» »

Microsoft mimo hosts

Microsoft mimo hosts

Slashdot - Kot poroča Slashdot, je Dave Korn odkril, da Microsoft obide nekatere nastavitve v datoteki hosts. Datoteka hosts se nahaja v poddirektoriju system32/drivers/etc in omogoča preglasiti poizvedbe prek strežnikov DNS za vpisane domene, zato se največkrat uporablja za blokiranje domen z reklamami, ki se jim naslov enostavno nastavi na lokalni 127.0.0.1.

Dave Korn je poizkusil enako blokirati domeno go.microsoft.com, prek katere se posodablja Windows Media Player, a mu ni uspelo. Natančen pregled je razkril, da Microsoft načrtno ne pusti preusmeriti nekaterih svojih domen, kar niti ni tako neumno, saj bi podobne spletne strani najraje blokirali virusi in črvi, ki bi tako preprečili samodejno namestitev popravkov. Nekoliko manj jasno je, zakaj je na ta neprebojni seznam uvrščen tudi msn.com; še slabše je, da vse skupaj ni nikjer javno dokumentirano. Preizkusi kažejo, da je Microsoft s to prakso začel v Windows XP in nadaljeval z Windows 2003 (tako tudi Korn), saj mi na Windows 2000 simptomov nikakor ni uspelo ponoviti.

20 komentarjev

OmegaBlue ::

To nekako sploh ni slabo, nek virus (ne me prašat ker), ki sem ga pred kratkim odstranjeval z mašine ene stranke je v hosts file našibal strani AV in antispyware podjetji tako kot tudi microsoftove strani.

Bi jih bilo lepo malo povprašati katere strani so na seznamu. Čeprav bi se jih mogoče dalo prebrati z malo reverse inžiniringa.
Never attribute to malice that which can be adequately explained by stupidity.

ender ::

Tole je navedeno na povezanem e-mailu:
www.msdn.com
msdn.com
www.msn.com
msn.com
go.microsoft.com
msdn.microsoft.com
office.microsoft.com
microsoftupdate.microsoft.com
wustats.microsoft.com
support.microsoft.com
www.microsoft.com
microsoft.com
update.microsoft.com
download.microsoft.com
microsoftupdate.com
windowsupdate.com
windowsupdate.microsoft.com
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

Matevžk ::

Kljub temu, da me zagovorniki MS poznate kot vašega nasprotnika, sem v tem primeru (POZITIVNO!) šokiran nad MSjevo potezo. Lahko bi sicer zadevo kje dokumentirali, a konec koncev v praksi "preusmeritve" teh domen prav zares ne rabiš. Pa ne bi jim bilo treba msn.com preusmerjat, ker kolikor razumem tam ni nobenih kritičnih posodobitev ali podobnega.
Resen črv na sistemu, kjer je uporabnik kar lokalni administrator (vem, ja), bi sicer verjetno worm namestil svoj DNS in ponastavil DNS nastavitve, kajne? (Samo informativno me zanima.)
lp, Matevžk

Kami ::

V bistvu ma Omega prav.

Dosti virusov da v host file strani od raznih proizvajalcev antivirusa in potem nemorejo uporabniki do njih dostopat, blo bi kul da bi še npr symantec.com naredli da nebi mogo obit.

OmegaBlue ::

Postavitev svojih DNS strežnikov ali samo sprememba nastavitev bi seveda bila možna, a v praksi redko videna oz. nikoli.
Never attribute to malice that which can be adequately explained by stupidity.

Matri[X] ::

Se vedno lahko zlobnakoda nalozi dnsspoof ter winpcap in si mrtev :)

Looooooka ::

se ne bi cudu ce majo v ta namen lepo svoje ip-je not napisane kot prvo moznost.
kar se tice nevarnosti da bi nekomu ratal prepricat windowse da so microsoftov streznik sm pa nekak 403242430% preprican da majo vsi ti "servisi" zascito s certifikati...tko da ni panike.
in lepo da ni noben napisu da je to spyware pa kaj se tle microsoft gre in bla bla...ker ma cist pravico to delat in ce ne bi bi blo tega not se ne bi cudu ce bi ob naslednji napaki ki bi jo blo mogoce zlorabt s kksnim novim wormom...kksn LINUX(yes i said it) dork su lepo dosat nameserverje ...recimo v sloveniji in potem besno napadal vse uporabnike ker nam pac dns tko al tko ne bi delu tist teden in bi s tem windowsupdate tud bil nedosegliv.

osebno mi grejo pa teli osebki ki pisejo te nepotrebne clanka in "ugotovitve" fajn na jetra...so kr lepo en navadn "attention whore".
in pol paranoiki ki berejo te "ugotovitve" in majo iq mrtve ovce zacnejo paniko zganjat in po netu sirit teorije zarote.

