En informática , una lista negra , lista de bloqueo o denegación es un mecanismo de control de acceso básico que permite pasar por todos los elementos (direcciones de correo electrónico, usuarios, contraseñas, URL , direcciones IP , nombres de dominio , hashes de archivos , etc.), excepto los mencionados explícitamente. A esos elementos de la lista se les niega el acceso. Lo contrario es una lista blanca , AllowList o passlist , en el que sólo los elementos de la lista se permiten a través de cualquier puerta que se está utilizando. Una lista gris contiene elementos que están bloqueados temporalmente (o permitidos temporalmente) hasta que se realiza un paso adicional.
Las listas negras se pueden aplicar en varios puntos de una arquitectura de seguridad, como un host , proxy web , servidores DNS , servidor de correo electrónico, firewall , servidores de directorio o puertas de enlace de autenticación de aplicaciones. El tipo de elemento bloqueado está influenciado por la ubicación del control de acceso. [1] Los servidores DNS pueden ser adecuados para bloquear nombres de dominio, por ejemplo, pero no URL. Un firewall es adecuado para bloquear direcciones IP, pero menos para bloquear archivos o contraseñas maliciosas.
Los ejemplos de usos incluyen una empresa que podría evitar que una lista de software se ejecute en su red, una escuela que podría evitar el acceso a una lista de sitios web desde sus computadoras, o una empresa que quiera asegurarse de que los usuarios de sus computadoras no elijan fácilmente adivinables, pobres contraseñas.
Ejemplos de sistemas protegidos
Las listas negras se utilizan para proteger una variedad de sistemas en informática. Es probable que el contenido de la lista negra deba estar orientado al tipo de sistema que se defiende. [2]
Sistemas de información
Un sistema de información incluye hosts de punto final como máquinas de usuario y servidores. Una lista negra en esta ubicación puede incluir ciertos tipos de software que no pueden ejecutarse en el entorno de la empresa. Por ejemplo, una empresa podría incluir en la lista negra el intercambio de archivos entre pares en sus sistemas. Además del software, las personas, los dispositivos y los sitios web también pueden incluirse en listas negras. [3]
Correo electrónico
La mayoría de los proveedores de correo electrónico tienen una función antispam que esencialmente pone en listas negras ciertas direcciones de correo electrónico si se consideran no deseadas. Por ejemplo, un usuario que se cansa de correos electrónicos imparables de una dirección en particular puede incluir esa dirección en la lista negra, y el cliente de correo electrónico enrutará automáticamente todos los mensajes de esa dirección a una carpeta de correo basura o los eliminará sin notificar al usuario.
Un filtro de correo no deseado de correo electrónico puede mantener una lista negra de direcciones de correo electrónico, cuyo correo no podría llegar a su destino previsto. También puede utilizar el envío de nombres de dominio o el envío de direcciones IP para implementar un bloqueo más general.
Además de las listas negras de correo electrónico privado, hay listas que se mantienen para uso público, que incluyen:
- Alianza Antispam de China [4]
- Fuentes de spam de Fabel [5]
- Sistema de bloqueo de spam y retransmisión abierta
- El proyecto DrMX
buscando en la web
El objetivo de una lista negra en un navegador web es evitar que el usuario visite una página web maliciosa o engañosa mediante el filtrado local. Una lista negra de navegación web común es la navegación segura de Google , que se instala de forma predeterminada en Firefox, Safari y Chrome.
Nombres de usuario y contraseñas
La inclusión en listas negras también se puede aplicar a las credenciales de usuario. Es común que los sistemas o sitios web incluyan en la lista negra ciertos nombres de usuario reservados que no pueden ser elegidos por el sistema o las poblaciones de usuarios del sitio web. Estos nombres de usuario reservados se asocian comúnmente con funciones de administración del sistema integradas.
Las listas negras de contraseñas son muy similares a las listas negras de nombres de usuario, pero por lo general contienen muchas más entradas que las listas negras de nombres de usuario. Las listas negras de contraseñas se aplican para evitar que los usuarios elijan contraseñas que sean fáciles de adivinar o que sean bien conocidas y que puedan dar lugar a un acceso no autorizado por parte de personas malintencionadas. Las listas negras de contraseñas se implementan como una capa adicional de seguridad, generalmente además de una política de contraseñas, que establece los requisitos de longitud de la contraseña y / o complejidad de caracteres. Esto se debe a que hay una cantidad significativa de combinaciones de contraseñas que cumplen con muchas políticas de contraseñas pero que aún son fáciles de adivinar (es decir, Password123, Qwerty123).
