Стваральнік Акавіты ведаў пра наяўнасць adware, але нічога не рабіў. Усё паказвае на тое, што ён спецыяльна паставіў гэтую ўтычку, каб зарабляць на ёй.
Стваральнік Акавіты Хведар Караленка. Фота з ягонай старонкі ў фэйсбуку.
Adware называюць шкоднаснае праграмнае забеспячэнне, галоўная мэта якога — паказ рэкламы.
Многія adware ажыццяўляюць дзеянні, уласцівыя шпіёнскім праграмам (spyware).
Напачатку — некалькі абзацаў з апісаннем таго, як мы выявілі гэты факт. Каго яны не цікавяць, той можа проста іх прагартаць і перайсці да абзацаў з аналізам.
Адзін з валанцёраў, якія дапамагаюць нам з абслугоўваннем сайта «Нашай Нівы», у руцінным парадку зірнуў перформанс галоўнай старонкі nn.by праз https://tools.pingdom.com/#!/oNsO4/nn.by.
На гэтым сайце можна выбраць, з якога IP гэты tools.pingdom.com пасылае запыты на nn.by. Калі мы выбіраем шведскі альбо любы іншы, акрамя Dallas, Texas, USA, то сярод http-запытаў, якія гэты інструмент робіць пры загрузцы «Нашай Нівы», ёсць процьма запытаў на кітайскі сайт продажу тавараў Aliexpress, што вядзе да загрузкі некалькіх мегабайтаў карцінак ды рэсурсаў.
Простымі словамі: вы адкрываеце «Нашу Ніву», а сістэма заадно падгружае вам рэкламныя старонкі з Aliexpress. Вы іх не бачыце, але трафік ідзе.
Між тым Aliexpress не размяшчае рэкламы на nn.by. Таму мы палічылі сітуацыю нездаровай і вырашылі разабрацца.
У самых першых запытаў на Аліэкспрэс referer — гэта http://isoghy.com/?6zqtSp.
Ніякіх рэкламных дамоваў у нас з isoghy.com няма.
Такім чынам, нехта размяшчае абы-што на нашай старонцы ў абыход нас. А заўтра пачне парнаграфію распаўсюджваць?
Мы сталі шукаць, дзе стаіць скрыпт, які падсоўвае нам рэкламу Aliexpress. Аказалася, ён убудаваны ў лічыльнік Акавіты. Калі мы яго адключалі, то і рэклама прападала.
Мы праверылі іншыя сайты. Нават сайт дзяржаўнага агенцтва БелТА і сайт Камітэта дзяржаўнага кантролю маюць праблему з Aliexpress — а значыць, і ўбудаваны праз лічыльнік adware.
Adware сядзіць у новай версіі кода Акавіты. Старую версію кода на новую стваральнік інтэрнэт-лічыльніка Хведар Караленка папрасіў замяніць некалькі месяцаў назад.
Абгрунтаваў ён гэта так: «Акавіта нарэшце пераходзіць на новы рухавік, будзе больш правільна падлічваць і з'явіцца не толькі новая статыстыка, але й дадатковыя функцыі і магчымасці для ўладальнікаў сайтаў. Але НН мае вельмі стары код, таму прашу замяніць на новы, каб усё працавала па-сучаснаму і сайт застаўся ў рэйтынгу».
Код, які распаўсюджвае рэкламу, мы змаглі атрымаць, калі зайшлі на НН праз вэб-проксі http://nn.by.se2.gsr.awhoer.net/.
Як аказалася, iframe мае шырыню і вышыню ў 1 піксель. Гэта мікраскапічная кропка, якую няўзброеным вокам не пабачыш. Відаць, той, хто яе дадаваў, падманвае і Аліэкспрэс, бо яны яму, пэўна ж, залічваюць паказы іх рэкламы, хоць ніхто ўбачыць рэкламу фізічна не можа.
Мы напісалі стваральніку Акавіты Хведару Караленку, што выявілі ў лічыльніку ўбудаваную рэкламу Аліэкспрэса, якая моцна падгружае сайт.
«На серверы быў вірус, ужо паправілі, але, можа, дзе ў кэшы засталося, зараз папрашу адміна глянуць», — адказаў ён нам. І сапраўды, праз нейкі час наш скрыпт лічыльніка перастаў утрымліваць Iframe траяна.
Але мы не спыніліся на гэтым. Нас зацікавілі яшчэ два моманты.
Па-першае, што звярнула нашу ўвагу пры аналізе, сайт Хартыі-97, хоць і мае лічыльнік Акавіты, быў бадай адзіным, які не меў праблемы з Aliexpress.
Па-другое, калі праз некалькі дзён мы праверылі іншыя сайты з лічыльнікамі Акавіты з аднаго і таго ж сервера, то пабачылі, што ва ўсіх іх — акрамя NN.BY і ўсё той жа Хартыі-97— вірусны код застаўся.
