I nomi a dominio possono essere malevoli? Si, alcuni esempi un po’ banali li abbiamo nel caso del phishing. Capita di vedere aprire nel browser, di utenti non espertissimi, indirizzi “furbi” come, per esempio, ebay.com-access.authentication…. ecce. Si spaccia per ebay.com un dominio qualunque, sfruttando sotto-domini lunghi e creati ad hoc per confondere l’utente.
Un ricercatore australiano ha riportato alla luce un possibile exploit, datato e curioso, in grado di permettere a chi registri un dominio particolare di veicolare un attacco verso gli utenti di siti completamente estranei. Il trucco è ingegnosissimo, e c’è da sperare che venga tappato in fretta.
Alla base di questo “trucco” c’è il Web Proxy Autodiscovery Protocol (wpad), ovvero un metodo utilizzato dai browser web (in particolare IE) per trovare un file per autoconfigurare il server proxy da cui scaricare dati. Ecco come funziona: supponiamo di visitare il sito blogs.windows.com (che non esiste).
Il nostro browser cercherà il file di configurazione proxy (wpad.dat) dapprima in wpad.blogs.windows.com/wpad.dat. Poi, se non lo trova, lo cercherà in wpad.windows.com/wpad.dat. E se non lo trova ancora?
Si, avete capito: cercherà in wpad.com/wpad.dat. In altre parole, se quel file non è presente (e non lo è nella maggior parte dei casi) in un sottodominio di terzo livello o superiore, lo cercherà in wpad.ext, che può essere registrato da un malintenzionato.
I domini più delicati (wpad.com / net / org…) sono in mano a persone conscie del problema e non intenzionate a sfruttarlo. Il problema potrebbe presentarsi visitando un dominio straniero in cui invece non si possa dire lo stesso. Non ho trovato comunque casi di wpad.xx noti per essere dannosi.
Lunedì 3 dicembre Microsoft ha affrontato il problema, quasi decennale, in questo bollettino di sicurezza.
Questo esempio di pessima progettazione di una tecnologia (che in realtà non è diventata standard e potrebbe anche essere abbandonata) ci riporta indietro nel tempo, esattamente negli anni 2000 quando fu progettata. Speriamo che di questi orpelli vestigiali si possa presto perdere traccia… Internet non sarà nata intrinsecamente sicura, ma non deve diventare un colabrodo!