Véletlenül malware-terjesztőnek nézte a Microsoft biztonsági terméke a google.com-ot

 ( trey | 2012. február 16., csütörtök - 15:15 )

Az embernek olyan déjà vu érzése támad. Tavaly szeptember végén véletlenül malware-nek nézte a Microsoft biztonsági terméke a Google böngészőjét. Kedden pedig arra kezdtek panaszkodni az emberek, hogy redmondi vállalat biztonsági terméke (Forefront és a Security Essentials) blokkolni kezdte a google.com-ot arra hivatkozva, hogy az Exploit:JS/Blacole.BW malware-t terjeszt. Később kiderült, hogy semmi ilyesmiről nincs szó. A Microsoft megerősítette, hogy false positive-ről van szó és a 1.119.1986.0 (vagy frissebb) update-től kezdve a problémát korrigálták. A probléma a visszajelzések szerint meg is szűnt. Részletek itt.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Nyilván direkt volt.


[ NeoCalc - Earnings Calculator for NeoBux ]

Baromira leszarja az ember, hogy direkt vagy nem direkt, ha több ezer kliens van a háta mögött és azok egyszerre üvöltik, hogy "ez meg mííííííí??!!???!!".

--
trey @ gépház

Pedig a user-ek olyat nem is szoktak.


[ NeoCalc - Earnings Calculator for NeoBux ]

Elképzelem, ahogy reggel körbemegy a mail a fejlesztőknek, hogy "Hé, srácok, ma valahogy igazán ütősen kellene elkúrni! Szóval itt van ez a Google, nagy is , meg konkurens is, ugyan ismerjük már fel az oldalát biztonsági fenyegetésnek."

(Gyengébbek kedvéért, szvsz egyszerű mellényúlás.)

vagy az osztályozó algoritmusban volt egy signed integer overflow+wraparound, és hirtelen a google megbízhatósági indexe -2^31 lett XDXD

Az a baj, ezzel (a gyengébbek kedvéért), hogy az ilyen termékek jóságának egyik fokmérője a false positive-ok aránya.

--
trey @ gépház

Viszont kérdés, hogy súlyozod-e a false positive találatokat a vizsgált "objektum" "jelentőségével". Pl. számít-e, hogy a google.com-ot vagy a hunger.hu-t (bocs :)) tekinti hibásan malware terjesztőnek.
Nyilván a userek szemszögéből számít, de algoritmikusan szerintem elhanyagolható tényező, ugyanis ha egy oldal tényleg malware-t terjeszt, akkor miért tekintenénk a magasabb pagerankú oldalt kevésbé veszélyesnek.

Nem értem miről beszélsz, ezért megpróbálom összefoglalni:

Most valóban párhuzamba állítod azt, hogy egy keményen fizetős termék (Forefront) banra vágja a világ egyik legnagyobb keresődomain-jét, vállalatok munkáját akadályozva, azzal, hogy a Google ingyenes, opcionálisan használható szolgáltatása mellédetektál (?) egy gyakorlatilag ismeretlen domaint?

--
trey @ gépház

Hmm, a google.com ismeretlen domain? ;)

tl;dr, mi?

jah, nem olvas a trey

"Nem értem miről beszélsz"

Adott egy szoftver, ami "valami" alapján a domaineket besorolja valamilyen státuszba. Ha történetesen a google.com-ot sorolja át a fertőzött státuszba, az a szoftver szempontjából pont ugyanaz, mintha a hunger.hu-t vagy a hup.hu-t sorolta volna át, és egyáltalán nem érdekli, hogy az oldal napi pár száz, vagy napi pár milliárd kérést szolgál ki. Mivel egy ilyen szoftvert elég nehéz úgy megírni, hogy ne legyenek false positive match-ek, ezért teljesen normális* viselkedés az, ha néha a hunger.hu-t, néha pedig a google.com-ot sorolja fertőzött státuszba, és ezzel tisztában kell lennie azoknak is, akik ezt a szoftvert használják.

Persze az ms megtehetné, hogy számon tart egy "top 100" domain listát, és ha egy ilyennek változna a státusza, akkor manuális ellenőrzést kér rá, viszont hogy döntöd el, hogy melyik oldal kerüljön be ebbe a listába, és melyik nem. Nyilván minden domaint kézzel ellenőrizni nem lehet. Nem biztos, hogy jobb, de biztonságosabb és gazdaságosabb megoldás, ha automatikusan változik a státusz és a felhasználói visszajelzésekre tartanak fenn csapatot akik feladata a false positive hibák javítása.

*: a google cache-be könnyedén bekerülhetnek fertőzött oldalak, és bár ezt a google próbálja megakadályozni, a sajtát rendszerük is néha ejt false negative hibákat

"és egyáltalán nem érdekli"

pont hogy kurvára kéne érdekelnie. egybites víruskeresőt én is tudok írni, de abban nem lesz köszönet:-)
Azért a tűzfalszerű izéért meg pont azért fizetnek a cégek mint a katonatiszt, hogy ilyen ne történjen.

"Persze az ms megtehetné, hogy számon tart egy "top 100" domain listát, és ha egy ilyennek változna a státusza, akkor manuális ellenőrzést kér rá, viszont hogy döntöd el, hogy melyik oldal kerüljön be ebbe a listába, és melyik nem. Nyilván minden domaint kézzel ellenőrizni nem lehet."

