Dobrý den,
rádi bychom Vás informovali o zjištěních společnosti Symantec ohledně hodnocení Vašeho serveru službou Norton SafeWeb. Společnost Symantec provedla revizi použitého postupu a zjistila následující:

Služba Norton SafeWeb prověřuje webové stránky jako celek, zkoumá proto veškeré informace, které stránky obsahují. Hodnotí tak všechny skripty včetně těch, které se nachází na stránkách či blozích, na které hodnocené servery odkazují.

Z uvedeného vyplývá, že když odkážeme na server, kde je malware, je tím pádem i náš server hodnocen jako nebezpečný. Trochu to připomíná pomršený autorský zákon, který v podstatě zakazuje podrobněji informovat o programech schopných obcházení ochran proti kopírování. Nicméně to není případ tohoto sporu, protože my jsme na nic závadného neodkazovali. My jsme tu „závadu“ měli napsanou v textu.

Protože většina útoků a malwaru pochází z internetových stránek, je důležité, aby byly stránky pravidelně skenovány, a tím se zajistilo, že nejsou přímo nebo náhodně využity pro spuštění potenciálního ataku nebo hostování malwaru. Ze stejného důvodu využívá služba Norton SafeWeb při prověřování internetových stránek nejvyšších možných standardů tak, aby vyloučila jakoukoliv, byť sebemenší možnost ohrožení.

Dovolili bychom si nesouhlasit. Označení za hrozbu textové informace, která je z důvodu informování o exploitu shodná s řetězcem, který se za určitých okolností, jenž na dané stránce nenastaly a nemohou nastat, využívá ke Cross Site skriptování, nemá nic společného s žádnými standardy, ani nejvyššími, ani nejnižšími. Jedná se o špatný postup při zjišťování hrozeb. Pokud jsou na tento způsob detekce skutečně vytvořeny nějaké standardy, pak jsou špatné a je potřeba je změnit.

Výsledky hodnocení serveru diit.cz společnost Symantec a její Response Team dvakrát ověřili a potvrdili zjištění služby Norton SafeWeb.

Pokud to má být ubezpečení, že informace o exploitu napsaná v textu je skutečně bezpečnostní hrozbou, pak by měli v Symantecu zvážit změnu předmětu podnikání, případně vyměnit Response Team.

Na blozích, na které server diit.cz odkazoval, byly identifikovány čtyři skripty v minulosti označené jako nebezpečné. Přesto, že tyto skripty jsou relativně staré, zůstává signatura, kterou jim Symantec přidělí, stále aktivní pro případ, že by uživatel nebyl chráněn, ale také proto, aby zabránila útočníkům vrátit se na tyto stránky a znovu je využít.

PR mlžení. Pomineme-li informaci o blozích (byl to regulérní článek z roku 2004 ještě z CD-R serveru), nejednalo se o skripty, ale o obyčejný text, podobný tomu, jaký nyní čtete teď. Jen obsahoval jiné znaky. Znaky, které, pokud by byly použity v jiném kontextu (což v daném případě nešlo), by skutečně mohly představovat hrozbu. Podle způsobu detekce Norton Safe Web by každý textový soubor obsahující zdrojový kód exploitu byl sám o sobě považován za hrozbu, což je nesmysl.

Služba Norton SafeWeb také odhalila virus typu Trojan, který využívá zadní vrátka pro vstup do systému (tzv. back-door Trojan).

K tomu by se měla spíše vyjádřit společnost SlySoft, která instalační soubor, v němž byl údajně trojan nalezen, vypustila do světa. My jej jen přebrali a umístili ke stažení na náš web. Tady (narozdíl od předchozích čtyř případů) jsme ochotni připustit (přestože se nám to nezdá pravděpodobné), že tam něco skutečně mohlo být, proto jsme soubor prostě odstranili, neboť již nebylo potřeba, aby se nadále na serveru vyskytoval. Domníváme se však, že šlo o falešný poplach, protože soubor CheckElbyKey.exe, který byl důvodem k označení celého souboru za Trojana (nacházel se v instalačním balíku CloneCD verze 5), mohl používat techniky shodné nebo podobné s technikami generátorů instalačních klíčů pro nelegální užití softwaru, přičemž tyto generátory klíčů (tzv. keygeny) se antivirovým společnostem z nějakého důvodu také velmi často nelíbí. Stejně tak se ale mohlo skutečně jednat o problém, toto nám však nepřísluší řešit a řešit to už ani nechceme. V tom není jádro pudla. I tak si na uvedeném odkazu všimněte, že soubor se jevil Symantec antiviru jako nezávadný (což ale může být i chyba služby VirSCAN.org, za kterou nemůžeme ručit).

Společnost Symantec věří, že je v zájmu nejen provozovatelů internetových stránek, ale i jejich návštěvníků, aby identifikovala jakékoliv potenciální hrozby, které se na stránkách mohou objevit.

