Informazioni personali

Cerca nel blog

Translate

martedì 20 dicembre 2022

Natale, Anno Nuovo, Epifania e lo scam me li porta via.

E siamo ancora sotto le feste, e ci troviamo ancora a dover ripetere, come tutti gli anni, le stesse cose.

Chiunque, come me, lavori nel campo della sicurezza informatica sa che non vi è niente di piu remunerativo che far leva sui sentimenti per estorcere dati, denaro o entrambi alle persone.

E le feste, come le disgrazie, sono un momento fantastico per fare leva sulla percezione ed i sentimenti della gente per trarne profitto.

Purtroppo il fenomeno non solo diminuisce, ma assume ogni anno nuove vesti e nuove forme, navigando tra social media, email, siti web e pubblicità online.

Per coprire la mia quota di servizio alla società civile vi condivido un semplice decalogo a prova di informatico per aiutarvi a proteggervi dalle insidie delle feste.

1. Carte regalo gratuite: i budget possono diventare limitati quando si trovano regali per i propri cari, quindi qualsiasi sollievo finanziario è il benvenuto. Tuttavia, potresti imbatterti in e-mail o annunci pop-up che offrono buoni regalo gratuiti. Diffidate di queste opportunità allettanti. Sono spesso uno stratagemma per raccogliere le tue informazioni personali che possono essere successivamente utilizzate per rubare la tua identità. 

2. Scambio di regali sui social media: sei invitato tramite i social media a partecipare a uno scambio di regali, che sembra innocuo e divertente. Perché non dovrebbe esserlo? Se acquisti un regalo da $ 10 per uno sconosciuto, riceverai fino a 36 regali indietro! In realtà è una bufala con la stessa premessa di uno schema piramidale in cui si basa sul reclutamento costante di nuovi partecipanti. Meglio rifiutare rispettosamente qualsiasi invito a partecipare. 

3. Lavori per le vacanze: non è raro che le persone vogliano fare qualche soldo extra con un lavoro stagionale. Devi solo stare attento alle truffe sul lavoro, soprattutto quando i rivenditori e i servizi di consegna spesso hanno bisogno di ulteriore aiuto durante le vacanze. Fai attenzione alle sollecitazioni che richiedono di condividere informazioni personali online o di pagare per un lead di lavoro.

4. Truffe sui cuccioli: gli animali domestici fanno grandi regali, ma ci sono molti che dovresti prima considerare. Se decidi che è la decisione giusta, fai attenzione ad adottare un animale domestico online. Potresti finire con un cagnolino o niente. I venditori di animali falsi possono attirarti a pensare che stai prendendo un amico a quattro zampe, solo per prendere i tuoi soldi e non consegnare.

5. Truffe romantiche: se quella persona “speciale” che hai incontrato online diventa rapidamente interessata ma in difficoltà e chiede soldi, tieni alta la guardia. I truffatori possono apparire come un soggetto per cui hai sviluppato un interesse romantico, ma con l’intenzione di sfruttare le tue emozioni per il proprio tornaconto. Proteggi il tuo cuore e il tuo portafoglio!

6. Truffe di viaggio: sia che tu stia viaggiando per celebrare le vacanze con i tuoi cari o cercando un clima più caldo, i viaggi per le vacanze possono essere costosi. Le occasioni online per offerte migliori possono essere allettanti, quindi assicurati che le offerte siano legittime.  

7. Siti Web fasulli: lo shopping online è conveniente soprattutto quando si cerca di evitare la corsa allo shopping natalizio. Quando fai acquisti online, assicurati di utilizzare solo siti Web legittimi. I truffatori utilizzano URL molto simili a quelli dei siti legittimi. Controlla sempre l’URL prima di effettuare un acquisto e diffida dei siti in cui il nome del marchio è incluso con URL più lunghi.

8. Borseggiatori: mentre la maggior parte dei truffatori tende a concentrare i propri sforzi online in questi giorni, il borseggio avviene ancora. Ricordati di salvaguardare i tuoi effetti personali durante lo shopping, specialmente nelle aree affollate. Nonostante quanto tu possa essere agitato, non lasciare mai le tue cose incustodite. 

