banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Góp ý và Hỏi đáp thắc mắc chung Web HVA bị chặn bởi TrendMicro Titanium IS 2012  XML
  [Discussion]   Web HVA bị chặn bởi TrendMicro Titanium IS 2012 21/03/2012 09:54:40 (+0700) | #1 | 259442
miyumi2
Member

[Minus]    0    [Plus]
Joined: 11/03/2012 15:33:55
Messages: 57
Offline
[Profile] [PM]



Khi truy cập HVA trên máy có cài Trend Micro Titanium Internet Security 2012 thì bị chặn với thông báo:

"TRANG NGUY HIỂM
Trend Micro đã xác nhận rằng trang web này có thể truyền phần mềm độc hại hoặc liên quan đến lừa đảo hay gian lận trực tuyến".


Sao lại như vậy nhỉ? Đứng về phía Trend Micro làm vậy đúng hay sai đây?
[Up] [Print Copy]
  [Discussion]   Web HVA bị chặn bởi TrendMicro Titanium IS 2012 21/03/2012 10:07:07 (+0700) | #2 | 259443
enix
Member

[Minus]    0    [Plus]
Joined: 14/02/2012 00:43:18
Messages: 2
Offline
[Profile] [PM]
KIS, NIS vẫn ko có phản ứng gì, nhiều khả năng Trend Micro nhận diện nhầm.
Đứng về phía Trend Micro làm vậy đúng hay sai đây? -> nó nghĩ là nguy hiểm thì nó cảnh báo cho người dùng thì có gì mà làm đúng hay làm sai nhỉ, ý bác muốn nói j???

Bonus: Trend Micro from Taiwan - China ^.^
[Up] [Print Copy]
  [Discussion]   Web HVA bị chặn bởi TrendMicro Titanium IS 2012 21/03/2012 11:02:54 (+0700) | #3 | 259449
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

miyumi2 wrote:



Khi truy cập HVA trên máy có cài Trend Micro Titanium Internet Security 2012 thì bị chặn với thông báo:

"TRANG NGUY HIỂM
Trend Micro đã xác nhận rằng trang web này có thể truyền phần mềm độc hại hoặc liên quan đến lừa đảo hay gian lận trực tuyến".


Sao lại như vậy nhỉ? Đứng về phía Trend Micro làm vậy đúng hay sai đây? 



Cái page source của /hvaonline/forums/list.html chình ình ra đó. Ai muốn soi, muốn xoáy cỡ nào lại không được smilie
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Discussion]   Web HVA bị chặn bởi TrendMicro Titanium IS 2012 21/03/2012 11:45:10 (+0700) | #4 | 259453
miyumi2
Member

[Minus]    0    [Plus]
Joined: 11/03/2012 15:33:55
Messages: 57
Offline
[Profile] [PM]

conmale wrote:
Cái page source của /hvaonline/forums/list.html chình ình ra đó. Ai muốn soi, muốn xoáy cỡ nào lại không được smilie  


Vấn đề là ở chỗ này: "Trend Micro đã xác nhận..."
==> Trend Micro đã xác nhận thì theo em có nghĩa là đã soi, mà soi với sự tham gia của con người. Vậy thì những con người tại Trend Micro soi trong source HTML này thấy cái gì gọi là "độc"? Với bao nhiêu năm hoạt động của HVA, theo em link này không thể chứa cái gì gọi là "độc" cả ==> nếu không có thì tại sao Trend Micro lại cảnh báo như vậy?

==> Giả thuyết:
- Do có người dùng phàn nàn lên Trend Micro;
- Hệ thống chương trình bot tự phân tích tự nhận dạng của Trend Micro;
- Đối tác của Trend Micro tại VN (Cty TNHH MTV Đỉnh Thái Phong, 215 Trần Bình Trọng, TP HCM) report qua Trend Micro Đài Loan (lưu ý: đây chỉ là giả thuyết nhận định cá nhân, không có ý quy chụp hay gì khác).

