Archives For ABP X Files

Non è una novità, se ne parla già da tempo e credo che lo “scandalo” (se così lo si può definire) legato alla baia dei pirati (ne parlava Diletta su Wired il 20 settembre scorso) sia stato solo la punta dell’iceberg, che abbia in qualche maniera sdoganato una pratica sempre più crescente, adottata ogni giorno da siti web che tendenzialmente potrebbero essere raccolti sotto il tetto unico della pirateria informatica e la violazione dei diritti d’autore. Ne parla Hardware Upgrade in maniera più approfondita ma comunque accessibile per tutti. Io oggi voglio parlarti di NoCoin, ma parto da “un po’ più lontano“, dal perché dovresti difenderti dal mining delle criptovalute via browser.

ABP X Files: ti presento NoCoin, l'ultimo arrivato in famiglia!

Cosa sta succedendo

Se ti parlo di Coinhive probabilmente non capirai di cosa sto blaterando, ma in realtà te l’ho già parzialmente introdotto nel cappello di questo articolo, è lui il protagonista dell’esperimento e relativa “sommossa popolare” legata a Pirate Bay, poiché propone un diverso modo di recuperare le spese di sostentamento di un sito web (ma non solo), inserendo javascript che possono minare criptovalute sfruttando il browser (ma non solo, ribadisco). Il tutto ha avuto inizio nel settembre del 2017 (intorno alla metà del mese), come riportato in un ottimo articolo di BleepingComputer (bleepingcomputer.com/news/security/coinhive-is-rapidly-becoming-a-favorite-tool-among-malware-devs):

Coinhive is quickly becoming the talk of the Internet, going from an innovative tool that lets you mine Monero with your browser, to a technology abused by hoards of malware authors.
Coinhive, as a tool, is a JavaScript library that website owners can load on their site. When users access the site, the Coinhive JavaScript code library executes and mines for Monero for the site owner, but using the user’s CPU resources.
Original idea! We’ll give it that. Coinhive launched on September 14, and its authors advertise it as an alternative to classic advertising.
Coinhive claims that webmasters can remove ads from their sites, and load the Coinhive library and mine for Monero using a small portion of the user’s CPU while the user is navigating the site. Site owners can make money and support their business, but without peppering their visitors with annoying ads.

Dato che di notizie riguardanti malware e falle enormi ne abbiamo già ricevute abbastanza nel corso dell’anno passato e anche in concomitanza con l’inizio di questo 2018 (Meltdown e Spectre ormai sono due nomi sulla bocca di tutti, o quasi), direi che forse possiamo fare un pelo più di attenzione a questi siti web che ormai proliferano incontrollati (anche se alimentati grosso modo dagli stessi player), prendendo contromisure che possano tutelare i browser utilizzati e le CPU dei nostri PC.

In attesa che Mozilla, Google e soci lavorino proponendo una soluzione possibilmente definitiva (dai un’occhiata a questo ormai chilometrico thread riguardante Chrome), tu puoi già fare qualcosa.

Come proteggersi

In alcuni casi, prodotti di sicurezza di terze parti (un caso abbastanza importante è quello di Malwarebytes) sono già pronti a reagire alla novità, proponendosi come scudo tra il browser e quei siti web che provano a fare ciò che non è stato preventivamente approvato dall’utente, ma non tutti possono dirsi alla pari e allo stesso livello.

Ancora una volta Adblock Plus e soci possono darci una grande mano, e di questo te ne parlo nello specifico nel successivo paragrafo dedicato a liste ben specifiche. Se vuoi utilizzare qualcosa di creato ad-hoc e disponibile su più browser, posso suggerirti “No Coin“. Si tratta di un progetto open source pubblicato su GitHub, lo trovi all’indirizzo github.com/keraf/NoCoin, il quale ha dato origine all’estensione attualmente disponibile per Firefox (WebExtension, perfettamente compatibile con Quantum), Chrome e Opera:

No Coin
No Coin
Price: Free
No Coin - Block miners on the web!
No Coin - Block miners on the web!
Developer: Keraf
Price: Free
No Coin
No Coin
Developer: keraf
Price: Free

Il funzionamento è parecchio banale ma efficace. Come per un adblocker, No Coin sfrutta una blacklist (aggiornata) che permette al componente aggiuntivo di avvisarti nel caso in cui il sito web visitato stia facendo uso di un miner di criptovaluta, così che tu possa bloccare l’esecuzione del codice arbitrario o decidere di tenerlo in una whitelist (magari ti fa piacere partecipare al mining, ognuno fa ciò che vuole con il proprio hardware).