9. Regali contraffatti: quando beni di lusso e altri articoli costosi vengono offerti a un prezzo stracciato o con provenienza discutibile, è probabile che si tratti di merce contraffatta. Raramente si ottiene la stessa qualità di un originale e, in alcuni casi, il denaro finanzia attività illegali come il traffico di droga e il lavoro minorile.

10. Email malware: non essere veloce a cliccare! Fare clic sul collegamento sbagliato o scaricare l’allegato di un truffatore può causare la diffusione di malware sul computer. Questo virus informatico o “bug” può rubare informazioni personali o persino tenere in ostaggio il tuo dispositivo a meno che tu non paghi un prezzo. Link e allegati possono presentarsi sotto forma di e-mail o pubblicità pop-up.

Lo so che le sapete queste cose, ma sono sicuro che l’amico del fratello del cognato del cugino del vostro vicino non è cosi aperto.

Diffondete ed aiutate il prossimo

Buone Feste

venerdì 9 dicembre 2022

RIP Topis (2020-2022)

è morto oggi il nostro topino bianco.

E si io a 57 anni sto piangendo per un topolino. 3 anni sono tanti, era vecchio lo so, ma fa male comunque.

Riposa in pace e grazie per il tempo che hai speso con noi.

ci manchi.

ciao

venerdì 2 dicembre 2022

Limite al contante, PoS ed evasione

a person in black long sleeves tapping the credit card on a pos terminal
Photo by Yan Krukov on Pexels.com

Una volta tanto invece di finire dal blog a twitter faccio il percorso inverso ed uso un thread su twitter che ho scritto per svilupparlo un poco nel blog.

Ultimamente si parla molto delle misure del governo inerenti la disponibilità e modalità di pagamento, in particolare della possibilità data ai negozianti di rifiutare i micropagamenti via carta di credito o bancomat (fino ad un tetto di 60 euro) e di alzare la quota ammissibile di pagamenti in contanti fino ad un tetto di 5000 euro.

La discussione, nel suo complesso, richiede ovviamente competenze maggiori di quelle che ho (per fortuna gli italiani, tranne me, invece sono tutti economisti, sociologi, allenatori, costituzionalisti, virologi etc, etc) , e quindi non entrerò nel merito di considerazioni di microeconomia o economia sociale che possano andare a favore o contro della decisione, ma mi soffermerò su alcuni punti salienti della discussione che vedo in giro e che, a mio umile giudizio, non contribuiscono a chiarire i termini della questione.

Va fatta una premessa, le transazioni elettroniche sono facilmente tracciabili e quindi sono uno strumento prezioso nella lotta all’evasione ed al nero. Da qui a richiesta europea di associare al PNRR vincoli che andassero ad incidere sulla evasione (che indirettamente dovrebbe portare alla diminuzione del disavanzo). Purtroppo l’attenzione che si sviluppa anche sui mainstream media in merito è decisamente errata dal punto di vista tecnico.

Evado o non evado, questo è il dilemma

Gran parte della discussione legata ad entrambe le decisioni sono incentrate su 2 argomenti che trovo, nel complesso della gestione del discorso, usati in maniera non corretta ed in alcuni casi sopratutto sul lato dei vincoli legati alla accettazione del POS, pretestuosi.

I due argomenti sono l’evasione e la libertà

L’evasione

Una buona fetta della discussione inerente sia il tetto alle transazioni al contante che alla obbligatoria accettazione dell’uso del PoS anche per micropagamenti riguarda l’evasione.

Ora occorre fare innanzi tutto chiarezza su un paio di punti: il fenomeno della evasione da parte dei fornitori di servizi o di esercenti è abbastanza indipendente dai vincoli di cui si discute. Laddove vi sia evasione questa avviene indipendentemente da tali limiti e obbliga chi “vende” ad alterare la contabilità, cui è soggetto.

