12 gennaio 2012

TopHost segnala una falla in Joomla 1.5 (album5.class.php)

Ho appena ricevuto via mail una segnalazione da parte di TopHost riguardante una falla di sicurezza che affliggerebbe i siti basati su Joomla 1.5. Secondo il provider i siti infetti si riconoscerebbero per la presenza di un file cifrato denominato album5.class.php e verrebbero utilizzati per effettuare attacchi di tipo DDOS verso altri siti (Bankofamerica in particolare). Al momento non ho individuato ulteriori corrispondenze del problema nella documentazione accessibile dai motori di ricerca. Qualche dettaglio in più è comunque disponibile sulle pagine Facebook di TopHost. In ogni caso un controllo del proprio sito ed un eventuale aggiornamento a Joomla 1.7 sono quantomai consigliabili. 

English abstract: The Italian hosting service Tophost indicates a security flaw in Joomla 1.5. The infected file is referred album5.class.php and is used for DDOS attacks.

Update 20120112:2131
Un paio di link ai forum Joomla su cui si discute la questione:

23 dicembre 2011

Le easter egg natalizie di Google (let it snow & Christmas lights)

Oltre al doodle interattivo che campeggia nella home page di Google in queste ore, ci sono un altro paio di easter egg che il motore di ricerca ha messo in scena per questo fine 2011:
  • Cercando "let it snow" sulla pagina dei risultati di Google inizia a nevicare. Dopo qualche istante lo schermo comincia a brinare ed è possibile scriverci su muovendo il mouse. Si torna alla normalità premendo il tasto "Defrost".
  • Cercando invece "Christmas lights" la pagina dei risultati viene arricchita da un fili di luci colorate.
L'idea della nevicata sullo schermo è presente anche su Youtube sempre cercando "let it snow" e non ha lasciato indifferente neppure Microsoft che in questa pagina mette in mostra le potenzialità di HTML5. Scritto così, giusto per promemoria.

06 dicembre 2011

Avast, falso positivo su sfloppy.sys? [Avast sfloppy.sys false positive]

Dopo l'ultimo aggiornamento delle firme virali, Avast! identifica con rootkit il file
c:\windows\system32\drivers\sfloppy.sys
Si tratta con buona probabilità di un falso positivo per diverse ragioni:
  • sfloppy.sys è in generale un file leggittimo di Windows Xp (SCSI Floppy Driver)
  • Nessuno dei 42 antimalware di Virus Total considera il file infetto (neppure lo stesso Avast! per effetto del minore aggiornamento delle firme)
  • Sullo stesso forum di Avast! di discute la questione ed il fatto stesso che molto utenti segnalino lo stesso problema non avvalora l'ipotesi rootkit


Nel dubbio credo sia meglio non eliminare il file ed attendere l'evoluzione della situazione. E' anche consigliabile eseguire una scansione generale del sistema.

30 novembre 2011

Anche Splinder chiude

Tempo fa, nel 2009, avevo creato un account su Splinder con in mente un piccolo progetto. Non se ne fece più nulla e quasi rimossi la cosa fino a stamattina quando ho ricevuto via mail l'avviso della imminente chiusura del servizio (il 31 gennaio 2012). Come ho già scritto altre volte il tempo dei blog gratuiti offerti senza risparmio è finito; resteranno solo quelle piattaforme che possono permettersi di operare in perdita (perché inserite in progetti più ampi) o che adotteranno una strategia di business realmente sostenibile. Resta il dispiacere di un sipario che cala su una bella pagina del web italiano.

Chi ha un account su Splinder può salvare i propri contenuti grazie ad una nuova opzione disponibile in Blog > Configura > Esporta blog e attiva redirect che permette di scaricare un file XML con i propri archivi e di impostare un redirect verso un nuovo dominio. Segnalo anche uno strumento di migrazione messo a disposizione da Altervista che permette di importare i blog di Splinder su Wordpress.

10 novembre 2011

Windows Xp, Disattivare la libreria t2embed.dll (KB2639658 TrueType - Duqu)

Agli inizi di novembre Microsoft ha pubblicato un advisory di sicurezza per una nuova falla che coinvolge la gestione dei font (tipi di cratere) TrueType incorporati all'interno di file e documenti. Il bug è sfruttato come vettore d'attacco dal misterioso virus Duqu ed è particolarmente insidioso perché permette l'esecuzione di codice virale a livello kernel. L'articolo riporta anche un workaround che permette di mettere in sicurezza tutte le versioni di Windows coinvolte nell'attesa di scaricare ed installare una patch correttiva. Il workaround è inoltre l'unico strumento a disposizione degli utenti che usano Windowd Xp Sp2 e tutte le versioni precedenti.

