Lista negra (informática)

Criterios para controlar el acceso a los ordenadores

Captura de pantalla de un sitio web que bloquea la creación de contenido que coincide con un término de expresión regular en su lista negra

En informática , una lista negra , lista de prohibición , lista de bloqueo o lista de denegación es un mecanismo básico de control de acceso que permite el paso de todos los elementos (direcciones de correo electrónico, usuarios, contraseñas, URL , direcciones IP , nombres de dominio , hashes de archivos , etc.), excepto aquellos mencionados explícitamente. A los elementos de la lista se les niega el acceso. Lo opuesto es una lista blanca , lista de permitidos o lista de pases , en la que solo los elementos de la lista pueden pasar por cualquier puerta que se esté utilizando. Una lista gris contiene elementos que están bloqueados temporalmente (o permitidos temporalmente) hasta que se realiza un paso adicional.

Las listas negras se pueden aplicar en varios puntos de una arquitectura de seguridad, como un host , un proxy web , servidores DNS , un servidor de correo electrónico , un cortafuegos , servidores de directorio o puertas de enlace de autenticación de aplicaciones. El tipo de elemento bloqueado está influenciado por la ubicación del control de acceso. ^[1] Los servidores DNS pueden ser adecuados para bloquear nombres de dominio, por ejemplo, pero no URL. Un cortafuegos es adecuado para bloquear direcciones IP, pero no tanto para bloquear archivos o contraseñas maliciosos.

Algunos ejemplos de usos incluyen una empresa que podría impedir que una lista de software se ejecute en su red, una escuela que podría impedir el acceso a una lista de sitios web desde sus computadoras o una empresa que quiere asegurarse de que los usuarios de sus computadoras no elijan contraseñas pobres y fáciles de adivinar.

Ejemplos de sistemas protegidos

Las listas negras se utilizan para proteger una variedad de sistemas informáticos. Es probable que el contenido de la lista negra deba estar orientado al tipo de sistema que se defiende. ^[2]

Sistemas de información

Un sistema de información incluye hosts de punto final, como máquinas de usuario y servidores. Una lista negra en esta ubicación puede incluir ciertos tipos de software que no pueden ejecutarse en el entorno de la empresa. Por ejemplo, una empresa puede incluir en la lista negra el intercambio de archivos entre pares en sus sistemas. Además del software, también se pueden incluir en la lista negra personas, dispositivos y sitios web. ^[3]

Correo electrónico

La mayoría de los proveedores de correo electrónico tienen una función antispam que básicamente pone en la lista negra ciertas direcciones de correo electrónico si se consideran no deseadas. Por ejemplo, un usuario que esté cansado de recibir constantemente correos electrónicos de una dirección en particular puede poner esa dirección en la lista negra y el cliente de correo electrónico enviará automáticamente todos los mensajes de esa dirección a una carpeta de correo basura o los eliminará sin notificar al usuario.

Un filtro antispam puede mantener una lista negra de direcciones de correo electrónico, cuyo correo no podrá llegar a su destino. También puede utilizar nombres de dominio de envío o direcciones IP de envío para implementar un bloqueo más general.

Además de las listas negras de correo electrónico privadas, existen listas que se mantienen para uso público, entre las que se incluyen:

• Alianza China Antispam ^[4]
• Fuentes de spam de Fabel ^[5]
• Sistema de bloqueo de spam y Open Relay
• El proyecto DrMX

Navegación web

El objetivo de una lista negra en un navegador web es evitar que el usuario visite una página web maliciosa o engañosa mediante un filtrado local. Una lista negra de navegación web común es la de Navegación segura de Google , que se instala de forma predeterminada en Firefox, Safari y Chrome.

Nombres de usuario y contraseñas

Las listas negras también pueden aplicarse a las credenciales de los usuarios. Es habitual que los sistemas o sitios web incluyan en listas negras determinados nombres de usuario reservados que no pueden ser elegidos por los usuarios del sistema o del sitio web. Estos nombres de usuario reservados suelen estar asociados a funciones integradas de administración del sistema. También suelen estar bloqueados de forma predeterminada las palabras profanas y los insultos racistas.

Las listas negras de contraseñas son muy similares a las listas negras de nombres de usuario, pero normalmente contienen muchas más entradas que las listas negras de nombres de usuario. Las listas negras de contraseñas se aplican para evitar que los usuarios elijan contraseñas que se puedan adivinar fácilmente o que sean bien conocidas y que puedan dar lugar a un acceso no autorizado por parte de terceros malintencionados. Las listas negras de contraseñas se implementan como una capa adicional de seguridad, normalmente además de una política de contraseñas, que establece los requisitos de longitud de la contraseña o de complejidad de caracteres. Esto se debe a que hay una cantidad significativa de combinaciones de contraseñas que cumplen muchas políticas de contraseñas, pero que aún así se pueden adivinar fácilmente (es decir, Password123, Qwerty123).

Métodos de distribución

Las listas negras se distribuyen de diversas formas. Algunas utilizan listas de correo sencillas . Una DNSBL es un método de distribución común que aprovecha el propio DNS . Algunas listas utilizan rsync para intercambios de datos de gran volumen. ^[6] Se pueden utilizar funciones de servidor web; se pueden utilizar solicitudes GET simples o interfaces más complicadas como una API RESTful .

