Da quando ho installato pi.hole mi diverto a leggere, ogni tanto, le query DNS e alle volte trovo delle query completamente randomiche, roba del tipo “mhovkjjrcfta”, “cizvxtdistozj” e “zrlvlwvurkqyvha”, effettuate in cluster una mezza dozzina di richieste alla volta e provenienti da “localhost”.
“Ok, qui c’è qualcosa che mi puzza”, mi dico, specie dato che proviene da localhost. Non pensavo tanto a qualche malware, più a qualche tracciamento strano, mi metto quindi a indagare. Scopro che il timore malware era condiviso da tanti, ma la verità è differente…
L’origine delle richieste è, infatti, Chrome. Che, strano ma vero, in edizione desktop, c’è solo su quel Raspberry, da cui la richiesta da localhost.
Tali richieste vengono effettuate per una ragione parecchio banale, tra l’altro.
Mettete di avere sulla vostra rete un DNS che risponde anche a richieste di una sola parola, magari perché il vostro sistemista ha avuto la bella idea di creare domini del tipo “webserver”, “wiki”,”testserver”, o anche solo domini locali nonstandard del tipo “webmail.$unioneallosbando”.
In tal caso, primariamente, Chrome manderà la richiesta al vostro motore di ricerca, poi farà una query DNS e – qualora risultasse esistente – vi mostrerà un banner proponendovi di andare a quel sito.
Tuttavia in vari casi (certi router economici brandizzati, access point pubblici) i siti web non esistenti vengono dirottati a una schermata di ricerca apposite e spesso sponsorizzati. In tal caso, qualsiasi query di una parola proporrebbe tale banner, dato che la query DNS ritornerebbe un risultato positivo. Così ad esempio faceva Firefox qualche anno fa, quand’era il mio browser d’elezione: siccome la Wind mostrava una schermata – usando i suoi DNS – che avvisava dell’inesistenza del sito e proponeva di ricercare su Google qualsiasi ricerca di una parola mostrava un banner del genere.
Proprio per evitare una situazione del genere Chrome genera ogni tot cinque domini random e fa richiesta ai DNS. Se la risposta è “ma che cazzo stai a dì” (NXDOMAIN, in gergo) Chrome sa che non c’è nulla di losco dietro e, qualora una parola che avete digitato ha anche una risoluzione DNS, ve lo dirà. Se invece sia “mhovkjjrcfta” che “cizvxtdistozj” guarda caso hanno lo stesso IP ed è “151.5.216.15” FORSE qualcosina di problematico c’è e non mostrerà questo banner.
