Pred kratkim smo naleteli na situacijo, ko so številni antivirusi (Kaspersky, Quuttera, McAfee, Norton Safe Web, Bitdefender in nekateri manj znani) začeli blokirati našo spletno stran. Ob preučevanju situacije sem ugotovil, da je zelo enostavno priti na seznam za blokiranje, dovolj je le nekaj pritožb (tudi neutemeljenih). Težavo bom podrobneje opisal.
Težava je precej resna, saj ima zdaj skoraj vsak uporabnik nameščen protivirusni program ali požarni zid. Blokiranje spletnega mesta s strani glavnega protivirusnega programa, kot je Kaspersky, lahko naredi spletno mesto nedostopno za veliko število uporabnikov. Skupnost bi rad opozoril na problem, saj odpira ogromno prostora za umazane metode obračunavanja s konkurenti.
Ne bom dal povezave do same strani ali navedel podjetja, da se to ne razume kot nekakšen PR. Poudaril bom le, da stran deluje po zakonu, podjetje je poslovno registrirano, vsi podatki so navedeni na strani.
Pred kratkim smo naleteli na pritožbe strank, da je naše spletno mesto blokiral protivirusni program Kaspersky kot spletno mesto z lažnim predstavljanjem. Večkratni pregledi z naše strani niso odkrili težav na spletnem mestu. Preko obrazca na spletni strani Kaspersky sem poslal prijavo o lažno pozitivnih rezultatih antivirusa. Rezultat je bil naslednji odgovor:
Preverili smo povezavo, ki ste jo poslali.
Informacije na povezavi predstavljajo grožnjo izgube uporabniških podatkov; lažno pozitiven ni bil potrjen.
Podana ni bila nobena potrditev, da spletno mesto predstavlja grožnjo. Med nadaljnjimi poizvedbami je bil prejet naslednji odgovor:
Preverili smo povezavo, ki ste jo poslali.
Domena je bila dodana v bazo zaradi pritožb uporabnikov. Povezava bo izključena iz podatkovnih baz za zaščito pred lažnim predstavljanjem, vendar bo nadzor omogočen v primeru ponovnih pritožb.
Od tu postane jasno, da je zadosten razlog za blokado že dejstvo, da obstajajo vsaj nekatere pritožbe. Stran je verjetno blokirana, če je bilo pritožb več kot določeno in potrditev pritožbe ni potrebna.
V našem primeru so napadalci poslali številne pritožbe. In našemu DC, številnim antivirusom in storitvam, kot je phishtank. Pri phishtanku so pritožbe vključevale samo povezavo do spletnega mesta in navedbo, da je spletno mesto lažno. In to je to, nobene potrditve ni bilo.
Izkazalo se je, da lahko neželena spletna mesta blokirate s preprosto neželeno pošto. Morda celo obstajajo storitve, ki zagotavljajo takšne storitve. Če jih ni, se bodo jasno pojavili kmalu, glede na enostavnost vnosa spletnega mesta v baze podatkov nekaterih protivirusnih programov.
Rad bi slišal komentarje predstavnikov družbe Kaspersky. Prav tako bi rad slišal komentarje tistih, ki so se sami srečali s takšno težavo in kako hitro je bila odpravljena. Morda bo kdo svetoval pravne metode vpliva v takih situacijah. Za nas je situacija pomenila izgubo ugleda in denarja, da ne omenjam izgube časa za rešitev problema.
Rad bi pritegnil čim več pozornosti na situacijo, saj je vsako spletno mesto ogroženo.
Dodatek.
V komentarjih so navedli povezavo do zanimive objave HerrDirektorja o tem vprašanju. Ga bom citiral
Povedal vam bom več - ali želite v 10 minutah ustvariti težave za skoraj vsako spletno mesto (no, razen velikih, debelih in zelo znanih)?
Dobrodošli v phishtank.
Registriramo 8-10 računov (za potrditev potrebujete samo e-pošto), izberete spletno stran, ki vam je všeč, jo dodate iz enega računa v bazo ribiškega rezervoarja (da otežite življenje lastniku, lahko vstavite kakšno pismo, ki oglašuje geje porno s palčki v obrazec pri dodajanju).
S preostalimi računi glasujemo za lažno predstavljanje, dokler nam ne napišejo "To je spletno mesto za lažno predstavljanje!"
pripravljena Sedimo in čakamo. Čeprav lahko za utrjevanje uspeha dodate tako http:// kot https:// in s poševnico na koncu in brez poševnice ali z dvema poševnicama. In če imate res veliko časa, potem lahko dodate tudi povezave na spletno mesto. Za kaj? Evo zakaj:Po 6-12 urah se Avast potegne in od tam vzame podatke. Po 24-48 urah se podatki razširijo po vseh mogočih “antivirusih” - comodo, bit defender, clean mx, CRDF, CyRadar... Od koder potem presneti virustotal posrka podatke.
Seveda NIHČE ne preverja točnosti podatkov, nikomur ni mar.In kot rezultat, večina "protivirusnih" razširitev za brskalnike, brezplačnih protivirusnih programov in druge programske opreme začne prisegati na določeno spletno mesto na vse možne načine, od rdečih znakov do polnopravnih strani, ki oddajajo, da je spletno mesto strašno nevarno in da gre tja kot smrt.
In da bi očistili te Augejeve hleve, mora vsak od teh "protivirusov" pisati tehnični podpori. Za VSAKO povezavo! Avast reagira precej hitro, ostali neumno zložijo dobro znani organ.
Toda tudi če se zvezdice poravnajo in je spletno mesto mogoče očistiti iz protivirusnih baz podatkov, virusu »mega-vira« sploh ni mar. Ali te ni v phishtankovi bazi? Nič hudega, nekoč je bilo, bomo pokazali, kaj je. Ali nisi v bit defenderju? Ni važno, vseeno vam bomo pokazali, kaj je bilo.
V skladu s tem bo vsaka programska oprema ali storitev, ki se osredotoča na virustotal, do konca časa prikazovala, da je na spletnem mestu vse slabo. Lahko porabite dolgo časa za sistematično kopanje po tem bednem viru in morda boste imeli srečo, da se rešite od tam. Vendar morda ne boste imeli te sreče.
* Med blokiranimi stranmi je bil tudi ponudnik Fortinet. In tega mesta še vedno nismo odstranili z nekaterih seznamov lažnih spletnih mest.
* To je moja prva objava na Habréju. Na žalost sem bil včasih samo bralec, vendar me je trenutna situacija motivirala, da napišem objavo.
Vir: www.habr.com