środa, 2 maja 2018

Kilka usług do weryfikacji domen internetowych

Czy zdarzyło się Wam kiedyś zastanawiać nad tym, czy strona na której się znajdujecie jest bezpieczna?
Czy wypełnienie na niej formularza z Waszymi danymi osobowymi nie spowoduje, że będziecie potem nieustannie spamowani? Czy pobranie pliku nie zarazi Waszego komputera złośliwym oprogramowaniem?

Ja przerabiałem taki temat kilka lat temu. Mój syn chciał pobrać coś do jakiejś gry: skórkę, czy jakiegoś itema... nie pamiętam. W każdym razie ojciec informatyk zauważył, że stronka jakaś dziwna. Ale ok. ESET nie blokował dostępu do strony, więc pobraliśmy co trzeba, skan antywirusem i czysto. W takim razie ojciec wyraził pisemną zgodę na zainstalowanie pobranego gadżetu.

No i co? No i zonk...

Nie pamiętam teraz dokładnych objawów, ale komp zaczął wariować z końcowym efektem w postaci reinstalacji Windowsa.
Nie mogłem uwierzyć, że ESET puścił babola. No cóż. Nauczka na przyszłość, aby w razie podejrzenia nie opierać się na jednym antywirusie, ale przesłać plik do virustotal.com.

Bawiąc się wtedy z reinstalacją pomyślałem, że fajnie by było móc sprawdzić nie tylko to czy plik nie zawiera wirusa, ale też czy strona z której został pobrany jest bezpieczna.

Ale jak to zrobić?

Poniżej chciałbym Wam zaprezentować kilka serwisów z których aktualnie korzystam. Różnią się one sposobami działania, więc pozwolę je sobie opisać kilkoma zdaniami.
  1. https://www.quad9.net/
  2. https://fortiguard.com/webfilter
  3. https://www.virustotal.com/#/home/url
  4. https://urlquery.net/

Serwis quad9.net

Pierwszy z wymienionych to webowy serwis, w którym można sprawdzić czy domena nie znajduje się na "czarnej liście" serwerów DNS mających blokować najpoważniejsze zagrożenia.

Korzystanie z serwisu jest bardzo proste, wklejacie domenę, którą chcecie sprawdzić i otrzymujecie komunikat, że nie jest ona zablokowana, bądź przeciwnie.

Pozytywna weryfikacja domeny www.sajdyk.pl w serwisie quad9
Pozytywna weryfikacja domeny www.sajdyk.pl w serwisie quad9
Negatywna weryfikacja domeny wraz z informacją na czyj wniosek ona nastąpiła. Nazwa domeny została celowo zasłonięta, aby nie kusiło Was jej odwiedzanie ;)
Negatywna weryfikacja domeny wraz z informacją na czyj wniosek ona nastąpiła. Nazwa domeny została celowo zasłonięta, aby nie kusiło Was jej odwiedzanie ;)
Warto podkreślić, że quad9 zajmuje się ona tylko najpoważniejszymi zagrożeniami (np. blokady botnetów, itd.), więc może być tak, że jakaś mała strona wyłudzająca informacje, bądź rozsiewająca wirusy, niekoniecznie będzie tutaj wskazana jako zagrożenie.
Jeżeli więc otrzymacie z usługi quad9 informację, że domena nie jest blokowana, to nie znaczy wcale, że na 100% jest ona bezpieczna.

Patrząc na to z drugiej strony, jeżeli otrzymacie informację, że domena jest zablokowana, to lepiej wyłączcie komputer - koniecznie na ostro, żeby było jak najszybciej - i wyrzućcie go za okno, bo w przeciwnym wypadku... (z tym wyrzucaniem to nie działajcie tak od razu ;)

Zaletą tego rozwiązania jest to, że nie musicie sprawdzać podejrzanych stron ręcznie poprzez wyżej podany serwis, ale możecie ustawić komputer / router aby korzystał z serwerów DNS tej usługi (adres IP: 9.9.9.9). W takim przypadku weryfikacja będzie się odbywała automatycznie i w momencie kiedy spróbujecie wejść na podejrzaną stronę, serwery DNS zablokują do niej dostęp (więcej na ten temat przeczytasz tutaj). Ja korzystam z tej usługi właśnie w taki sposób.

Jako ciekawostkę pokażę Wam jak to działa w praktyce.
Na poniższym screenie, w pierwszej ramce ustawione jest odpytywanie serwerów DNS Google'a o adresie 8.8.8.8. Jak widać serwer rozwiązał podaną mu nazwę na odpowiadający jej adres IP. Natomiast w ramce poniżej do odpytywania zostały użyte serwery DNS Quad9 i te serwery zwróciły informację, że odpytywana domena nie istnieje.

Odpytywanie serwerów DNS Google'a i Quad9 o stronę, która znajduje się na czarnej liście tych drugich
Odpytywanie serwerów DNS Google'a i Quad9 o stronę, która znajduje się na czarnej liście tych drugich

A jak to wygląda w praktyce? Jeżeli korzystacie z przeglądarki Chrome i chcielibyście wejść na stronę, która znajduje się na czarnej liście Quad9, to zobaczycie poniższy komunikat. Po prostu nie dostaniecie się do niej.
Komunikat wyświetlany w przeglądarce Chrome przy próbie wejścia na stronę znajdującą się na czarnej liście serwerów quad9
Komunikat wyświetlany w przeglądarce Chrome przy próbie wejścia na stronę znajdującą się na czarnej liście serwerów quad9
No dobrze, ale rozpisałem się na jeden z serwisów, a tymczasem kolejne czekają :)

Serwis Fortinet Web Filter

Jeżeli chcecie wiedzieć nieco więcej na temat sprawdzanej domeny niż tylko czy dostęp do niej został zablokowany, to polecam skorzystać z usługi kategoryzujące strony (webfilter) firmy Fortinet.