BigWhale ::

To je, security thru obscurity.

RejZoR ::

Sploh ne vem zakaj bi bilo to kakorkoli sporno? Je pa ja fino da je zadeva hardcodana, saj je stalna praksa da črvi svinjajo po HOSTS filetu.

EDIT:
Aja, podpisane update uporabljajo vsi vsaj malo resni programi.
Recimo pri antivirusih so podpisane definicije stalna praksa.
Angry Sheep Blog @ www.rejzor.com

Zgodovina sprememb…

  • spremenil: RejZoR ()

Avalonis ::

Pametna poteza bi bila, da bi MS omogočil enako finto tudi za strani Anti-virusnih/Anti-spyware programov. Verjetno jim ni težko določiti katere web strani so legitimni ponudniki teh storitev in jim tako omogočil zaščito pred virusi, ki onemogočajo updejtanje njihovega softwareja zaradi okuženega hosts filea.

RejZoR ::

Jup, to bi bilo lepo ja. Mogoče se bom celo mal pozanimal na Malware Research okoli tega. Čeprav zna bit to mal težavno zaradi bližujočega releasa MS OneCare paketa...
Angry Sheep Blog @ www.rejzor.com

Microsoft ::

Matri[X], kaj pa ce namesto tega, da ima IP hardcodan, enostavno ignorira hosts fajl, vse ostalo pa gre normalno?

Ekola, preverjeno. Ce si postavis lastni DNS in imas tam vpisan recimo go.microsoft.com na nek IP, ti to tudi uposteva. Se prav, IP ni hardkodan, le hosts datoteko preskoci, rezultat DNS serverja, ceprav lastega, pa uposteva.


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

Zgodovina sprememb…

r5r ::

Pri meni pa se dogaja, da Windows bolj upošteva hosts datoteko kot pa Debian. Hja, še iščem razloge. :\
And it makes me wonder.

Matri[X] ::

Microsoft: moj post je letel na Looooookin predlog, ko je napisal, da bi imel hardcodane IPje. To da ignoriras dolocene vnose v hosts datoteki (tako kot je zdaj) je popolnoma vredu.

fiction ::

Kot je ze rekel BigWhale: security through obscurity.
Ker stvar pomaga pri neumnih variantah crvov, to se
ne pomeni, da gre za ultimativno resitev in sigurno se
bo kmalu nasla tudi kaksna zlobna verzija, ki bo namesto prepisovanja
hosts datoteke pocela se kaj drugega (trenutno tega pac ni bilo,
ker ta Microsoftov "hack" ni bil znan in so torej avtorji crvov
mislili da vse dela).
Za zagotavljanje pristnosti Windows Update, bi se nujno
moral uporabiti X509 certifikat ali kaj podobnega, ne pa to.

Hosts datoteka ima ponavadi vedno prednost pred DNS-jem.
http://support.microsoft.com/default.as...
Torej je Microsoft tu v protislovju s samim seboj?

V Windowsih XP se da prioritete resolvanja spremeniti preko
registrya
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ServiceProvider
Me zanima kako se vse skupaj obnasa ob spremenjenih prioritetah...

Kako sistem poskusa pretvoriti hostname v IP, bi moralo biti za uporabnika
jasno in transparentno, ne pa da se stvar v dolocenih okoliscinah
obnasa tako, drugic pa drugace. Vse skupaj seveda vedno samo
v dobro uporabnika.

Malo karikiram ampak kaj pa ce se bo Microsoft enkrat odlocil, da
bo raje kot privzete DNS streznike vcasih uporabil svoje (pri dolocenih
domenah) in www.google.com se na enkrat ne bo vec normalno resolval, ampak
bodo uporabniki pristali na MSN.com strani?

