Recent, ne-am confruntat cu o situație în care o serie de antivirusuri (Kaspersky, Quttera, McAfee, Norton Safe Web, Bitdefender și câțiva mai puțin cunoscuți) au început să ne blocheze site-ul web. Studierea situației m-a făcut să înțeleg că intrarea pe lista blocate este extrem de simplă, doar câteva reclamații (chiar și fără justificare). Voi descrie problema mai detaliat mai târziu.
Problema este destul de gravă, deoarece acum aproape fiecare utilizator are instalat un antivirus sau un firewall. Și blocarea unui site cu un antivirus major precum Kaspersky poate face un site inaccesibil pentru un număr mare de utilizatori. Aș dori să atrag atenția comunității asupra problemei, deoarece deschide un spațiu uriaș pentru metode murdare de a trata concurenții.
Nu voi da un link către site-ul în sine și nici nu voi indica compania, astfel încât să nu fie percepută ca un fel de PR. Voi preciza doar ca site-ul functioneaza conform legii, firma are inregistrare comerciala, toate datele sunt date pe site.
Am întâlnit recent plângeri din partea clienților că site-ul nostru a fost blocat de Kaspersky Anti-Virus ca site de phishing. Verificările multiple din partea noastră nu au scos la iveală nicio problemă pe site. Am depus o cerere prin formularul de pe site-ul Kaspersky despre un antivirus fals pozitiv. Rezultatul a fost un răspuns:
Am verificat linkul pe care l-ai trimis.
Informațiile de pe link reprezintă o amenințare de pierdere a datelor utilizatorului, un fals pozitiv nu a fost confirmat.
Nu a fost oferită nicio dovadă că site-ul reprezintă o amenințare. În urma unor întrebări suplimentare, s-a primit următorul răspuns:
Am verificat linkul pe care l-ai trimis.
Acest domeniu a fost adăugat la baza de date din cauza reclamațiilor utilizatorilor. Link-ul va fi exclus din bazele de date anti-phishing, dar monitorizarea va fi activată în cazul reclamațiilor repetate.
Din aceasta devine clar că un motiv suficient pentru blocare este însuși faptul prezenței cel puțin a unor reclamații. Probabil că site-ul este blocat dacă au existat mai mult de un anumit număr de reclamații și nu este necesară nicio confirmare a reclamației.
În cazul nostru, atacatorii au trimis o serie de plângeri. Și DC-ul nostru, și o serie de antivirusuri și servicii precum phishtank. Pe phishtank, plângerile au inclus doar un link către site și o indicație că site-ul a fost phishing. Și totuși, nu s-a dat nicio confirmare.
Se dovedește că puteți bloca site-urile inacceptabile cu un simplu spam de reclamații. Poate că există chiar și servicii care oferă astfel de servicii. Dacă nu sunt acolo, evident că vor apărea în curând, având în vedere ușurința de a intra pe site în bazele de date ale unor antivirusuri.
Aș dori să aud comentarii de la reprezentanții Kaspersky. De asemenea, aș dori să aud comentarii de la cei care au întâmpinat o astfel de problemă și cât de repede a fost rezolvată. Poate că cineva va sfătui metode legale de influență, în astfel de situații. Pentru noi, situația a presupus pierderi reputaționale și financiare, ca să nu mai vorbim de pierderea de timp pentru rezolvarea problemei.
Aș dori să atrag cât mai mult atenția asupra situației, deoarece orice site este în pericol.
Supliment.
În comentarii au dat un link către o postare interesantă de la HerrDirektor pe această problemă. Îl voi cita
Vă spun mai multe - doriți să creați probleme pentru aproape orice site în 10 minute (bine, cu excepția celor mari, îndrăznețe și foarte celebre)?
Bun venit la phishtank.
Înregistrăm 8-10 conturi (ai nevoie doar de un e-mail pentru confirmare), selectăm site-ul care îți place, îl adăugăm dintr-un cont în baza de date fishtank (pentru a-i îngreuna viața proprietarului, poți pune niște scrisori de publicitate porno gay cu pitici în formă atunci când o adăugați).
Cu conturile rămase, votăm pentru phishing până când ne scrie „Acesta este site-ul de phishing!”.
Gata. Stăm și așteptăm. Deși, pentru a consolida succesul, puteți adăuga atât http:// cât și https:// și cu o bară oblică la sfârșit și fără bară oblică, sau cu două bare oblice. Și dacă există mult timp, atunci pot fi adăugate și link-uri pe site. Pentru ce? Dar de ce:După 6-12 ore, Avast apare și preia date de acolo. După 24-48 de ore, datele se răspândesc prin tot felul de „antivirusuri” - comodo, bit defender, clean mx, CRDF, CyRadar... De unde nenorocitul de virus total suge datele.
Bineînțeles, NIMENI nu verifică acuratețea datelor, toată lumea este dracută profund.Și, ca urmare, majoritatea extensiilor „antivirus” pentru browsere, antivirusuri gratuite și alte programe software încep să înjure site-ul specificat în tot felul de moduri, de la semne roșii la pagini cu drepturi depline care difuzează că site-ul este teribil de periculos și pleacă. acolo ca moartea.
Și pentru a curăța aceste grajduri Augean, fiecare dintre acești „antivirusuri” trebuie să scrie suportului tehnic. Pentru FIECARE link! Avast reacționează destul de repede, restul așează prostesc un organ binecunoscut.
Dar chiar dacă stelele converg și se dovedește a curăța site-ul de bazele de date antivirus, atunci virusului „mega-resurse” nu-i pasă deloc. Nu ești în baza de date a phishtank-ului? Da, nu-ți pasă, odată ce a existat, vom arăta ce este. Nu ești în apărător? Nu contează, oricum îți vom arăta ce a fost.
În consecință, orice software sau serviciu care se concentrează pe virustotal va arăta până la sfârșitul timpului că totul este rău pe site. Poți ciuguli această resursă săracă pentru o lungă perioadă de timp și sistematic și poate vei fi norocos să ieși de acolo. Dar s-ar putea să nu ai noroc.
* Printre cei care blochează site-ul, a existat chiar și un furnizor de fortinet. Și încă nu am eliminat site-ul din unele liste de site-uri de phishing.
* Aceasta este prima mea postare pe Habré. Din păcate, înainte eram doar un cititor, dar situația actuală m-a motivat să scriu o postare.
Sursa: www.habr.com