Tag Archive - Sicurezza

Firefox 13 e i problemi con Flash Player

Nuovo giro, nuovi problemi. Con l’arrivo di Flash 11.3 e Firefox 13 molti utenti hanno lamentato l’impossibilità di visualizzare video basati su player scritti in flash disponibili su una moltitudine di siti web internazionali, YouTube in primis.

Il problema è stato analizzato e risolto sul forum, rilevando un bug nel funzionamento della nuova Sandbox introdotta da Adobe per cercare di proteggere il più possibile il suo software dagli attacchi di terze parti: blogs.adobe.com/asset/2012/06/inside-flash-player-protected-mode-for-firefox.html.

Il bug è ora noto e la lavorazione porterà da ambo i lati al rilascio di nuovi versioni delle rispettive applicazioni. Nel frattempo per risolvere i colleghi di gruppo hanno localizzato la documentazione che serve a spiegarvi passo-passo il da farsi, già disponibile da giorni su SUMO: support.mozilla.org/it/kb/problemi-dopo-aggiornamento-flash-firefox.

Dato che un’ultima serie di passaggi suggeriti chiede di mettere mani all’interno delle cartelle del sistema operativo ho pensato di realizzare un piccolissimo script che possa aiutarvi nell’operazione automatizzandola. Ciò creerà un file di backup delle attuali impostazioni Flash della vostra macchina e ne inserirà di nuove in un file pulito che vanno poi ad escludere l’utilizzo dell’ancora poco compatibile Sandbox. Mi riferisco in particolare al paragrafo “Disattivare la modalità protetta per il plugin Flash” della documentazione italiana.

Firefox 13: Fix Flash Protected Mode for Firefox

Questo il codice:


:MMSCFGFOLDER
echo Verifica struttura sistema ...
if exist %windir%System32MacromedFlashmms.cfg set FOLDER=%windir%System32MacromedFlash
if exist %windir%syswow64MacromedFlashmms.cfg set FOLDER=%windir%syswow64MacromedFlash
if exist %FOLDER%mms.cfg ren %FOLDER%mms.cfg mms.cfg.backup && goto MODCFG
echo;
goto NOTFOUND
:MODCFG
echo Modifica file di configurazione ...
echo AutoUpdateDisable=0 >> %FOLDER%mms.cfg
echo SilentAutoUpdateEnable=1 >> %FOLDER%mms.cfg
echo ProtectedMode = 0 >> %FOLDER%mms.cfg
echo;
echo Provare ora a riaprire Firefox e verificare il corretto funzionamento di Flash.
goto END
:NOTFOUND
echo;
echo Non ho trovato il file di configurazione di Flash.
echo Chiedi supporto sul forum di Mozilla Italia
echo http://forum.mozillaitalia.org
echo;
pause
:END

Il fix già compilato (doppio clic e via) è disponibile all’indirizzo:

gfsolone.com/fix/Fx13-FlashFix.exe

Attenzione: il fix va lanciato come amministratore locale della macchina (o di dominio, se necessario), e accertatevi di aver chiuso Firefox prima di confermare l’avvio.

Una volta effettuata la verifica dell’esistenza della cartella sui sistemi a 32 e 64 bit, procede con il salvataggio del file di backup per poi inserire le stringhe di configurazione in un file pulito creato proprio dal fix. Riaprendo Firefox il problema non dovrebbe più presentarsi e i video torneranno a funzionare come in precedenza.

Entro breve Mozilla dovrebbe rilasciare Firefox 13.0.1 che permetterà alla nuova modalità di protezione Flash di funzionare correttamente. Nel frattempo potete adottare questo metodo che non necessita di ore di attesa per il rilascio ;-)

Buon lavoro!

