O fantasma no navegador: Análise de malware baseado na Web (pdf) descreve como o Google está aproveitando seu domínio esmagador de pesquisa para combater as instalações de malware no navegador. Em uma entrada de blog no verão passado, Matt Cutts disse:
Como detesto páginas da Web que instalam software mal-intencionado ou abusam das brechas de segurança do navegador, gostaria que fizéssemos ainda mais para proteger nossos usuários.
Aparentemente, eles fizeram ainda mais para proteger os usuários desde então. Aqui está um resultado de pesquisa do Google marcado com o aviso sinistro “Este site pode danificar seu computador”:
Clicando em “Este site pode danificar seu computador” leva a uma página de suporte do Google. A tentativa de clicar para acessar o site real resulta em um aviso intersticial que não oferece nenhuma maneira de clicar:
Acho que esse é um método bastante eficaz de afastar a maioria dos usuários racionais de um site claramente maligno. Obviamente, os usuários que desejam qualquer mídia, software ou pornografia que o site esteja vendendo ainda podem digitar o URL na barra de endereços. Os usuários encontrar uma maneira de ver os coelhinhos dançantes se eles realmente, realmente queiram, não importa quantos avisos e barreiras o senhor coloque na frente deles.
Se o senhor quiser ver o que está por trás desse URL, um aviso justo: além de ser totalmente perigoso para uma máquina que não esteja totalmente corrigida, ele é NSFW em grande parte. Uma pequena investigação mostrou que ele está fazendo o seguinte:
- Tenta usar o controle ActiveX de serviços de dados remotos.
- Mostra uma página HTML falsa com o texto “O Windows Media Player não pode reproduzir arquivo de vídeo; clique aqui para baixar o objeto Video ActiveX ausente”. O download executa o arquivo setup.exe.
- Executa o Javascript com código de detecção de exploração.
Se o senhor aceitar que o Google exerce o imenso poder de ser a página inicial de fato da Internettalvez esse tipo de esforço de policiamento faça parte do território. Não fazer nada – deixar que esses sites puramente malignos apareçam nos resultados do Google sem nenhum aviso – seria irresponsável. Embora uma pessoa possa estar fazendo pesquisas questionáveis para obter essa página nos resultados, isso é irrelevante. Apesar da ética individual da pessoa que está usando esse computador, um computador comprometido será usado para ataques e spam contra todos.
Ainda assim, estou um pouco curioso. Por que o Google utiliza a arma definitiva da exclusão de pesquisas em sites que usam técnicas de SEO de chapéu preto para burlar as classificações de pesquisa, enquanto sites de malware maligno conhecidos recebem intersticiais de aviso severo em vez disso? O resultado do Google foi obtido por meio de uma pesquisa direta no nome do domínio. A mesma pesquisa não produz nenhum resultado em live.com ou ask.com. É evidente que esse site foi retirado da lista por todos, exceto pelo Google. O domínio ainda tem um PageRank de quatro. Aplaudo o esforço, mas que valor tem para os usuários manter um site como esse no índice de pesquisa?
Mesmo que seu site seja não mal, é possível que outras pessoas injetem códigos maliciosos em sua página se o senhor não for cuidadoso. O whitepaper do Google fornece três vetores externos que podem levar uma boa página da Web para o lado negro:
- Servidores da Web comprometidos podem inserir códigos maliciosos em todas as páginas HTML servidas
- Páginas que permitem HTML contribuído pelo usuário, onde o HTML não foi devidamente higienizado
- O uso de conteúdo publicitário questionável ou servidores de anúncios comprometidos
É assustador o número de maneiras que isso pode acontecer. Eu recomendo enfaticamente que o senhor ler o whitepaper para obter todos os detalhes.
O documento do Google diz que uma em cada dez páginas da Web contém código malicioso. A maneira mais direta de lidar com o malware fornecido por páginas da Web é aumentar a segurança do sistema operacional e do navegador, de modo que os “downloads drive-by” não possam ocorrer sem o consentimento explícito do usuário. Mas um problema tão grande como o malware deve ser atacado em várias frentes. Os mecanismos de pesquisa estão em uma posição única para ajudar a indexar e identificar páginas da Web mal-intencionadas e impedir que elas sejam acessadas nos resultados de pesquisa. É animador ler sobre a arquitetura do Google para identificar automaticamente URLs mal-intencionados. Não acho que seja justo chamar isso de O Google policiando a WebÉ apenas um negócio bom e ético filtrar o mal.