Izi ::

Verjamem, da je za povprečnega uporabnika to dobrodošlo ampak meni vseeno ni všeč.
Jaz hočem imeti popolno kontrolo nad mojim računalnikom in z vsakim naslednim OS od Microsofta imam manjn nadzora, kaj se dogaja ;((

Če hočeš preprečiti pisanje v host (ali kakšno drugo datoteko), ji nastaviš atribute samo za branje in si vse naredil.
Mali mehki je omogočil ignoriranje hosta za svoje IP-je, zaradi vse kaj drugega kot pa zaradi skrbi glede varnosti in v tem je problem.

Po moje je bilo to neupoštevanje host datoteke z strani Microsofta znano že precej časa, pa se nobenemu ni zdelo vredno pisati o tem.
Vsaj jaz sem to opazil že pred leti.
Kdor ima firewall je sigurno takoj opazil, da Windows Media Player ob vsakem zagonu kliče "domov" in ne samo takrat, ko bi moral preveriti za morebitnimi update-i.
Spreminjanje naslova klicanja v host-u jasno ni delovalo.
Tako je vsak lahko takoj opazil neupoštevanje host datoteke.

Tako, da vpisovanje v host pride v poštev samo za nekatere client programe, ki jih ne moreš blokirati z firewallom, ker potem ne bi delovali, ki pa kljub temu še vedno javljajo tvoje podatke "domov".
Microsoftov media Player in podobno šaro pa lahko popolnoma blokiraš samo z Firewallom. Seveda ne z Microsoftovim.

V zadnjem času že vsak drugi program in čisto vsak installer ob zagonu pokliče domov in javi, kdaj in kam si ga namestil. Jaz te podatke ne mislim deliti z nikomer.
In tudi Microsoft-u ne mislim javljati vsakič, kdaj sem zagnal njihov Media Player in kaj sem si predvajal >:D

Da gre v Visti glede osebnega nadzora nad Operacijskim sistemo samo še na slabše mi ni treba posebej poudarjati. Vse se nastavi samodejno brez spraševanja in za vsako malenkost, ki jo hočeš spremeniti se moraš prekleto potruditi, nekaterih stvari pa sploh ne moreš več nadzorovati.
Tako, da bo Vista samo za tiste, ki podpirajo in pozdravljajo "velikega brata".

Zgodovina sprememb…

  • spremenil: Izi ()

jure1825 ::

Meni to ni niti malo všeč. Pravilen način za to stvar rešit bi moral biti, kot je nekdo že napisal, s pravicami. Uporabniki nebi smeli imeti dostopa do hosts file-a, administrator pa ja in ljudje bi morali običajno delati za računalnikom kot navaden user, ne pa kot administrator. Na ta način bi bilo verjetno dosti manj virusov naokoli.
Če pač jaz nočem videt reklam iz microsofta bom dal microsoft.com v hosts file in pričakujem, da bo to delovalo, ne pa da imajo tukaj neka skrita pravila za domene, ki se jih ne da blokirat.

Looooooka ::

sj kokr vem ga nimajo...ker je file le v system32 diru...tm pa normalni userji nimajo kr stikat.
kar se pa tice drugih programerjev in njihovih programov si pa ze lahko sami v par vrsticah zadevo napisejo.

Zgodovina sprememb…

  • spremenilo: Looooooka ()

hamax ::

jure ja ker majo use strani includane reklame iz microsofta :D

men se to ne zdi niti mal sporno. ce hocs met pa 100% nadzor nad compom pa enostavno ne mors uporablat widowsou.

lahk si pa lepo doma na eni masini dns postavs in je problem resen.

RejZoR ::

Včasih je že dost da flikneš HOSTS filet na read-only.
Winsock/LSP so tud dost hinavski...
Angry Sheep Blog @ www.rejzor.com


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

slojoomla vprasanja

Oddelek: Izdelava spletišč
101098 (867) Vice
»

Microsoft začel vojno proti piratstvu (strani: 1 2 )

Oddelek: Novice / Avtorsko pravo
8611465 (7034) Mavrik
»

Vzpostavljanje prikritih omrežij s pomočjo XSS ranljivosti in JavaScripta

Oddelek: Novice / Varnost
225624 (4333) MrStein
»

Iz Microsoftovih logov

Oddelek: Novice / Ostala programska oprema
224675 (3018) 64202
»

Varnostne luknje v Mozilli

Oddelek: Novice / Ostala programska oprema
184052 (2751) gfighter

Več podobnih tem