Чёрный список (информатика)

В информатике чёрный список или список блокировок — это базовый механизм контроля доступа, который пропускает все элементы (адреса электронной почты, пользователей, пароли, URL-адреса, IP-адреса, доменные имена, хэши файлов и т. д.), за исключением явно указанных. Противоположным является белый список, который пропускает только элементы содержащиеся в этом списке. В сером списке содержатся элементы, которые временно заблокированы (или временно разрешены) до выполнения дополнительного шага.

Чёрные списки могут применяться в различных точках архитектуры безопасности, таких как хост, веб-прокси, DNS-сервер, почтовый сервер, брандмауэр, сервер каталогов или шлюз аутентификации приложений. Тип заблокированного элемента зависит от того, где он блокируется.^[1] Например, DNS-серверы могут подходить для блокировки доменных имён, но не для URL-адресов. Брандмауэр хорошо подходит для блокировки IP-адресов, но в меньшей степени для блокировки вредоносных файлов или паролей.

Примером использования может служить компания, запрещающая запуск списка программ в своей сети или которая хочет, чтобы работники не выбирали легко угадываемые пароли, или школа, которая может запретить доступ к списку веб-сайтов со своих компьютеров.

Примеры защищаемых систем

Чёрные списки используются для защиты различных систем в вычислительной технике. Содержание чёрного списка должно быть ориентировано на тип защищаемой системы.^[2]

Информационные системы

Информационная система включает в себя конечные узлы, такие как пользовательские машины и серверы. В чёрный список в этом месте могут входить определённые типы программного обеспечения, которые не разрешено запускать в корпоративной среде. Помимо программного обеспечения, люди, устройства и веб-сайты также могут быть в чёрном списке.^[3]

Электронная почта

Многие электронной почты имеют функцию защиты от спама, которая, по сути, помещает в чёрный список определённые адреса электронной почты. Это происходит, например, когда выполняется успешная фишинговая атака (с адреса, который подделан из надёжных учётных записей, чтобы попытаться восстановить личную информацию), затем устройство электронной почты считает адрес спамом и переходит в чёрный список адреса.

В дополнение к частным чёрным спискам электронной почты, есть публичные списки, например:

Китайский Анти-Спам Альянс^[4]
Fabel Spamsources^[5]
SORBS
Проект DrMX

Веб браузеры

Цель чёрного списка в веб-браузере — предотвратить посещение пользователем вредоносной веб-страницы с помощью локальной фильтрации. Общий чёрный список просмотра веб-страниц — это безопасный просмотр Google, который по умолчанию устанавливается в Firefox, Safari и Chrome.

Логины и пароли

Чёрный список также может применяться к учётным данным пользователя. Обычно системы или веб-сайты помещают в чёрный список определённые зарезервированные имена пользователей, которые не могут быть выбраны пользователями сайта. Эти зарезервированные имена пользователей обычно связаны со встроенными функциями системного администрирования.

Чёрные списки паролей очень похожи на чёрные списки имён пользователей, но обычно содержат значительно больше записей, чем чёрные списки имён пользователей. Чёрные списки паролей применяются для предотвращения выбора пользователями паролей, которые легко угадываются или хорошо известны и могут привести к несанкционированному доступу злоумышленниками. Чёрные списки паролей представляют дополнительный уровень безопасности в дополнение к политике выбора пароля, которая устанавливает требования к длине пароля и/или сложности символов. Это связано с тем, что существует значительное количество комбинаций паролей, которые удовлетворяют многим политикам паролей, но всё ещё легко угадываются (то есть Password123, Qwerty123).

Методы распространения

Чёрные списки распространяются различными способами. Некоторые используют простые списки адресов рассылки. DNSBL является известным методом распространения, который использует сам DNS. Некоторые списки используют rsync для обмена большими объёмами данных.^[6] Могут быть использованы функции веб-сервера, например, можно использовать либо простые запросы GET, либо более сложные интерфейсы, такие как RESTful API.

Примеры

Список некоторых чёрных списков на основе DNS см. в сравнение чёрных списков DNS.
Такие компании, как Google, Symantec и Sucuri, хранят внутренние чёрные списки сайтов, на которых установлено вредоносное ПО, и отображают предупреждение перед тем, как позволить пользователю щёлкнуть по ним.
Программное обеспечение для управления контентом, такое как DansGuardian и SquidGuard, может работать с чёрным списком, чтобы блокировать URL-адреса сайтов, которые считаются неподходящими для рабочей или образовательной среды. Такие чёрные списки можно получить бесплатно или у коммерческих поставщиков, таких как Squidblacklist.org.
Брандмауэр или IDS также могут использовать чёрный список для блокировки известных враждебных IP-адресов и/или сетей. Примером такого списка может быть проект OpenBL.
Многие схемы защиты от копирования включают программный чёрный список.
Компания Password RBL предлагает чёрный список паролей Microsoft Active Directory, веб-сайтов и приложений, распространяемый через RESTful API.
Участники интернет-аукционов могут добавлять других участников в личный чёрный список. Это означает, что они не могут делать ставки или задавать вопросы о ваших аукционах, а также не могут использовать функцию «купи сейчас» для ваших товаров.
Ещё одной формой списка является жёлтый список, который представляет собой список IP-адресов сервера электронной почты, которые отправляют в основном информационные сообщения, но на самом деле рассылают спам. Примеры включают в себя Yahoo, Hotmail и Gmail. Сервер с жёлтым списком — это сервер, который никогда не должен попадать в чёрный список. Сначала проверяется жёлтый список, и если он указан, то чёрный список игнорируется.
Многие p2p-программы обмена файлами поддерживают чёрные списки, которые блокируют доступ к сайтам, о которых известно, что они принадлежат компаниям, обеспечивающим соблюдение авторских прав. Примером является набор блочных списков Bluetack^[7].