Le transazioni in nero, quindi, sono fuori da questo ambito e vi rimangono. Quello che, eventualmente, potrebbe essere più facile per il commerciante al dettaglio è la microevasione. ma il non battere uno scontrino da pochi euro non credo sia l’obiettivo della lotta all’evasione ne la transazione elettronica sarebbe di aiuto.

Poco interessante risulta anche la questione dei costi inerenti i pagamenti con mezzi elettronici. Al di la dei racconti che circolano la realtà è che il pagamento elettronico risulta persino più economico della gestione del contante e laddove le “commissioni” fossero un problema non è certo disincentivando i pagamenti elettronici che si migliora la cosa.

La idea che la categoria dei commercio sia, per altro, intrinsecamente legata alla evasione è tutta da dimostrare, ma in particolare la transazione elettronica dei micropagamenti non indirizzerebbe il problema.

In realtà, in termini di ricerca della evasione il problema della micro-evasione non è nel negoziante, che assumo emetta scontrino, ma nella fonte del contante dell’acquirente, questa si non tracciabile.

Le forme di pagamento diretto sono, lato commerciante, tracciabili in quanto quest’ultimo che è tenuto ad una contabilità che limita le vie evasive o elusive.

Al contrario le transazioni in contanti non sono tracciabili lato acquirente, visto che lo scontrino non è nominativo non c’è modo di associare il flusso di denaro che ha permesso l’acquisto a meno che non si sia in presenza della transazione.

Comprato un bene e pagato, finisce la possibilità di valutare da dove provenga il denaro usato per la transazione che, invece, il commerciante deve tracciare nei libri contabili.

Quando parliamo della necessità di tracciare i passaggi di denaro associati al rischio evasione, il riferimento dovrebbe esser messo su chi usa contanti per i pagamenti, di cui risulta quasi impossibile la tracciabilità e non sui commercianti. Siano questi soldi provenienti da lavoro legittimo, elusione, evasione, lavoro nero o profitti illeciti diventa difficile tracciare la fonte.

Pagare in contanti, quindi, non nasconde la attività del commerciante, ma permette all’acquirente di rimanere “invisibile” alla transazione.

Le transazioni digitali invece lasciano una traccia associabile all’acquirente in quanto nominative, da qui la possibilità di tracciare la fonte del denaro usato nella acquisizione di beni o servizi.

Se il rischio di microevasione quindi dei pagamenti in contanti non è associabile solo a chi vende beni o servizi, che sono comunque in qualche modo misurabili attraverso la contabilità, questo è maggiore se consideriamo chi effettua acquisti.

In quest’ottica sopratutto l’innalzamento del tetto di uso del contante abbassa la possibilità di tracciare possibili evasioni in maniera oggettiva, mentre la possibilità di rifiutare pagamenti POS per microtransazioni risulta poco utile in termini di monitoraggio.

Il tradeoff tra l’aumento della non rintracciabilità delle transazioni economiche legate a tale innalzamento (quindi legate percentualmente a potenziale evasione) e le presunte positive ricadute economiche non è argomento su cui ho elementi di analisi e lo lascio quindi ai tifosi dell’una o altra parte

Per quello che concerne i micropagamenti mi risulta ancora più difficile riscontrare ragioni tali per cui questa sia una scelta premiante dal punto di vista fiscale, ma ne parliamo nel prossimo punto.

La libertà

Curiosamente se, errando, per l’evasione la attenzione è rivolta al commerciante, altrettanto erroneamente si rivolge l’attenzione per questioni di presunta “libertà” verso l’acquirente:

“perchè volete vietarmi di pagare in contanti?”

“io non voglio essere tracciato”

“quello che compro sono fatti miei”,

Sono tutte grida associate alle considerazioni di libertà associate sia all’uso piu o meno obbligatoria del POS che all’innalzamento del contante.

La questione, messa in questi termini, è chiaramente inconsistente per diverse ragioni, vediamone alcune.

