eBay lancia un port scanning alla prima visita?

In queste ore sta facendo rumore la pubblicazione di un “report” secondo il quale eBay avvierebbe la scansione delle porte aperte lato client alla ricerca dei più famosi software per l’amministrazione remota dei sistemi Windows.
Quando viene installato ed eseguito un software per il controllo remoto, questo apre una o più porte in ingresso sulla macchina in uso in modo da gestire le richieste di connessione. Alcuni programmi rendono le connessioni a distanza ancora più semplici perché non è più necessario aprire porte sul firewall: ispirandosi al concetto di reverse connection fanno in modo che siano i client a collegarsi con i server cloud che fanno da intermediari.
In questo caso, nessuna porta viene esposta sulla porta WAN e sull’IP pubblico ma le connessioni da remoto sono comunque possibili.

eBay (anche nella versione italiana del sito) utilizza del codice JavaScript (questo) per verificare quali delle porte associabili alla presenza di programmi per la gestione remota sono aperte su ciascun sistema client. Il controllo viene effettuato direttamente in locale sull’IP 127.0.0.1, proprio attraverso lo script caricato dal browser, in maniera da superare firewall e NAT.

Per accorgersene è molto semplice. Basta aprire una nuova scheda, ad esempio, in Google Chrome con CTRL+T premere il pulsante F12 per accedere agli strumenti per gli sviluppatori, accedere alla scheda Network quindi visitare eBay.

Al termine del caricamento della pagina, verificando le prime richieste, si troveranno una serie di riferimenti a varie porte usate dai programmi per il controllo remoto.

Il JavaScript di eBay, in particolare, controlla se fossero aperte le seguenti porte: 5900, 5901, 5902, 5903 (VNC), 3389 (Microsoft Desktop Remoto), 5950 (Aeroadmin), 5931 (Ammyy Admin), 5939, 6039, 5944, 6040 (TeamViewer), 5279 (Anyplace Control), 7070 (AnyDesk) e 63333.

Quella posta in essere da eBay non è propriamente un’attività di port scanning (vedere Port scanning: un’arma a doppio taglio. Difendetevi) anche se l’effetto è sostanzialmente sovrapponibile. Sull’IP di loopback vengono infatti avviate vero e proprie richieste di connessione usando un WebSocket: se il codice JavaScript riceve una risposta significa che il software per il controllo remoto è in esecuzione.

Perché eBay ha deciso di utilizzare questo meccanismo? Difficile dirlo senza una presa di posizione ufficiale che ancora non è arrivata.
È comunque possibile ipotizzare che eBay intenda tenere traccia di quei dispositivi sui quali fossero stati installati, da parte di malintenzionati, strumenti per il controllo remoto al fine ad esempio di effettuare acquisti usando sistemi altrui.