Tag Archive - Sicurezza

E Google disse: “Apriti Sesamo”

Letto, provato, servito, prima della buonanotte affinché arrivi ancora “caldo” nei vostri feed reader domattina, tra le prime letture, tra un caffè e la prima telefonata di lavoro!

La novità pare chiamarsi “Sesame” e non è altro che l’ennesimo metodo offerto da Google per evitare che le proprie credenziali finiscano nelle mani sbagliate. Un codice QR, uno scanner per poterlo leggere e un telefono capace di collegarsi ad internet per autenticarsi al centro account di Google, è tutto ciò che vi serve per accedere da qualsiasi postazione alle vostre risorse, senza preoccuparsi che un keylogger o qualsiasi altro intruso possano rovinarvi la festa, ammesso che vi fidiate del vostro telefono :-)

Si parte da qui:

accounts.google.com/sesame

così che venga generato e mostrato il codice QR da far scansionare al vostro telefono:

Google Sesame: Codice QR

Personalmente utilizzo “Scan” di QR Code City, disponibile gratuitamente in AppStore per iPhone e iPad. Esistono miriadi di applicazioni dello stesso tipo sull’AppStore, sull’Android Market, sul Windows Phone Market e sul BlackBerry App World, a voi la scelta.

Il funzionamento è davvero semplice:

  • fate partire la scansione del QR, questa vi porterà alla schermata di autenticazione di Google Accounts;
  • inserite i vostri dati di autenticazione e accedete confermando che siete stati voi ad avviare la richiesta di accesso tramite codice QR;
  • attendete che il PC “faccia il resto“, la pagina infatti modificherà in completa autonomia l’URL di destinazione permettendovi di entrare in GMail (o iGoogle) senza che voi abbiate digitato le credenziali sul PC, sarà il server di Google ad autorizzare l’ingresso.

QR Scan: Google Sesame (clicca per vedere l'intera schermata)

Inutile dirlo ma è sempre bene: non dimenticatevi di effettuare un logoff al termine della sessione di lavoro!

Aggiornamento 17/01/12 14.30
Come sfortunatamente fatto notare da Vik nei commenti (e su alcuni altri blog italiani arrivati pian piano sulla notizia), quello di Google era solo un esperimento, che è stato chiuso alla velocità della luce non appena ha cominciato ad essere troppo conosciuto e visitato dal web. Questo è il messaggio se si prova a visitare ora la pagina web di Sesame:

Hi there – thanks for your interest in our phone-based login experiment.While we have concluded this particular experiment, we constantly experiment with new and more secure authentication mechanisms.

Stay tuned for something even better!

Dirk Balfanz, Google Security Team.

DBAN: piazza pulita dei vecchi dischi

DBAN (Darik’s Boot And Nuke) è una distribuzione live, una delle tante a dirla tutta, ma fa esattamente ciò che promette. Ho cercato e trovato lo strumento più adatto a me durante l’ultimo cambio di portatili aziendali (fine leasing) dotati di disco SATA (e qualche più vecchio IDE).

Due o tre -vecchi anche loro- CD riscrivibili e la ISO da soli 10 MB masterizzata in pochi secondi, DBAN si può scaricare gratuitamente da Sourceforge (o più genericamente dalla pagina download del sito ufficiale):

sourceforge.net/projects/dban/files/dban/dban-2.2.6/dban-2.2.6_i586.iso/download

Ho messo in fila i vari portatili e lanciato le formattazioni utilizzando uno dei metodi messi a disposizione (maggiori informazioni su ciascun metodo sono disponibili su Wikipedia o nella documentazione ufficiale del progetto), l’attesa varia chiaramente dalla velocità o dalla quantità di spazio a disposizione del disco di ciascun portatile. Occhio a ciò che scegliete perché potreste arrivare ad impiegare anche un’intera giornata.

