Nedávno sme sa stretli so situáciou, keď niekoľko antivírusových programov (Kaspersky, Quttera, McAfee, Norton Safe Web, Bitdefender a niekoľko menej známych) začalo blokovať našu webovú stránku. Pri skúmaní situácie som si uvedomil, že zablokovanie je mimoriadne jednoduché – stačí pár sťažností (aj bezdôvodne). Problém podrobnejšie opíšem nižšie.
Toto je vážny problém, pretože takmer každý používateľ má teraz nainštalovaný antivírus alebo firewall. Blokovanie webovej stránky pomocou významného antivírusového programu, ako je Kaspersky, môže spôsobiť, že bude neprístupná veľkému počtu používateľov. Chcel by som upriamiť pozornosť komunity na tento problém, pretože otvára obrovské príležitosti pre škodlivé taktiky proti konkurencii.
Nebudem uvádzať odkaz na samotnú webovú stránku ani identifikovať spoločnosť, aby to nebolo vnímané ako nejaký PR ťah. Len poukážem na to, že stránka funguje legálne, spoločnosť je registrovaná ako obchodná spoločnosť a všetky informácie sú uvedené na webovej stránke.
Nedávno sme dostali sťažnosti od zákazníkov, že naša webová stránka je blokovaná programom Kaspersky Anti-Virus ako phishingová stránka. Viaceré kontroly z našej strany neodhalili žiadne problémy. Nahlásil som falošne pozitívny výsledok prostredníctvom formulára na webovej stránke spoločnosti Kaspersky. Toto je odpoveď, ktorú som dostal:
Skontrolovali sme odkaz, ktorý ste poslali.
Informácie v odkaze predstavujú riziko straty používateľských údajov; falošne pozitívny výsledok sa nepotvrdil.
Nebolo potvrdené, že stránka predstavuje hrozbu. Ďalšie vyšetrovanie viedlo k nasledujúcej odpovedi:
Skontrolovali sme odkaz, ktorý ste poslali.
Vzhľadom k doména bol pridaný do databázy na základe sťažností používateľov. Odkaz bude odstránený z anti-phishingových databáz, ale monitorovanie bude povolené pre opakované sťažnosti.
Z toho je jasné, že samotná existencia akýchkoľvek sťažností je dostatočným dôvodom na blokovanie. Pravdepodobne je stránka zablokovaná, ak existuje viac ako určitý počet sťažností, a nie je potrebné žiadne potvrdenie sťažnosti.
V našom prípade útočníci poslali niekoľko sťažností – do nášho dátového centra, do niekoľkých antivírusových programov a do služieb ako Phishtank. Sťažnosti na Phishtank obsahovali iba odkaz na webovú stránku a vyhlásenie, že ide o phishing. A to bolo všetko; neboli predložené žiadne dôkazy.
Takže je možné blokovať nechcené webové stránky jednoducho rozosielaním spamových sťažností. Možno dokonca existujú služby, ktoré takéto služby ponúkajú. Ak ešte neexistujú, určite sa čoskoro objavia, vzhľadom na to, aké jednoduché je pridať webovú stránku do niektorých antivírusových databáz.
Rád by som počul komentáre od zástupcov spoločnosti Kaspersky. Tiež by som rád počul názory kohokoľvek, kto sa s týmto problémom stretol a ako rýchlo bol vyriešený. Možno by niekto mohol odporučiť právne riešenia v takýchto situáciách. Pre nás táto situácia viedla k stratám na reputácii a financiách, nehovoriac o čase, ktorý trvalo vyriešenie problému.
Chcel by som na situáciu upriamiť čo najviac pozornosti, keďže každé miesto je ohrozené.
Doplnenie.
V komentároch bol odkaz na zaujímavý príspevok od používateľa HerrDirektor. k tejto otázke. Budem ho citovať.
Poviem vám viac - chcete za 10 minút vytvoriť problémy pre takmer akúkoľvek webovú stránku (okrem veľkých, tučných a veľmi známych)?
Vitajte na stránke Phishtank.
Zaregistrujte 8-10 účtov (na potvrdenie budete potrebovať iba e-mail), vyberte si stránku, ktorá sa vám páči, a pridajte ju z jedného účtu do databázy akvária (aby ste majiteľovi veci sťažili, môžete do formulára pri pridávaní zahrnúť e-mail s reklamou na gay porno s trpaslíkmi).
Zvyšné účty používame na hlasovanie o phishingu, kým nám nepovedia „Toto je phishingová stránka!“.
Hotovo. Počkajme si. Na upevnenie úspechu však môžete pridať http:// a https://, s koncovou lomkou alebo bez nej, alebo s dvoma lomkami. A ak naozaj máte čas, môžete pridať aj odkazy na stránku. Prečo? Tu je dôvod:Po 6 – 12 hodinách príde Avast a dáta odtiaľ vezme. Po 24 – 48 hodinách sa dáta rozšíria medzi všetky možné „antivírusy“ – Comodo, Bit Defender, Clean MX, CRDF, CyRadar... Odkiaľ ich potom ten prekliaty VirusTotal vysaje.
Samozrejme, NIKTO nekontroluje presnosť údajov, nikomu to nevadí.Výsledkom je, že väčšina „antivírusových“ rozšírení prehliadača, bezplatných antivírusov a iného softvéru sa začína sťažovať na zadanú stránku všetkými možnými spôsobmi, od červených značiek až po plnohodnotné stránky, ktoré vysielajú, že stránka je strašne nebezpečná a jej návšteva sa rovná smrti.
A aby sa tento Augieov neporiadok vyriešil, každý z týchto „antivírusov“ musí kontaktovať technickú podporu. Na KAŽDÝ odkaz! Avast reaguje pomerne rýchlo, zatiaľ čo ostatné jednoducho skolabujú.
Ale aj keby sa hviezdy zhodli a podarilo by sa nám vyčistiť stránku z antivírusových databáz, „mega-zdroj“ VirusTotal na tom vôbec nezáleží. Nie v databáze Phishtanku? Koho to zaujíma, veď ste tam raz boli, ukážeme vám, že ste tam stále. Nie v Bit Defenderi? Žiadny problém, stále vám ukážeme, že ste tam boli.
Preto akýkoľvek softvér alebo služba, ktorá sa spolieha na VirusTotal, bude navždy ukazovať, že stránka má problémy. Môžete systematicky hackovať tento úbohý zdroj dlhý čas a možno budete mať aj šťastie a dostanete sa z neho. Ale možno nie.
* Dokonca aj poskytovateľ internetových služieb Fortinet bol medzi tými, ktorí blokovali stránku. A stále sme stránku neodstránili z niektorých zoznamov phishingových stránok.
*Toto je môj prvý príspevok na Habr. Bohužiaľ, predtým som bol len čitateľom, ale súčasná situácia ma motivovala k napísaniu príspevku.
Zdroj: hab.com