Aggiornamento del 23/06/12
Per tutti coloro che avevano sperato in una risoluzione del problema grazie a Firefox 13.0.1, questo è un messaggio pubblicato stamane sul forum di supporto ufficiale:

Just a heads up that we are considering a 13.0.2 this weekend to help with the uptake of the new Flash update. Internal testing has had some very positive feedback on the reduction of crashes with the latest Flash update. I’ve been requesting feedback from the community on this and I haven’t seen anything substantial. This is specifically for crashes, not the other Flash issues with RealPlayer. If you have any info on the new Flash update, please let me know.

Aspettiamoci quindi un nuovo aggiornamento (Firefox 13.0.2) entro breve, con la speranza che possa finalmente mettere d’accordo la nuova modalità di Sandbox Adobe e il panda rosso di casa Mozilla.

Aggiornamento del 27/06/12
E ancora …

Just a note: because of the risk in taking the fix into 13.0.2, we’re delaying that while the fix is pushed to beta. It went out yesterday so we’ll be monitoring feedback for Firefox 14 for a few days to see if it regresses anything with plugins. In particular, we should pay attention to more obscure plugins like Java.

E Google disse: “Apriti Sesamo”

Letto, provato, servito, prima della buonanotte affinché arrivi ancora “caldo” nei vostri feed reader domattina, tra le prime letture, tra un caffè e la prima telefonata di lavoro!

La novità pare chiamarsi “Sesame” e non è altro che l’ennesimo metodo offerto da Google per evitare che le proprie credenziali finiscano nelle mani sbagliate. Un codice QR, uno scanner per poterlo leggere e un telefono capace di collegarsi ad internet per autenticarsi al centro account di Google, è tutto ciò che vi serve per accedere da qualsiasi postazione alle vostre risorse, senza preoccuparsi che un keylogger o qualsiasi altro intruso possano rovinarvi la festa, ammesso che vi fidiate del vostro telefono :-)

Si parte da qui:

accounts.google.com/sesame

così che venga generato e mostrato il codice QR da far scansionare al vostro telefono:

Google Sesame: Codice QR

Personalmente utilizzo “Scan” di QR Code City, disponibile gratuitamente in AppStore per iPhone e iPad. Esistono miriadi di applicazioni dello stesso tipo sull’AppStore, sull’Android Market, sul Windows Phone Market e sul BlackBerry App World, a voi la scelta.

Il funzionamento è davvero semplice:

  • fate partire la scansione del QR, questa vi porterà alla schermata di autenticazione di Google Accounts;
  • inserite i vostri dati di autenticazione e accedete confermando che siete stati voi ad avviare la richiesta di accesso tramite codice QR;
  • attendete che il PC “faccia il resto“, la pagina infatti modificherà in completa autonomia l’URL di destinazione permettendovi di entrare in GMail (o iGoogle) senza che voi abbiate digitato le credenziali sul PC, sarà il server di Google ad autorizzare l’ingresso.

QR Scan: Google Sesame (clicca per vedere l'intera schermata)

Inutile dirlo ma è sempre bene: non dimenticatevi di effettuare un logoff al termine della sessione di lavoro!

Aggiornamento 17/01/12 14.30
Come sfortunatamente fatto notare da Vik nei commenti (e su alcuni altri blog italiani arrivati pian piano sulla notizia), quello di Google era solo un esperimento, che è stato chiuso alla velocità della luce non appena ha cominciato ad essere troppo conosciuto e visitato dal web. Questo è il messaggio se si prova a visitare ora la pagina web di Sesame:

Hi there – thanks for your interest in our phone-based login experiment.While we have concluded this particular experiment, we constantly experiment with new and more secure authentication mechanisms.

Stay tuned for something even better!

Dirk Balfanz, Google Security Team.

DBAN: piazza pulita dei vecchi dischi

DBAN (Darik’s Boot And Nuke) è una distribuzione live, una delle tante a dirla tutta, ma fa esattamente ciò che promette. Ho cercato e trovato lo strumento più adatto a me durante l’ultimo cambio di portatili aziendali (fine leasing) dotati di disco SATA (e qualche più vecchio IDE).