DBAN su Dell Latitude D630

Avviato il supporto date conferma sulla modalità Wizard, quindi selezionate metodo, passaggi e verifica, basterà un semplice colpo di barra spaziatrice in corrispondenza del disco che volete formattare per selezionarlo (viene evidenziato con un “wipe”). Non resta che lanciare la formattazione con F10.

Il PC è pronto per essere riconsegnato, ora con il disco pulito :)

Phishing: Unicredit / PostePay

Nonostante io mi auguri che nessuno più caschi in questi trucchetti, ci tengo ogni tanto a pubblicare tentativi di phishing che passano anche dalle caselle di posta del sottoscritto, colpendo -la maggior parte delle volte- istituti di credito italiani tra i quali le Poste, ultimamente sempre più in voga, soprattutto quando si parla di PostePay.

Oggi ho ricevuto l’ennesima comunicazione riguardante la necessità di confermare un mio recapito al quale Unicredit potesse mandare tutte le comunicazioni inerenti il mio conto corrente. Partendo dal presupposto che io non sono cliente di Unicredit e che per l’ennesima volta ci si trovasse davanti ad un tentativo di truffa, ho voluto analizzare rapidamente l’attacco, scoprendo un paio di cose interessanti.

La mail che mi è arrivata, sorpassando agilmente i controlli di sicurezza di GMail è questa:

COMUNICAZIONE IMPORTANTE

MODIFICA INDIRIZZO E-MAIL

Gentile Cliente,
dalle nostre verifiche risulta che non hai specificato un indirizzo e-mail univoco per tutti i servizi offerti dal Portale.

Per motivi di sicurezza e per uniformare i nostri archivi, ti chiediamo di confermare un unico indirizzo e-mail, che verrà utilizzato per tutti i Servizi e le comunicazioni da parte di Unicredit Banca (ad es. e/c online, newsletter, 3D Secure).

Premi QUI per confermare il tuo indirizzo email

Grazie della collaborazione,
Francesca Mazzetti
Servizio Clienti

Un italiano corretto, privo di grossolani errori grammaticali e di forma (considerando il non-formalismo utilizzato nel testo, forse un po’ strano per questo tipo di comunicazioni), fatta eccezione per il “Cliente” con la “C” maiuscola, “Portale” con la “P” maiuscola,  “e/c online” quasi certamente al posto di “c/c online“, il punto mancante alla fine della frase “Premi QUI per …“.

Inutile dire che cliccando dove indicato si viene riportati ad un clone della vecchia interfaccia di login utente di Unicredit, vero?

Questa è la mail originale, header compresi:


Delivered-To: gioxx.gxware@gmail.com
Received: by 10.223.81.68 with SMTP id w4cs206040fak;
        Fri, 4 Nov 2011 06:25:50 -0700 (PDT)
Received: by 10.204.145.151 with SMTP id d23mr12013201bkv.100.1320413148770;
        Fri, 04 Nov 2011 06:25:48 -0700 (PDT)
Return-Path: <me@localhost.com>
Received: from yoda.techtemple.org (yoda.techtemple.org. [78.46.21.8])
        by mx.google.com with ESMTPS id k5si5597359faa.20.2011.11.04.06.25.48
        (version=TLSv1/SSLv3 cipher=OTHER);
        Fri, 04 Nov 2011 06:25:48 -0700 (PDT)
Received-SPF: neutral (google.com: 78.46.21.8 is neither permitted nor denied by best guess record for domain of me@localhost.com) client-ip=78.46.21.8;
Authentication-Results: mx.google.com; spf=neutral (google.com: 78.46.21.8 is neither permitted nor denied by best guess record for domain of me@localhost.com) smtp.mail=me@localhost.com
Received: from localhost (localhost [IPv6:::1])
	by yoda.techtemple.org (Postfix) with ESMTP id 7BD2F99F
	for <gioxx@gxware.org>; Fri,  4 Nov 2011 14:25:48 +0100 (CET)
X-Relay-Countries: IT IT **
X-Spam-ASN: AS31034 62.149.128.0/19
X-Virus-Scanned: amavisd-new at yoda.techtemple.org
X-Spam-Flag: YES
X-Spam-Score: 7.332
X-Spam-Level: *******
X-Spam-Status: Yes, score=7.332 tagged_above=0.1 required=5
	tests=[FROM_MISSP_DKIM=0.001, FROM_MISSP_URI=0.001,
	HTML_MESSAGE=0.001, MIME_HEADER_CTYPE_ONLY=1.996,
	MIME_HTML_ONLY=1.105, RAZOR2_CHECK=1.729, TO_NO_BRKTS_FROM_MSSP=2.499]
	autolearn=no
X-Greylist: from auto-whitelisted by SQLgrey-1.8.0-rc2
Received: from smtpsmart3.aruba.it (smtpweb114.aruba.it [62.149.158.114])
	by yoda.techtemple.org (Postfix) with SMTP id 2B56D99B
	for <gioxx@gxware.org>; Fri,  4 Nov 2011 14:25:42 +0100 (CET)
Received: (qmail 15310 invoked by uid 89); 4 Nov 2011 13:25:40 -0000
Received: by simscan 1.2.0 ppid: 14984, pid: 15004, t: 1.3232s
         scanners: clamav: 0.88.4/m:40/d:1945 spam: 3.1.4
Received: from unknown (HELO webs2028.aruba.it) (62.149.132.38)
  by smtpsmart3.fe.aruba.it with SMTP; 4 Nov 2011 13:25:39 -0000
Received: from webs2028 ([127.0.0.1]) by webs2028.aruba.it with Microsoft SMTPSVC(7.5.7601.17514);
	 Fri, 4 Nov 2011 14:24:45 +0100
Date: Fri, 04 Nov 2011 14:24:45 +0100
Subject: [SPAM] Comunicazioni: documento n.D946M00153641
To: gioxx@gxware.org
From:UniCredit Banca<info.ucfin@unicreditgroup.it>
Content-Type: text/html
Message-ID: <WEBS20289W1IpMKX9ss00018aee@webs2028.aruba.it>
X-OriginalArrivalTime: 04 Nov 2011 13:24:45.0812 (UTC) FILETIME=[1E9C3340:01CC9AF5]

<HTML>

<BODY>
<DIV
style="Z-INDEX: 0; POSITION: absolute; WIDTH: 758px; HEIGHT: 290px; OVERFLOW: hidden; TOP: 29px; LEFT: 44px"
id=text1>
<DIV>
<DIV><FONT color=#ff0000 face=Arial>COMUNICAZIONE IMPORTANTE
</FONT></DIV>
<DIV><FONT face=Calibri><BR></FONT></DIV>
<DIV><FONT face=Calibri>MODIFICA INDIRIZZO E-MAIL </FONT></DIV>
<DIV><FONT face=Calibri><BR></FONT></DIV>
<DIV><FONT face=Calibri>Gentile Cliente, </FONT></DIV>
<DIV><FONT face=Calibri>dalle nostre verifiche risulta che non hai
specificato un indirizzo e-mail univoco per tutti i servizi offerti dal Portale.
</FONT></DIV>
<DIV><FONT face=Calibri><BR></FONT></DIV>
<DIV><FONT face=Calibri>Per motivi di sicurezza e per uniformare i
nostri archivi, ti chiediamo di confermare un unico indirizzo e-mail, che verr&agrave;
utilizzato per tutti i Servizi e le comunicazioni da parte di Unicredit Banca (ad es.
e/c online, newsletter, 3D Secure). </FONT></DIV>
<DIV><FONT face=Calibri><BR></FONT></DIV>
<DIV><FONT face=Calibri>Premi </FONT><FONT face=Arial><a href="http://www.privaticartasionline.info/images/web/loginClr_js.htm">QUI</A></FONT><FONT
class=ws11 face=Calibri> per confermare il tuo indirizzo email</FONT></DIV>
<DIV><FONT face=Calibri><BR></FONT></DIV>
<DIV><FONT face=Calibri>Grazie della collaborazione,</FONT></DIV>
<DIV><FONT face=Calibri>Francesca Mazzetti</FONT></DIV>
<DIV><FONT face=Calibri>Servizio Clienti</FONT></DIV>
<DIV><FONT face=Calibri><BR></FONT></DIV></DIV></DIV></BODY></HTML>

