lunedì 20 agosto 2007

HostsMan e Italian typo-squatting domains serving malware.

Sul sito di PIANETAPC esiste una interessante recensione del programma di gestione del file host HostMan.
Questo programma utilizza liste di nomi di siti pericolosi che aggiorna scaricandole in automatico ma un' altra possibilita' consiste nell'aggiungere manualmente una lista di siti da bloccare.
Capita anche che, per cercare di indirizzare chi naviga in rete su siti conteneti malware o falsi motori di ricerca, vengano creati volutamente dei siti con l url simile all'url di siti esistenti in rete (es. al sito www.corriere.it corrisponde un sito pericoloso dall'url www.corrierre.it )
Questo sitema di falsi siti viene anche chiamato typo-squatting e di questi con url simili all'originale ne esistono moltissimi.
Una lista in formato PDF e' presente su: http://www.sunbelt-software.com/ihs/alex/Italytyposquat.pdf.
Partendo da questa lista ho creato un file .TXT compatibile con il programma HostMan.
Usando la funzione importa lista di HostMan e ricordandosi di spuntare l opzione che aggiunge alla lista presente la nuova serie di url si avra' cosi' anche il blocco di url typo-squatting pericolose che per sbaglio possono essere digitate.

Il file txt di url typo-squatting compatibile con HostMan lo trovate qui

Altri siti con liste di files host di siti pericolosi le trovate su Mvps e su hpguru's .

Su Mvps esiste anche un ineressante elenco di siti (in lingua inglese) dedicati alla sicurezza in rete

Aggiornamento
Sembra che il contatore di visite ShinyStat, che viene di solito incluso in molti sti web a scopi statistici, compreso questo sito, sia considerato dal file host di Mvsp una url da bloccare, infatti dopo aver installato HostMan e caricato gli aggiornamenti il contatore di ShinyStat non e' piu' risultato visibile e disponibile dalla pagina web.
Una ricerca nel file /hosts.txt presente su Msvp trova le segunte righe di testo nel file HOST
# [Shiny S.r.l]
127.0.0.1 codice.shinystat.com
127.0.0.1 codiceisp.shinystat.com
127.0.0.1 s1.shinystat.com
127.0.0.1 s2.shinystat.com
127.0.0.1 s3.shinystat.com
127.0.0.1 s4.shinystat.com
127.0.0.1 www.shinystat.com
127.0.0.1 codice.shinystat.it
127.0.0.1 codiceisp.shinystat.it
127.0.0.1 s1.shinystat.it
127.0.0.1 s2.shinystat.it #[SecuritySpace.WebBug]
127.0.0.1 s3.shinystat.it
127.0.0.1 s4.shinystat.it
127.0.0.1 www.shinystat.it
In pratica tutte le url a che hanno a che fare con ShinyStat sono inserite nel file host e bloccate !!!
A questo punto pero' sorge il dubbio... ShinYStat rappresenta un problema di sicurezza se e' stato aggiunto al file host ??? da www.mvps.org ............ oppure molto probabilmente il blocco di ShinyStat e' stato aggiunto per questioni di privacy in quanto visitando un sito con questo contatore attivo l IP del computer di chi visita viene comunque acquisito anche dal server di ShinYStat ???


Edgar

1 commento:

Sbronzo di Riace ha detto...

Gli hosts di questo tipo bloccano siti pubblicitari, di spyware e siti che in qualche misura possono violare la privacy o tenere traccia della navigazione. Forse a volte sono un po' troppo drastici.

Per la pubblicità io preferisco adblock.