Určitě by bylo lepší identifikovat pouze reálně hrozby. Identifikaci i potenciálních hrozeb, které reálně hrozbami nejsou, se říká falešný poplach (což byl, jsme o tom pevně přesvědčeni, i náš případ) a jejich množství je taktéž jistým ukazatelem kvality produktu.

Zároveň si je ale vědoma přísnosti nastavených kritérií, které nereflektují žádná subjektivní hodnocení míry nebezpečí či jiné okolnosti, a proto s provozovateli internetových stránek spolupracuje, vyzývá je ke zpětné vazbě a na jejich podnět reviduje svá zjištění, a to ve chvíli, kdy provozovatelé své stránky očistí od případných nebezpečí. Tento postup zároveň umožňuje provozovatelům stránek ověřit, že veškeré informace, které poskytuje, i stránky, na které odkazuje, jsou bezpečné a neznamenají pro jejich návštěvníky žádné riziko.

Tento přístup považujeme za špatný. Symantec se staví do role soudce, který si dovolí tvrdit o bezpečných stránkách, že jsou hrozbou, jen na základě nekorektní analýzy, která nemá nic společného s nereflektováním subjektivního hodnocení míry nebezpečí. V případě hodnocení naší stránky se nedá hovořit o přísném nastavení kritérií, ale špatném. Text uzavřený do tagů odstavce psaného podle existujících standardů nemůže způsobit ohrožení uživatele. Leda by některý uživatel text využil (zneužil) a vytvořil na jeho základě stránku, která by popisované hrozby využívala. A to se vracíme zpět k tomu výše zmíněnému špatnému autorskému zákonu a k přirovnání se zveřejněním zdrojového kódu exploitu.

Služba Norton SafeWeb je spolehlivě v provozu více než rok. Poskytuje hodnocení pro mnoho milionů stránek na celém světě a využívají ji miliony zákazníků každý den.

A to je právě důvodem, proč nás to tolik nadzvedlo ze židle. Kdyby se jednalo o službu novou od neznámé společnosti, které nikdo nedůvěřuje, asi by se tolik nestalo. Jenže se jedná o poměrně uznávanou bezpečnostní platformu, která má tu moc ohrozit návštěvnost webu jen na základě špatně provedeného ohodnocení.

Za dobu svého fungování již prokázala, že je hodnotným a užitečným nástrojem, který pomáhá zajišťovat bezpečnost lidí na internetu. Testování a nezávislé recenze také prokázaly, že služba Norton SafeWeb zaujímá přední místo mezi technologiemi svého druhu.

Právě proto, že služba Norton Safe web je obecně považována uživateli za spolehlivou a důvěryhodnou, pak v případě této boty skutečněmůže poškozovat naše dobré jméno. Je to jako když dojde k justičnímu omylu a někdo je označen za podvodníka neprávem na základě špatně provedené analýzy situace. Pověst neprávem odsouzeného se napravuje velice špatně. A že služba Norton Safe Web označila čtyři naše stránky za hrozbu zcela neprávem, je prostě holý fakt.

Společnost Symantec věří, že vzájemný vstřícný přístup všech zúčastněných stran vždy povede k optimálnímu výsledku. Proto děkuje serveru diit.cz za jejich spolupráci, která zajistila, že tento server je pro své uživatele hodnocen jako bezpečný.

Z čehož vyplývá, že kdybychom se neozvali s tím, že našemu serveru služba Norton Safe web křivdí, křivdila by mu nadále. Toto není správný přístup.

Z celého vyjádření společnosti Symantec (resp. její mediální agentury) mám neodbytný dojem, že společnost mlží a odmítá přiznat byť i špetku zodpovědnosti za nastalou situaci. My sami dovedeme připustit jen jednu chybu, kterou je již zmíněný soubor s možným trojanem (SetupCloneCD5000.exe). Soubor jsme odstranili, protože nedokážeme spolehlivě říci, zda v něm skutečně trojan byl, nebo ne. Domníváme se, že kdyby došlo ke sporu jen na základě tohoto souboru, pak bychom pravděpodobně neřekli ani popel, soubor smazali a možná bychom se i zaregistrovali, abychom mohli říci „už je to dobré, můžete si to zkontrolovat“. Pohár však přetekl právě v situaci, kdy byl za hrozbu označen obyčejný text uzavřený mezi tagy odstavce (<p>…</p>). Text, který v takovém případě žádnou hrozbou není a společnost Symantec toto odmítá přiznat.

P.S. Firma Symantec, tedy její zástupce v ČR, dostala možnost, se k tomuto našemu textu vyjádřit. Čekali jsme řadu týdnů, poslední informace byla, že se ozvou v úterý. Dnes je pátek a nikdo nevolal a ani nic nedorazilo mailem. Je nám tedy líto, jejich odpověď vám nyní poskytnout nemůžeme, ale když dorazí, určitě si jí nenecháme pro sebe.