Jej działanie polega na przypisywaniu domen do różnych kategorii (tutaj jest ich pełna lista), dzięki czemu administratorzy posiadający ich urządzenia mogą zarządzać dostępem nie tylko do poszczególnych adresów URL, ale do całych kategorii w które zostały one pogrupowane, np. zezwalać lub blokować ruch do stron zakwalifikowanych jako złośliwe (Category: Malicious Websites), portale społecznościowe (Category: Social Networking) bądź inne - wedle uznania.

Blog sajdyk.pl zakwalifikowany został do kategorii Information Technology, czyli nie stanowi zagrożenia
Blog sajdyk.pl zakwalifikowany został do kategorii Information Technology, czyli nie stanowi zagrożenia
Oczywiście z punktu widzenia bezpieczeństwa interesuje nas to czy strona jest złośliwa (jak na screenie poniżej), czy też nie. Jeżeli wiec została zakwalifikowana do którejś z poniższych kategorii to lepiej zachować daleko idącą ostrożność:
  • Malicious Websites
  • Newly Observed Domain
  • Newly Registered Domain
  • Phishing
  • Spam URLs

Testowana strona zakwalifikowana została do kategorii Malicious Websites, czyli złośliwych - lepiej nie korzystać z jej usług
Testowana strona (adres zamazany dla bezpieczeństwa) zakwalifikowana została do kategorii Malicious Websites, czyli złośliwych - lepiej nie korzystać z jej usług
Zaletą tej usługi jest to, że możecie uzyskać wiedzę nie tylko o tym, czy sprawdzana strona stanowi zagrożenie, ale też jakiego jest ono typu (według wymienionych wyżej kategorii).

Ponadto, w lewej części strony, w sekcji "At a glance" jest możliwość prześledzenia historii aktualizowania kategorii, co czasami może być bardzo przydatne.

Serwis Virustotal.com

Virustotal - ten serwis zna pewnie większość z Was, jednak o ile kojarzycie go zapewne z możliwością sprawdzenia plików przez kilkadziesiąt programów antywirusowych, o tyle pewnie nie wiedzieliście, że można go wykorzystać także do weryfikacji adresów URL.

W tym celu wystarczy ze strony głównej przejść na zakładkę URL (lub kliknąć tutaj), aby możliwe było zaprzęgnięcie programów antywirusowych do weryfikacji bezpieczeństwa podanego przez nas adresu.

Jak widać na poniższym przykładzie spośród kilkudziesięciu programów antywirusowych, tylko część ostrzegłaby przez korzystaniem z "usług" strony którą wykorzystuję do testów.

Weryfikacja domeny dokonana przez silniki antywirusowe w serwisie virustotal
Weryfikacja domeny dokonana przez silniki antywirusowe w serwisie virustotal

Serwis urlquery.net

No i na koniec został serwis najbardziej zaawansowany - https://urlquery.net/

Powstał on specjalnie po to aby analizować adresy URL pod kątem wykrywania i analizy oprogramowania złośliwego na stronach internetowych. Z naszego punktu widzenia najciekawszym może być fakt, że urlquery.net sprawdza podaną domenę w niżej wymienionych bazach czarnych list:
Ponadto dokonuje weryfikacji systemem IDS Suricata, dzięki czemu zyskujecie dodatkową warstwę pewności.

Fragment raportu dot. niniejszego bloga. Na czerwono zaznaczono sekcję z informacjami systemu IDS oraz Blacklist
Fragment raportu dot. niniejszego bloga. Na czerwono zaznaczono sekcję z informacjami systemu IDS oraz Blacklist

Kilka słów podsumowania

Powyżej wymieniłem tylko kilka serwisów, które można wykorzystać do szybkiego sprawdzania wiarygodności / bezpieczeństwa stron w sieci. 
Jeżeli więc jakaś strona wygląda podejrzanie i będzie chciała uzyskać Wasze dane osobowe, bądź zechcecie pobrać z niej jakiś plik, to lepiej poświęćcie kilka sekund na dodatkową weryfikację. 

Przedstawione serwisy to głównie rozwiązania manualne, polegające na tym, że sprawdzenie adresu odbywa się poprzez jego ręczne "wklepanie" i sprawdzenie wyniku. 
Wyjątkiem jest Quad9, którą to usługę - jak już wspomniałem wcześniej - można korzystać w sposób przeźroczysty dla użytkownika, poprzez ustawienie w komputerze lub routerze.

Jeżeli posiadacie router Synology RT2600ac (jego test tutaj), to możecie skorzystać nie tylko z dodatkowej warstwy bezpieczeństwa w postaci serwerów Quad9, ale też usługi IPS / IDS Suricata (jest ona dostępna w postaci dodatkowego pakietu nazwanego Intrusion Prevention), która wykorzystywana jest m.in. przez ostatni z wymienionych serwisów - urlquety.net.

Pakiet Intrusion Prevention na routerze Synology RT2600ac
Pakiet Intrusion Prevention na routerze Synology RT2600ac

Na koniec prośba. Jeżeli korzystacie z podobnych stron i macie coś czym warto by się było podzielić, to napiszcie o tym w komentarzu. Chętnie bym je przetestował. 

Ceny wymienionego w tekście sprzętu
Synology RT2600ac Sprawdź w Ceneo
Autor: o
Kategoria:

1 komentarz:

Bardzo proszę o zachowanie netykiety.

Subskrybuj: Komentarze do posta (Atom)