التصفح الآمن من Google - حدثت مشكلة من حيث لم ينتظروا

عثرت خدمة التصفح الآمن من Google على فيروس فجأة على موقعي. [WNC-611600] تم اكتشاف برنامج ضار أو غير مرغوب فيه على الموقع ... (وهو ما لم يكن موجودًا ، كما اتضح فيما بعد).



يشاهد زوار الموقع نافذة حمراء بملء الشاشة مع النص الذي يحتويه الموقع على برامج ضارة ويحاول مؤلفو الموقع خداع هذه البرامج على جهاز الكمبيوتر الخاص بك من أجل تغيير الصفحة الرئيسية أو عرض إعلانات إضافية على المواقع (كل هذا شكل من أشكال التشهير).

ويغادر المستخدمون ، هربوا من الموقع ، لأنهم يعتقدون كل ما هو مكتوب على الشاشة الحمراء. وأنا لا ألومهم. أي شخص في مكانهم سوف يفعل الشيء نفسه.

إيجابية كاذبة خطأ مكافحة الفيروسات!

هذا يحدث. سنكتب إلى Google الآن ، وسنكتشف ذلك وستنتصر العدالة في لحظة.

في الواقع ، يبدو أن كل شيء أكثر تعقيدًا والطريق إلى العدالة شائك ومليء بخسائر الوقت والمال بسبب أعمال غير صحيحة.

ولكن هذا ليس هو الأسوأ.

المشكلة هي أن الخطأ ليس خطأً منعزلاً. ليس فقط أنا أعاني منه. ولا تستطيع Google إصلاحه تمامًا. على الأقل حتى الآن.

لذلك ، كلما زاد عدد الأشخاص الذين يعرفون ذلك ، كان ذلك أفضل.

وربما يقرأ شخص مهم على Google ، يتصل ويقول:
- عذرا ، ديما! غير قادر لدينا. (فقط أحلامي التي لا أؤمن بنفسي)

صوتي الداخلي بين قوسين ، والذي لا يتفق مع الصوت الرئيسي في كل شيء ويريد دائمًا استخدام اللغة البذيئة. التي أعتذر عنها مقدما.

دعونا معرفة ذلك بالترتيب.

ما هو التصفح الآمن من Google؟

تعمل خدمة التصفح الآمن من Google (GSB) على حماية حوالي 3 مليارات جهاز (أجهزة كمبيوتر ، هواتف) في جميع أنحاء العالم لمدة 12 عامًا ، منذ عام 2007.

لا يعلم الكثيرون عن هذا ، لأنهم لم يثبتوا مثل هذا البرنامج على أجهزة الكمبيوتر الخاصة بهم. وهذا غير مطلوب ، حيث يتم تثبيت GSB تلقائيًا في Chrome ونسخه ، في Firefox و Safari. من هنا جاءت الأرقام المثيرة للإعجاب البالغة 3 مليارات.

لا تعد GSB وظيفة إضافية للمستعرض ، ولكنها تخفي إعداداتها ، والتي ليس من السهل الوصول إليها.

في Firefox ، لن تجد التصفح الآمن من Google. على الرغم من تثبيته ونشط افتراضيا.
في إعدادات Firefox ، يوجد خيار "حظر المحتوى الخطير والمضلل". وراء هذا النقش يختبئ.

يبدو أن Firefox نفسه يحمي شيئًا ما ، على الرغم من أنه ليس كذلك. يمكن لمطوري Firefox تغيير المدافع الخاص بهم في أي وقت ، على سبيل المثال ، على Yandex Safe Browse.

يحتوي المتصفح على كود مضمن يتبادل البيانات مع نظام التصفح الآمن ويتحقق من تجزئة عناوين URL والملفات مع جدول تم استلامه من GSB. بناءً على النتائج ، يمنع المتصفح الوصول ويعرض صورة حمراء.

تتحكم GSB كليًا وبالكامل في من يجب حظره وغيره. والمتصفح يفعل كل ما يقولون.

لدى Microsoft نظيرها الخاص - الشاشة الذكية ، الذي لم يجد شيئًا سيئًا على موقعي وبرامجي.

تم تصميم الشاشة الذكية في Internet Explorer و Edge ، حيث تكون مشاركتها أصغر بكثير من Chrome.

