Un hacker può hackerare la porta 80?

We normally say port 80 is firewall friendly.

I firewall possono essere utilizzati per filtrare sia le connessioni in entrata che in uscita. Mentre nel caso d'uso più semplice i firewall vengono utilizzati solo per filtrare le connessioni in entrata, in ambienti più restrittivi limitano anche il traffico in uscita, ovvero che tipo di servizi esterni possono essere raggiunti all'interno di un'azienda.

La frase "firewall friendly" deve essere vista in quest'ultimo contesto. Ciò significa che mentre quasi tutto il traffico in uscita viene negato (in arrivo comunque, a meno che non si tratti di una risposta al traffico in uscita), di solito è consentito visitare siti Web esterni all'interno di un'azienda. Questo significa accesso alla porta esterna 80 (http) e 443 (https). Con semplici firewall per pacchetti di pacchetti, inoltre, solitamente non vengono applicate ulteriori restrizioni alla porta 80 e 443 e firewall ancora più complessi con controllo del contenuto (DPI o proxy) di solito applicano solo una blacklist che i siti / URL sono vietati ma consentono comunque il web in uscita accesso in generale.

Poiché questo tipo di restrizioni basate sulle porte è abbastanza comune nelle reti aziendali e anche con molti hotspot WiFi pubblici, la maggior parte delle comunicazioni su Internet ora tende a funzionare su HTTP / HTTPS o almeno a usare HTTP / HTTPS come riserva nel caso in cui notino restrizioni del traffico. Ad esempio, Skype di solito utilizza un'ampia gamma di porte UDP e TCP ma può tornare a un tunnel tramite HTTPS se queste porte sono bloccate.

But can hacker just hack into port 80 via TCP or UDP message?

Tenendo conto del fatto che il significato di questa frase significa che il traffico in entrata è negato (a meno che non sia una risposta al traffico in uscita) e il traffico in uscita è limitato alla navigazione web, allora dovrebbe essere chiaro che non è così semplice "... basta hackerare nel porto ..." dall'esterno. E dato che il significato si applica alla navigazione web si applica anche solo al TCP poiché UDP è in ambienti restrittivi bloccati sia in entrata che in uscita comunque.

Ma ciò che viene effettivamente fatto dagli attaccanti è utilizzare il traffico in uscita sulla porta 80 e 443 per la comunicazione C2 (comando e controllo) e data exfiltration una volta che sono riusciti a infiltrarsi in una rete (ad esempio con mail di phishing o download drive-by).

E ciò che viene fatto dagli autori degli attacchi è far sì che gli utenti all'interno della rete aziendale visitino un sito che fornisce malware. Ciò avviene ad esempio infettando i siti che l'utente visita comunemente ( attacco watering hole ) o utilizzando annunci pubblicitari mirati (malvertising ). In modo analogo, l'utente malintenzionato potrebbe fornire alla vittima le credenziali di accesso attirando la vittima (in genere utilizzando mail di phishing) verso siti che imitano i servizi comuni utilizzati dalla vittima (ad es. Paypal, posta Web, Netflix ...). Dato che l'accesso per lo più illimitato è consentito sulla porta 80/443 significa che il firewall non bloccherà questo tipo di attacchi.

Una porta in sé non può essere violato, piuttosto, si riduce a se il servizio in esecuzione su quella porta contiene delle vulnerabilità. Se si sta eseguendo un servizio Web sulla porta 80 che non contiene vulnerabilità note, le possibilità di essere violate sono basse a seconda della situazione. Se si sta eseguendo un servizio vulnerabile sulla porta 80, si rischia di essere spuntato da un utente malintenzionato o da una botnet.

La porta 80 non è aperta per impostazione predefinita sulla maggior parte dei sistemi operativi, sarà necessario avviare manualmente un servizio che utilizza tale porta. Inoltre, no, generalmente non è richiesto a un utente malintenzionato di fingersi un altro host per compromettere il tuo computer esternamente.