ISM

Pomocnicze listy informatyków

Napisał 22 kwietnia 20190 komentarzy
Pomocnicze czarne listy w IT

Spam czyli niechciana poczta elektroniczna zdominował Internet. Ochrona antyspamowa w wielu małych firmach leży na plecach, nieświadome firmy bez obsługi informatycznej trafiają na czarne listy. Sprawdź, czy Twoja firma jest na czarnej liście!

Czarne listy

Czarna lista w informatyce spełnia bardzo ważną rolę, posiadanie czarnej listy pozwala się uchronić przed wieloma kłopotami. Czarne listy zawierają elementy niepożądane z punktu widzenia biznesu. Trudności małego i średniego biznesu często mają miejsce w braku implementacji czarnych list. W firmach istnieje wiele różnych odmian czarnych list:
-niedozwolone programy do użytkowania w firmie,
-niedozwolone zachowania użytkowników komputerów,
-czarna lista stron internetowych których przeglądanie jest zabronione (na serwerze proxy).
-czarna lista spamerów (adresy z których wysyłane są niechciane maile),
-czarne listy producentów sprzętu komputerowego,
-czarna lista adresów mailowych niewiarygodnych (często adresy Email bez obsługi SPF),
-czarna lista systemów operacyjnych (nie akceptowane przez zarząd firmy),
-czarna lista kontrahentów, którzy nie płacą terminowo lub w ogóle,
-czarna lista dostawców niewiarygodnych (zmieniają ceny, terminy dostawy, itp.),
-czarne listy lokalizacji oddziałów firmowych (obszar gdzie często kradną kable wymaga zapasowych łącz radiowych),
-czarna lista dzwoniących do firmy i kradnących czas pracownikom (filtracja rozmówców telefonicznych),
-czarne listy gości, którzy nie mają wstępu na teren firmy.

Czarne listy mają funkcje podobne jak czerwone światła na skrzyżowaniu. Czarna lista u informatyków podnosi poziom bezpieczeństwa informacji w firmie poprzez wykluczenie z użytkowania niebezpiecznych elementów. Czarne listy (z j.ang. Blacklists, lu zamiennie Block Lists) z założenia zawierają niedozwolone elementy (adresy IP, serwery DNS, adresy E-mail, itp.) do których nie powinni mieć dostępu użytkownicy sieci firmowych. Elementy nieobecne na czarnej liście są z założenia dozwolone (zaufanie – ale ograniczone do czasu popełnienia złych czynów). Każdy szanujący się informatyk korzysta z czarnych list, które ciągle są uaktualniane i z których korzysta firma. Większość sieciowego sprzętu informatycznego ma wbudowane czarne listy lub korzysta z nich online czyli w czasie rzeczywistym. Czarne listy mają różne oznaczenia – RBL (z j.ang. Real time Blackhole List oraz DNSBL – z.j.ang. Domain Name Service Blackhole List– czyli czarna lista serwerów DNS – dotyczą spamu wysyłanego za pomocą poczty elektronicznej).

Przykłady czarnych list:
-czarna lista malware’u w polskich domenach: http://www.malwaredomainlist.com/mdl.php?search=.pl&colsearch=All&quantity=500 zawiera zainfekowane malware’m strony internetowe polskich domen,
-czarna lista spamerów Spamhaus http://www.spamhaus.org/
-czarna lista adresów IP http://spamcop.net/bl.shtml
Porównanie czarnych list spamu https://www.sdsc.edu/~jeff/spam/Blacklists_Compared.html

Szare listy

Firmy dokładnie analizujące przyczyny problemów nie wydają pochopnych ocen, wstrzymują się z wydaniem opinii do czasu wyjaśnienia wszystkich okoliczności problemów biznesowych. Długotrwała analiza zagrożeń firmowych wymaga podejścia z dystansem do wielu procesów biznesowych. W informatyce pojęcie szara lista dotyczy najczęściej poniższych zagadnień:
-korespondencja mailowa zawierająca zaszyfrowane załączniki (może być blokowana przez program antywirusowy),
-poczta elektroniczna zawierająca załączniki w postaci plików wykonywalnych (blokowana przez program antywirusowy),,
-poczta elektroniczna kierowana do wielu odbiorców (podejrzenie spamu),
-korespondencja elektroniczna zawierająca nieprzyzwoite słowa  (filtrowanie treści),
-maile zawierające słowa związane z wyciekiem informacji (systemy DLP: numery PESEL, kart kredytowych, itp.),
-adresy stron internetowych na których przeglądanie jest wymagana akceptacja przełożonych (filtrowanie ruchu wychodzącego z firmy za pomocą serwera proxy),
-serwisy społecznościowe (z j.ang. social media) – służą z reguły dla pracowników marketingu,
-nadawcy maili, którzy często i nachalnie przysyłają oferty handlowe bez akceptacji odbiorcy,
-programy komputerowe bez których firma nie może funkcjonować a jednocześnie nie jest znany ich kod (zamknięte oprogramowania autorskie nigdy nie wiadomo co zawiera – możliwy backdoor – czyli tylna furtka do programu dla nieuprawnionych osób),
-programy typu adware (zawierające wbudowane reklamy) są niekiedy akceptowalne przez zarząd firmy,
-niesprawdzeni producenci drukarek (sprawdzić ruch z drukarki sieciowej),
-producenci komputerów bez certyfikatów zgodności (zapewnienie, że komputery nie zawierają elementów podsłuchowych i programów szpiegowskich),
-producenci urządzeń sieciowych (koncentratory, routery, modemy),
-szara lista dzwoniących sprzedawców nadużywających cierpliwości pracowników firmy,

Szare listy (z j.ang. grey lists zamiennie graylists) są również stosowane w niektórych urządzeniach sieciowych)

Białe listy

Informatyczne podejście do zagrożeń cechuje się logiką. W przypadku białych list dominuje podejście IT, które mówi, że użytkownicy mają dostęp tylko do zasobów znajdujących się na białej liście. Wszystkie elementy spoza białej listy są blokowane. Takie podejście przysparza informatykom pracy, ponieważ zmusza ich do ciągłej aktualizacji białej listy dozwolonych zasobów informatycznych. Firmy, które nie zatrudniają informatyków niekiedy mają swoje białe listy, niekoniecznie zawierające bezpieczne elementy (adresy IP nadawców maili i serwerów, adresy DNS serwerów, itp.).

