Frage:
Ist das Sperren des Zugriffs eines Landes auf eine Website eine gute Maßnahme, um Hacker aus diesem Land zu vermeiden?
Luis Arriojas
2014-11-03 21:59:00 UTC
view on stackexchange narkive permalink

Ich bin gerade in Venezuela und konnte das ganze Wochenende über nicht auf grubhub.com und nahtlose.com zugreifen.

Schließlich habe ich versucht, den Tor-Browser zu verwenden, und habe Zugriff erhalten. Dasselbe geschah im Januar, als ich im Ausland versuchte, auf die Website der Polizeibehörde in einem Bezirk des Staates New York zuzugreifen.

Ist dies eine Maßnahme, um Hackern auszuweichen? Oder tun sie dies, um zu vermeiden, dass Bandbreite in Ländern ausgegeben wird, in denen die Website nicht der Bevölkerung dient?

Ihre Frage muss möglicherweise umformuliert werden. Es ist schwer zu beantworten, warum diese bestimmten Websites dies getan haben.
Ihre Beispiele und der Rest der Frage sind möglicherweise überhaupt nicht miteinander verbunden. Haben Sie z. Haben Sie versucht, Ihre IP-Adresse mit verschiedenen CBLs / DNSBLs zu überprüfen, wenn sie möglicherweise auf der schwarzen Liste steht? Die ISPs einiger Länder wechseln in der Regel ziemlich schnell zwischen den von DHCP zugewiesenen IP-Adressen (Indien ist ein bekanntes Beispiel), und zu diesem Zeitpunkt wurde Ihnen möglicherweise eine IP zugewiesen, die auf die schwarze Liste gesetzt wurde. In beiden Fällen weist eine einzelne IP, die in öffentlichen CBLs auf die schwarze Liste gesetzt wird, die einige Websites (wie Ihre Beispiel-Websites) möglicherweise verwenden, nicht auf eine länderbasierte Blockierung hin. Verwenden Sie z.B. http://www.ipvoid.com/, um viele öffentliche CBLs / DNSBLs zu überprüfen.
Solange sie nicht intelligent genug sind, um VPN und Proxys zu verwenden. Oft so effektiv wie die Maginot-Linie, um die Deutschen im Zweiten Weltkrieg von Frankreich fernzuhalten. Es gibt immer einen Weg herum.
Nur schlechte Hacker.
Beachten Sie, dass beim Blockieren eines ganzen Landes nur legitime Benutzer blockiert werden, da Ihre "Hacker" niemals ihre eigene IP-Adresse verwenden, sondern entweder über andere oder über Proxys / VPNs arbeiten, die sich außerhalb ihres eigenen Landes befinden könnten
Bedenken Sie, dass die Einschränkung des Zugangs nach Ländern dazu führt, dass Sie das Konzept des Internets schädigen. Stellen Sie sich eine Welt vor, in der alle nichtamerikanischen IPs bei Stackexchange blockiert sind, weil amerikanische Werbetreibende 99% ihres Gewinns ausmachen.
Sind Sie sicher, dass diese Websites Venezuela tatsächlich blockieren, im Gegensatz zu etwas, das Probleme verursacht, die etwas näher an Ihrem Standort liegen? Ich bin mir über den aktuellen Stand der Dinge nicht sicher, aber Venezuela hatte in der Vergangenheit sicherlich Probleme. Eine Freundin von mir unterrichtete Informatik im Kapital, und sie hatten rollende Stromausfälle, was ihre Arbeit ziemlich schwierig machte ...
Dies könnte ein (verpatzter) Versuch der venezolanischen Mächte sein, eine Sache vom Typ "Great Firewall of China" zu implementieren. (Obwohl es wahrscheinlicher ist, dass jemand die Miete nicht über die Amtsleitung oder ähnliches bezahlt hat.)
Jeder Hacker, über den man sich Sorgen machen sollte, kann sein Herkunftsland fälschen.
Fünf antworten:
Thomas Pornin
2014-11-03 22:27:51 UTC
view on stackexchange narkive permalink

Eine länderbasierte Blockierung wird normalerweise aufgrund einer Organisationsrichtlinie eingeführt, deren Absicht darin besteht, "Hacker zu blockieren". Diese Art von Dingen scheitert in drei Punkten:

  1. Eine solche Richtlinie setzt voraus, dass böswillige Personen nach Nationalität kategorisiert werden können. Dies ist eine Denkweise aus dem Ersten Weltkrieg im alten Stil.

