UBlock Origin ja compta amb el suport per al bloqueig d'escaneig de ports de xarxa

Recentment, es va donar a conèixer informació sobre que certs llocs web fan escanejos de ports de host local en contra dels visitants, això "suposadament" com a part d'una empremta digital i rastreig d'usuaris o detecció de bot.

Dins d'aquests llocs web, només per esmentar un dels més populars que realitzen l'escaneig de ports locals és el lloc de eBay.com.

A més, va resultar que aquesta pràctica no es limita a eBay i molts altres llocs (Citibank, TD Bank, Sky, Gumtree, WePay, etc.) utilitzen el escaneig de ports d'al sistema local d'l'usuari a l'obrir les seves pàgines, utilitzant el codi per detectar intents d'accés a ordinadors piratejades, proporcionat per ThreatMetrix.

En el cas d'eBay, es van verificar 14 ports de xarxa associats amb servidors d'accés remot com VNC, TeamViewer, Anyplace Control, Aeroadmin, Ammy Admin i RDP.

El més probable és que la verificació es dugui a terme per determinar si hi ha signes de malware afectat pel sistema per evitar compres fraudulentes utilitzant botnets. L'escaneig també es pot utilitzar per obtenir dades per a la identificació indirecta d'l'usuari.

davant d'això el desenvolupador de uBlock Origin decidit prendre cartes en l'assumpteto i en EasyPrivacy afegir regles per bloquejar scripts estàndard que escanegen ports de xarxa en el sistema de l'usuari local.

Pel escaneig, s'utilitza una tècnica basada en un intent d'establir connexions a diversos ports de xarxa de l'amfitrió 127.0.0.1 (Localhost) a través d'websocket.

L'escaneig de ports és una tècnica de confrontació utilitzada amb freqüència per pentester o hackers per escanejar màquines amb connexió a Internet i determinar quines aplicacions o serveis escolten a la xarxa, en general perquè es puguin dur a terme atacs específics. És comú que el programari de seguretat detecti escanejos de ports actius i el marqui com a possible abús.

El fet de tenir un port de xarxa obert es determina indirectament en funció de les diferències en el processament d'errors a l'connectar-se a ports de xarxa actius i no utilitzats.

Websocket permet enviar només sol·licituds HTTP, però una sol·licitud similar per a un port de xarxa inactiu falla immediatament i per al port actiu només després d'un temps, pren un intent de negociar una connexió. A més, en el cas d'un port inactiu, Websocket genera un codi d'error de connexió (ERR_CONNECTION_REFUSED), i en el cas d'un port actiu, un codi d'error de negociació de connexió.

Quan es configura un sòcol web, especifica un host i un port de destí, Que no han de ser el mateix domini des del qual se serveix l'script. 

Per fer un escaneig de ports, l'script només ha d'especificar una adreça IP privada (Com localhost) i el port que voleu escanejar.

Un escaneig de ports pot proporcionar informació a un lloc web sobre quin programari està executant. Molts ports tenen un conjunt ben definit de serveis que els utilitzen, de manera que una llista de ports oberts ofereix una vista bastant bona de l'execució d'aplicacions. 

Per exemple, se sap que Steam (una botiga i plataforma de jocs) s'executa en el port 27036, de manera que un escàner que vegi aquest port obert podria tenir una confiança raonable que l'usuari també tenia steam obert mentre visitava el lloc web .

A més de l'escaneig de ports, WebSockets també es pot utilitzar per atacar sistemes de desenvolupadors web que executen controladors websocket per a aplicacions React en el sistema local.

Un lloc extern pot recórrer en iteració els ports de xarxa, determinar la presència d'aquest controlador i connectar-se a ell.

Entre la introspecció de missatges d'error i els atacs de temps, un lloc pot tenir una idea bastant bona de si un port determinat està obert.

Si el desenvolupador comet un error, l' atacant podrà obtenir el contingut de les dades de depuració, Que poden incloure informació confidencial fragmentària.

Si vols conèixer més a l'respecte, Pots consultar la següent publicació.

font: https://nullsweep.com/