BITS - il componente di Windows che bypassa i firewall

Windows, da XP in poi (sebbene sia stato integrato poi anche in Windows 2000 Service Pack 3) include una simpaticissima nuova funzionalità. BITS - che sta per Background Intelligent Transfer Service - è un componente di Windows adibito al trasferimento di files tra pc. È un componente molto interessante ed utile, permette il download asincrono di file da internet sfruttando la banda di internet non utilizzata, in modo tale da non intaccare le prestazioni della connessione.

Una sorta di download manager integrato in Windows - tant’è che esistono programmi appositi quali BITS Download Manager per sfruttarne le funzionalità. Una componente simpatica, presente appunto in Windows 2000,XP,2003,Vista ed utilizzata da Windows, tra le varie cose, per gli aggiornamenti automatici di Windows Update.

Un componente molto interessante insomma, se non fosse che può essere allo stesso tempo fonte di danno, come ha messo in evidenza il sempre ottimo ricercatore italiano del SARC (Symantec Antivirus Research Center) Elia Florio.

Infatti il BITS è un componente di Windows, come tale viene considerato attendibile dai firewall (svchost.exe è l’hoster generico che viene utilizzato per caricare diversi servizi, tra cui BITS). Se a questo ci aggiungiamo che è programmabile da chiunque, il danno è bello che fatto. Infatti, è possibile utilizzare BITS attraverso due metodi: programmandolo attraverso un set di API messe a disposizione ai programmatori o attraverso l’interfaccia bitsadmin.exe.

Di fatto qualunque download effettuato attraverso questo servizio, che diventa quasi un vero e proprio proxy, è incontrollato. Potrebbe un trojan downloader dunque utilizzare questo mezzo per scaricare dell’altro malware? È successo.

Sarebbe comunque un errore definirlo un bug, perché si tratta di una funzionalità di Windows. Il fatto è che al momento non ci sono mezzi per controllarne il funzionamento. Le uniche soluzioni potrebbero essere:

  • disabilitare il BITS e Windows Update (un malware potrebbe comunque riabilitare i servizi)
  • restringere le connessioni di svchost.exe a internet ai soli IP della Microsoft

    • Comunque sia, di questo argomento se ne parla già da quasi un anno, sebbene non sia mai stato troppo di pubblico interesse. Ora però, con del malware che utilizza questa funzionalità bypassando di fatto i firewall, il vaso di pandora è stato aperto.

    Un tool per verificare il funzionamento di BITS e per verificare come un programma riesce a bypassare il firewall attraverso BITS è scaricabile QUI. Bitscode è un programma scritto dal ricercatore Frank Boldewin.

    Scritto il 14 Maggio 2007


    4 Responses to “BITS - il componente di Windows che bypassa i firewall”


    1. camillo
      Maggio 15th, 2007 at 16:49

      Questo è puro FUD


    2. TNT
      Maggio 15th, 2007 at 23:45

      Camillo: ah meno male che ci sei tu che fornisci queste spiegazioni accurate sul perche’ sia puro FUD… :(


    3. PC Al Sicuro » Blog Archive » BITS - tornando sull’argomento
      Maggio 18th, 2007 at 13:34

      […] Riprendo, possibilmente per fare maggiore chiarezza, l’argomento relativo al servizio BITS di Windows e alle possibili problematiche legate ad esso in ambito malware. Ne avevo già parlato in questa sede qualche giorno fa, ma ho potuto leggere in giro per il web alcuni commenti fuorvianti e che potrebbero spostare il punto focale del problema dove invece il problema non sussiste. […]


    4. BITS - il componente di Windows che bypassa i firewall « The Alexsandra Spaces
      Giugno 1st, 2007 at 21:53

      […] Fonte: Pc al Sicuro […]

    Lascia un commento

    « La polizia municipale ci segnala un’infrazione
    Next: Il nostro PC è al sicuro? Non secondo il Trojan Hijacker »