Филин Лаки
157,44
рейтинг
18 ноября 2015 в 19:23

Разработка → «Красная карточка»: что скрывается за предупреждением о вредоносном ПО? перевод

Привет, Хабр! Если вы пользуетесь Google Chrome или Поиском Google, то вы почти наверняка могли видеть при открытии некоторых сайтов красное предупреждение «Осторожно, вредоносное ПО». Впервые такие сообщения появились в 2006 г.


Актуальное предупреждение о вредоносном ПО на сайте

С их помощью Безопасный просмотр Google защищает пользователей от заражения вредоносным ПО и фишинговых атак.

Страница с подобным предупреждением рассчитана на простых пользователей, которым детали не очень интересны: главное, что их защитили от опасного контента. Но у продвинутых пользователей и владельцев заблокированного ресурса потребности другие: как им узнать, почему сайт считается небезопасным?

Специально для этого мы представляем новый раздел Безопасный просмотр: статус сайта, который находится в Отчете о доступности сервисов и данных. Новый раздел пришел на смену странице диагностики безопасного просмотра. Оптимизированный интерфейс содержит более понятное объяснение проблем, в том числе подробные сведения о сайтах, на которых размещено нежелательное ПО. Мы надеемся, эта новинка будет полезна как продвинутым пользователям, которые осознают все риски, но по каким-либо причинам желают посетить сайт из «опасного списка», так и веб-мастерам.


Отчет о доступности сервисов и данных

Зачастую, сайт считается опасным из-за вредоносного контента, загруженного пользователями, или временного заражения. Как только веб-мастер или владелец сайта удалит такой контент, статус сайта в разделе «Безопасный просмотр» изменится. С помощью нового отчёта вы сможете легко проверить безопасность ваших сайтов: не шалит ли контент, подсовывая пользователям неприятные сюрпризы. Однако, куда надёжнее будет завести учётную запись и прикрепить ваш сайт к инструменту Search Console. В таком случае сообщение об обнаружении вредоносного ПО придёт вам автоматически. То же самое касается и аккаунта в Google Analytics. Уведомление о заражении придёт и туда.


Актуальное предупреждение о фишинговом сайте

Подробнее о поиске и устранении аналогичных проблем мы писали не так давно на хабре. Причины пристального изучения сайта в посте, конечно, отличаются, но методики устранения неполадок схожи.

Мы делаем все, чтобы Интернет был безопасным и удобным. Убедитесь в этом самостоятельно, изучив раздел о статусе сайта в Отчете о доступности сервисов и данных.
Автор: @HabrAndrey Адриенн Портер Фелт (Adrienne Porter Felt), Эмили Шехтер (Emily Schechter), Ке Ван (Ke Wang)
Google
рейтинг 157,44
Филин Лаки

Комментарии (25)

