Comments 25
Тем, кто считает такое сканирование чересчур навязчивым и представляющим угрозу для конфиденциальности, можно использовать блокировщик рекламы uBlock Origin в Firefox
По сути, выходит цунцванг. Позволяешь сканировать, — неприятен сам факт анального досмотра.
Не позволяешь сканировать, — скорее всего получишь высокий риск скор, и потеряешь свое время на уродский поиск велосипедов на картинках. Так что, пока не появится решение для значимого % пользователей (включенная по-умолчанию защита от подобного в попсовых браузерах, или миллионные штрафы), то остается лишь терпеть, или принципиально пользоваться услугами конкурентов.
И да,
Например, сайт eBay загружает скрипт ThreatMetrix из src.ebay-us.com, DNS-записи CNAME для h-ebay.online-metrix.net.
был лучшего мнения о разрабах ebay. Могли бы и полноценный reverse proxy поднять с проверкой трафа, или потребовать разворачивания софта on-premise, или вообще положить у себя js, если он статичен (хотя не факт, — вполне может и отдаваться, например, с разной вшитой id для разных юзеров). Такими костылями мало того, что выдают себя, и, теоретически, позволяют блокировщикам перепроверить реальный домен, и блокировать по нему. Так еще и дают возможность хакерам, взломав сервера threatmetrix, атаковать всех пользователей eBay. Фу!
А какой итоговый смысл этого скана? Страница сообщит, что у меня на ПК обнаружены возможно вредоносные инструменты и не пустит? Сообщит и попросит нажать ОК, по которому я принимаю на себя риск? Ещё что-то? Или очередная бигдата ради бигдаты?
Сервисы вроде тредметрикса работают по довольно примитивному алгоритму. Если совсем на пальцах, то они проверяют ряд запрограммированных вручную гипотез, за каждую из них начисляя 0 или N баллов (где N должен соответствовать значимости). К примеру, есть открытый RDP, — получи 10 баллов, совпал фингерпринт с мошенником, который ранее был на сайте и сдлелал что-то нехорошее, — получи еще 30 баллов.
Потом эти баллы просуммируются, и есть определенные усложнения воронки продаж и пороги, при которых они срабатывают. Условно, набралось 50 баллов, — значит будет будет затребовано подтверждение оплаты по СМС (3D secure). Набралось 70, — еще и капчу потребуют ввести. 80, — скажут, что перед покупкой надо бы с оператором по телефону поговорить. Набралось 120, — просто напишут, мол, аккаунт заблокирован, и пиши на деревню дедушке
Потом эти баллы просуммируются, и есть определенные усложнения воронки продаж и пороги, при которых они срабатывают. Условно, набралось 50 баллов, — значит будет будет затребовано подтверждение оплаты по СМС (3D secure). Набралось 70, — еще и капчу потребуют ввести. 80, — скажут, что перед покупкой надо бы с оператором по телефону поговорить. Набралось 120, — просто напишут, мол, аккаунт заблокирован, и пиши на деревню дедушке
И какой информационный выигрыш от такой фичи как «наличие открытых портов»? Сколько денег компания сэкономит владея этой информацией? На сколько будут дороже её товары или услуги если запретить законодательно сканировать порты и больно штрафовать всех кто это не соблюдает?
Сколько денег компания сэкономит владея этой информацией?
Суть ведь предельно проста. Такие мелочи повышают себестоимость фрода. Если сканировать порты, то часть виртуалок, которыми пользуются кардеры, станут неюзабельными для вбивов на сайте, которые сканирует -> кардеры могут мигрировать к конкуренту.
На сколько будут дороже её товары или услуги
На 0. Вот реально. Что изменится, — это чуть усложнится флоу покупателя до целевого действия. К примеру, там, где сейчас у 20% запрашивают 3D secure при покупке, начнут запрашивать у 21.3%.
Сейчас все помешаны на оптимизации воронок, и целенаправленно оставляют дыры для кардеров, чтобы не заставить легитимного юзера ввести лишний код или нажать лишний клик (ведь, по мнению продакт менеджеров, при каждом действии часть легитимных пользователей отваливается). Разумеется, такая стратегия толпами привлекает жуликоватых школьников, которые узнали, что можно «зарабатывать в интернете». После чего это пытаются решить костылями вроде третметрикса, иовейшена, и прочих псевдомагических штуковин.
Интернет существует на один год. Если такого закона до сих пор не появилось — значит законодатели не считают его нужным.
Сбербанк на основании этих данных повышает риск-скор, блокирует доступ в кабинет и при звонке оператор выясняет «не используете ли вы на компьютере программы teamviewer/anydesk? если да, то зачем? вы знаете, что они потенциально небезопасные?»
Создание ботнета не рассматриваете?
Ботнета чего? Банка или ebay? Не так просто из браузера выбраться сейчас.
Представьте, что сканируют не ваш комп, а ваш роутер, формально принадлежащий провайдеру.
Представил. И что? Если роутер смотрит в интернет, его и так может пытаться сканировать кто угодно. Предлагаю развернуть мысль.
