Domanda:
Bloccare l'accesso di un paese a un sito Web è una buona misura per evitare gli hacker di quel paese?
Luis Arriojas
2014-11-03 21:59:00 UTC
view on stackexchange narkive permalink

Mi trovo in Venezuela in questo momento e per tutto il fine settimana non sono stato in grado di accedere a grubhub.com e seamless.com.

Infine, ho provato a utilizzare Tor Browser e ho ottenuto l'accesso. La stessa cosa è successa a gennaio quando ho provato ad accedere al sito web del dipartimento di polizia di una contea dello Stato di New York mentre ero all'estero.

È una misura per evitare gli hacker? O lo fanno per evitare di spendere la larghezza di banda nei paesi in cui il sito web non serve la popolazione?

Potrebbe essere necessario riformulare la tua domanda. È difficile rispondere al motivo per cui quei siti particolari lo hanno fatto.
I tuoi esempi e il resto della domanda potrebbero non essere affatto correlati. Hai ad es. provato a controllare il tuo indirizzo IP con vari CBL / DNSBL se è possibile che sia nella lista nera? Gli ISP di alcuni paesi tendono a passare da un indirizzo IP assegnato a DHCP piuttosto velocemente (l'India è un esempio noto) e in quel momento potrebbe essere stato assegnato un IP che era nella lista nera. In ogni caso, un singolo IP inserito nella lista nera nei CBL pubblici che alcuni siti Web (come quelli di esempio) potrebbero utilizzare non è indicativo di un blocco basato sul paese. Usa ad es. http://www.ipvoid.com/ per controllare molti CBL / DNSBL pubblici.
Fintanto che non sono abbastanza intelligenti da usare VPN e proxy. Spesso efficace quanto la linea Maginot nel tenere i tedeschi fuori dalla Francia durante la seconda guerra mondiale. C'è sempre un modo per aggirare.
Solo cattivi hacker.
Nota che quando blocchi un intero paese, verranno bloccati solo gli utenti legittimi, perché i tuoi "hacker" non usano mai il proprio indirizzo IP, ma lavorano tramite altri, o tramite proxy / VPN, che potrebbero essere basati ovunque tranne che nel proprio paese
Considera il fatto che limitare l'accesso per paese significa danneggiare il concetto di Internet. Immagina un mondo in cui tutti gli IP non americani sono bloccati su Stackexchange perché gli inserzionisti americani rappresentano il 99% dei loro profitti.
Per essere un po 'schietto, sei sicuro che questi siti stiano effettivamente bloccando il Venezuela, al contrario di qualcosa che causa problemi un po' più vicini alla tua posizione? Non sono sicuro dello stato attuale delle cose, ma il Venezuela ha sicuramente avuto problemi in passato. Una mia amica insegnava informatica nel _capital_ e avevano dei blackout continui, rendendo il suo lavoro piuttosto difficile ...
Questo potrebbe essere un tentativo (fallito) delle potenze venezuelane di implementare una cosa tipo "Great Firewall of China". (Anche se è più probabile che qualcuno non abbia pagato l'affitto sulla linea urbana o qualcosa del genere.)
Qualsiasi hacker di cui valga la pena preoccuparsi può falsificare il proprio paese di origine.
Cinque risposte:
#1
+76
Thomas Pornin
2014-11-03 22:27:51 UTC
view on stackexchange narkive permalink

Il blocco basato sul paese viene di solito messo in atto come risultato di una politica organizzativa la cui intenzione è effettivamente quella di "bloccare gli hacker". Questo genere di cose fallisce su tre punti:

  1. Una tale politica presume che le persone malintenzionate possano essere classificate in base alla nazionalità. Questo è il modo di pensare vecchio stile della prima guerra mondiale.

  2. La posizione geografica è irrilevante per i computer; un firewall può vedere solo indirizzi IP . La deduzione della geografia dagli indirizzi IP si basa su tabelle di grandi dimensioni che non sono mai completamente aggiornate.

  3. Come hai osservato, aggirare questi sistemi di blocco è banale per gli aggressori; è sufficiente usare un host relay fuori dal paese bloccato, e questo accade "naturalmente" quando si usa Tor. La maggior parte degli aggressori utilizzerà comunque tali relay per coprire le proprie tracce.