  • +13
    Штука хорошая, но вы заколебали добавлять туда Kickass Torrents.
    • –7
      У ребят с кат.ср было достаточно времени, чтобы решить обнаруженные проблемы. Всё-таки в вопросах обеспечения безопасности массового пользователя мы не идём на компромиссы и рассчитываем на понимание и солидарность как со стороны продвинутых пользователей, так и со стороны владельцев ресурсов.
      • 0
        ничего себе ответ компании
  • +12
    Из-за КДПВ чуть не закрыл хабр.
    • 0
      :) Вот на такой эффект мы не рассчитывали! Читайте, пожалуйста, Хабр, но продолжайте бдительно относиться к предупреждениям.
  • +5
    Есть один политический блог, на котором многие месяцы висела эта табличка. При этом никаких вирусов (по крайней мере при просмотре блога) там не было. Политическая цензура? Происки врагов сайта, которые отправили в Google ложное уведомление о малвари? Кто его теперь знает.
    • +1
      Ни о какой цензуре речи быть не может. Что же касается наличия или отсутствия вирусов или другого зловредного или нежелательного ПО на сайте, Google не принимает решение разместить оповещение на основании чьих-то уведомлений. Они появляются всегда только на основании доскональной проверки. Если бы Вы пример затронутого URL, можно было бы попробовать проанализировать, что действительно имело место.
      • +2
        Доскональной проверки КЕМ/ЧЕМ?
        Насколько беспристрастен проверяющий? Нет ли возможность внести в список запись «по звонку/письму/запросу»?
        Почему нет возможности внести сайт в «белый» список? Если на какой-то из тысяч страничек на сайте есть вирус — ОК, я буду аккуратен, но я опытный пользователь и не буду ничего скачивать с сайта.
        • 0
          Проверка происходит в массе своей автоматически. В исключительных случаях также и вручную. Чуть подробнее здесь: www.google.com/transparencyreport/safebrowsing/?hl=ru
          Вопрос о беспристрастности при автоматической проверке отпадает. При редких ручных проверках действуют механизмы контроля и обеспечения качества. От ошибок не застрахован никто, но мы делаем всё возможное, чтобы находить, выявлять и предотвращать их.
          Непонятно, в какой список надо вносить «по звонку», но если речь о потенциально опасном ресурсе, то сообщить можно тут: www.google.com/safebrowsing/report_badware
          В «белый» список внести нельзя, потому что его просто нет. Ни один сайт гарантировано не защищён от взломов и заражений.
          Если, как в вашем примере, «вирус» или другая опасность присутствует лишь на «одной страничке из тысяч», доступ ко всему ресурсу целиком заблокирован, скорее всего, не будет.
  • +14
    Честно говоря, мне лично не нравится, что какие-то дяди где-то в MS и Google решают абсолютно голословно, что опасно, а что нет, пугая пользователей и уменьшая количество успешных загрузок и установок. Предполагается, чтобы избавиться от позорного клейма, у меня а) мое ПО должно быть подписано ЭЦП (даже если это калькулятор, написанный для трех калек) б) ни в коем случае я не должен пользоваться упаковщиками.
    https://www.google.com/webmasters/tools/security-issues?utm_source=support.google.com/webmasters/&utm_medium=referral&utm_campaign=6155685 ссылка бесполезная. Даже после добавления сайта и его проверки, Google Chrome не дает нормально открывать мои приложения. https://www.dropbox.com/s/0s72iezlte4wvon/wtf.png?dl=0
    • 0
      «Голословно» — очень странно звучит в этом контексте. Все эти решения принимаются на основе имеющихся данных и для защиты пользователей браузера. ЭЦП от Вас никто не требует и упаковщиками Вы можете пользоваться сколько угодно. Делать такие заявления не стоит, сначала не ознакомившись со справкой, например, в отношении нежелательного ПО. Что же касается Вашего примера, подключение к Search Console здесь совершенно ни при чём, и хотя Вам не удалось найти для него применение, я бы не торопился называть этот набор инструментов бесполезным. Если Вы внимательно вчитаетесь в собственный скриншот, то увидите, что предупреждение связано лишь с тем, что о файле не имеется достаточно информации, чтобы считать его безопасным. Пользователь может принять это предупреждение к сведению и продолжить загрузку файла. После того как о файле и его поведении будет получено больше данных, при условии, что это поведение не будет вредоносным, это предупреждение при загрузке исчезнет.
      • +5
        Простите конечно, но Google как раз очень много чего делает «абсолютно голословно». Я понимаю, что браузер его и делает что пожелает (по праву сильного), просто так и говорите, не надо лапшу о заботе вешать. Мнение конечно субъективное.
      • +2
        «Цифровая подпись программы, выданная центром сертификации, действительна и содержит достоверную информацию о производителе». Нет цифровой подписи — не дадут скачать (Chrome) и запустить (Windows). Серч консоль, обратите внимание, на вкладке к Security Issues, которая подтверждает, что с контентом всё ОК. И ссылка туда ведет с ответа вашей https://support.google.com/webmasters/answer/3258249. Мне непонятно, почему я должен платить за воздух, чтобы мои пользователи имели тот пользовательский опыт, который они ожидают получить, выполнив привычные действия. Предупреждение приводит к тому, что большинство пользователей жмет Discard и всё, видел неоднократно. Аналогично и далее в Windows. И к своему ПО я могу предоставить исходный код, или проверить бинарник на virustotal'e, а что может сделать Google?
        «После того как о файле и его поведении будет получено больше данных». Откуда Google собирается получить данную информацию? И главное — скачав и запустив приложение (несмотря ни на что), следующий человек получит всё тоже самое.
        Как пример, если говорить о сайтах и о Chrome, то предупреждение — это когда сверху в адресной строке восклицательный знак горит в районе иконки протокола сайта, информируя, что-то не совсем в порядке, а блокировка — это красный экран с надписью «уходим отсюда!», с маленькой кнопочкой внизу — подробнее и далее — продолжить на свой страх и риск. Почувствуйте разницу, так сказать.
  • +6
    Подскажите, пожалуйста, ситуация следующая:
    — сайт А, в отчете он «не опасен», но есть пометка, что ссылается на опасный сайт Б
    — сайт Б, в отчете он «не опасен», но есть пометка, что ссылается на опасный сайт А
    • 0
      Нестандартная ситуация. Можно её увидеть хотя бы в форме скриншота?
      • 0
        Написал в ЛС
      • 0
        Также интересно попадание в «Some pages on this website install malware on visitors' computers.» ваших собственных доменов типа ajax.googleapis.com и www.googletagmanager.com. Что делать?
        • 0
          Спасибо за подробные примеры!
          По поводу наших доменов ничего делать не нужно. Те страницы, что были определены как устанавливающие зловреды, будут заблокированы – и всё.
  • 0
    Ещё бы в Google Play понятные сообщения об ошибках сделали. А то когда видишь что-то вроде "данный способ оплаты нельзя использовать для покупки (iai)", то поневоле подумаешь: Тзинч бы побрал этих кодеров с их любовью к шифровкам…
    Хоть бы уточняли, на чьей стороне проблема — банка, собственно Google или вообще конкретного приложения.
  • +1
    Здравствуйте. Здорово, что Вы написали этот пост, теперь есть хотя бы куда выслать фидбек. Технология замечательная, но есть несколько нюансов.

