Blocklist ehk miks ütleb arvuti „ei“?
Olen üsna kindel, et paljud meist tunnevad ära fraasi “The computer says no”, mis pärineb suurepärasest Briti sketšikomöödiasarjast “Little Britain”. Seda ütlust kasutatakse sageli kriitikana organisatsioonide aadressil, kes toetuvad arvutis talletatud või arvuti poolt genereeritud teabele ning teevad klientide taotluste kohta näiliselt meelevaldseid otsuseid — vahel viisil, mis lihtsalt ei tundu loogiline. Täna kirjutan blokeerimisnimekirjast (blocklist) ehk tehnoloogiast, mis on üle maailma väga paljude arvutipõhiste keeldumiste taga ja mis igapäevaselt paneb käe ette miljarditele interaktsioonidele.
Taust
Termin blacklist pärineb 17. sajandist, mil see viitas nimekirjadele soovimatutest isikutest — vaenlastest, teisitimõtlejatest või inimestest, kes olid märgitud karistamiseks või väljaheitmiseks. Blacklist’i vastand on whitelist, kuhu kantakse usaldusväärsed isikud või üksused. 21. sajandil on need terminid üha enam aegunud (deprecated) ning neid asendavad blocklists (eestipäraselt: blokeerimisnimekirjad) ja allowlists (lubamisnimekirjad). Kasutan allpool samuti vorme blocklist ja allowlist.
Küberkaitses on blokeerimisnimekirjad igal pool
Mõtle ükskõik millisele olulisele internetitehnoloogiale, mida tuleb ohtude eest kaitsta, ja võid olla kindel, et leidub lahendusi, mis rakendavad blocklist-põhist kaitset. Näiteks:
a) TCP/IP-võrgundus (firewalls, IDS/IPS, DDoS controls)
b) Domain Name System / DNS (RPZ, DNSBLs, sinkholes)
c) The World Wide Web (WAFs, URL filtering, bot management)
d) E-mail (spämmifiltrid, saatja reputatsioon)
e) Identity & authentication (lekkinud või nõrkade salasõnade blokeerimisnimekirjad).
Blocklist vajab haldavat autoriteeti (maintaining authority) — autor(it) või kompilaator(it) — kes lisab nimekirja uusi üksusi ja hoiab selle terviklikkust. Koduvõrgus või homelabis võib see olla üksikisik; samas võib haldajaks olla ka kogukond, riigiasutus või ettevõte.
Blocklisti kirjed on tavaliselt kuritahtliku tegevuse indikaatorid ning võivad hõlmata muu hulgas IP-aadresse, domeene, URL-e, faili-räsisid, konto-IDsid jpm.
Blocklist kaitseb
Blocklistide koostamise motiivid võivad erineda, kuid enamasti on eesmärk kaitsta väärtuslikke varasid või teenuseid tuntud pahatahtlike osapoolte eest, vähendades kokkupuudet teadaoleva ründeinfrastruktuuri või käitumismustritega. Paljud loendid koostatakse ja kasutatakse kitsas kontekstis (nt üks organisatsioon või ettevõte). Teised aga agregreeritakse kogukonna panustest, meepurkide andmetest, telemeetriast ja partnerite tuhandete allikate voogudest — ning neid jaotatakse laialdaselt ja neid kasutavad miljonid.
Viimast tüüpi nimekirju haldab tavaliselt ettevõte või kogukond, sest need nõuavad märkimisväärset pidevat hooldust. Tõhusa loendi käitamiseks tuleb arvestada hulga teguritega:
a) andmeallikate päritolu ja loendi autentsuse haldus (data provenance & authenticity)
b) üksuste lisamise/ eemaldamise kriteeriumid
c) kirjete time-to-live ja aegumise protsess
d) loendi levitamine ja uuenduste cadence
e) kvaliteedi- ja vaadatavusmõõdikud (quality & observability metrics)
f) kasutajatoe korraldus.
Viimane on kriitiline, sest valepositiivid võivad olla kulukad. Vastutustundlikud haldajad avaldavad selged kriteeriumid, pakuvad vaidlustus-/ eemaldusprotsesse, toetavad kohalikke allowlist-override’e ja eelistavad ajaliselt piiratud (time-bounded) kirjete kasutamist koos decay-mehhanismiga.