Quindi il solito effetto netto di un tale blocco è di irritare alcuni utenti normali (che potrebbero essere stati clienti , ma non lo faranno ora che sono arrabbiati), senza effettivamente ostacolare gli sforzi di aggressori competenti.


Tuttavia, il lato positivo è che talvolta il blocco basato sulla "nazione" viene messo in atto per prevenire migliaia di droni insensati dallo spamming nei log di connessione. Ad esempio, l'amministratore di sistema potrebbe aver notato un'ondata di connessioni fittizie da alcune botnet, la maggior parte delle quali si trova in Venezuela. In tal caso, bloccare del tutto il Venezuela può aiutare a prevenire l'intasamento dei file di registro, implicando solo un impatto minore sul business (supponendo che il server in questione abbia pochissimi clienti onesti con sede in Venezuela). Pertanto, è concepibile che un'analisi del rischio / costo abbia determinato che un blocco così ampio migliorerebbe le cose.

Tuttavia, nella maggior parte dei casi, il "blocco del paese" è lì per lo spettacolo: un blocco dell'intero paese aiuta gli amministratori di sistema a dimostrare ai manager che stanno facendo qualcosa per la sicurezza, in un modo che i manager capiscono subito. Questa è la solita situazione di sicurezza: quando tutto funziona bene, la sicurezza è invisibile. Purtroppo è difficile negoziare budget per attività che non implicano alcun risultato visibile. Anche se l'intero punto della sicurezza è evitare di avere risultati visibili, ad es. un sito Web deturpato o un elenco di 16 milioni di password utente trapelate e colpite dalle notizie.

Nel caso della distribuzione dei media, alcuni distributori impongono il blocco basato sul paese perché non avevano diritti di ritrasmissione per l'intero mondo , e facendo un minimo sforzo di blocco, adempiono ai loro obblighi legali. Probabilmente, questo caso è anche "per lo spettacolo".