الآن المباحث!

بدأت القصة في الصباح الباكر من 30 نوفمبر 2018.

تلقيت بريدًا إلكترونيًا من وحدة تحكم بحث Google

[WNC-611600] تم اكتشاف برامج ضارة أو غير مرغوب فيها على الموقع ...

هذا خطأ! فكرت.

لأنه كان موقعي والملفات التي تم تحديدها على أنها ضارة.

بينما كنت أتناول الفطور ، جاءت نفس الحروف عن موقعي الثاني ، وزاد عدد الملفات "الضارة".

أنا أركض إلى العمل.

فحص الملفات. جميعها موقعة رقميا ومن خلال تنزيلها ، كنت مقتنعا بأن التوقيع صحيح. التوقيع ليس جديدًا ، تم إصداره منذ أكثر من عام.

جميع الملفات التي تم العثور عليها ذات تواريخ مختلفة ، ولكنها ليست قديمة جدًا - تتراوح من أسبوع إلى شهر.
تم الرفع إلى Virustotal مع التحقق من ضعف.

نظيفة!

أقوم بإنشاء برامج لنظام التشغيل Windows لمدة 20 عامًا ، وخلال هذه الفترة ، كانت هناك اكتشافات خاطئة لمكافحة الفيروسات.

"حسنا ، ليس في الأول" ، فكرت.

في رسالة من جوجل اقترحوا إرسال نداء ، وهو ما قمت به على الفور.
بعد ساعتين ، جاء الجواب بأن الطعن قوبل بالرفض .

ولا توجد تعليقات على الجواب.

في الرسالة التالية ، أعلنت Google أنها حظرت نطاق الموقع بالكامل وجميع الصفحات التي توجد بها روابط للملفات.

يبدو أن منطق تصرفاته هو التالي: إذا كانت الصفحة تحتوي على رابط لملف ضار ، فإن هذه الصفحة تعتبر ضارة. إذا كانت الروابط في الصفحة الرئيسية للموقع ، فعندئذ النطاق بأكمله.

عندما دخلوا الموقع ، رأى المستخدمون نافذة حمراء بملء الشاشة: "الموقع أمامه يحتوي على برامج ضارة".

عند تنزيل ملف ، يتم تمييزه على أنه ضار ويمكنك فتحه من حيث المبدأ ، مما يؤكد عدة مرات أنني متأكد من رغبتي في فتح هذا الملف. لا أعتقد أن واحدًا على الأقل من المستخدمين العاديين لهذا الموقع سيقومون بذلك.

التوقيع المسروق؟

لقد أجريت العديد من التجارب: لقد وقعت على الملف باستخدام شهادة أخرى (EVO ، توقيع على الرمز المميز) ، وأنشأت مشروعًا فارغًا في C ++ Builder ، وقمت بتجميعه وتوقيعه وتحميله على الموقع.

جوجل اعتبره فيروس.

استنتجت أنه يعتبر الآن جميع الملفات من هذا المجال ضارة ، تم إنشاؤها بعد وقت معين .

اعتبرت Google الملف القديم قبل شهر نظيفًا تمامًا.

أعلم أن شيئًا لم يتغير بشكل أساسي فيه (لم أقم بإضافة الفيروسات هناك).
كان محرجًا أيضًا أن يكون الكشف انتقائيًا إلى حد ما. لسبب ما ، اعتبرت Google الإصدار القياسي من البرنامج فيروسيًا ، والإصدار الذهبي نقيًا ( ربما يحمي الذهب من الفيروسات ).

بدا كل شيء غريب.

في خطاب من Google ، اقترحوا إنشاء موضوع في منتدى Google.

أنا فعلت هذا.

رداً على ذلك ، تلقيت رسالة من مدير سر بأنه يرى بالفعل الحالة الثالثة في يوم واحد.

راجعت المنتدى ووجدت العديد من الإجابات من المشرف. حاول الرفيق تقديم المساعدة بأكبر قدر ممكن ( قدّم نصائح غير مجدية ) ، لكنه لم يعمل في Google ولم يستطع المساعدة حقًا. لكن الضحايا الآخرين بدأوا بالتسجيل في الموضوع.

اتضح أنني لست وحدي!

رابط إلى منتدى جوجل .

