A Navegação segura do Google encontrou subitamente um vírus no meu site. [WNC-611600] Software malicioso ou indesejado detectado no local ... (que não estava lá, como se viu depois).
Os visitantes do site veem uma janela vermelha em tela cheia com o texto que contém malware, e os autores do site tentam induzi-los a instalar esses programas em seu computador para alterar a página inicial ou exibir publicidade adicional nos sites (tudo isso é uma forma de calúnia).
E os usuários saem, correm do site, porque acreditam em tudo o que está escrito na tela vermelha. E eu não os culpo. Qualquer pessoa em seu lugar faria o mesmo.
Falso positivo Erro antivírus!Isso acontece Escreveremos agora para o Google, eles descobrirão e a justiça triunfará em um instante.
De fato, tudo se torna mais complicado e o caminho para a justiça é espinhoso e cheio de perdas de tempo e dinheiro devido a ações incorretas.
Mas isso não é o pior.
O problema é que o erro não é isolado. Não só eu sofro disso. E o Google não pode corrigi-lo completamente. Pelo menos por enquanto.
Então, quanto mais pessoas descobrirem, melhor.
E talvez alguém importante no Google leia, ligue e diga:
Desculpe, Dima! Nosso cant.
(apenas meus sonhos que eu não acredito em mim)Entre parênteses está minha voz interior, que não concorda com a principal em tudo e sempre quer usar linguagem obscena. Pelo qual peço desculpas antecipadamente.Vamos descobrir em ordem.
O que é a Navegação segura do Google?
A Navegação segura do Google (GSB) protege cerca de 3 bilhões de dispositivos (computadores, telefones) em todo o mundo há 12 anos, desde 2007.
Muitos não sabem disso, pois
nunca instalaram esse programa em seus computadores. E isso não é necessário, pois o GSB é instalado automaticamente no Chrome e seus clones, no Firefox e Safari. A partir daqui vieram os números impressionantes de 3 bilhões.
O GSB não é um complemento do navegador, mas se esconde em suas configurações, o que não é tão fácil de acessar.
No Firefox, você não encontrará a Navegação segura do Google. Embora esteja instalado e ativo por padrão.
Nas configurações do Firefox, Segurança, existe a opção "Bloquear conteúdo perigoso e enganoso". Por trás dessa inscrição, ela está escondida.
Parece que o próprio Firefox está protegendo alguma coisa, embora não esteja. Os desenvolvedores do Firefox podem mudar de defensor a qualquer momento, por exemplo, na Navegação segura Yandex.
O navegador possui código interno que troca dados com o sistema de Navegação segura e verifica os hashes de URLs e arquivos com uma tabela recebida do GSB. Dependendo dos resultados, o navegador bloqueia o acesso e exibe uma imagem vermelha.
A GSB controla total e totalmente quem bloquear e quem não. E o navegador faz tudo o que eles dizem.
A Microsoft tem sua própria contraparte - Smart Screen, que não encontrou nada de ruim no meu site e programas.
O Smart Screen é incorporado ao Internet Explorer e Edge, cujo compartilhamento é muito menor que o Chrome.
Agora detetive!
A história começou no início da manhã de 30 de novembro de 2018.
Recebi um e-mail do Google Search Console
[WNC-611600] Software malicioso ou indesejado detectado no local ...Isso é um erro! Eu pensei.
Porque era o meu site e meus arquivos identificados como maliciosos.
Enquanto eu estava tomando café da manhã, as mesmas cartas apareceram no meu segundo site e o número de arquivos "maliciosos" encontrados aumentou.
Estou correndo para o trabalho.
Verificou os arquivos. Todos são assinados digitalmente e, ao fazer o download deles, fiquei convencido de que a assinatura é válida. A assinatura não é nova, emitida há mais de um ano.
Todos encontraram arquivos com datas diferentes, mas não muito antigos - variando de uma semana a um mês.
