MS Outlook: Disattivare o limitare l'elenco degli elementi recenti nel menu Allega file

In Outlook 2016, Outlook 2019 e Microsoft 365, per impostazioni predefinita e a seconda della risoluzione/dimensione dello schermo, vengono mostrati fino a 12 file nell'elenco degli elementi recenti del pulsante Allega file. Non è possibile filtrare direttamente tale elenco ma è possibile disattivarlo o limitare il numero di elementi visualizzati agendo tramite il registro di sistema.

FIG 1 - Outlook, Elenco Allega file

É possibile controllare quanti elementi recenti vengono mostrati nel menu Allega file tramite il valore di registro MaxAttachmentMenuItems:

• Avviare l'Editor del registro di sistema (WIN+R e digitare regedit seguito da invio); 
• Posizionarsi su
  HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Options\Mail
• Creare, se non presente, un valore DWORD e rinominarlo in MaxAttachmentMenuItems;
• I valori accettati sono decimali da 0 a 20 che rappresentano il numero di file recenti visualizzati in elenco. Assegnando a MaxAttachmentMenuItems il valore 0 l'elenco verrà disattivato.
  

  

  FIG 2 - MaxAttachmentMenuItems

  
  

FIG 3 - Outlook, Elenco file recenti disattivato

Ingannare i sistemi di riconoscimento automatico del testo

Quando si pubblica del testo online sui social questo viene analizzato da sistemi automatizzati in grado di individuare parole chiave (keyword) vietate o borderline. Un processo analogo avviene con i filtri antispam di posta elettronica. Ci sono diversi trucchi per ingannare i sistemi di riconoscimento automatico del testo e fare in modo che il nostro messaggio non venga subito intercettato evitando, almeno in un primo momento, la censura. La soluzione più veloce è quella di ricorrere alle lookalike letters, ovvero lettere che hanno un aspetto visivamente simile a quelle che si intende scrivere. Grazie ai caratteri Unicode le lettere vengono sostituite da altre apparentemente simili, prese dai dizionari di tutto il mondo, ma che vengono interpretate in modo completamente diverso da un computer. Uno dei tanti servizi gratuiti adatti allo scopo è SpiderArmy. Le funzioni offerte dal sito sono diverse:

Anti-monitoring

I caratteri vengono sostituiti con altri solo visivamente simili ma prelevati da altri dizionari Unicode.

FIG 1 - SpiderArmy, Anti-monitoring

Secret encode

Permette di codificare e decodificare un messaggio, utilizzando una chiave simmetrica.

FIG 2 - SpiderArmy, Secret encoder

Reduce

Riduce il numero di caratteri digitato sostituendo combinazioni di lettere con caratteri speciali che gli assomigliano.

Mirror

Permette di applicare l'effetto specchio al testo, invertirlo e capovolgerlo.

Shrink

Riduce le dimensioni del testo senza ricorrere a CSS o HTML.

Bubble

Trasforma il testo in bubble text.

Full width

Converte il testo ordinario nel suo equivalente Full Width: fa sembrare i caratteri a volte (a seconda del font) leggermente più grandi o più distanziati.

Bold/Italic 

Sostituisce il testo digitato con caratteri che hanno uno stile in grassetto o in corsivo.

Windows 10: Aumentare la dimensione dei registri eventi

Un'impostazione che viene spesso trascurata in ambiente Windows è quella della dimensione dei registri eventi. In Windows 10 la dimensione massima dei registri eventi come Applicazione, Sicurezza, Sistema è impostata di default a 20 MB. Tale dimensione, in alcuni contesti, potrebbe rivelarsi insufficiente portando alla sovrascrittura prematura degli eventi più vecchi e, di conseguenza, alla perdita di informazioni. Per incrementare le dimensioni dei registri eventi è possibile procedere in diversi modi.

Metodo 1 - Tramite GUI

Questo è il metodo più semplice e consiste nel procedere tramite l'interfaccia grafica di Windows:

• Avviare il Visualizzatore eventi (WIN+R e digitare eventvwr seguito da invio); 
• Espandere la voce Registri di Windows quindi cliccare, con il tasto destro del mouse, sul registro su cui si intende intervenire e selezionare Proprietà dal menu contestuale;
  

  

  FIG 1 - Visualizzatore eventi

  
  
• Nella finestra delle proprietà possiamo modificare il percorso del registro, impostare la dimensione massima (in KB) e decidere cosa fare al raggiungimento della dimensione massima scegliendo tra una delle 3 opzioni messe a disposizione:
    1. Sovrascrivi eventi se necessario (dal più vecchio),
    2. Archivia il registro quando è pieno (non sovrascrive gli eventi),
    3. Non sovrascrivere gli eventi (cancella i registri manualmente).
  Cliccando sul pulsante Cancella registro il contenuto del registro corrente verrà eliminato. Prima, però, ci verrà richiesto se salvare una copia.
  