  2. Die geografische Position ist für Computer unerheblich. Eine Firewall kann nur IP-Adressen sehen. Das Ableiten der Geografie von IP-Adressen basiert auf großen Tabellen, die niemals vollständig auf dem neuesten Stand sind.

  3. Wie Sie festgestellt haben, ist das Umgehen dieser Blockierungssysteme für Angreifer trivial. Es reicht aus, einen Relay-Host außerhalb des blockierten Landes zu verwenden, und dies geschieht "natürlich", wenn Tor verwendet wird. Die meisten Angreifer verwenden solche Relais ohnehin, um ihre Spuren zu verwischen.

    4. ol>

    Der übliche Nettoeffekt einer solchen Blockierung besteht also darin, einige normale Benutzer (die möglicherweise Kunden waren) zu irritieren , aber nicht jetzt, wo sie wütend sind), ohne die Bemühungen kompetenter Angreifer tatsächlich zu behindern.

    Auf der positiven Seite wird jedoch manchmal eine "länderbasierte" Blockierung eingeführt, um dies zu verhindern Tausende von sinnlosen Drohnen, die die Verbindungsprotokolle nicht spammen. Zum Beispiel könnte der Systemadministrator einen Anstieg von Dummy-Verbindungen von einem Botnetz bemerkt haben, von denen sich die meisten Maschinen in Venezuela befinden. In diesem Fall kann das Blockieren von Venezuela insgesamt dazu beitragen, das Verstopfen von Protokolldateien zu verhindern, während dies nur geringfügige Auswirkungen auf das Geschäft hat (vorausgesetzt, der betreffende Server hat nur sehr wenige ehrliche Kunden aus Venezuela). Es ist daher denkbar , dass eine Risiko- / Kostenanalyse festgestellt hat, dass eine so große Blockierung die Situation verbessern würde.

    In den meisten Fällen ist die "Länderblockierung" jedoch für die Show vorhanden: Eine Blockierung des gesamten Landes hilft Sysadmins, Managern zu demonstrieren, dass sie etwas für die Sicherheit tun, auf eine Weise, die Manager leicht verstehen. Dies ist die übliche Sicherheitslage: Wenn alles gut funktioniert, ist Sicherheit unsichtbar. Es ist leider schwierig, Budgets für Aktivitäten auszuhandeln, die kein sichtbares Ergebnis implizieren. Obwohl der ganze Sinn der Sicherheit darin besteht, sichtbare Ergebnisse zu vermeiden, z. Eine unleserliche Website oder eine Liste mit 16 Millionen Benutzerkennwörtern ist durchgesickert und hat die Nachrichten erreicht.

    Bei der Medienverteilung erzwingen einige Händler die länderbasierte Sperrung, da sie keine Rechte für die weltweite Weiterverbreitung hatten und indem sie eine Art Blockierungsbemühungen ausführen, erfüllen sie ihre gesetzlichen Verpflichtungen. Dieser Fall ist wohl auch "für die Show".

