Bloccare l'accesso di un paese a un sito web è una buona misura per evitare gli hacker di quel paese?

Il blocco basato sul Paese viene in genere implementato come risultato di una politica organizzativa la cui intenzione è effettivamente quella di "bloccare gli hacker". Questo tipo di cose falliscono su tre punti:

1. Tale politica presume che le persone malintenzionate possano essere classificate in base alla nazionalità. Questo è un modo di pensare vecchio stile, di guerra mondiale.

2. La posizione geografica è irrilevante per i computer; un firewall può vedere solo indirizzi IP . L'inferenza della geografia dagli indirizzi IP si basa su grandi tabelle che non sono mai completamente aggiornate.

3. Come hai osservato, lavorare attorno a questi sistemi di blocco è banale per gli aggressori; è sufficiente utilizzare un host di inoltro al di fuori del Paese bloccato, e questo accade "naturalmente" quando si usa Tor. La maggior parte degli attaccanti userà comunque tali relè per coprire le loro tracce.

Quindi il solito effetto netto di un tale blocco è di irritare alcuni utenti normali (che potrebbero essere stati clienti, ma non ora che sono arrabbiati), senza in realtà ostacolare gli sforzi degli aggressori competenti.

Sul lato positivo, tuttavia, il blocco basato sul "paese" viene talvolta messo in atto per impedire a migliaia di droni spensierati di inviare spam ai registri delle connessioni. Ad esempio, il sysadmin potrebbe aver notato un aumento delle connessioni fittizie da alcune botnet, la maggior parte delle macchine di cui si trova in Venezuela. In tal caso, bloccare del tutto il Venezuela può aiutare a prevenire l'intasamento dei file di registro, mentre implica solo un impatto minore sul business (supponendo che il server in questione abbia pochissimi clienti onesti con sede in Venezuela). Quindi, concepibile che un'analisi del rischio / costo ha determinato che un blocco così grande avrebbe migliorato le cose.

Tuttavia, nella maggior parte dei casi, il "blocco paese" è lì per lo spettacolo: un blocco di tutto il paese aiuta gli amministratori di sistema a dimostrare ai manager che stanno facendo qualcosa per la sicurezza, in un modo che i manager capiscono prontamente. Questa è la solita situazione di sicurezza: quando tutte le cose funzionano bene, la sicurezza è invisibile. Sfortunatamente è difficile negoziare budget per attività che non implicano alcun risultato visibile. Anche se l'intero punto di sicurezza è evitare di avere risultati visibili, ad es. un sito Web cancellato o un elenco di 16 milioni di password utente trapelate e che hanno colpito le notizie.

Nel caso della distribuzione dei media, alcuni distributori applicano il blocco basato sul paese perché non hanno diritti di ritrasmissione di tutto il mondo, e facendo un modico sforzo di blocco soddisfano i loro obblighi legali. Probabilmente, questo caso è anche "per lo spettacolo".

Nel mio caso, i nostri clienti attesi provengono da paesi prevedibili, e quindi per limitare la "superficie delle minacce", altri paesi sono bloccati.

Ciò ha un valore limitato in quanto qualsiasi persona determinata può fare ciò che hai fatto e semplicemente reindirizzare il traffico. Il beneficio collaterale, tuttavia, è che i paesi che autorizziamo sono quelli con severe leggi cibernetiche e possiamo ottenere aiuto per le forze dell'ordine se si verifica un attacco. Quindi, se un aggressore proveniente da un paese non autorizzato instrada il traffico attraverso un paese autorizzato, possiamo coinvolgere la polizia. È una cosa piccola, ma riduce il rischio senza alcun impatto sul business e senza alcun costo (ad eccezione del tempo per inserire il Paese consentito nella whitelist del firewall).

Quando l'ho fatto, il cattivo carico di traffico sui nostri server Web è sceso del 90%, il che è significativo in termini di risparmi sui costi delle risorse, se non altro.

È vero, se un hacker vorrebbe avere accesso alla tua pagina, non sarà di aiuto, può semplicemente usare un VPN o un proxy.

Ma se pensi a tutti i bot che attaccano ogni pagina che trovano per testare exploit e / o password, sarai in grado di bloccarne molti. Questo ti aiuterà anche contro gli attacchi ddos, se blocchi ogni paese tranne quello in cui vivi, puoi bloccare la maggior parte del traffico. Naturalmente, esistono metodi più efficaci contro gli attacchi ddos, ma un filtro è ragionevole e semplice.

Alcuni siti Web bloccano i paesi per motivi commerciali. Il traffico proveniente da alcuni paesi non genera entrate sufficienti per garantire le risorse per servirli. A volte le aziende non vogliono espandersi in un paese finché non riescono a "farlo bene".

Probabilmente non è un problema di sicurezza. Questo può essere aggirato usando TOR e VPN. Ovviamente, possono anche bloccare il traffico da TOR e VPN, o almeno monitorare più da vicino.

Questa è una decisione commerciale o politica, non tecnica.

Il blocco per IP o intervallo IP è abbastanza facile da bypassare. Un hacker potrebbe semplicemente assumere un server in un altro territorio con un intervallo IP diverso e quindi tentare di violare da quel ...

Nel caso di un sito come Grubhub, la ragione per bloccare alcuni paesi non è probabilmente l'hacking (interferenze tecniche), ma piuttosto uno sforzo per contrastare recensioni false e contenuti indesiderati simili. Al giorno d'oggi è relativamente comune che le persone nei paesi poveri siano assunte per la pubblicazione di spam o cose simili a spam come recensioni false per pochi centesimi.

Certo, chiunque potrebbe aggirare questo blocco, ma potrebbe quindi essere rilevato in un modo diverso, poiché questi utenti potrebbero quindi connettersi attraverso un server proxy che può essere rilevato attraverso una lista nera del proxy. Il punto qui è di impostare i blocchi stradali, piuttosto che la sicurezza assoluta. A differenza di una vulnerabilità di sicurezza, le recensioni false di un ristorante non costituiscono una minaccia immediata per il sito.

Se questo viene fatto in modo giudizioso e mirato a un problema reale che è stato identificato, può assolutamente essere un modo efficace per fermare i post indesiderati. Per citare un esempio, per un sito che gestisco, ho scoperto che stavo costantemente ricevendo spam dal Bangladesh, dal Pakistan e dal Camerun (di tutti i posti) e zero traffico utile da quegli stessi posti. Ho bloccato, al meglio delle mie possibilità, quei paesi dalla pubblicazione di contenuti, ma non dalla lettura del sito. Gli utenti di questi paesi sono ora accolti con un messaggio educato che chiede loro di contattare un indirizzo e-mail che è stato impostato solo per questo scopo, se erano utenti legittimi. Questo è stato efficace nel bloccare questa particolare classe di spam ed è un esempio di quello che definirei un uso ben informato e giudizioso del blocco di un determinato paese.