  

  FIG 2 - Proprietà registro

  
  

Metodo 2 - Tramite registro di sistema

• Avviare l'Editor del registro di sistema (WIN+R e digitare regedit seguito da invio);
• Posizionarsi su
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog
  ed espandere l'alberatura in modo da visualizzare le sottochiavi.
• All'interno della chiave EventLog troviamo altre sottochiavi relative ai registri eventi. Supponiamo di voler ridimensionare il registro eventi Sistema. Selezionare la sottochiave System ed eseguire un doppio click sul valore DWORD con nome MaxSize. Selezionare la base decimale e specificare, in byte, la dimensione massima che si intende impostare.
  

  

  FIG 3 - Editor del Registro di sistema, Eventlog

  
  

Metodo 3 - Tramite group policy

Questo metodo prevede l'utilizzo dell'Editor di Criteri di gruppo locali pertanto può essere eseguito solo sulle versioni Professional e Enterprise di Windows 10:

• Avviare l'Editor Criteri di gruppo locali (WIN+R e digitare gpedit.msc seguito da invio);
• Posizionarsi su Criteri Computer locale -> Configurazione computer -> Modelli amministrativi -> Componenti di Windows -> Servizio Registro eventi. All'interno di quest'ultima voce troviamo i registri eventi principali.
• Selezionare il registro eventi su cui si intende operare (ad es. Sistema) quindi eseguire un doppio click su Specifica dimensione massima file di registro (KB)
  

  

  FIG 4 - Editor Criteri di gruppo locali

  
  
• Selezionare l'opzione Attivata quindi, nell'apposita casella, specificare la dimensione massima desiderata in KB. Terminata la modifica cliccare su Applica.
  

  

  FIG 5 - Specifica dimensione massima file di registro (KB)
  

   

  
  

Verificare un URL prima di aprirlo sul proprio sistema

Una buona parte dei tentativi di truffa e di attacco da parte dei criminali informatici utilizzano collegamenti web camuffati. Prima di cliccare su un collegamento ricevuto tramite email, sms, WhatsApp o altre applicazioni è buona norma assicurarsi che il link non sia pericoloso (anche se il mittente è una persona a noi nota e attendibile).

Nell'articolo Verificare se un sito web è sicuro con Zulu URL Risk Analyzer abbiamo già visto come analizzare la sicurezza di un URL attraverso il servizio zscaler. In questo articolo vedremo altri due strumenti che ci vengono in aiuto per la nostra analisi.

WhereGoes
Il primo tool è WhereGoes che consente di tracciare i percorsi di reindirizzamento completi di un URL permettendo di verificare il sito reale a cui punta. In questo modo si risale facilmente all'indirizzo completo a cui punta un URL accorciata da servizi come TinyUrl e bitly.

FIG 1 - WhereGoes

Browserling
Il sito Browserling mette a disposizione una mini virtual machine temporanea in cui è possibile selezionare il sistema operativo e il browser da utilizzare per la verifica dell'URL sospetto senza mettere a rischio il proprio sistema. La versione gratuita del tool richiede l'attesa di una coda dalla durata variabile (generalmente un minuto o poco più) e la scelta del sistema operativo e del browser è limitata. Una volta scaduto il tempo di attesa, verrà caricato il sistema operativo e il browser selezionato per un periodo di tempo limitato ma comunque più che sufficiente per testare il nostro URL.

FIG 2 - Browserling

Windows 10: Ingrandire le miniature di anteprima sulla taskbar

Per impostazione predefinita, passando con il cursore del mouse sulle icone presenti nella barra della applicazioni di Windows 10 viene mostrata l'anteprima della finestra. 

FIG 1 - Windows 10, Anteprima barra delle applicazioni

Volendo, è possibile ingrandire le dimensioni della finestra intervenendo sul registro di sistema:

• Avviare l'editor del registro di sistema (WIN+R e digitare regedit seguito da invio); 
• Posizionarsi su
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Taskband
• Creare un nuovo valore DWORD (32 bit) e rinominarlo in MinThumbSizePx;
• Eseguire un doppio click del mouse sul valore appena creato, nella sezione nominata Base selezionare Decimale e nella casella Dati valore digitare 400. Tale valore definisce, in pixel, la dimensione minima dell'anteprima. I valori accettati vanno da 0 a 500.
  

