UBlock Origin blokkeert voortaan ook poortscans door websites
De populaire adblocker uBlock Origin blokkeert voortaan ook poortscans die door websites lokaal bij gebruikers worden uitgevoerd. Vorige maand kwam Charlie Belmer, die bij zoekmachine DuckDuckGo aan de privacy en security werkt, met een analyse over een poortscan die eBay op het systeem van bezoekers uitvoert. In tegenstelling tot poortscans die vanaf het internet worden uitgevoerd, wordt de poortscan van eBay vanuit de browser geïnitieerd en scant alleen het lokale ip-adres van de gebruiker.
Het bedrijf blijkt informatie te verzamelen over openstaande poorten die onder andere worden gebruikt voor VNC, RDP, TeamViewer, AnyDesk en Ammy Admin. Via deze diensten is het mogelijk om systemen op afstand te besturen. Mogelijk dat eBay op deze manier wil controleren of systemen van gebruikers zijn besmet of onderdeel van een botnet zijn, en zo op frauduleuze manier gebruikt kunnen worden. Uit informatie van Dan Nemec blijkt echter dat de aanwezigheid van een dergelijke open poort er niet voor zorgt dat eBay bijvoorbeeld een "fraudescore" ontvangt.
EBay is niet de enige partij die lokaal de poorten van gebruikers scant. Wereldwijd zou het om 30.000 websites gaan, die hiervoor gebruikmaken van LexisNexis' ThreatMetrix. Het bedrijf analyseert naar eigen zeggen dagelijks 150 miljoen transacties voor meer dan 30.000 websites wereldwijd om verdacht gedrag en malware te detecteren. Op de vraag waarom het de poort van gebruikers scant laat eBay tegenover zakenblad Forbes weten dat het dit doet om een veilige omgeving te creëren. Verdere informatie wordt niet gegeven.
Gebruikers die niet willen dat websites een lokale poortscan uitvoeren kunnen hiervoor adblocker uBlock Origin installeren. In ieder geval de versie voor Google Chrome blijkt poortscans te blokkeren. UBlock-ontwikkelaar Raymond Hill laat aan Bleeping Computer weten dat hij geen aanpassingen aan de browserextensie heeft doorgevoerd, en dat het waarschijnlijk om aanpassingen aan de filterlijsten gaat waarvan de adblocker gebruikmaakt. Deze filterlijsten worden door andere partijen onderhouden om trackers en andere zaken te blokkeren. Uit reacties op de GitHub-pagina van uBlock Origin blijkt dat inderdaad is voorgesteld om poortscans via de filterlijsten te blokkeren.
Als eenders van de gecheckte software op een eindgebruikers PC gevonden wordt vindt ik dat niet direct iets frauduleus mogelijk zijnde.
Je begrijpt het niet goed denk ik. Poortscanning is sowieso not done voor whitehats. uBlock Origin kan al heel lang websockets blokkeren (*$websocket), en dat kunnen veel andere privacytools ook.
Veel bedrijven gebruiken proxies voor webtoegang en daar kan RDP openstaan, de aanwezigheid van die poort zegt dus niets. Net zo goed als een poort van een van de andere remote access tools.
Je hebt een apart taalgebruik, maar ik denk dat je hetzelfde wil zeggen als ik hierboven schreef.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!