Carregou-os no Virustotal com verificação dupla.
Limpo!Estou criando programas para Windows há 20 anos e, durante esse período, houve falsas detecções de antivírus.
"Bem, não no primeiro", pensei.
Em uma carta do Google, eles sugeriram o envio de um recurso, o que eu fiz imediatamente.
Duas horas depois, a resposta veio de que o
recurso foi julgado improcedente .
E nenhum comentário sobre a resposta.
Na próxima carta, o Google anunciou que havia bloqueado todo o domínio do site e todas as páginas das quais os links para arquivos estavam localizados.
A lógica de suas ações é aparentemente a seguinte: se a página contiver um link para um arquivo malicioso, essa página será considerada maliciosa. Se os links estiverem na página principal do site, em todo o domínio.
Quando entraram no site, os usuários viram uma terrível janela vermelha em tela cheia: “O site a seguir contém programas prejudiciais”.
Ao baixar um arquivo, ele é marcado como malicioso e você pode abri-lo em princípio, confirmando várias vezes que tenho certeza de que desejo abrir esse arquivo. Eu não acho que pelo menos um dos usuários regulares do site faça isso.
Assinatura roubada?
Realizei várias experiências: assinei o arquivo usando outro certificado (EVO, assinatura no token), criei um projeto vazio no C ++ Builder, montei, assinei o arquivo, carreguei-o no site.
O Google considerou um vírus.A partir do qual concluí que agora ele considera todos os arquivos deste domínio maliciosos,
criados após um certo tempo .
O Google considerou o arquivo antigo há um mês completamente limpo.
Eu sei que nada mudou fundamentalmente (não adicionei vírus lá).
Também era embaraçoso que a detecção fosse de alguma forma seletiva. Por alguma razão, o Google considerou a versão padrão do programa viral, e a de ouro pura (
provavelmente o ouro protege contra vírus ).
Tudo parecia estranho.
Em uma carta do Google, eles sugeriram a criação de um tópico no fórum do Google.Eu fiz isso.
Em resposta, recebi uma mensagem de um moderador secreto de que ele já estava vendo o terceiro caso em um dia.
Eu verifiquei o fórum e encontrei muitas respostas do moderador. O camarada tentou ajudar o máximo possível (
ofereceu conselhos inúteis ), mas ele não trabalhou no Google e não pôde ajudar. Mas outras vítimas começaram a se registrar no tópico.
Acontece que eu não estou sozinho!Link para o fórum do Google .
Comecei a pesquisar no fórum do Google Webmasters por casos semelhantes com um final feliz e encontrei um no ano passado. Ele até recebeu uma resposta de um "provável funcionário do Google" que sugeriu enviar todos os falsos positivos diretamente do
Chrome por meio da função Informar um problema .
Eu dou a resposta dele:
Sergey_Semenov:
Se isso não ajudar após uma revisão no console, envie o relatório de problemas do Chrome pelo navegador (Alt + Shift + I) dizendo que você é uma boa empresa de chapéu branco e seus arquivos estão absolutamente limpos. Isso claramente nos ajudou porque todos os problemas no console do Google desapareceram após o relatório de problemas do Chrome sem solicitar outra revisão.
É um pouco estranho relatar um erro na forma de uma notificação sobre sites e programas indesejados. Mas não existe um formulário de falso positivo separado no Chrome ou no site da GSB.
Provavelmente, o Google os considera sem erros (
sem palavras ).
A noite foi alarmante. (
Na verdade, é muito pior. Pensei no que fazer. Como viver. Bem, pelo menos a criança já cresceu )
O número de vítimas aumentou. Todos estavam unidos pelo fato de serem fabricantes de programas para Windows e, de certa forma, terem uma conexão com o ambiente de programação
Delphi .