Die Absicht muss nicht unbedingt die Sicherheit sein, sondern vielmehr die Geräuschreduzierung. Wenn Sie nie legitimen Datenverkehr von einem Standort erhalten und Ihre Protokolle mit Fehlern gefüllt sind, die durch Bots verursacht wurden, wird durch das Blockieren des gesamten Landes nur ein lästiges Problem behoben.
Länderbasiertes Blockieren ist die Maginot-Linie, da ich nur durch neutrales Belgien vertreten kann.
+1. Da "blockiert" in der Frage vage ist, wird die länderspezifische Blockierung auch für Lizenzprobleme verwendet. TV-Sites in den USA blockieren beispielsweise den Zugriff auf die Videos (nicht die gesamte Site) basierend auf dem Zuschauerland. Es geht nicht unbedingt darum, Bots oder ähnliches zu blockieren - es sind nur die rechtlichen Probleme bei der Lizenzierung.
Ich denke, die Leichtigkeit, diesen Filter zu umgehen, ist ein Segen für die Strategie, keine Falle. Es ermöglicht dauerhaften legitimen Benutzern, die Site weiterhin zu nutzen. Dies ist wie das Ausführen eines Dienstes an einem nicht standardmäßigen Port. Es wird keine reale Person an einer Tastatur mit einer Aufmerksamkeitsspanne von mehr als 10 Sekunden stoppen, aber es wird 99% der automatisierten Unterbrechungsversuche reduzieren.
Warum gehen alle davon aus, dass es darum geht, "Hacker zu blockieren"? Welche legitime Verwendung hätte eine Person aus VZ am Beispiel von GrubHub.com, einer in den USA ansässigen Website, die Online-Bestellungen für in den USA ansässige Restaurants anbietet, um die Website zu besuchen? Möglicherweise wird der Umsatzverlust der 0,5% der tatsächlich legitimen Benutzer, die blockiert werden, durch die Ressourceneinsparungen ausgeglichen, die dadurch entstehen, dass nicht die gesamte Site in einem Land bereitgestellt werden muss, in dem die Site im Allgemeinen nicht nützlich ist (und daher der meiste Verkehr wahrscheinlich ist Spammer / Hacker / etc).
In Bezug auf Ihren ersten Punkt: Wenn ein bestimmter Prozentsatz der Angriffe aus einem bestimmten geografischen Gebiet (z. B. einem Land) stammt, blockiert das Blockieren dieses Gebiets (oberflächlich, ohne Gegenmaßnahmen) diesen Prozentsatz der Angriffe. Ob es Ihnen gefällt oder nicht und ob es sich um einen PC handelt.
Ich habe für einen Ort gearbeitet, der ganz Russland und China blockiert hat. Da unsere Kunden in diesen Staaten keinen Betrieb hatten, gab es wirklich keinen legitimen Grund, Verkehr zuzulassen. Es wurde jedoch blockiert, als Reaktion darauf, dass sich die chinesische staatliche Suchmaschine sehr schlecht verhielt, und da China die Informationen nicht nutzte, wurden sie blockiert.
Über # 2 ist das nicht ganz richtig. IPs werden Ländern zugewiesen, bevor sie verwendet werden können (und da alle legalen IPv4-Adressen Ländern zugewiesen wurden, steht jedem Land buchstäblich Null zur Verfügung, sodass die Datenbank vollständig ist). Außerdem müssen IPv6-Bereiche vor der Verwendung zugewiesen werden, und Unternehmen, die diese Informationen bereitstellen, tun dies so weit im Voraus, dass ein Entwickler, der eine Genauigkeit von über 99,999% basierend auf IP bereitstellen möchte, dies tun kann. Es sei denn natürlich, Tunneling / VPN usw. Aber # 2 ist definitiv nicht von sich aus korrekt.
phyrfox - Wenn Sie diese kleine Tabelle gelesen haben, sehen Sie eine sehr große Anzahl, die von der Firma und nicht vom Land vergeben wird. Und wo befindet sich tatsächlich ein .com oder ein .me? Und wem gehört es? Alle sehr unabhängig voneinander. http://en.wikipedia.org/wiki/List_of_assigned_/8_IPv4_address_blocks
@Rory Alsop .me wäre natürlich Montenegro :)
Sehr wahr, Andre - und meine Website endet mit .me, aber ich war noch nie dort und werde es wahrscheinlich nie tun. Mein Punkt ist, dass der Standort des Landes möglicherweise orthogonal zur Sicherheit ist.
@DoktorJ: "Welchen legitimen Nutzen hätte eine Person aus VZ, um die Website zu besuchen?" - Ich komme nicht speziell aus VZ, aber ich habe gelegentlich nicht IT-versierten Bekannten in anderen Ländern geholfen, Dinge online zu bestellen, indem ich im Wesentlichen den Prozess für sie durchlaufen habe. Ja, es ist ein Eckfall, aber sicherlich eine legitime Nutzung, an der der Websitebesitzer tatsächlich interessiert sein könnte. (Eine andere legitime Nutzung, von der der Websitebesitzer jedoch keinen direkten Nutzen zieht, besteht darin, einfach die Website und ihre Funktionen zu betrachten, z Nennen Sie es als reales Beispiel für etwas in einem Forschungsbericht.)
@O.R.Mapper für eine Site wie GrubHub, warum um alles in der Welt sollte jemand in einem anderen Land zu Recht ein Mittagessen in einem US-Restaurant bestellen? Dies kann einfach eine Kostensenkungsmaßnahme sein. Wenn Sie kein potenzieller Kunde sind, warum sollten Sie dann die Bandbreite (und letztendlich das Geld) für hochauflösende Grafiken und dergleichen verschwenden?
@DoktorJ: habe ich gerade erklärt. Wenn ich in den USA einen nicht technisch versierten Bekannten habe, würde ich (außerhalb der USA) gerne schnell den "komplizierten Prozess" der Bestellung ihres Essens für sie durchlaufen, wenn sie mich (das, Sie) fragen wissen, "Typ, der etwas mit Computern macht und somit weiß, wie solche Dinge funktionieren"), um ihnen eine (virtuelle) Hand zu geben. Ich habe es für Instant Messenging-Konten und dergleichen getan. Warum sollte ich es nicht für Restaurantbestellungen tun?
@DoktorJ: Und um noch einen weiteren legitimen Anwendungsfall zu nennen: Jemand in den USA hat möglicherweise technische Probleme beim Anzeigen einer Site wie GrubHub, die möglicherweise durch einige einfache Browsereinstellungen behoben werden. Warum sollte es mir untersagt sein, herauszufinden, mit welchen Einstellungen die Website funktioniert, nur weil ich mich nicht physisch im selben Land wie der GrubHub-Kunde befinde, der mit der Website zu kämpfen hat?
schroeder
2014-11-03 22:17:36 UTC
view on stackexchange narkive permalink

