UBlock Origin теперь поддерживает блокировку сканирования сетевых портов.

Недавно была опубликована информация об определенных веб-сайтах, выполняющих сканирование портов локального хоста в отношении посетителей это «предполагается» как часть отслеживания отпечатков пальцев и пользователей или обнаружения ботов.

На этих сайтах только упомянуть один из самых популярных которые выполняют сканирование локальных портов это сайт eBay.com.

Кроме того, оказалось, что эта практика не ограничивается eBay и многими другими сайтами. (Ситибанк, TD Bank, Sky, GumTree, WePay и др.) использовать сканирование портовs из локальной системы пользователя при открытии его страниц, используя код для обнаружения попытки доступа к взломанным компьютерам, предоставленный ThreatMetrix.

В случае с eBay было проверено 14 сетевых портов. связаны с серверами удаленного доступа, такими как VNC, TeamViewer, Anyplace Control, Aeroadmin, Ammy Admin и RDP.

Скорее всего, проверка будет проводиться для определения наличия в системе признаков вредоносного ПО, чтобы избежать мошеннических покупок с использованием ботнетов. Сканирование также можно использовать для получения данных для косвенной идентификации пользователя.

Перед этим Разработчик uBlock Origin решил принять меры по этому поводув EasyPrivacy и в него добавлены правила для блокировки стандартных сценариев, сканирующих сетевые порты в системе локального пользователя.

Для сканирования используется техника на основе попытки для установления соединений с различными сетевыми портами хоста 127.0.0.1 (localhost) через WebSocket.

Сканирование портов - это метод конфронтации, часто используемый пентестерами или хакерами для сканирования компьютеров с подключением к Интернету и определения, какие приложения или службы прослушивают сеть, обычно для проведения конкретных атак. Программное обеспечение безопасности часто обнаруживает активные сканирования портов и отмечает их как возможные злоупотребления.

Наличие открытого сетевого порта косвенно определяется различиями в обработке ошибок при подключении к активным и неиспользуемым сетевым портам.

WebSocket позволяет отправлять только HTTP-запросы, но аналогичный запрос на свободный сетевой порт сразу же завершается неудачей, а на активный порт - только через некоторое время, требуется попытка согласовать соединение. Также, в случае неактивного порта, WebSocket генерирует код ошибка соединения (ERR_CONNECTION_REFUSED), а в случае активного порта - код ошибки согласования соединения.

При настройке веб-сокета укажите целевой хост и порт, который не обязательно должен быть тем же доменом, из которого обслуживается скрипт. 

Чтобы выполнить сканирование портов, сценарий должен только указать частный IP-адрес (например, localhost) и порт, который вы хотите просканировать.

Сканирование портов может предоставить веб-сайту информацию о том, какое программное обеспечение вы используете. Многие порты имеют четко определенный набор служб, которые их используют, поэтому список открытых портов дает довольно хорошее представление о запущенных приложениях. 

Например, известно, что Steam (игровой магазин и платформа) работает на порту 27036, поэтому сканер, обнаруживший, что порт открыт, может быть достаточно уверен, что пользователь также открыл Steam во время посещения веб-сайта.

Помимо сканирования портов, WebSockets также можно использовать для атак на системы веб-разработчиков. которые запускают драйверы WebSocket для приложений React в локальной системе.

Внешний сайт может перебирать сетевые порты, определять наличие такого контроллера и подключаться к нему.

Между самоанализом на предмет сообщений об ошибках и атаками по времени сайт может получить довольно хорошее представление о том, открыт ли определенный порт.

Если разработчик ошибается, злоумышленник сможет получить содержимое отладочных данных, которые могут содержать отрывочную конфиденциальную информацию.

Если вы хотите узнать об этом больше, вы можете обратиться к следующему посту.

источник: https://nullsweep.com/