Abolire l’obbligo di accettare pagamenti PoS sotto i 60 euro non inficia in alcun modo la possibilità che c’è sempre stata di pagare in contanti. La idea che tale innalzamento restituisca all’utente una capacità di pagamento prima negata è semplicemente assurdo in quanto in italia non c’è mai stato un vincolo obbligatorio di uso dei sistemi elettronici per i micropagamenti. è vero esattamente il contrario, si è dovuto legiferare per permettere a chi voleva pagare con mezzi elettronici la possibilità di farlo.

Se si parla di costrizione delle libertà, quindi, eventualmente è a danno di chi vuole usare la carta e non di chi vuole usare il contante.

Le grida sui sostenitori del pagamento in contanti risultano quindi abbastanza ridicole oltre che inconsistenti, per tacer di chi prova piacere ad andare al bancomat, o allo sportello di banca a prelevare contanti, per finire di chi sente il bisogno (patologico per altro) di essere in contatto diretto col denaro.

La unica obiezione sensata sarebbe la impraticabilità economica della gestione dei micropagamenti da parte dei commercianti, ma come si diceva prima, questa questione non si risolve certo in questo modo.

SI apre quindi un problema legato alla fornitura di servizi ed al loro pagamento che risulta discriminatorio per chi preferisce il pagamento elettronico (sono uno di quelli) e si introduce una distorsione del mercato di cui non si capisce la virtù.

La questione sarebbe, comunque, risibile se fosse lasciata allo sviluppo naturale delle modalità di commercio. Laddove il commerciante iniziasse a sentire che il non accettare pagamenti POS potrebbe comportare un abbassamento del giro di affari vi sarebbe una apertura verso tali modalità. I termini competitivi del mercato quindi potrebbero indirizzare e correggere eventuali distorsioni, se non con la eccezione di alcuni compartimenti particolari come quelli legati ai taxi.

Taxi car png sticker, old-fashioned

La questione dei taxi è un nodo dolente che, per altro, ci contraddistingue in europa. Chiunque abbia un minimo di esperienza all’estero sa che in molti paesi prendere un taxi e pagare con carta è la norma, da noi sembra essere ancora un esercizio difficile e mal digerito dalla categoria. Categoria per altro affetta da ben altre problematiche ben piu serie, come ad esempio il costo ed il numero delle licenze.

In questo caso una valutazione in merito alla fruibilità del servizio sarebbe più che giustificabile a fronte anche dei malumori della categoria.

Rimane l’obbligo di pagamento elettronico sopra una certa cifra, in questo caso vi è si una contrazione di un certo grado della libertà individuale che però serve a correggere comportamenti lesivi della comunità. Riduzione che non preclude la capacità di acquisto ma ne vincola le modalità, un vincolo olonomo che comunque non pregiudica l’esercizio del diritto del soggetto di comprare quello che vuole nei termini consentiti dai vincoli imposti dalla legge.

Un altro cinema è invece legato alla tracciabilità: non volere che il “governo” (entità alquanto astratta in tali ragionamenti) sappia tutto quello che faccio.

Esisterebbe un fantomatico anelito libertario che porterebbe a voler rinunciare alle forme di pagamento elettronico in nome di una ipotetica invisibilità al sistema.

Curiosamente queste grida vengono da chi usa cellulari e social media per comunicare, e già qui si potrebbero chiudere le questioni.

In realtà la questione è ben più seria e limitarla ai pagamenti elettronici è semplicemente ottuso. La questione del tracciamento delle nostre attività appartiene, infatti, ad un dominio molto più ampio di cui, paradossalmente, l’uso delle transazioni elettroniche legate ai micropagamenti è largamente ininfluente.

Invece che presentare sterili battaglie sul tracciamento dei POS sarebbe opportuno mettersi a discutere più seriamente di quali siano i dati che lasciamo in giro e come questi vengano usati e gestiti, ivi compreso dai governi e dalle istituzioni pubbliche. Il millantato rischio di cui spesso si legge di “ricatto” informatico una volta che tutti i pagamenti siano legati al POS è in realtà già largamente utilizzabile in altri ambiti molto più efficaci. La nostra dipendenza da una, mal disegnata, digitalizzazione è infatti molto più ampia di quello che molti percepiscono.

