Recentemente, sono state rilasciate informazioni su alcuni siti Web che eseguono scansioni delle porte host locali contro i visitatori, ciò è "presunto" come parte dell'impronta digitale e del monitoraggio degli utenti o del rilevamento dei bot.
Solo all'interno di quei siti web per citare uno dei più popolari che eseguono la scansione delle porte locali è il sito eBay.com.
Inoltre, si è scoperto che questa pratica non è limitata a eBay e molti altri siti (Citibank, TD Bank, Sky, GumTree, WePay, ecc.) utilizzare la scansione delle portes dal sistema locale dell'utente all'apertura delle sue pagine, utilizzando il codice per rilevare i tentativi di accesso ai computer compromessi, fornito da ThreatMetrix.
Nel caso di eBay, sono state verificate 14 porte di rete associati a server di accesso remoto come VNC, TeamViewer, Anyplace Control, Aeroadmin, Ammy Admin e RDP.
Molto probabilmente il controllo verrà eseguito per determinare se ci sono segni di malware influenzati dal sistema per prevenire acquisti fraudolenti tramite botnet. La scansione può essere utilizzata anche per ottenere dati per l'identificazione indiretta dell'utente.
Prima di questo Lo sviluppatore di uBlock Origin ha deciso di agire in meritoae in EasyPrivacy sono state aggiunte regole per bloccare gli script standard che scansionano le porte di rete sul sistema dell'utente locale.
Per la scansione, viene utilizzata una tecnica basato su un tentativo per stabilire connessioni a varie porte di rete dell'host 127.0.0.1 (localhost) tramite WebSocket.
La scansione delle porte è una tecnica di confronto spesso utilizzata dai pentester o dagli hacker per scansionare le macchine con una connessione Internet e determinare quali applicazioni o servizi sono in ascolto sulla rete, di solito in modo da poter eseguire attacchi specifici. È normale che il software di sicurezza rilevi le scansioni delle porte attive e le contrassegni come possibile abuso.
La presenza di una porta di rete aperta è determinata indirettamente dalle differenze nell'elaborazione degli errori durante la connessione a porte di rete attive e inutilizzate.
WebSocket consente di inviare solo richieste HTTP, ma una richiesta simile per una porta di rete inattiva fallisce immediatamente e per la porta attiva solo dopo un po 'ci vuole un tentativo per negoziare una connessione. Inoltre, nel caso di un porto inattivo, WebSocket genera un codice errore di connessione (ERR_CONNECTION_REFUSED) e, nel caso di una porta attiva, un codice di errore di negoziazione della connessione.
Quando si configura un web socket, specificare un host e una porta di destinazione, che non deve essere lo stesso dominio da cui viene servito lo script.
Per eseguire una scansione delle porte, lo script deve solo specificare un indirizzo IP privato (come localhost) e la porta che vuoi scansionare.
Una scansione delle porte può fornire informazioni a un sito Web sul software in esecuzione. Molte porte hanno un insieme ben definito di servizi che le utilizzano, quindi un elenco di porte aperte offre una visione abbastanza buona delle applicazioni in esecuzione.
Ad esempio, Steam (un negozio di giochi e una piattaforma) è noto per funzionare sulla porta 27036, quindi uno scanner che vede quella porta aperta potrebbe essere ragionevolmente sicuro che l'utente avesse anche Steam aperto mentre visitava il sito web.
Oltre alla scansione delle porte, I WebSocket possono essere utilizzati anche per attaccare i sistemi di sviluppo web che eseguono i driver WebSocket per le applicazioni React sul sistema locale.
Un sito esterno può iterare attraverso le porte di rete, determinare la presenza di un controller di questo tipo e connettersi ad esso.
Tra l'introspezione per i messaggi di errore e gli attacchi a tempo, un sito può farsi un'idea abbastanza precisa se una determinata porta è aperta.
Se lo sviluppatore commette un errore, il file l'attaccante sarà in grado di ottenere il contenuto dei dati di debug, che possono includere informazioni riservate frammentarie.
Se vuoi saperne di più, puoi fare riferimento al seguente post.
fonte: https://nullsweep.com/
Potresti indicare come attivare questa funzione o è attivata di default?
Grazie, saluti.
Diciamo che viene fornito di default perché se non hai configurato uBlock si aggiornerà proprio come i suoi elenchi di filtri. Ma se vuoi essere sicuro devi solo aggiornare l'elenco EasyPrivacy. Vai alle preferenze del plug-in, quindi "Elenco filtri", cerca EasyPrivacy, fai clic sull'orologio e infine sul pulsante "Aggiorna ora".