    1. Последнее время в консоли разработчика не указывается, какой именно файл стал виновником срабатывания, пишется просто «неопознанное вредоносное ПО», и очень сложно определить, в чем же дело, особенно когда на сайте много user-generated контента. Приходится самостоятельно проверять все ссылки через Safe Browsing, чтобы понять, на какой именно файл идут срабатывания.

    2. Уведомления из консоли разработчика приходят не всегда. Это же касается не только вредоносного ПО, но и, например, удаления из поиска контента по DMCA — удаления бывают гораздо чаще, чем уведомления о них.

    3. Товарищ выше писал про два сайта, которые не опасны, но ссылаются друг на друга, могу привести пример — trashbox.ru и trashbox.mobi. Оба по текущему статусу не опасны, но на странице информации по trashbox.mobi сказано, что «Некоторые страницы на этом сайте перенаправляют пользователей на следующие опасные сайты: trashbox.ru».

    4. Прошлая версия интерфейса была несколько более информативна, потому что там писалось количество таких срабатываний в целом за последние 90 дней, а сейчас все сведено до общего статуса сайта. Постараюсь продемонстрировать на примере, зачем это нужно. Допустим, кто-то залил вредоносный файл на сайт, счетчик срабатываний вырос на единичку, мы этот файл вычислили и удалили. В то же время, если счетчик срабатываний вырос на еденичку, мы прозваниваем все файлы с сайта через safebrowsing, прозваниваем все внешние ссылки — срабатываний нет, это значит, что кто-то из партнеров по рекламе допустил появление в своих баннерных сетях какого-то вредоносного контента. Сейчас же, когда счетчика нет, гораздо сложнее понять масштаб срабатывания, толи это один пользовательский файл, который мы нашли и вычистили, толи это еще и какие-то вещи на рекламе. Раньше, если не совпадал счетчик и количество обнаруженных файлов, мы твердо знали, что кто-то из баннерных сетей не чист на руку (такое бывало), сейчас же стало сложнее с этим бороться.