Allo stato attuale No Coin non è disponibile per i browser di casa Microsoft (Internet Explorer / Edge) e neanche per Safari (Apple). Per questo motivo, ho pensato di riutilizzare quanto fatto da Keraf per dare origine a “NoCoin“.

Hello, I’m NoCoin!

ABP X Files: NoCoinAdblock Plus (ma anche gli equivalenti) sono disponibili ormai per ogni browser, per questo motivo ho verificato i limiti di licenza dettati per il progetto “No Coin e ho lavorato a una modifica dello script VBS che genera la lista HWS (te ne parlavo qui), per catturare la blacklist di Keraf e trasformarla in un modulo di X Files, un’ulteriore sottoscrizione che puoi utilizzare gratuitamente sul tuo PC, la “NoCoin List“.

NoCoin si basa su una logica simile a quella HWS, per questo motivo impedisce il caricamento di qualsiasi file facente parte dei domini che vengono utilizzati per distribuire javascript (e affini) di mining di criptovaluta, quando caricati come “terza parte” (cioè utilizzati da altri siti web puliti). Ho volutamente scelto di non integrare quei domini in HWS perché si tratta di due scopi ben differenti, e chiunque può aggiungere un’ulteriore sottoscrizione al proprio Adblock Plus (o altro componente aggiuntivo), poiché costa poca fatica.

Con l’occasione, ho dato una svecchiata ai contenuti della home page di progetto, includendo il nuovo blocco per la lista attualmente in fase Beta:

Ti presento NoCoin, l'ultimo arrivato nella famiglia ABP X Files

Ora tocca a te. Scegli come proteggere ulteriormente la tua navigazione, ma fallo quanto prima, per evitare spiacevoli inconvenienti. Nel caso in cui tu non voglia utilizzare il nuovo modulo NoCoin, tu suggerisco di dare un’occhiata a un progetto alternativo anch’esso presente su GitHub e già ben nutrito, curato da Hosh.

L’area commenti qui di seguito è –come sempre– a disposizione per ulteriori informazioni o chiarimenti in merito all’argomento trattato e alle novità introdotte. Per aprire una richiesta di supporto riguardante NoCoin ti rimando invece a uno dei possibili metodi riportati nel sito web ufficiale (ti consiglio comunque GitHub).


Immagine di copertina: techporn.ph

Condividi l'articolo con i tuoi contatti:

Tra un WannaCry e l’ulteriore novità dello scorso 13 giugno (di cui non ho parlato in maniera più approfondita, ma sappi che si tratta dell’ulteriore giro di fix che coinvolge anche tutte le macchine con OS non più supportato), con il contorno di ulteriori impegni privati e il rientro in palestra, di tempo da investire per curare le pubblicazioni del blog inizio ad averne sempre meno, nonostante ci tenga tantissimo.

ABP X Files, noads.it e “cosa vi siete persi negli ultimi tempi” 2

Quindi, giusto per recuperare un attimo ciò che ho lasciato indietro, ti riepilogo brevemente cos’è successo circa un mese fa, in merito al nuovo trasferimento di NoAds.it e la definitiva (spero) sistemazione delle liste, ospitate da GitHub.

Ho scelto di migrare NoAds.it portandolo su ServerPlan, casa di questo blog, che venerdì scorso è stato a sua volta spostato su un nuovo server che permette di avere le versioni più aggiornate di PHP, guadagnandone in velocità e stabilità (si spera a lungo). NoAds.it è diventato un ulteriore alias di questo spazio web, e riporta in maniera del tutto automatica al sottodominio xfiles.noads.it.

