Antivírus blog

vírusok, férgek, botnetek, kártevők

40 ezer kártékony Google oldal hopp

2007. november 30. 12:48 - Csizmazia Darab István [Rambo]

Nem hagyták szó, illetve cselekedet nélkül a kártevő gyanús keresési találatokat, ezekről legutóbb a Sunbelt blogjában, illetve a magyar SpamBlogban olvashattunk. Az biztos, hogy az RBN és hasonló rosszindulatú hackerek manipulált reklámjai miatt tényleg kellett már valamit tenni, ezt a részét aláírom.



A Google most több, mint 40 ezer kártékony oldalt vett ki az indexükből. Örvendetes, hogy ilyen lépések történnek, teljesen jogos a dolog. A további nagy kérdés lehet, hogy később mindez mennyi idő alatt, milyen minőségben és hatékonysággal történik. Milyen hibaszázalékkal mondja majd egy-egy oldalra, hogy káros vagy nem káros? Akit érdekel - és ez itt a reklám helye - a PC World következő számában a Google és a MetaSploit segítségével kártékony kódokra vadásztunk, az útikalauz és a vadászzsákmány az újság hamarosan megjelenő decemberi kiadásában található.



Vegyünk akkor egy példát! Nézzük meg a keresésnél a "szalacsi video" szavakat - ezúton köszi Rita :-) - a találatokat. Azon már fent sem akadok, hogy a kereső Ikeásan letegez, pedig nem szórtunk együtt homokot a tökünkre az óvodában, míg ezzel szemben az AdSense oldalon a nagy komoly "Keressen pénzt webhelyének... pamparam" felirat önözve-magázva fogad.





A Szalacsi videokat, képeket bemutató oldalra sem az ESS, sem más biztonsági programom nem jelzett, az oldal forrásában csak veszélytelen IFRAME taget láttam, és a videok sem kértek semmilyen kodekletöltést, ami ugye már helyből gyanús lehetne.





Ellenpéldaként keressünk rá a "divocodec" szóra, vajon megjelenik-e "Az oldal káros lehet a számítógéped számára" figyelmeztetés? Az persze nem, erre nem jelez, akár jöhetne is szerinte.




Hát érdekes ez a gyanús oldal - nem gyanús oldal dolog, annyi szent. Kicsit nehéz átlátni, mennyit könnyít rajtunk a fent említett nagytakarítás? Terelgetve vagyunk valamilyen szinten, szeressük mégis a kártékony, trójait tartalmazó divocodecet, viszont a Szalacsi hívők keressenek magunknak más elfoglaltságot? A világért sem akarnám lebecsülni a weboldalakkal terjedő fertőzéseket, de ugye nem akar Orwellkedni (ejh de szép szó is ez :-) rajtunk senki? Aki a témában olvasni szeretne, annak jószívvel ajánlom a Herbert Schiller: Tudatipar made in USA című könyvet, igen-igen tanulságos.



Egyébként az elgépeléses weboldalaknak is nagy hagyománya van, oda pedig nem a keresőn keresztül jutunk el. A weboldalakat hosztoló cégtől, illetve országtól függően ugye nehéz kiiktatni az ilyen káros oldalakat (pl. konkrét URL említése nélkül igen "érdekes" oldalakra lehet eljutni az astalavista elgépelt formáival :-O), ezért valószínűleg könnyebb a megszüntetés helyett az ilyen korlátozó lépés.

Nekem még az is furcsaság, hogy miért nem link az is, ha mégiscsak megnézném a nem javasolt oldalt? Miért kell nekem ehhez kopi-pasztázni (höhö, ma úgy látszik nyelvújító napot tartunk :-)? Talán az egyszerűbb lelkű juzereket akarják távoltartani a véletlen kattintástól? Na és persze az is elgondolkodtató, hol vannak azok az oldalak, amiket a Google nem ismer, nem indexel - állítólag a neten ezek vannak többen, sokak szerint mi csak a jéghegy csúcsát látjuk.