Delphi bug?(
Eu não acho ... )
Lista incompleta de vítimas: Greatis Software (RegRun, UnHackMe, BootRacer), Scooter Software (além da comparação), IBE Software (HelpNDoc), Blumentals Software (HTMLPad, WeBuilder, RapidPHP), Balanced Scorecard Software (BSC Designer), SpamBully, Gillmeister Software ( Rename Expert), Organizador de execução automática (Chemtable) ...
9 em cada 10 usaram o instalador Innosetup, escrito em Delphi. Um usou o Nullsoft. Todos os arquivos foram assinados com assinaturas digitais das empresas.
A linha de negócios é diferente para todos, mas pacífica: editor PHP, arquivador, programa de comparação de arquivos, complemento do Power Point, gerenciador de inicialização, programa de criação de arquivos de ajuda.
Não me anuncio, mas tenho um programa que remove vírus (
é fácil misturar um vírus e um antivírus ).
E o outro funciona em algumas grandes empresas ao redor do mundo (Parlamento Europeu, Western Digital, Polícia Metropolitana, bancos, etc.). O que poderia resultar em grandes problemas.
As opções com quedas no Delphi e no Inno Setup eram conhecidas anteriormente.
Era embaraçoso que o número de vítimas, apesar de crescente, não fosse global. Existem muitas empresas no mundo usando os instaladores e programas do Delphi Inno Setup.
Por que eles não sofrem?
Pensando nessa questão, comecei a "limpar" os sites, removendo links para arquivos supostamente maliciosos. Havia vários arquivos de download dos quais era possível baixar os mesmos arquivos e onde o Google não conseguiu.
Onde o GSB chegou foi ruim. Eles também foram marcados. Minha página do programa no Fileforum.com encontrou telas vermelhas. O Download.com simplesmente bloqueou a conta da minha empresa e removeu todos os programas do site.
A Name.com (uma divisão da IBM) negou o acesso aos seus servidores DNS para o domínio. Este é um dano difícil de reparar imediatamente.
Eu limpei os sites de links. Enviou links do programa para o Google.
E eis que eis!Um dia após todo o arquivo ter sido enviado à GSB, os sites foram enviados para revisão, o Google retornou e removeu todas as suas reivindicações.
Todos os arquivos ficaram limpos como uma lágrima. Novos e antigos!E todas as outras vítimas também!
Voltamos à vida, ao trabalho (
e começamos a viver felizes e não morremos em um dia ).
E tudo ficaria bem se ...
Depois de uma semana, publiquei uma nova versão do programa e após 2 horas foi detectada como maliciosa!Foi um golpe pesado (
sentei-me e depois deitei ).
Eu restaurei rapidamente a versão antiga. Enviado para revisão. De manhã, tudo estava limpo.
Desde então, faço constantemente o procedimento antes de carregar novas versões:
- Coloquei o novo arquivo em um novo diretório no site.
- Enviar via Chrome, Informar um link de problema.
- Estou esperando algumas horas.
- Eu posto a nova versão em um novo site.
Não tive mais viagens.
A recaída ocorreu novamente em uma das vítimas em 30 de janeiro .
Ele me escreveu pelo correio e juntos resolvemos o problema em cerca de um dia. Em fevereiro, outro autor dos programas teve o mesmo problema. Eu vi no RSDN.
O problema dos falsos positivos não está resolvido (e ninguém vai resolvê-lo).O que agora teme o resto da sua vida?
Se você também não tiver sorte, tente isso.
A metodologia de ações baseadas na experiência pessoal:- Não tente disputar imediatamente através do Google Search Console. Você pode perder tempo e aumentar seu dano.
- Limpe os arquivos encontrados pelo Google nos sites. Se você sair, o dano pode ser maior.
- Se houver versões antigas de arquivos, restaure-os. Caso contrário, veja onde seus arquivos estão hospedados na Internet e o Google não os proibirá. Envie tráfego para lá.
- Envie seu site limpo para revisão através do Google Search Console.
