Question:
Le blocage de l'accès d'un pays à un site Web est-il une bonne mesure pour éviter les pirates informatiques de ce pays?
Luis Arriojas
2014-11-03 21:59:00 UTC
view on stackexchange narkive permalink

Je suis situé au Venezuela en ce moment, et pendant tout le week-end, je n'ai pas pu accéder à grubhub.com et à seamless.com.

Enfin, j'ai essayé d'utiliser le navigateur Tor et j'ai eu accès. La même chose s'est produite en janvier lorsque j'ai essayé d'accéder au site Web du service de police dans un comté de l'État de New York lorsque j'étais à l'étranger.

Est-ce une mesure pour éviter les pirates? Ou le font-ils pour éviter de dépenser de la bande passante dans les pays où le site Web ne dessert pas la population?

Votre question devra peut-être être reformulée. Il est difficile de répondre pourquoi ces sites particuliers ont fait cela.
Vos exemples et le reste de la question ne sont peut-être pas du tout liés. Avez-vous par exemple essayé de vérifier votre adresse IP avec divers CBL / DNSBL si elle est peut-être sur la liste noire? Les FAI de certains pays ont tendance à alterner assez rapidement entre les adresses IP attribuées par DHCP (l'Inde en est un exemple connu), et à ce moment-là, vous avez peut-être reçu une adresse IP qui était sur la liste noire. Dans les deux cas, une seule adresse IP figurant sur la liste noire dans les CBL publics que certains sites Web (comme les vôtres) pourraient utiliser ne signifie pas un blocage basé sur le pays. Utilisez par exemple http://www.ipvoid.com/ pour consulter de nombreux CBL / DNSBL publics.
Tant qu'ils ne sont pas assez intelligents pour utiliser un VPN et des proxies. Souvent aussi efficace que la ligne Maginot était pour garder les Allemands hors de France pendant la Seconde Guerre mondiale. Il y a toujours un moyen de contourner.
Seuls les mauvais hackers.
Notez que lors du blocage d'un pays entier, seuls les utilisateurs légitimes seront bloqués, car vos "hackers" n'utilisent jamais leur propre adresse IP, mais travaillent via d'autres, ou via des proxy / VPN, qui pourraient être basés ailleurs que dans leur propre pays
Considérez le fait que restreindre l'accès par pays signifie que vous nuire au concept d'Internet. Imaginez un monde où toutes les adresses IP non américaines sont bloquées sur Stackexchange parce que les annonceurs américains représentent 99% de leurs bénéfices.
Pour être un peu franc, êtes-vous certain que ces sites bloquent réellement le Venezuela, par opposition à quelque chose qui cause des problèmes un peu plus près de votre emplacement? Je ne suis pas sûr de l'état actuel des choses, mais le Venezuela a certainement eu des problèmes dans le passé. Une de mes amies enseignait l'informatique dans la _capitale_, et ils avaient des pannes de courant, ce qui rendait son travail plutôt difficile ...
Cela pourrait être une tentative (bâclée) des puissances vénézuéliennes de mettre en place un système de type «Grand pare-feu de Chine». (Bien que plus probable que quelqu'un n'ait pas payé le loyer sur la ligne principale ou quelque chose du genre.)
Tout pirate informatique qui mérite d'être inquiété peut usurper son pays d'origine.
Cinq réponses:
#1
+76
Thomas Pornin
2014-11-03 22:27:51 UTC
view on stackexchange narkive permalink

Le blocage basé sur un pays est généralement mis en place suite à une politique organisationnelle dont l'intention est en effet de "bloquer les pirates". Ce genre de choses échoue sur trois points:

  1. Une telle politique suppose que les personnes malveillantes peuvent être classées par nationalité. C'est un type de pensée à l'ancienne, la Première Guerre mondiale.

  2. La position géographique n'a pas d'importance pour les ordinateurs; un pare-feu ne peut voir que les adresses IP . La déduction de la géographie à partir des adresses IP repose sur de grandes tables qui ne sont jamais complètement à jour.

  3. Comme vous l'avez observé, contourner ces systèmes de blocage est trivial pour les attaquants; il suffit d'utiliser un hôte relais en dehors du pays bloqué, et cela se produit "naturellement" lors de l'utilisation de Tor. La plupart des attaquants utiliseront de toute façon de tels relais, pour couvrir leurs traces.

