Archives For Sicurezza

Tanti l’aspettavano e finalmente sono riuscito a completarla. I possessori di AdBlock Plus che hanno sottoscritto i filtri appartenenti al progetto X-Files dovrebbero poter notare già da oggi un major-update della lista nera contro lo spam sul web. X-Files è stato aggiornato alla versione 251007 contenente 820 voci in totale, circa 100 nuove (rispetto alla versione precedente).

Aggiornamento automatico:

Se AdBlock Plus è impostato per cercare automaticamente gli aggiornamenti delle sottoscrizioni, l’ultima data di sincronizzazione dovrebbe corrispondere a ieri:

Nel caso in cui questo non sia accaduto o avete deciso di fare tutto “a mano“, proseguite con la lettura del paragrafo “Aggiornamento manuale“.

Aggiornamento manuale

Ieri, per testare la validità della nuova release, ho fatto un update manuale. Per ripetere l’operazione bastano due semplici mosse:

  • Dal pulsante di AdBlock presente nella toolbar di Firefox cliccare sulla freccia opzioni e selezionare “Impostazioni“;
  • Fare clic destro sulla sottoscrizione X-Files e selezionare la voce “Aggiorna la sottoscrizione ora

Il risultato dovrebbe corrispondere al seguente:

Chi aggiorna manualmente oggi vedrà chiaramente comparire il 26.10.2007 come ultima data di sincronizzazione.

Per qualsiasi problema l’area commenti è a vostra disposizione. Sul gruppo it-GxWare di Google ho aperto una discussione dove potrete segnalare eventuali altre voci da integrare nella prossima versione X-Files!

Buon update :)

Poco prima di cena il cellulare mi avverte della ricezione di un messaggio. Vado a dare una occhiata e mi ritrovo il seguente testo:

Mittente: -SMS-

Testo: Ti ho cercato alle 8.00 del 26/09/2007, è urgente, chiama da fisso al 899030641, info e costi susegreteria.biz

Mittente chiaramente inesistente in rubrica e messaggio davvero notevole. E’ uguale identico ad un qualsiasi altro messaggio mandato da TIM o Vodafone (non so come li componga la 3 e la Wind non avendoli come gestori di telefonia mobile) nel caso in cui si perda una telefonata per cellulare occupato o non raggiungibile.

I gentili signori di susegreteria.biz confezionano un messaggio ben realizzato e senza errori ortografici per indurre l’utente finale a comporre il numero a tariffazione maggiorata cascando nella loro trappola.

Inutile dire che IL MESSAGGIO VA IMMEDIATAMENTE CANCELLATO E NON SI DOVRA’ CHIAMARE QUEL NUMERO!

Ovviamente sono andato a fare visita al sito citato nel messaggio. Indovinate un pò, nessuna pagina riporta la tariffazione applicata al numero telefonico da chiamare per sapere chi ti ha cercato con urgenza. In compenso ci si trova di fronte ad un “luogo” di incontri che rilascia le sue password proprio da quel numero 899. La pagina dei contatti non riporta alcun dettaglio della società e permette di compilare un form che genererà automaticamente una mail che sarà poi inviata ai responsabili della truffa.

Qualche informazione sul dominio:

Domain Name:                                 SUSEGRETERIA.BIZ
Domain ID:                                   D18446245-BIZ
Sponsoring Registrar:                        DIRECT INFORMATION PVT LTD DBA PUBLICDOMAINREGISTRY.COM
Sponsoring Registrar IANA ID:                303
Domain Status:                               ok
Registrant ID:                               PP-SP-001
Registrant Name:                             Domain Admin
Registrant Organization:                     PrivacyProtect.org
Registrant Address1:                         P.O. Box 65
Registrant Address2:                         All Postal Mails Rejected, visit Privacyprotect.org
Registrant City:                             Monster
Registrant Postal Code:                      2680 AB
Registrant Country:                          Netherlands
Registrant Country Code:                     NL
Registrant Phone Number:                     +45.36946676
Registrant Email:                            *******@privacyprotect.org
Administrative Contact ID:                   PP-SP-001
Administrative Contact Name:                 Domain Admin
Administrative Contact Organization:         PrivacyProtect.org
Administrative Contact Address1:             P.O. Box 65
Administrative Contact Address2:             All Postal Mails Rejected, visit Privacyprotect.org
Administrative Contact City:                 Monster
Administrative Contact Postal Code:          2680 AB
Administrative Contact Country:              Netherlands
Administrative Contact Country Code:         NL
Administrative Contact Phone Number:         +45.36946676
Administrative Contact Email:                *******@privacyprotect.org
Billing Contact ID:                          PP-SP-001
Billing Contact Name:                        Domain Admin
Billing Contact Organization:                PrivacyProtect.org
Billing Contact Address1:                    P.O. Box 65
Billing Contact Address2:                    All Postal Mails Rejected, visit Privacyprotect.org
Billing Contact City:                        Monster
Billing Contact Postal Code:                 2680 AB
Billing Contact Country:                     Netherlands
Billing Contact Country Code:                NL
Billing Contact Phone Number:                +45.36946676
Billing Contact Email:                       *******@privacyprotect.org
Technical Contact ID:                        PP-SP-001
Technical Contact Name:                      Domain Admin
Technical Contact Organization:              PrivacyProtect.org
Technical Contact Address1:                  P.O. Box 65
Technical Contact Address2:                  All Postal Mails Rejected, visit Privacyprotect.org
Technical Contact City:                      Monster
Technical Contact Postal Code:               2680 AB
Technical Contact Country:                   Netherlands
Technical Contact Country Code:              NL
Technical Contact Phone Number:              +45.36946676
Technical Contact Email:                     *******@privacyprotect.org
Name Server:                                 NS.LATUASEGRETERIA.BIZ
Name Server:                                 NS2.LATUASEGRETERIA.BIZ
Created by Registrar:                        DIRECT INFORMATION PVT LTD DBA PUBLICDOMAINREGISTRY.COM
Last Updated by Registrar:                   DIRECT INFORMATION PVT LTD DBA PUBLICDOMAINREGISTRY.COM
Domain Registration Date:                    Mon Jun 04 15:00:17 GMT 2007
Domain Expiration Date:                      Tue Jun 03 23:59:59 GMT 2008
Domain Last Updated Date:                    Sat Aug 04 02:59:43 GMT 2007

Il sito ha circa tre mesi di vita e la stringa che dovrebbe riportare l’indirizzo (di casa / ufficio) del proprietario è sostituita da privacyprotect.org, noto servizio di protezione dati in fase di registrazione dominio.

Una sola raccomandazione: state sempre attenti!

Quando si ricevono questi avvisi dal proprio server che tenta di collegarsi ad un “suo collega” per manutenzione, scatta automatica la risata in stile “Cazzarola si fanno problemi pure tra di loro, mecojoni!“. Non è una casistica rara. Il problema delle licenze terminal in scadenza su macchine 2000/XP è come il 3×2 al supermercato, compare ogni volta che può.

Per scongiurare il blocco di collegamento verso la macchina destinazione si fa una semplice operazione da regedit. La procedura da effettuare sulla macchina sorgente è quindi la seguente:

  • Start / Esegui / Regedit
  • Navigare fino alla chiave HKEY_LOCAL_MACHINE\Software\Microsoft\MSLicensing
  • Effettuare un backup della chiave principale (File / Esporta / Deve essere selezionata “Intervallo di esportazione / Selezione”)
  • Cancellare l’intero ramo (sempre MSLicensing per capirci)
  • Provare a riconnettersi alla macchina destinazione e controllare che non dia più il problema.

Se dovesse sorgere qualche problema al successivo riavvio della macchina, potrete ripristinare la chiave cancellata semplicemente cliccando due volte sul file salvato in precedenza:

Confermando a video l’aggiunta delle informazioni contenute nel file *.reg all’interno del registro di Windows. Di regola non dovrebbe accadere nulla in quanto il sistema ricrea la chiave al successivo collegamento terminal.

Per qualsiasi problema l’area commenti è a disposizione :D

Da stamattina centinaia di client Skype hanno subito un massiccio attacco causato da una “non immagine” che infetta la macchina vittima per poi trasmettere messaggi (in lingua inglese, quindi facilmente individuabili) che invitano tutti i propri contatti a scaricare la stessa identica immagine (in realtà si tratta di un file scr – screen saver di Windows).