L'intenzione potrebbe non essere necessariamente la sicurezza, quanto la riduzione del rumore. Se non ricevi mai traffico legittimo da una posizione e i tuoi registri si riempiono di errori causati dai bot, il blocco dell'intero paese fa solo scomparire un fastidioso problema.
Il blocco basato sul paese è la linea di politiche Maginot, perché posso solo delegare il Belgio neutrale.
+1. Poiché "bloccato" nella domanda è vago, il blocco specifico del paese viene utilizzato anche per i problemi di licenza. I siti televisivi negli Stati Uniti, ad esempio, bloccano l'accesso ai video (non all'intero sito) in base al paese dello spettatore. Non è necessariamente per bloccare i bot o altro, sono solo i problemi legali con le licenze.
Penso che la facilità di aggirare questo filtro sia un vantaggio per la strategia, non una trappola. Consente agli utenti legittimi persistenti di continuare a utilizzare il sito. È come eseguire un servizio su una porta non predefinita. Non fermerà nessuna persona reale davanti a una tastiera con un'attenzione di oltre 10 secondi, ma ridurrà il 99% dei tentativi di intrusione automatizzati.
Perché tutti presumono che sia per "bloccare gli hacker"? Dato l'esempio di GrubHub.com, un sito con sede negli Stati Uniti che offre ordini online per ristoranti con sede negli Stati Uniti, quale uso legittimo avrebbe una persona di VZ per visitare il sito? È probabile che la perdita di vendite dello 0,5% degli utenti legittimi effettivi che vengono bloccati sia compensata dal risparmio di risorse di non dover servire l'intero sito in un paese in cui il sito generalmente non è utile (e quindi da cui è probabile la maggior parte del traffico spammer / hacker / ecc.).
Per quanto riguarda il tuo primo punto: se una certa percentuale di attacchi proviene da una data area geografica (ad esempio un paese), il blocco di quell'area blocca (superficialmente, senza contromisure) quella percentuale di attacchi. Che ti piaccia o no e che sia PC o meno.
Ho lavorato per un posto che ha bloccato tutta la Russia e la Cina. Poiché i nostri clienti non avevano operazioni in quegli stati, non c'era davvero un motivo legittimo per consentire il traffico. Tuttavia, è stato bloccato in risposta al comportamento del motore di ricerca statale cinese e, poiché la Cina non aveva alcuna utilità per le informazioni, sono stati bloccati.
Riguardo al n. 2, non è del tutto vero. Gli IP vengono assegnati ai paesi prima che possano essere utilizzati (e, tutti gli indirizzi IPv4 legali sono stati assegnati ai paesi, c'è letteralmente zero a disposizione per qualsiasi paese, quindi il database è completo). Inoltre, gli intervalli IPv6 devono essere assegnati prima dell'uso e le aziende che forniscono queste informazioni lo fanno con un anticipo sufficiente che uno sviluppatore che desidera fornire una precisione superiore al 99,999% in base all'IP potrebbe farlo. A meno che, ovviamente, tunneling / VPN, ecc. Ma il n. 2 non è sicuramente accurato di per sé.
phyrfox - se hai letto questo tavolino, vedrai un numero molto alto assegnato dalla compagnia, non dal paese. E dove si trova effettivamente un .com o .me? E chi lo possiede / lo gestisce? Tutti molto indipendenti l'uno dall'altro. http://en.wikipedia.org/wiki/List_of_assigned_/8_IPv4_address_blocks
@Rory Alsop .me sarebbe ovviamente il Montenegro :)
Verissimo Andre - e il mio sito web finisce con .me, ma non ci sono mai stato e probabilmente non lo farò mai. Il punto è che l'ubicazione del paese è probabilmente ortogonale alla sicurezza.
@DoktorJ: "quale uso legittimo avrebbe una persona di VZ per visitare il sito?" - Non sono specificamente di VZ, ma in alcune occasioni ho aiutato conoscenti non esperti di IT in altri paesi a ordinare cose online essenzialmente eseguendo il processo per loro. Sì, è un caso d'angolo, ma certamente un uso legittimo al quale il proprietario del sito web potrebbe avere un interesse reale. (Un altro uso legittimo, da cui il proprietario del sito web non trae alcun beneficio diretto, è semplicemente guardare il sito web e le sue capacità, chiamalo come un esempio del mondo reale di qualcosa in un documento di ricerca.)
@O.R.Mapper per un sito come GrubHub, perché mai qualcuno in un altro paese dovrebbe legittimamente ordinare il pranzo da un ristorante statunitense? Potrebbe semplicemente essere una misura di riduzione dei costi: se non sei un potenziale cliente, perché sprecare la loro larghezza di banda (e in definitiva denaro) servendoti di grafica ad alta risoluzione e simili?
@DoktorJ: ho appena spiegato. Se ho un conoscente non esperto di tecnologia negli Stati Uniti, io (al di fuori degli Stati Uniti) sarei più che felice di passare rapidamente attraverso il "complicato processo" di ordinare il cibo per loro, se me lo chiedessero (il, tu sai, "ragazzo che fa qualcosa con i computer e quindi sa come funzionano queste cose") per dare loro una mano (virtuale). L'ho fatto per account di messaggistica istantanea e simili, perché non dovrei farlo per ordini di ristoranti?
@DoktorJ: E, per citare ancora un altro caso d'uso legittimo: qualcuno negli Stati Uniti potrebbe avere problemi tecnici nella visualizzazione di un sito come GrubHub, che potrebbe essere risolto da alcune semplici impostazioni del browser. Perché dovrei essere impedito di scoprire con quali impostazioni funziona il sito solo perché non sono fisicamente nello stesso paese del cliente GrubHub che sta lottando con il sito web?
#2
+26
schroeder
2014-11-03 22:17:36 UTC
view on stackexchange narkive permalink

Nel mio caso, i nostri clienti attesi provengono da paesi prevedibili e quindi, per limitare la "superficie della minaccia", altri paesi sono bloccati.

Questo ha un valore limitato in quanto qualsiasi persona determinata può fare ciò che hai fatto tu e semplicemente reindirizzare il proprio traffico. Il vantaggio collaterale, tuttavia, è che i paesi che consentiamo sono quelli con rigide leggi informatiche e possiamo ottenere aiuto dalle forze dell'ordine se si verifica un attacco. Quindi, se un aggressore proveniente da un paese non autorizzato instrada il traffico attraverso un paese autorizzato, possiamo coinvolgere la polizia. È una cosa piccola, ma riduce il rischio senza alcun impatto per le aziende e senza alcun costo (tranne il tempo necessario per inserire il paese consentito nella whitelist del firewall).

Quando l'ho fatto, il cattivo il carico di traffico sui nostri server web è diminuito del 90%, il che è significativo in termini di risparmio sui costi delle risorse, se non altro.