W życiu informatycznym często bywa, że początkowo określony program komputerowy trafia na szarą listę. Weryfikacja użyteczności oprogramowania, sprawdzenie programu pod kątem zagrożeń które dadzą pozytywny efekt, powoduje przeniesienie programu na białą listę dozwolonego do użytku oprogramowania. Podobna sytuacja ma miejsce w przypadku dostawców sprzętu komputerowego, którzy wysyłają maile zawierające słowa związane ze sprzedażą lub w treści maila przesyłają podlinkowane zdjęcia i trafiają na czarne listy lub szare listy dozwolonych nadawców poczty elektronicznej. Nie mają tego problemu dostawcy komputerów stosujący w korespondencji elektronicznej treści w postaci tekstowej (treść oferty w formacie tekstowym względnie jako załącznik PDF).

Białe listy w firmie mogą zawierać:
-dozwolone adresy e-mail nadawców poczty elektronicznej,
-dozwolone listy stron internetowych (zaufani kontrahenci i zaufani dostawcy),
-białe listy dzwoniących – dzwoniący do prezesa mają bezpośredni numer telefonu,
-biała lista gości, którzy mają wstęp na teren firmy (zaufani dostawcy sprzętu komputerowego, serwis komputerowy mający podpisaną umowę o poufności, itp.). Przykład białej listy w IT:
Spamhaus whitelist http://www.spamhauswhitelist.com/en/

Jak sprawdzić czy firma jest na czarnej liście?

Listy blokowanych firm zawierają najczęściej:
-adres IP nadawcy maila (powoduje, że mail nie dociera do odbiorcy),
-firmowy adres e-mail nadawcy maila (źle skonfigurowana firmowa poczta elektroniczna),
-adres IP serwera DNS (najczęściej firmowy serwer www),
-nazwa serwera DNS – czyli domena firmy np. example.com (wskazuje pochodzenie spamu),
-inne elementy, opiszę w następnych wpisach.

Jeśli chcesz sprawdzić czy Twój adres IP, adres E-mail lub adres IP Twojego serwera www jest na czarnej liście spamerów – wykonaj poniższe działania:
-sprawdź adres IP swojego serwera poczty e-mail – np. na https://network-tools.com/whois/
-następnie wybierz jeden z 2 poniższych adresów:
SPAMCOP http://www.spamcop.net/bl.shtml
lub
SPAMHAUS: http://www.spamhaus.org/lookup/
lub
RBLS http://rbls.org/
lub
http://www.blacklistmaster.com/
i wpisz tam adres IP – który odczytałeś w poprzednim kroku. Jeśli nie ma go na czarnej liście spamerów – możesz się cieszyć:-)

Jeśli nie wiesz czy masz stronę internetową na czarnej liście, zainfekowaną malware (złośliwe oprogramowanie), sprawdź czarną listę malware, wpisując tam swój adres IP: czarna lista stron zainfekowanych malware: http://www.malwareurl.com/listing-urls.php

Kto stosuje czarne listy?

Każdy producent oprogramowania antywirusowego posiada własną bazę wirusów (czarna lista wirusów), która jest na bieżąco uaktualniana i dostępna użytkownikom programu antywirusowego jako „baza definicji wirusów”. Oczywiście w zależności od wersji programu antywirusowego, baza zawiera na czarnej liście malware, exploity, itp. Każdy producentów systemów antywłamaniowych (IDS, IPS, itp.) uaktualnia swoje czarne listy udostępniając je w czasie rzeczywistym firmom, które mają wykupione subskrybcje. To najbardziej znany przykłady stosowania czarnych list, w IT można spotkać czarne listy w wielu innych obszarach.

Każda domena firmowa (np. w postaci example.com) powinna posiadać adresy do osoby odpowiedzialnej za bezpieczeństwo strony internetowej w postaci: abuse@example.com (nadużycia, spam, malware) względnie postmaster@example.com (kontakt administracyjny). Czy Twoja firma ma osobę odpowiedzialną za utrzymanie bezpieczeństwa strony internetowej lub poczty elektronicznej?
Jeśli w Twojej firmie brakuje osoby odpowiedzialnej za opiekę na serwisem internetowym czy pocztę elektroniczną – możesz mieć problem. Twoja strona internetowa (domena) lub adresy poczty elektronicznej mogą być na czarnej liście a Ty nawet o tym nie wiesz.

Etykiety:, ,
Notka o 
Strona internetowa
W zamierzeniu autora blog ma pełnić funkcję notatnika podczas zgłębiania różnych obszarów ICT, szczególnie w zakresie architektury i ochrony informacji. Poruszana tematyka ma źródło w zainteresowaniach autora. Skomentuj i dodaj swoją opinię! Dziękuję za Twój czas.

0 komentarzy

Zostaw komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

 
© 2024 ISMAll Right Reserved.
ISM