Se dite a Windows XP di bloccare l'accesso ai siti Microsoft, lui ignora i vostri comandi e si connette lo stesso, grazie a funzioni non documentate che favoriscono i prodotti di sicurezza Microsoft e penalizzano quelli della concorrenza.
In un recentemente post apparso su SecurityFocus, Dave Korn sostiene di aver scoperto che "Microsoft sabota deliberatamente" il tradizionale funzionamento del DNS (Domain Naming System).
Korn spiega infatti che molti degli indirizzi che puntano a propri domini, go.microsoft.com o www.windowsmedia.com, non possono essere filtrati mediante il file Hosts di Windows. Questo file, come i più esperti sanno, è una tabella locale che contiene le corrispondenze tra nomi di dominio (come www.punto-informatico.it) e indirizzi IP (come 62.85.163.47): il sistema operativo consulta sempre questo file prima di inoltrare la richiesta ad un server DNS.
Questo meccanismo permette all'utente o all'amministratore di sistema di assegnare ad un nome di dominio un indirizzo IP arbitrario, come l'indirizzo dell'host locale (127.0.0.1): ciò viene spesso fatto per ragioni di sicurezza, ad esempio per bloccare l'accesso verso siti che contengo spyware o altri tipi di malware. Ma questa caratteristica viene sfruttata anche da certi worm e cavalli di Troia per impedire l'accesso ai siti dei produttori di antivirus.
Ebbene, ciò che ha scoperto Korn è che, assegnando a certi indirizzi di Microsoft un indirizzo IP locale o nullo, questi risultano ancora accessibili. In pratica, Microsoft ha fatto in modo che applicazioni come il Windows Media Player possano continuare a collegarsi ad alcuni siti di sua proprietà anche se questi sono stati filtrati nel file Hosts.
Per esempio, le versioni recenti di Windows Media Player, racconta Dave Korn, si connettono automaticamente a mamma Microsoft per vedere se ci sono aggiornamenti (con le relative licenze più o meno restrittive), e non hanno un'opzione che permette di disattivare questo automatismo. Niente panico, potreste pensare: si modifica il file hosts, assegnando 127.0.0.1 a windowsmedia.com e www.windowsmedia.com, e nessun programma può più connettersi a questi siti senza permesso.
Korn descrive questo comportamento come "una gravissima violazione del meccanismo standard della risoluzione dei nomi di dominio", e fa inoltre notare come esso avvantaggi esclusivamente i prodotti e i servizi del big di Redmond. L'esperto ritiene infine che questa funzione non documentata possa essere utilizzata dai cracker per azioni ostili, come ad esempio il blocco trasparente di certi siti.
Se volete leggervi un'attenta analisi fatta dal buon Attivissimo la trovate qua.
Nessun commento:
Posta un commento