Esta extensión te advertirá si un sitio web escanea tus puertos
Una nueva extensión de navegador llamada Behave! te avisará si un sitio web está utilizando scripts para realizar escaneos o ataques a direcciones IP. Pueden ser IP locales y privadas en tu red.
Al navegar por la web, los scripts incrustados en las páginas web pueden usarse para muchas situaciones maliciosas. Por ejemplo, para escanear puertos en la computadora de un visitante en busca de puertos TCP abiertos. También para iniciar ataques en otros dispositivos en tu red.
En mayo descubrimos que sitios conocidos como eBay, Citibank, TD Bank y otros escanean la computadora de un visitante. Esto para identificar los programas de acceso remoto de Windows que se ejecutan en ella.
Este escaneo de puertos era realizado por el script de protección contra fraudes ThreatMetrix de LexisNexis. El script es utilizado para detectar computadoras potencialmente hackeadas que intentan usar el sitio.
Si bien se hace por buenas razones, los usuarios a los que se les escanean los puertos lo encuentran intrusivos. Además, es una violación de la privacidad.
Peor aún, los actores maliciosos también usarán JavaScript incrustado en sitios web para realizar ataques de revinculación de DNS.
Los ataques de revinculación de DNS son donde la resolución de DNS se manipula a través de TTL cortos para usar la computadora de las víctimas. Esto para evitar la Same Origin Policy (SOP) y lanzar ataques contra otros dispositivos en una red interna.
Estos ataques se usan comúnmente contra enrutadores, dispositivos IoT e incluso otras computadoras internas que se sabe que ejecutan software vulnerable.
Entra en acción la extensión de navegador Behave!
Creada por Stefano Di Paola, cofundador, CTO y científico jefe de MindedSecurity la extensión de navegador Behave! nació como un experimento. El propósito es advertir a los usuarios de sitios web. Advierte de sitios que abusan de las funciones del navegador para realizar ataques locales o escaneos en la computadora de un visitante.
“Behave! Nació como un experimento conceptual sobre el comportamiento de las páginas web que podrían abusar de algunas de esas características. Si el interés en Behave! sigue aumentando, es de esperar que sea un proyecto duradero para ayudar a crear conciencia”.
“Por ejemplo, el escaneo local de puertos, los ataques de protocolo cruzado, la revinculación de DNS son ataques muy antiguos que todavía son posibles. Además, son ataques difíciles de “reparar” por completo por los proveedores de navegadores. Esto porque abusan de las características centrales del ecosistema web”. Esto según las afirmaciones de Di Paola.
Cuando esté instalada, Behave! supervisará las secuencias de comandos que intenten acceder a las direcciones IP que pertenecen a los siguientes bloques:
- Direcciones de LoopbackIPv4 127.0.0.1/8
- Direcciones de Loopback IPv6 :: 1/128
- Redes privadas IPv4 10.0.0.0/8 – 172.16.0.0/12 – 192.168.0.0/16
- Direcciones locales únicas IPv6 fc00::/7
Si se detecta, el icono de la extensión mostrará un indicador rojo y, cuando se haga clic en él, mostrará la actividad realizada por el sitio.
Cabe señalar que un error en la extensión puede causar falsos positivos en las alertas de revinculación de DNS. Di Paola ha solucionado el error y espera la aprobación de Google en la nueva versión.
Disponibilidad de la extensión
La extensión Behave! está disponible para Chrome y Firefox , y Di Paola ha afirmado que espera lanzarla para Edge y Safari.
Algunas características que Di Paola espera agregar en el futuro incluyen “listas blancas de páginas web/nombres de host que se espera que realicen conexiones locales”. También desea agregar la capacidad de “rastrear código realizando las acciones sospechosas”.
Para aquellos interesados en ser advertidos sobre el comportamiento potencialmente abusivo de los sitios web que visitas, Behave! es una extensión interesante para instalar.
