Черный список (вычислительная техника)

Критерии контроля доступа к компьютеру

Скриншот веб-сайта, блокирующего создание контента, соответствующего термину регулярного выражения в его черном списке

В вычислительной технике черный список , disallowlist , blocklist или denylist — это базовый механизм контроля доступа , который позволяет проходить всем элементам (адресам электронной почты, пользователям, паролям, URL-адресам , IP-адресам , доменным именам , хэшам файлов и т. д.), за исключением явно указанных. Элементам из списка запрещен доступ. Противоположностью является белый список , allowlist или passlist , в котором только элементы из списка пропускаются через используемые ворота. Серый список содержит элементы, которые временно заблокированы (или временно разрешены) до тех пор, пока не будет выполнен дополнительный шаг.

Черные списки могут применяться в различных точках архитектуры безопасности, таких как хост , веб-прокси , DNS- серверы, сервер электронной почты , брандмауэр , серверы каталогов или шлюзы аутентификации приложений. Тип заблокированного элемента зависит от местоположения управления доступом. ^[1] DNS-серверы могут хорошо подходить для блокировки доменных имен, например, но не URL-адресов. Брандмауэр хорошо подходит для блокировки IP-адресов, но в меньшей степени для блокировки вредоносных файлов или паролей.

Примерами использования являются компания, которая может запретить запуск в своей сети определенного программного обеспечения, школа, которая может запретить доступ к определенному списку веб-сайтов со своих компьютеров, или бизнес, который хочет убедиться, что пользователи его компьютеров не выбирают легко угадываемые и ненадежные пароли.

Примеры защищенных систем

Черные списки используются для защиты различных систем в вычислительной технике. Содержимое черного списка, скорее всего, должно быть нацелено на тип защищаемой системы. ^[2]

Информационные системы

Информационная система включает в себя хосты конечных точек, такие как пользовательские машины и серверы. Черный список в этом месте может включать определенные типы программного обеспечения, которые не разрешено запускать в среде компании. Например, компания может внести в черный список одноранговый обмен файлами в своих системах. Помимо программного обеспечения, в черный список могут быть также включены люди, устройства и веб-сайты. ^[3]

Электронная почта

Большинство поставщиков услуг электронной почты имеют функцию антиспама , которая по сути заносит в черный список определенные адреса электронной почты , если они считаются нежелательными. Например, пользователь, которому надоели непрекращающиеся письма с определенного адреса, может добавить этот адрес в черный список, и почтовый клиент автоматически отправит все сообщения с этого адреса в папку нежелательной почты или удалит их без уведомления пользователя.

Фильтр спама в электронной почте может вести черный список адресов электронной почты, любая почта с которых не будет доставлена ​​получателю. Он также может использовать отправляющие доменные имена или отправляющие IP-адреса для реализации более общей блокировки.

Помимо частных черных списков адресов электронной почты существуют списки, которые хранятся для публичного использования, в том числе:

• Китайский альянс по борьбе со спамом ^[4]
• Fabel Спамисточники ^[5]
• Система блокировки спама и открытых ретрансляторов
• Проект DrMX

просмотр веб-страниц

Цель черного списка в веб-браузере — не допустить посещения пользователем вредоносной или обманчивой веб-страницы с помощью локальной фильтрации. Распространенным черным списком веб-браузера является Safe Browsing от Google , который по умолчанию установлен в Firefox, Safari и Chrome.

Имена пользователей и пароли

Внесение в черный список также может применяться к учетным данным пользователя. Обычно системы или веб-сайты вносят в черный список определенные зарезервированные имена пользователей, которые не могут быть выбраны системой или пользователями веб-сайта. Эти зарезервированные имена пользователей обычно связаны со встроенными функциями системного администрирования. Также обычно по умолчанию блокируются нецензурные слова и расовые оскорбления.

Черные списки паролей очень похожи на черные списки имен пользователей, но обычно содержат значительно больше записей, чем черные списки имен пользователей. Черные списки паролей применяются для того, чтобы пользователи не выбирали пароли, которые легко угадываются или хорошо известны и могут привести к несанкционированному доступу со стороны злоумышленников. Черные списки паролей развертываются как дополнительный уровень безопасности, обычно в дополнение к политике паролей, которая устанавливает требования к длине пароля и/или сложности символов. Это связано с тем, что существует значительное количество комбинаций паролей, которые соответствуют многим политикам паролей, но все равно легко угадываются (например, Password123, Qwerty123).

Методы распространения

Черные списки распространяются различными способами. Некоторые используют простые списки рассылки . DNSBL — это распространенный метод распространения, который использует сам DNS . Некоторые списки используют rsync для обмена большими объемами данных. ^[6] Могут использоваться функции веб-сервера; могут использоваться как простые запросы GET , так и более сложные интерфейсы, такие как RESTful API.