Mivel az internet szerencsére szabad, rövid úton - most jósolok, kezemben az üveggömb - megjelennek az újabb keresők, amik csak a Googlenél nemszereplő találatokat listázzák ki vagy pedig azokkal együtt ezeket _IS_ megmutatják. Ugye mindenki emlékszik a McAfee Site Advisorral kapcsolatos korábbi bejegyzésre, ahol több neves site is - igaz csak időlegesen - de a negatív kategóriába esett? Jöjjön most egy kis gondolatkísérlet! Mi fog történni, ha valaki hasonlót próbálna bevezetni, mint Kínában a Nagy Tűzfal, amivel Tajvanról, és más nem kívánatos oldalaktól akarják távoltartani az ottani nagyérdeműt? Mi történik majd egy választásnál, ha az egyik párt oldala - minő véletlen - éppen elérhetetlen lesz például a kampány időszak alatt, ki szabályoz majd és ki dönt (Bizottság Együttes rulez:-) az indexben maradásról vagy az onnan kikerülésről, no és ki ellenőrzi azt? Úgy kell kelljünk mostantól reggelenként, hogy rendre  megnézzük, nincs-e valamelyik oldalunk éppen feketelistán (hehe, indexen van, ezért nincs az indexben)? Belekerül-e a Dalai Láma oldala vagy a Kuruc.info? És mi történne egy a Google érdekeit veszélyeztető vagy konkurens cég oldalának besorolásával, pagerankjével, ha valaki visszaélne a malware veszélyre hivatkozva, és egy laza csuklómozdulattal kivenné? Persze tudom, ezzel már nagyon is a teoretikus kérdések vizére eveztünk sajkánkkal, de azért a lényeg mégis az "Érdek a világ ura" elv, ugyanis ez mozgatta és ez mozgatja a szálakat mindig.



Remélem nem sértek szerzői jogot a közléssel, van egy ideillő szuper kis idézet, a régi időkben megjelent scifi történet az általam nagyon kedvelt Szentmihályi Szabó Pétertől (101 mini scifi - 1988, Füles Mellényzsebkönyvtára), a "Hatalom természete címmel". Rövid, de velős (sajnos már nem kapni ezt a könyvecskét). Bill Gatestől kezdve minden nagy cég és ország vezetőjével elolvastatnám :-)



"Zurra, a barbár egész életében csak egy dologért küzdött. Azért hogy felszabadítsa szülőbolygóját az idegenek uralma alól. Mert Zurrának és híveinek nem tetszett, hogy a döntések sok-sok fényévnyire innen születnek, s olyan lények döntenek Zurid sorsáról, akik életükben még nem tették ki a lábukat a Naprendszerükből, nem öltek xanikat és nem öleltek vertellai kétfarkú asszonyt. Zurra, a barbár megvetette a Birodalom békés és unalmas hivatalnokait, akik a statisztikai jelentések bűvöletében éltek, és személyes bátorsága kivívta Zurid lakóinak tiszteletét. Kétszer érte lézertalálat, háromszor ültették át az agyát ép testbe, de tri-di beszédeinek költőisége, drámai izzása szemernyit sem csökkent: ő Zurra volt, a Barbár, akinek minden szava a zuridák szívéshez szólt.

A Nagy Felkelés elsöpörte a Zurid sorsát irányító pipogya birodalmiakat, és Zurra, a barbár lett az uralkodója az immár szabad és független bolygónak.

És Zurra, a barbár kivégeztette azokat, akik miatt annyiszor megsebesült és megaláztatott, és számüzetésbe kényszerítette a xanikat, akik aljas módon kiszolgálták a Birodalmat, és annyi vertellai kétfarkú asszonyt importált, hogy minden szabadságharcos kedvét lelhette bennük.

És minden úgy történt, miként Zurra, a király óhajtotta.

És akkor Zurra unatkozni kezdett, és eszébe vette, hogy meghódítja Xaniát, és ő maga is Birodalmat alapít, ahol a szabadság diadalmaskodik, és felszabadítja a rab bolygókat. És vállalkozásait szerencse kísérte, és hivatalnokokat küldött ki a meghódított bolygókra, hogy birodalma ügyeit irányítsák.

De nem tudta, hogy Kedder, a barbár egész életében csak egy dologért küzdött. Azért hogy felszabadítsa szülőbolygóját az idegenek uralma alól... És így tovább..."

