Roma – In un post recentemente apparso su SecurityFocus , Dave Korn sostiene di aver scoperto che “Microsoft sabota deliberatamente” il tradizionale funzionamento del DNS (Domain Naming System).
Korn spiega infatti che molti degli indirizzi che puntano a propri domini, go.microsoft.com o www.windowsmedia.com , non possono essere filtrati mediante il file Hosts di Windows. Questo file, come i più esperti sanno, è una tabella locale che contiene le corrispondenze tra nomi di dominio (come www.p-i.it) e indirizzi IP (come 62.85.163.47): il sistema operativo consulta sempre questo file prima di inoltrare la richiesta ad un server DNS. Ciò consente ad esempio all’utente o all’amministratore di sistema di assegnare ad un nome di dominio un indirizzo IP arbitrario, come l’indirizzo dell’host locale (127.0.0.1): ciò viene spesso fatto per ragioni di sicurezza, ad esempio per bloccare l’accesso verso siti che contengo spyware o altri tipi di malware. Ma questa caratteristica viene sfruttata anche da certi worm e cavalli di Troia per impedire l’accesso ai siti dei produttori di antivirus.
Ebbene, ciò che ha scoperto Korn è che, assegnando a certi indirizzi di Microsoft un indirizzo IP locale o nullo, questi risultano ancora accessibili. In pratica, Microsoft ha fatto in modo che applicazioni come il Windows Media Player possano continuare a collegarsi ad alcuni siti di sua proprietà anche se questi sono stati filtrati nel file Hosts.
Korn descrive questo comportamento come “una gravissima violazione del meccanismo standard della risoluzione dei nomi di dominio”, e fa inoltre notare come esso avvantaggi esclusivamente i prodotti e i servizi del big di Redmond. L’esperto ritiene infine che questa funzione non documentata possa essere utilizzata dai cracker per azioni ostili, come ad esempio il blocco trasparente di certi siti.
Della questione si è occupato anche Paolo Attivissimo, sul cui blog è possibile leggere un approfondimento e alcune analisi.
Ti potrebbe interessare
18 apr 2006