E queste sono le informazioni riguardanti il sito web al quale si appoggia il tentativo di phishing operato:


Domain ID:D37160236-LRMS
Domain Name:PRIVATICARTASIONLINE.INFO
Created On:11-Mar-2011 15:04:34 UTC
Last Updated On:10-May-2011 20:34:34 UTC
Expiration Date:11-Mar-2012 15:04:34 UTC
Sponsoring Registrar:Directi Internet Solutions Pvt. Ltd. dba PublicDomainRegistry.com (R159-LRMS)
Status:CLIENT TRANSFER PROHIBITED
Registrant ID:PP-SP-001
Registrant Name:Domain Admin
Registrant Organization:PrivacyProtect.org
Registrant Street1:ID#10760, PO Box 16
Registrant Street2:Note - All Postal Mails Rejected, visit Privacyprotect.org
Registrant Street3:
Registrant City:Nobby Beach
Registrant State/Province:
Registrant Postal Code:QLD 4218
Registrant Country:AU
Registrant Phone:+45.36946676
Registrant Phone Ext.:
Registrant FAX:
Registrant FAX Ext.:
Registrant Email:contact@privacyprotect.org
Admin ID:PP-SP-001
Admin Name:Domain Admin
Admin Organization:PrivacyProtect.org
Admin Street1:ID#10760, PO Box 16
Admin Street2:Note - All Postal Mails Rejected, visit Privacyprotect.org
Admin Street3:
Admin City:Nobby Beach
Admin State/Province:
Admin Postal Code:QLD 4218
Admin Country:AU
Admin Phone:+45.36946676
Admin Phone Ext.:
Admin FAX:
Admin FAX Ext.:
Admin Email:contact@privacyprotect.org
Billing ID:PP-SP-001
Billing Name:Domain Admin
Billing Organization:PrivacyProtect.org
Billing Street1:ID#10760, PO Box 16
Billing Street2:Note - All Postal Mails Rejected, visit Privacyprotect.org
Billing Street3:
Billing City:Nobby Beach
Billing State/Province:
Billing Postal Code:QLD 4218
Billing Country:AU
Billing Phone:+45.36946676
Billing Phone Ext.:
Billing FAX:
Billing FAX Ext.:
Billing Email:contact@privacyprotect.org
Tech ID:PP-SP-001
Tech Name:Domain Admin
Tech Organization:PrivacyProtect.org
Tech Street1:ID#10760, PO Box 16
Tech Street2:Note - All Postal Mails Rejected, visit Privacyprotect.org
Tech Street3:
Tech City:Nobby Beach
Tech State/Province:
Tech Postal Code:QLD 4218
Tech Country:AU
Tech Phone:+45.36946676
Tech Phone Ext.:
Tech FAX:
Tech FAX Ext.:
Tech Email:contact@privacyprotect.org
Name Server:NS1.HOST-CARE.COM
Name Server:NS2.HOST-CARE.COM

Intelligentemente protetto affinché il reale proprietario non venga dichiarato (basta pagare, è un servizio che ormai offrono in tanti).

La cosa curiosa è che provando a visitare la radice del sito web interessato, si possono scoprire altri due cloni pronti per essere utilizzati: PostePay e CartaSi.

Ho volutamente evitato di segnalarvi in chiaro il sito in questione (anche se lo si può comunque notare dal whois sopra dichiarato) e nel frattempo ho già inviato una segnalazione a Google affinché possa farvi comparire il solito messaggio di sito contraffatto in Firefox o Chrome, qui maggiori informazioni direttamente da Mozilla.

