Тепер UBlock Origin має підтримку блокування сканування мережевих портів

Останнім часом була оприлюднена інформація про певні веб-сайти, які виконують сканування портів локальних хостів проти відвідувачів, це "передбачається" як частина відбитків пальців та відстеження користувачів або виявлення ботів.

Тільки на цих веб-сайтах згадати одну з найпопулярніших які виконують сканування локального порту - це сайт eBay.com.

Крім того, виявилося, що ця практика не обмежується eBay та багатьма іншими веб-сайтами (Citibank, TD Bank, Sky, GumTree, WePay тощо) використовувати сканування портівs з локальної системи користувача під час відкриття її сторінок, використовуючи код для виявлення спроб доступу до зламаних комп'ютерів, наданих ThreatMetrix.

У випадку eBay було перевірено 14 мережевих портів пов’язані із серверами віддаленого доступу, такими як VNC, TeamViewer, Anyplace Control, Aeroadmin, Ammy Admin та RDP.

Перевірка буде проведена, швидше за все, для встановлення наявності ознак шкідливого програмного забезпечення, на яке впливає система, щоб запобігти шахрайським покупкам із використанням ботнетів. Сканування також може використовуватися для отримання даних для непрямої ідентифікації користувача.

До цього Розробник uBlock Origin вирішив вжити заходів у цьому питаннідо і в EasyPrivacy додано правила блокування стандартних сценаріїв, які сканують мережеві порти в системі локального користувача.

Для сканування використовується техніка на основі замаху встановити з'єднання з різними мережевими портами хосту 127.0.0.1 (localhost) через WebSocket.

Сканування портів - це конфронтаційний прийом, який часто використовують пентестери або хакери для сканування машин з підключенням до Інтернету та визначення, які програми чи служби слухають у мережі, як правило, для того, щоб можна було здійснити конкретні атаки. Програмне забезпечення безпеки зазвичай виявляє активне сканування портів і позначає це як можливе зловживання.

Чи є у вас відкритий мережевий порт, опосередковано визначається різницею в обробці помилок при підключенні до активних та невикористаних мережевих портів.

WebSocket дозволяє надсилати лише запити HTTP, але подібний запит на непрацюючий мережевий порт не вдається негайно, а для активного порту лише через деякий час потрібна спроба узгодити з'єднання. Крім того, у випадку неактивного порту, WebSocket генерує код помилка підключення (ERR_CONNECTION_REFUSED), а у випадку активного порту - код помилки узгодження підключення.

Налаштовуючи веб-сокет, укажіть хост і порт призначення, який не повинен бути тим самим доменом, з якого подається скрипт. 

Щоб виконати сканування портів, сценарій повинен лише вказати приватну IP-адресу (наприклад, localhost) та порт, який потрібно сканувати.

Сканування портів може надати веб-сайту інформацію про те, яке програмне забезпечення ви використовуєте. Багато портів мають чітко визначений набір служб, які їх використовують, тому список відкритих портів дає досить хороший огляд запущених програм. 

Наприклад, відомо, що Steam (ігровий магазин та платформа) працює на порту 27036, тому сканер, який бачить, що порт відкритий, може бути досить впевненим, що користувач також відкрив пару під час відвідування веб-сайту.

На додаток до сканування портів, WebSockets також можна використовувати для нападу на системи веб-розробників які запускають драйвери WebSocket для програм React у локальній системі.

Зовнішній сайт може переглядати мережеві порти, визначати наявність такого контролера та підключатися до нього.

Між самоаналізом повідомлень про помилки та тимчасовими атаками сайт може отримати досить гарне уявлення про те, чи відкритий певний порт.

Якщо розробник помиляється, файл Зловмисник зможе отримати вміст даних налагодження, яка може включати фрагментарну конфіденційну інформацію.

Якщо ви хочете дізнатися більше про це, Ви можете звернутися до наступного допису.

Фуенте: https://nullsweep.com/