Non per colpa, ma spesso per non conoscenza dei termini tecnologici di cui si parla.

Conclusione

Sarebbe carino, “semel in anno“, che su questioni cosi strettamente tecniche si instaurasse una discussione non ideologica ma concreta. Sicuramente non su Twitter, ove la concretezza è, nella maggior parte dei casi, mera chimera, ma almeno su canali più tradizionali. Purtroppo mancano gli elementi su cui fare valutazioni concrete e spesso il punto di vista presentato presenta evidenti falle logiche e concettuali che impediscono un fruttuoso confronto.

Il risultato è che si parla di POS come del Grafene nei sieri o della forma della terra.

Vedo il lato positivo, molti commenti sono esilaranti 🤣

la pecora e il vaccino

Cari “amici” novax e complottisti\negazionisti pandemici, pur essendomi ripromesso di non parlare di vaccini, pandemie e cose assortite ne sul blog ne su social che non siano uno specifico twitter account mi permetto qui stasera, è venerdì, un paio di sconfortate considerazioni

Mi rendo conto che su Twitter, per la natura stessa del media, la forzatura, l’iperbole e l’ironia sono le cifre stilistiche principali della comunicazione, ed io ne sono un caldo fautore. Ma anche la seriosità di chi non capisce, l’offendersi di chi non comprende, l’incazzarsi di chi non ha argomenti sono diffuse in maniera capillare e su questo sono meno incline e tendo a diventare più sarcastico.

Conosco la dinamica e limito le interazioni a ciò che mi diverte, considerando la piattaforma poco adatta a ragionamenti complessi. Questo comporta anche il commentare post pubblici che ritengo decisamente sopra le righe.

Ultimamente, ripensandoci, c’è una cosa che mi disturba, questa mania dei novax di chiamare “pecora” chi ha fatto la scelta consapevole di vaccinarsi contro il covid.

Chiariamoci subito non sono complottista ne negazionista, non ritengo che il vaccino sia un “siero” malefico gestito da satanisti, e trovo queste posizioni francamente ridicole.

In linea di massima però, ritengo che una persona possa anche decidere di non vaccinarsi a fronte di considerazioni rischio\beneficio personali. Non stò parlando della posizione dei Novax tout court, ma su specifici vaccini posso anche capire che uno faccia scelte personali diverse dalle mie.

Certo se la motivazione sono le nanostrutture create col grafene, o la modifica del DNA dubito si possa parlare di scelte razionali, ma come accetto che esistano i terrapiattisti e i complottisti più vari, prendo come soggetti anche questi, portando il tutto nell’ambito del folclore.

Fuori da quelle motivazioni “surreali” la scelta di vaccinarsi è legata a 2 elementi il beneficio associato alla vaccinazione e il relativo rischio associato.

Si perchè è innegabile che un rischio vi sia, non conosco farmaco che non abbia controindicazioni, ma anche attraversare la strada presenta un rischio. Tutta la vita è composta da assunzioni di rischio che dobbiamo poter valutare.

Utilizzando fonti credibili ed in base alle nostre conoscenze la assunzione del rischio è una valutazione che si fa e che può essere condivisibile o meno.

Personalmente ho valutato che, alla luce delle mie competenze e delle informazioni che avevo in mio possesso, i benefici della vaccinazione fossero superiori ai rischi. Si può non concordare su questa scelta, ma, nel caso si voglia poi esprimere un commento negativo in merito, occorre argomentare la cosa con dati reali, considerazioni serie e valutazioni sensate. Se si scivola nel complottismo senza limitismo non si pretenda da parte mia che si usino metriche comunicative che non siano quelle dello sfottò.

Quello che non capisco è perchè una valutazione “morale” ossia di definizione buono o cattivo, debba essere associata a questa scelta razionale.

