UBlock Origin sada ima podršku za blokiranje skeniranja mrežnih priključaka

nedavno, Objavljene su informacije o određenim web mjestima koja izvršavaju skeniranja luka lokalnih računala protiv posjetitelja, ovo je "navodno" dio otiska prsta i praćenja korisnika ili otkrivanja botova.

Samo unutar tih web stranica da spomenemo jednu od najpopularnijih koji vrše lokalno skeniranje luka je stranica eBay.com.

Nadalje, pokazalo se da ova praksa nije ograničena na eBay i mnoga druga web mjesta (Citibank, TD banka, Sky, GumTree, WePay itd.) koristiti skeniranje portas iz korisničkog lokalnog sustava prilikom otvaranja njegovih stranica, pomoću koda za otkrivanje pokušaja pristupa hakiranim računalima, koje pruža ThreatMetrix.

U slučaju eBaya provjereno je 14 mrežnih priključaka povezan s poslužiteljima udaljenog pristupa kao što su VNC, TeamViewer, Anyplace Control, Aeroadmin, Ammy Admin i RDP.

Najvjerojatnije će se provjera izvršiti kako bi se utvrdilo postoje li znakovi zlonamjernog softvera na koji sustav utječe kako bi se izbjegle lažne kupnje pomoću botnet mreža. Skeniranje se također može koristiti za dobivanje podataka za neizravnu identifikaciju korisnika.

Prije ovoga UBlock Origin programer odlučio je poduzeti mjere u vezi s timi u EasyPrivacy dodana su pravila za blokiranje standardnih skripti koje skeniraju mrežne priključke na sustavu lokalnog korisnika.

Za skeniranje se koristi tehnika na temelju pokušaja za uspostavljanje veza s raznim mrežnim priključcima hosta 127.0.0.1 (localhost) putem WebSocket-a.

Skeniranje porta je tehnika sukoba koju pentesteri ili hakeri često koriste za skeniranje strojeva s internetskom vezom i određivanje kojih aplikacija ili usluga slušaju na mreži, obično kako bi se mogli izvesti određeni napadi. Uobičajeno je da sigurnosni softver otkriva aktivno skeniranje priključaka i označava ga kao moguću zlouporabu.

Imate li otvoreni mrežni priključak neizravno se određuje razlikama u obradi pogrešaka prilikom povezivanja s aktivnim i neiskorištenim mrežnim priključcima.

WebSocket omogućuje slanje samo HTTP zahtjeva, ali sličan zahtjev za neaktivni mrežni priključak odmah uspije, a za aktivni priključak tek nakon nekog vremena treba pokušati dogovoriti vezu. Također, u slučaju neaktivnog porta, WebSocket generira kôd pogreška veze (ERR_CONNECTION_REFUSED), a u slučaju aktivnog porta kôd pogreške pregovora o povezivanju.

Kada konfigurirate web utičnicu, navedite odredišnog domaćina i port, što ne mora biti ista domena s koje se skripta poslužuje. 

Da biste izvršili skeniranje priključaka, skripta mora navesti samo privatnu IP adresu (kao što je localhost) i priključak koji želite skenirati.

Skeniranje porta može web mjestu pružiti informacije o tome koji softver koristite. Mnogi portovi imaju dobro definiran skup usluga koje ih koriste, pa popis otvorenih portova daje prilično dobar prikaz pokrenutih aplikacija. 

Na primjer, poznato je da Steam (trgovina igara na sreću i platforma) radi na priključku 27036, tako da skener koji vidi da je otvor otvoren može biti razumno uvjeren da je i korisnik otvorio paru tijekom posjeta web mjestu.

Uz skeniranje porta, WebSockets se također mogu koristiti za napad na sustave web programera koji pokreću upravljačke programe WebSocket za React aplikacije na lokalnom sustavu.

Vanjska web lokacija može se itirirati kroz mrežne priključke, utvrditi prisutnost takvog kontrolera i povezati se s njim.

Između introspekcije za poruke o pogreškama i vremenskih napada, web mjesto može dobiti prilično dobru ideju je li određeni port otvoren.

Ako programer pogriješi, napadač će moći dobiti sadržaj podataka za otklanjanje pogrešaka, koji mogu uključivati ​​fragmentarne povjerljive podatke.

Ako želite znati više o tome, možete se pozvati na sljedeći post.

izvor: https://nullsweep.com/