„UBlock Origin“ dabar palaiko tinklo prievado nuskaitymo blokavimą

Neseniai Buvo paskelbta informacija apie tam tikras svetaines, atliekančias vietos prieglobos uosto nuskaitymus lankytojų atžvilgiu tai „laikoma“ kaip pirštų atspaudų ir naudotojų stebėjimo ar robotų aptikimo dalis.

Tik tuose tinklalapiuose paminėti vieną populiariausių kurie atlieka vietinio uosto nuskaitymą yra „eBay.com“ svetainė.

Be to, paaiškėjo, kad ši praktika neapsiriboja „eBay“ ir daugeliu kitų svetainių („Citibank“, „TD Bank“, „Sky“, „GumTree“, „WePay“ ir kt.) naudoti uosto nuskaitymąs iš vartotojo vietinės sistemos atidarant jo puslapius, naudojant kodą aptikti bandymus pasiekti „nulaužtus“ kompiuterius, kuriuos teikia „ThreatMetrix“.

„EBay“ atveju buvo patikrinta 14 tinklo prievadų susietas su nuotolinės prieigos serveriais, tokiais kaip VNC, „TeamViewer“, „Anyplace Control“, „Aeroadmin“, „Ammy Admin“ ir RDP.

Labiausiai tikėtina, kad patikrinimas bus atliekamas siekiant nustatyti, ar yra kenkėjiškų programų, kurias paveikė sistema, požymių, kad būtų išvengta apgaulingo pirkimo naudojant botnetus. Skenavimas taip pat gali būti naudojamas norint gauti duomenis netiesioginiam vartotojo identifikavimui.

Prieš tai „uBlock Origin“ kūrėjas nusprendė imtis veiksmų šiuo klausimuį „EasyPrivacy“ pridėtas taisykles ir blokuoja standartinius scenarijus, kurie nuskaito tinklo prievadus vietinio vartotojo sistemoje.

Skenavimui naudojama technika remiantis bandymu užmegzti ryšį su įvairiais pagrindinio kompiuterio tinklo prievadais 127.0.0.1 (localhost) per „WebSocket“.

Uosto nuskaitymas yra konfrontacinė technika, kurią dažnai naudoja pentesteriai ar hakeriai, norėdami nuskaityti mašinas su interneto ryšiu ir nustatyti, kurios programos ar paslaugos klausosi tinkle, paprastai tam, kad būtų galima įvykdyti konkrečias atakas. Paprastai saugumo programinė įranga aptinka aktyvius uosto nuskaitymus ir pažymi juos kaip galimą piktnaudžiavimą.

Ar turite atviro tinklo prievadą, netiesiogiai lemia klaidų apdorojimo prisijungiant prie aktyvių ir nenaudojamų tinklo prievadų skirtumai.

„WebSocket“ leidžia siųsti tik HTTP užklausas, bet panaši užklausa dėl nenaudojamo tinklo prievado nepavyksta nedelsiant, o aktyvioji - tik po kurio laiko, bandoma susitarti dėl ryšio. Be to, neveikiančio uosto atveju „WebSocket“ sugeneruoja kodą ryšio klaida (ERR_CONNECTION_REFUSED), o aktyvaus prievado atveju - ryšio derybų klaidos kodas.

Konfigūruodami interneto lizdą, nurodykite paskirties pagrindinį kompiuterį ir uostą, kuris nebūtinai turi būti tas pats domenas, iš kurio teikiamas scenarijus. 

Norėdami nuskaityti uostą, scenarijus turi nurodyti tik privatų IP adresą (pvz., „localhost“) ir prievadą, kurį norite nuskaityti.

Uosto nuskaitymas gali suteikti informacijos svetainei apie tai, kokią programinę įrangą naudojate. Daugelis uostų turi aiškiai apibrėžtą paslaugų rinkinį, kuris jomis naudojasi, todėl atidarytų prievadų sąrašas suteikia gana gerą vaizdą apie veikiančias programas. 

Pavyzdžiui, žinoma, kad „Steam“ (žaidimų parduotuvė ir platforma) veikia 27036 uoste, todėl skaitytuvas, pamatęs, kad atidarytas uostas, gali būti pagrįstai įsitikinęs, kad vartotojas lankydamasis svetainėje taip pat atidarė garą.

Be uosto nuskaitymo, „WebSockets“ taip pat gali būti naudojami atakuoti žiniatinklio kūrėjų sistemas kurie paleidžia „WebSocket“ tvarkykles „React“ programoms vietinėje sistemoje.

Išorinė svetainė gali kartoti per tinklo prievadus, nustatyti tokio valdiklio buvimą ir prisijungti prie jo.

Tarp klaidų pranešimų ir laiko išpuolių patikrinimo svetainė gali gana gerai suprasti, ar tam tikras prievadas yra atidarytas.

Jei kūrėjas daro klaidą, užpuolikas galės gauti derinimo duomenų turinį, kuri gali apimti fragmentišką konfidencialią informaciją.

Jei norite apie tai sužinoti daugiau, galite kreiptis į šį įrašą.

Fuente: https://nullsweep.com/