Occhio a quello che visitate! ;-)

SEP: clonazione delle postazioni con l’antivirus preinstallato

Il client Symantec Endpoint Protection, come tanti altri antivirus presenti sul mercato, prevede la possibilità che questo venga installato su una macchina che verrà poi clonata su tante altre, come nel caso di questi giorni nella mia azienda.

Diversi i modelli, tante le macchine, preparazione di un solo “master” per ciascun modello, che verrà poi replicato a catena su tutte le altre macchine ancora da preparare. Per poter intervenire nello specifico sul client Symantec basterà andare a cancellare una chiave di registro ed un file che contengono (entrambi) la chiave / ID Hardware della macchina, come suggerito dall’articolo in KB ufficiale:

symantec.com/business/support/index?page=content&id=TECH102815&locale=en_US

Per evitare di farlo a mano, ho preferito realizzare un piccolo script che -lanciato da amministratore locale della macchina prima di spegnerla- fa quanto richiesto dalla documentazione:

  • lancia una pulizia di cronologia e file temporanei dalla macchina (dato che compie operazioni dopo le quali questa verrà spenta e resa “pronta” per la clonazione);
  • verifica la presenza della cartella C:\temp (io la utilizzo per appoggiare i software da installare) e la rimuove completamente senza passare dal cestino;
  • spegne il servizio del client Symantec passando come parametro la password (-p PASSWORD-SYMANTEC), da modificare -ovviamente- nel caso in cui voi ne utilizzate una o non la utilizziate affatto;
  • dopo un’attesa di 5 secondi lancia una cancellazione del contenuto della cartella HWID sotto i file comuni di Symantec e del valore di registro relativo, quindi spegne la macchina.

espresso in codice (sporco, a dirla tutta) si ottiene questo:


REM Pulizia file temporanei e di cache
RunDll32.exe InetCpl.cpl,ClearMyTracksByProcess 8
rd /S /Q %TEMP%
REM Cancellazione cartella temp
if exist C:\temp rd /S /Q C:\temp
REM Rimozione Hardware ID SEP dalla macchina
cd "%ProgramFiles%\Symantec\Symantec Endpoint Protection\"
Smc.exe -stop -p PASSWORD-SYMANTEC
ping 127.0.0.1 -n 5 -w 1000 > nul
if exist "%ProgramFiles%\Common Files\Symantec Shared\HWID\sephwid.xml" del "%ProgramFiles%\Common Files\Symantec Shared\HWID\sephwid.xml"
REG DELETE "HKLM\SOFTWARE\Symantec\Symantec Endpoint Protection\SMC\SYLINK\SyLink" /v HardwareID /f
shutdown -s -t 5

Non ho voluto pulirlo e ho volutamente lasciato dei REM al posto dei soliti ECHO (magari con un bell’ECHO OFF a inizio codice, seguito da un CLS). A voi farlo nel caso in cui vi serva realmente, penso che per uno script “di servizio” da usare solo in questi casi non sia necessario abbellirlo più di tanto ;-)

AdBlock: X Files 20110202

Primo corposo aggiornamento dell’anno, arrivato con un due giorni di ritardo causati dal tempo libero tendente allo zero del sottoscritto, una settimana indubbiamente fuori dal normale! :mrgreen:

Vi presento quindi X Files 20110202, che propone 134 nuovi filtri e una moltitudine di nuovi report chiusi (qui trovate il nuovo file readme). Con l’occasione vorrei ricordarvi che per consultare anche i precedenti report sarà possibile collegarsi all’indirizzo mozilla.gfsolone.com/readme e selezionare quello desiderato.

Solito promemoria: è disponibile su Facebook la pagina ufficiale di ABP X Files, i fan sono i benvenuti, lo stesso vale per i suggerimenti, le critiche costruttive e tutto quello che vi passa per la testa. Facebook è il canale attraverso il quale pubblico notizie e aggiornamenti riguardo il progetto, il modo più veloce per raggiungere tutti gli utilizzatori (attuali e futuri!).