In meinem Fall kommen unsere erwarteten Kunden aus vorhersehbaren Ländern. Um die "Bedrohungsfläche" zu begrenzen, werden andere Länder blockiert.

Dies hat nur einen begrenzten Wert, da jede entschlossene Person das tun kann, was Sie getan haben, und ihren Verkehr einfach umleiten kann. Der Nebeneffekt ist jedoch, dass die Länder, die wir zulassen, strenge Cyber-Gesetze sind und wir bei einem Angriff Hilfe bei der Strafverfolgung erhalten können. Wenn also ein Angreifer aus einem nicht erlaubten Land seinen Verkehr durch ein erlaubtes Land leitet, können wir die Polizei einbeziehen. Es ist eine kleine Sache, aber es senkt das Risiko ohne Auswirkungen auf das Geschäft und kostenlos (mit Ausnahme der Zeit, um das zulässige Land in die Whitelist der Firewall aufzunehmen).

Als ich das tat, war es schlecht Die Verkehrslast auf unseren Webservern sank um 90%, was nicht zuletzt für die Einsparung von Ressourcenkosten von Bedeutung ist.

Genau das. Es ist nicht perfekt, aber wenn Ihre Zielgruppe sehr länderspezifisch ist, warum sollten Sie dann die Haustür für Angreifer aus anderen Ländern weit offen lassen? Sicher, einige werden Fenster, Garagentore und dergleichen finden, aber 95 +% werden nur zu anderen Zielen übergehen.
Wie würden "strenge Cyber-Gesetze" helfen, wenn der tatsächliche Angreifer weit von diesem Land entfernt ist?
Der Angreifer ist also nicht das Problem, sondern der Dreh- und Angelpunkt.
@schroeder Ich verfolge immer noch nicht, wie die Polizei Ihnen nachträglich helfen würde
Wenn es einen aktiven Angriff gibt, ist es einfacher, den Angriff vom ISP verfolgen und behandeln zu lassen, da der ISP einige rechtliche Verantwortlichkeiten hat. Im Nachhinein ist es möglich, diesen Drehpunkt zu beheben. In einigen Ländern reagieren ISPs einfach nicht auf meine Hilferufe, und ich weiß, dass ihre Polizei Angriffe nicht weiterverfolgt. Amerikanische, kanadische und britische ISPs und Polizeikräfte reagieren und können eskalieren.
Ka Rl
2014-11-04 13:57:02 UTC
view on stackexchange narkive permalink

Es ist wahr, wenn ein Hacker Zugriff auf Ihre Seite erhalten möchte, hilft es nicht, er kann einfach einen VPN oder Proxy verwenden.