Due o tre -vecchi anche loro- CD riscrivibili e la ISO da soli 10 MB masterizzata in pochi secondi, DBAN si può scaricare gratuitamente da Sourceforge (o più genericamente dalla pagina download del sito ufficiale):

sourceforge.net/projects/dban/files/dban/dban-2.2.6/dban-2.2.6_i586.iso/download

Ho messo in fila i vari portatili e lanciato le formattazioni utilizzando uno dei metodi messi a disposizione (maggiori informazioni su ciascun metodo sono disponibili su Wikipedia o nella documentazione ufficiale del progetto), l’attesa varia chiaramente dalla velocità o dalla quantità di spazio a disposizione del disco di ciascun portatile. Occhio a ciò che scegliete perché potreste arrivare ad impiegare anche un’intera giornata.

DBAN su Dell Latitude D630

Avviato il supporto date conferma sulla modalità Wizard, quindi selezionate metodo, passaggi e verifica, basterà un semplice colpo di barra spaziatrice in corrispondenza del disco che volete formattare per selezionarlo (viene evidenziato con un “wipe”). Non resta che lanciare la formattazione con F10.

Il PC è pronto per essere riconsegnato, ora con il disco pulito :)

Phishing: Unicredit / PostePay

Nonostante io mi auguri che nessuno più caschi in questi trucchetti, ci tengo ogni tanto a pubblicare tentativi di phishing che passano anche dalle caselle di posta del sottoscritto, colpendo -la maggior parte delle volte- istituti di credito italiani tra i quali le Poste, ultimamente sempre più in voga, soprattutto quando si parla di PostePay.

Oggi ho ricevuto l’ennesima comunicazione riguardante la necessità di confermare un mio recapito al quale Unicredit potesse mandare tutte le comunicazioni inerenti il mio conto corrente. Partendo dal presupposto che io non sono cliente di Unicredit e che per l’ennesima volta ci si trovasse davanti ad un tentativo di truffa, ho voluto analizzare rapidamente l’attacco, scoprendo un paio di cose interessanti.

La mail che mi è arrivata, sorpassando agilmente i controlli di sicurezza di GMail è questa:

COMUNICAZIONE IMPORTANTE

MODIFICA INDIRIZZO E-MAIL

Gentile Cliente,
dalle nostre verifiche risulta che non hai specificato un indirizzo e-mail univoco per tutti i servizi offerti dal Portale.

Per motivi di sicurezza e per uniformare i nostri archivi, ti chiediamo di confermare un unico indirizzo e-mail, che verrà utilizzato per tutti i Servizi e le comunicazioni da parte di Unicredit Banca (ad es. e/c online, newsletter, 3D Secure).

Premi QUI per confermare il tuo indirizzo email

Grazie della collaborazione,
Francesca Mazzetti
Servizio Clienti

Un italiano corretto, privo di grossolani errori grammaticali e di forma (considerando il non-formalismo utilizzato nel testo, forse un po’ strano per questo tipo di comunicazioni), fatta eccezione per il “Cliente” con la “C” maiuscola, “Portale” con la “P” maiuscola,  “e/c online” quasi certamente al posto di “c/c online“, il punto mancante alla fine della frase “Premi QUI per …“.

Inutile dire che cliccando dove indicato si viene riportati ad un clone della vecchia interfaccia di login utente di Unicredit, vero?

Questa è la mail originale, header compresi:


Delivered-To: gioxx.gxware@gmail.com
Received: by 10.223.81.68 with SMTP id w4cs206040fak;
        Fri, 4 Nov 2011 06:25:50 -0700 (PDT)
Received: by 10.204.145.151 with SMTP id d23mr12013201bkv.100.1320413148770;
        Fri, 04 Nov 2011 06:25:48 -0700 (PDT)
Return-Path: <me@localhost.com>
Received: from yoda.techtemple.org (yoda.techtemple.org. [78.46.21.8])
        by mx.google.com with ESMTPS id k5si5597359faa.20.2011.11.04.06.25.48
        (version=TLSv1/SSLv3 cipher=OTHER);
        Fri, 04 Nov 2011 06:25:48 -0700 (PDT)
Received-SPF: neutral (google.com: 78.46.21.8 is neither permitted nor denied by best guess record for domain of me@localhost.com) client-ip=78.46.21.8;
Authentication-Results: mx.google.com; spf=neutral (google.com: 78.46.21.8 is neither permitted nor denied by best guess record for domain of me@localhost.com) smtp.mail=me@localhost.com
Received: from localhost (localhost [IPv6:::1])
	by yoda.techtemple.org (Postfix) with ESMTP id 7BD2F99F
	for <gioxx@gxware.org>; Fri,  4 Nov 2011 14:25:48 +0100 (CET)
X-Relay-Countries: IT IT **
X-Spam-ASN: AS31034 62.149.128.0/19
X-Virus-Scanned: amavisd-new at yoda.techtemple.org
X-Spam-Flag: YES
X-Spam-Score: 7.332
X-Spam-Level: *******
X-Spam-Status: Yes, score=7.332 tagged_above=0.1 required=5
	tests=[FROM_MISSP_DKIM=0.001, FROM_MISSP_URI=0.001,
	HTML_MESSAGE=0.001, MIME_HEADER_CTYPE_ONLY=1.996,
	MIME_HTML_ONLY=1.105, RAZOR2_CHECK=1.729, TO_NO_BRKTS_FROM_MSSP=2.499]
	autolearn=no
X-Greylist: from auto-whitelisted by SQLgrey-1.8.0-rc2
Received: from smtpsmart3.aruba.it (smtpweb114.aruba.it [62.149.158.114])
	by yoda.techtemple.org (Postfix) with SMTP id 2B56D99B
	for <gioxx@gxware.org>; Fri,  4 Nov 2011 14:25:42 +0100 (CET)
Received: (qmail 15310 invoked by uid 89); 4 Nov 2011 13:25:40 -0000
Received: by simscan 1.2.0 ppid: 14984, pid: 15004, t: 1.3232s
         scanners: clamav: 0.88.4/m:40/d:1945 spam: 3.1.4
Received: from unknown (HELO webs2028.aruba.it) (62.149.132.38)
  by smtpsmart3.fe.aruba.it with SMTP; 4 Nov 2011 13:25:39 -0000
Received: from webs2028 ([127.0.0.1]) by webs2028.aruba.it with Microsoft SMTPSVC(7.5.7601.17514);
	 Fri, 4 Nov 2011 14:24:45 +0100
Date: Fri, 04 Nov 2011 14:24:45 +0100
Subject: [SPAM] Comunicazioni: documento n.D946M00153641
To: gioxx@gxware.org
From:UniCredit Banca<info.ucfin@unicreditgroup.it>
Content-Type: text/html
Message-ID: <WEBS20289W1IpMKX9ss00018aee@webs2028.aruba.it>
X-OriginalArrivalTime: 04 Nov 2011 13:24:45.0812 (UTC) FILETIME=[1E9C3340:01CC9AF5]

