sabato 31 luglio 2021

MS Outlook: Disattivare o limitare l'elenco degli elementi recenti nel menu Allega file

In Outlook 2016, Outlook 2019 e Microsoft 365, per impostazioni predefinita e a seconda della risoluzione/dimensione dello schermo, vengono mostrati fino a 12 file nell'elenco degli elementi recenti del pulsante Allega file. Non è possibile filtrare direttamente tale elenco ma è possibile disattivarlo o limitare il numero di elementi visualizzati agendo tramite il registro di sistema.
Outlook, Elenco Allega file
FIG 1 - Outlook, Elenco Allega file


É possibile controllare quanti elementi recenti vengono mostrati nel menu Allega file tramite il valore di registro MaxAttachmentMenuItems:
  • Avviare l'Editor del registro di sistema (WIN+R e digitare regedit seguito da invio); 
  • Posizionarsi su
    HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Options\Mail
  • Creare, se non presente, un valore DWORD e rinominarlo in MaxAttachmentMenuItems;
  • I valori accettati sono decimali da 0 a 20 che rappresentano il numero di file recenti visualizzati in elenco. Assegnando a MaxAttachmentMenuItems il valore 0 l'elenco verrà disattivato.
    MaxAttachmentMenuItems
    FIG 2 - MaxAttachmentMenuItems

Outlook, Elenco file recenti disattivato
FIG 3 - Outlook, Elenco file recenti disattivato




lunedì 26 luglio 2021

Ingannare i sistemi di riconoscimento automatico del testo

Quando si pubblica del testo online sui social questo viene analizzato da sistemi automatizzati in grado di individuare parole chiave (keyword) vietate o borderline. Un processo analogo avviene con i filtri antispam di posta elettronica. Ci sono diversi trucchi per ingannare i sistemi di riconoscimento automatico del testo e fare in modo che il nostro messaggio non venga subito intercettato evitando, almeno in un primo momento, la censura. La soluzione più veloce è quella di ricorrere alle lookalike letters, ovvero lettere che hanno un aspetto visivamente simile a quelle che si intende scrivere. Grazie ai caratteri Unicode le lettere vengono sostituite da altre apparentemente simili, prese dai dizionari di tutto il mondo, ma che vengono interpretate in modo completamente diverso da un computer. Uno dei tanti servizi gratuiti adatti allo scopo è SpiderArmy. Le funzioni offerte dal sito sono diverse:

Anti-monitoring
I caratteri vengono sostituiti con altri solo visivamente simili ma prelevati da altri dizionari Unicode.
SpiderArmy, Anti-monitoring
FIG 1 - SpiderArmy, Anti-monitoring


Secret encode
Permette di codificare e decodificare un messaggio, utilizzando una chiave simmetrica.
SpiderArmy, Secret encoder
FIG 2 - SpiderArmy, Secret encoder


Reduce
Riduce il numero di caratteri digitato sostituendo combinazioni di lettere con caratteri speciali che gli assomigliano.

Mirror
Permette di applicare l'effetto specchio al testo, invertirlo e capovolgerlo.

Shrink
Riduce le dimensioni del testo senza ricorrere a CSS o HTML.

Bubble
Trasforma il testo in bubble text.

Full width
Converte il testo ordinario nel suo equivalente Full Width: fa sembrare i caratteri a volte (a seconda del font) leggermente più grandi o più distanziati.

Bold/Italic 
Sostituisce il testo digitato con caratteri che hanno uno stile in grassetto o in corsivo.


lunedì 19 luglio 2021

Windows 10: Aumentare la dimensione dei registri eventi

Un'impostazione che viene spesso trascurata in ambiente Windows è quella della dimensione dei registri eventi. In Windows 10 la dimensione massima dei registri eventi come Applicazione, Sicurezza, Sistema è impostata di default a 20 MB. Tale dimensione, in alcuni contesti, potrebbe rivelarsi insufficiente portando alla sovrascrittura prematura degli eventi più vecchi e, di conseguenza, alla perdita di informazioni. Per incrementare le dimensioni dei registri eventi è possibile procedere in diversi modi.