Aber wenn Sie über alle Bots nachdenken, die es gibt Wenn Sie jede Seite angreifen, die sie finden, um Exploits und / oder Passwörter zu testen, können Sie viele davon blockieren. Dies hilft Ihnen auch gegen ddos-Angriffe. Wenn Sie jedes Land außer dem, in dem Sie leben, blockieren, können Sie den größten Teil des Datenverkehrs blockieren. Natürlich gibt es effektivere Methoden gegen DDOS-Angriffe, aber ein Filter ist vernünftig und einfach.

Gabriel
2014-11-05 05:47:55 UTC
view on stackexchange narkive permalink

Einige Websites blockieren Länder aus geschäftlichen Gründen. Der Verkehr aus einigen Ländern generiert nicht genügend Einnahmen, um die dafür erforderlichen Ressourcen zu gewährleisten. Manchmal wollen Unternehmen nicht in ein Land expandieren, bis sie "es richtig machen" können.

Es ist wahrscheinlich kein Sicherheitsproblem. Dies kann durch die Verwendung von TOR und VPNs umgangen werden. Natürlich können sie auch den Datenverkehr von TOR und VPNs blockieren oder zumindest genauer überwachen.

Dies ist eine geschäftliche oder politische Entscheidung, keine technische.

nitro2k01
2014-11-06 22:15:41 UTC
view on stackexchange narkive permalink

Bei einer Website wie Grubhub ist der Grund für die Sperrung bestimmter Länder wahrscheinlich nicht das Hacken (technische Eingriffe), sondern der Versuch, gefälschte Bewertungen und ähnliche unerwünschte Inhalte zu vereiteln. Heutzutage ist es relativ üblich, dass Menschen in armen Ländern angeheuert werden, um Spam oder Spam-ähnliche Dinge wie gefälschte Bewertungen für ein paar Cent pro Pop zu veröffentlichen.

Sicher, jeder könnte diesen Block umgehen, aber das könnte dann sein auf andere Weise erkannt, da diese Benutzer dann wahrscheinlich eine Verbindung über einen Proxyserver herstellen würden, der über eine Proxy-Blacklist erkannt werden kann. Hier geht es darum, Straßensperren zu errichten und nicht um absolute Sicherheit. Im Gegensatz zu einer Sicherheitslücke stellen gefälschte Bewertungen einer Restaurantbewertung keine unmittelbare Bedrohung für die Website dar.

Wenn dies auf vernünftige Weise erfolgt und auf ein tatsächlich identifiziertes Problem abzielt, kann dies absolut eine Bedrohung sein wirksam, um unerwünschte Beiträge zu stoppen. Um ein Beispiel zu nennen: Für eine Website, die ich betreibe, stellte ich fest, dass ich ständig Spam aus Bangladesch, Pakistan und Kamerun (ausgerechnet) und keinen nützlichen Verkehr von denselben Orten erhielt. Ich habe diese Länder nach besten Kräften daran gehindert, Inhalte zu veröffentlichen, aber nicht die Website zu lesen. Benutzer aus diesen Ländern werden jetzt mit einer höflichen Nachricht begrüßt, in der sie aufgefordert werden, sich an eine E-Mail-Adresse zu wenden, die nur für diesen Zweck eingerichtet wurde, wenn sie legitime Benutzer waren. Dies hat sich beim Blockieren dieser bestimmten Spam-Klasse als wirksam erwiesen und ist ein Beispiel für eine gut informierte und vernünftige Verwendung des Blockierens eines bestimmten Landes.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...