بدأت في البحث في منتدى مشرفي المواقع من Google عن حالات مماثلة بنهاية سعيدة وعثرت على واحدة في العام الماضي. كان لديه حتى استجابة من "موظف Google المحتمل" الذي اقترح إرسال جميع الإيجابيات الخاطئة مباشرةً من Chrome من خلال وظيفة الإبلاغ عن مشكلة .

أعطي جوابه:

سيرجي سيمينوف:

إذا لم ينجح ذلك بعد المراجعة في وحدة التحكم ، فأرسل تقرير مشكلة Chrome من المتصفح (Alt + Shift + I) يقول إنك شركة جيدة وذات ملفات نظيفة تمامًا. لقد ساعدنا ذلك بوضوح لأن جميع المشكلات في وحدة تحكم google اختفت بعد الإبلاغ عن مشكلة في Chrome دون طلب مراجعة أخرى.

من الغريب الإبلاغ عن خطأ في شكل إشعار حول البرامج والمواقع غير المرغوب فيها. لكن لا يوجد نموذج False Positive منفصل سواء في Chrome أو على موقع GSB.
من المحتمل أن Google تعتبرهم ليس لديهم أي أخطاء ( بدون كلمات ).

كانت الليلة مقلقة. (في الواقع ، الأمر أسوأ بكثير. لقد فكرت ما يجب القيام به. كيف أعيش عليه. حسنًا ، على الأقل كبر الطفل بالفعل )

زاد عدد الضحايا. اتحدوا جميعًا من حقيقة أنهم كانوا مصنِّعين لبرامج Windows ولديهم درجة أو بآخر اتصال ببيئة برمجة دلفي .

علة دلفي؟
( لا أعتقد ... )

قائمة غير كاملة من الضحايا: برامج Greatis (RegRun و UnHackMe و BootRacer) وبرامج Scooter (ما بعد المقارنة) وبرامج IBE (HelpNDoc) وبرامج Blumentals (HTMLPad و WeBuilder و RapidPHP) وبرامج Scorecard المتوازنة (BSC Designer) و SpamBully و Gillmeister Software (( إعادة تسمية الخبراء) ، منظم التشغيل التلقائي (Chemtable) ...

استخدم 9 من أصل 10 برنامج التثبيت Innosetup ، وهو مكتوب بلغة دلفي. واحد يستخدم Nullsoft. تم توقيع جميع الملفات بالتوقيعات الرقمية للشركات.

يختلف خط العمل بين الجميع ، ولكنه سلمي: محرر PHP ، أرشيف ، برنامج مقارنة الملفات ، الوظيفة الإضافية Power Point ، مدير بدء التشغيل ، برنامج إنشاء ملف المساعدة.
أنا لا أعلن عن نفسي ، لكن لديّ برنامج واحد يزيل الفيروسات ( من السهل خلط الفيروسات ومكافحة الفيروسات ).

والأخرى تعمل في بعض الشركات الكبرى حول العالم (البرلمان الأوروبي ، ويسترن ديجيتال ، شرطة العاصمة ، البنوك ، إلخ). ما يمكن أن يؤدي إلى مشكلة كبيرة.

خيارات مع السقوط على دلفي و Inno الإعداد كانت معروفة سابقا.

لقد كان من المحرج أن عدد الضحايا ، رغم تزايده ، لم يكن عالميًا. هناك العديد من الشركات في العالم التي تستخدم برامج تثبيت Delphi Inno Setup والبرامج.

لماذا لا يعانون؟

بالتفكير في هذه المشكلة ، بدأت في "تنظيف" المواقع ، وإزالة الروابط إلى الملفات الضارة المفترضة. كان هناك العديد من أرشيفات التنزيل التي يمكنك من خلالها تنزيل الملفات نفسها ولم تحصل Google عليها.

حيث حصلت على GSB سيئة. كما تم الموسومة. واجهت صفحة البرنامج الخاصة بي على Fileforum.com شاشات حمراء. قام Download.com ببساطة بحظر حساب شركتي وإزالة جميع البرامج من موقعه على الويب.

رفضت Name.com (قسم من IBM) الوصول إلى خوادم DNS الخاصة بها للمجال. هذا هو الضرر الذي يصعب إصلاحه على الفور.

قمت بمسح مواقع الروابط. تم إرسال روابط البرنامج إلى Google.