    В качестве резюме к моему сумбурному рассказу хотелось бы сказать, что мы, в целом, стараемся удалять весь вредоносный контент, задействуем дополнительно проверку через Virustotal всех выложенных файлов по кругу, информируем пользователей, если Вирустотал что-то нашел, но что касается Google Safe Browsing, то хотелось бы больше информации об обнаруженных угрозах, потому что если бы не запрограммированная мной автоматика, которая прозванивает весь контент, мы бы вообще не знали, за что хвататься и что удалять.
    • 0
      Спасибо за подробный фидбек!

      1. Работаем над этим. Сама фича новая, диапазон обнаруживаемого вредоноса и нежелательного ПО расширяется, так что разработчикам инструмента приходится играть в догонялки. Сообщения в нём пока далеки от идеала, но про необходимость расширять набор примеров знают.

      2. Пожалуйста, пример, если можно. Отсутствие уведомления – это не нормально.

      3. Это действительно странно :/ Попробуем выяснить, и если нужно, поправить.

      4. Отличное замечание! По идее, как раз уведомления и примеры должны избавить Вас от необходимости носиться со счётчиком и что-то прозванивать, но это явно не происходит пока. Передам и это разработчикам.

      5. Спасибо, что заботитесь о пользователях! Без них мы все никуда :) В отношении примеров и раскрытия информации, учитывайте только, что при всём огромном желании помогать владельцам и разработчикам ресурсов, нам всё время приходится взвешивать, насколько публикация тех или иных данных облегчает жизнь «плохим парням». Так что, не сердитесь слишком, если информации кажется порой слишком мало – мы будем продолжать искать такой баланс, чтобы добросовестным веб-мастерам было комфортно и удобно работать и решать проблемы, но при этом и особо больших дырок в системе не возникало.
      • 0
        Спасибо за ответы. Только что опять пришло срабатывание, и в отличие от прошлого раза, снова без ссылки, как неопознанное. Но я обнаружил файл своей автоматикой и удалил. Файлик, кстати, лежал с 2014 года, мдамс, какие-то готовые домашние задания в отравленном APK.

        Кстати, я же прозваниваю все внешние ссылки, и за последние пару недель несколько забавных случаев ловил — в бан попадал сайт производителя девайсов EXEQ, на которые у нас в обзорах были ссылки, из каментов сайт tongbu — какой-то китайский маркет приложений и какой-то сайт а образами игр под нинтендо. Самое интересное, что все три сайта уже нормально открываются, то есть их разбанили.
  • +2
    А ammyy, ammyy то за что, изверги? Очень сложно теперь стало с удаленными «бабушками» общаться. Просишь их скачать, а они «Ой, вирус!!!»
  • +5
    А можно добавить исключение в ваш браузер:

    if(user->OS->type == TYPE_UNIX) { shut_up_and_go(); }
    


    А то совершенно невозможно работать.
  • 0
    Андрей, спасибо. Такое ощущение, что Вы отреагировали на мой комментарий выше — только что прилетело срабатывание, и впервые за долгое время в Search Console показывается конкретный объект, а не «неопознанное вредоносное ПО» — это значительно упрощает работу по модерации контента, спасибо.

    Вижу, комментарии в безопасном просмотре стали более суровыми — «С этого сайта на ваш компьютер могут устанавливаться программы, мешающие работе в Интернете». Мдамс=)

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разработка