La sola idea che qualcuno definisca “pecore” coloro che hanno fatto la scelta di vaccinarsi denota un approccio diametralmente opposto a quello che ho descritto, non fosse altro che si “pensa” (il virgolettato è voluto) che la controparte non sia in grado di fare una scelta ragionata. Eppure raramente (o quasi mai) vengono proposte argomentazioni che non scivolino sul fonti non riferibili o non controllabili, approcci alla matematica ed alla statistica imbarazzanti (se non sapete cosa sia una correlazione evitate di parlarne o mostrare grafici) o valutazioni morali non si capisce bene collegate a cosa.

Certo può essere che la mia valutazione sia stata errata, ma al contrario di quello che pensate è frutto di una analisi concreta e non di una accettazione irrazionale. La pecora, nella vostra accezione, invece e chi segue le indicazioni senza avere un approccio critico.

Orbene quali strumenti avete per determinare che la mia scelta non sia stata una scelta ragionata? Solo il fatto che è diversa dalla vostra? E nel caso siete in grado di mostrare evidenze che non siano la rappresentazione di un vuoto cognitivo ed un approccio fideistico a teorie che non hanno supporto altro se non “il mondo sbaglia e solo noi sappiamo”?

Se manca questo componente non può esserci confronto perché mancano le basi del confronto stesso, se vi si chiede il dato è perchè è su quello che è stata fatta una scelta e su quello che si deve discutere. Altrimenti si cade nel fideismo e nel complottismo che tutto giustifica e tutto valida, perché la fede diventa metro di interpretazione del reale indipendentemente dalla realtà.

Intendiamoci so che su twitter non si può arrivare a tanto, ma concedetemelo preferisco essere una pecora senziente che un “libero” ottuso.

con affetto

Vostro robot grafenico, 5g-ista, sanguemaionesatonero, sierigenicomutante, globuloimpilato, pluri reazioneavversato nonché satanic idiot NWO sheep “dittaturasanitaria” servant

😂
🤣

The email files: se 40000 in blocklist vi sembran pochi

Vabbeh giusto un paio di giorni fa mi son trovato a discorrere di una richiesta di un SOC di mettere 40000 domini in una email-blocklist.

Ho cercato di spiegare che la cosa non ha senso, ma ho trovato una certa rigidità in merito.

Poi mi sono soffermato un attimo e mi son chiesto: io parlo di sicurezza, ma loro?

E mi son ricordato di quando cercavo di spiegare che mettere miliardi di regole su di un firewall dimostra solo di non aver capito come si configura un firewall per fare security 😂😁😎
Che faccio quindi? un update dell’articolo sotto per mettere alcuni punti in chiaro 🙂

https://thepuchiherald.com/the-email-files-blocklisting-la-sottile-arte-di-farsi-del-male-da-soli/

Blocklisting: un falso senso di sicurezza

Per qualche oscuro motivo una buona parte degli operatori di sicurezza informatica è convinta che gli attaccanti siano essenzialmente degli stupidi e che compiano azioni che riconoscerebbe anche un bambino.

Non riesco a spiegarmi in altro modo la propensione alle liste di blocco, sopratutto quando queste contengono decine di migliaia di entry.

Bloccare delle entry (tipicamente Indirizzi IP o domini) che sono già state individuate come malevoli è un po come chiudere le porte della stalla dopo che ne sono fuggiti gli animali.

Se pur vero che in minima parte certe entry, solitamente legate al perdurare di un attacco, possono essere attive, questo non è per sempre. Ma questo lo avevo spiegato in precedenza.

In compenso la gestione di liste gargantuesche comporta diversi problemi, sia prestazionali che di gestione vera e propria.

Che sia un email security gateway o un firewall tenere un approccio statico ai filtri raramente denota competenze specifiche nella sicurezza informatica.

Detto questo è sempre possibile che vi siano obblighi provenienti da sorgenti che non hanno nessun affinità con la materia, e quindi questo approccio diventa “necessario” alla sopravvivenza.

I motivi possono essere vari: “legali” o “politici” ma sicuramente non tecnici.

Ma proprio per questo difficilmente contestabili, mancando le basi minime di comprensione del fenomeno da parte di chi esegue la richiesta.