وها!

بعد يوم من إرسال الملف بالكامل إلى GSB ، تم إرسال المواقع للمراجعة ، وتراجع Google عن جميع مطالباته وأزالها.

أصبحت جميع الملفات نظيفة كالمسيل للدموع. سواء الجديدة والقديمة!

وجميع الضحايا الآخرين أيضا!

عدنا إلى الحياة ، للعمل ( وبدأنا نعيش بسعادة ولم نموت في يوم واحد ).

وكل شيء سيكون على ما يرام إذا ...

بعد أسبوع ، قمت بنشر إصدار جديد من البرنامج وبعد ساعتين تم اكتشافه على أنه ضار!

لقد كانت ضربة قوية ( جلست ثم استلقيت ).

أنا بسرعة استعادة الإصدار القديم. قدمت للمراجعة. في الصباح ، تم مسح كل شيء.

منذ ذلك الحين ، أقوم بإجراء دائم قبل تحميل إصدارات جديدة:

1. أضع الملف الجديد في دليل جديد على الموقع.
2. إرسال عبر Chrome ، الإبلاغ عن رابط مشكلة.
3. أنا في انتظار بضع ساعات.
4. أقوم بنشر الإصدار الجديد على موقع جديد.

لم يكن لدي المزيد من الرحلات.

حدث الانتكاس مرة أخرى في واحدة من الضحايا في 30 يناير .

لقد كتب إلي في البريد ومعًا قمنا بحل المشكلة في يوم واحد تقريبًا. في فبراير ، واجه مؤلف آخر للبرامج نفس المشكلة. رأيت على RSDN.

لم يتم حل مشكلة الإيجابيات الخاطئة (ولن يحلها أحد).

ما الخوف الآن بقية حياتك؟

إذا كنت محظوظًا أيضًا ، جرب هذا.
منهجية الإجراءات القائمة على الخبرة الشخصية:

1. لا تحاول النزاع على الفور من خلال Google Search Console. قد تضيع الوقت وتزيد من الضرر الخاص بك.
2. تنظيف الملفات التي عثر عليها جوجل من المواقع. إذا غادرت ، فقد يكون الضرر أكبر.
3. إذا كان هناك إصدارات قديمة من الملفات ، استعادتها. إذا لم يكن كذلك ، فابحث عن مكان استضافة ملفاتك على الإنترنت ولن تحظرها Google. إرسال حركة المرور هناك.
4. أرسل موقعك الذي تم تنظيفه إلى المراجعة من خلال Google Search Console.
5. قم بتحميل ملفاتك المشبوهة (دليل جديد ، موقع آخر) إلى موقع جديد وإرسال روابط إلى ملفات محددة بشكل غير صحيح من خلال الإبلاغ عن مشكلة. تحتوي Search Console الجديدة على نفس الرابط. لذلك Chrome اختياري.
6. انتظر الأعذار خلال ساعتين من GSB وخلال 24 ساعة من Google Search Console.
7. لن يكون هناك استجابة من GSB.

يمكنك التحقق من حالة الروابط من خلال البحث في الموقع.

الاستنتاج الأول: تم بناء نظام الاستئناف بشكل سيء للغاية

( أنت المسؤول عن كل شيء ، ولماذا ولماذا ، لن نخبرك! )
تقرير مفقود كاذبة شكل إيجابي .

على سبيل المثال ، لدى Microsoft واحدة. والجواب يأتي منهم. لا إلغاء الاشتراك ، ولكن نتائج الاختبار والإجراءات التي اتخذتها. لا توجد إجابات من GSB.

لقد وجدت أن الناس في الولايات المتحدة يطالبون بدعم Google (ليس بالأمر السهل) ويحصلون على نفس النصيحة للكتابة في المنتدى. لن يقوم أحد في Google بالمساعدة والإجابة.
يحضر المنتدى موظفو Google ومن المرجح أن يقرأه (تم التحقق منه للقراءة).
لكنهم نادرا ما يجيبون. في الآونة الأخيرة - أبدا.
( التحدث إلى نفسك والجدار ليس شعورًا جيدًا )

وقت استجابة النداء طويل جدًا.

قد يستغرق يوما أو يومين.

