Hogyan szűri a Google a kártékony linkeket?

2010. április 06. 14:10 - Csizmazia Darab István [Rambo]

Azt, hogy a weboldalakon keresztül történő fertőzések hogyan jutnak el az internetezőkhöz (csukott szemmel begépelnek _akármit_ a böngésző címsorába ;-), többször is körbejártuk már. Áramlanak ezerrel az adathalász weboldalak, és üzemszerűen mérgezik a Google keresések találatait is az éppen aktuális trendek, események, kataszrófák, sportesemények, botrányok, tragédiák, díjátadók, sztárok valós vagy kitalált haláleseteinek megfelelően. Joggal vetődik fel hát a címadó kérdés, a válasz pedig az, hogy bár mindent időben kiszűrni lehetetlen, azért rajta vannak az ügyön.

Folyamatosan több milió oldalt vizsgálnak át naponta. Ez az elemzés a hatalmas meglévő és keletkező mennyiség miatt - a víruslaborokba ömlő napi sokezer mintához hasonlóan - nem emberi, hanem automatikus feldolgozást jelent. Elsőként azt nézik meg, hogy egy adott URL tartalmazza-e a "bank" vagy a "login" szavakat, illetve szerepel-e benne domain név helyett gyanakvásra okot adó IP cím, nem szokatlanul hosszú-e az URL sor - ezek mind adathalász gyanús jelek lehetnek.

A továbbiakban aztán ellenőrzésre kerül, tartalmaz-e jelszó nevű űrlapmezőt, megnézik a host szerverek területi információit, stb. Utolsó lépésként pedig az adott oldal esetleges spamgyanús visszajelzéseit ellenőrzik, a kétes domain host, és hasonlók. Ezek az összetett információk adnak aztán egy végső képet, ami alapján ha a Google szükségesnek látja, feketelistára teheti a linket.

Nyilván az otthoni gépünknél csak egyedül erre az elemzésre támaszkodni helyi biztonsági programok helyett badarság lenne, de azokat ha némi késéssel is, de jól kiegészítheti. Az automatikus ítélet miatt elvétve előfordulhat időnként hamis riasztás, de szerintük az ilyen false pozítiv esélye csekély, 1 a 10000-hez.

Több olyan weboldal fordult már meg a kezeink között, amely "Bejelentett támadó webhely" címkét kapott, de ezek közül nálunk még egyetlen olyan sem volt, amelyik ezt indokolatlanul kapta volna: végül mindegyikben megtaláltuk azt az iframe vagy javascript elemet, amely valóban gyanús kínai vagy orosz oldalakra mutatott.

4 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr871898263

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Morci úr · http://suttyok-ket-kereken.blog.hu 2010.04.06. 17:52:45

A női portál noiportal.hu
Többször is le volt tiltva a google által.
Aztán másnap helyre állt.
Az véletlen lenne. Többnyire csajos témák vannak rajta.

tommybravo 2010.04.06. 17:54:37

Egy elég durva false positive-ot azért tudok mondani: az origo egyes aloldalait rendszeresen rakta tiltólistára a google, és általa a Firefox is. Ha jól emlékszem valamelyik tracking code-ot nem szerette a kereső, de aztán megoldották valahogy.

Nyelvész Józsi · http://szleng.blog.hu/ 2010.04.06. 19:54:12

@tommybravo: Nem false positive volt, hanem iframe-en keresztül bejutott malware. És tényleg megoldották. :)