Archives For Sicurezza

Download m2o Reloaded

Gioxx  —  30/11/2007 — 36 Comments

La mia webradio preferita (Frequence3) trasmette un programma di intrattenimento ogni sera. Poca musica, tante discussioni tra i dj che intervengono e –di conseguenza– alla lunga noioso soprattutto per la velocità con la quale parlano in francese. D’accordo, l’ho studiato per 3 anni (1996/98) ma a livello scolastico: sono solo un pivello in confronto a loro.

Da qualche tempo m2o ha avviato il progetto “Reloaded” che propone le registrazioni di tutte le sue trasmissioni. L’utente può andare sul sito e ascoltare la puntata che gli interessa semplicemente navigando tra i programmi e nella lista dei file disponibili.

Decido di ascoltare qualche puntata del Cammino. Scrivere un buon post mentre si ascolta la musica del maestro fa sempre bene. C’è solo un piccolo ma importante difetto nell’idea della radio romana: occorre utilizzare il loro player presente nella pagina web del servizio. Non posso riavviare Firefox, sono costretto a tenere aperta una tab, il player è in flash (noto ciuccia-risorse da competizione). In pratica un computer con basse/medie risorse a disposizione potrebbe subire un rallentamento e infastidire l’utilizzatore durante la navigazione.

Qualcuno ha chiesto di passare dalla porta sul retro?

Veloce analisi del terreno di gioco mentre passo all’ascolto di una puntata di gabry2o:

  • Player: XSPF [info]
  • Indirizzo diretto: m2o.it/special/gabry2o_reloaded/xspf_player.swf

La parte fondamentale è:

XSPF Web Music Player is a flash-based web application that uses xspf playlist format to play mp3 songs. XSPF is the XML Shareable Playlist Format. The software is written in Actionscript 2.

Un software flash che sfrutta liste XML dove sono conservati i collegamenti ai file musicali? Trasparente come le autoreggenti della Bellucci in Malena! Non ci è voluto poi tanto per arrivare al traguardo:

<code>< ?xml version="1.0" encoding="UTF-8"?>
<playlist version="0" xmlns = "http://xspf.org/ns/0/">
<tracklist>
<track>
<location>http://download.m2o.it/reloaded/gabry2o/gabry2o_29_11_07.mp3</location>
<image>http://www.m2o.it/special/gabry2o_reloaded/copertine/thumb_gabry2o.jpg</image>
<annotation>Gabry2o - 29 Novembre 2007</annotation>
</track>
<track>
<location>http://download.m2o.it/reloaded/gabry2o/gabry2o_28_11_07.mp3</location>
<image>http://www.m2o.it/special/gabry2o_reloaded/copertine/thumb_gabry2o.jpg</image>
<annotation>Gabry2o - 28 Novembre 2007</annotation>
</track>
<track>
<location>http://download.m2o.it/reloaded/gabry2o/gabry2o_27_11_07.mp3</location>
<image>http://www.m2o.it/special/gabry2o_reloaded/copertine/thumb_gabry2o.jpg</image>
<annotation>Gabry2o - 27 Novembre 2007</annotation>
</track>
<track>
<location>http://download.m2o.it/reloaded/gabry2o/gabry2o_26_11_07.mp3</location>
<image>http://www.m2o.it/special/gabry2o_reloaded/copertine/thumb_gabry2o.jpg</image>
<annotation>Gabry2o - 26 Novembre 2007</annotation>
</track>
<track>
<location>http://download.m2o.it/reloaded/gabry2o/gabry2o_22_11_07.mp3</location>
<image>http://www.m2o.it/special/gabry2o_reloaded/copertine/thumb_gabry2o.jpg</image>
<annotation>Gabry2o - 22 Novembre 2007</annotation>
</track>
<track>
<location>http://download.m2o.it/reloaded/gabry2o/gabry2o_21_11_07.mp3</location>
<image>http://www.m2o.it/special/gabry2o_reloaded/copertine/thumb_gabry2o.jpg</image>
<annotation>Gabry2o - 21 Novembre 2007</annotation>
</track>
<track>
<location>http://download.m2o.it/reloaded/gabry2o/gabry2o_20_11_07.mp3</location>
<image>http://www.m2o.it/special/gabry2o_reloaded/copertine/thumb_gabry2o.jpg</image>
<annotation>Gabry2o - 20 Novembre 2007</annotation>
</track>
<track>
<location>http://download.m2o.it/reloaded/gabry2o/gabry2o_19_11_07.mp3</location>
<image>http://www.m2o.it/special/gabry2o_reloaded/copertine/thumb_gabry2o.jpg</image>
<annotation>Gabry2o - 19 Novembre 2007</annotation>
</track>
<track>
<location>http://download.m2o.it/reloaded/gabry2o/gabry2o_16_11_07.mp3</location>
<image>http://www.m2o.it/special/gabry2o_reloaded/copertine/thumb_gabry2o.jpg</image>
<annotation>Gabry2o - 16 Novembre 2007</annotation>
</track></tracklist></playlist></code>

