Яндекс стал антивирусом

Развитие событий: "Яндекс" спаивается с "В контакте" (26 августа 2010)

Яндекс создал собственный антивирус. Как сообщается в пресс-релизе компании, "антивирусный комплекс Яндекса отличается от уже используемой технологии компании Sophos и построен на поведенческом подходе. Имитируя поведение пользователя, антивирус заходит на сайт и анализирует, что происходит в системе". Софос продолжает работать - "благодаря различию в технологиях, антивирусы Яндекса и Sophos находят разные вирусы — пересечение составляет около 34%"

Статистика Яндекса гласит, что лишь 8% пользователей раскрывают блок-предупреждение о том, что сайт заражен. Но переходит на зараженный сайт несмотря на предупреждение  всего полпроцента.

Руководитель отдела антивирусных разработок и исследований компании "Доктор Веб" Сергей Комаров считает поведенческую технологию "перспективной и довольно эффективной", но, по его данным, она уже используется другими разработчиками. "Проблема в том, что она теоретически способна защитить пользователей только тех сайтов, которые проиндексированы "Яндексом" и на которые заходил антивирусный робот компании. Но, к примеру, если пользователю присылают ссылку на зараженный сайт, то велика вероятность, что этого ресурса не окажется в базе "Яндекса"",— отметил руководитель центра глобальных исследований и анализа угроз "Лаборатории Касперского" Александр Гостев (Коммерсант)

поведенческий подход уже не обеспечивает необходимой скорости реакции, замечает руководитель центра глобальных исследований «Лаборатории Касперского» Александр Гостев. Для обнаружения вирусов в интернете следует не только имитировать поведение пользователя, но и анализировать его реальные действия (Ведомости)

Добавить 45 комментариев

  • Ответить
    Альтер Эго

    > видимо не смогли договориться с норм. партнером и сделали сами, путь для яндекса типичный Да он для всех типичный. Это называется синдром NIH, not invented here. Что сделано не внутри, то говно. Вот Гугл когда хотел сделать почтовый антиспам, обошел многих игроков, пытался лицензировать. А потом сделал все сам, потому что ведь хрен ли там делать, в самом деле. Ведь в компании работают самые гениальные инженеры в мире. И сейчас гугль имеет собственный херовый антиспам, затянутый до предела по жесткости детекции. Вот так Гугль и обманывает своих пользователей, показывая им, как чистенько стало в инбоксе. А сам кладет пачками хорошие письма в корзину — а быдлопользователи туда и не смотрят, и он это знает. С поведенческим анализатором у Яндекса гарантированно будет много ложных срабатываний, но ведь пользователи не пойдут на эти сайты, они туда не заглянут (там же ВИРУС!!!) и потому не узнают про ложную тревогу. И все будут щасливы.

  • Ответить

    тут скорее всего симптом — априорного знания всего по всем вопросам (иногда при полном непонимание) антивирусники видимо его не поняли (хотя у них тоже такой симптом в полной мере, но в своей области) -- до пользователей дела естественно нет никому (слов конечно море), ситуация с вирусами/троянами в инете реально пугающая -- не рассматривая вопрос что еще совсем недавно яндекс говорил что закладки на проиндексированных сайтах и переходы на них с яндекс не их дело

  • Ответить
    Денис Бесков школа системного анализа

    Гугл всё-таки не только сделал свои анти-V/S-технологии, но и купил таковые технологии у Postini и GreenBorder и интегрировал в некоторые продукты.

  • Ответить
    Альтер Эго

    а то. были же вирусы и на РБК и на соурсфоржде и вон даже на сайте Есет НОД. Так что проще поверить. Кстати как извинятся за ложные срабатывания будут. Это же пятно и скандал. а может и нет ничего, фолс аларм.

  • Ответить
    Альтер Эго

    Смысл писать в тех. поддержку компании, которая по ключевому направлению своей деятельности использует лишь один шаблон ответа на вопрос — «так работаю наши алгоритмы, мы тут бессильны» во многих своих вариациях? Я более чем уверен, что последствия этой могучей жизненной установки в конечном итоге и потопят Яндекс, как поисковик. Неумение признавать свои ошибки рано или поздно приведёт к скоплению критической массы принципиальных отличий в качестве выдачи от не скажу какой ПС.