Ecco quindi le specifiche:

Dettagli sul rilascio

  • versione: 20110202
  • rilasciata il: 04 febbraio 2011 (previsto: 02 febbraio 2011)
  • voci incluse: 1428
  • voci nuove: 134
  • occupazione su disco: 47 KB
  • richiede: ABP 1.0.1 o superiore (consigliato ABP 1.3.3)

Sottoscrivi Abp X Files ora!

NoFacebookAds

La versione ufficiale di NoFacebookAds rimane la 0.4, rilasciata insieme alla penultima lista stabile X Files. E’ comunque in fase di perfezionamento la 0.5 che -per ora- lascio come sperimentale. Quest’ultima non bloccherà completamente il contenuto della sidebar di Facebook ma andrà a eliminare solo ed esclusivamente le porzioni di CSS che permettono il caricamento dei popup con contenuto pubblicitario.

E’ possibile sottoscrivere la sperimentale aggiungendo alle proprie sottoscrizioni l’url mozilla.gfsolone.com/sperimentale.txt. La lista sarà ufficialmente rilasciata insieme alla prossima X Files Stable del 03 marzo 2011.

Maggiore frequenza di rilascio

Un’idea, un tentativo, la voglia di rilasciare una nuova lista stabile ogni mese per includere tutte le novità e le correzioni quotidianamente segnalate dagli utilizzatori tramite il reporting interno di AdBlock Plus e gli altri sistemi disponibili. La data del prossimo rilascio è fissata (attualmente, salvo problemi) per mercoledì 3 marzo 2011.

Bug tracker, l’importanza della segnalazione

Ancora una volta sottolineo che è importante segnalare immediatamente malfunzionamenti dovuti alla lista, così che possa mettere mano ai blocchi “di troppo” togliendoli di mezzo (o semplicemente correggendoli) in lista “dev“, ed in seguito nella stabile che verrà poi rilasciata per tutti.

Gli utilizzatori di Mozilla Firefox potranno ora utilizzare il nuovo sistema di reporting integrato in AdBlock Plus. Tutti gli altri potranno aprire un nuovo bug tramite Google, l’operazione richiede un minuto (forse meno) del vostro tempo:

code.google.com/p/abpxfiles/issues/list

Domande frequenti

A partire dal mese di dicembre 2009 (circa) ho ritenuto opportuno mettere in piedi una sezione “Domande frequenti” all’interno della pagina web ufficiale di ABP X Files, così da poter rispondere ai dubbi degli utenti che utilizzano la lista. Per poter consultare le domande potete puntare il vostro browser all’indirizzo:

mozilla.gfsolone.com/#abp_faq

E’ possibile inoltre consultare la serie di articoli “domande & risposte” pubblicati su questo blog: gioxx.org/tag/xfilesfaq.

Nel caso in cui vogliate sapere qualcosa che non è ancora presente in quella serie di domande, vi invito ad aprire un ticket di assistenza su Google o scrivermi una mail (giovanni@solone.it) o ancora -se preferite- lasciare un commento a questo post.

Aggiornamento automatico

Nel caso in cui la vostra sottoscrizione punti correttamente a mozilla.gfsolone.com/filtri.txt, Firefox dovrebbe automaticamente aggiornare la lista all’avvio, facendo risultare come data di ultimo aggiornamento quella del rilascio (oggi, 01 dicembre 2010):

In caso contrario leggere il paragrafo seguente (Aggiornamento manuale) ed assicurarsi di aver sottoscritto la lista dall’indirizzo mozilla.gfsolone.com.

Aggiornamento manuale

  • Dal pulsante di AdBlock presente nella toolbar di Firefox cliccare sulla freccia verso il basso e selezionare “Impostazioni“;
  • Fare clic con il tasto destro del mouse sulla sottoscrizione X Files e selezionare la voce “Aggiorna la sottoscrizione ora

Per qualsiasi problema non esitate ad aprire un nuovo ticket di assistenza, così che possa correggere i problemi prima del prossimo rilascio ufficiale.

Buon update :)

Page 5 of 25« First...«34567»...Last »