Примеры

• Такие компании, как Google , Symantec и Sucuri, ведут внутренние черные списки сайтов, на которых, как известно, размещено вредоносное ПО, и выводят предупреждение, прежде чем разрешить пользователю перейти по ссылке.
• Программное обеспечение для контроля контента, такое как DansGuardian и SquidGuard, может работать с черным списком, чтобы блокировать URL-адреса сайтов, которые считаются неподходящими для рабочей или образовательной среды. Такие черные списки можно получить бесплатно или у коммерческих поставщиков, таких как Squidblacklist.org.
• Существуют также бесплатные черные списки для прокси-серверов Squid (программное обеспечение) , такие как Blackweb.
• Брандмауэр или IDS также могут использовать черный список для блокировки известных враждебных IP-адресов и/или сетей. Примером такого списка может служить проект OpenBL.
• Многие схемы защиты от копирования включают в себя занесение программного обеспечения в черный список .
• Компания Password RBL предлагает черный список паролей для Active Directory , веб-сайтов и приложений Microsoft, распространяемый через RESTful API.
• Участники сайтов онлайн-аукционов могут добавлять других участников в персональный черный список. Это означает, что они не могут делать ставки или задавать вопросы о ваших аукционах, а также не могут использовать функцию «купить сейчас» на ваших товарах.
• Еще одна форма списка — желтый список, который представляет собой список IP-адресов почтовых серверов, которые отправляют в основном хорошие письма, но отправляют немного спама. Примерами являются Yahoo , Hotmail и Gmail . ^{[ требуется цитата ]} Сервер из желтого списка — это сервер, который никогда не должен случайно попасть в черный список. Сначала проверяется желтый список, и если он есть в списке, то тесты на черный список игнорируются.
• В Linux modprobe запись blacklist modulenameв файле конфигурации modprobe указывает, что все внутренние псевдонимы конкретного модуля должны игнорироваться. Бывают случаи, когда два или более модулей поддерживают одни и те же устройства, или модуль недействительно заявляет о поддержке устройства.
• Многие веб-браузеры имеют возможность просматривать черные списки антифишинговых сайтов , чтобы предупреждать пользователей, которые непреднамеренно пытаются посетить мошеннический веб-сайт .
• Многие программы обмена файлами по пиринговым сетям поддерживают черные списки, которые блокируют доступ с сайтов, известных как компании, обеспечивающие соблюдение авторских прав. Примером может служить набор списков блокировки Bluetack ^[7] .

Рекомендации по использованию

Как было отмечено в недавнем докладе конференции, посвященном черным спискам доменных имен и IP-адресов, используемых для обеспечения безопасности в Интернете, «эти списки, как правило, не пересекаются. Поэтому, по-видимому, эти списки не сходятся на одном наборе вредоносных индикаторов». ^{[8] [9]} Эта проблема в сочетании с экономической моделью ^[10] означает, что, хотя черные списки являются неотъемлемой частью защиты сети, их необходимо использовать совместно с белыми и серыми списками.

Ссылки

1. Шимелл, Тимоти; Спринг, Джонатан (2013-11-12). Введение в информационную безопасность: стратегический подход. Newnes. ISBN 9781597499729.
2. "Экосистема черного списка доменов - пример исследования". insights.sei.cmu.edu . 17 июня 2015 г. Получено 04.02.2016 г.
3. Райнер, Уотсон (2012). Введение в информационные системы . Wiley Custom Learning Solutions. ISBN 978-1-118-45213-4.
4. "反垃圾邮件联盟" . Архивировано из оригинала 11 августа 2015 г. Проверено 10 августа 2015 г.
5. "Fabelsources - Черный список".
6. "Руководящие принципы". www.surbl.org . Получено 2016-02-04 .
7. "Форумы BISS - FAQ - Вопросы о списках блокировки". Bluetack Internet Security Solutions . Архивировано из оригинала 2008-10-20 . Получено 01.08.2015 .
8. Меткалф, Ли; Спринг, Джонатан М. (2015-01-01). «Анализ экосистемы черного списка». Труды 2-го семинара ACM по обмену информацией и совместной безопасности . стр. 13–22. doi :10.1145/2808128.2808129. ISBN 9781450338226. S2CID  4720116.
9. Кюрер, Марк; Россов, Кристиан; Хольц, Торстен (17.09.2014). «Paint It Black: Evaluating the Effectiveness of Malware Blacklists». В Ставру, Ангелос; Бос, Герберт; Портокалидис, Георгиос (ред.). Research in Attacks, Intrusions and Defenses . Lecture Notes in Computer Science. Vol. 8688. Springer International Publishing. pp. 1–21. doi :10.1007/978-3-319-11379-1_1. ISBN 9783319113784. S2CID  12276874.
10. Spring, Jonathan M. (17.09.2013). Моделирование динамики удаления вредоносных доменных имен: почему eCrime окупается . 2013 ECrime Researchers Summit (eCRS 2013). IEEE. стр. 1–9. CiteSeerX 10.1.1.645.3543 . doi :10.1109/eCRS.2013.6805779. ISBN  978-1-4799-1158-5. S2CID  8812531.

Внешние ссылки

• Squidblacklist.org — черные списки для прокси-серверов Squid и приложений фильтрации контента.
• ipfilterX от Nexus23 Labs — блокирует P2P-сканеры, IP-адреса командных серверов вредоносного ПО, учреждения и многое другое.