A voi la chiave per entrare:

m2o.it/special/gabry2o_reloaded/playlist.xspf

Lo stesso identico ragionamento vale per qualsiasi altra cartella “reloaded” dedicata ai programmi di m2o. Giusto qualche esempio:

I collegamenti diretti agli mp3 sono completamente in chiaro. Ho potuto prendere una puntata a caso di Dual Core 2.0 e caricarla come URL all’interno del mio Windows Media Player:

La particolarità di questi mp3? Alcune caratteristiche da non sottovalutare:

  • 128 Kbps
  • Nessuno stacco pubblicitario
  • Nessuna interferenza (il fruscio che si sente nello streaming via mp3.m2o.it è abbastanza fastidioso)
  • Massima banda in uscita (in un’ora di ascolto non ho mai avuta una bufferizzazione)

Se proprio non volete utilizzare un player audio e preferite tenere attivo lo streaming in Firefox si può sempre ricorrere agli ottimi segnalibri da caricare in barra laterale, nulla di più semplice. XSPF può essere caricato sulla sinistra del browser così da essere sempre facilmente raggiungibile durante la normale navigazione. Nella barra dell’URL copiate ed incollate il seguente codice javascript:

javascript:addMozillaPanel('http://www.m2o.it/special/gabry2o_reloaded/xspf_player.swf?repeat_playlist=true')

Al posto di “gabry2o_reloaded” potete chiaramente mettere il nome di qualsiasi altra cartella. Salvate ora il nuovo segnalibro con il nome che preferite (esempio: come da immagine):

Selezionate il segnalibro e godetevi la riproduzione:

Felici e contenti? Immagino. Buon ascolto :)

Qualche giorno fa winAddons.com ha pubblicato l’aggiornamento di un applicativo che dovrebbe poter semplificare le operazioni di salvataggio / ripristino profilo su Firefox e Thunderbird. Il suo nome è BackupFox ed è prodotto in via amatoriale da un ragazzo greco: Antonis Kaladis. Ieri sera ho avuto il tempo di scaricarlo e testarlo. Ancora una volta ci si trova di fronte ad un applicativo potenzialmente dannoso per browser e mail client, contro ogni buona regola di backup e ripristino da sempre consigliata nel nostro forum.

Firefox

immagine: SpreadFirefox

Indubbiamente l’utility è allettante per chi non sa dove mettere le mani o non vuole rischiare di fare danni all’interno del proprio sistema. Diciamo pure che se vogliamo tirare fuori qualcosa di buono da quest’idea si può pensare ad un ulteriore workaround da adottare in fase di creazione backup. Ecco quindi come funziona BackupFox e come sfruttarlo in modo “decente“:

Cominciate scaricando e scompattando l’ultima versione di BackupFox partendo dal seguente indirizzo:

neowin.net/forum/index.php?showtopic=291258

Non necessita di installazione, basta scompattare il file per cominciare ad utilizzare l’utility.

