来自 CC防护 2022-06-05 07:20 的文章

网站防御_独立高防服务器租用_新用户优惠

网站防御_独立高防服务器租用_新用户优惠

了解什么是端口扫描以及eBay承包商如何使用该技术

每周都会带来更多的安全新闻,本周将介绍一段有趣的Javascript,如果您碰巧在特定情况下使用eBay,它可以在您的浏览器中运行。该代码可以扫描您的计算机并将信息发送回安全供应商,该供应商可用于跟踪您在互联网上的移动。让我们深入讨论这场争论,并解释一下这里发生了什么。

首先,我需要谈谈端口扫描技术来设置上下文。了解这个问题的一个好地方是Avast的Answers网站上的这篇博文。简而言之,每个Internet应用程序都使用特定的网络端口号来执行其业务。所谓的"知名"端口包括80个用于web通信的端口、22个用于secure shell的端口和143个用于基于IMAP的电子邮件通信的端口。在这里可以找到完整的列表。如果您使用流量分析器(也称为嗅探器),您可以查看这些通信并了解网络上运行的应用程序。

有两种方法进行这些扫描。第一种也是目前为止最流行的方法是,有人在整个IP地址范围或域中远程启动扫描。有很多工具可以做到这一点,几十年来我一直喜欢史蒂夫·吉布森(Steve Gibson)的一个工具,叫做Shield's Up。它非常值得使用,因为它简单、免费,只需花一点时间查看您的网络路由器,看看您有哪些开放端口。最大的限制是它只扫描前1000个编号的端口:几年前互联网还只是阿尔·戈尔眼中的一道亮光,那还不错,但现在生活变得更复杂了。我还建议使用SolarWinds的网络设备扫描仪,它将扫描更多端口——作为互联网协议的一部分,有65000多个端口。

第二种方法是,本地软件只扫描你自己的电脑。通常,这是由基于浏览器的脚本启动的,这是有关易趣的新闻中的情况。包括查尔斯·贝尔默和丹·内梅克在内的几位研究人员本周公布了他们的调查结果。他们都使用浏览器调试工具跟踪扫描是如何完成的——通过使用名为check.js的Javascript程序——以及在何种特定情况下进行的。

例如,Nemec发现,只有Windows PC才会启动扫描,并且只有当用户从特定的易趣登录页面浏览时才会启动扫描。在数千个命名端口中,ddos防御效果分析,只有几十个是eBay扫描脚本感兴趣的。其中一些是:

您可以从Bleeping计算机的此表中找到更复杂的其他端口列表。Nemec还发现脚本代码在每次重新运行时都会更改其变量名。听起来这个脚本有什么要隐藏的。

从扫描中收集到了什么?Nemec发现了这台电脑的用户代理或特定的浏览器版本、公共IP地址以及其他不明显的数据。数据收集似乎没有任何特定目的。

你在这里看到模式了吗?扫描旨在查看是否有人在运行远程控制服务——可能是无意中。这可能是有人的电脑被试图复制用户登录凭据的攻击者破坏的信号。事实上,这就是《注册》得出的结论:作者说"端口扫描脚本的原因是防止欺诈,CC防御官网,似乎是通过标记可能被歹徒远程控制的机器。"

他们得出这一结论,因为从这些扫描中收集的数据不会进入eBay拥有的域,自建高防cdn实现故障,但有一个看起来很像:ebay-us.com。谁拥有这个域名?这不是易趣,而是ThreatMetrix,CDN部署防御DDOS,一家反欺诈公司,于2018年被LexisNexis收购。

现在,这给我敲响了各种警钟。为什么ThreatMetrix会故意使用此域?假设登记册是正确的,这是出于反欺诈的原因。这只是另一个不同类型的浏览器指纹识别的例子,正如钱德勒·吉文斯在他的文章中提到的。这是因为扫描和脚本可以通过这些打开的端口识别您的电脑,以及在浏览器中运行的其他内容。如果您的电脑后来被确定为潜在身份泄露的来源,易趣可能会阻止您的流量,直到您保护您的电脑。

但无论它是被用来阻止欺诈还是只是更大的兄弟情谊,这整个本地端口扫描的事情让我很烦。ThreatMetrix并没有做到透明,而是试图隐藏他们代表客户eBay所做的事情。犯罪分子经常使用这种技术,通过使用所谓的"排版占用"域,使他们的网络钓鱼攻击更加可信。你可以声称ThreatMetrix需要有点偷偷摸摸,这样虐待就不会发生,或者罪犯就不会利用他们的战术。太迟了。

那么下一个问题,这是否合法?这不是ThreatMetrix第一次被抓到做这些扫描。早在2018年,他们就有一家哈利法克斯银行作为客户,并再次通过注册进行跟踪。这篇文章将对这种做法的合法性提出一个非常不确定的讨论。我认为LexisNexis可能有很深的法律依据,我怀疑是否有人会合法地停止这种做法。这可能是道德上的,也可能是法律上的。但是,我不是一名律师。