Malware v reklamách napadá miliony lidí. Agentury přesto brojí proti jejich blokování
Možná někoho takového znáte. Zatvrzele tvrdí, že na žádných podezřelých a nebezpečných stránkách nikdy nebyl, žádnou e-mailovou přílohu za celý svůj život neotevřel a nic nestahuje. V jeho počítači přitom straší malware. V poslední době je však přesně tohle možné. I lidé, kteří se snaží brouzdat po internetu rozumně, mohou chytit zákeřnou počítačovou nákazu. Mohou za to reklamy, které škodlivý kód šíří.
- 16. 05. 2016
- 7 min čtení
Poslední dobou se to děje běžně. A to i na velkých webových stránkách.
Nedávno si miliony lidí mohly počítače nakazit třeba na serverech známého amerického deníku New York Times, webu o americkém fotbalu NFL.com a dokonce i na portálu MSN.com patřícím Microsoftu. Kromě toho také na stránkách různých amerických televizních stanic a na začátku měsíce také na jednom z nejnavštěvovanějších bulvárních webů PerezHilton.
Běžný uživatel by nejspíš předpokládal, že na takových stránkách mu od reklam nic nehrozí. Patří vesměs velkým korporacím, které si jistě dávají pozor na to, co na svém webu publikují.
Chyba lávky.
Stránky sice patří těmto společnostem, inzerční místo ale pronajímají reklamním agenturám. Které ho dál rozprodávají koncovým inzerentům, většinou jen s lehkou (nebo vůbec žádnou) formou kontroly. Mnoho reklam tak pochází přímo od šiřitelů malwaru.
Nebezpečné reklamy často vypadají zcela neškodně nebo dokonce lákavě. Bannery na dalších nedávno zasažených webech answers.com a zerohedge.com třeba ukazovaly vcelku hezky vypadající nástrčné klíče taiwanské nástrojařské firmy AOK. Obsahovaly ale také přes 12 tisíc linek javascriptového kódu. Ten nejprve ověřil, že uživatel nepoužívá žádné z metod, které by dokázaly podfuk odhalit, a poté jej přesměroval na stránku s nástrojem pro zneužití bezpečnostních slabin Angler. A pro dobrou míru mu přidal trojan Bedep a ransomware TeslaCrypt. Na jiné reklamy s malwarem není ani potřeba kliknout – automaticky uživatele přesměrují na útočníkovu stránku, kde mu tajně prověří prohlížeč, najdou v něm bezpečnostní chyby a po jejich zneužití stáhnou do počítače škodlivý kód. To vše bez vědomí uživatele. Experti těmto technikám říkají drive-by útoky a podle průzkumů může celý proces trvat třeba jen půl vteřiny.
Přibývá malwarem napadených domén
Podle statistik bezpečnostní firmy Cyphort by letošní rok mohl být vůbec tím nejhorším, co se šíření malwaru pomocí reklam týká. Údaj v grafu za rok 2016 je odhad založený na počtu malwarem nakažených domén, které Cyphort zjistil doposud.
Takové taktiky jsou stále rozšířenější. Z jednoduchého důvodu – útočníkům fungují.
Obrana proti reklamám se skrytým škodlivým kódem není jednoduchá. Ve většině případů ale pomůže používat kvalitní blokovací program či zásuvný modul prohlížeče proti reklamám a samostatně spouštěným skriptům. Lidé, kterým záleží na internetové bezpečnosti a soukromí, už to dávno dělají. Stejně jako ti, kterým je prostě proti srsti být neustále obtěžován obchodními nabídkami.
To se ale nelíbí reklamním společnostem.
Meta souboje: Když blokují nás, zablokujeme jejich blokování
Proti stále se rozšiřujícímu trendu blokování reklam postupně vystupují některá klasická média, která z inzerčních příjmů žijí, a také vydavatelé, kteří si za vystavování online reklam účtují mnohdy nemalé částky.
Formy jejich protestu jsou většinou podobného charakteru. Občas to zkoušejí u soudu, nejčastějším terčem sporů je pak Adblock Plus, respektive firma Eyeo GmbH, která službu provozuje. Soudy naštěstí pravidelně rozhodují o tom, že blokovat reklamy je zcela legální – který obsah chce uživatel vidět, je pouze na něm samotném. Nedávno si to s nimi zkoušeli vyříkat lidé z novin Süddeutsche Zeitung, před nimi ještě třeba také němečtí a francouzští vydavatelé reklam. Výsledek je vždy stejný – soudy rozhodly, že uživatelé mají plné právo reklamy blokovat a software k tomuto účelu může dál legitimně fungovat.
Protože se jim nedaří u soudu, zkoušejí to mnozí vydavatelé také jinou metodou. Na některé stránky pod svou kontrolou začínají přidávat kusy kódu, které zjišťují, jestli nemají uživatelé zapnuté blokování reklam. A takovým uživatelům zabraní v přístupu na stránky, dokud si blokovací software pro daný web nevypnou. Často zmiňovaným představitelem této taktiky je portál s business zpravodajstvím Forbes, avšak dalších se stejnou reklamní politikou je mnohem více. Nedávno tento krok proti svým čtenářům hromadně zkusili třeba švédští vydavatelé.