Donc, l'effet net habituel d'un tel blocage est d'irriter quelques utilisateurs normaux (qui auraient pu être des clients , mais pas maintenant qu'ils sont en colère), sans pour autant gêner les efforts des attaquants compétents.


Du bon côté, cependant, un blocage basé sur le "pays" est parfois mis en place pour empêcher des milliers de drones insensés de spammer les journaux de connexion. Par exemple, l'administrateur système a peut-être remarqué une augmentation des connexions factices à partir de certains réseaux de zombies, dont la plupart des machines sont situées au Venezuela. Dans ce cas, bloquer complètement le Venezuela peut aider à empêcher le colmatage des fichiers journaux, tout en n'impliquant qu'un impact mineur sur les activités (en supposant que le serveur en question a très peu de clients honnêtes basés au Venezuela). Ainsi, il est concevable qu’une analyse risque / coût ait déterminé qu’un blocage aussi important améliorerait les choses.

Cependant, dans la plupart des cas, le "blocage de pays" est là pour le spectacle: un blocage de tout le pays aide les administrateurs système à démontrer aux managers qu'ils font quelque chose pour la sécurité, d'une manière que les managers comprennent facilement. C'est la situation habituelle de la sécurité: lorsque tout fonctionne bien, la sécurité est invisible. Il est malheureusement difficile de négocier des budgets pour des activités qui n'impliquent aucun résultat visible. Même si tout l'intérêt de la sécurité est d'éviter d'avoir des résultats visibles, par ex. un site Web dégradé ou une liste de 16 millions de mots de passe d'utilisateurs ont été divulgués et ont fait la une des journaux.

Dans le cas de la distribution de médias, certains distributeurs appliquent le blocage par pays parce qu'ils n'avaient pas de droits de retransmission dans le monde entier et en faisant un minimum d'effort de blocage, ils remplissent leurs obligations légales. On peut soutenir que cette affaire est également «pour le spectacle».

