Archives For Sicurezza

Non di sola carta è fatto un post-it. Uno dei compagni sui quali si tende a fare più affidamento molto spesso in ufficio è parte integrante del sistema operativo di Microsoft sin dalla sua settima versione. È “Sticky Notes” e può essere richiamato semplicemente cercandolo nel menu di Start. Molti di voi (me compreso) lo utilizzano quotidianamente per tenere a portata di clic una serie di note, appunti, numeri di riferimento e chissà cos’altro. Ma avete mai pensato alla sicurezza di quei “pezzetti di carta virtuale“? Avete mai avuto la necessità di trasferirli su un altro PC o passarli ad un’altra persona?

Sticky Notes Backup & Restore: tieni al sicuro le tue note!

Tutte le vostre note vengono conservate all’interno di un file che si trova nella cartella %AppData% del profilo utente, più precisamente, qui:

%appdata%\Microsoft\Sticky Notes

In teoria la cartella è popolata da un solo file (StickyNotes.snt), Sacro Graal dei vostri appunti. Perso o danneggiato lui, perso tutto. Dato che ho avuto la necessità di spostare le mie note da un PC all’altro, ho pensato di scrivere qualche riga di codice da rendere disponibile a tutti per permettere il backup ed il restore di questo file per evitare possibili errori umani. Si chiama Sticky Notes Backup & Restore ed è disponibile gratuitamente su is.gd/stickynotes.

Tra una modifica e l’altra in beta chiusa, è arrivato alla sua versione 0.4, ora pubblica. Il software permette due sole scelte: il backup o il restore delle note partendo dal file originale o da un vostro backup:

Sticky Notes Backup & Restore: tieni al sicuro le tue note! 1

Entrambe le operazioni faranno comparire a video un popup che vi permetterà di scegliere la destinazione del backup o la sorgente del restore dal quale pescare il file StickyNotes.snt precedentemente salvato. Solo l’operazione di Restore andrà a chiudere in maniera forzata l’applicazione Sticky Notes di Windows se questa risulterà aperta, così che il file delle note sia sovrascrivibile dal vostro backup. Basterà poi avviarlo manualmente al termine dell’operazione e godervi così (nuovamente) le vostre note.

La compatibilità è garantita con Microsoft Windows 7, 8, 8.1 e il nuovo arrivato 10.

Non c’è altro da spiegare (anche perché il codice e il funzionamento sono assolutamente banali). Scaricate l’applicazione, utilizzatela e, nel caso in cui voleste segnalarmi qualcosa, utilizzate l’area commenti a vostra disposizione.

Buon lavoro!

Android's Corner è il nome di una raccolta di articoli pubblicati su questi lidi che raccontano l'esperienza Android, consigli, applicazioni, novità e qualsiasi altra cosa possa ruotare intorno al mondo del sistema operativo mobile di Google e sulla quale ho avuto possibilità di mettere mano, di ritoccare, di far funzionare, una scusa come un'altra per darvi una mano e scambiare opinioni insieme :-)

Di Stagefright ne stanno parlando proprio tutti, si tratta di un exploit per Android che consente di prendere il infettare un qualsiasi dispositivo tramite un contenuto di tipo media malformattato inviato tramite MMS. Tralasciando che ad oggi non credo che nessuno di noi continui ad utilizzare gli MMS, il bug è serio e occorre proteggersi per dormire sonni più tranquilli, in attesa che la patch già scritta e messa a disposizione dei vendor da Google possa essere pubblicata per il vostro dispositivo.

Stagefright: l'attacco arriva dagli MMS, come difendersi

Se i Nexus sono quindi al sicuro dall’attacco poiché “gestiti” direttamente da big G., sul vostro smartphone occorrerà mettere mano alle impostazioni del vostro client SMS / MMS. Io utilizzo Messenger di Google, qui di seguito trovate il da farsi (spiegato tramite una GIF), grazie a quanto prodotto dal sito web twilio.com, anche per chi ancora utilizza Hangouts:

Stagefright: l'attacco arriva dagli MMS, come difendersi 1 Stagefright: l'attacco arriva dagli MMS, come difendersi 2

Già che ci siete, approfittate dell’occasione per cambiare l’applicazione di gestione SMS / MMS predefinita, passate a Messenger:

Messenger
Developer: Google Inc.
Price: Free

credits: twilio.com, grazie @oskarnrk per la segnalazione

Non mi soffermerò su quanto accaduto riguardo il caso “Hacking Team“, preferisco rimandarvi ad uno di quegli articoli in cui Matteo sembra leggere nella mia testa esponendo i miei stessi pensieri. Ciò che voglio fare oggi è semplicemente consigliarviper l’ennesima voltadi diffidare ove possibile di Adobe Flash e dei suoi enormi buchi come se la gruviera svizzera al confronto fosse acqua fresca sgorgata appena due giorni fa e non una tradizione consolidata del Paese.

