Internet di secondamano. Indirizzi IP dismessi e rivenduti
Gli indirizzi ip possono essere dismessi e rivenduti. Ma attenzione: dietro a un indirizzo IP usato ci sono a volte rischi che possono mettere in pericolo i responsabili delle aziende. Blue Coat spiega come mettersi in guardia.
Nessuno acquisterebbe mai una casa senza sapere prima se su di essa gravino ipoteche o altre pendenze, e la possibilità di visionare il catasto dell’immobile prima dell’acquisto fornisce ai compratori la sicurezza che il loro futuro investimento non si riveli un completo disastro.
Ora che, con il passaggio all’ IPv6, i nuovi indirizzi IP, IPv4 sono storia passata, si sta sviluppando un mercato per l’acquisto di indirizzi IPv4 usati. E come per le case, l’acquisto di questi indirizzi usati comporta dei rischi. Se per l’acquisto di un immobile si possono ottenere tutte le informazioni dei precedenti proprietari, come ci si deve comportare di fronte ad un indirizzo di cui non si conosce il percorso?
La reputazione segue gli indirizzi IPv4 usati
Quando un’azienda compra un indirizzo IPv4 usato, acquista anche la reputazione di quell’indirizzo. Se quel determinato indirizzo è stato consapevolmente o inconsapevolmente parte di una rete malware, è probabile che abbia una valutazione negativa che indurrebbe una tradizionale policy di utilizzo accettabile a bloccarlo. Senza cicli di manutenzione, questa storia precedente potrebbe rimanere registrata in sistemi di valutazione della reputazione e filtraggio dei contenuti Web anche molto tempo dopo la fine dell’attacco malware, alle volte anche per anni. Queste vecchie valutazioni possono determinare il blocco delle pagine quando utilizzate dal nuovo proprietario. Le richieste che vengono bloccate porteranno poi alla ridefinizione delle valutazioni nei database statici, ma il senso di frustrazione derivante dal rimanere bloccati per diversi giorni o più a lungo ha un costo elevato.
Spesso le soluzioni di valutazione della reputazione e filtraggio Web utilizzano valutatori umani che aggiungono costantemente nuove valutazioni ma trascurano di verificare con regolarità quelle esistenti per un controllo di qualità. La pratica de facto è quella di aspettare un reclamo per effettuare l’aggiornamento.
Recentemente, la San Jose Public Library ha lanciato un nuovo sito Web per scoprire poi che veniva bloccato da più soluzioni di filtraggio dei contenuti Web. La causa principale erano gli indirizzi IPv4 che erano stati utilizzati nel corso di un attacco Web qualche anno prima. Cisco ha ampliato il suo sito Web con indirizzi IPv4 usati e ha avuto la stessa brutta esperienza: una nota soluzione di filtraggio dei contenuti Web ha bloccato le nuove pagine.
Fino a che è stato possibile utilizzare indirizzi IPv4 nuovi, l’impatto di questa pratica è stato minimo. Ma essendo ora disponibili solo indirizzi IPv4 usati, l’impatto diventa più evidente. L’ipotesi di far lavorare i valutatori umani fino a notte fonda o qualche weekend al mese per analizzare milioni di valutazioni è impraticabile. Il Web si sta espandendo troppo rapidamente, con la pubblicazione bidirezionale e nuovi servizi e applicazioni Web, perché degli esseri umani possano restare al passo con valutazioni manuali. Inoltre, l’espansione del Web sta creando grandi database di valutazioni pregresse che sono troppo estesi per permettere di esaminarli periodicamente per verificarne la qualità. Il riutilizzo di indirizzi IPv4 porta in primo piano questo problema e mette i nuovi proprietari a rischio di blocco.
Le valutazioni in tempo reale aumentano la rilevanza delle valutazioni
Le tecnologie di valutazione in tempo reale cambiano le regole del gioco. Non solo sono in grado di valutare istantaneamente contenuti Web nuovi per proteggere gli utenti, ma nelle ore di traffico meno intenso, possono effettuare una nuova valutazione delle valutazioni esistenti offrendo un maggiore controllo e attinenza con la situazione reale. Se un indirizzo IPv4 è stato usato come parte di una minaccia Web e questa minaccia non è più attuale, la valutazione negativa dovrebbe essere eliminata. Oppure, nel caso in cui un indirizzo IPv4 sia stato collegato a contenuto discutibile (ad esempio, pornografia) o a contenuti non produttivi (giochi) ma adesso non lo è più, queste valutazioni dovrebbero essere eliminate in quanto ne determinano il blocco da parte di policy di utilizzo accettabile.
La necessità di valutazioni in tempo reale assume una nuova dimensione di fronte alle minacce Web generate in modo dinamico che “inquinano” i risultati dei motori di ricerca con lo scopo di dirigere gli utenti verso attacchi di phishing, offerte di soluzioni anti-malware fasulle e aggiornamenti software fasulli. Le valutazioni in tempo reale diventano fondamentali per rilevare velocemente questi attacchi generati da macchine e proteggere immediatamente gli utenti.
In assenza di un prodotto come CarFax per gli indirizzi IPv4, gli acquirenti dovrebbero prestare molta attezione. Conoscere la provenienza di un indirizzo e sapere come è stato usato eviterà molti grattacapi e futuri costi aggiuntivi.