  • Ответить
    Альтер Эго

    «так работаю наши алгоритмы, мы тут бессильны» — не совсем корректно, скорее не «мы тут бессильны», а «мы никакой ответственности не несём и вообще никакого отношения к происходящему не имеем»

  • Ответить

    врядли потопят да и подход скорее — собаки лают — караван идет обратная связь или отсутствует или тщательно скрывается -- тут в полной мере проявилась, вещали что не их дело, когда другой ПС выдачу давно проверял на закладки

  • Ответить

    Это называется они построили honeypot или лицензировали у кого-то. Видимо, автоматом запускают в виртуалках разные сайты и смотрят, что происходит и/или сигнатуры эскплойтов ищут в контенте. Если случается бяка — помечают сайт. Нормальная такая тема. Только это не так сильно актуально уже для юзера. Firefox вовсю ругается на сайты с бякой совершенно бесплатно. Могу предоположить есть хороший плюс только, что вебмастеры быстрее почищут свои сервера, когда увидят, что переходы с поисковика упали и в выдаче гадости про сайт говорят.

  • Ответить

    а у вас какие скорости реакции, сколько страниц/сайтов в базе, сколько с закладками? — Цитата неубедительная: Каждый день предупреждение о вирусах появляется в результатах поиска «Яндекса» около 3 млн раз. Ежемесячно с помощью антивируса компании Sophos и собственной разработки «Яндекс» проверяет около 150 млн страниц. В феврале 2010 года число зараженных страниц в антивирусной базе данных «Яндекса» достигло 400 тыс. 43,6% из них приходятся на доменную зону .com, 12.4% — .ru, 8.2% — .net. -

  • Ответить

    да уж. проблема ложных срабатываний Яндексе, похоже, растет вширь. ну, понятно, да, что это проблема тех, на кого срабатывает. для самого Яндекса это не проблема, и, наверное, и не будет. но что-то здесь все-таки непраильно. :)

  • Ответить
    Альтер Эго

    потопят Яндекс, как поисковик. А мне кажется Яндекс уже давно стал топить самого себя, когда начал выводить wiki-помойку не просто в первых результатах поиска, а выше чем оф. сайты. Антивирусная проверка сайтов поисковиком это конечно хорошо, но когда эта проверка на чистые сайты ругается, а на заражённые пускает свободно, что то сомнения берут в целесообразности такой проверки и достоверности выводимых предупреждений. Пример допустим, правда без собственного антивируса Яндекс, осень прошлого года. Начиная с сентября и заканчивая декабрём сайт download master постоянно раздавал различные эксплоиты и другие прелести. Специально на всем протяжении вбивал в Яндекс запрос по download master. Ни разу не увидел предупреждения о том что этот сайт опасен. И в то же время не однократно встречал предупреждения о опасности. Но при переходе на «опасный сайт» ничего опасного там и не присутствовало вовсе. Ни вредоносного iframe ни чего либо другого.

  • Ответить

    ;-) В субботу нас пометили, как сайт несущий заразу. через 15 минут после обращения/жалобы — перепроверили типа и сняли карантин этот. В общем сталкиваемся с завидной периодичностью. Что-то вроде раз за два месяца. Любопытно, как при одной проверке нашли, а при другой через 15 минут — не нашли. Чем проверяют-то самих себя? :) Или тупо махнули рукой : — А и х. с ними.

  • Ответить

    >> для самого Яндекса это не проблема, и, наверное, и не будет. Ну почему. А если в суд подать и обвинить в распространении клеветнической информации и порчи деловой репутации? Доказать, конечно, сложно будет, наверное. всё-таки не в Америке. Но с другой-то стороны. что это если не оно самое? Когда по всему рунету о тебе такое говорят. По меньшей мере если такое провисит 1 день, а не 15 минут, то её увидят многие тысячи человек. Если газеты можно засудить, то почему этих нельзя? :)

  • Ответить

    remud, скажите, пожалуйста, адрес сайта, мы проверим (можно написать в службу поддержки). Вообще, такое мигание чаще всего связано с тем, что заражен один из серверов баннерной сети. Но нужно проверять. Скорее всего, что-то нехорошее на сайте точно было.