L'intention n'est peut-être pas nécessairement la sécurité, mais plutôt la réduction du bruit. Si vous n'obtenez jamais de trafic légitime d'un endroit et que vos journaux se remplissent d'erreurs causées par des bots, bloquer tout le pays fait disparaître un problème ennuyeux.
Le blocage basé sur un pays est la ligne de politique Maginot, car je ne peux que représenter la Belgique neutre.
+1. Le terme «bloqué» dans la question étant vague, le blocage spécifique au pays est également utilisé pour les problèmes de licence. Les sites de télévision aux États-Unis, par exemple, bloquent l'accès aux vidéos (et non à l'ensemble du site) en fonction du pays du spectateur. Ce n'est pas nécessairement pour bloquer les bots ou quoi que ce soit - ce sont juste les problèmes juridiques liés aux licences.
Je pense que la facilité de contourner ce filtre est une aubaine pour la stratégie, pas un écueil. Il permet aux utilisateurs légitimes persistants de continuer à utiliser le site. C'est comme exécuter un service sur un port autre que celui par défaut. Cela n'arrêtera aucune personne réelle sur un clavier avec une durée d'attention de plus de 10 secondes, mais cela réduira 99% des tentatives d'intrusion automatisées.
Pourquoi tout le monde suppose-t-il que c'est pour "bloquer les pirates"? Compte tenu de l'exemple de GrubHub.com, un site basé aux États-Unis qui propose des commandes en ligne pour les restaurants basés aux États-Unis, quelle utilisation légitime une personne de VZ aurait-elle pour visiter le site? Il y a de fortes chances que la perte de ventes de 0,5% d'utilisateurs légitimes réels bloqués soit compensée par les économies de ressources de ne pas avoir à desservir l'ensemble du site dans un pays où le site n'est généralement pas utile (et donc à partir duquel le trafic est probable spammeurs / hackers / etc).
En ce qui concerne votre premier point - si un certain pourcentage d'attaques provient d'une zone géographique donnée (par exemple, un pays), le blocage de cette zone bloque (superficiellement, sans contre-contre-mesures) ce pourcentage d'attaques. Que cela vous plaise ou non, et que ce soit ou non un PC.
J'ai travaillé pour un endroit qui bloquait toute la Russie et la Chine. Étant donné que nos clients n'avaient pas d'opérations dans ces États, il n'y avait vraiment aucune raison légitime d'autoriser le trafic. Il a été bloqué en réponse au très mauvais comportement du moteur de recherche de l'État chinois, et comme la Chine n'avait aucune utilité pour les informations, ils ont été bloqués.
À propos du n ° 2, ce n'est pas tout à fait vrai. Les adresses IP sont attribuées aux pays avant de pouvoir être utilisées (et, toutes les adresses IPv4 légales ont été attribuées à des pays, il n'y en a littéralement aucune disponible pour aucun pays, la base de données est donc complète). En outre, les plages IPv6 doivent être attribuées avant utilisation, et les entreprises qui fournissent ces informations le font suffisamment à l'avance pour qu'un développeur souhaitant fournir une précision de plus de 99,999% sur la base de l'IP puisse le faire. Sauf, bien sûr, tunneling / VPN, etc. Mais le n ° 2 n'est certainement pas précis en soi.
phyrfox - si vous avez lu ce petit tableau, vous verrez un très grand nombre attribué par entreprise, pas par pays. Et où se trouve un .com ou un .me? Et qui le possède / le dirige? Tous très indépendants les uns des autres. http://en.wikipedia.org/wiki/List_of_assigned_/8_IPv4_address_blocks
@Rory Alsop .me serait bien sûr le Monténégro :)
Très vrai Andre - et mon site Web se termine par .me, mais je n'y suis jamais allé et je ne le serai probablement jamais. Ce que je veux dire, c'est que l'emplacement du pays est peut-être orthogonal à la sécurité.
@DoktorJ: "quelle utilisation légitime une personne de VZ aurait-elle pour visiter le site?" - Je ne suis pas spécifiquement de VZ, mais j'ai, à certaines occasions, aidé des connaissances non informatisées dans d'autres pays à commander des choses en ligne en passant essentiellement par le processus pour elles. Oui, c'est un cas secondaire, mais certainement une utilisation légitime dans laquelle le propriétaire du site Web pourrait avoir un intérêt réel. (Une autre utilisation légitime, dont le propriétaire du site Web ne tire cependant aucun avantage direct, consiste simplement à consulter le site Web et ses capacités, par exemple nommez-le comme un exemple concret de quelque chose dans un document de recherche.)
@O.R.Mapper pour un site comme GrubHub, pourquoi diable quelqu'un dans un autre pays commanderait-il légitimement un déjeuner dans un restaurant américain? Cela peut simplement être une mesure de réduction des coûts - si vous n'êtes pas un client potentiel, pourquoi gaspiller leur bande passante (et finalement de l'argent) en vous servant des graphiques haute résolution, etc.
@DoktorJ: je viens d'expliquer. Si j'ai une connaissance non technophile aux États-Unis, je (en dehors des États-Unis) serais plus qu'heureux de passer rapidement par le "processus compliqué" de commander leur nourriture pour eux, s'ils me demandent (le, vous savoir, "gars qui fait quelque chose avec des ordinateurs et sait donc comment de telles choses fonctionnent") pour leur donner une main (virtuelle). Je l'ai fait pour les comptes de messagerie instantanée et autres, pourquoi ne pas le faire pour les commandes de restaurant?
@DoktorJ: Et, pour ne citer qu'un autre cas d'utilisation légitime: quelqu'un aux États-Unis pourrait avoir des problèmes techniques pour afficher un site comme GrubHub, ce qui pourrait être résolu par de simples paramètres de navigateur. Pourquoi devrais-je être interdit de découvrir les paramètres avec lesquels le site fonctionne simplement parce que je ne suis pas physiquement dans le même pays que le client GrubHub qui a des difficultés avec le site Web?
#2
+26
schroeder
2014-11-03 22:17:36 UTC
view on stackexchange narkive permalink

Dans mon cas, nos clients attendus viennent de pays prévisibles, et donc pour limiter la "surface de menace", les autres pays sont bloqués.

Cela a une valeur limitée car toute personne déterminée peut faire ce que vous avez fait et simplement réacheminer son trafic. L'avantage secondaire, cependant, est que les pays que nous autorisons sont ceux qui ont des lois cybernétiques strictes et que nous pouvons obtenir l'aide des forces de l'ordre en cas d'attaque. Ainsi, si un attaquant d'un pays non autorisé achemine son trafic à travers un pays autorisé, nous pouvons impliquer la police. C'est une petite chose, mais cela réduit le risque sans aucun impact sur les affaires et sans frais (à l'exception du temps pour entrer le pays autorisé dans la liste blanche du pare-feu).