Da qui riuscirai a sottoscrivere le liste (puntando direttamente a GitHub) e fare esattamente ciò che facevi prima. I vecchi URL sono stati disattivati (e rimandati ai nuovi), non ti permetteranno però di riallacciarti in maniera trasparente a GitHub, dovrai quindi eliminare le vecchie sottoscrizioni e abbonarti nuovamente tramite NoAds.it (oppure farlo manualmente, se lo preferisci, ma ritengo sia più scomodo). Come già detto, puoi scoprire i passaggi da eseguire facendo riferimento a quanto già scritto nel vecchio articolo (il primo della serie):

ABP X Files migra su GitHub

Se vuoi dare un’occhiata alle liste, qui di seguito ti elenco gli URL diretti (è tutto pubblico, trovi ogni dettaglio nel progetto su GitHub, dove ho spostato anche la documentazione e le FAQ):

Se ti dovesse capitare di notare delle anomalie o qualche malfunzionamento, dimmelo quanto prima così che io possa correggerlo, l’area commenti qui di seguito è a tua totale disposizione, vale anche il sistema di assistenza sempre utilizzabile tramite NoAds.it, o il forum di Mozilla Italia.

Bentornati a bordo :-)

Condividi l'articolo con i tuoi contatti:

Te lo ricordi l’articolo pubblicato all’inizio di quest’anno? Parlava della migrazione prossima di X Files su GitHub, dovuta al termine del supporto della cartella Public di Dropbox. La scadenza ultima dei collegamenti Dropbox pubblici è fissata per settembre di quest’anno (per gli utenti Pro), ma come già specificato nel precedente articolo, vorrei che tutti gli utilizzatori di X Files migrassero prima al nuovo spazio dedicato. Nel caso tu te lo fossi dimenticato, qui trovi l’articolo pubblicato due mesi fa:

ABP X Files migra su GitHub

Quale lista sto utilizzando?

Seguendo un giusto suggerimento arrivato dal forum di Mozilla Italia, ho inserito una piccola nota che ti permetterà di capire se hai già aggiornato (o no) le tue sottoscrizioni. Questa piccola galleria immagine disponibile di seguito ti dovrebbe chiarire le idee (fai clic sulla prima immagine per partire):

Se ancora non hai aggiornato la tua sottoscrizione, sappi che già da gennaio scorso non stai ricevendo nuovi filtri di blocco pubblicitario, e che a settembre di quest’anno non esisteranno più i file a cui puntare nella cartella Public dell’account Dropbox che per anni ha ospitato i filtri del modulo principale e di quelli secondari.

Ti consiglio caldamente di seguire le istruzioni contenute nell’articolo dedicato alla migrazione, così che tu possa avere filtri costantemente aggiornati, supporto e nessun’altra preoccupazione per il futuro prossimo ;-)

Condividi l'articolo con i tuoi contatti:

Non è mai semplice, e ora come lo spiego alla mamma? Dopo tanti anni di onorato servizio, la cartella Public di Dropbox diventa una normale cartella, come qualsiasi altra all’interno del mio account Pro:

Cerchiamo continuamente di migliorare l’esperienza di condivisione di Dropbox. La cartella Public è stato il primo metodo di condivisione che abbiamo introdotto e, da allora, abbiamo sviluppato metodi ancora migliori per consentirti di condividere in modo sicuro e lavorare insieme al tuo team.
Pertanto, presto interromperemo il supporto per la cartella Public. Gli utenti di Dropbox Pro potranno utilizzare tale cartella fino al 1 settembre 2017. Dopo tale data, i file presenti nella tua cartella Public diventeranno privati e i relativi link verranno disattivati. I tuoi file resteranno comunque al sicuro in Dropbox.

Quella cartella, fino a oggi, ha ospitato alcuni miei file, tra cui i moduli pubblicamente scaricabili (e aggiornabili) di X Files.

ABP X Files migra su GitHub

Signore e signori, raccogliete i bagagli, qui si migra! Questo è il primo articolo in eurovisione e trasmesso in Full HD (perdonami, sono le conseguenze di pranzi, cene e spuntini natalizi e di fine anno che ormai hanno sovraccaricato qualsiasi punto del mio corpo e del mio spirito). Nonostante il puro delirio post-periodo di festa, la storia non cambia e occorre fare qualcosa per dare continuità al progetto e alla possibilità di scaricare le liste aggiornate compatibili con il tuo browser preferito (e con il componente aggiuntivo che hai scelto di utilizzare).