  • Ответить

    > обвинить в распространении клеветнической информации не знаю, не юрист же, но че-т сомнительно. непонятно вот что. если сайт попал под раздачу подозрение, и в СЕРПе про него пишут плохое — Яндекс вебмастеру не сообщает об этом, нет?

  • Ответить

    и то хлеб. хотя, наверное, с учетом того, что Яндекс вполне умеет и по-другому контакты находить (whois-ы смотреть, страницы типа. ./contacts.htm) мож, имело бы смысл и по ним предупреждать. а то некрасиво получается — антивирус глюченный, а сайт-то чем виноват? а вы ему бам — пятно в репутацию.

  • Ответить

    ну, хорошо, в общем-то, можно читать мое «антивирус глюченный» как «а если случится у антивируса глюк». с другой стороны, Вы ж тоже не исключаете, что а) антивирус может глюкнуть («Скорее всего, что-то нехорошее на сайте точно было») б) среагировать на какой-то временный фактор, типа «заражен один из серверов баннерной сети» ну и факты «ложных срабатываний» вообще у Яндекса достаточно не редки, насколько можно судить по сообщениям. я, по крайней мере, имел опыт. правда, это не робот из Яндекса был :)

  • Ответить

    мне интернет магазин про ложные срабатывания написал (и общение с тех поддержкой), так «антивирус глючный» похоже на правду -- предметный разговор может быть если Just напишет что ложных срабатываний нет и быть не может

  • Ответить

    Конечно, точность не 100%, но фолсов единицы на сотни тысяч. Давайте примеры ошибок, иначе разговоры не имеют смысла. Сейчас и ваши утверждения голословны, и мы точность обнаружения не повысим. Ни одного сайта в пример до сих пор не привели. Были, мол, когда-то где-то какие-то фолсы, ну, а переписка со службой поддержки, как всегда, была ужасной. Эти заявления мы слышим регулярно. Чаще всего от спамеров :) Что касается заражения баннерных сетей, то это опасная вещь. Вредоносный код выполняется нерегулярно, а для уверенного обнаружения нужны очень большие мощности. Ну и да, мы считаем правильным повесить на сайт предупреждение, если он использует зараженную баннерную рекламу.

  • Ответить

    отправляю сказавшему ссылку на это обсуждение, захочет скажет/приведет пример — ну и цифры вы «левые» традиционно приводите, ни о чем, я про это выше написал — к примеру, на сотни тысяч (кстати важно страниц или сайтов) единицы правильных срабатываний и единицы ложных, или десятки правильных и единицы ложных и т. п. и может вам где то показывать данные публично, статистику, зараженный сайты

  • Ответить

    >> ну, а переписка со службой поддержки, как всегда, была ужасной. Не знаю как на счёт ужасной. Нам же буквально сразу переправили статус. Но вот то, что она в одностороннем порядке идёт — факт давно известный и печальный. Это касается, кстати, не только антивируса, но и вообще яндекса в целом. Я даже не представляю, как разговаривать с яндексом, если не через нажим на конкретных сотрудников, которые выносить будут вопрос на обсуждение в кругу лиц, которые уже будут разбирать не конкретную ситуация, а в целом что там происходит. >> Давайте примеры ошибок, А вы их разве выдаёте? Мне казалось, что вы ставите перед фактом. А что именно было сочтено за вредоносное средство не сообщаете. Разве только страничку, на которой нашли. более конкретно не указываете.

  • Ответить

    remud, мы думаем, как указывать на проблему более точно, но пока что ограничиваемся страницами, да. Если вам этого не достаточно, обращайтесь, пожалуйста, в службу поддержки, вам обязательно помогут найти и устранить вредоносный код. Про переправили статус: вы же удалили перед этим код, верно? Про односторонний порядок: вы посылаете письма, а вам вообще не отвечают, или как? Про «ставите перед фактом»: как только мы нашли вредоносный код, мы сразу предупреждаем пользователя, чтобы он не заразился. Другие схемы с предварительным уведомлением снижают эффективность подобных предупреждений. Пока веб-мастер реагирует, пользователи заражаются.

