Véletlenül malware-terjesztőnek nézte a Microsoft biztonsági terméke a google.com-ot

Microsoft, Windows

Az embernek olyan déjà vu érzése támad. Tavaly szeptember végén véletlenül malware-nek nézte a Microsoft biztonsági terméke a Google böngészőjét. Kedden pedig arra kezdtek panaszkodni az emberek, hogy redmondi vállalat biztonsági terméke (Forefront és a Security Essentials) blokkolni kezdte a google.com-ot arra hivatkozva, hogy az Exploit:JS/Blacole.BW malware-t terjeszt. Később kiderült, hogy semmi ilyesmiről nincs szó. A Microsoft megerősítette, hogy false positive-ről van szó és a 1.119.1986.0 (vagy frissebb) update-től kezdve a problémát korrigálták. A probléma a visszajelzések szerint meg is szűnt. Részletek itt.

Elképzelem, ahogy reggel körbemegy a mail a fejlesztőknek, hogy "Hé, srácok, ma valahogy igazán ütősen kellene elkúrni! Szóval itt van ez a Google, nagy is , meg konkurens is, ugyan ismerjük már fel az oldalát biztonsági fenyegetésnek."

(Gyengébbek kedvéért, szvsz egyszerű mellényúlás.)

Viszont kérdés, hogy súlyozod-e a false positive találatokat a vizsgált "objektum" "jelentőségével". Pl. számít-e, hogy a google.com-ot vagy a hunger.hu-t (bocs :)) tekinti hibásan malware terjesztőnek.
Nyilván a userek szemszögéből számít, de algoritmikusan szerintem elhanyagolható tényező, ugyanis ha egy oldal tényleg malware-t terjeszt, akkor miért tekintenénk a magasabb pagerankú oldalt kevésbé veszélyesnek.

Nem értem miről beszélsz, ezért megpróbálom összefoglalni:

Most valóban párhuzamba állítod azt, hogy egy keményen fizetős termék (Forefront) banra vágja a világ egyik legnagyobb keresődomain-jét, vállalatok munkáját akadályozva, azzal, hogy a Google ingyenes, opcionálisan használható szolgáltatása mellédetektál (?) egy gyakorlatilag ismeretlen domaint?

--
trey @ gépház

"Nem értem miről beszélsz"

Adott egy szoftver, ami "valami" alapján a domaineket besorolja valamilyen státuszba. Ha történetesen a google.com-ot sorolja át a fertőzött státuszba, az a szoftver szempontjából pont ugyanaz, mintha a hunger.hu-t vagy a hup.hu-t sorolta volna át, és egyáltalán nem érdekli, hogy az oldal napi pár száz, vagy napi pár milliárd kérést szolgál ki. Mivel egy ilyen szoftvert elég nehéz úgy megírni, hogy ne legyenek false positive match-ek, ezért teljesen normális* viselkedés az, ha néha a hunger.hu-t, néha pedig a google.com-ot sorolja fertőzött státuszba, és ezzel tisztában kell lennie azoknak is, akik ezt a szoftvert használják.

Persze az ms megtehetné, hogy számon tart egy "top 100" domain listát, és ha egy ilyennek változna a státusza, akkor manuális ellenőrzést kér rá, viszont hogy döntöd el, hogy melyik oldal kerüljön be ebbe a listába, és melyik nem. Nyilván minden domaint kézzel ellenőrizni nem lehet. Nem biztos, hogy jobb, de biztonságosabb és gazdaságosabb megoldás, ha automatikusan változik a státusz és a felhasználói visszajelzésekre tartanak fenn csapatot akik feladata a false positive hibák javítása.

*: a google cache-be könnyedén bekerülhetnek fertőzött oldalak, és bár ezt a google próbálja megakadályozni, a sajtát rendszerük is néha ejt false negative hibákat

"Persze az ms megtehetné, hogy számon tart egy "top 100" domain listát, és ha egy ilyennek változna a státusza, akkor manuális ellenőrzést kér rá, viszont hogy döntöd el, hogy melyik oldal kerüljön be ebbe a listába, és melyik nem. Nyilván minden domaint kézzel ellenőrizni nem lehet."