Калі б Акавіта сапраўды выдаліла той вірусны код, то ўсе сайты сталі б «чыстымі». Аднак толькі НН, якая забіла трывогу, цяпер не мае рэкламы Aliexpress. А астатнія чамусьці і цяпер маюць рэкламу. Вельмі падобна да таго, што акавітаўцы проста зрабілі выключэнне для НН.
У гэтай сітуацыі нас насцярожваў і той факт, што пасля столькіх гадоў працы старой версіі лічыльніка стваральнік Акавіты надумаў абнавіць яго.
Мы сталі шукаць, на каго зарэгістраваны дамен isoghy.com. То бок каму належыць сэрвіс, які адпраўляе запыты на Аліэкспрэс. У whois гэтая інфа схаваная. Рэгістратар у іх — imena.ua, але рэгістратар не раскрывае персанальных дадзеных рэгістрантаў, якія пажадалі застацца ананімнымі.
Аднак мы можам высветліць IP-адрас сайта isoghy.com — таго, які загружае рэкламу Aliexpress. Гэта ip 176.9.8.189. Потым праз розныя адкрытыя крыніцы шукаем іншыя сайты з такім сама ip. Сярод іншых адшукваецца uberalles.org.
Цяпер правяраем, хто валодае даменам uberalles.org праз сервіс whois: https://www.whois.com/whois/uberalles.org (секцыя RAW WHOIS DATA).
І такім чынам, мы бачым таго, на каго зарэгістраваны сайт: Fiodar Karalenka, жыхар горада Жодзіна.
Гэта, вядома, можа быць і супадзеннем, але маем яшчэ адно магчымае звяно ў лагічным ланцужку.
Засталася «загадка «Хартыі».
«Ці кантактавалі вы з Акавітай наконт рэкламы Аліэкспрэс, якая праз іх лічыльнік ідзе? — запыталіся мы ў рэдактаркі Хартыі Наталлі Радзінай. — Чаму такое пытанне ўзнікла? — перапыталася яна. — Бо пабачылі, што з нашага сайта праз іх ідзе нейкі трафік на Аліэкспрэс, а з вашага — не. — Так, мы іх злавілі на гэтым», — пацвердзіла нам Радзіна.
Такім чынам, Акавіта адключыла шкоднасны код толькі для Хартыі пасля кантактавання.
І адключыла пасля код для НН — пасля нашага звароту.
Але на ўсіх тысячах сайтаў ён застаўся, не грэбуючы ні Міністэрствам фінансаў, ні «Ганцавіцкім часам».
Ці можа Акавіта цэнтралізавана вычысціць adware з лічыльніка? Абсалютна проста. Сервер глядзіць, на які адрас загружаецца javascript-код лічыльніка (адрас старонкі, якая ініцыявала запыт, браўзер перадае на сервер у загалоўку Referer). Ён правярае, ці гэта адрас з сайту nn.by ці charter97.org, калі так, то рэкламу не паказвае.
Вось у чым небяспека: людзі давяраюць Акавіце і ставяць яе javascript-код на свой сайт. І калі на сайце ёсць адмінка, то праз гэты javascript-код гіпатэтычна можна да яе даступіцца. Праз гэты ж код можна распаўсюджваць вірусы, збіраць звесткі, якія могуць дэананімізаваць карыстальніка. Такім парадкам, гэта небяспека як для шараговых карыстальнікаў, так і для ўладальнікаў рэсурсу.
Скрыпты, якія робяць шкоду карыстальнікам, — гэта і ўдар па рэпутацыі ўладальніка сайта.
Ёсць трохі цынічнасці ў тым што кантэнт на isoghy.com — пра кнігі і па-беларуску. Здавалася б, якое добрае пачынанне.
Лічыльнік Акавіта існуе з 1999 года. Яго стваральнік назваў яго словам «акавіта» — гэта старабеларуская назва гарэлкі або спірту, ад лацінскага выразу «аква вітэ», жывая вада.
Як лічыльнік, Акавіта за час свайго існавання паступова страчвала сваю функцыянальнасць, відаць, па меры таго як згасаў імпэт стваральніка. Перастаў дзейнічаць збор статыстыкі за месяц і тыдзень. З пераходам на новы скрыпт лічыльнік перастаў паказваць і статыстыку за ўчора. Яна застыла на адным сакавіцкім дні. Цяпер мяняецца толькі статыстыка бягучага дня, у сувязі з чым большасць беларускіх вэб-аналітыкаў пачалі карыстацца іншымі лічыльнікамі.
Стваральнік Акавіты Хведар Караленка некалькі гадоў таму пераехаў ва Украіну і ажаніўся з украінкай.
NN.BY зняў лічыльнік Акавіты.
Мы таксама чакаем ад Хведара Караленкі тлумачэння, чаму і як такое адбываецца.
P.S. Прыкладна праз гадзіну пасля гэтай публікацыі шкоднасны код быў вычышчаны з лічыльніка.
