UBlock Origin obsługuje teraz blokowanie skanowania portów sieciowych

Ostatnio opublikowano informacje o niektórych witrynach internetowych przeprowadzających skanowanie portów hosta lokalnego przeciwko odwiedzającym, to „rzekomo” jako część odcisku palca i śledzenia użytkownika lub wykrywania botów.

Tylko w ramach tych witryn wspomnieć o jednym z najpopularniejszych które wykonują skanowanie portów lokalnych jest witryna eBay.com.

Co więcej, okazało się, że ta praktyka nie ogranicza się do serwisu eBay i wielu innych witryn (Citibank, TD Bank, Sky, Gum Tree, WePay itp.) użyj skanowania portóws z systemu lokalnego użytkownika podczas otwierania jego stron, używając kodu do wykrywania prób dostępu do zaatakowanych komputerów, dostarczanego przez firmę ThreatMetrix.

W przypadku eBay zweryfikowano 14 portów sieciowych powiązane z serwerami zdalnego dostępu, takimi jak VNC, TeamViewer, Anyplace Control, Aeroadmin, Ammy Admin i RDP.

Najprawdopodobniej kontrola jest przeprowadzana w celu ustalenia, czy system ma wpływ na złośliwe oprogramowanie, aby zapobiec nieuczciwym zakupom przy użyciu botnetów. Skanowanie może być również wykorzystane do pozyskania danych do pośredniej identyfikacji użytkownika.

Przed tym twórca uBlock Origin postanowił podjąć działania w tej sprawiedo iw EasyPrivacy dodano reguły blokowania standardowych skryptów skanujących porty sieciowe w lokalnym systemie użytkownika.

Do skanowania używana jest technika na podstawie próby do ustanowienia połączeń z różnymi portami sieciowymi hosta 127.0.0.1 (localhost) przez WebSocket.

Skanowanie portów to technika kontradyktoryjności często używana przez pentesterów lub hakerów do skanowania komputerów podłączonych do Internetu w celu ustalenia, jakie aplikacje lub usługi nasłuchują w sieci, często w celu przeprowadzenia określonych ataków. Oprogramowanie zabezpieczające często wykrywa aktywne skanowanie portów i oznacza je jako możliwe nadużycie.

To, czy masz otwarty port sieciowy, określa się pośrednio na podstawie różnic w przetwarzaniu błędów podczas łączenia się z aktywnymi i nieużywanymi portami sieciowymi.

WebSocket umożliwia wysyłanie tylko żądań HTTP, ale podobne żądanie o nieaktywny port sieciowy kończy się natychmiast niepowodzeniem, a dla portu aktywnego dopiero po pewnym czasie następuje próba wynegocjowania połączenia. Również w przypadku portu nieaktywnego WebSocket generuje kod błąd połączenia (ERR_CONNECTION_REFUSED), aw przypadku aktywnego portu kod błędu negocjacji połączenia.

Podczas konfigurowania gniazda sieciowego określa docelowego hosta i port, które nie muszą należeć do tej samej domeny, z której jest obsługiwany skrypt. 

Aby wykonać skanowanie portów, skrypt musi tylko określić prywatny adres IP (jako localhost) i port, który chcesz przeskanować.

Skanowanie portów może dostarczyć stronie internetowej informacji o używanym oprogramowaniu. Wiele portów ma dobrze zdefiniowany zestaw usług, które z nich korzystają, więc lista otwartych portów daje całkiem dobry obraz uruchomionych aplikacji. 

Na przykład wiadomo, że Steam (sklep z grami i platforma) działa na porcie 27036, więc skaner, który widzi ten otwarty port, może mieć wystarczającą pewność, że użytkownik również miał otwartą Steam podczas odwiedzania witryny. .

Oprócz skanowania portów, WebSockets mogą być również wykorzystywane do atakowania systemów twórców stron internetowych które uruchamiają kontrolery WebSocket dla aplikacji React w systemie lokalnym.

Strona zewnętrzna może przeglądać porty sieciowe, określać obecność tego kontrolera i łączyć się z nim.

Pomiędzy introspekcją komunikatów o błędach a atakami na czas strona może uzyskać całkiem niezłe pojęcie, czy dany port jest otwarty.

Jeśli programista popełni błąd, atakujący będzie mógł uzyskać zawartość danych debugowania, które mogą zawierać fragmentaryczne informacje poufne.

Jeśli chcesz dowiedzieć się więcej na ten temat, możesz odnieść się do następującego postu.

źródło: https://nullsweep.com/