Megnevezzem neked azt a terméket, amiért fizetek és így csinálják (gyakorlatilag azért fizetek nekik, hogy ilyesmit csináljanak)?

--
trey @ gépház

Én úgy tudom, hogy ms policy, hogy eat your own dogfood, tehát igen, a microsoftnál valószínűleg senki nem használ google-t. :)

Egyébként valószínűleg napi több ezer domain vált státuszt (fertőzöttről tisztára és vice versa), nem túl reális elképzelés ezek egyenkénti, kézzel való ellenőrzése.

( 4fonya | 2012. 02. 16., cs – 15:34 )

Véletlenül pont a versenytársat... aha. Én elhiszem csak a ruha rajtam az nem hiszi el. :-)

( csabka v | 2012. 02. 16., cs – 16:32 )

2. jön a farkas jön a farkas....

várom hogy mi lesz a 3. után :D

zárójelben megjegyzem, hogy inkább legyen fals blokkolás, mint ha tényleg gond van akkor nem véd meg legyen bármi (pl életben is a járványveszély felhívás+óvintézkedés, mintsem kipusztulás)

( anr | 2012. 02. 16., cs – 18:18 )

balfaszok

--
Live free, or I f'ing kill you.

( wladek1 | 2012. 02. 16., cs – 21:01 )

Mi is beszoptuk, nalunk email obfuszkalo js miatt vinnyogott.
Azota legalabb kello mennyisegu spamet kapunk. Koszonjuk.

( golgota | 2012. 02. 17., p – 07:43 )

mindennek az alja...ha már máshogy nem megy,,,,egy-egy napra "véletlenül" letiltjuk a konkurenciát, a kedves ügyfél meg majd azt mondja, hogy hát ez így nem stabil, oszt megy a Live-ra. Mostanában mindenhol teleszemetelték az MS fizetett vizsgálataival a netet, hogy a hotmail milyen szuper. Egy hete kb mindenhol felbukkannak az ilyen elemzések. Kár hogy az én hotmail-es fiókomba a spam-ek fele az inboxomban köt ki és egy csomó levél meg a spam-be megy aminek nem kellene. Közben attól hangos a net, hogy a gmail milyen szar....nyihahahahaha

mondom...legalja.ms

Nézd, ez nem üldözési mánia. Monopol (majdnem) helyzetben vagyok. Elrontok valamit, hogy a másiknak ne legyen jó, majd elnézést kérek. Ismét elrontom, majd elnézést kérek. Még párszor elrontom, sűrű elnézések közepette. Majd javaslom a felhasználónak a másik termékek használatát, amivel ez nem fordulhat elő.

Ez business. Csináltak már ilyet és csinálni is fognak.

"Monopol (majdnem) helyzetben vagyok. Elrontok valamit, hogy a másiknak ne legyen jó, majd elnézést kérek. Ismét elrontom, majd elnézést kérek. Még párszor elrontom, sűrű elnézések közepette. Majd javaslom a felhasználónak a másik termékek használatát, amivel ez nem fordulhat elő."

Ebből annyi fedte a valóságot, hogy:

"Monopol (majdnem) helyzetben vagyok. Elrontok valamit, hogy a másiknak ne legyen jó, majd elnézést kérek. Ismét elrontom, majd elnézést kérek. Még párszor elrontom, sűrű elnézések közepette. Majd javaslom a felhasználónak a másik termékek használatát, amivel ez nem fordulhat elő."

A többire vagy nincs bizonyíték (pusztán spekuláció, hogy szándékos volt), vagy egyszerűen nem igaz (az MS se antivírus, se kereső piacon nincs még a közelében sem a monopóliumnak, és nem is ajánlottak más, saját terméket, illetve összesen kétszer történt ilyen), és csak a képzeleted szüleménye. És igen, ez üldözési mánia :-)

[ NeoCalc - Earnings Calculator for NeoBux ]

( wachag | 2012. 02. 17., p – 12:55 )

Nem hiszem, hogy direkt volt, de ilyet kiengedniük ciki. A tesztelő csapatot/módszert kicsit minősíti... Azért ilyen false positive-ok másoknál nem nagyon voltak tudtommal... csak a forrás került a netre :-).