  

  FIG 2 - MinThumbSizePx

  
  
• In modo analogo creare il valore DWORD (32 bit) nominato MaxThumbSizePx e assegnargli lo stesso valore decimale di MinThumbSizePx.
• A questo punto non resta che disconnettersi e riconnettersi al sistema per avere l'anteprima di dimensioni maggiorate.

FIG 3 - Windows 10, Nuova anteprima barra delle applicazioni

Google: Digital Millennium Copyright Act

Quando si effettua una ricerca su Google, alcun risultati potrebbero essere rimossi in quanto segnalati come illegali per violazione del copyright. Tuttavia le informazioni fornite da Google relativamente ai risultati rimossi, possono essere utili agli smanettoni per trovare "nuove fonti" per le loro ricerche di materiale pirata.

Proviamo ad effettuare una ricerca su Google usando le parole chiavi

Star Wars streaming 

In fondo alla pagina dei risultati troviamo il seguente messaggio:

A seguito di numerosi reclami ricevuti ai sensi Digital Millennium Copyright Act (Legge statunitense sul copyright), abbiamo rimosso 6 risultati da questa pagina. Se vuoi, puoi leggere i reclami correlati al DMCA che hanno causato la rimozione all'indirizzo LumenDatabase.org: Reclamo, Reclamo, Reclamo, Reclamo, Reclamo, Reclamo.

FIG 1 - Digital Millennium Copyright Act

Nel messaggio si fa riferimento a www.lumendatabase.org, un database che raccoglie e verifica tutte le richieste di rimozione di materiale online segnalato come illegale e, in fondo al messaggio, vengono riportati dei link per maggiori dettagli relativi ai risultati rimossi. Cliccando sui link Reclamo si viene dirottati su una pagina Web contenente una serie di URL correlati alla ricerca effettuata. Si tratta di indirizzi di siti contenenti materiale pirata. Anche se lo scopo è quello di bloccare la diffusione dei contenuti pirata, fornendo a tutti un elenco completo dei siti incriminati si rischia di ottenere l'effetto opposto.

FIG 2 - www.lumendatabase.org

OS Fingerprinting: Individuare il sistema operativo attraverso il comando Ping

Ping (Packet internet groper) è un'utility di amministrazione per reti generalmente utilizzata per verificare la presenza e la raggiungibilità di un dispositivo di rete (Host) su una rete IP (Internet Protocol). 

Ping invia un pacchetto ICMP (Internet Control Message Protocol) di tipo Echo Request al sistema target e rimane in attesa di un pacchetto ICMP di tipo Echo Reply di risposta (solitamente la parte del sistema operativo dedicata alla gestione dello stack di rete è programmato per rispondere automaticamente con un pacchetto Echo Reply alla ricezione di un pacchetto Echo Request). In questo modo viene misurato il tempo, in millisecondi, impiegato da uno o  più pacchetti ICMP a raggiungere un dispositivo di rete e a ritornare indietro consentendo di misurare anche le latenze di trasmissione di rete.

Il Time to live (TTL) si riferisce alla quantità di tempo o salti (conosciuti anche con il termine HOPS e che rappresentano, in pratica, il numero di reti attraversate per raggiungere il destinatario) che un pacchetto è impostato per esistere all'interno di una rete prima di essere scartato da un router. I valori di default del TTL differiscono tra i vari sistemi operativi (si veda la tabella) il che consente di effettuare una prima ipotesi sul sistema operativo installato sull'host che si sta analizzando (OS fingerprinting).