يعتقد الجميع أن حكم GSB يتسم بالخداع (خاصة Google) .
( ثم لن تغسل نفسك! )

كل شيء سيمنعك على Google: الموقع ، Youtube ، البريد ، إلخ ، إذا كان هناك تشخيص من GSB.
يقرأ GSB و Gmail. وليس من الواضح ماذا وكيف يمكن أن يتفاعل ( أحظر الرسائل الموجودة إذا كانت تحتوي على أسماء الفيروسات. أي أنه يعثر على فيروس في النص. هذا إنجاز كبير! )

لذلك ، كما أعتقد ، يرفضون المراجعة. إذا كان هناك حكم GSB ، فسيتم تجاهل كل ما تقوله. من المؤسف أيضًا أنك لن تعرف أبدًا أسباب الرفض لأن Google لا تبلغ عنه. ( ترسل Google ردودًا قياسية بأنك مذنب بانتهاك أي شيء وكل شيء )

دعونا نتعرف على ما يستند إليه حكم GSB.

اتضح أن اللغز!



قد تتعارض نتائج Virustotal ، المملوكة أيضًا من قِبل Google ، تمامًا مع قرارات GSB.

هل تعرف مكافحة الفيروسات GSB؟ لا؟ وانا لا. وليس هناك برنامج Google Safe Browse antivirus!

GSB هو التحقق من عنوان URL أو تجزئة الملف مقابل قاعدة بيانات خاصة به.

لا أحد يحلل الموقع في الوقت الحقيقي ، قبل الوصول إلى هناك.
لا أحد يشاهد البرامج النصية JS أو الملفات الموجودة على هذا الموقع.

مجرد متصفح يقوم من وقت لآخر بتنزيل قاعدة البيانات على جهاز الكمبيوتر الخاص بك والتحقق من ذلك محليا.

من المرجح أن تستجيب GSB للسلوك.
ظهر ملف جديد ، غير معروف له ، والنظام متوتر.
لقد بدأوا في تنزيله أكثر من المعتاد من هذا الموقع - إنه أمر خطير بالفعل.
وإذا كان الملف نفسه موجودًا على موقع "سيء" ، على سبيل المثال ، قراصنة؟
( حسنا ، بالتأكيد - فيروس )

لكن السبب شائع. مجرد نسخة جديدة من البرنامج. ويبدأون في تنزيله أكثر.

بالنسبة إلى GSB ، من الطبيعي أنه إذا قمت بتنزيل ملف باستخدام رابط واحد ، فسيكون مصابًا. قم بتنزيل نفس الملف من رابط آخر - نظيف.
مندهش؟
انا ايضا
يشير هذا إلى أن الارتباط موجود في قاعدة البيانات دون التحقق من محتوياته.
( بناءً على افتراضات الروبوت )

يحدث هذا عادة في المرحلة الأولى من التبديل على البلدغ GSB. ثم يتم تشغيل البلدغ بالكامل ويضيف تجزئة الملف إلى قاعدة البيانات. بعد ذلك ، لا يهم عنوان URL الذي يتم تنزيل الملف منه. يتم وضع علامة في كل مكان.

في الوقت نفسه ، مع وجود احتمال بنسبة 99٪ ، لم يقم شخص واحد بتحليل الملف.

ثم البلدغ العائدات إلى المرحلة التالية. يبدأ في وضع علامة على جميع الملفات المماثلة على الموقع. يقوم بتحديد الملفات عن طريق التوقيع الرقمي للملف ، إن وجد.

اختبرت هذه العملية عن طريق إنشاء مشروع فارغ وتجميعه في ملف exe. تم الكشف عن الملف الموقع كخبيثة. المرحلة الأخيرة: تم اكتشاف أن جميع الملفات من المجال خطيرة.

منطق تصرفات البلدغ واضح: اقتنص ووقف توزيع الملف في أسرع وقت ممكن.

حسب تاريخ الاكتشافات ، من الواضح أن المشكلة بدأت باكتشاف عنوان URL (لم يتم الكشف عن تجزئة الملف). ثم نما الكشف لدرجة أن أي ملفات جديدة من الموقع كانت تعتبر ضارة.

الكشف هو آلة حصرا على أساس "مبادئ غير معروفة".
في أي حال ، كل هذا يسمى "الاستدلال" مع درجة معينة من الاحتمال.
وحكم مثل هذا النظام لا ينبغي أن يكون VIRUS ، ولكن ممكن المشبوهة.

