Nedávno sme sa stretli so situáciou, kedy nám množstvo antivírusov (Kaspersky, Quuttera, McAfee, Norton Safe Web, Bitdefender a niekoľko menej známych) začalo blokovať náš web. Štúdium situácie ma priviedlo k pochopeniu, že dostať sa na blokovaný zoznam je veľmi jednoduché, stačí len pár sťažností (aj bez opodstatnenia). Problém popíšem podrobnejšie.
Problém je dosť vážny, pretože v súčasnosti má takmer každý používateľ nainštalovaný antivírus alebo firewall. A blokovanie stránky veľkým antivírusom, akým je Kaspersky, môže spôsobiť, že stránka bude nedostupná pre veľký počet používateľov. Chcel by som upriamiť pozornosť komunity na problém, pretože otvára obrovský priestor pre špinavé metódy jednania s konkurentmi.
Nebudem uvádzať odkaz na samotnú stránku ani uvádzať spoločnosť, aby to nebolo vnímané ako nejaké PR. Len podotknem, že stránka funguje podľa zákona, spoločnosť má obchodnú registráciu, všetky údaje sú uvedené na stránke.
Nedávno sme sa stretli so sťažnosťami klientov, že našu stránku zablokoval antivírus Kaspersky ako phishingovú stránku. Viacnásobné kontroly z našej strany neodhalili žiadne problémy na stránke. Prostredníctvom formulára na webovej stránke Kaspersky som podal správu o falošne pozitívnom náleze antivírusu. Výsledkom bola nasledujúca odpoveď:
Skontrolovali sme odkaz, ktorý ste nám poslali.
Informácie na odkaze predstavujú hrozbu straty používateľských údajov, falošný poplach sa nepotvrdil.
Nebolo poskytnuté žiadne potvrdenie, že stránka predstavuje hrozbu. Počas ďalších vyšetrovaní sme dostali nasledujúcu odpoveď:
Skontrolovali sme odkaz, ktorý ste nám poslali.
Táto doména bola pridaná do databázy na základe sťažností používateľov. Odkaz bude vyradený z antiphishingových databáz, ale bude umožnený monitoring v prípade opakovaných sťažností.
Odtiaľ je zrejmé, že dostatočným dôvodom na zablokovanie je samotná skutočnosť prítomnosti aspoň niektorých sťažností. Stránka je pravdepodobne zablokovaná, ak existuje viac ako určitý počet sťažností a nevyžaduje sa žiadne potvrdenie sťažnosti.
V našom prípade útočníci poslali množstvo sťažností. A do nášho DC a do množstva antivírusov a do služieb ako phishtank. Sťažnosti týkajúce sa phishtanku obsahovali iba odkaz na stránku a označenie, že stránka bola phishingovou stránkou. A to je všetko, nebolo vydané žiadne potvrdenie.
Ukázalo sa, že nežiaduce stránky môžete blokovať jednoduchým spamom sťažností. Môžu dokonca existovať služby, ktoré takéto služby poskytujú. Ak tam nie sú, čoskoro sa jasne objavia, vzhľadom na ľahké zadanie stránky do databáz niektorých antivírusov.
Chcel by som počuť komentáre zástupcov spoločnosti Kaspersky. Tiež by som chcel počuť komentáre od tých, ktorí sa sami stretli s takýmto problémom a ako rýchlo bol vyriešený. Možno niekto poradí legálne spôsoby ovplyvňovania v takýchto situáciách. Situácia pre nás znamenala reputačné a peňažné straty, nehovoriac o strate času na vyriešenie problému.
Chcel by som na situáciu čo najviac upozorniť, keďže každá stránka je ohrozená.
Doplnenie.
V komentároch uviedli odkaz na zaujímavý príspevok od HerrDirektor o tejto problematike. Budem ho citovať
Poviem vám viac - chcete za 10 minút vytvoriť problémy pre takmer akúkoľvek stránku (okrem veľkých, tučných a veľmi známych)?
Vitajte vo phishtanku.
Registrujeme 8-10 účtov (potrebujete iba e-mail na potvrdenie), vyberte stránku, ktorá sa vám páči, pridajte ju z jedného účtu do databázy fishtank (na sťaženie života majiteľa môžete vložiť nejaký druh listovej reklamy gay porno s trpaslíkmi do formy pri pridávaní).
So zostávajúcimi účtami hlasujeme za phishing, kým nám nenapíšu „Toto je phish stránka!“
Pripravený. Sedíme a čakáme. Aj keď na upevnenie úspechu môžete pridať http:// aj https:// a s lomkou na konci a bez lomky alebo s dvoma lomkami. A ak máte naozaj veľa času, potom môžete na stránku pridať aj odkazy. Prečo? Tu je dôvod:Po 6-12 hodinách sa Avast zdvihne a vezme odtiaľ údaje. Po 24-48 hodinách sa dáta rozšíria cez najrôznejšie “antivírusy” – comodo, bit defense, clean mx, CRDF, CyRadar... Odkiaľ potom ten skurvený virustotal dáta vysáva.
Samozrejme, NIKTO nekontroluje správnosť údajov, nikomu to nedá.Výsledkom je, že väčšina „antivírusových“ rozšírení pre prehliadače, bezplatné antivírusové programy a ďalší softvér začne na špecifikovanej stránke nadávať všetkými možnými spôsobmi, od červených značiek až po plnohodnotné stránky, ktoré vysielajú, že stránka je strašne nebezpečná a že tam ide. ako smrť.
A aby sa tieto Augeovské stajne vyčistili, každý z týchto „antivírusov“ musí napísať technickú podporu. Za KAŽDÝ odkaz! Avast reaguje celkom rýchlo, zvyšok hlúpo poskladá známy organ.
Ale aj keď sa hviezdy zarovnajú a je možné vyčistiť stránku od antivírusových databáz, potom je vírus „mega-zdroj“ celkom jedno. Nie si v databáze phishtanku? Nevadí, raz to tu bolo, ukážeme, čo to je. Nie si v bitovom obrancovi? Nevadí, aj tak ukážeme, čo sa stalo.
Preto každý softvér alebo služba, ktorá sa zameriava na virustotal, bude až do konca času ukazovať, že na stránke je všetko zlé. Môžete stráviť dlhý čas systematickým prebíjaním sa tohto úbohého zdroja a možno budete mať šťastie, že sa odtiaľ dostanete. Ale možno nebudete mať také šťastie.
* Dokonca aj poskytovateľ Fortinet bol medzi tými, ktorí blokovali stránku. A stále sme túto stránku neodstránili z niektorých zoznamov phishingových stránok.
* Toto je môj prvý príspevok na Habré. Žiaľ, kedysi som bol len čitateľ, ale momentálna situácia ma motivovala k napísaniu príspevku.
Zdroj: hab.com