Per effettuare il backup del profilo si seguono 3 passaggi semplicissimi:

  • Si individua il profilo che si vuole conservare (io ne ho due di cui uno principale e l’altro utilizzato solo per test di estensioni / plugin / altro) e si indica la cartella di destinazione scegliendo se tenere la cache;
  • Si prosegue con Next affinché il programma cominci a macinare copiando tutti i file del profilo;
  • Si conclude con Finish e si osserva il risultato all’interno della cartella di destinazione.

Qui di seguito gli screenshot dei 3 punti:



Andando a controllare nella cartella appositamente creata per il test scopro che quel “test_2007-11-29.firefox” in realtà è un file zip (il sospetto è nato vedendo 7za.exe tra i file dell’utility). Tasto destro, 7-Zip, Apri, ecco il risultato:

Si tratta di una banale copia dell’intera cartella che si trova sotto %appdata%\Mozilla\Firefox\Profiles fatta eccezione per qualche file che non va mai copiato. Ancora una volta ribadisco: NON bisogna farlo. Per sapere come mai potete dare una occhiata a questa discussione:

forum.mozillaitalia.org/index.php?topic=5940.0

In pratica nel profilo appena copiato ci sono dei file che contengono percorsi assoluti (per chi non sapesse di cosa sto parlando) che se spostati su altro PC / sistema operativo potrebbero generare non pochi problemi di caricamento. Per evitare tutto ciò all’atto del ripristino, sarà possibile effettuare una banale operazione di cancellazione dati all’interno del file *.firefox. Tornate in 7-Zip e selezionate tutto tranne:

  • bookmarks.html che contiene i segnalibri
  • user.js che contiene le personalizzazioni
  • cookies.txt e cookperm.txt (o hostperm.1) che contengono i cookies
  • signons.txt e key3.db che contengono le password salvate

Schiacciate il pulsante “Cancella” come da immagine:

Così facendo avrete ottenuto quanto di più genuino ci sia (sembra la pubblicità della Osella, sic!). Se volete ripristinare il vostro backup in un’altra macchina (o sulla stessa dopo una formattazione) potrete procedere avendo la “quasi certezza” di riuscire nel vostro intento. Un consiglio spassionato? Fate tutto a mano senza l’aiuto di questa applicazione di terze parti. Si fa prima e con l’aiuto di gente volenterosa riuscirete ad ottenere di certo il risultato :)

Qualche link che può tornarvi davvero utile:

Vi ricordo inoltre che esistono due vere e propria “bibbie” per districarsi nei tanti piccoli problemi quotidiani che possono capitare utilizzando browser o mail client: le FireFAQ (Firefox) e ThunderFAQ (Thunderbird).

Cheers!

Nuovo caso di phishing arrivato prepotentemente su 5 delle mie caselle di posta elettronica (ne uso 11 in totale). Ancora una volta si parla di banche, furto di credenziali e aggiornamento / conferma dati per la propria “sicurezza“.

Protagonista di questa vicenda è CartaSi. Quando arriva una mail da un qualsiasi istituto bancario occorrerebbe farsi qualche domanda prima di procedere, così da evitare potenziali errori di distrazione e grane al tecnico che dovrà sopportare le vostre lamentele per cambiare le credenziali che “qualche cattivone vi ha rubato a causa del vostro stupido PC“:

  • Sono cliente di quell’istituto? (al 90% non lo sarete)
  • L’italiano è corretto ortograficamente e sintatticamente?
  • Mi chiedono di confermare mie credenziali di accesso? (99,9% delle volte)

Le risposte potrebbero essere molteplici ma hanno un punto in comune: le banche (così come le Poste Italiane colpite poco tempo fa) non richiederanno mai e poi mai credenziali di accesso ai servizi web utilizzando una semplice mail. Manderanno, solo se necessario per l’effettiva sicurezza del cliente, comunicazione scritta a mezzo posta ordinaria. Analizzo quindi l’attacco verso CartaSi arrivato due giorni fa.