Theo các bạn giả thuyết nào nặng ký nhất và trình độ của các chuyên gia Trend Micro tới đâu khi "soi" và kết luận link HVA có mã độc và đưa vào blacklist?
[Up] [Print Copy]
  [Discussion]   Web HVA bị chặn bởi TrendMicro Titanium IS 2012 21/03/2012 12:11:08 (+0700) | #5 | 259458
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

miyumi2 wrote:

conmale wrote:
Cái page source của /hvaonline/forums/list.html chình ình ra đó. Ai muốn soi, muốn xoáy cỡ nào lại không được smilie  


Vấn đề là ở chỗ này: "Trend Micro đã xác nhận..."
==> Trend Micro đã xác nhận thì theo em có nghĩa là đã soi, mà soi với sự tham gia của con người. Vậy thì những con người tại Trend Micro soi trong source HTML này thấy cái gì gọi là "độc"? Với bao nhiêu năm hoạt động của HVA, theo em link này không thể chứa cái gì gọi là "độc" cả ==> nếu không có thì tại sao Trend Micro lại cảnh báo như vậy?

==> Giả thuyết:
- Do có người dùng phàn nàn lên Trend Micro;
- Hệ thống chương trình bot tự phân tích tự nhận dạng của Trend Micro;
- Đối tác của Trend Micro tại VN (Cty TNHH MTV Đỉnh Thái Phong, 215 Trần Bình Trọng, TP HCM) report qua Trend Micro Đài Loan (lưu ý: đây chỉ là giả thuyết nhận định cá nhân, không có ý quy chụp hay gì khác).

Theo các bạn giả thuyết nào nặng ký nhất và trình độ của các chuyên gia Trend Micro tới đâu khi "soi" và kết luận link HVA có mã độc và đưa vào blacklist? 


Cả người dùng phàn nàn lẫn Trend Micro đều chuối nhưng chuối hơn là cái AV đó vì nó soi cái gì mà dám "xác nhận" như vậy?
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Discussion]   Web HVA bị chặn bởi TrendMicro Titanium IS 2012 21/03/2012 12:44:11 (+0700) | #6 | 259465
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

miyumi2 wrote:

Khi truy cập HVA trên máy có cài Trend Micro Titanium Internet Security 2012 thì bị chặn với thông báo:

"TRANG NGUY HIỂM
Trend Micro đã xác nhận rằng trang web này có thể truyền phần mềm độc hại hoặc liên quan đến lừa đảo hay gian lận trực tuyến".


Sao lại như vậy nhỉ? Đứng về phía Trend Micro làm vậy đúng hay sai đây? 


Bồ chuyển sang ngôn ngữ English xem nó thông báo thế nào? Bản tiếng Việt của mấy AV ngoại thường dịch tào lao lắm.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Discussion]   Web HVA bị chặn bởi TrendMicro Titanium IS 2012 21/03/2012 16:35:28 (+0700) | #7 | 259495
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

miyumi2 wrote:

conmale wrote:
Cái page source của /hvaonline/forums/list.html chình ình ra đó. Ai muốn soi, muốn xoáy cỡ nào lại không được smilie  


Vấn đề là ở chỗ này: "Trend Micro đã xác nhận..."
==> Trend Micro đã xác nhận thì theo em có nghĩa là đã soi, mà soi với sự tham gia của con người. Vậy thì những con người tại Trend Micro soi trong source HTML này thấy cái gì gọi là "độc"? Với bao nhiêu năm hoạt động của HVA, theo em link này không thể chứa cái gì gọi là "độc" cả ==> nếu không có thì tại sao Trend Micro lại cảnh báo như vậy?

==> Giả thuyết:
- Do có người dùng phàn nàn lên Trend Micro;
- Hệ thống chương trình bot tự phân tích tự nhận dạng của Trend Micro;
- Đối tác của Trend Micro tại VN (Cty TNHH MTV Đỉnh Thái Phong, 215 Trần Bình Trọng, TP HCM) report qua Trend Micro Đài Loan (lưu ý: đây chỉ là giả thuyết nhận định cá nhân, không có ý quy chụp hay gì khác).

Theo các bạn giả thuyết nào nặng ký nhất và trình độ của các chuyên gia Trend Micro tới đâu khi "soi" và kết luận link HVA có mã độc và đưa vào blacklist? 


HVA thì đã và sẽ không bao giờ cài mã độc vào các trang của mình (của chính HVA). Các bạn nên tin điều này.
Tuy nhiên khi Trend Micro quét không chỉ trang chủ (trang mở đầu) của HVA, mà quét cả các trang khác (URL khác) của HVA hiện đang được public, gặp một vài trang nào đó, thì có thể Trend Micro có nhận định như trên. Đó là các trang có hiện tương sau:

- Thành viên HVA post lên bài viết của mình toàn bộ code một malicious script của một virus, trojan...để minh hoa một điều gì đó.