Вопросы использования

Как отмечалось в недавней конференции, посвящённой чёрным спискам доменных имён и IP-адресов, используемых для обеспечения безопасности в Интернете, «эти списки, как правило, не пересекаются. Следовательно, похоже, что эти списки не сходятся по одному набору вредоносных индикаторов».^[8]^[9] Эта проблема в сочетании с экономической моделью^[10] означает, что, хотя чёрные списки являются неотъемлемой частью сетевой защиты, их необходимо использовать совместно с белыми и серыми списками.

Примером может служить чёрный список Adblock Plus, который содержит в себе ряд функций, включая белые списки в чёрном списке, путём добавления префикса двух символов at и двух символов канала, например «@@ || www.blocksite.com».

Примечания

↑ Shimeall, Timothy; Spring, Jonathan. Introduction to Information Security: A Strategic-Based Approach (англ.). — Newnes, 2013. — ISBN 9781597499729. (недоступная ссылка)
↑ Domain Blacklist Ecosystem - A Case Study (неопр.). insights.sei.cmu.edu. Дата обращения: 4 февраля 2016. Архивировано 27 марта 2019 года.
↑ Rainer, Watson. Introduction to Information Systems (неопр.). — Wiley Custom Learning Solutions, 2012. — ISBN 978-1-118-45213-4.
↑ Архивированная копия (неопр.). Дата обращения: 21 декабря 2018. Архивировано из оригинала 11 августа 2015 года.
↑ Fabelsources — Blacklist (неопр.). Дата обращения: 21 декабря 2018. Архивировано 22 декабря 2018 года.
↑ Guidelines (неопр.). www.surbl.org. Дата обращения: 4 февраля 2016. Архивировано 25 января 2016 года.
↑ B.I.S.S. Forums - FAQ - Questions about the Blocklists (неопр.). Bluetack Internet Security Solutions. Дата обращения: 1 августа 2015. Архивировано 20 октября 2008 года.
↑ Metcalf, Leigh; Spring, Jonathan M. Blacklist Ecosystem Analysis: Spanning Jan 2012 to Jun 2014 (англ.) // Proceedings of the 2nd ACM Workshop on Information Sharing and Collaborative Security : journal. — ACM, 2015. — 1 January. — P. 13—22. Архивировано 15 декабря 2019 года.
↑ Kührer, Marc; Rossow, Christian; Holz, Thorsten. Paint It Black: Evaluating the Effectiveness of Malware Blacklists (англ.) / Stavrou, Angelos; Bos, Herbert; Portokalidis, Georgios. — Springer International Publishing, 2014. — P. 1—21. — (Lecture Notes in Computer Science). — ISBN 9783319113784. — doi:10.1007/978-3-319-11379-1_1. Архивировано 22 декабря 2018 года.
↑ Spring, Jonathan M. Modeling malicious domain name take-down dynamics: Why eCrime pays (англ.) // eCrime Researchers Summit (eCRS), 2013 : journal. — IEEE, 2013. — 1 January. — P. 1—9.

Ссылки

Squidblacklist.org — Blacklists For Squid Proxy and Content Filtering Applications.
ipfilterX by Nexus23 Labs — Blocks P2P Crawlers, Malware C&C IPs, Institutions and many more.
OpenBL.org — abuse reporting and blacklisting
/ Adblock Plus Filter Features — Adblock blacklist / whitelist features

[1] Shimeall, Timothy; Spring, Jonathan. Introduction to Information Security: A Strategic-Based Approach (англ.). — Newnes, 2013. — ISBN 9781597499729. (недоступная ссылка)

[2] Domain Blacklist Ecosystem - A Case Study (неопр.). insights.sei.cmu.edu. Дата обращения: 4 февраля 2016. Архивировано 27 марта 2019 года.

[3] Rainer, Watson. Introduction to Information Systems (неопр.). — Wiley Custom Learning Solutions, 2012. — ISBN 978-1-118-45213-4.

[4] Архивированная копия (неопр.). Дата обращения: 21 декабря 2018. Архивировано из оригинала 11 августа 2015 года.

[5] Fabelsources — Blacklist (неопр.). Дата обращения: 21 декабря 2018. Архивировано 22 декабря 2018 года.

[6] Guidelines (неопр.). www.surbl.org. Дата обращения: 4 февраля 2016. Архивировано 25 января 2016 года.

[7] B.I.S.S. Forums - FAQ - Questions about the Blocklists (неопр.). Bluetack Internet Security Solutions. Дата обращения: 1 августа 2015. Архивировано 20 октября 2008 года.

[8] Metcalf, Leigh; Spring, Jonathan M. Blacklist Ecosystem Analysis: Spanning Jan 2012 to Jun 2014 (англ.) // Proceedings of the 2nd ACM Workshop on Information Sharing and Collaborative Security : journal. — ACM, 2015. — 1 January. — P. 13—22. Архивировано 15 декабря 2019 года.

[9] Kührer, Marc; Rossow, Christian; Holz, Thorsten. Paint It Black: Evaluating the Effectiveness of Malware Blacklists (англ.) / Stavrou, Angelos; Bos, Herbert; Portokalidis, Georgios. — Springer International Publishing, 2014. — P. 1—21. — (Lecture Notes in Computer Science). — ISBN 9783319113784. — doi:10.1007/978-3-319-11379-1_1. Архивировано 22 декабря 2018 года.

[10] Spring, Jonathan M. Modeling malicious domain name take-down dynamics: Why eCrime pays (англ.) // eCrime Researchers Summit (eCRS), 2013 : journal. — IEEE, 2013. — 1 January. — P. 1—9.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]