Commentare: 21:37 domenica, settembre 07 2008
Dopo tutto il tam tam che si e' scatenato in rete sul blocco di thepiratebay.org (e chissà quanti altri siti) oggi, gironzolando con tranquillità sulle pagine del mio vecchio-ma-nuovo router adsl, incappo nei dns che telecom mi “invia”... Volevo verificare se era ancora disponibile quel blocco di TPB che punta verso il server della federazione dei discografici ma... A LOT OF FUN!
Faccio un po' di verifiche con i DNS che ho a disposizione e mi compare questo carinissimo risultato (nell'ordine i 2 dns di alice e quello di infostrada):
Macintosh:~ remix_tj$ dig @85.37.17.43 thepiratebay.org
; <<>> DiG 9.4.2-P1 <<>> @85.37.17.43 thepiratebay.org
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 51174
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;thepiratebay.org. IN A
;; ANSWER SECTION:
thepiratebay.org. 28800 IN A 127.0.0.1
;; Query time: 85 msec
;; SERVER: 85.37.17.43#53(85.37.17.43)
;; WHEN: Sun Sep 7 21:40:14 2008
;; MSG SIZE rcvd: 50
Macintosh:~ remix_tj$ dig @85.38.28.96 thepiratebay.org
; <<>> DiG 9.4.2-P1 <<>> @85.38.28.96 thepiratebay.org
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 983
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;thepiratebay.org. IN A
;; ANSWER SECTION:
thepiratebay.org. 28800 IN A 127.0.0.1
;; Query time: 47 msec
;; SERVER: 85.38.28.96#53(85.38.28.96)
;; WHEN: Sun Sep 7 21:40:17 2008
;; MSG SIZE rcvd: 50
Macintosh:~ remix_tj$ dig @dns.wind.it thepiratebay.org
; <<>> DiG 9.4.2-P1 <<>> @dns.wind.it thepiratebay.org
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26148
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1
;; QUESTION SECTION:
;thepiratebay.org. IN A
;; ANSWER SECTION:
thepiratebay.org. 86400 IN A 127.0.0.1
;; AUTHORITY SECTION:
thepiratebay.org. 86400 IN NS dns.wind.it.
;; ADDITIONAL SECTION:
dns.wind.it. 86400 IN A 212.245.255.2
;; Query time: 90 msec
;; SERVER: 212.245.255.2#53(212.245.255.2)
;; WHEN: Sun Sep 7 21:40:19 2008
;; MSG SIZE rcvd: 91
Macintosh:~ remix_tj$
EHI! TPB NON E' SUL MIO COMPUTER LOCALE!
Pero' boh, puo' essere un mio problema locale (non ricordo mai se ho forzato i dns...)
mah.
Allora chiedo ad un po' di amici se e' cosi' e mi arriva questa risposta:
ciao, l'avevo notato anche io qualche giorno fa, il comportamento dei
DNS di infostrada è lo stesso
user@host:~$ dig @193.70.152.15 thepiratebay.org labaia.org
thepiratebay.org. 86400 IN A 127.0.0.1
labaia.org. 86400 IN A 127.0.0.1
Al che mi torna in mente una cosa che il mio caro amico ascii di www.ush.it mi aveva mostrato tanto tempo fa e che lui aveva etichettato in una sua slide con il nome:
"Web disservices: lazy admincripples same origin policy"
Spiego semplicemente come funziona questa configurazione (che puo' rivelarsi a posteriori un problema).
In genere una persona comune, quindi circa il 90% dell'utenza italiana, non ha un servizio in locale che ascolta sulla porta 80. Avviene quindi che una persona che tenta di collegarsi ai siti che risolvono con 127.0.0.1 si trova davanti una bella pagina di connessione rifiutata. Come e' giusto che sia, non c'e' niente su 127.0.0.1 porta 80.
Il restante 10% dell'utenza vedra' il proprio sitarello web locale... Ma tanto di solito il 10% in oggetto e' utenza sgamata e usa altri dns :-D
L'idea e' molto buona in se' e anche vecchiotta. Il cambio di risoluzione del dns e' una tecnica che si usa in molti posti per bloccare i siti, per esempio la uso anche io facendo si che certi siti risolvano con l'ip del server con la pagina di cortesia.
Ma si porta dietro un bel problema. Bello grosso.
Immaginiamo di avere un sito considerato "attendibile", che usiamo spesso e di cui ci fidiamo (e che magari, se usiamo su internet explorer, compare nella lista "siti attendibili" ) , che viene per qualche motivo bloccato dal nostro dns con la tecnica citata in precedenza. Ci troviamo quindi nella situazione che sitomoltoattentibile.it risolve 127.0.0.1.
Succede per qualche motivo che un software malevolo si installi sul nostro computer e si metta in ascolto sulla porta 80. Non fa niente di male, finche' se ne sta solo li' in ascolto. Infatti quando noi andremmo a collegarci al sito www.sitoattendibile.it ci troviamo che invece di fare richieste al server legittimo, effettuiamo una richiesta al software malevolo (che non aspettava altro).
Quello che puo' il software malevolo? Bah, iniettarvi altro software malevolo, farvi incartare il browser o piu' semplicemente.... RUBARE I VOSTRI DATI PERSONALI DEL BROWSER!
Oppure ancora meglio se esiste un software locale che rende disponibile un servizio http su qualche porta (quindi niente software malevolo) e per qualche motivo le pagine che ci rende disponibii hanno la possibilita' di essere alterate al fine di compiere un XSS che in qualche modo vi spara da qualche parte o effettua qualche operazione che puo farvi fare chissa' quale schifezza...
AHH! PANIC! MY PRIVACY!
Volete una soluzione?
Davvero?
No, OpenDNS non e' la soluzione.
bind9 is the way.
Credits: per lo spunto iniziale e per la versione con XSS del problema ascii e giogio di www.ush.it
