Za malware na webech Rozhlas.cz, Jablickar.cz či Play.cz je nejspíš OpenX

Reklamní systém OpenX nejspíše je důvodem označení webů Rozhlas.cz a Jablickar.cz za zdroje malware a blokování v prohlížečích.

Včera se uživatelé Chrome, Safari a Firefoxu nemohli dostat na Rozhlas.cz či Jablickar.cz, a jakkoliv to nejprve vypadalo na planý poplach, ukázalo se že důvodem nejspíš bylo napadání počítačů návštěvníků prostřednictvím reklamního systému OpenX. Ten Play.cz (zmiňované ve zprávě o důvodech blokovaní Jablickar.cz) na svých webech používá dlouhodobě a měl by být nasazen i pro Rozhlas.cz.

Společně s kolegy z Českého rozhlasu jsme se dopátrali k tomu, že nejpravděpodobnější příčinou je reklamní systém OpenX, který jak web ČRo, tak náš Jablíčkář.cz používají, a který v srpnu tyto potíže způsoboval. Na Jablíčkář.cz byly reklamy doručovány ze serveru ad2.play.cz, což způsobil označení domény PLAY.CZ jako zprostředkovatele infekce. 

V tuto chvíli je OpenX z Jablíčkář.cz i Rozhlas.cz odstraněn a čekáme na rescan Googlu. Po odstranění OpenX přestaly přibývat reporty nových stránek, tudíž doufáme, že jsme na správné stopě. 

Peter Sládeček, PLAY.CZ, a.s.

Český Rozhlas sice stále uvádí, že Stránky Českého rozhlasu jsou nedostupné kvůli falešným hlášením a odvolává se na „nepravdivé hromadné nahlášení závadnosti“, ale tady jde o nepochopení a mylné informace odboru komunikace a vnějších vztahů. Blokace na základě zjištění závadného obsahu (malware, útočné skripty, viry) se nezakládá na „nahlášení závadnosti“ lidmi, ale na automatizovaném procesu – roboti Google při návštěvě webu objeví závadný obsah, upozorní správce webu a zároveň tuto informaci uloží do databáze. Celý proce je plně automatický, žádní lidé zde zapojeni nejsou.

Už v září se na fórech Avastu objevil dotaz, upozorňující na varování při návštěvě Rozhlas.cz – objevená zranitelnost JS:Iframe-DPI [Tri] přitom napovídá, že šlo přesně o předmětný problém, tedy škodlivý (útočný) kód na stránkách. Tazateli z Českého Rozhlasu tam bylo poměrně jasně odpovězeno, že jde o napadení jejich reklamního systému OpenX.  Je trochu překvapující, že když se toto zjistilo (a potvrdilo) 25. září, tak vše muselo dojít tak daleko, že prakticky o měsíc později došlo k zablokování Rozhlas.cz

Včerejší domněnka o původci ve vnějším zdroji, zejména reklamním systému (viz Google Chrome blokuje přístup na Rozhlas.cz. V aktualizovaných detailech jde o stovky napadených stránek) je tak podle všeho řešením toho, proč jsou oba uvedené weby zablokované.

KL_NOMINACE

OpenX je reklamní systém, který je možné nasadit na webové stránky a pomocí něj spravovat reklamní prostor. Má dlouhou historii kompromitací, hacků, dodávání škodlivého kódu a dalších problémů – naposledy došlo k vážnému útoku na OpenX v září (viz OpenX Advertising Network hacked and backdoor injected) a napadení potvrdili i samotní provozovatelé. K podobně velkému napadení došlo loni v březnu a OpenX se tehdy také stal zdrojem malware. 

Je samozřejmě možné, že kompromitován byl (a možná ještě je) i samotný webový server, na kterém má Český Rozhlas nasazený reklamní systém OpenX. K čemuž mohlo velmi snadno dojít právě prostřednictvím kompromitovaného OpenX ze září 2013. 

15 názorů Vstoupit do diskuse
poslední názor přidán 24. 10. 2013 21:12

Školení: Měření a vyhodnocování kampaní

  •  
    Jak připravit a plánovat kampaně
  • Jak vyhodnocovat a využít důležité metriky
  • Jak to dělat u různých obchodních aktivit

Detailní informace o školení Měření a vyhodnocování kampaní»