Firefox: Passare al Click to Play per Adobe Flash

In Firefox (ma esistono le alternative nei browser più utilizzati) c’è la possibilità di sfruttare ormai da tempo la funzione “Click to Play” che blocca preventivamente lo sfruttamento di un plugin richiedendo l’autorizzazione a procedere all’utilizzatore del browser.

Flash non fa eccezione e può (e dovrebbe sempre) essere vincolato a questa opzione. Per abilitarla basta un attimo del vostro tempo. Andate nella schermata dei componenti aggiuntivi di Firefox (dalla barra del menu oppure digitando about:addons nella barra dell’URL), spostatevi in Plugin ed in corrispondenza di Shockwave Flash selezionate “Chiedi prima di attivare“:

Firefox: Passare al Click to Play per Adobe Flash 2

La modifica è immediata, non servirà riavviare il browser. A questo punto, quando un sito web necessiterà dell’esecuzione di Flash in Firefox, comparirà a video la richiesta di attivazione. Sarete voi a decidere se lasciarlo entrare in azione o meno, ma soprattutto potrete scegliere se farlo per la singola sessione o in maniera definitiva. Occhio quindi a ciò che autorizzate in maniera permanente ma non vi preoccupate, potrete sempre “tornare indietro“.

Firefox: Passare al Click to Play per Adobe Flash 3

Questo, così come molti altri consigli e trucchi di utilizzo di Firefox è presente nella Knowledge Base ufficiale. L’articolo di cui parlo stavolta è disponibile su mzl.la/1M7tUdI.

Buon fine settimana e occhi sempre ben aperti!

Aggiornamento 23/7/15
Dato che qualcuno di voi mi ha giustamente segnalato (a mezzo privato, proprio non vi va giù l’area commenti eh?) che non tutti hanno scelto Firefox come loro browser predefinito, vi rimando all’articolo (in inglese) di Graham Cluley che vi spiega il da farsi sui software alternativi. Da Google Chrome a Safari passando per Opera.

L’ultima volta che vi ho parlato di EaseUS è stato in occasione del recupero spazio di una partizione sulle macchine Lenovo che stiamo utilizzando in ufficio, grazie al loro prodotto Partition Master. Della bontà dei prodotti EaseUS ve ne ho già parlato, si parte sempre con qualcosa di free ed utilizzabile a fini non commerciali, per passare poi alle versioni casalinghe e quelle professionali sotto licenza. Oggi è il turno di Todo Backup, in versione Home (singola licenza), un prodotto specificatamente dedicato alla sicurezza dei vostri dati.

EaseUS Todo Backup Home: mettete al sicuro i vostri dati

Partiamo da un presupposto ormai di base: siamo circondati da servizi e relative applicazioni che ci permettono di salvare i dati in cloud. Alcuni di questi servizi offrono anche la possibilità di realizzare e conservare backup completi di sistema presso datacenter costantemente monitorati e manutenzionati. Aziende che fanno dello storage professionale e della conservazione dati il loro core business, quindi chi fa un backup del proprio sistema su un disco locale è sempre più “perla rara“, decidere di utilizzare e parlare di questo prodotto nasce proprio dalla necessità di avere un backup dati (un’intera configurazione di sistema) su un disco esterno molto più accessibile (soprattutto per rapidità) nel caso in cui capiti qualcosa ad una delle mie macchine casalinghe.

EaseUS Todo Backup Home svolge esattamente questo lavoro: una volta installato vi permetterà di effettuare in maniera semplice e intuitiva un backup di file o dell’intero sistema che lo sta ospitando in quel momento, concedendovi inoltre la possibilità di creare supporti auto-avvianti (CD / DVD / USB / ISO caricabile su chiave USB multi-sistema come già fatto e descritto in passato) per lanciare il software ancora prima che Windows si avvii, per creare un ghost del disco intero, ripristinabile così sullo stesso disco o su un sostitutivo (utile per passaggi da disco meccanico a SSD, tanto per fare un esempio che oggi va per la maggiore, o magari per passare ad un diverso taglio per nuove esigenze).