Ejemplos

• Empresas como Google , Symantec y Sucuri mantienen listas negras internas de sitios que se sabe que tienen malware y muestran una advertencia antes de permitir al usuario hacer clic en ellos.
• Los programas de control de contenidos como DansGuardian y SquidGuard pueden funcionar con listas negras para bloquear las URL de sitios considerados inapropiados para un entorno laboral o educativo. Estas listas negras se pueden obtener de forma gratuita o a través de proveedores comerciales como Squidblacklist.org.
• También existen listas negras gratuitas para el proxy Squid (software) , como Blackweb
• Un cortafuegos o un sistema de detección de intrusos también pueden utilizar una lista negra para bloquear direcciones IP y/o redes hostiles conocidas. Un ejemplo de este tipo de lista sería el proyecto OpenBL.
• Muchos esquemas de protección de copia incluyen listas negras de software .
• La empresa Password RBL ofrece una lista negra de contraseñas para Active Directory , sitios web y aplicaciones de Microsoft, distribuida a través de una API RESTful .
• Los miembros de sitios de subastas en línea pueden agregar a otros miembros a una lista negra personal. Esto significa que no pueden ofertar ni hacer preguntas sobre sus subastas, ni pueden usar la función "comprar ahora" en sus artículos.
• Otra forma de lista es la lista amarilla, que es una lista de direcciones IP de servidores de correo electrónico que envían principalmente correo electrónico de calidad, pero también envían algo de spam. Algunos ejemplos son Yahoo , Hotmail y Gmail . ^{[ cita requerida ]} Un servidor de la lista amarilla es un servidor que nunca debería incluirse accidentalmente en la lista negra. Primero se comprueba la lista amarilla y, si aparece en la lista, se ignoran las pruebas de la lista negra.
• En Linux modprobe , la blacklist modulenameentrada en un archivo de configuración de modprobe indica que se deben ignorar todos los alias internos de un módulo en particular . Hay casos en los que dos o más módulos admiten los mismos dispositivos o un módulo afirma inválidamente admitir un dispositivo.
• Muchos navegadores web tienen la capacidad de consultar listas negras anti- phishing para advertir a los usuarios que, sin saberlo, intentan visitar un sitio web fraudulento .
• Muchos programas de intercambio de archivos entre pares admiten listas negras que bloquean el acceso a sitios que se sabe que pertenecen a empresas que hacen cumplir los derechos de autor. Un ejemplo es el conjunto de listas negras de Bluetack ^{[7] .}

Consideraciones de uso

Como se expresó en un artículo de una conferencia reciente centrado en las listas negras de nombres de dominio y direcciones IP utilizadas para la seguridad de Internet, "estas listas generalmente no se cruzan. Por lo tanto, parece que no convergen en un conjunto de indicadores maliciosos". ^{[8] [9]} Esta preocupación combinada con un modelo económico ^[10] significa que, si bien las listas negras son una parte esencial de la defensa de la red, deben usarse en conjunto con las listas blancas y las listas grises.

Referencias

1. Shimeall, Timothy; Spring, Jonathan (12 de noviembre de 2013). Introducción a la seguridad de la información: un enfoque basado en la estrategia. Newnes. ISBN 9781597499729.
2. "Ecosistema de listas negras de dominios: un estudio de caso". insights.sei.cmu.edu . 17 de junio de 2015 . Consultado el 4 de febrero de 2016 .
3. Rainer, Watson (2012). Introducción a los sistemas de información . Soluciones de aprendizaje personalizadas de Wiley. ISBN 978-1-118-45213-4.
4. "反垃圾邮件联盟". Archivado desde el original el 11 de agosto de 2015 . Consultado el 10 de agosto de 2015 .
5. "Fabelsources - Lista negra".
6. "Directrices". www.surbl.org . Consultado el 4 de febrero de 2016 .
7. "Foros BISS - Preguntas frecuentes - Preguntas sobre las listas de bloqueo". Soluciones de seguridad para Internet Bluetack . Archivado desde el original el 2008-10-20 . Consultado el 2015-08-01 .
8. Metcalf, Leigh; Spring, Jonathan M. (1 de enero de 2015). "Análisis del ecosistema de listas negras". Actas del 2.º taller de la ACM sobre intercambio de información y seguridad colaborativa . págs. 13-22. doi :10.1145/2808128.2808129. ISBN 9781450338226. Número de identificación del sujeto  4720116.
9. Kührer, Marc; Rossow, Christian; Holz, Thorsten (17 de septiembre de 2014). "Píntalo de negro: evaluación de la eficacia de las listas negras de malware". En Stavrou, Angelos; Bos, Herbert; Portokalidis, Georgios (eds.). Investigación en ataques, intrusiones y defensas . Apuntes de clase en informática. Vol. 8688. Springer International Publishing. págs. 1–21. doi :10.1007/978-3-319-11379-1_1. ISBN 9783319113784. Número de identificación del sujeto  12276874.
10. Spring, Jonathan M. (17 de septiembre de 2013). Modelado de la dinámica de eliminación de nombres de dominio maliciosos: por qué el eCrime es rentable . Cumbre de investigadores de ECrime de 2013 (eCRS 2013). IEEE. págs. 1–9. CiteSeerX 10.1.1.645.3543 . doi :10.1109/eCRS.2013.6805779. ISBN .  978-1-4799-1158-5.S2CID8812531  .​

Enlaces externos

• Squidblacklist.org - Listas negras para aplicaciones de filtrado de contenido y proxy Squid.
• ipfilterX de Nexus23 Labs: bloquea rastreadores P2P, direcciones IP C&C de malware, instituciones y mucho más.