sabato 7 gennaio 2017

Proteggere la privacy in Windows 10 (PARTE 3): bloccare i server Microsoft e quelli spia

Nelle puntate precedenti di questa serie dedicata alla privacy, abbiamo visto come evitare l'invio automatico di dati da parte del sistema operativo e come minimizzare l'impatto della telemetria. In questo articolo vedremo come bloccare la comunicazione ai server Microsoft dedicati alla raccolta di questi dati e daremo qualche altra informazione utile.
Le impostazioni suggerite in questa serie di articoli sulla privacy si riferiscono a Windows 10 Anniversary Update, l'aggiornamento di Windows 10 rilasciato ad Agosto 2016 (che porta il numero di versione 1607) e dovranno essere ripetute ad ogni aggiornamento della versione di Windows 10. Per esempio, se avete eseguito le impostazioni in Windows 10 v1511 (Novembre 2015), dovrete ripeterle per Windows 10 v1607, e poi ripeterle di nuovo al prossimo avanzamento di versione di Windows 10 v1703 (Creators Update). Non è garantito che, con i futuri aggiornamenti di Windows, le opzioni descritte rimangano inalterate. Suggerisco ricontrollare le impostazioni in ogni caso dopo l'installazione ex-novo di Windows 10 e ad ogni suo aggiornamento maggiore (per esempio come da v1511 a v1607), nonché dopo l'installazione di applicazioni di comunicazione (chat, videotelefonia ecc.).

Recuperare gli indirizzi IP

Ogni dispositivo connesso in rete possiede un numero univoco che lo identifica, comunemente noto come "indirizzo IP". Se vogliamo comunicare con una risorsa in rete (un altro computer, un sito ecc.) dobbiamo conoscerne l'indirizzo IP, solitamente tuttavia ci è noto solo il nome (per esempio l'URL di un sito), mentre per recuperare il numero IP ci affidiamo ai meccanismi automatici messi a disposizione dal sistema operativo.
Per impostazione predefinita, la maggior parte dei sistemi operativi (Windows compreso) segue il seguente ordine per risolvere i nomi di risorse in rete:
  • prima consulta il file hosts, un piccolo file di testo all'interno del prorio file-system, e cerca all'interno di esso un numero IP che corrisponda alla risorsa desiderata;
  • se nel file hosts non c'è alcuna corrispondenza, Windows interroga i server DNS predefiniti per la connessione di rete;
  • solo per i sistemi Windows: se i precedenti metodi hanno fallito, Windows consulta il Netbios (un protocollo per condividere informazioni su una rete locale).

Il servizio Client DNS

Nel tentativo di velocizzare la velocità di reperimento degli IP, Windows usa un servizio chiamato Client DNS, che ha sia il compito di caricare in una memoria cache le voci eventualmente presenti nel file hosts che di registrare nella stessa cache le richieste fatte al DNS vero e prorio della connessione ad Internet.
Sulla carta è una buona idea: mantenere in una cache locale tutti gli IP già noti al sistema dovrebbe, almeno in teoria, velocizzarne il recupero. Tuttavia all'atto pratico questa maggior reattività non si nota oppure, se c'è, risulta inavvertibile all'utente. In compenso si possono avere diversi svantaggi:
  • se modificate "al volo" il file hosts, le modifiche potrebbero non essere recepite nella cache del servizio fino a quando non riavviate il computer (invece dovrebbero essere subito attive);
  • un file hosts di grosse dimensioni può intasare la cache del servizio, provocando un rallentamento della navigazione invece di una maggiore reattività (un problema evidente su computer con hardware obsoleto o con poca memoria RAM);
  • la cache del servizio potrebbe essere corrotta da un hijacker, ossia da un sofftware malevolo che ha lo scopo di redirigere il traffico in rete verso siti ostili.
Il servizio Client DNS non è necessario e può essere disabilitato: si risparmiano risorse (tempo di CPU e memoria RAM) e la risoluzione dei nomi di dominio avviene ugualmente per mezzo dei DNS (ormai talmente veloci ed efficienti che forniscono la risposta così rapidamente da non far rimpiangere la cache locale).
Per disabilitare il servizio, entrare in Windows come amministratore, aprire la finestra di esecuzione (Windows+R) e digitare services.msc. Scorrere la lista dei servizi, individuare Client DNS e selezionarlo con un doppio click del tasto sinistro del mouse; nella finestra a comparsa, selezionare la scheda Generale e in "Tipo di avvio" selezionare Disabilitato. Premere i pulsanti Applica, OK, chiudere la finestra dei servizi ed infine riavviare il computer.
Windows 10 - Client DNS
Ho personalmente sperimentato che, dopo aver disabilitato il servizio Client DNS, il browser Microsoft Edge non è più in grado di navigare in Internet. Essendo l'unico browser che non funziona, è un suo difetto. Questa situazione si è presentata  sin dall'introduzione di Windows 10 (Settembre 2014) su tutti i computer su cui ho installato il sistema e disabilitato il servizio. Gli aggiornamenti di Dicembre 2016 su Windows 10 Anniversary Update (v1607) sembrano aver ripristinato il normale funzionamento di Edge, tuttavia non posso garantirvelo con assoluta certezza. Se seguite questa guida è pertanto possibile che dovrete navigare con un altro browser (ho testato nelle stesse condizioni Internet Explorer 11, Firefox e Chrome: tutti navigano senza problemi).