Quindi assumiamo che sia necessario, ancorché non sensato, dover implementare sui nostri sistemi statiche, stupide, chilometriche ed inutili liste di blocco. Dobbiamo in qualche maniera essere in grado di sopravvivere alla cosa.

Come sopravviverci?

Pur essendoci su internet diversi servizi di RBL mi soffermo qui sulla esigenza, prima espressa, di soddisfare una richiesta di implementare delle liste di blocco chilometriche all’interno del nostro servizio di sicurezza e non accedere a servizi pubblici di RBL.

Innanzi tutto è necessario ricordare che queste liste sono spesso un inutile accozzaglia di vecchie referenze che poco hanno a che fare col threat landscape corrente, occorre quindi NON affidarsi a queste ultime come unica sorgente di protezione.

In secondo luogo occorre prepararsi ad avere eventuali falsi positivi, nel malaugurato caso che domini legittimi utilizzati in attacchi finiscano in queste liste che probabilmente non sono sempre aggiornate.

In terzo luogo occorre che il security gateway che usiamo sia capace di processare queste liste anche in termini di consumo di risorse.

Il problema è presentato proprio dal fatto che spesso queste liste non sono legate a domini, IP o risorse web usate solo da criminali, ma anche da soggetti legittimi. In questo caso se le liste non sono aggiornate dinamicamente con una certa frequenza rischiamo di bloccare risorse lecitamente usate con le problematiche del caso.

La cosa è nota da anni, ed è il motivo alla base della diminuzione dell’uso delle RBL come strumento di filtro per meccanismo di analisi più efficienti (come ad esempio la reputazione dinamica delle risorse).

Le Real-time blackhole list (RBL) note anche come DNS Block List (DNSBL) sono generalmente liste pubbliche che raccolgono domini o IP che hanno una reputazione come emettitori di email illegittime (spam o peggio). Molti servizi su internet offrono questo tipo di liste ma, per mantenersi decentemente aggiornate, di solito non amano che un singolo utente richieda il blacklisting di un numero molto elevato di voci.

Bloccare un dominio tramite una risorsa pubblica potrebbe generare anche possibili conflitti legali, da qui la attenzione dei gestori di DNSBL alle entry e anche al delisting.

Ma cosa dobbiamo fare, quindi, se qualche illuminato della sicurezza ci chiede di caricare decine di migliaia di entry sui nostri sistemi?

La soluzione potrebbe essere legata alla creazione di una RBL interna.

Sebbene si possa implementare una RBL attraverso un normale DNS server per motivi di performance e di amministrazione è meglio orientarsi a software specifici.

RBL vs Filtri al gateway

La domanda potrebbe essere: perchè non implementare direttamente un filtro al gateway invece di usare risorse esterne?

Ci sono alcuni ottimi motivi per evitare l’approccio diretto al gateway di cui citerò solo 2 banali ed ovvi:

  • Performance
  • Amministrazione

Per quello che concerne le performance, difficilmente i security gateway moderni nascono per ospitare liste con diverse migliaia di voci. la ragione è che sono disegnati per fare sicurezza in maniera dinamica, e quindi servizi e risorse sono ottimizzati a quello scopo.

Dal punto di vista amministrativo, analogamente, a meno che non si disponga,come si diceva in precedenza, di un software specifico la gestione di queste liste è manuale e spesso complicata.

Utilizzare un software specifico per la gestione delle liste di blocco invece consente di aggirare i due problemi visti sopra demandando al security gateway la sola chiamata di controllo alla RBL.

Concludendo?

Pur rimanendo convinto che un approccio basato su interminabili block list sia fondamentalmente errato sotto qualsiasi punto di vista, se proprio non puoi fare a meno di implementare una stupidata di questo tipo cerca la via meno dolorosa:

  1. Implementa una RBL o DNSBL interna con cui può parlare il tuo Gateway
  2. Gestisci periodiche verifiche delle entry per evitare che vi possano essere problemi di falsi positivi e legali.

Vediamo se è l’ultima volta che scrivo di queste cose 😂😎🤣
#security #email