La procedura da seguire consiste nel de-registrare la libreria dinamica t2embed.dll ed oltre che nell'advisory è descritta qui ed in italiano qui. Per i sistemi operativi ancora supportati da Microsoft è disponibile in alternativa questo Fix-It. Per approfondire il funzionamento della libreria si può consultare questa scheda di Nirsoft, mentre informazioni su Duqu sono pubblicate da Symantec.

01 novembre 2011

Yahoo! Mail: come tornare alla versione classica

Come qualcuno saprà dallo scorso 30 ottobre Yahoo! ha impostato come predefinita la nuova interfaccia web di Yahoo! Mail. Chi volesse continuare ad utilizzare la versione classica può, per il momento, salvare questo segnalibro. In questa pagina dell'help Yahoo! ci sono tutti i dettagli.

17 ottobre 2011

BES, per limitare il carico della CPU

Alcune operazioni come ad esempio la conversione di formato di un video sono piuttosto pesanti per il processore che viene utilizzato intensamente e per periodi molto prolungati. Questa situazione ha almeno due conseguenza spiacevoli; la prima è che le ventole di raffreddamento salgono vorticosamente di giri facendo rimpiangere la silenziosità di Blackbird, la seconda è che qualsiasi altra operazione si voglia fare in contemporanea risulterà molto rallentata.

BES (Battle Encoder Shirase) è un programma che può tornare utile in queste circostanze andando a limitare la percentuale d'uso del processore assorbita da uno o più processi. Leggerissimo e portabile, BES è rilasciato con licenza GNU General Public License Version 2 ed è compatibile con Windows 2000/Xp (ne esiste anche una vecchia versione per Windows Me).

A me ed al mio datato Pentium 4 è stato di grande utilità :)

03 settembre 2011

Rimuovere i certificati SSL di DigiNotar da Firefox, Thunderbird, Opera ed Internet Explorer

Come molti di voi sapranno da qualche giorno i servizi di numerosi siti (tra cui Google) sono potenzialmente a rischio per via del trafugamento di un certificato SSL emesso da DigiNotar. In questa nota riporto le procedure che ho seguito per mettere in sicurezza alcuni dei software che uso. Prima di seguire queste istruzioni è necessario essere certi di saper eseguire una copia dei certificati e di conoscere le procedure per il loro eventuale ripristino in caso di problemi.

Mozilla Firefox: Mozilla ha risolto alla radice il problema aggiornando tutte le versioni supportate di Firefox. Chi non può o non vuole procedere all'aggiornamento deve seguire questa procedura: Strumenti > Opzioni > Avanzate > Cifratura. Qui occorre premere il pulsante Mostra Certificati e portarsi sulla scheda Autorità. Occorre poi individuare nell'elenco il certificato DigiNotar Root CA, selezionarlo con il mouse e premere Elimina. Con il tasto esporta eventualmente se ne può fare una copia di backup. Maggiori informazioni sono raccolte su Sumo.

Mozilla Thunderbird: Valgono le medesime considerazioni viste per Firefox. Si va in Strumenti > Opzioni > Avanzate > Certificati, si preme il pulsante Mostra certificati e si va sulla scheda Autorità. Si individua il certificato DigiNotar Root CA e lo si elimina.

Opera: La situazione è migliore per gli utenti di Opera. Come spiegato su Security @ Opera questo browser prevede una funzione di aggiornamento automatico per i certificati per cui il certificato a rischio è stato già rimosso automaticamente. Per chi volesse controllare manualmente basta andare in Impostazioni > Preferenze > Avanzate > Sicurezza e premere il pulsante Gestione certificati.

Internet Explorer: L'elenco dei certificati si raggiunge da Strumenti > Opzioni Internet > Contenuti. Qui si preme il pulsante Certificati e si cerca il certificato DigiNotar tra le varie schede (io personalmente su IE 7 non l'ho trovato...). Maggiori dettagli in questo bollettino Microsoft.