- Carregue seus arquivos suspeitos (um novo diretório, outro site) para um novo local e envie links para arquivos definidos incorretamente por meio do Relatório de Problema. O novo Search Console tem o mesmo link. Portanto, o Chrome é opcional.
- Aguarde desculpas dentro de 2 horas do GSB e dentro de 24 horas no Google Search Console.
- Não haverá resposta do GSB.
Você pode verificar o status dos links pesquisando no site.Primeira conclusão: o sistema de apelação é construído muito mal
(
você é o culpado por tudo, e por que e em quê, não vamos contar! )
Formulário
Falso positivo de relatório ausente.
Por exemplo, a Microsoft tem um. E a resposta vem deles. Não cancelando a inscrição, mas os resultados do teste e as ações que eles executaram. Nenhuma resposta da GSB.
Descobri que nos Estados Unidos as pessoas ligam para o suporte do Google (não é fácil) e recebem os mesmos conselhos para escrever no fórum. Ninguém no Google vai ajudar e responder.
O fórum é assistido por funcionários do Google e é provável que o leia (verificado para ler).
Mas eles raramente respondem. Ultimamente - nunca.
(
Falar consigo mesmo e com a parede não é um sentimento bom )
O tempo de resposta da apelação é muito longo.Pode demorar um dia ou dois.
O veredicto do GSB é humildemente acreditado por todos (especialmente pelo Google) .
(
Então você não vai se lavar! )
Tudo o bloqueará no Google: site, Youtube, correio, etc., se houver um diagnóstico do GSB.
O GSB lê e o Gmail. E não está claro o que e como ele pode reagir (
eu bloqueio as mensagens encontradas se elas contiverem os nomes dos vírus. Ou seja, ele encontra um vírus no texto. Essa é uma grande conquista! )
Portanto, como penso, eles se recusam a revisar. Se houver um veredicto do GSB, tudo o que você diz é ignorado. Também é ruim que você nunca saiba os motivos da recusa, porque o Google não a denuncia. (O
Google envia respostas padrão de que você é culpado de violar tudo e qualquer coisa )
Vamos descobrir em que base o veredicto do GSB.
Isso acaba sendo um mistério!
Os resultados do Virustotal, também de propriedade do Google, podem contradizer completamente as decisões da GSB.
Você conhece o antivírus GSB? Não? E eu não. E não há antivírus de Navegação segura do Google!
O GSB é uma verificação do URL ou hash de um arquivo em um banco de dados próprio.
Ninguém analisa o site em tempo real, pouco antes de você chegar lá.
Ninguém está visualizando scripts ou arquivos JS neste site.
Apenas um navegador periodicamente baixa o banco de dados no seu computador e verifica localmente.
É mais provável que o GSB responda ao comportamento.
Um novo arquivo apareceu, desconhecido para ele, e o sistema ficou tenso.
Eles começaram a baixá-lo mais do que o habitual deste site - já é perigoso.
E se o mesmo arquivo estiver em um site "ruim", por exemplo, piratas?
(
bem, com certeza - um vírus )
Mas a razão é comum. Apenas uma nova versão do programa. E eles começam a baixar mais.
Para o GSB, é normal que, se você baixar um arquivo usando um link, ele esteja infectado. Baixe o mesmo arquivo em outro link - limpo.
Surpreso?
Eu também
Isso sugere que o link seja colocado no banco de dados sem verificar seu conteúdo.(
Com base nas suposições do robô )
Isso geralmente acontece no estágio inicial de ativação do bulldog GSB. Em seguida, o bulldog é totalmente ativado e adiciona o hash do arquivo ao banco de dados. Depois disso, não importa de qual URL o arquivo foi baixado. Está marcado em todos os lugares.
Ao mesmo tempo, com 99% de probabilidade, nenhuma pessoa analisou o arquivo.
Então o bulldog segue para a próxima etapa. Ele começa a marcar todos os arquivos semelhantes no site. Ele marca os arquivos assinando digitalmente o arquivo, se houver.