4 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr53247609

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

buherator · http://buhera.blog.hu 2007.11.30. 16:05:32

Ezt egy kicsit túlreagáltad szerintem... Lehet hogy a Google maga a gonosz, aki minden szabad órajelciklusát a bolygó lakosságának profilozására költi, de a néhány, MI-k által produkált téves eredménytől az általad vázolt antiutópia szerintem igen messze áll.
A Google egyszerűen nem teheti meg (mint ahogy ebben az esetben sem teszi), hogy letilt oldalakról, mert ezzel saját létét veszélyezteti. A kereső egy _javaslatot_ tesz, és ha a javaslatok 1%-a (ez valószínűleg erős felső becslés egyébként) hibás is, 99%-ban megóvják a felhasználókat a rosszindulatú oldalaktól.
Megnéztem én is az általad említett oldalakat, és két dolog jutott eszembe: az egyik, hogy a szalacsi.hu-t, ha nem tudnám miről van szó, lehet hogy én is kártékonynak gondolnám a rajta elhelyezett, arcbavágó hirdetések miatt. Pedig valamivel jobban tudok magyarul, mint egy MI. A divocodec esetében pedig szerintem ugyanaz a helyzet, mint az adware-anitvirus fronton (de azt hiszem ebbe te jobban belelátsz): a divocodec.com ha nem tévedek egy legális vállalkozás, amely tisztességtelen, de gyakorlatilag jogszerű utakon szerez jövedelmet. Innentől kezdve a Google (pontosabban a stopbadware.org) ugyanúgy nem tehet ellenük semmit, mint ahogy az antivirus sem tehet alapesetben semmit az onlinecasino hírdetésekkel szemben, amit a felhasználó a megfelelő szerződést elfogadva (next,agree,next,next,finish) telepített.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2007.11.30. 16:49:47

Szia :-)
Jogos a felvetés, nem akartam én összeesküvés elméletet hirdetni, inkább poénkodtam, szeretem és használom a Googlet, viszont elgondolkodtatni igenis akartam.
A nem kattintható linket a Finjanhoz Secure Bowsinghoz hasonlítottam, ott felteszi a kérdést, hogy bluepill vagy redpill, és megyek az oldalra mindenképp, nem kell címet másolgatni.
A codec és egyéb csalárd progikkal tökéletesen igazad van, jogi okokból is nehéz fellépni ellenük - bár Kaspersky már leboxolt egy ilyen menetet sikerrel, es a divora is siman Troja.blabla kártevőt jelez - a NOD-nál a PUP, vagyis a Potentially Unwanted Programs kategória hozza a jó megoldást, ha bejelölöd a kéretlen veszélyes alkalmazások eltávolítása pipát, akkor például alapból nem engedi feltelepülni a rootkies Mr & Mrs Smith cuccost. Védve is vagy, meg nem is perelhetnek be.
Azért írtam most a postban egy picit hosszabban, mert úgy vélem, az átlagfelhasználó technikai és social naívságát oldani rendszeres közhasznú feladat :-)

Vidi Rita · http://www.hosnok.hu 2007.11.30. 20:03:21

Halihó!
Megnéztem az Indexen a hírt, (már olvastam amúgy máshol), hát, most szegény seo-sok szerintem izzadnak egy cseppet...

Nem tartom szerencsésnek a "szakma" ilyetén kapcsolatba hozását a sötét oldallal:)

De várható volt már ez, és egy pillanatig sem csodálkozom a történteken, sőt (most én is egy üveggömbbe nézek), ez még csak a kezdet...

A cikked indíttatására ránéztem a szalacsi.hu-ra a linkscanner-rel, és már tiszta, ahogy írtad. Szerintem ilyen esetekben kell írni a Google-nak és magyarázni egy cseppet az oldal bizonyítványát, és le lehet vetetni a káros oldalra utaló elkerülő linket.

Én egyetértek ezzel a dologgal, hogy úgymond "véd" a kereső, de persze ez csak egy pici szelet az oldalra való eljutás számos lehetőségeinek tortájából. Érdekes, hogy az átkattinthatalanság ellenére első helyről csak a harmadikra csúszott vissza az oldal, ha rákeresek szalacsira.

Ha másra nem is jó ez a jelenség, de legalább egy páran tudtunk már erről írni, és ezzel az olvasók közelebb kerülhettek a témához.

Viszont, amin már röhögtem az ez (index cikkből):
"Az oldalak az Internet Explorer biztonsági réseit kihasználva "
meg ez:

"Ha van tanulsága ennek az egész akciónak, akkor az az, amit nem győzök elég sokszor és elég hangosan mondani: mindenki azonnal telepítsen minden biztonsági frissítést a gépére"

ejnye-ejnye...
ennek sose lesz vége...