Noticias de seguridad

¿Qué es el escaneo de puertos y por qué eBay lo hace en mi computadora?

David Strom, 29 mayo 2020

Comprender qué es el escaneo de puertos y cómo la técnica ha sido utilizada por un contratista de eBay

Cada semana trae más noticias de seguridad y esta semana se trata de una pieza interesante de Javascript que puede ejecutarse en tu navegador si usas eBay bajo un conjunto particular de circunstancias. El código puede escanear tu computadora y enviar información a un proveedor de seguridad, que podría usarse para rastrear tus movimientos a través de Internet. Vamos a sumergirnos en la controversia y explicar lo que está sucediendo aquí.

En primer lugar, necesito hablar sobre las tecnologías de escaneo de puertos para establecer el contexto. Un excelente lugar para comenzar a aprender sobre este tema es esta publicación de blog del sitio de Respuestas de Avast (sitio en inglés). Brevemente, cada aplicación de Internet utiliza un número de puerto de red particular para hacer sus negocios. Los llamados puertos "conocidos" incluyen 80 para tráfico web, 22 para shell seguro y 143 para comunicaciones de correo electrónico basadas en IMAP. Una lista completa se puede encontrar aquí (sitio en inglés). Si usas un analizador de tráfico (también llamado sniffer ), puedes ver estas comunicaciones y tener una idea de qué aplicaciones se ejecutan en tu red.

Hay dos formas de hacer estos escaneos. El primero y, con mucho, el método más popular es cuando alguien inicia un escaneo de forma remota en un rango completo de direcciones IP o dominio. Hay muchas herramientas que pueden hacer esto, una que me ha gustado durante décadas es la de Steve Gibson llamada Shield's Up (sitio en inglés). Vale la pena usarlo, porque es simple, gratuito y tomará solo un momento para mirar tu enrutador de red y ver qué puertos abiertos tienes. La gran limitación es que solo escanea los primeros 1000 puertos numerados: eso estuvo bien hace años cuando Internet era solo un destello en los ojos de Al Gore, pero ahora la vida se ha vuelto más compleja. También sugiero usar el escáner de dispositivos de red de SolarWinds (sitio en inglés), que escaneará más puertos; hay más de 65,000 de ellos como parte de los protocolos de Internet.

El segundo método es cuando un software local escanea solo su propia PC . Por lo general, esto se inicia mediante un script basado en navegador, que es la situación en las noticias sobre eBay. Varios investigadores publicaron sus investigaciones esta semana, incluidos Charles Belmer y Dan Nemec (sitios en inglés). Ambos rastrearon utilizando herramientas de depuración del navegador cómo se realizan los escaneos, mediante el uso de un programa Javascript llamado check.js, y bajo qué circunstancias específicas.

Nemec descubrió, por ejemplo, que solo las PC con Windows iniciarían los escaneos y solo cuando un usuario estaba navegando desde una página específica de inicio de sesión de eBay. De los miles de puertos nombrados, solo un par de docenas son de interés para los scripts de escaneo de eBay. Algunos de ellos son:

  • 3389 (escritorio remoto de Microsoft)
  • 5900-5903 (escritorio remoto VNC)
  • 6333 (escritorio remoto VNC)

Puedes encontrar una lista más compleja de los otros puertos de esta tabla en Bleeping Computer (sitio en inglés). Nemec también descubrió que el código de secuencias de comandos cambiaba sus nombres de variables cada vez que se volvía a ejecutar. Parece que este script tiene algo que ocultar.

¿Qué se recoge del escaneo? Nemec encontró el agente de usuario de la PC o la versión particular del navegador (sitio en inglés) y la dirección IP pública junto con otros datos que no eran obvios de inmediato. Los datos parecían recopilarse sin ningún propósito específico.

¿Ves un patrón aquí? Los escaneos buscan ver si alguien está ejecutando un servicio de control remoto, quizás sin darse cuenta. Esto podría ser una señal reveladora de que la PC de alguien ha sido comprometida por un atacante, que está tratando de copiar las credenciales de inicio de sesión del usuario. De hecho, eso es lo que concluyó The Register (sitio en inglés): los autores dicen que "la razón de la secuencia de comandos de escaneo de puertos es la prevención del fraude, aparentemente marcando máquinas que pueden estar bajo control remoto por delincuentes".

Llegaron a esta conclusión porque los datos recopilados de estos escaneos no van a un dominio propiedad de eBay, sino uno que se parece a uno: ebay-us.com . ¿De quién es este dominio? No es eBay sino ThreatMetrix, una empresa antifraude que fue adquirida por LexisNexis en 2018.

Ahora, esto activa todo tipo de alarmas para mí. ¿Por qué ThreatMetrix usaría este dominio a propósito? Digamos que The Register es correcto, y esto se está haciendo por razones antifraude. Este es solo otro ejemplo de un tipo diferente de huellas digitales del navegador, como lo menciona Chandler Givens en su publicación aquí (sitio en inglés). Esto se debe a que el escaneo y el script pueden identificar tu PC a través de estos puertos abiertos y qué más se está ejecutando en tu navegador. Si tu PC se identifica posteriormente como la fuente de un posible compromiso de identidad, eBay podría bloquear tu tráfico hasta que asegure tu PC.

Pero si se está utilizando para detener el fraude o simplemente para ser más Big Brotherish, todo este análisis de puertos locales me molesta. En lugar de ser transparente al respecto, ThreatMetrix está tratando de ocultar lo que están haciendo en nombre de su cliente, eBay. Los delincuentes a menudo usan esta técnica para hacer que sus ataques de phishing sean más creíbles, mediante el uso de lo que se denomina dominios de "ocupación de errores tipográficos" . Podría afirmar que ThreatMetrix debe ser un poco astuto para que no se produzcan abusos o que los delincuentes no aprovechen sus tácticas. Demasiado tarde para eso.

Entonces, la siguiente pregunta, ¿es legítimo o no? Esta no es la primera vez que ThreatMetrix fue sorprendido haciendo estos análisis. En 2018, tenían un banco Halifax como cliente y fueron rastreados, nuevamente por The Register (sitio en inglés). Esa publicación traerá una discusión muy poco concluyente sobre la legalidad de esta práctica. Mi opinión es que LexisNexis probablemente tenga un banco legal profundo y dudo que alguien vaya a detener legalmente esta práctica. Probablemente sea límite ético y probablemente legal. Pero entonces, no soy abogado.

Estoy seguro de que esta investigación generará todo tipo de nuevas investigaciones sobre la práctica, lo que probablemente sea algo bueno. Los consumidores deben saber cuándo su software los rastrea, tal como dice nuestra publicación en las huellas digitales del navegador. ¿Pero deberías preocuparte?

Primero, si estás utilizando Avast's Anti-Track u otra herramienta anti-seguimiento o bloqueador de contenido del navegador, entonces debes bloquear el script check.js explícitamente, el utilizado por ThreatMetrix . A continuación, si te preocupan los posibles problemas de seguridad de IoT, ejecutar un escaneo de puertos de red local (utilizando SolarWinds o algo equivalente) es una excelente manera de ver qué más está activo en tu propia red, y podría usarse para identificar posibles problemas de seguridad.