Proprio questo. Non è perfetto, ma se il tuo pubblico di destinazione è altamente specifico per paese, perché lasciare la porta principale aperta agli aggressori di altri paesi? Sicuramente alcuni troveranno finestre, porte da garage e simili, ma il 95 +% passerà ad altri obiettivi.
In che modo le "severe leggi cibernetiche" aiuterebbero se l'attaccante effettivo è lontano da quel paese?
L'attaccante, quindi, non è il problema, ma il punto cardine è.
@schroeder Continuo a non capire come ti aiuterebbe la polizia dopo il fatto
Se c'è un attacco attivo, è più facile che l'attacco sia tracciato e gestito dall'ISP, perché l'ISP ha alcune responsabilità legali. Dopo il fatto, è possibile rimediare a quel punto cardine. Ci sono paesi in cui gli ISP semplicemente non rispondono alle mie richieste di aiuto e so che le loro forze di polizia non danno seguito agli attacchi. Gli ISP americani, canadesi e britannici e le forze di polizia rispondono e possono intensificarsi.
#3
+3
Ka Rl
2014-11-04 13:57:02 UTC
view on stackexchange narkive permalink

È vero, se un hacker desidera accedere alla tua pagina, non sarà di aiuto, può semplicemente utilizzare una VPN o un proxy.

Ma se pensi a tutti i bot là fuori che attaccare ogni pagina che trovano per testare exploit e / o password, sarai in grado di bloccarne molti. Questo ti aiuterà anche contro gli attacchi ddos, se blocchi tutti i paesi tranne quello in cui vivi, sei in grado di bloccare la maggior parte del traffico. Naturalmente, ci sono metodi più efficaci contro gli attacchi ddos, ma un filtro è ragionevole e semplice.

#4
+1
Gabriel
2014-11-05 05:47:55 UTC
view on stackexchange narkive permalink

Alcuni siti web bloccano i paesi per motivi di lavoro. Il traffico proveniente da alcuni paesi non genera entrate sufficienti per garantire le risorse per servirli. A volte le aziende non vogliono espandersi in un paese fino a quando non possono "farlo bene".

Probabilmente non è un problema di sicurezza. Questo può essere aggirato usando TOR e VPN. Naturalmente, possono anche bloccare il traffico da TOR e VPN, o almeno monitorarlo più da vicino.

Questa è una decisione aziendale o politica, non tecnica.

#5
  0
nitro2k01
2014-11-06 22:15:41 UTC
view on stackexchange narkive permalink

Nel caso di un sito come Grubhub, il motivo del blocco di alcuni paesi probabilmente non è l'hacking (interferenza tecnica) ma piuttosto uno sforzo per contrastare recensioni false e contenuti indesiderati simili. È relativamente comune al giorno d'oggi che le persone nei paesi poveri vengano assunte per pubblicare spam o cose simili allo spam come recensioni false per pochi centesimi a pop.

Sicuramente chiunque potrebbe aggirare questo blocco, ma allora potrebbe essere rilevato in un modo diverso, poiché questi utenti si collegherebbero probabilmente tramite un server proxy che può essere rilevato tramite una lista nera proxy. Il punto qui è impostare blocchi stradali, piuttosto che sicurezza assoluta. A differenza di una vulnerabilità di sicurezza, le recensioni false sulla valutazione di un ristorante non sono una minaccia immediatamente fatale per il sito.

Se questo viene fatto in modo giudizioso e mirando a un problema reale che è stato identificato, può assolutamente efficace per bloccare i messaggi indesiderati. Per fare un esempio, per un sito che gestisco, ho scoperto che ricevevo costantemente spam da Bangladesh, Pakistan e Camerun (di tutti i luoghi) e zero traffico utile da quegli stessi luoghi. Ho bloccato, al meglio delle mie capacità, quei paesi dalla pubblicazione di contenuti, ma non dalla lettura del sito. Gli utenti di questi paesi vengono ora accolti con un messaggio educato che chiede loro di contattare un indirizzo e-mail che è stato impostato apposta per questo scopo, se erano utenti legittimi. Ciò è stato efficace nel bloccare questa particolare classe di spam ed è un esempio di quello che definirei un uso consapevole e giudizioso del blocco di un determinato paese.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...