- Trang đươc đưa lên một vài hình ảnh (images) để minh hoạ. Nhưng những hình ảnh này đã và đang được upload lên các image-uploading website bên ngoài, mà các website này lại cài các mã độc hại lên trang upload ảnh của nó hay cố ý cài mã độc hại vào ngay trong file ảnh.. Các thành viên thường không chú ý bảo mật cho mình và cho người khác khi chọn lưa image-uploading server bên ngoài, chỉ thấy dễ và tiện là làm. Thế thôi. Hì hì

(Đây là lý do mà tôi phải upload các ảnh minh hoa [của mình trên HVA forum] lên chính webserver do chính mình quản lý, vì có chuyện gì sợ mang tiếng. Điều này tôi có dịp sẽ trình bày chi tiết hơn về sự thiếu bảo mật khi cho member minh hoạ hình ảnh trên forum bằng các ảnh đươc upload lên các image- uploading webserver bên ngoài. HVA biết điều này, nhưng tạm thời cho phép như vậy, để chiếu cố yêu cầu của member)

- Trang có "malicious signature" của một hai thành viên nào đó.(Thành viên dùng một malicious script làm signature, trong khi input filter của HVA có thể chưa phát hiện ra ngay).

Tất nhiên có cả trường hơp mà Trend Micro bị nhầm lẫn

Ghi chú: Trend Micro là một công ty bảo mật khá nổi tiếng có người sáng lập là người Đài loan. Trước đây head office của nó ở Đài bắc, nhưng sau đó đã chuyển sang Mỹ. Trend Micro có những phần mềm AntiVirus khá nổi tiếng. Phần mêm Hijack-This hiện là của Trend Micro.
Có một điều chắc rất ít bạn biết là công ty InnoGreen VN (thuê và khai thác một diện tích rừng lớn ở VN) thì ông chủ tịch công ty này chính là người đã từng sáng lập ra Trend Micro, nay chuyển nghề sang đầu tư khai thác rừng. Hì hì
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Discussion]   Web HVA bị chặn bởi TrendMicro Titanium IS 2012 21/03/2012 19:21:06 (+0700) | #8 | 259506
phanledaivuong
Member

[Minus]    0    [Plus]
Joined: 23/05/2008 17:34:21
Messages: 315
Location: /dev/null
Offline
[Profile] [PM] [WWW]

PXMMRF wrote:

Có một điều chắc rất ít bạn biết là công ty InnoGreen VN (thuê và khai thác một diện tích rừng lớn ở VN) thì ông chủ tịch công ty này chính là người đã từng sáng lập ra Trend Micro, nay chuyển nghề sang đầu tư khai thác rừng. Hì hì
 


Em có xem chương trình người đương thời nói về ông này King of Virus smilie.
[Up] [Print Copy]
  [Discussion]   Web HVA bị chặn bởi TrendMicro Titanium IS 2012 22/03/2012 03:53:26 (+0700) | #9 | 259548
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Em có vài điểm chưa hoàn toàn đồng ý với anh Mai như sau:

PXMMRF wrote:


- Thành viên HVA post lên bài viết của mình toàn bộ code một malicious script của một virus, trojan...để minh hoa một điều gì đó.
 

Trên HVA, nếu ai đó đưa lên script hoặc code (một phần hay trọn bộ) trong bài viết thì luôn luôn bị chuyển thành HTML entity. Bởi vậy, xét về mặt kỹ thuật, nó không cách nào có thể thực thi khi người dùng xem trên trình duyệt. Nếu antivirus chỉ xem một đoạn code nào đó mà không xét đến khả năng "executable" rồi đánh giá nó nguy hại ngay trên một trang nào đó của HVA thì AV đó không đạt. Khi xét đến tính nguy hại, AV cần phải xét đến khả năng thực thi như một phần tiên quyết.

PXMMRF wrote:

- Trang đươc đưa lên một vài hình ảnh (images) để minh hoạ. Nhưng những hình ảnh này đã và đang được upload lên các image-uploading website bên ngoài, mà các website này lại cài các mã độc hại lên trang upload ảnh của nó hay cố ý cài mã độc hại vào ngay trong file ảnh.. Các thành viên thường không chú ý bảo mật cho mình và cho người khác khi chọn lưa image-uploading server bên ngoài, chỉ thấy dễ và tiện là làm. Thế thôi. Hì hì