Megnevezzem neked azt a terméket, amiért fizetek és így csinálják (gyakorlatilag azért fizetek nekik, hogy ilyesmit csináljanak)?

--
trey @ gépház

Jobb helyeken úgy hallottam tesztelik a terméket. Ne adj isten fel van telepítve a készítőknél, és nem mentek fel a google-re? Senki? A binget használják, a világ ~90%-a meg dögöljön meg. :)

Én úgy tudom, hogy ms policy, hogy eat your own dogfood, tehát igen, a microsoftnál valószínűleg senki nem használ google-t. :)

Egyébként valószínűleg napi több ezer domain vált státuszt (fertőzöttről tisztára és vice versa), nem túl reális elképzelés ezek egyenkénti, kézzel való ellenőrzése.

".. nothing personal, it is just good business."

http://www.youtube.com/watch?v=ZHSBZc8Mp0Y

Véletlenül pont a versenytársat... aha. Én elhiszem csak a ruha rajtam az nem hiszi el. :-)

Mé, nem az?

+1 :))

--
NetBSD - Simplicity is prerequisite for reliability

Nem. Spyware.

Nem minden malware spyware, de minden spyware malware az megvan?

Kár, hogy nem veszed a poént. A másik, hogy miért is hoztak létre egy olyan kategóriát, hogy spyware? Miért nem fért bele a malware meghatározásba. Csak kérdezem, ha már a téma szakértője vagy.

Nem vagyok a téma szakértője, de ez olyan mintha azt kérdezted volna hogy miért van a zöldség kategória amikor ott van nekik a növény kategória.

2. jön a farkas jön a farkas....

várom hogy mi lesz a 3. után :D

zárójelben megjegyzem, hogy inkább legyen fals blokkolás, mint ha tényleg gond van akkor nem véd meg legyen bármi (pl életben is a járványveszély felhívás+óvintézkedés, mintsem kipusztulás)

Hunger - Ezek szerint a kérdés még mindig adott :)
http://hup.hu/node/73673 + http://hunger.hu/google-on-safebrowsing.png
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

Jah, akartam is beírni, hogy hol itt a gond, hisz a Google saját bevallása szerint is malware-t terjeszt.

google.com:

Has this site hosted malware?
Yes, this site has hosted malicious software over the past 90 days. It infected 110 domain(s)

;))

balfaszok

--
Live free, or I f'ing kill you.

veletlenul egyel lejjebb irtad a kommentet

--
NetBSD - Simplicity is prerequisite for reliability

Mi is beszoptuk, nalunk email obfuszkalo js miatt vinnyogott.
Azota legalabb kello mennyisegu spamet kapunk. Koszonjuk.

mindennek az alja...ha már máshogy nem megy,,,,egy-egy napra "véletlenül" letiltjuk a konkurenciát, a kedves ügyfél meg majd azt mondja, hogy hát ez így nem stabil, oszt megy a Live-ra. Mostanában mindenhol teleszemetelték az MS fizetett vizsgálataival a netet, hogy a hotmail milyen szuper. Egy hete kb mindenhol felbukkannak az ilyen elemzések. Kár hogy az én hotmail-es fiókomba a spam-ek fele az inboxomban köt ki és egy csomó levél meg a spam-be megy aminek nem kellene. Közben attól hangos a net, hogy a gmail milyen szar....nyihahahahaha

mondom...legalja.ms

Szar dolog az üldözési mánia. Ennél jobbat már csak az egyik friss HWSW-s kommenten röhögtem mostanában (csak erős idegzetűeknek!).


[ NeoCalc - Earnings Calculator for NeoBux ]

Nézd, ez nem üldözési mánia. Monopol (majdnem) helyzetben vagyok. Elrontok valamit, hogy a másiknak ne legyen jó, majd elnézést kérek. Ismét elrontom, majd elnézést kérek. Még párszor elrontom, sűrű elnézések közepette. Majd javaslom a felhasználónak a másik termékek használatát, amivel ez nem fordulhat elő.

Ez business. Csináltak már ilyet és csinálni is fognak.

"Monopol (majdnem) helyzetben vagyok. Elrontok valamit, hogy a másiknak ne legyen jó, majd elnézést kérek. Ismét elrontom, majd elnézést kérek. Még párszor elrontom, sűrű elnézések közepette. Majd javaslom a felhasználónak a másik termékek használatát, amivel ez nem fordulhat elő."

Ebből annyi fedte a valóságot, hogy:

"Monopol (majdnem) helyzetben vagyok. Elrontok valamit, hogy a másiknak ne legyen jó, majd elnézést kérek. Ismét elrontom, majd elnézést kérek. Még párszor elrontom, sűrű elnézések közepette. Majd javaslom a felhasználónak a másik termékek használatát, amivel ez nem fordulhat elő."

A többire vagy nincs bizonyíték (pusztán spekuláció, hogy szándékos volt), vagy egyszerűen nem igaz (az MS se antivírus, se kereső piacon nincs még a közelében sem a monopóliumnak, és nem is ajánlottak más, saját terméket, illetve összesen kétszer történt ilyen), és csak a képzeleted szüleménye. És igen, ez üldözési mánia :-)


[ NeoCalc - Earnings Calculator for NeoBux ]

Nem hiszem, hogy direkt volt, de ilyet kiengedniük ciki. A tesztelő csapatot/módszert kicsit minősíti... Azért ilyen false positive-ok másoknál nem nagyon voltak tudtommal... csak a forrás került a netre :-).