Näited tuntud blocklistidest
| Kategooria | Näide (blokeerimisnimekiri) | Mida blokeerib / märgib | Kuidas kasutada |
|---|---|---|---|
| Email & DNSBL | Spamhaus ZEN / DBL | IP-aadressid ja domeenid, millel on halb e-posti maine (ühenduse ja sisu tasandil) | DNS-päringud (DNSBL/RHSBL); kombineeri ZEN-iga |
| SURBL / URIBL | Spämmis nähtud domeenid/URI-d (URI-põhine) | DNS-päringud; ka RPZ / tarnijate vood | |
| Phishing & pahatahtlikud URL-id | abuse.ch URLhaus | Elavad pahavara levitamise URL-id, kogukonna poolt raporteeritud | Hulgi-allalaadimine ja API |
| OpenPhish | Aktiivsed phishing’u URL-id ja seotud luureinfo | Tekst/CSV/JSON vood | |
| IP-maine / ründeallikad | SANS ISC DShield | Agresiivsed allikad (/24 võrgud, hostid), globaalse sensoriandme alusel | Lihttekstilised blokeerimisnimekirjad; panustajate vood |
| FireHOL IP blocklists | Kureeritud koondid paljudest avalikest IP-komplektidest | Tekstipõhised IP-setid (ipset-sõbralikud), auto-uuendusega | |
| Pahavara infrastruktuur, hash’id & TLS | abuse.ch SSLBL | Pahatahtlike TLS sertifikaatide sõrmejäljed & JA3 kliendi sõrmejäljed | CSV/RPZ; sagedased värskendused |
| Feodo Tracker | Botneti C2 IP-aadressid (nt Dridex / Emotet / QakBot) | Lihttekst/JSON blokeerimisnimekirjad | |
| Paroolide blokeerimisnimekirjad | Pwned Passwords (HIBP) | Lekkinud paroolide korpus sign-up/login blokeerimiseks | k-anonymity API või allalaetavad räsid |
| NCSC “Top 100k” | Enim kasutatud / häkitud paroolid (kohalikud deny-reeglid) | Impordi tekstiloend paroolipoliitika tööriista | |
| Tarbija-taseme reklaami- ja jälitusblokeering | EasyList / EasyPrivacy | Reklaami ja trackeri filtrid, mida kasutavad suuremad blokeerijad | Lisa reeglid reklaamiblokeerijasse |
| Steven Black’s unified hosts | Hosts-faili tasemel koondatud reklaami/pahavara/jälituse blokeeringud | Asenda/ühenda süsteemi hosts-failiga (saadaval auto-update valikud) |
Ärimudelid ja litsentsimine
Kuigi paljusid blockliste saab kasutada tasuta ning neid rahastatakse annetuste, sponsorite, grantide või tööandja tööaja arvelt, on osadel olemas ka selge ärimudel. Mõned loendid pakuvad freemium-versiooni: avalikud, viivega (lagged) või kokkuvõtlikud vood on tasuta, kuid reaalajas, kõrgema täpsusega (higher-fidelity) või ajalooliste andmete ligipääs on tasuline.
Teenuse (as-a-service) kujul pakutavatel blocklistidel kujuneb hind sageli organisatsiooni, läbilaske (throughput) või sensorite arvu järgi; kõrgemad paketid lisavad SLA-d, toe, integratsiooniabi või privaatsed vood. Haldajad litsentsivad oma voogusid ka turvatoodete tootjatele, kes põimivad need oma teenustesse või toodetesse (nt tulemüürid, observability-tööriistad jms).
Kõige vastuolulisem ärimudel on delistingu müümine teenusena — tasulise kohese eemaldamise pakkumine; vastasel juhul tuleb oodata kirjete aegumist. Blokeeringu eemaldamise eest tasu küsimine võib tekitada tajutava huvide konflikti ning ei ole mainekate haldajate seas norm. Suure blocklisti kirjes olemine võib oluliselt kahjustada organisatsiooni võimet internetis kasutajate või klientideni jõuda.
E-post kui kõigile arusaadav näide
Suured postkastiteenuse pakkujad ja platvormid (nt Microsoft, Google) põimivad oma e-posti ingress flow’sse nii kolmandate osapoolte kui ka enda reputation systems’id. Kui IP või domeen satub loendisse, võib selle kättetoimetatavus langeda ja kirjad paigutatakse rämpspostikausta — isegi juhul, kui täielik blokeerimine pole universaalne. Halvimal juhul visatakse kirjad vaikselt ära (silently dropped) ning adressaat ei näe neid kunagi.
Sarnaselt suudavad paljud ettevõttekesksed turvatooted (nt Cisco või Fortinet) tarbida väliseid maine-voogusid. See tähendab, et ettevõtted võivad kaotada kontakti oma suurimate partnerite või klientidega, riskides otsese rahalise kahjuga.
Mõju on sageli eriti karm jagatud infrastruktuuri (cloud/hosting) pakkujatele, nagu Zone — ühe tegutseja käitumine võib „määrida“ paljude kasutajate või klientide mainet. Seetõttu võtame oma võrguresursside mainet (IP-aadressiruum, alavõrgud ja domeeninimed) väga tõsiselt. Vastavalt sellele loetakse kliendi tegevusi või tegevusetust, mis viivad meie ressursside sattumiseni kolmandate osapoolte blocklistidesse, meie teenuste Aktsepteeritava Kasutamise Poliitika (AKP) rikkumiseks.
Oleme välja töötanud ja juurutanud mitu observability-tööriista, et tuvastada ja teavitada nii end kui ka kliente tegevustest meie infrastruktuuris, mis võivad viia klientide või ressursside blocklist’imiseni. Võimaluse korral aitame kliente varajase tuvastuse, põhjusanalüüsi (root-cause analysis) ja appeal-/delisting-protsessidega, et eemaldamine (delisting) toimuks kiiremini. Korduv või tahtlik väärkasutus võib siiski lõppeda teenuse piirangute või lepingu lõpetamisega kooskõlas AKP-ga.
Blokeerimisnimekirjad on väärtuslik ressurss: need on tõhus turvameede küberriskide juhtimiseks. Nende nimekirjade rakendamist tuleks käsitleda igas organisatsioonis küberturbe tööriistakasti lahutamatu osana, kuid nende kasutus eeldab läbimõeldud poliitikaid ja pidevat hoolt.
Populaarsed postitused
Partner soovitab: Automaatsed meilid, mida iga e-kaupleja peaks saatma
Produktize.eu: kuidas ehitada rahvusvahelist usaldusväärsust ja kasvatada turgu .EU domeeniga
Partner soovitab: Kuidas luua koduleht, mis kõnetab ideaalset klienti