Métodos de distribución
Las listas negras se distribuyen de diversas formas. Algunos usan listas de correo simples . Un DNSBL es un método de distribución común que aprovecha el propio DNS . Algunas listas utilizan rsync para intercambios de datos de gran volumen. [6] Pueden utilizarse funciones de servidor web; Se pueden utilizar solicitudes GET simples o interfaces más complicadas, como una API RESTful .
Ejemplos de
- Para obtener una lista de algunas listas negras basadas en DNS, consulte Comparación de listas negras de DNS .
- Empresas como Google , Symantec y Sucuri mantienen listas negras internas de sitios que se sabe que tienen malware y muestran una advertencia antes de permitir que el usuario haga clic en ellos.
- Filtro de contenido tales como DansGuardian y SquidGuard puede trabajar con una lista negra para bloquear direcciones URL de sitios considerados inapropiados para un ambiente de trabajo o educativo. Estas listas negras se pueden obtener de forma gratuita o de proveedores comerciales como Squidblacklist.org .
- También hay listas negras gratuitas para el proxy Squid (software) , como Blackweb
- Un firewall o IDS también puede usar una lista negra para bloquear direcciones IP y / o redes hostiles conocidas. Un ejemplo de tal lista sería el proyecto OpenBL .
- Muchos esquemas de protección contra copias incluyen listas negras de software .
- La empresa Password RBL ofrece una lista negra de contraseñas para Active Directory , sitios web y aplicaciones de Microsoft , distribuida a través de una API RESTful .
- Los miembros de los sitios de subastas en línea pueden agregar a otros miembros a una lista negra personal. Esto significa que no pueden ofertar ni hacer preguntas sobre sus subastas, ni pueden usar la función "Cómprelo ahora" en sus artículos.
- Otra forma más de lista es la lista amarilla, que es una lista de direcciones IP de servidores de correo electrónico que envían en su mayoría buenos correos electrónicos pero envían algo de spam. Los ejemplos incluyen Yahoo , Hotmail y Gmail . [ cita requerida ] Un servidor de la lista amarilla es un servidor que nunca debe incluirse accidentalmente en la lista negra. Primero se comprueba la lista amarilla y, si aparece en la lista, se ignoran las pruebas de la lista negra.
- En Linux modprobe , la
blacklist modulename
entrada en un archivo de configuración de modprobe indica que todos los alias internos del módulo en particular deben ignorarse. Hay casos en los que dos o más módulos admiten los mismos dispositivos, o un módulo afirma de manera inválida que admite un dispositivo. - Muchos navegadores web tienen la capacidad de consultar listas negras antiphishing para advertir a los usuarios que, sin saberlo, intentan visitar un sitio web fraudulento .
- Muchos programas de intercambio de archivos de igual a igual admiten listas negras que bloquean el acceso desde sitios que se sabe que son propiedad de empresas que hacen cumplir los derechos de autor. Un ejemplo es el conjunto de listas de bloqueo de Bluetack [7] .
Consideraciones de uso
Como se expresó en un documento de una conferencia reciente centrado en listas negras de nombres de dominio y direcciones IP utilizadas para la seguridad de Internet, "estas listas generalmente no se cruzan. Por lo tanto, parece que estas listas no convergen en un conjunto de indicadores maliciosos". [8] [9] Esta preocupación combinada con un modelo económico [10] significa que, si bien las listas negras son una parte esencial de la defensa de la red, deben usarse junto con las listas blancas y grises.
Controversia sobre el uso del término
En 2018, se publicó un comentario de una revista sobre un informe sobre publicaciones depredadoras [11] en el que se afirmaba que "blanco" y "negro" son términos con carga racial que deben evitarse en instancias como "lista blanca" y "lista negra". La revista llegó a la corriente principal en el verano de 2020 después de las protestas de George Floyd en Estados Unidos [12] en las que un oficial asesinó a un hombre negro, lo que provocó protestas por la brutalidad policial.
