli, við sýnum þér hvað það var samt.
Í samræmi við það mun sérhver hugbúnaður eða þjónusta sem einbeitir sér að virustotal sýna allt til enda tímans að allt er slæmt á síðunni. Þú getur goggað þessa lélegu auðlind í langan tíma og skipulega og kannski verður þú heppinn að komast þaðan. En þú gætir ekki verið heppinn.
* Meðal þeirra sem loka á síðuna var meira að segja fortinet-veita. Og enn höfum við ekki fjarlægt síðuna af sumum listum yfir vefveiðar.
* Þetta er fyrsta færslan mín á Habré. Því miður var ég bara lesandi, en núverandi ástand hvatti mig til að skrifa færslu.
Heimild: www.habr.com