Мысль уже была развернута выше и заключается в том, что помимо заумных скорингов (которые использует полтора банка в мире), ваше устройство, смотрящее в интернет, тупо изучают на предмет вербовки в ботнет.
Уж не верите ли вы, что мощные ботнеты принадлежат каким-то неизвестным васям пупкиным?
Кому бы они не принадлежали, считать, что за ними могут стоять крупные финансовые организации, я точно не стану без веских тому доказательств. А устройство пусть изучают, кто ж им не даёт? Но вот сайты, с которыми у меня имеется финансовое взаимодействие, зачем-то сканирующие мой комп, меня несколько озадачивают. Благо веткой выше пояснили про скоринг без добавления в микс теорий заговора.
Рискну предположить ещё один сценарий использования. Он требует сканнирования других портов, но технология остаётся той же.
Известно, что многие пользователи держат у себя дома в локалке файлопомойку, скажем, работающую по ftp. Поскольку сервер типа в локалке, паролем они его иногда не защищают вообще. А из них некоторые кладут на этот сервер, скажем. пиратское кино, чтобы смотреть его на самрт-тв.
Вот и всё, скрипт может шариться по этому серверу, и в случае обнаружения пиратского видео стучать админам сайта, чтобы слали «письма счастья». Вероятность успеха в среднем мала, но за единичный успех в поимке пиратского контента иные адвокаты отсуживали по 200 тысяч долларов, так что только один успешный случай может с лихвой окупить все расходы.
Известно, что многие пользователи держат у себя дома в локалке файлопомойку, скажем, работающую по ftp. Поскольку сервер типа в локалке, паролем они его иногда не защищают вообще. А из них некоторые кладут на этот сервер, скажем. пиратское кино, чтобы смотреть его на самрт-тв.
Вот и всё, скрипт может шариться по этому серверу, и в случае обнаружения пиратского видео стучать админам сайта, чтобы слали «письма счастья». Вероятность успеха в среднем мала, но за единичный успех в поимке пиратского контента иные адвокаты отсуживали по 200 тысяч долларов, так что только один успешный случай может с лихвой окупить все расходы.
можно использовать блокировщик рекламы uBlock Origin в Firefox. Путей решения проблемы в других браузерах пока нет.
То есть, использовать блокировщик рекламы uBlock Origin в других браузерах — не путь?
Меня напрягает другая проблема: то, что источником соединения является браузер. А значит это соединение по loopback, подсети которого считаются доверенными и чаще всего незакрытыми фаерволом. Говоря проще, получается Firewall piercing.
И весь мир пока к этому не готов, имхо.
И весь мир пока к этому не готов, имхо.
Тем, кто считает такое сканирование чересчур навязчивым и представляющим угрозу для конфиденциальности, можно использовать блокировщик рекламы uBlock Origin в Firefox. Путей решения проблемы в других браузерах пока нетвот такой бред сильно подрывает доверие к остальному тексту статьи.
Такое было бы возможно при двух условиях:
- Сканируемые порты прослушиваются (не сканируются, а именно прослушиваются, сканирование с удалённой стороны как раз проверяет, прослушивается ли порт) самим браузером или его компонентами. Но порты могут прослушиваться (почти) любым ПО, не только браузером
- Плагин (например, uBlock Origin) скрывает прослушивание. Но он предназначен для другого, работает по-другому и, подозреваю, браузер даже не предоставляет соответствующих возможностей для этого (единственное, плагин может полностью предотвратить исполнение того кода (работающего внутри браузера), который иначе бы прослушивал порт)
В частности, если по первому пункту работает стороннее ПО, 2 пункт можно не читать, uBlock Origin уж точно ничего общего с Нео не имеет
BleepingComputer: ряд крупных компаний сканирует порты ПК пользователей. Но этого можно избежать, если взять обычный советский...
я постоянно вижу по логам, что на мой сайт постоянно шлют всякую чушь пытаясь залезть в потенциально слабые места. Я пробивал откуда лезут — приличные организации, например McGill College из Монреаля и т.п. Я порывался написать им, может у них в системе элементарно троян, но подумал что они пусть сами разбираются, мне то что, я же не секретарь туда сюда писать… И это уже годы как происходит.
А что на фаерволе роутера в логах — сплошной фейспалм… По скану портов я написал таки письма в те организации, откуда он шел больше года, и они выключили. Ну как выключили: где то откликнулись, где то молча выключили, а где то так и не выключили.
А что на фаерволе роутера в логах — сплошной фейспалм… По скану портов я написал таки письма в те организации, откуда он шел больше года, и они выключили. Ну как выключили: где то откликнулись, где то молча выключили, а где то так и не выключили.
Интересно что они будут делать после выхода Chrome 101 https://arstechnica.com/information-technology/2022/01/new-chrome-security-measure-aims-to-curtail-an-entire-class-of-web-attack/
Требовать разрешение сканировать а если пользователь не дал — это плохой пользователь?
Sign up to leave a comment.
BleepingComputer: ряд крупных компаний сканирует порты ПК пользователей. Но этого можно избежать