Normalmente decimos que el puerto 80 es compatible con firewall. Pero, ¿puede un pirata informático simplemente piratear el puerto 80 a través de TCP o UDP?
¿O el puerto 80 por defecto no siempre está abierto? ¿Espera a que el host inicie una conexión a través de una aplicación / servicio específico a una aplicación de host y luego el puerto se abre en ese momento? ¿Se requiere que un pirata informático falsifique esa aplicación de host específica para hackear nuestra computadora?
Normalmente decimos que el puerto 80 es compatible con firewall.
Los cortafuegos se pueden usar para filtrar las conexiones entrantes y salientes. Mientras que en el caso de uso más simple, los firewalls solo se usan para filtrar las conexiones entrantes, en entornos más restrictivos también restringen el tráfico saliente, es decir, a qué tipo de servicios externos se puede acceder desde dentro de una empresa.
La frase "cortafuegos amigable" debe verse en este último contexto. Esto significa que mientras que casi todo el tráfico saliente es denegado (de todos modos, entrante, a menos que sea una respuesta al tráfico saliente), generalmente se permite la visita de sitios web externos desde una empresa. Esto significa acceso al puerto externo 80 (http) y 443 (https). Con los cortafuegos de filtro de paquetes simples, por lo general, esto significa que no se aplican restricciones adicionales al puerto 80 y 443, e incluso los cortafuegos más complejos con inspección de contenido (es decir, DPI o proxies) por lo general solo aplican una lista negra de sitios / URL prohibidos, pero aún permiten la web acceso en general.
Debido a que este tipo de restricciones basadas en puertos son lo suficientemente comunes en las redes corporativas e incluso con muchos puntos de acceso WiFi públicos, la mayoría de las comunicaciones en Internet ahora tienden a funcionar a través de HTTP / HTTPS o al menos usan HTTP / HTTPS como alternativa en caso de que se den cuenta. restricciones de tráfico. Por ejemplo, Skype generalmente utiliza una amplia gama de puertos UDP y TCP, pero puede recurrir a un túnel a través de HTTPS si estos puertos están bloqueados.
¿Pero puede el pirata informático simplemente piratear el puerto 80 a través de un mensaje TCP o UDP?
Teniendo en cuenta que el significado de esta frase significa que el tráfico entrante es denegado (a menos que sea una respuesta al tráfico saliente) y que el tráfico saliente está restringido a la navegación web, debe quedar claro que no es tan sencillo "... simplemente piratear en puerto ..." desde el exterior. Y dado que el significado se aplica a la navegación web, también se aplica solo a TCP, ya que UDP está en entornos restrictivos bloqueados, tanto de entrada como de salida.
Pero lo que realmente hacen los atacantes es utilizar el tráfico saliente en los puertos 80 y 443 para la comunicación C2 (comando y control) y la exfiltración de datos una vez que hayan logrado infiltrarse en una red (por ejemplo, con correos electrónicos de phishing o drive by download)
Y lo que también hacen los atacantes es hacer que los usuarios dentro de la red de la empresa visiten un sitio que ofrece malware. Esto se hace, por ejemplo, al infectar los sitios que el usuario visita habitualmente ( ataque del pozo de agua ) o mediante anuncios dirigidos ( malvertising ). De manera similar, el atacante podría hacer que la víctima proporcione credenciales de inicio de sesión atrayendo a la víctima (normalmente utilizando correos electrónicos de suplantación de identidad) a sitios que imitan los servicios comunes que usa la víctima (es decir, Paypal, correo web, Netflix ...). Dado que la mayoría de los accesos sin restricciones están permitidos en el puerto 80/443, significa que el firewall no bloqueará este tipo de ataques.
Un puerto en sí no puede ser pirateado, sino que se reduce a si el servicio que se ejecuta en ese puerto contiene alguna vulnerabilidad. Si está ejecutando un servicio web en el puerto 80 que no contiene vulnerabilidades conocidas, sus posibilidades de ser hackeado son bajas dependiendo de su situación. Si está ejecutando un servicio vulnerable en el puerto 80, corre el riesgo de que un atacante o una red de bots lo haga explotar.
El puerto 80 no está abierto de forma predeterminada en la mayoría de los sistemas operativos, deberá iniciar manualmente un servicio que utilice ese puerto. Además, no, generalmente no se requiere que un atacante se haga pasar por otro host para comprometer su computadora externamente.