La premisa de la revista es que "negro" y "blanco" tienen connotaciones negativas y positivas respectivamente. [11] Afirma que dado que el primer uso registrado de la lista negra fue durante "la época de la esclavitud masiva y la deportación forzada de africanos para trabajar en colonias europeas en las Américas", la palabra está relacionada con la raza. No se menciona la "lista blanca" y su origen o relación con la raza.
Esta cuestión es más discutida en las industrias de la computación donde prevalecen las "listas blancas" y las "listas negras" (por ejemplo, listas blancas de IP [13] ). A pesar de la naturaleza de comentario de la revista, algunas empresas y personas de otras han decidido reemplazar la "lista blanca" y la "lista negra" por nuevas alternativas como "lista permitida" y "lista denegada". [14]
Aquellos que se oponen a estos cambios cuestionan su atribución a la raza, citando la misma cita etimológica que usa la revista de 2018. [14] [15] La cita sugiere que el término "lista negra" surgió de "libro negro" casi 100 años antes. El "libro negro" no parece tener ninguna etimología o fuentes que apoyen los vínculos con la raza, sino que proviene de la década de 1400 y se refiere a "una lista de personas que habían cometido delitos o caído en desgracia con los líderes" y popularizado por el literal del rey Enrique VIII. uso de un libro encuadernado en negro. [16] Otros también notan la prevalencia de connotaciones positivas y negativas de "blanco" y "negro" en la Biblia , antes de las atribuciones al tono de piel y la esclavitud. [17] No fue hasta el movimiento Black Power de la década de 1960 que "Negro" se convirtió en una palabra generalizada para referirse a la raza de uno como una persona de color en Estados Unidos [18] (alternativo a afroamericano) prestándose al argumento de que el La connotación negativa detrás de "negro" y "lista negra" es anterior a la atribución a la raza.
Consulte también inquietudes similares con respecto a los términos tecnológicos "Maestro" y "Esclavo" .
Varias empresas respondieron a esta polémica en junio y julio de 2020:
- GitHub anunció que reemplazaría muchos "términos que pueden resultar ofensivos para los desarrolladores de la comunidad negra". [19]
- Apple Inc. anunció en su conferencia de desarrolladores que adoptaría un lenguaje técnico más inclusivo y reemplazaría el término lista negra por lista denegada y el término lista blanca por lista permitida. [20]
- La Fundación Linux dijo que usaría un lenguaje neutral en el código del kernel y la documentación en el futuro y evitaría términos como lista negra y esclavo en el futuro. [21]
- El equipo de ingeniería de Twitter declaró su intención de alejarse de una serie de términos, incluidos "lista negra" y "lista blanca". [22]
- Red Hat anunció que haría que el código abierto fuera más inclusivo y evitaría estos y otros términos. [23]
- ZDNet informa que la lista de empresas de tecnología que toman tales decisiones "incluye Twitter, GitHub, Microsoft, LinkedIn, Ansible, Red Hat, Splunk, Android, Go, MySQL, PHPUnit, Curl, OpenZFS, Rust, JP Morgan y otras". [24]
Referencias
- ^ Shimeall, Timothy; Primavera, Jonathan (12 de noviembre de 2013). Introducción a la seguridad de la información: un enfoque estratégico . Newnes. ISBN 9781597499729.
- ^ "Ecosistema de lista negra de dominios - un estudio de caso" . insights.sei.cmu.edu . Consultado el 4 de febrero de 2016 .
- ^ Rainer, Watson (2012). Introducción a los sistemas de información . Soluciones de aprendizaje personalizadas de Wiley. ISBN 978-1-118-45213-4.
- ^ "Copia archivada" . Archivado desde el original el 11 de agosto de 2015 . Consultado el 10 de agosto de 2015 .Mantenimiento de CS1: copia archivada como título ( enlace )
- ^ "Fabelsources - Lista negra" .
- ^ "Directrices" . www.surbl.org . Consultado el 4 de febrero de 2016 .
- ^ "Foros de BISS - Preguntas frecuentes - Preguntas sobre las listas de bloqueo" . Soluciones de seguridad de Internet Bluetack . Archivado desde el original el 20 de octubre de 2008 . Consultado el 1 de agosto de 2015 .
