Blacklist
Con il termine generico Blacklist si indicano di solito liste di nodi o domini pericolosi e/o indesiderati. Ci sono blacklist di nodi origine di spam, nodi utilizzati come controller di botnet e così via. Essere inseriti in una blacklist è facile, ad esempio basta che un account di un utente venga utilizzato per spedire spam; uscirne è spesso complicato (e qualche volta addirittura costoso).
L'idea dietro le blacklist è che un amministratore di sistema le usi per proteggere i propri server, ad esempio non accettando connessioni da nodi segnalati come origine di spam. Ovviamente, fidarsi ciecamente dei gestori delle blacklist è abbastanza sconsiderato: più che portatrici di verità evangeliche, dovrebbero essere considerate come elenchi di suggerimenti. Non dimentichiamoci poi che non tutte le backlist sono uguali: se ne sono di buone e di cattive, di serie e meno serie.
GARR-CERT ha attivato un servizio di segnalazione agli APM della presenza dei propri nodi in un certo numero di blacklist.
Ecco un elenco delle blacklist monitorate (per qualcuna non è chiaro né perché si è stati inseriti, né le modalità di cancellazione):
- blocklist.de: nodi da cui sono partiti attacchi a servizi ssh, imap, pop3, ftp ecc. ecc.
- alienvault.com: nodi da cui sono partiti attacchi
- dnsbl-1.uceprotect.net lista di nodi da cui è partito spam
- talosintel.com
- feodotracker.abuse.ch: server command & control della botnet Feodo
- snort.org
- threatcrowd.org motore di ricerca per minacce (IP, reti, domini, email)