<HTML>

<BODY>
<DIV
style="Z-INDEX: 0; POSITION: absolute; WIDTH: 758px; HEIGHT: 290px; OVERFLOW: hidden; TOP: 29px; LEFT: 44px"
id=text1>
<DIV>
<DIV><FONT color=#ff0000 face=Arial>COMUNICAZIONE IMPORTANTE
</FONT></DIV>
<DIV><FONT face=Calibri><BR></FONT></DIV>
<DIV><FONT face=Calibri>MODIFICA INDIRIZZO E-MAIL </FONT></DIV>
<DIV><FONT face=Calibri><BR></FONT></DIV>
<DIV><FONT face=Calibri>Gentile Cliente, </FONT></DIV>
<DIV><FONT face=Calibri>dalle nostre verifiche risulta che non hai
specificato un indirizzo e-mail univoco per tutti i servizi offerti dal Portale.
</FONT></DIV>
<DIV><FONT face=Calibri><BR></FONT></DIV>
<DIV><FONT face=Calibri>Per motivi di sicurezza e per uniformare i
nostri archivi, ti chiediamo di confermare un unico indirizzo e-mail, che verr&agrave;
utilizzato per tutti i Servizi e le comunicazioni da parte di Unicredit Banca (ad es.
e/c online, newsletter, 3D Secure). </FONT></DIV>
<DIV><FONT face=Calibri><BR></FONT></DIV>
<DIV><FONT face=Calibri>Premi </FONT><FONT face=Arial><a href="http://www.privaticartasionline.info/images/web/loginClr_js.htm">QUI</A></FONT><FONT
class=ws11 face=Calibri> per confermare il tuo indirizzo email</FONT></DIV>
<DIV><FONT face=Calibri><BR></FONT></DIV>
<DIV><FONT face=Calibri>Grazie della collaborazione,</FONT></DIV>
<DIV><FONT face=Calibri>Francesca Mazzetti</FONT></DIV>
<DIV><FONT face=Calibri>Servizio Clienti</FONT></DIV>
<DIV><FONT face=Calibri><BR></FONT></DIV></DIV></DIV></BODY></HTML>

E queste sono le informazioni riguardanti il sito web al quale si appoggia il tentativo di phishing operato:


Domain ID:D37160236-LRMS
Domain Name:PRIVATICARTASIONLINE.INFO
Created On:11-Mar-2011 15:04:34 UTC
Last Updated On:10-May-2011 20:34:34 UTC
Expiration Date:11-Mar-2012 15:04:34 UTC
Sponsoring Registrar:Directi Internet Solutions Pvt. Ltd. dba PublicDomainRegistry.com (R159-LRMS)
Status:CLIENT TRANSFER PROHIBITED
Registrant ID:PP-SP-001
Registrant Name:Domain Admin
Registrant Organization:PrivacyProtect.org
Registrant Street1:ID#10760, PO Box 16
Registrant Street2:Note - All Postal Mails Rejected, visit Privacyprotect.org
Registrant Street3:
Registrant City:Nobby Beach
Registrant State/Province:
Registrant Postal Code:QLD 4218
Registrant Country:AU
Registrant Phone:+45.36946676
Registrant Phone Ext.:
Registrant FAX:
Registrant FAX Ext.:
Registrant Email:contact@privacyprotect.org
Admin ID:PP-SP-001
Admin Name:Domain Admin
Admin Organization:PrivacyProtect.org
Admin Street1:ID#10760, PO Box 16
Admin Street2:Note - All Postal Mails Rejected, visit Privacyprotect.org
Admin Street3:
Admin City:Nobby Beach
Admin State/Province:
Admin Postal Code:QLD 4218
Admin Country:AU
Admin Phone:+45.36946676
Admin Phone Ext.:
Admin FAX:
Admin FAX Ext.:
Admin Email:contact@privacyprotect.org
Billing ID:PP-SP-001
Billing Name:Domain Admin
Billing Organization:PrivacyProtect.org
Billing Street1:ID#10760, PO Box 16
Billing Street2:Note - All Postal Mails Rejected, visit Privacyprotect.org
Billing Street3:
Billing City:Nobby Beach
Billing State/Province:
Billing Postal Code:QLD 4218
Billing Country:AU
Billing Phone:+45.36946676
Billing Phone Ext.:
Billing FAX:
Billing FAX Ext.:
Billing Email:contact@privacyprotect.org
Tech ID:PP-SP-001
Tech Name:Domain Admin
Tech Organization:PrivacyProtect.org
Tech Street1:ID#10760, PO Box 16
Tech Street2:Note - All Postal Mails Rejected, visit Privacyprotect.org
Tech Street3:
Tech City:Nobby Beach
Tech State/Province:
Tech Postal Code:QLD 4218
Tech Country:AU
Tech Phone:+45.36946676
Tech Phone Ext.:
Tech FAX:
Tech FAX Ext.:
Tech Email:contact@privacyprotect.org
Name Server:NS1.HOST-CARE.COM
Name Server:NS2.HOST-CARE.COM

Intelligentemente protetto affinché il reale proprietario non venga dichiarato (basta pagare, è un servizio che ormai offrono in tanti).

