it-swarm.com.de

Ist das Sperren des Zugriffs eines Landes auf eine Website eine gute Maßnahme, um Hacker aus diesem Land zu vermeiden?

Ich bin gerade in Venezuela und konnte das ganze Wochenende über nicht auf grubhub.com und nahtlose.com zugreifen.

Schließlich habe ich versucht, den Tor-Browser zu verwenden, und habe Zugriff erhalten. Das gleiche passierte im Januar, als ich im Ausland versuchte, auf die Website der Polizeibehörde in einem Bezirk des Staates New York zuzugreifen.

Ist dies eine Maßnahme, um Hacker zu vermeiden? Oder tun sie dies, um Bandbreitenausgaben in Ländern zu vermeiden, in denen die Website nicht der Bevölkerung dient?

43
Luis Arriojas

Länderbasierte Blockierung wird normalerweise als Ergebnis einer Organisationsrichtlinie eingeführt, deren Absicht tatsächlich darin besteht, "Hacker zu blockieren". Diese Art von Dingen scheitert in drei Punkten:

  1. Eine solche Richtlinie setzt voraus, dass böswillige Personen nach Nationalität kategorisiert werden können. Dies ist eine Art alten Denkens aus dem Ersten Weltkrieg.

  2. Die geografische Position ist für Computer unerheblich. Eine Firewall kann nur IP-Adressen sehen. Das Ableiten der Geografie von IP-Adressen basiert auf großen Tabellen, die niemals vollständig auf dem neuesten Stand sind.

  3. Wie Sie festgestellt haben, ist das Umgehen dieser Blockierungssysteme für Angreifer trivial. Es reicht aus, einen Relay-Host außerhalb des blockierten Landes zu verwenden, und dies geschieht "natürlich", wenn Tor verwendet wird. Die meisten Angreifer werden solche Relais sowieso verwenden, um ihre Spuren zu verwischen.

Der übliche Nettoeffekt einer solchen Blockierung besteht also darin, einige normale Benutzer (die möglicherweise Kunden waren, dies aber jetzt nicht tun, wenn sie wütend sind) zu irritieren, ohne die Bemühungen kompetenter Angreifer tatsächlich zu behindern.


Positiv zu vermerken ist jedoch, dass manchmal eine "länderbasierte" Blockierung eingerichtet wird, um zu verhindern, dass Tausende von sinnlosen Drohnen die Verbindungsprotokolle spammen. Zum Beispiel könnte der Systemadministrator einen Anstieg von Dummy-Verbindungen von einem Botnetz bemerkt haben, von denen sich die meisten Maschinen in Venezuela befinden. In diesem Fall kann das Blockieren von Venezuela dazu beitragen, das Verstopfen von Protokolldateien zu verhindern, während dies nur geringfügige Auswirkungen auf das Geschäft hat (vorausgesetzt, der betreffende Server hat nur sehr wenige ehrliche Kunden aus Venezuela). Es ist also denkbar, dass eine Risiko-/Kostenanalyse festgestellt hat, dass eine so große Blockierung die Dinge verbessern würde.

In den meisten Fällen ist die "Länderblockierung" jedoch für die Show vorgesehen: Eine Blockierung des gesamten Landes hilft Sysadmins, Managern zu demonstrieren, dass sie etwas für die Sicherheit tun, auf eine Weise, die Manager leicht verstehen. Dies ist die übliche Sicherheitslage: Wenn alle Dinge gut funktionieren, ist Sicherheit unsichtbar. Es ist leider schwierig, Budgets für Aktivitäten auszuhandeln, die kein sichtbares Ergebnis implizieren. Obwohl der ganze Sinn der Sicherheit darin besteht, sichtbare Ergebnisse zu vermeiden, z. Eine unleserliche Website oder eine Liste von 16 Millionen Benutzerkennwörtern ist durchgesickert und hat die Nachrichten erreicht.

Im Falle der Medienverteilung erzwingen einige Vertriebshändler eine landesweite Sperrung, weil sie keine weltweiten Weiterverbreitungsrechte hatten, und indem sie eine Art von Sperrbemühungen durchführen, erfüllen sie ihre gesetzlichen Verpflichtungen. Dieser Fall ist wohl auch "für die Show".

75
Thomas Pornin

In meinem Fall kommen unsere erwarteten Kunden aus vorhersehbaren Ländern. Um die "Bedrohungsfläche" zu begrenzen, werden andere Länder blockiert.