- ^ Metcalf, Leigh; Primavera, Jonathan M. (1 de enero de 2015). Análisis de ecosistemas de la lista negra: desde enero de 2012 hasta junio de 2014 . Actas del segundo taller de ACM sobre intercambio de información y seguridad colaborativa . págs. 13-22. doi : 10.1145 / 2808128.2808129 . ISBN 9781450338226. S2CID 4720116 .
- ^ Kührer, Marc; Rossow, Christian; Holz, Thorsten (17 de septiembre de 2014). Stavrou, Angelos; Bos, Herbert; Portokalidis, Georgios (eds.). Paint It Black: Evaluación de la eficacia de las listas negras de malware . Apuntes de conferencias en Ciencias de la Computación. Springer International Publishing. págs. 1–21. doi : 10.1007 / 978-3-319-11379-1_1 . ISBN 9783319113784. S2CID 12276874 .
- ^ Primavera, Jonathan M. (1 de enero de 2013). "Modelado de dinámicas de eliminación de nombres de dominio maliciosos: por qué eCrime paga". Cumbre de Investigadores del Crimen de APWG 2013 . ECrime Researchers Summit (ECRS), 2013 . págs. 1–9. CiteSeerX 10.1.1.645.3543 . doi : 10.1109 / eCRS.2013.6805779 . ISBN 978-1-4799-1158-5. S2CID 8812531 .
- ↑ a b Houghton, F. y Houghton, S. (2018). "" Listas negras "y" listas blancas ": una advertencia saludable sobre la prevalencia del lenguaje racista en las discusiones sobre publicaciones predatorias".
- ^ Taylor, Derrick Bryson (10 de julio de 2020). "Protestas de George Floyd: una línea de tiempo" . The New York Times . ISSN 0362-4331 . Consultado el 14 de octubre de 2020 .
- ^ "Lista blanca de IP - Documentación" . help.gooddata.com . Consultado el 14 de octubre de 2020 .
- ^ a b Cimpanu, Catalin. "GitHub para reemplazar" maestro "con un término alternativo para evitar referencias a la esclavitud" . ZDNet . Consultado el 14 de octubre de 2020 .
- ^ "lista negra | Origen y significado de la lista negra por el diccionario de etimología en línea" . etymonline.com . Consultado el 14 de octubre de 2020 .
- ^ "¿Qué es Little Black Book?" . Escritura explicada . Consultado el 17 de octubre de 2020 .
- ^ Gramático, enojado. "¿Es 'dormitorio principal' un término racista? A medida que evoluciona el lenguaje, considere la historia y el uso. | The Angry Grammarian" . inquirer.com . Consultado el 14 de octubre de 2020 .
- ^ Martin, Ben L. (1991). "De negro a negro a afroamericano: el poder de los nombres y la denominación" . Political Science Quarterly . 106 (1): 83–107. doi : 10.2307 / 2152175 . ISSN 0032-3195 .
- ^ "GitHub para reemplazar" maestro "con un término alternativo para evitar referencias a la esclavitud" . zdnet.com . Consultado el 14 de agosto de 2020 .
- ^ "Apple destierra la 'lista negra' y la 'rama maestra' para impulsar un lenguaje inclusivo" . msn.com . Consultado el 20 de julio de 2020 .
- ^ "Solicitud de extracción para terminología inclusiva" . git.kernel.org . Consultado el 14 de agosto de 2020 .
- ^ "Estamos comenzando con un conjunto de palabras que queremos dejar de usar en favor de un lenguaje más inclusivo" . twitter.com . Consultado el 14 de agosto de 2020 .
- ^ "Hacer el código abierto más inclusivo erradicando el lenguaje problemático" . redhat.com . Consultado el 14 de agosto de 2020 .
- ^ "El equipo de Linux aprueba nueva terminología, prohíbe términos como 'lista negra' y 'esclavo ' " . zdnet.com . Consultado el 14 de agosto de 2020 .
enlaces externos
- Squidblacklist.org: listas negras para aplicaciones de filtrado de contenido y proxy de Squid.
- ipfilterX de Nexus23 Labs: bloquea rastreadores P2P, IP de C&C de malware, instituciones y muchos más.
- OpenBL.org : informes de abusos y listas negras