Già da qualche giorno ho infatti copiato e iniziato a rilasciare gli aggiornamenti di X Files, HWS e NoFacebookAds, caricandoli direttamente su GitHub, noto servizio di hosting per progetti software (nella maggior parte dei casi open source). Ho aperto un account diverso tempo fa, l’ho sempre usato per condividere codice sorgente e pubblicare anche materiale di Mozilla Italia, ho quindi creato un nuovo spazio da dedicare a X Files, lo trovi all’indirizzo github.com/gioxx/xfiles. Risponderò qui a qualche tua possibile domanda in merito:

Cosa cambia per la mia sottoscrizione?

A prescindere dal modulo da te sottoscritto, dovrai eliminare la sottoscrizione e rifarla sempre tramite il sito web ufficiale noads.it, che rimarrà sempre e comunque disponibile. A partire infatti da mercoledì 1 febbraio 2017, eliminerò le liste da Dropbox, rendendo di fatto inaccessibili i vecchi URL di sottoscrizione. L’effetto sul tuo browser potrebbe essere il seguente:

ABP X Files migra su GitHub 1

E ciò vale per ciascun modulo legato a X Files, dalla lista principale a quella “accessoria“. Per agevolare la tua parte di lavoro, ecco una GIF che ti spiega cosa fare (è davvero semplice!):

ABP X Files migra su GitHub 2

Perché GitHub?

Perché è una sicurezza e perché ospita già diverse altre liste filtri di differenti paesi (e anche perché viene usato dal gruppo di sviluppo di AdBlock Plus stesso), è un po’ come voler tenere tutto sotto lo stesso tetto. In passato, ti ricordo, ho provato a tenere le liste di X Files direttamente sul server che ospita il sito web del progetto, ma dopo poco tempo il provider ha deciso di oscurarlo perché generava troppo traffico verso di lui (avevo scritto un articolo in merito) ed è in quell’occasione che è nato noads.it. Posso così continuare a lavorare in locale e caricare (appena terminata la modifica) le liste tramite una shell e qualche comando Git.

GitHub offre poi una sezione Wiki del progetto (dove ho già salvato le vecchie informazioni sempre valide sul progetto) e una issue dove tracciare eventuali problemi / modifiche.

Cosa succede ai siti web precedentemente coinvolti?

gfsolone.com perderà lentamente ogni riferimento a X Files, questo blog traccerà nuovamente ogni novità riguardante il progetto, tenendo online gli articoli a lui dedicati (sono stati già spostati qui, nda), di pari passo con la newsletter (che strano, non l’ho mai usata fino a ora, questa sarà la “mia prima volta“), per chiudere così il cerchio noads.it/gioxx.org/github.com.

Continuerà a rimanere disponibile UserVoice per segnalare problemi e ottenere supporto (più che altro per coloro che non hanno Mozilla Firefox e quindi non utilizzano il tool di reportistica integrato in AdBlock Plus), così come il forum di Mozilla Italia (più precisamente questo thread).

In conclusione

Sono certo che non sarà una migrazione semplice e indolore. Perderemo qualche utente per strada, altri ne arriveranno. Ti basti sapere che fino agli ultimi giorni del 2016 l’URL della lista principale è stato contattato più di 200 milioni di volte, un vero record che mai avrei pensato di raggiungere quando circa 10 anni fa (era il 2007) ho pubblicato per la prima volta una piccola lista di filtri per bloccare un po’ di pubblicità vista in giro per siti web.

ABP X Files migra su GitHub 3

Gli utilizzatori oggi si sono stabilizzati (parecchio) e scaricano costantemente gli aggiornamenti, spero che possano rendersi conto che qualcosa è cambiato e che è necessario adeguarsi, ci rivediamo tutti dall’altro lato :-)

Condividi l'articolo con i tuoi contatti:

Ricevo quasi quotidianamente dei comunicati stampa di Codacons, l’associazione nata nel 1986 per difendere l’ambiente e i diritti dei consumatori. Si tratta per lo più di concentrati di parole che mi portano alla mente forconi e caccia alle streghe, ma questo è esclusivamente un parere soggettivo basato su quei testi, perché in realtà credo che associazioni come questa possano avere una loro utilità, soprattutto quando il cittadino e cliente finale, quello piccolo che “non conta nulla” per le grandi aziende, si trova in difficoltà e senza arma alcuna per far valere i propri diritti di consumatore.

Codacons: qui nessuno è esperto.