La cosa curiosa è che provando a visitare la radice del sito web interessato, si possono scoprire altri due cloni pronti per essere utilizzati: PostePay e CartaSi.

Ho volutamente evitato di segnalarvi in chiaro il sito in questione (anche se lo si può comunque notare dal whois sopra dichiarato) e nel frattempo ho già inviato una segnalazione a Google affinché possa farvi comparire il solito messaggio di sito contraffatto in Firefox o Chrome, qui maggiori informazioni direttamente da Mozilla.

Occhio a quello che visitate! ;-)

SEP: clonazione delle postazioni con l’antivirus preinstallato

Il client Symantec Endpoint Protection, come tanti altri antivirus presenti sul mercato, prevede la possibilità che questo venga installato su una macchina che verrà poi clonata su tante altre, come nel caso di questi giorni nella mia azienda.

Diversi i modelli, tante le macchine, preparazione di un solo “master” per ciascun modello, che verrà poi replicato a catena su tutte le altre macchine ancora da preparare. Per poter intervenire nello specifico sul client Symantec basterà andare a cancellare una chiave di registro ed un file che contengono (entrambi) la chiave / ID Hardware della macchina, come suggerito dall’articolo in KB ufficiale:

symantec.com/business/support/index?page=content&id=TECH102815&locale=en_US

Per evitare di farlo a mano, ho preferito realizzare un piccolo script che -lanciato da amministratore locale della macchina prima di spegnerla- fa quanto richiesto dalla documentazione:

  • lancia una pulizia di cronologia e file temporanei dalla macchina (dato che compie operazioni dopo le quali questa verrà spenta e resa “pronta” per la clonazione);
  • verifica la presenza della cartella C:\temp (io la utilizzo per appoggiare i software da installare) e la rimuove completamente senza passare dal cestino;
  • spegne il servizio del client Symantec passando come parametro la password (-p PASSWORD-SYMANTEC), da modificare -ovviamente- nel caso in cui voi ne utilizzate una o non la utilizziate affatto;
  • dopo un’attesa di 5 secondi lancia una cancellazione del contenuto della cartella HWID sotto i file comuni di Symantec e del valore di registro relativo, quindi spegne la macchina.

espresso in codice (sporco, a dirla tutta) si ottiene questo:


REM Pulizia file temporanei e di cache
RunDll32.exe InetCpl.cpl,ClearMyTracksByProcess 8
rd /S /Q %TEMP%
REM Cancellazione cartella temp
if exist C:\temp rd /S /Q C:\temp
REM Rimozione Hardware ID SEP dalla macchina
cd "%ProgramFiles%\Symantec\Symantec Endpoint Protection\"
Smc.exe -stop -p PASSWORD-SYMANTEC
ping 127.0.0.1 -n 5 -w 1000 > nul
if exist "%ProgramFiles%\Common Files\Symantec Shared\HWID\sephwid.xml" del "%ProgramFiles%\Common Files\Symantec Shared\HWID\sephwid.xml"
REG DELETE "HKLM\SOFTWARE\Symantec\Symantec Endpoint Protection\SMC\SYLINK\SyLink" /v HardwareID /f
shutdown -s -t 5

Non ho voluto pulirlo e ho volutamente lasciato dei REM al posto dei soliti ECHO (magari con un bell’ECHO OFF a inizio codice, seguito da un CLS). A voi farlo nel caso in cui vi serva realmente, penso che per uno script “di servizio” da usare solo in questi casi non sia necessario abbellirlo più di tanto ;-)

Page 5 of 25« First...«34567»...Last »