Questo l’oggetto della mail:

Gentile Cliente,
Una nuova gamma completa di servizi online è adesso disponibile !
Per poter usufruire dei nuovi servizi online di CartaSi.it occorre prima diventare UTENTE VERIFICATO.
Accedi ai servizi online di Cartasi.it e diventa UTENTE VERIFICATO »
Cordiali Saluti

Il reale dominio di partenza è ccex.net, azienda (a dire della loro home page) “esperta in soluzioni tecnologiche di rete” forse non troppo attenta alle falle presenti nel proprio webserver:

Return-Path: <ftpuser@ccex.net>
X-Original-To: gioxx@extenzilla.org
Delivered-To: m5924512@spunkymail-mx2.g.dreamhost.com
Received: from ccex.net (ccex.net [66.104.28.10])
by spunkymail-mx2.g.dreamhost.com (Postfix) with ESMTP id D8E37720C5
for <gioxx@extenzilla.org>; Sun, 25 Nov 2007 18:32:04 -0800 (PST)
Received: from ccex.net (ftpuser@localhost [127.0.0.1])
by ccex.net (8.12.10/8.12.10) with ESMTP id lAQ2W0mB000378
for <gioxx@extenzilla.org>; Sun, 25 Nov 2007 21:32:00 -0500
Received: (from ftpuser@localhost)
by ccex.net (8.12.10/8.12.10/Submit) id lAQ2W0kf000377
for gioxx@extenzilla.org; Sun, 25 Nov 2007 21:32:00 -0500
Date: Sun, 25 Nov 2007 21:32:00 -0500
To: gioxx@extenzilla.org
Subject: FPA NOTICE: verificare l'autenticità delle informazioni personali fornite
Message-ID: <1196044320.13529.qmail@init.cartasi.it>
From: "servizio@cartasi.it" <servizio@cartasi.it>

Nel testo ho trovato due collegamenti che –a distanza di 72 ore dal massiccio spam– portano ad un’area vuota di un sito tedesco (avranno scoperto l’inghippo). Qualche informazione sul sito web:

Domain name: wtnet.net
Registrant Contact:
NA
The data in Bulkregister.com's WHOIS database is p (NA)
+1.11
Fax:
Bulkregister.com for information purposes only, that is, to
obtaining information about or related to a domain name regi
does not guarantee its ac,
Administrative Contact:
Denit Internet Services bv
Hostmaster Denit (support@denit.net)
+31.203371801
Fax: +31.203371802
Contactweg 131
Amsterdam, Nederland 1014 BJ
Amsterdam, 1014
NL
Technical Contact:
Denit Internet Services bv
Hostmaster Denit (support@denit.net)
+31.203371801
Fax: +31.203371802
Contactweg 131
Amsterdam, Nederland 1014 BJ
Amsterdam, 1014
NL
Status: Locked
Name Servers:
dns1.name-services.com
dns2.name-services.com
dns3.name-services.com
dns4.name-services.com
dns5.name-services.com
Creation date: 30 Oct 2001 11:26:24
Expiration date: 30 Oct 2007 11:26:24

Chiaramente, così come successe per l’attacco a Poste Italiane, il reale proprietario del dominio sarà stato colto a sua insaputa da questa sgradita sorpresa che ha potuto eliminare così da evitare altre possibili vittime alle prime armi con questa tecnica di furto telematica :)

Come sempre: attenzione!

Kyberworks Kiara

Gioxx  —  15/11/2007 — 11 Comments

Kiara non è il nome della ragazza conosciuta ieri sera alla cena lunga di Giovy (della quale parlerò presto) ma di un nuovo web-software realizzato da Kyberworks, una piccola società di Milano che mi ha fatto conoscere Zeno.

Nonostante abbia perso –per cause di forza maggiore– la presentazione ufficiale venerdì scorso, ho potuto apprezzare in differita il video introduttivo disponibile su YouTube.

Analizziamo i fatti. Kiara è un software che non necessita di installazione sul proprio computer e che è in grado di gestire la contabilità di un lavoratore, sia esso libero professionista (di certo consigliato) o dipendente come il sottoscritto (che sporadicamente fa consulenza registrando & dichiarando il tutto con codice fiscale). Basta avere un client non necessariamente “all’ultimo grido” ed una buona connessione internet (l’ADSL di casa andrà benissimo).