(Đây là lý do mà tôi phải upload các ảnh minh hoa [của mình trên HVA forum] lên chính webserver do chính mình quản lý, vì có chuyện gì sợ mang tiếng. Điều này tôi có dịp sẽ trình bày chi tiết hơn về sự thiếu bảo mật khi cho member minh hoạ hình ảnh trên forum bằng các ảnh đươc upload lên các image- uploading webserver bên ngoài. HVA biết điều này, nhưng tạm thời cho phép như vậy, để chiếu cố yêu cầu của member)
 

Nếu links thuộc các trang web khác thì tính malicious thuộc trang web khác bởi vì xét trên entity thì HREF trỏ đến trang khác, thuộc về trang khác chớ không thể dựa trên HREF bên ngoài để đánh giá tính malicious của HVA. Nếu AV đánh giá như vậy là sai nguyên tắc căn bản.

Tất nhiên, khía cạnh thiếu bảo mật như lộ IP người dùng, có thể bị XSS... và những exploits khác trên HTTP có thể bị dính ở vector sử dụng hình ảnh ở nơi khác. Tuy nhiên, xét ở độ "độc hại" mà AV detect thì em nghĩ rằng AV Trend Micro detect thiếu chính xác.

PXMMRF wrote:

- Trang có "malicious signature" của một hai thành viên nào đó.(Thành viên dùng một malicious script làm signature, trong khi input filter của HVA có thể chưa phát hiện ra ngay).
 

Signature của thành viên luôn luôn biến thành text (HTML entity) và bất cứ tag nào cũng bị lột ra khỏi signature (thanks to Gamma95 sau một loạt thử nghiệm và kiện toàn vụ này). Tất cả các null bytes và special chars thường dùng trong các shellcode cũng bị lột sạch luôn. Hơn nữa, signature được sử dụng trên HVA không cho chèn hình và chỉ giới hạn ở một số bytes nào đó cho nên việc chèn một cái script nguy hiểm vào signature trên HVA là không thể được.

PXMMRF wrote:

Tất nhiên có cả trường hơp mà Trend Micro bị nhầm lẫn
 

Cách đây hai năm, hệ thống content filtering mà công ty em dùng nhầm lẫn về tính "malicious" của HVA. Em phải viết thư gởi tụi vendor để tụi nó kiểm tra lại. Kết quả là tụi nó phải chỉnh lại vì cách detect tụi nó dùng quá primitive, cứ match 1 string nào đó là la toáng lên smilie. Em nghĩ Trend Micro cũng bị dính vô khoản này rồi.

Google "crawl" trang HVA rất thường xuyên. Mỗi ngày có khi lên tới 10 ngàn lượt crawl và Google Safe chưa hề báo một cái gì malicious về HVA:
http://www.google.com/safebrowsing/diagnostic?site=

SiteAdvisor của McAfee cũng vậy:
http://www.siteadvisor.com/sites/www.hvaonline.net

Norton safeweb cũng vậy:
http://safeweb.norton.com/report/show?url=www.hvaonline.net
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Discussion]   Web HVA bị chặn bởi TrendMicro Titanium IS 2012 26/03/2012 18:19:18 (+0700) | #10 | 259908
[Avatar]
rongchaua
Elite Member

[Minus]    0    [Plus]
Joined: 19/01/2003 04:09:23
Messages: 124
Offline
[Profile] [PM]
Nếu links thuộc các trang web khác thì tính malicious thuộc trang web khác bởi vì xét trên entity thì HREF trỏ đến trang khác, thuộc về trang khác chớ không thể dựa trên HREF bên ngoài để đánh giá tính malicious của HVA. Nếu AV đánh giá như vậy là sai nguyên tắc căn bản.  


Xét trường hợp như sau, em là một hacker.
- Em lập nên trang web A thu hút người dùng.
- Sau đó dựng nên một trang web B. Cài mã độc vào trang web B.
- Em link tới trang web B từ trang web A (inframe, no window,... hoặc bất cứ phương pháp nào khác)

Nếu chỉ xét đến đích cuối cùng thì trang web A vẫn là sạch nhưng về cơ bản người dùng vẫn bị dính đạn do nguồn từ B. Cho nên em nghĩ cách set tất cả các nodes liên quan là độc hại là một biện pháp an toàn nhằm ngăn lây lan diện rộng. Vì nếu không chặn A thì em chỉ cần thay B,C,D,E,... đứng núp bóng sau A thì coi như là hệ thống vận hành quá tuyệt vì đầu ra node A lúc nào cũng an toàn 100%.
My website: http://rongchaua.net
[Up] [Print Copy]
  [Discussion]   Web HVA bị chặn bởi TrendMicro Titanium IS 2012 27/03/2012 02:43:48 (+0700) | #11 | 259928
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

rongchaua wrote:
Nếu links thuộc các trang web khác thì tính malicious thuộc trang web khác bởi vì xét trên entity thì HREF trỏ đến trang khác, thuộc về trang khác chớ không thể dựa trên HREF bên ngoài để đánh giá tính malicious của HVA. Nếu AV đánh giá như vậy là sai nguyên tắc căn bản.  