Le funzioni principali del programma prevedono -come già detto- la possibilità di creare un backup di file da una o più cartelle del disco (una cosa semplice, che magari può aiutarvi a copiare ciò che vi interessa trasportando poi il tutto in un singolo file, pur costringendovi così ad avere lo stesso programma anche sul PC di destinazione, ndr) o quello di sistema che va a mettere al sicuro l’installazione del vostro Windows (pensateci: nessun programma da riconfigurare ma portate via con voi potenzialmente molti file inutili o chiavi di registro orfane). A queste però si aggiungono le funzioni di backup posta (ammesso che abbiate Outlook installato sul vostro sistema, altri programmi sembrano non essere contemplati da EaseUS Todo Backup Home, non per ora almeno) o quelle di clonazione disco (perfetto per passare da disco meccanico a SSD oppure dal vostro attuale ad uno più capiente, a prescindere dalla tecnologia) senza la necessità di dover conoscere alcun dettaglio sulle partizioni attualmente esistenti e con l’ulteriore possibilità di ottimizzare la copia dati proprio per passare a SSD nella migliore condizione possibile.

Ogni backup può essere schedulato (salvo le clonazioni complete disco a sistema spento, ovviamente) e sarete voi a decidere se farlo completo, differenziale (solo ciò che cambia da una schedulazione all’altra) o incrementale (come la differenziale con lo svantaggio della necessità che tutte le immagini incrementali siano al loro posto, in caso contrario il backup più recente non servirà a nulla).

Di Todo Backup ne esiste anche una versione gratuita che, rispetto alla Home a licenza, non permette di escludere file dal backup o mettere al sicuro le mail e le impostazioni di Outlook, creare il backup su spazio FTP, notifiche mail in base alle schedulazioni oltre ovviamente a non poter chiedere supporto in maniera ufficiale allo staff di EaseUS. La velocità del trasferimento dati tra le varie versioni di programma cambia secondo quanto detto dalla società, in tutta onestà però questo è un dettaglio che non ho riscontrato dalla Free alla Home.

Il difetto più grande di EaseUS Todo Backup Home è forse la sola compatibilità con sistemi Windows, quando in realtà sul mercato esistono e sono sempre più utilizzati (anche a livello casalingo) OS X e Linux (Ubuntu, ad esempio).

Disclaimer per un mondo più pulito
Gli articoli che appartengono al tag "Banco Prova" riportano la mia personale esperienza con prodotti generalmente forniti da chi li realizza. In alcuni casi il prodotto descritto rimane a me, in altri viene restituito. In altri casi ancora sono io ad acquistare il prodotto e decidere di pubblicare un articolo ad-hoc in seguito, solo per il piacere di farlo e condividere con voi i miei pensieri. Ogni articolo rispetta -come sempre- il mio standard: nessuna marchetta, solo il mio parere, riporto i fatti, a prescindere dal giudizio finale.

Prodotto: fornito da EaseUS, ho tenuto la copia a me destinata per i test.

Non è una novità ma di sicuro sarà sempre più diffuso considerando che molti siti web non riescono a stare al passo con i tempi (e con i criteri ormai minimi di sicurezza). L’errore che vedete nel titolo di questo articolo potrebbe comparirvi a video da un momento all’altro senza lasciarvi apparentemente scampo, qualcosa di molto simile a questa immagine di seguito:

Firefox: ssl_error_no_cypher_overlap (Secure Connection Failed)

Si tratta di un problema “conosciuto” e già discusso anche nel forum di supporto globale di Mozilla: support.mozilla.org/it/questions/1035245. Fa riferimento al fatto che Firefox vada ad impedire l’apertura di siti web non sicuri, che utilizzano protocolli superati, ampiamente bucati e che possono mettere quindi in pericolo i vostri dati sensibili. È giusto, assolutamente corretto e sacrosanto, ma evidentemente non ancora chiaro per chi gestisce siti web che non sono stati nel frattempo aggiornati, uno di questi (come si vede dallo screenshot poco sopra) è quello dei clienti Deutsche Bank.

Per poter accedere al loro portale movimenti sarà necessario chiedere a Firefox di essere meno intransigente e abbassare (temporaneamente) il livello di sicurezza. Andate in about:config e -una volta accettate le condizioni- cercate questo riferimento:

security.tls.version.fallback-limit

Portando il suo valore a 1 così da permettere a Firefox di aprire siti web che utilizzano almeno il layer di sicurezza TLS 1.0.

Firefox: ssl_error_no_cypher_overlap (Secure Connection Failed) 1

La modifica è immediata, potete aggiornare la pagina che ora dovrebbe aprirsi e permettervi il collegamento. Al termine delle vostre operazioni ricordate di tornare a modificare l’impostazione in about:config. Potete fare clic con il tasto destro sulla voce e scegliere “Ripristina” oppure modificare il valore 1 e tornare al 3 predefinito. È importante che non lo lasciate a uno, per la vostra sicurezza.