Device / OS	Version	Protocol	TTL
AIX		TCP	60
AIX		UDP	30
AIX	3.2, 4.1	ICMP	255
BSDI	BSD/OS 3.1 and 4.0	ICMP	255
Compa	Tru64 v5.0	ICMP	64
Cisco		ICMP	254
DEC Pathworks	V5	TCP and UDP	30
Foundry		ICMP	64
FreeBSD	2.1R	TCP and UDP	64
FreeBSD	3.4, 4.0	ICMP	255
FreeBSD	5	ICMP	64
HP-UX	9.0x	TCP and UDP	30
HP-UX	10.01	TCP and UDP	64
HP-UX	10.2	ICMP	255
HP-UX	11	ICMP	255
HP-UX	11	TCP	64
Irix	5.3	TCP and UDP	60
Irix	6.x	TCP and UDP	60
Irix	6.5.3, 6.5.8	ICMP	255
juniper		ICMP	64
MPE/IX (HP)		ICMP	200
Linux	2.0.x kernel	ICMP	64
Linux	2.2.14 kernel	ICMP	255
Linux	2.4 kernel	ICMP	255
Linux	Red Hat 9	ICMP and TCP	64
MacOS/MacTCP	2.0.x	TCP and UDP	60
MacOS/MacTCP	X (10.5.6)	ICMP/TCP/UDP	64
NetBSD		ICMP	255
Netgear FVG318		ICMP and UDP	64
OpenBSD	2.6 & 2.7	ICMP	255
OpenVMS	07.01.2002	ICMP	255
OS/2	TCP/IP 3.0		64
OSF/1	V3.2A	TCP	60
OSF/1	V3.2A	UDP	30
Solaris	2.5.1, 2.6, 2.7, 2.8	ICMP	255
Solaris	2.8	TCP	64
Stratus	TCP_OS	ICMP	255
Stratus	TCP_OS (14.2-)	TCP and UDP	30
Stratus	TCP_OS (14.3+)	TCP and UDP	64
Stratus	STCP	ICMP/TCP/UDP	60
SunOS	4.1.3/4.1.4	TCP and UDP	60
SunOS	5.7	ICMP and TCP	255
Ultrix	V4.1/V4.2A	TCP	60
Ultrix	V4.1/V4.2A	UDP	30
Ultrix	V4.2 – 4.5	ICMP	255
VMS/Multinet		TCP and UDP	64
VMS/TCPware		TCP	60
VMS/TCPware		UDP	64
VMS/Wollongong	1.1.1.1	TCP	128
VMS/Wollongong	1.1.1.1	UDP	30
VMS/UCX		TCP and UDP	128
Windows	for Workgroups	TCP and UDP	32
Windows	95	TCP and UDP	32
Windows	98	ICMP	32
Windows	98, 98 SE	ICMP	128
Windows	98	TCP	128
Windows	NT 3.51	TCP and UDP	32
Windows	NT 4.0	TCP and UDP	128
Windows	NT 4.0 SP5-		32
Windows	NT 4.0 SP6+		128
Windows	NT 4 WRKS SP 3, SP 6a	ICMP	128
Windows	NT 4 Server SP4	ICMP	128
Windows	ME	ICMP	128
Windows	2000 pro	ICMP/TCP/UDP	128
Windows	2000 family	ICMP	128
Windows	Server 2003		128
Windows	XP	ICMP/TCP/UDP	128
Windows	Vista	ICMP/TCP/UDP	128
Windows	7	ICMP/TCP/UDP	128
Windows	Server 2008	ICMP/TCP/UDP	128
Windows	10	ICMP/TCP/UDP	128

Per cercare di individuare il sistema operativo installato sull'Host target, basta eseguire un Ping. Supponiamo di voler analizzare un host che si trova sulla nostra stessa rete, il comando da eseguire sarà del tipo

ping 192.168.0.55

al posto dell'indirizzo IP possiamo utilizzare il nome Host.

FIG 1 - Time to live 64

Come visibile in FIG 1, l'Host target ha risposto al ping con un TTL a 64 che, visionando i valori in tabella, ci fa desumere che siamo davanti ad un sistema *nix/Linux.

Questo è il caso più semplice infatti, trovandoci sulla stessa rete dell'Host target, il TTL non viene decrementato.

Quando l'Host target si trova su un'altra rete bisogna tener conto anche degli HOPS. Ad esempio, supponiamo di voler indagare sul sistema operativo che ospita il sito www.cisco.com.

Eseguiamo il ping verso il sito web

ping www.cisco.com 

FIG 2 - Ping www.cisco.com

Il TTL restituito dal ping è 56 (FIG 2). Dato che mi aspetto si tratti di un sistema *nix/linux posso supporre che tra i due host, quello da cui è stato lanciato il comando e quello target, ci siano 8 router. Per verificarlo basta eseguire un traceroute.

In ambiente Windows il comando da eseguire è

tracert www.cisco.com

in ambiente linux il comando è

traceroute -n www.cisco.com

FIG 3 - TraceRoute

Come visibile da FIG 3 tra i due host ci sono 8 router (il nono è l'indirizzo della macchina target).

I risultati ottenibili con questa tecnica non sono affidabili al 100% anche se si tratta del metodo meno invasivo e che da meno nell'occhio. Innanzitutto, come visibile in tabella, più sistemi operativi hanno lo stesso TTL inoltre i valori di default possono essere modificati. Risultati più attendibili possono essere ottenuti utilizzando tool come p0f, nmap e xprobe.