Naszła mnie dziś ochota na odwiedzenie rankingu stron alexa.com, który zbiera dane dotyczące popularności stron WWW. Głównie za pomocą preinstalowanego legalnie paska narzędziowego w przeglądarkach użytkowników. Na codzień używam obserwatorki Opera i tak było i tym razem. Jakież było moje zdziwienie, gdy moim oczom ukazał się wesoły komunikat z systemu obronnego Opery zwanego Fraud Protection, którego główne zadanie polega na przestrzeganiu przed niebezpiecznymi stronami zawierającymi malware lub hostującymi phishingowe witryny. Rozumiem, że często atakujący wstrzykują złośliwy kod do legalnej a nawet bardzo popularnej witryny, co mieliśmy okazję wielokrotnie oglądać na łamach naszego bloga. Dlatego zaciekawiła mnie obecna sytuacja.
Jak wskazuje obrazek ostrzegający – strona została dodana do niebezpiecznych przez serwis: malwaredomains.com. DNS-BH – Malware Domain Blocklist to serwis zbierający listę domen używanych do przekazywania użytkownikom malware, spyware itp. Dodatkowo istnieje możliwość pobrania gotowych plików stref dla systemów DNS w celu ich automatycznej instalacji, a co za tym idzie ochrony swoich użytkowników za pomocą mechanizmu dns-blackholing, o którym mówiliśmy przy okazji konferencji Securecon 2007. Zapis video z tego wykładu można obejrzeć tutaj.
System malwaredomains.com dodał 20 maja 2008 do swojej listy adres alexa.com jako domenę o niebezpiecznej treści:
wget http://www.malwaredomains.com/files/domains.txt -o /dev/null -O – |grep -w alexa.com
alexa.com megasearch www.doxdesk.com/parasite/megasearch.html 2008May
Przeglądarka Opera korzysta między innymi z danych z tego serwisu. I znów zaciekawił mnie bezpośredni powód dodania tegoż serwisu do domen zablokowanych. Po wysłaniu maila do malwaredomains z zapytaniem o co chodzi z tą Alexą – dostałem po chwili odpowiedź, że system typu Sandbox, służący do analizy zachowania złośliwego oprogramowania, przysłał informację o kontaktowaniu się malware z domeną alexa.com. Jak łatwo można wydedukować, domena została automatycznie dodana do listy niebezpiecznych adresów.
Pojawia się tutaj kilka problemów. Przede wszystkim problem skali – przy dużej ilości domen, ciężko jest weryfikować każdą domenę, tym bardziej, że nie jest to nasze główne źródło utrzymania i jeszcze bardziej tym bardziej, że zależy nam na czasie. Im szybciej domena znajdzie się na czarnej liście, tym większa szansa, że uchroni to większą ilość populacji przed odwiedzinami nieproszonych gości. Na chwilę obecną plik z domenami zawiera ponad 21 tysięcy szkodliwych domen!!!
grep -v „^#” domains.txt|wc -l
21005
Jak wskazywały poprzednie przypadki – zdarzały się sytuacje, w których legalne strony hostują nielegalną zawartość. Co robić w takiej sytuacji. Blokować czy nie blokować? Lepszy użytkownik bezpieczny czy wkur….y?
Co zrobić w przypadku korzystania z usług takich serwisów. Z jakich list korzystać? Które źródła uznać za wystarczająco wiarygodne?
Jak widać problem nie jest błahy i wymaga przemyślenia kilku spraw. A co o tym sądzicie Wy?
ps: Przed chwilą sprawdziłem i obiecany przez team malwaredomains.com update listy domen został wykonany. Warto ponownie wczytać aktualną listę.
2 komentarze do
24 maja, 2008 o godzinie 14:01
„Na codzień używam obserwatorki Opera”
'obserwatorki’? wtf
24 maja, 2008 o godzinie 14:15
Ja używam obserwatorki właśnie gdyż obserwuje co na stronach 2.0 się dzieje :] Rozumiem, że Ty używasz przeglądarki do przeglądania stron i nic w tym zdrożnego nie widzę :)
Nie mogę wciąż zrozumieć dlaczego w blogosferze, najwięcej kontrowersji wywołuje użycie nowomowy (nowopisma) i de fakto stosowanie mechanizmów, z życia. Ja w życiu często używam słowa obserwatorka. Dlatego na blogu także używam słowa obserwatorka. Proponuje więcej życia, a mniej sztywnego konwenansu ograniczającego myślenie. Dziś jest ładna pogoda, spotkajmy się na spacerze :)
pozdrawiam