Взлом без взЛома
Дата публикации: 03.06.2013

Наш сайт подвергся хакерской атаке, но только для тех, кто использует Хром 

hrom.jpg

С необычной атакой столкнулись мы, как ни странно. Хотя, наверное, все атаки необычны, т.к. это всегда что-то новое, что проходит барьеры, выставленные для старого. Необычно другое – кому мы так сильно насолили?

Наш сайт атакован без взлома, и это уже свежая идея, такой прием мы еще не встречали. Никто не ломал пароли и даже не внедрялся на сервер. Собственно говоря, по анализу наших программистов, использованы не столько уязвимости WEB-сервера, сколько противоположная сторона коннекта – браузер. По всей видимости, в Хроме (и пока только в нем) есть «дыра», через которую и атакуют хакеры, если в данном случае так можно выразиться.

Если вы зайдете на наш сайт при помощи браузера Chrom, то обнаружите предупреждение, которое вас не пустит на наш сайт. Это хоть и новый, но уже стандартный механизм всех браузеров, проверяющих сайты на вирусы. Достаточно нескольким сотням пользователей что-то отловить, как включается глобальная защита для всех остальных, кто использует этот же браузер. Недавно, кстати, Яндекс запустил суперсовременную, как утверждается, технологию подобного плана.

Но вот браузер Яндекса, да и любой другой браузер ничего подобного не делает. Блокировка включается только на Хроме и только после серии хакерских запросов из одного пула адресов. Попытка запретить эти запросы приводит лишь к смене этого пула адресов. Гугл – производитель Хрома – проверяет наш сайт своими роботами, ничего проблемного не находит и дает команду своим браузерам разрешить доступ. После этого снова происходит серийный запрос с другого пула адресов, и Гугл снова помещает сайт в карантин.

Этот процесс длиться уже 5 дней. Все зациклено на автоматические механизмы Гугла, которые четко отрабатывают заложенную в них программу.  К сожалению, в Гугле нет телефонов экстренной связи, нет адресов быстрого реагирования, да и к любым нестандартным вопросам он относится скептически. Это только, когда вскрывают сервер ЦРУ, идет сумасшедшая возня, а на мелкие сайты никто не обращает внимания. Звонки к нашим гуру по антивирусам, начиная с Касперского, привели к пониманию, что никто вирусы бесплатно не ищет, и стоит это дорогого автомобиля. Тем не менее, мы считаем этот факт уязвимостью Хрома и пытаемся достучаться до Гугла. Пока нам удалось поговорить только с роботами.

Мы привыкли, что при нападении на улице концов не найдешь – полиция бездействует, но чтобы такая же проекция в киберпространстве! Видимо, как и на улице, придется использовать принцип: помоги себе сам. Для более детального исследования процесса наши программисты предприняли контратаку, что, может быть, не совсем законно, но имеет оправдание. Им удалось установить, что атакующие программы эмулируют работу браузеров Хром, причем, зачем-то разных версий. По всей видимости, при этом используется информационный протокол обмена Хрома с Гуглом, собирающий информацию о пользователе. Гугл открыто заявляет о наличии такого обмена и при этом даже подчеркивает, что такой обмен не засекречивается, чтобы у пользователя не возникало ощущения слежки – якобы всё делается в целях удобства пользователя. Мы в это верим, вот только открытость в данном случае лишняя, по всей видимости, именно открытый протокол и используется, чтобы подсовывать Гуглу ложную информацию.

Хакерская программа делает вид, что при заходе на выбранный сайт жертвы, она атакуется вирусом, и информация об этом уходит в глобальный супервайзер, раздающий эту инфу всем другим пользователям Хрома.  Но, конечно, не все так просто. Механизм Гугла предполагает четкое определение страниц, которые заражены вирусом, а также типа вируса. При стандартном раскладе Гугл сразу направляет письмо собственнику сайта с подробным описанием проблемы. Только вот хакерская программа посылает Гуглу инфу о несуществующих страницах и с отсутствием кода ошибки по вирусу. Таким образом, жертва даже не знает, в каком направлении искать.

Мы тоже сначала грешили на сайт, использовали массу методов проверки, в том числе сторонних как  Sucuri SiteCheck (по ссылке можно посмотреть отчет), даже полностью сносили сайт. Запрашиваем проверку Гугла обращением к его роботу – проверка проходит нормально. Через несколько часов снова в карантин. При том, что на сайте ничего не менялось, логи нетронуты, в админку никто не заходил.

Учитывая то, что Хромом пользуется подавляющая часть населения, это взлом без взлома. Вот так мы прожили 5 дней, процесс идет… Уже найден и глюк у хакеров. Они не учли короткое имя - без www. По goal.ru заход не закрыт, хотя это тот же сайт. По сути - это повод начать решать проблему Хрома, но техподдержка Гугла как воды в рот набрала...


Интернет-атака подавлена
Но осадок остался
Проект «Безопасная автомагистраль»
Для чего нужно видеонаблюдение и какие вопросы оно должно решать на платных автотрассах?