Начнем с того, что Гугл считает сомнительным даже самого себя, не говоря уже о других крупных проектах.

Все они заражены, по мнению Гугла...

Google.com

Facebook.com

Liveinternet.ru

На первом скриншоте Гугл сообщает, что он за последние 90 дней заразил 145 сайтов. Это вызывает вопросы у пользователей нашего проекта antivirus-alarm.ru, и наш кроличий долг — ответить на них.

Вирусы на сайтах — это более сложная для обнаружения вещь, чем вирусы на локальных компьютерах. На то есть технические причины: вирус «сидит» на сервере, а «работает» у клиента, при открытии сайта в броузере. Серверный антивирус (который ставят редко) конролирует только сервер. Обычный антивирус контролирует клиентский компьютер. И нет какого-то механизма, который бы контролировал все звенья этой цепочки.

 Возможно, в будущем появятся комбинированные антивирусы, которые будут стоять и на сервере, и в клиенском компьютере, и общаться друг с другом.

 Тогда будет так: заходит посетитель на зараженный сайт, и у него не только срабатывает оповещение о вирусе, а идет обращение к серверному антивирусу, и тот уже в свою очередь находит проблему и сообщает в техподдержку сайта.

Но пока системных, действенных решений в этой области нет, остаются компромиссы.

Первый вариант — обнаружение по коду. Есть типичные для вирусов способы «запрятывания» вредоносного кода, его шифрования. Правда, эти же шифрования часто применяются и в обычных нормальных скриптах. Отсюда и невысокая эффективность обнаружения по коду: часто ложно срабатывает и часто пропускает вирус.

Второй вариант — общественное мнение. Пользователи сообщают, на каких сайтах сработали их клиенские антивирусы. Иногда такие сообщения умеют отправлять и сами антивирусные программы — и это шаг вперед. Из адресов этих сайтов формируются черные списки (блэклист).

Черных списков множество, это отдельная тема. Остановимся на том блэклисте, который использует Гугл. Его ведет организация stopbadware.org (использующая также ряд других доменов). Они собирают информацию отовсюду, где только можно. И у самого Гугла, и у всех остальных партнеров есть «стучалки», и вовсю работает принцип «тут-тук, я ваш друг»:

 — здесь любой может пожаловаться на phishing:
http://www.google.com/safebrowsing/report_phish/?continue=http%3A%2F%2Fwww.google.com%2Ftools%2Ffirefox%2Ftoolbar%2FFT2%2Fintl%2F%3Clang%3E%2Fsubmit_success.html&hl=ru

— а здесь — реабилитироваться от phishing:
http://www.google.com/safebrowsing/report_error/?continue=http%3A%2F%2Fwww.google.com%2Ftools%2Ffirefox%2Ftoolbar%2FFT2%2Fintl%2F%3Clang%3E%2Fsubmit_success.html&hl=ru

 То же самое по вирусам на сайтах:

 — пожаловаться на вирусы (чтобы заблэклистили):
https://badwarebusters.org/community/submit

— реабилитироваться (де-блэклист):
http://www.stopbadware.org/home/reviewinfo

 Очевидно, что такие «стучалки» могут использоваться конкурентами любого сайта в их гнусных целях. Это беда, потому что блэклист — быстрая автоматизированная операция, а де-блэклист долгая процедура с ручным рассмотрением заявки. Они деблэклистят более 100 сайтов в день, реабилитируя 20% сайтов, попавших в их черный список.

 Блэклист — страшнее DDos, поскольку никто не может успешно ддосить долгое время (фильтры забанят ботнет), а вот блэклист — это надолго. И, в отличие от DDos, ещё и дает пятно на репутацию сайта, даже преданные постоянные посетители просто боятся потом заходить.

 Подтверждением того, как пока сыра вся эта система и какие сильные перекосы есть в её работе, как раз является приведенная выше страница диагностики для google.com. Для тех, кому все же хочется понять, как именно, — очень просто, кто-то настучал на страницу, содержащую вирусную ссылку. Например, по ситуации, описанной в другой нашей статье. Кто-то кликнул объявление в Adwords, ему выскочило предупреждение его антивирусной программы, он его скопировал и послал в стучалку, указав в качестве урла гугловский, поисковую строку. Чтобы разобрались. А система рада стараться, заблэклистила это дело как только набралась нужная масса таких стуков. Возможны варианты, не обязательно в точности так все было — мы просто обрисовали сам принцип, а в действительности есть ещё много деталей.

Ещё один пример: однажды все форумы Рунета, как один, оказались в черном списке Гугла, да и Яндекса, причем пометка у всех отображалась в результатах поиска. Причина — кто-то загрузил на общедоступный фотохост radikal.ru картинку с кодом, напоминающим эксплойт. Это мог быть и не хакер, просто человек где-то нашел картинку и захотел вставить её в пост форума. (Менее вероятно — вирусный код был в рекламе, размещенной в партнерке на «Радикале» по заказу хакера). В результате домен этого фотохостинга попал в блэклист. И тут же в блэклист попали тысячи сайтов и форумов ... Читать дальше »