La regola è sempre la stessa: io guadagno uno stipendio con sudore e dedizione al lavoro, perché dovrei tacere di fronte ad abusi, scarso potere d’acquisto e truffe ben mascherate da aziende forti? Il Codacons (e non solo lui) ha un ruolo in tutto questo. Nota bene: sto sorvolando su nomi precisi e su “accuse” ridicole come quelle relative a Pokémon GO di qualche tempo fa.

Tolto il dovuto cappello per mettere a tacere eventuali troll della prima ora, voglio proporti parte del testo ricevuto una manciata di giorni fa:

Il Codacons mette in guardia tutti gli utenti dalle truffe online: “tutti i giorni siamo bersagliati da un numero incredibile di mail spam e truffaldine che ci raggiungono tramite indirizzo e-mail – afferma il Presidente Marco Maria Donzelli del Codaconse da cui dobbiamo ben guardarci per evitare di cadere vittima di malfattori che ci sottraggono i nostri dati personali.”  Ecco il decalogo anti-truffa del Codacons:

1) Mai diffondere il proprio indirizzo e-mail principale su forum, blog, messaggi o altri siti internet.
2) Evitare di iscriversi col proprio indirizzo e-mail ai siti web sconosciuti.
3) Utilizzare uno dei migliori servizi di posta ossia Gmail, Yahoo Mail ecc.
4) Nel caso di invio di e-mail a più persone, spedirle sempre con gli indirizzi dei destinatari in chiaro, ma nascosti in CCN, per evitare di entrare in mailing list o catene di sant’Antonio molto fastidiose.
5)  Con tutte le e-mail di spam che si ricevono, andare a difendersi facendo denunce per ciascuna di esse, potrebbe essere un lavoro davvero impegnativo e, probabilmente, senza risultati.
Difficilmente infatti la polizia postale darà retta a queste denunce che, per la maggior parte dei casi, rimarranno solo un numero statistico.
6) Non rispondere mai alle e-mail di spam perché esse provengono da indirizzi fasulli.
7) Dotarsi di un antivirus sicuro e che svolga automaticamente un controllo dei contenuti del computer, per evitare che esse venga infettato nel caso di apertura di e-mail di spam.
8) Prestare la massima attenzione e non cliccare su pop-up che vengono visualizzati quando apriamo una mail o una pagina internet.
9) Navigare sempre su siti internet sicuri e con connessione protetta. Non andare su siti identificati come pericolosi.
10) Non inserire mai i propri dati personali se non si è del tutto certi della pagina che abbiamo aperto.

Ho letto la mail e ho riso su un paio di punti, in particolar modo sul terzo, in seguito al quale lanciato un tweet un po’ da pirla (lo ammetto):

Pentito a corto raggio dell’aver messo online una polemica abbastanza sterile senza spiegare in alcun modo il perché del mio ridere, ho aggiunto informazioni in coda al primo tweet, senza aspettarmi una risposta da Codacons, o per lo meno aspettandomene forse una più politicamente corretta:

È chiaro che io abbia fatto un primo gesto errato, ma non è servito a nulla aggiungere informazioni, se non a prendersi una risposta al limite del “ti vedo dall’alto verso il basso“. Ora, dato che non mi piacciono le polemiche sterili e lasciate un po’ a metà, vorrei chiedere a Codacons di mettersi nei panni dell’utente finale, spesso molto ignorante in materia informatica, e provare a mettere in pratica quello che suggeriscono nel decalogo stilato da chissà quale esperto in sicurezza informatica probabilmente assunto nei loro uffici. Vorrei poter rispondere (nonostante io non mi definisca certo un esperto, pur svolgendo un mestiere che mi porta a rimanere particolarmente informato) punto per punto, dove necessario, per confrontarmi con l’esperto dall’altro lato del monitor:

  1. Chiedere di non diffondere l’indirizzo e-mail “principale” all’utente è alquanto improbabile. Moduli delle carte fedeltà del supermercato sotto casa, whois su un dominio registrato per la propria attività, una scuola, un progetto personale, iscrizione a Facebook, rubriche di amici e parenti e chissà cos’altro. In passato (e succederà ancora in futuro) alcuni dei provider che mettono a disposizione il servizio di mailbox gratuita sono i primi a vendere quegli indirizzi a chi lo spam lo mangia e invia a colazione (parliamo di email.it, Hotmail, o magari Libero e compari vari). Là fuori è pieno di persone che non hanno neanche un indirizzo di posta elettronica (e non lo vogliono), figurarsi un master e uno slave.
  2. Ogni sito web è potenzialmente sconosciuto. Fatta eccezione per Google, Amazon e altri nomi altisonanti che più o meno tutti conoscono, il resto è sconosciuto per definizione. L’utente medio non ha idea di chi ci sia dall’altro lato, i suoi dati sono sempre e comunque in “pericolo“, vale anche per i “big“.
  3. Migliori servizi di posta. È quello che mi ha fatto più ridere. Viene citato Yahoo. Davvero non leggete cosa succede su internet? Qui trovate l’articolo scritto da Graham Cluley: grahamcluley.com/yahoo-confirms-500-million-accounts-hacked-2014-data-breach, basta lanciare una ricerca Google per trovare tutti gli altri.
  4. Prima di inviare una mail, soprattutto con molti destinatari (ciò che succede soprattutto quando si parla di newsletter e simili) è bene controllare possibili errori di battitura. Qui si tratta solo di banalità: si consiglia di mettere gli indirizzi di più destinatari in chiaro, poi si corregge il tiro parlando della copia carbone nascosta. Le catene di S.Antonio non piacciono a nessuno, peccato che ancora oggi ne saltino fuori parecchie, alcune volta causate anche da finti esperti.
  5. Tutto corretto. Inutile far perdere tempo alle forze dell’ordine.
  6. Difficile. Gli spammer sono sempre più furbi e i sistemi automatici di invio delle mail pubblicitarie (e non solo, qui c’è di mezzo anche il phishing) sempre più validi. I più classici errori dovuti a un italiano errato iniziano a diventare sempre meno. Le mail che arrivano agli utenti finali sono tutto sommato corrette, possono trarre in inganno. Combatto ogni giorno con quelle mail, cerco più e più volte di formare gli utenti, qualcuno scappa sempre, qualcuno apre quelle bollette dalle cifre spropositate che si rivelano poi essere tentativi di infezione (fortunatamente bloccati da buoni antivirus e sistemi di protezione perimetrale), un po’ quello che dice il punto 7. Non esiste nulla che possa bloccare il 100% di queste mail, esiste solo il buon senso e la generica sfiducia, con conseguente telefonata al reparto IT o all’amico che ha il figlio diplomato o laureato in informatica.
  7. Hai letto il punto 6?
  8. Auguri. I siti web non invasi dalla pubblicità e dai pop-up aperti a tradimento si possono contare sulle dita di una mano. Ci sono soluzioni alternative, si parte dall’utilizzo di browser che non vengano sviluppati da Microsoft all’utilizzo di componenti aggiuntivi come Adblock e simili. Nel mio piccolo –da non esperto– posso solo mantenere la lista X Files, compatibile con i browser più comunemente utilizzati.
  9. Impossibile. L’italiano medio è quello che cerca l’ultimo film uscito al cinema su internet, neanche due ore dopo dalla messa in onda della prima, in italiano, in qualità BluRay, con audio Dolby. Chiaramente quel file non esiste, ma lo cercherà e scaricherà qualsiasi schifezza esistente sulla faccia della terra, probabilmente infettandosi, probabilmente in barba a un buon antivirus sempre aggiornato, probabilmente regalando accesso al suo indirizzo di posta principale aggirando quindi l’ostacolo mentalmente posto dal punto 1. Il problema dell’utente poco informato e inesperto è sempre lo stesso, sta tra la tastiera e la poltrona, è se stesso.
  10. Si rifà un po’ al punto 2.

Ora credo di aver dettagliato il mio punto di vista, per quello che vale. Nessuno qui è esperto, al massimo ci si permette di dare dei consigli, per evitare che informazione certamente non falsa, ma neanche correttamente dettagliata, possa finire in giro per il web, che ne è già sufficientemente pieno. Magari, ammesso ci siano fondi spendibili, perché non investirne qualcuno per pagare un esperto che metta in scacco tutti e ci salvi dalla infezione eterna?

Ora posso tornare nel mio loculo.

Cheers.

Condividi l'articolo con i tuoi contatti: