A Vírusok Varázslatos Világa 35. - Linkeskedő linkek
Az internet nélkülözhetetlen elemei, a linkek visznek minket tovább keresésünk irányába, de időnként lehetnek kártékonyak is. Kik és hogyan próbálják ezeket eltéríteni, szűrni, ellenőrizni, milyen linkek lehetnek gyanúsak, és mit lehet tenni azért, hogy megóvjuk magunkat?
Régebben ha fertőzött, gyanús linkekről beszéltünk, általában e-mail mellékletekben kapott üzenetekről és az azokban szereplő hivatkozásokról volt szó. Ezek terjesztése persze nem szűnt meg, de újabban jobbára a weben és különösen közösségi portálokon, blogokon, kommentekben, valamint a Google keresési eredmények találataiban lehet ilyenekbe beleütközni. Hogy hogyan kerülnek kártevőkre mutató linkek a különféle helyekre, azt már alaposan kitárgyaltuk a sorozatunk 26. epizódjában. Arról viszont szót ejtünk, hogy pontosan mit is tesznek ellene a különféle szolgáltatások üzemeltetői.
Searching...
Ha keresésről van szó, szinte mindenki azonnal a Google oldalára gondol, és valljuk be, ez az egyik legjobb és legnépszerűbb eszköz, amit milliók használnak szerte a világon. A kártevőterjesztők úgy okoskodtak, hogy ha valami rendkívüli esemény történik, érdemes egy domaint regisztrálni, vagy fertőzött botnetes gépekre irányítani a keresőtalálatokat, azt remélve, hogy ezekre majd sokan fognak kattintani. Korábban csak alkalmilag, katasztrófák, hírességek vélt vagy valós halálhíre, Valentin-nap, kiemelkedő sportesemények megrendezése esetén került sor tömeges linkmérgezésre, de mára ez a foglalatosság ipari méretűvé nőtt, és állandóan veszélyezteti a netezőket.
A Symantec végzett egy felmérést, amelyből az derült ki, hogy szervezettebb és automatizáltabb ez a jelenség, mint azt korábban gondoltuk volna. A háttérben gyaníthatóan a hamis antivírus programok fejlesztői állhatnak, erről tanúskodik az az adat is, miszerint a webes keresők első 70 találatának körülbelül 68 százaléka vezet rendszerint kártékony oldalakra, és ezek szinte mindig az emlegetett pánik programokat tartalmazzák. Nem kell hát vulkán, nem kell Storm Worm, Eurovíziós dalfesztivál, NHL kupa, ezektől teljesen függetlenül állandó jelleggel folyik a Google Trends monitorozása, automatizált kihasználása. A vizsgálatok eredményei, amelyet a Google 2010. márciusi és áprilisi találatai alapján végeztek, azt mutatták, hogy a napi aktuális top 10 keresőszó alapján indított keresések eredményei közül mindig volt legalább három olyan, ahol kártékony linkekre mutattak a hivatkozások.
Ágnes asszony a patakban linkjeit mossa
Emiatt a Google-nél több millió oldalt vizsgálnak át naponta. Ez az elemzés a hatalmas meglévő és keletkező mennyiség miatt – a víruslaborokba ömlő napi sok ezer mintához hasonlóan – nem emberi, hanem automatikus feldolgozást jelent.
Elsőként azt nézik meg, hogy egy adott URL tartalmazza-e a „bank” vagy a „login” szavakat, illetve szerepel-e benne domainnév helyett gyanakvásra okot adó IP-cím, nem szokatlanul hosszú-e az URL-sor – ezek mind gyanús jelek lehetnek. A továbbiakban aztán ellenőrzésre kerül, tartalmaz-e jelszó („password”) nevű űrlapmezőt, megnézik a host szerverek területi információit stb. Utolsó lépésként pedig ellenőrzik az adott oldal esetleges adathalász-, spam-, illetve kártevőgyanús visszajelzéseit, a kétes domainhostot és hasonlókat. Ezek az összetett információk adnak aztán egy végső képet, ami alapján ha a Google szükségesnek látja, feketelistára teheti a linket.
Az automatikus ítélet miatt elvétve előfordulhat hamis riasztás, de szerintük az ilyesmi pozitív esélye csekély, 1 a 10 000-hez. Nyilván az otthoni gépünknél csak egyedül erre az elemzésre támaszkodni helyi biztonsági programok helyett badarság lenne, de azokat ha némi késéssel is, de jól kiegészítheti. Persze az időfaktor is igen lényeges, valószínűleg a kártevőterjesztők sokkal gyorsabbak, és amíg a Google gépezete le is tiltja a linkek egy részét, addigra már régen újabbak vannak a nyitó oldalakon.
RaiN122
2010-09-01 20:57:16
Válasz