Modificare il file HOSTS per bloccare i server spia

Disabilitato il servizio Client DNS, per risolvere i nomi di dominio Windows consulta prima il file hosts e in un secondo tempo interroga il DNS. Possiamo sfruttare ciò per bloccare i server Microsoft per la telemetria e la raccolta dei dati di feedback: un modo semplice di farlo è inserirli nel file hosts, reindirizzando le richieste in modo che cadano nel vuoto.
Bisogna innanzitutto procurarsi la lista dei server. Fortunatamente sono "pochi" (al momento in cui scrivo questo articolo sono più di 100 ma meno di 200 😈) e ci sono siti web che mantengono la lista di tali server costantemente aggiornata, come
https://raw.githubusercontent.com/WindowsLies/BlockWindows/master/hosts
Collegatevi ad uno di tali siti e lasciate aperta lista dei server in una finestra del browser (non chiudete il browser).
Il file hosts è un semplice file di testo ma è protetto dal sistema operativo, la sua modifica richiede alcune accortezze:
  • occorre essere connessi con i privilegi di Amministratore;
  • staccare momentaneamente la connessione ad Internet e disabilitare l'antivirus (sia Windows Defender che gli antivirus di terze parti, anche gratuiti come Avira Free non permettono, per ragioni di sicurezza, di modificare il file hosts);
  • con Esplora file (Windows+E), raggiungere il percorso
    c:\windows\system32\drivers\etc\hosts
  • acquisire privilegi elevati sul file hosts diventandone proprietari (se non sapete come fare seguite questa guida);
  • copiare il file hosts sul desktop di Windows e togliere (momentaneamente) l'attributo di sola lettura (fare click con il tasto destro del mouse sul file, selezionare "Proprietà" e, nella scheda Generale, deselezionare la casella "Sola lettura", poi premere Applica e OK);
  • aprire il file hosts (la copia che avete sul desktop) con un editor di testo (va bene anche il Blocco Note), ed eseguire il copia-incolla della lista di server che avete lasciato aperta nel browser, salvare le modifiche e chiudere l'editor;
  • applicare al file hosts modificato l'attributo di sola lettura, poi copiarlo al posto di quello vecchio in c:\windows\system32\drivers\etc\hosts;
  • abilitare di nuovo l'antivirus e ripristinare la connessione ad Internet.
Windows 10 - File HOSTS
Le righe aggiunte al file hosts sono tutte simili a
0.0.0.0   a.ads1.msn.com
Nella colonna di destra c'è il nome del server, in quella di sinistra l'indirizzo IP a cui il nostro computer viene reindirizzato. Qualora il nostro computer tentasse di connettersi ad uno dei server Microsoft (colonna di destra) verrebbe indirizzato all'IP numero 0.0.0.0 che è un particolare indirizzo usato (in ambito client) per indicare una destinazione non valida. Questo significa che le richieste di connessione verso i server di telemetria/feedback di Microsoft cadranno nel vuoto (non si potranno inviare dei dati a nostra insaputa).
NOTA: se avete una connessione in standard TCP/IPv6 l'indirizzo da mettere sulla colonna di sinistra è ::0).
È evidente che l'efficacia della protezione dipende dalla completezza della lista di server che inseriamo nel file hosts. Quella di cui all'URL precedente è piuttosto completa, anche se non si può escludere che Microsoft aggiungerà in futuro nuovi server (poco ma sicuro!). La tecnica mostrata è valida per bloccare qualunque server o sito web che non è di vostro gradimento e a cui non volete mai essere collegati: aggiungetelo al file hosts collegandolo all'IP 0.0.0.0 (o ::0) e lo escluderete dalle vostre connessioni.
Se hai trovato utile l'articolo considera la possibilità di offrire un modesto contributo. Grazie di cuore per il tuo sostegno.
Donazione

POTREBBE INTERESSARTI ANCHE…


Torna alla sezione Windows 10