  • Ответить

    непонятно кому и верить (или домыслять что в .ру кардинально выше количество зараженных страниц на сайт): -- обзор Больше всего (более 31%) известных нам опасных сайтов располагается в зоне .com. Чуть меньше — в Рунете (30%). Также довольно часто нам приходится пополнять базу названиями китайских доменов из зоны .cn (чуть более 9%). -- Коммерсант Каждый день предупреждение о вирусах появляется в результатах поиска «Яндекса» около 3 млн раз. Ежемесячно с помощью антивируса компании Sophos и собственной разработки «Яндекс» проверяет около 150 млн страниц. В феврале 2010 года число зараженных страниц в антивирусной базе данных «Яндекса» достигло 400 тыс. 43,6% из них приходятся на доменную зону .com, 12.4% — .ru, 8.2% — .net. -- ну, а процедуру нужно обсуждать и продумывать с учетом мнения и интересов разных сторон

  • Ответить

    > мы считаем правильным повесить на сайт предупреждение, > если он использует зараженную баннерную рекламу пользователя предупреждать об опасности, конечно, надо. но раз: пользователь, просматривающий выдачу, читая формулировку «этот сайт может нанести вред», ее именно в таком виде (про сайт) и воспринимает. хотя вряд ли пользователь будет вникать в разницу с, например, «баннеры на этом сайте могут нанести вред». но два: это как раз спамеры регулярно проверяют выдачу поисковиков на предмет своих сайтов. а средний вебмастер, особенно начинающий, про бяку такую может и не узнать. и так как он скорее всего в Я.Вебмастере не зарегился, то уж хотя бы на контакты из хуиза отправлять предупреждение при этом следовало бы, наверное?.. а про техподдержку да. совсем не ужасно, когда типа так: 1) робот срабатывает: spam detected 2) вебмастер → саппорту: а что это с моим сайтом? 3) саппорт смотрит в книжку, читает, что spam detected, отвечает стандартным письмом в ответ спамеру № 1 4) вебмастер ниче не понимает, просит объяснить 5) саппорт отвечает стандартным письмом в ответ спамеру № 2 ну и т. д. а спамеры — они ж такие, они ж за свой сайтик с поддержкой бицца готовы, они продолжают письма слать. это только белые и пушистые вебмастера на прибитый поисковиком в ответ пяток-десяток сделают :)

  • Ответить

    > Пока веб-мастер реагирует, пользователи заражаются, а что, если в Яндексе так озабочены здоровьем пользователей — не думали антивирус в Бар встроить? уж незнаю, можно ли из Бара перехватить содержимое страницы до того, как ядро браузера его обработает.

  • Ответить

    у яндекс нет полноценной антивирусной экспертизы и нормально они закрыть вопрос не могут — ну, а антивирусники не хотят правильное и актуальное решение делать и не продать его проше глюкалы под Win конечному пользователю продавать

  • Ответить

    >> Про переправили статус: вы же удалили перед этим код, верно? Не, верно как раз то, что мы ничего вообще не делали с сайтом. >> Про односторонний порядок: вы посылаете письма, а вам вообще не отвечают, или как? Да, в частности это означает, что из 3х вопросов, например, один игнорируется. Причём иногда этот один для нас в принципе важнее всех остальных. Или стандартная формулировка какая-нибудь.. «Мы приняли во внимание, разберёмся.. » На деле обычно это означает, что ни ответа ни корректировок никаких не произойдёт. >> Пока веб-мастер реагирует, пользователи заражаются. С другой стороны — пока вы трубите ложную тревогу — компания несёт убытки. >> вам обязательно помогут найти и устранить вредоносный код. Ну не было кода :) Кроме того просьба более подробно рассказать, что было воспринято за ошибку — игнорируется. Сложно ответить по какой причине. Честно говоря с конкретным случаем разбираться не хочется даже. Сделайте это не для кого-то, а для всех сразу. Чтобы проблем не было.. выкладывайте значит не только страницу, но и ту часть, которая была принята за вредоносную.