Ecco come ti frego (con Windows)

(C) Salvatore Aranzulla
Qualche giorno fa stavo scrivendo un articolo per questa newsletter su come bloccare la pubblicità dei siti che si visitano, redirendo i siti dei banner al nostro indirizzo locale (127.0.0.1), utilizzando il file "hosts" di Windows.

Il file hosts è un file di testo, presente in tutte le versioni di Windows, con una lista di indirizzi IP e i loro rispettivi nomi di dominio.

Quando noi digitiamo il nome di un dominio nel nostro browser, il protocollo IP contatta il server DNS per conoscere l'indirizzo IP del sito. Prima di fare questo cerca il relativo nome di dominio nel file hosts e, se presente, si collega direttamente all'indirizzo IP indicato.

Tutto questo risulta ottimo se, ad esempio, si gestisce una rete locale: si danno dei nomi virtuali ai vari computer e così non bisogna imparare a memoria i loro IP.

Ora, però, scusate: se noi modifichiamo il file "hosts" dicendogli che se noi digitiamo "http://www.paypal.it" deve portarci la connessione ad un altro nostro server, questo viene fatto? Ebbene sì.

Per chi non lo sapesse, PayPal è un servizio che ci permette di inviare e ricevere pagamenti on-line. Un sito dove si usano innumerevoli dati sensibili, fra i quali numeri di carte di credito. Un vero disastro se questi dati finissero nelle mani di uno sventurato.

Vi faccio riflettere: se rediciamo la connessione dal sito di PayPal.it ad un nostro server, con la stessa grafica e nella quale si chiede username e password, anche un utente medio-esperto, li inserirà. Sicuramente farà la prova del nove aprendo lo stesso sito con più browser, ma verrà sempre portato nel nostro server e nella nostra finta pagina.

Quanto detto è una semplice deduzione logica e può sembrare a prima vista una stupidità (chi modifica il file hosts per farsi dei danni?), ma non lo è. Ho creato, infatti, un programmino in Microsoft Visual Basic 6 (VB) che modifica (invisibilmente) il file hosts. Ho creato, infatti, un programmino in Microsoft Visual Basic 6 (VB) che modifica (invisibilmente) il file hosts. Ecco cosa si apre, dopo che è stato modificato il file hosts, digitando "http://www.paypal.it":

http://www.salvatore-aran ... agini/paypalrediretto.jpg (Mozilla)
http://www.salvatore-aran ... ini/paypalredirettoie.jpg (Internet Explorer)

Il codice (disponibile presso http://www.salvatore-aran ... na.php?pagina=windows_bug) è "compatibile" con tutte le versioni di Windows. Riconosce infatti la versione di Windows installata sul PC e va alla ricerca del file hosts da modificare.

Da notare è che il Microsoft AntiSpyware mi aveva dato dei problemi nella modifica nel file "hosts", visualizzando un avviso di questo tipo:
http://www.salvatore-aran ... i/msantispywareblocca.jpg

Sono riuscito comunque ad aggirare anche questo ostacolo ed il programma funziona invisibilmente (!).

Sono sicuro che non molti avevano pensato a sfruttare il file hosts in questo modo, ma mi è sembrato opportuno rendervi partecipi di questo mio piccolo esperimento.

Non posso quindi far altro che pensare che i prossimi worm potrebbero sfruttare questo difetto per rubarvi dati sensibili, senza che voi ve ne accorgiate. Per il momento non resta altro che meditare.

Ho raccolto questo articolo presso la pagina:
http://www.salvatore-aran ... na.php?pagina=windows_bug

Ciao da Salvo!
http://www.salvatore-aranzulla.com