لماذا ظهرت الرحلات في نفس الوقت بالنسبة للكثيرين ، لكنها لم تظهر من قبل؟

أظن أن شيئًا ما ظهر في جهاز GSB ، على سبيل المثال ، قام بتدريب شبكة عصبية.
الشبكة العصبية تجد ملفات مماثلة. لسوء الحظ ، تبين أن ملفاتنا تتشابه مع نوع من الفيروسات.

و GSB ترى أنه سبب كاف لإلقاء اللوم على الجريمة.
ثم أزل بصمت أخطائهم وأبلغ عن عدد الفيروسات التي عثروا عليها بسعادة.

( إذا كانت المحكمة تعمل وفقًا لمثل هذا المخطط ، يمكن لأي شخص أن ينتهي به المطاف في السجن غدًا )

الصغار يعانون

جميع الضحايا هم شركات صغيرة تجد صعوبة في مقاضاة Google. على ما يبدو ، لديهم أعداد كبيرة في القائمة البيضاء. ( ويمكنك فقط تجاهل الصغار )

كما أفهمها ، فإن الشيء الوحيد الذي يمكن أن يساعد Google في الوقت الحالي هو إزالة عناوين URL والتجزئة من قائمة سيئة حسب الطلب.

ربما يكون GSB جيدًا لدرجة أنه هزم البرامج الضارة في جميع أنحاء العالم؟
ليس هكذا.
لقد قابلت نفس المواقع مع البرامج الضارة لسنوات عديدة وتشعر بأنها رائعة. لا يمكن إقناع عدد من النقاط التي تفتخر GSB. مالفار يتكاثر بسهولة وبسرعة.

تتضمن فكرة التحقق من قاعدة بيانات معينة ، والتي يتم تنزيلها محليًا أيضًا ، تأخرًا معينًا في الوقت المناسب.
( اشتعلت بالفعل ، ثم الأساس تحميلها )

الاستنتاج الثاني: لا تعتمد على GSB للحماية والإنقاذ

هنا ، هناك حاجة إلى وسائل مختلفة تماما.

لماذا تحتاج Google إلى هذه المعركة ضد الفيروسات؟

ما هي كل هذه الجهود لفريق GSB ل؟
اجعل العالم مكانا أفضل؟
أو الحصول على معلومات حول المواقع التي زارها المستخدمون؟

تؤكد Google أنها تتحقق من عناوين URL للمواقع فقط عن طريق التجزئة وعلى العميل محليًا ، وليس على الخادم. ويرسل الطلبات إلى خوادم Google باستخدام التجزئة فقط ، وليس عناوين URL كاملة.
www.chromium.org/developers/design-documents/safebrowsing
كيف تعمل في فايرفوكس:
support.mozilla.org/en-US/kb/how-does-phishing-and-malware-protection-work

ولكن ما هو استخدام GSB فقط من التجزئة؟

ربما لأن Google هي أيضًا شركة تقوم بمسح الإنترنت بالكامل ولديها قاعدة بيانات يمكن من خلالها العثور بسهولة على علامة تجزئة وبالتالي تلقي عناوين URL للمواقع التي تمت زيارتها وتحليلها.

ما جوجل تكشف.

نتيجة لذلك ، يمكن أن تتلقى Google الخصائص السلوكية للمواقع ، حتى لو لم يتم تثبيت Google Analytics على الموقع. يتم توفير جميع البيانات من قبل GSB خالية تماما.

على الرغم من القواعد الخاصة للتطبيقات "الجيدة" ، عند تثبيت Chrome ، لا يوجد مربع اختيار "تمكين التصفح الآمن" وليس من الواضح لأي شخص أن Chrome يرسل المعلومات إلى GSB.
( استنتاجي الشخصي هو أن GSB ليست مصدر قلق على الإطلاق للجيران )

أود أن تتبع GSB المعايير المقبولة عمومًا على الأقل فيما يتعلق بالمسؤولية عن أعمالها ، وأن تكون مفتوحة ومفهومة لجميع المشاركين في هذه العملية: المستخدمون ، ومالكو المواقع ، ومصنعو البرامج.
( لا تغضب من فضلك! )