¿Es una buena medida bloquear el acceso de un país a un sitio web para evitar a los piratas informáticos de ese país?

El bloqueo basado en el país generalmente se implementa como resultado de alguna política organizativa cuya intención es de hecho "bloquear a los piratas informáticos". Este tipo de cosas fallan en tres puntos:

1. Tal política supone que las personas malintencionadas pueden clasificarse por nacionalidad. Este es un tipo de pensamiento al estilo de la Primera Guerra Mundial.

2. La posición geográfica es irrelevante para las computadoras; un firewall solo puede ver direcciones IP . La interferencia geográfica de las direcciones IP se basa en tablas grandes que nunca están completamente actualizadas.

3. Como observaste, trabajar con estos sistemas de bloqueo es trivial para los atacantes; es suficiente usar un host de relevo fuera del país bloqueado, y esto sucede "naturalmente" cuando se usa Tor. La mayoría de los atacantes usarán estos relés de todos modos, para cubrir sus huellas.

Por lo tanto, el efecto neto habitual de este bloqueo es irritar a unos pocos usuarios normales (que podrían haber sido clientes, pero no ahora que están enojados), sin obstaculizar los esfuerzos de los atacantes competentes.

En el lado positivo, sin embargo, el bloqueo basado en el "país" a veces se implementa para evitar que miles de drones sin sentido envíen correos no deseados a los registros de conexión. Por ejemplo, el administrador del sistema podría haber notado una oleada de conexiones ficticias de algunas redes de bots, la mayoría de las máquinas que se encuentran en Venezuela. En ese caso, el bloqueo total de Venezuela puede ayudar a prevenir la obstrucción de los archivos de registro, a la vez que implica un impacto menor en los negocios (suponiendo que el servidor en cuestión tenga muy pocos clientes honestos con sede en Venezuela). Por lo tanto, es concebible que un análisis de riesgo / costo haya determinado que un bloqueo tan grande mejoraría las cosas.

Sin embargo, en la mayoría de los casos, el "bloqueo de país" está ahí para el programa: un bloqueo de todo el país ayuda a los administradores de sistemas a demostrar a los gerentes que están haciendo algo por seguridad, de una manera que los gerentes entienden fácilmente. Este es el problema habitual de la seguridad: cuando todo funciona bien, la seguridad es invisible. Desafortunadamente, es difícil negociar presupuestos para actividades que no implican ningún resultado visible. Aunque el objetivo principal de la seguridad es evitar tener resultados visibles, por ejemplo, un sitio web desfigurado o una lista de 16 millones de contraseñas de usuarios filtradas y que llegan a las noticias.

En el caso de la distribución de medios, algunos distribuidores imponen el bloqueo basado en el país porque no tenían derechos de retransmisión en todo el mundo, y al hacer un esfuerzo mínimo de bloqueo cumplen con sus obligaciones legales. Podría decirse que este caso también es "para el show".

En mi caso, nuestros clientes esperados provienen de países predecibles, y para limitar la "superficie de amenaza", otros países están bloqueados.

Esto tiene un valor limitado ya que cualquier persona determinada puede hacer lo que hiciste y simplemente redirigir su tráfico. Sin embargo, el beneficio adicional es que los países que permitimos son aquellos con leyes cibernéticas estrictas y podemos obtener ayuda de la ley si ocurre un ataque. Entonces, si un atacante de un país no permitido dirige su tráfico a través de un país permitido, podemos involucrar a la policía. Es una cosa pequeña, pero reduce el riesgo sin ningún impacto para las empresas y sin costo alguno (excepto el tiempo para ingresar el país permitido en la lista blanca del firewall).

Cuando hice esto, la mala carga de tráfico en nuestros servidores web se redujo en un 90%, lo que es significativo en términos de ahorro de recursos en recursos, por lo menos.

Es cierto, si un pirata informático quisiera acceder a tu página, no servirá de nada, simplemente puede usar una vpn o proxy.

Pero si piensas en todos los robots que atacan cada página que encuentran para probar vulnerabilidades y / o contraseñas, podrás bloquear muchos de ellos. Esto también lo ayudará a evitar ataques de ddos, si bloquea todos los países excepto el país en el que vive, puede bloquear la mayor parte del tráfico. Por supuesto, existen métodos más efectivos contra los ataques de ddos, pero un filtro es razonable y simple.

Algunos sitios web bloquean países por razones de negocios. El tráfico de algunos países no genera ingresos suficientes para justificar los recursos para atenderlos. A veces las empresas no quieren expandirse en un país hasta que puedan "hacerlo bien".

Es probable que no sea un problema de seguridad. Esto puede ser evitando el uso de TOR y VPNs. Por supuesto, también pueden bloquear el tráfico de TOR y VPN, o al menos monitorear más de cerca.

Esta es una decisión comercial o política, no técnica.

El bloqueo por IP o rango de IP es bastante fácil de omitir. Un pirata informático podría simplemente contratar un servidor en otro territorio con un rango de IP diferente y luego intentar piratearlo ...

En el caso de un sitio como Grubhub, es probable que la razón para bloquear ciertos países no sea la piratería (interferencia técnica) sino un esfuerzo para frustrar las revisiones falsas y el contenido no deseado similar. En la actualidad, es relativamente común que se contrate a personas en países pobres para publicar spam, o cosas parecidas al spam, como revisiones falsas por unos pocos centavos de dólar pop.

Claro, cualquiera podría pasar por alto este bloqueo, pero eso podría detectarse de otra manera, ya que estos usuarios probablemente se conectarán a través de un servidor proxy que puede detectarse a través de una lista negra de proxy. El punto aquí es establecer obstáculos en lugar de seguridad absoluta. A diferencia de una vulnerabilidad de seguridad, las revisiones falsas en una calificación de restaurante no son una amenaza inmediata para el sitio.

Si esto se hace de manera juiciosa y se dirige a un problema real que se ha identificado, puede ser absolutamente eficaz para detener las publicaciones no deseadas. Para dar un ejemplo, para un sitio que dirijo, descubrí que recibía constantemente spam de Bangladesh, Pakistán y Camerún (de todos los lugares) y que no había tráfico útil de esos mismos lugares. Bloqueé, lo mejor que pude, los países para publicar contenido, pero no para leer el sitio. Los usuarios de estos países ahora son recibidos con un mensaje cortés que les pide que se comuniquen con una dirección de correo electrónico que se configuró solo para este propósito, si eran usuarios legítimos. Esto ha sido efectivo para bloquear esta clase particular de spam, y es un ejemplo de lo que llamaría un uso bien informado y juicioso de bloquear un determinado país.