Ho provato a registrare un account personale “Base” (gratuito fino al 31 dicembre 2007 per tutti) e gironzolare tra le proposte offerte dall’azienda:


clicca per ingrandire

Le opzioni sono già parecchie (calcolando che si tratta di un prodotto nato da poco) e continuano ad aumentare con il passare del tempo (e grazie anche ai suggerimenti degli utilizzatori). Bando alle ciance, si passi al test su strada! :)

Il mio test: Pro & Contro

Pro

  • appena nato conta già svariate opzioni particolarmente utili e perfettamente funzionanti (come già detto in precedenza).
  • tecnologia “2.0“: massima interazione tra prodotto e utente con tempi di attesa ridotti al minimo. Una manna dal cielo anche per computer datati non in grado di elaborare velocemente i dati inseriti ma correttamente connessi ad internet.
  • eliminazione di programmi in locale di terze parti. Tutto ciò che serve viene messo a disposizione da Kiara. Ipoteticamente si può evitare la spesa di suite office e altri applicativi contabili (salvo particolari esigenze).
  • suggerimenti su ogni campo dei documenti che si stanno compilando. L’utente sarà sempre informato su cosa sta digitando, che tipo di dato l’applicativo sta richiedendo. Chiaramente l’opzione è disattivabile (pensata per i più esperti).
  • comunicazione immediata con il commercialista. Una opzione dell’applicativo prevede l’invio automatico dei nostri documenti al commercialista previo inserimento dei dati di quest’ultimo da pannello preferenze.
  • servizio di supporto via forum. Encomiabile se si pensa al fatto che il forum è il mezzo più veloce e pubblico per poter archiviare le soluzioni ai problemi più comuni. Immagino che con l’avvento dell’account Top (gen.2008) verranno introdotti ulteriori sistemi di assistenza immediata.

Contro

  • un normale dipendente (il mio caso) sfrutta poco lo strumento. Come ho già detto si tratta di un prodotto molto valido sotto tutti i punti di vista ma è chiaro che si sta parlando di un software rivolto al libero professionista.
  • poche informazioni sulla sicurezza del database utente (contenente nomi, riferimenti e qualsiasi altro dato legato ai propri clienti), ne parlo nel prossimo paragrafo e nelle conclusioni dell’articolo.

La lista è chiaramente incompleta. Impossibile scovare tutti i vantaggi e gli svantaggi del software in circa 30 minuti di test sapendo poi che il team lavora alacremente per continuare ad ampliarne le funzionalità. Certo si può fare affidamento al tour guidato ma non è la stessa cosa. Se volete segnalare altre voci non esitate a lasciare un commento :)

Se necessario a questo indirizzo trovate una serie di domande/risposte frequenti.

Sicurezza?

Dal sito ufficiale si apprende:

I tuoi dati sono conservati in un cluster di macchine ridondante e protetto da un firewall che blocca tutti gli accessi eccetto quelli consentiti per poter fornire il servizio. Inoltre il personale di kyberworks si collega ai server per la manutenzione utilizzando esclusivamente connessioni cifrate e certificati digitali.

I server sono tenuti sotto costante monitoraggio usando un insieme di software standard e programmi custom che permettono di avere sotto controllo in ogni momento lo stato di salute delle macchine e dei servizi.

Il database è sottoposto a backup regolari (in file cifrati con un meccanismo di chiave pubblica-privata).

Tutte le comunicazioni tra il tuo browser ed il servizio Kiara passano attraverso un canale sicuro SSL cifrato con un certificato digitale che permette una estrema sicurezza di trasmissione (nessuno puù intercettare i dati che trasmetti o ricevi da Kiara)

Chiederei ai ragazzi di Kyberworks un ulteriore approfondimento tecnico se possibile (regolare quanto? sullo stesso server o in una macchina di appoggio? quanti dischi ci sono a disposizione? ecc.ecc.ecc.), da queste parti si adorano i tecnicismi da nerd brutti e rozzi. Liberi di mandarmi una mail, di lasciare il tutto nei commenti o ignorarmi! :)