Přitom je „blokování blokovačů“ podle posledních zpráv technika, která je nejspíš nelegální. Alespoň v Evropské unii. Programátor a aktivista za soukromí na internetu Alexander Hanff dostal nedávno odpověď Evropské komise na své dotazy ohledně metod, kterými vydavatelé detekují blokovací programy. Verdikt? Podle existujících evropských zákonů je nutný souhlas uživatele s ukládáním jakýchkoliv dat webových stránek do jeho počítače, skryté detekování blokovacích mechanismů je proto v rozporu s legislativou.
Shrnuto: reklamy mohou uživatele nakazit malwarem i na legitimních stránkách, proto se je mnoho uživatelů rozhodlo blokovat. Načež je jim odepřen přístup na některé servery, protože nechtějí vidět „obsah“, ze kterého pro ně neplyna žádná užitná hodnota a který může jejich počítače poškodit. Záleží vám na bezpečnosti? Smůla, takové návštěvníky nechceme, říkají v podstatě reklamní agentury.
Blokovat reklamy je útok na svobodu slova, etnické menšiny a všechno dobré, tvrdí prezident reklamní asociace
Pro své protesty však mají „dobrý“ důvod.
Z reklam totiž plynou velké peníze.
Agentury se proto snaží držet své slepice snášející zlatá vejce a jakýkoliv zásah do stávajícího nastavení odmítají.
Ředitel mezinárodní reklamní asociace IAB Randall Rothenberg ve svém projevu na konci ledna neváhal označit tvůrce blokovacího softwaru AdBlock Plus za „lživé doupě rádoby techáčků“, kteří „podvracejí svobodu tisku, operují byznys model založený na cenzuře obsahu a v samé podstatě nutí uživatele platit více peněz za menší množství – a méně rozmanitých – informací.“ Práci reklamních agentur naopak Rothenberg označil jako zodpovědnou za růst svobody slova, diverzity myšlení a ekonomické akce.
Jeho útok na vývojáře přišel pouhých pár minut poté, co zhodnotil celkové příjmy z digitálních reklam jen v USA za rok 2015 na 50 miliard dolarů (přes trilion korun) a vyjádřil se, že se těší na dalších 50 miliard.
Snaha lidí vyhnout se malwaru a potažmo reklamám však dělá do těchto příjmů stále větší díru. Podle průzkumu PageFair ukouslo během minulého roku z reklamního koláče blokování téměř 22 miliard dolarů.
Proto proti němu reklamní agentury ve světě brojí. Zcela tak ale míjí podstatu problému.
Řešení? Hlídat bezpečnost reklam nebo přejít na jiný model financování
Faktem totiž je, že řada reklam je pro nic netušící uživatele nebezpečná. Mnoho lidí na to denně doplácí nakaženým počítačem nebo ztrátou dat. Stále více lidí se třeba už někdy muselo poprat s ransomwarem – škodlivým kódem, který zašifroval všechna jejich data a hrozil zahozením klíče, pokud útočníkovi nezaplatí.
A právě reklamní agentury musí se stávající situací něco dělat. Prozatím pouštějí do světa inzerci s minimální nebo žádnou kontrolou a pomáhají tak šířit malware. Experti nabízejí dvě možná řešení.
Buď budou vydavatelé pečlivě hlídat bezpečnost reklam, které zprostředkovávají. Všechny bannery, pop-up okna a podobně by ideálně měly projít vetovacím procesem na úrovni kódu, jinak by jim bylo odepřeno právo na zobrazení.
Toto doporučení vychází z předpokladu, že by bezpečné reklamy vadily lidem méně – v menší míře by je pak blokovali, více lidí by reklamy zhlédlo nebo na ně dokonce kliklo a reklamní agentury a servery, které bannery vystavují, by se tak mohly vrátit ke svým ohromným příjmům.
Toto řešení by však vyžadovalo investice času a peněz do vypracování infrastruktury a pravidel, kterými by se inzerce řídila. Přestože takový postup například autoři zmiňovaného průzkumu PageFair doporučují, průmysl se touto cestou zatím nevydal.
Druhá možnost, kterou mnoho odborníků považuje za schůdnější, je přitom paradoxně mnohem radikálnější.
Webové stránky závislé na příjmech z reklamy – například zpravodajské weby, hobby stránky a podobně – mohou přejít na zcela jiný model financování. Místo zobrazování reklam mohou například nabídnout svým uživatelů možnost platit drobné předplatné a financovat tak další chod těchto webů. Ověřeným předpokladem v tomto případě je, že lidé za kvalitní obsah rádi drobnou částku zaplatí.
Některé servery už se pro takovou formu financování rozhodly – v Británii ji nabízí například zpravodajský server Guardian – avšak ve většině případů zatím stále jen doplňuje klasický model zobrazování reklam, kanál pro malware je tedy stále otevřený.
Pokud sami nějaké webové stránky provozujete a digitální reklamu používáte, zkuste přehodnotit svůj postoj. Zamyslete se nad tím, jestli ji skutečně pro financování chodu webu potřebujete. Mít internetovou prezentaci je dnes pro firmy prakticky nutnost – není tedy důvod si náklady na ni finančně hojit na vašich návštěvnících, zvlášť když je tak můžete vystavovat nebezpečí malwaru a sebe riziku veřejné potupy. I když zobrazujete cizí reklamy třeba jen na osobním blogu nebo zpravodajské stránce, zkuste zvážit jiný model financování, třeba vybírání příspěvků od spokojených návštěvníků. Možná budete překvapeni, kolik lidí je ochotno přispět na tvorbu kvalitního obsahu bez zbytečně rušivých a nebezpečných reklam.