Quand j'ai fait cela, le mauvais la charge de trafic sur nos serveurs Web a chuté de 90%, ce qui est significatif en termes d'économies de ressources, si rien d'autre.

Exactement ça. Ce n'est pas parfait, mais si votre public cible est très spécifique à un pays, alors pourquoi laisser la porte d'entrée grande ouverte aux attaquants d'autres pays? Bien sûr, certains trouveront des fenêtres, des portes de garage, etc., mais 95% et plus passeront simplement à d'autres cibles.
Comment des «cyber-lois strictes» pourraient-elles aider si le véritable attaquant est loin de ce pays?
L'attaquant n'est donc pas le problème, mais le point pivot l'est.
@schroeder Je ne comprends toujours pas comment la police vous aiderait après coup
S'il y a une attaque active, il est plus facile de faire tracer l'attaque et de la traiter par le FAI, car le FAI a certaines responsabilités légales. Après coup, il est possible de remédier à ce point pivot. Il y a des pays où les FAI ne répondent tout simplement pas à mes appels à l'aide, et je sais que leurs forces de police ne donnent pas suite aux attaques. Les FAI et les forces de police américains, canadiens et britanniques réagissent et peuvent s'intensifier.
#3
+3
Ka Rl
2014-11-04 13:57:02 UTC
view on stackexchange narkive permalink

C'est vrai, si un pirate souhaite accéder à votre page, cela ne l'aidera pas, il peut simplement utiliser un VPN ou un proxy.

Mais si vous pensez à tous les bots qui attaquer chaque page qu'ils trouvent pour tester des exploits et / ou des mots de passe, vous pourrez en bloquer beaucoup. Cela vous aidera également contre les attaques ddos, si vous bloquez tous les pays sauf celui dans lequel vous vivez, vous pourrez bloquer la plupart du trafic. Bien sûr, il existe des méthodes plus efficaces contre les attaques ddos ​​mais un filtre est raisonnable et simple.

#4
+1
Gabriel
2014-11-05 05:47:55 UTC
view on stackexchange narkive permalink

Certains sites Web bloquent des pays pour des raisons commerciales. Le trafic de certains pays ne génère pas suffisamment de revenus pour garantir les ressources nécessaires pour les desservir. Parfois, les entreprises ne veulent pas s'étendre dans un pays tant qu'elles ne peuvent pas «faire les choses correctement».

Ce n'est probablement pas un problème de sécurité. Cela peut être contourné en utilisant TOR et VPN. Bien sûr, ils peuvent également bloquer le trafic des TOR et des VPN, ou au moins surveiller de plus près.

Il s'agit d'une décision commerciale ou politique, non technique.

#5
  0
nitro2k01
2014-11-06 22:15:41 UTC
view on stackexchange narkive permalink

Dans le cas d'un site comme Grubhub, la raison du blocage de certains pays n'est probablement pas le piratage (interférence technique) mais plutôt un effort pour contrecarrer les fausses critiques et les contenus indésirables similaires. Il est relativement courant de nos jours que des gens dans les pays pauvres soient embauchés pour publier du spam ou des choses semblables à du spam comme de faux avis pour quelques centimes par pop.

Bien sûr, n'importe qui pourrait contourner ce blocage, mais cela pourrait alors détecté d'une manière différente, car ces utilisateurs se connecteraient alors probablement via un serveur proxy qui peut être détecté via une liste noire de proxy. Le but ici est de mettre en place des barrages routiers, plutôt qu'une sécurité absolue. Contrairement à une faille de sécurité, les fausses critiques sur une note de restaurant ne constituent pas une menace immédiatement fatale pour le site.

Si cela est fait de manière judicieuse et ciblant un problème réel qui a été identifié, cela peut absolument un efficace pour arrêter les messages indésirables. Pour ne citer qu'un exemple, pour un site que je dirige, j'ai constaté que je recevais constamment du spam du Bangladesh, du Pakistan et du Cameroun (de tous les endroits) et aucun trafic utile de ces mêmes endroits. J'ai empêché, au mieux de mes capacités, ces pays de publier du contenu, mais pas de lire le site. Les utilisateurs de ces pays sont maintenant accueillis par un message poli leur demandant de contacter une adresse e-mail qui a été configurée uniquement à cette fin, s'ils étaient des utilisateurs légitimes. Cela a été efficace pour bloquer cette classe particulière de spam, et c'est un exemple de ce que j'appellerais une utilisation bien informée et judicieuse du blocage d'un certain pays.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...