Dies hat nur einen begrenzten Wert, da jede entschlossene Person das tun kann, was Sie getan haben, und ihren Verkehr einfach umleiten kann. Der Nebeneffekt ist jedoch, dass die Länder, die wir zulassen, strenge Cybergesetze haben und wir bei einem Angriff Hilfe bei der Strafverfolgung erhalten können. Wenn also ein Angreifer aus einem nicht erlaubten Land seinen Verkehr durch ein erlaubtes Land leitet, können wir die Polizei einbeziehen. Es ist eine kleine Sache, aber es senkt das Risiko ohne Auswirkungen auf das Geschäft und kostenlos (mit Ausnahme der Zeit, um das zulässige Land in die Whitelist der Firewall aufzunehmen).

Als ich dies tat, sank die schlechte Verkehrslast auf unseren Webservern um 90%, was nicht zuletzt für die Einsparung von Ressourcenkosten von Bedeutung ist.

26
schroeder

Es ist wahr, wenn ein Hacker Zugriff auf Ihre Seite erhalten möchte, hilft es nicht, er kann einfach einen VPN oder Proxy verwenden.

Wenn Sie jedoch an alle Bots denken, die jede Seite angreifen, die sie finden, um Exploits und/oder Passwörter zu testen, können Sie viele von ihnen blockieren. Dies hilft Ihnen auch gegen ddos-Angriffe. Wenn Sie jedes Land außer dem, in dem Sie leben, blockieren, können Sie den größten Teil des Datenverkehrs blockieren. Natürlich gibt es effektivere Methoden gegen DDOS-Angriffe, aber ein Filter ist vernünftig und einfach.

3
Ka Rl

Einige Websites blockieren Länder aus geschäftlichen Gründen. Der Verkehr aus einigen Ländern generiert nicht genügend Einnahmen, um die dafür erforderlichen Ressourcen zu gewährleisten. Manchmal wollen Unternehmen erst dann in ein Land expandieren, wenn sie "es richtig machen" können.

Es ist wahrscheinlich kein Sicherheitsproblem. Dies kann durch die Verwendung von TOR und VPNs umgangen werden. Natürlich können sie auch den Datenverkehr von TOR und VPNs blockieren oder zumindest genauer überwachen.

Dies ist eine geschäftliche oder politische Entscheidung, keine technische.

1
Gabriel

Bei einer Website wie Grubhub ist der Grund für die Sperrung bestimmter Länder wahrscheinlich nicht das Hacken (technische Eingriffe), sondern der Versuch, gefälschte Bewertungen und ähnliche unerwünschte Inhalte zu vereiteln. Heutzutage ist es relativ üblich, dass Menschen in armen Ländern angeheuert werden, um Spam oder Spam-ähnliche Dinge wie gefälschte Bewertungen für ein paar Cent pro Pop zu veröffentlichen.

Sicher, jeder könnte diesen Block umgehen, aber das könnte dann auf andere Weise erkannt werden, da diese Benutzer dann wahrscheinlich eine Verbindung über einen Proxyserver herstellen würden, der über eine Proxy-Blacklist erkannt werden kann. Hier geht es darum, Straßensperren zu errichten und nicht um absolute Sicherheit. Im Gegensatz zu einer Sicherheitslücke stellen gefälschte Bewertungen einer Restaurantbewertung keine unmittelbare Bedrohung für die Website dar.

Wenn dies auf vernünftige Weise geschieht und auf ein tatsächlich identifiziertes Problem abzielt, kann dies absolut effektiv dazu beitragen, unerwünschte Beiträge zu stoppen. Um ein Beispiel zu nennen: Für eine Website, die ich betreibe, stellte ich fest, dass ich ständig Spam aus Bangladesch, Pakistan und Kamerun (ausgerechnet) und keinen nützlichen Verkehr von denselben Orten erhielt. Ich habe diese Länder nach besten Kräften daran gehindert, Inhalte zu veröffentlichen, aber nicht die Website zu lesen. Benutzer aus diesen Ländern werden jetzt mit einer höflichen Nachricht begrüßt, in der sie aufgefordert werden, sich an eine E-Mail-Adresse zu wenden, die nur für diesen Zweck eingerichtet wurde, wenn sie legitime Benutzer waren. Dies hat sich bei der Blockierung dieser bestimmten Spam-Klasse als wirksam erwiesen und ist ein Beispiel für eine gut informierte und vernünftige Verwendung der Blockierung eines bestimmten Landes.

0
nitro2k01