Ne parla anche il blog di Skype (ivi compresa la risoluzione):

Skype has learned that a computer virus called “w32/Ramex.A” is affecting users of Skype for Windows. Users whose computers are infected with this virus will send a chat message to other Skype users asking them to click on a web link that can infect the computer of the person who receives the message.

Una finestra esempio è la seguente:

clicca sull’immagine per ingrandire

L’infezione ha colpito due mie colleghe che pian piano hanno iniziato a infastidire il client del sottoscritto e di tutti gli altri nei nostri uffici. Poche ore dopo ecco comparire il primo messaggio risolutivo sul forum di Skype:

forum.skype.com/index.php?act=ST&f=2&t=96634

Velocissimamente, e in italiano, il listato da seguire passo passo per la pulizia:

  1. Riavviare il computer in modalità provvisoria;
  2. Aprire regedit (start – esegui – regedit);
  3. Individuare la chiave HKLM/software/microsoft/windows/currentversion/runonce e cercare la sottochiave che riporta mshtmldat32.exe quindi cancellarla;
  4. Andare nella cartella Windows\System32 e cancellare i seguenti file: wndrivs32.exe, mshtmldat32.exe, winlgcvers.exe, sdrivew32.exe;
  5. Andare nella cartella windows/system32/drivers/etc;
  6. Cercare il file hosts;
  7. Aprire il file con blocco note e cancellare tutte le voci (così da permettere nuovamente all’antivirus di aggiornarsi), salvare, chiudere;
  8. Riavviare il PC.

Non dovreste riscontrare ulteriori problemi.

Avevo parlato delle prime impressioni e problemi di Vista in questo post di qualche tempo fa. Il tutto si concludeva con una richiesta di aiuto per configurare al meglio eMule che continuava a non funzionare nel modo giusto. Ho risolto dopo poco scoprendo che la colpa era da affibbiare all’accoppiata antivirus e firewall.

Ci sono pochissime soluzioni antivirus davvero affidabili e testate su Windows Vista, AVG non lo è del tutto nonostante la certificazione esposta sul sito web ufficiale. Ho fatto svariate ricerche per individuare una coppia di software compatibile al 100% con il neonato di casa Microsoft.

La conclusione? Con gli antivirus ci siamo, con i firewall no :( La scelta dell’AV è ricaduta sull’ottimo Avast Home Edition, gratuito per scopi personali (previa richiesta di codice di registrazione da questa pagina). Il software è stabile, veloce, si aggiorna autonomamente e protegge la macchina a 360 gradi offrendo un modulo totalmente dedicato alla navigazione. L’unica pecca sta chiaramente nel rallentamento che il browser subisce in quanto Avast scansiona ogni oggetto presente nelle pagine web visitate.

Ottimo e meritevole di menzione il modulo di protezione p2p che svolge un perfetto lavoro in concomitanza di qualsiasi software di file-sharing installato sulla macchina. Inutile dire che il resto consiste nella protezione generica ed il controllo della posta in entrata/uscita, compatibile anche con Mozilla Thunderbird.

Per il firewall ho trovato un work-around momentaneo in attesa di scegliere la soluzione finale e più sicura (al posto del vecchio caro ZoneAlarm): il firewall integrato di Vista. Nettamente migliore del suo predecessore, questa nuova versione del software targato Microsoft offre un’interfaccia più professionale e approfondita se vi si accede dagli “Strumenti di amministrazione” della macchina. Si potranno decidere porte da tenere chiuse/aperte, particolari policy da applicare a programmi o ip della rete lan/esterna, filtri, nat e tanto altro ancora. Sono rimasto piacevolmente colpito da questa novità e posso solo consigliarla a chi si avvicina per la prima volta all’argomento “protezione” su Windows Vista.

Allo stato attuale tutti i software lavorano bene, il computer è protetto da eventuali attacchi esterni (che poi potrebbero arrivare solo da dentro la rete fastweb!) e posso ritenermi soddisfatto di un sistema operativo che ho visto “partire con il piede sbagliato” ma che sta lentamente facendomi cambiare idea, per la felicità di Paperino! :P