Testei esse processo criando um projeto vazio e compilando-o em um arquivo exe. O arquivo assinado é detectado como malicioso. O último estágio: todos os arquivos do domínio são detectados como perigosos.
A lógica das ações do bulldog é clara: agarre e interrompa a distribuição do arquivo o mais rápido possível.
A julgar pelo histórico das detecções, fica claro que o problema começou com a detecção de URL (o hash do arquivo não foi detectado). Em seguida, a detecção aumentou a ponto de qualquer novo arquivo do site ser considerado malicioso.
A detecção é exclusivamente baseada em "princípios desconhecidos".
De qualquer forma, tudo isso é chamado de "heurística" com um certo grau de probabilidade.
E o veredicto de tal sistema não deve ser VÍRUS, mas POSSÍVEL suspeito.
Por que as viagens apareceram ao mesmo tempo para muitos, mas nunca apareceram antes?Meu palpite é que algo surgiu no GSB, por exemplo, ele treinou uma rede neural.
A rede neural encontra arquivos semelhantes. Infelizmente, nossos arquivos foram semelhantes a algum tipo de vírus.
E o GSB considera motivo suficiente para culpar o crime.
Em seguida, remova silenciosamente seus erros e relate com satisfação quantos vírus eles encontraram.
(
Se o tribunal funcionar de acordo com esse esquema, qualquer pessoa poderá ser presa amanhã )
Os pequenos sofrem
Todas as vítimas são pequenas empresas que acham difícil processar o Google. Aparentemente, eles têm grandes na lista branca. (
e você pode simplesmente ignorar os pequenos )
Pelo que entendi, no momento, a única coisa que pode ajudar o Google é remover URLs e hashes de uma lista ruim por solicitação.
Talvez o GSB seja tão bom que derrotou o malware em todo o mundo?
Não é assim.
Venho conhecendo os mesmos sites com malware há muitos anos e eles se sentem bem. O número de dects que o GSB possui também não pode me convencer. Malvar produz facilmente e rapidamente.
A própria idéia de verificar em um determinado banco de dados, que também é baixado localmente, implica um certo atraso no tempo.
(
Já pego, e depois a base baixada )
Segunda conclusão: não confie no GSB para proteger e salvar
Aqui, são necessários meios completamente diferentes.
Por que o Google precisa dessa luta contra vírus?
Para que servem todos esses esforços da equipe do GSB?
Tornar o mundo um lugar melhor?
Ou obter informações sobre sites visitados por usuários?
O Google garante que ele verifique os URLs dos sites apenas por hash e localmente no cliente, e não no servidor. E envia solicitações aos servidores do Google usando apenas hashes, não URLs completos.
www.chromium.org/developers/design-documents/safebrowsingComo funciona no Firefox:
support.mozilla.org/pt-BR/kb/how-does-phishing-and-malware-protection-workMas qual é a utilidade do GSB apenas a partir de hashes?
Talvez porque o Google também seja uma empresa que varre toda a Internet e possui um banco de dados no qual pode encontrar facilmente um hash e, assim, receber os URLs dos sites visitados e analisá-los.
O que o Google divulga.Como resultado, o Google pode receber as características comportamentais dos sites, mesmo que o Google Analytics não esteja instalado no site. Todos os dados são fornecidos pela GSB de forma totalmente gratuita.
Apesar de suas próprias regras para aplicativos "bons", ao instalar o Chrome, não há uma caixa de seleção "Ativar navegação segura" e não é óbvio para ninguém que o Chrome envia informações ao GSB.
(
Minha conclusão pessoal é que a GSB não é uma preocupação desinteressada dos vizinhos )
Mas eu gostaria que a GSB seguisse pelo menos os padrões geralmente aceitos em termos de responsabilidade por suas ações, seja aberta e compreensível para todos os participantes do processo: usuários, proprietários de sites, fabricantes de software.
(
não fique com raiva, por favor! )