Nel frattempo espongo volentieri lo screen preso dal mio Firefox riguardo il certificato di protezione sessione:

Certificatore: GoDaddy.com

Voglia di rivolgersi ai blogger

I ragazzi di Kyberworks hanno pensato anche a noi blogger. A chi possiede un diario virtuale viene dedicato un account Skype (callto://kyberworks/) e una mailbox (mailto:bloggers@kyberworks.com) per fugare qualsiasi dubbio in merito al loro lavoro. Non sono canali di supporto ufficiali, non usateli come tali. Si tratta di una feature in più offerta a chi –come me– decide di dedicare un post al progetto (così da poter essere il più preciso possibile) e avere a che fare con chi “lavora dietro le quinte“.

Vuoi fare una prova su strada?

Sei un libero professionista curioso e ti va di provare le funzionalità offerte da Kiara? Accomodati. Le possibilità sono due:

  • Ci si può appoggiare ad un utente “Demo” che permette di esplorare il software e di conoscere / provare tutte le funzionalità senza iscriversi.
  • Ci si può registrare gratuitamente (account base) fino al 31 dicembre 2007 (per tutti gli utenti), senza contare che il sottoscritto ha a disposizione 5 inviti per l’account Top, una offerta che partirà da Gennaio 2008 (valida poi per tutto l’anno).

Tra un mese e mezzo (circa) mi travestirò da befana (devo solo mettere la parrucca bianca e sono a posto) e porterò i 5 doni ai meritevoli che ne faranno richiesta (scriverò un nuovo post promemoria, non preoccupatevi).

In conclusione

E’ giusto elogiare il lavoro del gruppo Kyberworks. Sono riusciti a lanciare un prodotto certamente competitivo con una buona base che –se tenuta opportunamente sotto test e sviluppo– è destinata a migliorare sempre più, proprio come il buon vino. Concludo con una piccolissima osservazione. Leggendo nel forum ho notato una domanda che avrei rivolto anche io allo staff se mi fossi trovato al posto dell’utente toolsandsystems:

L’unica perplessità è il database che risiede presso di voi, ovvero mettere tutti i miei contatti di lavoro accumulati in anni “fuori dal mio ufficio”. Che sistemi di sicurezza adottate?

La sicurezza è un parametro fondamentale soprattutto quando si parla di dati sensibili. Non è ancora stata data risposta. A quando il “lieto evento“? :)

Tanti l’aspettavano e finalmente sono riuscito a completarla. I possessori di AdBlock Plus che hanno sottoscritto i filtri appartenenti al progetto X-Files dovrebbero poter notare già da oggi un major-update della lista nera contro lo spam sul web. X-Files è stato aggiornato alla versione 251007 contenente 820 voci in totale, circa 100 nuove (rispetto alla versione precedente).

Aggiornamento automatico:

Se AdBlock Plus è impostato per cercare automaticamente gli aggiornamenti delle sottoscrizioni, l’ultima data di sincronizzazione dovrebbe corrispondere a ieri:

Nel caso in cui questo non sia accaduto o avete deciso di fare tutto “a mano“, proseguite con la lettura del paragrafo “Aggiornamento manuale“.

Aggiornamento manuale

Ieri, per testare la validità della nuova release, ho fatto un update manuale. Per ripetere l’operazione bastano due semplici mosse:

  • Dal pulsante di AdBlock presente nella toolbar di Firefox cliccare sulla freccia opzioni e selezionare “Impostazioni“;
  • Fare clic destro sulla sottoscrizione X-Files e selezionare la voce “Aggiorna la sottoscrizione ora

Il risultato dovrebbe corrispondere al seguente:

Chi aggiorna manualmente oggi vedrà chiaramente comparire il 26.10.2007 come ultima data di sincronizzazione.

Per qualsiasi problema l’area commenti è a vostra disposizione. Sul gruppo it-GxWare di Google ho aperto una discussione dove potrete segnalare eventuali altre voci da integrare nella prossima versione X-Files!

Buon update :)