Xét trường hợp như sau, em là một hacker.
- Em lập nên trang web A thu hút người dùng.
- Sau đó dựng nên một trang web B. Cài mã độc vào trang web B.
- Em link tới trang web B từ trang web A (inframe, no window,... hoặc bất cứ phương pháp nào khác)

Nếu chỉ xét đến đích cuối cùng thì trang web A vẫn là sạch nhưng về cơ bản người dùng vẫn bị dính đạn do nguồn từ B. Cho nên em nghĩ cách set tất cả các nodes liên quan là độc hại là một biện pháp an toàn nhằm ngăn lây lan diện rộng. Vì nếu không chặn A thì em chỉ cần thay B,C,D,E,... đứng núp bóng sau A thì coi như là hệ thống vận hành quá tuyệt vì đầu ra node A lúc nào cũng an toàn 100%. 


He he, nếu xét như vậy thì hầu như không có trang web nào safe hết, đặc biệt là các forums và các trang mạng xã hội. HVA không link js từ bên ngoài, HVA không dùng các iframe (ngoài 1 iframe cực kỳ đơn giản để kiểm tra session với nội dung "ping" từ trình duyệt đến HVA forum mà ai cũng có thể thấy). Điểm quan trọng là AV cần đủ khả năng để xét tính "executable" của malicious codes chớ không nên đơn thuần scan để tìm "string" rồi cảnh báo. Nếu họ làm như vậy thì hàng loạt các trang web lớn và uy tín cũng dính chấu hết.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Discussion]   Web HVA bị chặn bởi TrendMicro Titanium IS 2012 27/03/2012 18:52:38 (+0700) | #12 | 259999
[Avatar]
rongchaua
Elite Member

[Minus]    0    [Plus]
Joined: 19/01/2003 04:09:23
Messages: 124
Offline
[Profile] [PM]
Dĩ nhiên là các trang lớn cũng bị nhận dạng false positiv (ko biết dùng có đúng từ ko) bởi các AV vì các trang forum của google, yahoo answer,.... mỗi ngày có không biết bao nhiêu là bài post. Lượng malicious link dĩ nhiên rát lớn. Nhưng vì:
- Có chức năng report link nên link xấu thông thường bị remove trong vòng vài chục giờ.
- Có chức năng lọc malicious link???
- Là trang lớn nên em "nghĩ" các AV sẽ liên lạc trước khi đưa vào blacklist.

Nếu em lập trình AV thì em cũng sẽ chọn cách "thà cảnh báo còn hơn bỏ sót" vì mục tiêu là bảo vệ người dùng. Nếu site đó sạch thì admin có thể liên lạc để xoá khỏi blacklist.
My website: http://rongchaua.net
[Up] [Print Copy]
  [Discussion]   Web HVA bị chặn bởi TrendMicro Titanium IS 2012 29/03/2012 13:35:44 (+0700) | #13 | 260265
aedn
Member

[Minus]    0    [Plus]
Joined: 27/03/2012 02:10:06
Messages: 9
Offline
[Profile] [PM]

rongchaua wrote:

- Là trang lớn nên em "nghĩ" các AV sẽ liên lạc trước khi đưa vào blacklist.
 


Em không nghĩ là các AV sẽ liên lạc trước đâu ah^^
Vừa đây AVG còn nhận nhầm Chrome có chứa trojan nè (trước nữa thì MSE cũng nhận nhầm) :
https://groups.google.com/a/googleproductforums.com/forum/#!topic/chrome/_DLxi4Pckvo

Theo em nghĩ thì mỗi thằng một kiểu đánh giá^^
Việc nè cũng không khó chỉ cần Admin HVA report cho bọn nó là được, em nghĩ vậy smilie

PS: ví dụ mọi người cứ post nhiều từ nhậy cảm về pédophilie trên 4rum xem smilie chả mấy chốc họ xếp hvaonline là trang bậy bạ smilie
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|