Metodo 1 - Tramite GUI

Questo è il metodo più semplice e consiste nel procedere tramite l'interfaccia grafica di Windows:
  • Avviare il Visualizzatore eventi (WIN+R e digitare eventvwr seguito da invio); 
  • Espandere la voce Registri di Windows quindi cliccare, con il tasto destro del mouse, sul registro su cui si intende intervenire e selezionare Proprietà dal menu contestuale;
    Visualizzatore eventi
    FIG 1 - Visualizzatore eventi

  • Nella finestra delle proprietà possiamo modificare il percorso del registro, impostare la dimensione massima (in KB) e decidere cosa fare al raggiungimento della dimensione massima scegliendo tra una delle 3 opzioni messe a disposizione:
      1. Sovrascrivi eventi se necessario (dal più vecchio),
      2. Archivia il registro quando è pieno (non sovrascrive gli eventi),
      3. Non sovrascrivere gli eventi (cancella i registri manualmente).
    Cliccando sul pulsante Cancella registro il contenuto del registro corrente verrà eliminato. Prima, però, ci verrà richiesto se salvare una copia.
    Proprietà registro
    FIG 2 - Proprietà registro


Metodo 2 - Tramite registro di sistema

  • Avviare l'Editor del registro di sistema (WIN+R e digitare regedit seguito da invio);
  • Posizionarsi su
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog
    ed espandere l'alberatura in modo da visualizzare le sottochiavi.
  • All'interno della chiave EventLog troviamo altre sottochiavi relative ai registri eventi. Supponiamo di voler ridimensionare il registro eventi Sistema. Selezionare la sottochiave System ed eseguire un doppio click sul valore DWORD con nome MaxSize. Selezionare la base decimale e specificare, in byte, la dimensione massima che si intende impostare.
    Editor del Registro di sistema, Eventlog
    FIG 3 - Editor del Registro di sistema, Eventlog


Metodo 3 - Tramite group policy

Questo metodo prevede l'utilizzo dell'Editor di Criteri di gruppo locali pertanto può essere eseguito solo sulle versioni Professional e Enterprise di Windows 10:
  • Avviare l'Editor Criteri di gruppo locali (WIN+R e digitare gpedit.msc seguito da invio);
  • Posizionarsi su Criteri Computer locale -> Configurazione computer -> Modelli amministrativi -> Componenti di Windows -> Servizio Registro eventi. All'interno di quest'ultima voce troviamo i registri eventi principali.
  • Selezionare il registro eventi su cui si intende operare (ad es. Sistema) quindi eseguire un doppio click su Specifica dimensione massima file di registro (KB)
    Editor Criteri di gruppo locali
    FIG 4 - Editor Criteri di gruppo locali

  • Selezionare l'opzione Attivata quindi, nell'apposita casella, specificare la dimensione massima desiderata in KB. Terminata la modifica cliccare su Applica.
    Specifica dimensione massima file di registro (KB)
    FIG 5 - Specifica dimensione massima file di registro (KB)
     



giovedì 15 luglio 2021

Verificare un URL prima di aprirlo sul proprio sistema

Una buona parte dei tentativi di truffa e di attacco da parte dei criminali informatici utilizzano collegamenti web camuffati. Prima di cliccare su un collegamento ricevuto tramite email, sms, WhatsApp o altre applicazioni è buona norma assicurarsi che il link non sia pericoloso (anche se il mittente è una persona a noi nota e attendibile).

Nell'articolo Verificare se un sito web è sicuro con Zulu URL Risk Analyzer abbiamo già visto come analizzare la sicurezza di un URL attraverso il servizio zscalerIn questo articolo vedremo altri due strumenti che ci vengono in aiuto per la nostra analisi.

WhereGoes
Il primo tool è WhereGoes che consente di tracciare i percorsi di reindirizzamento completi di un URL permettendo di verificare il sito reale a cui punta. In questo modo si risale facilmente all'indirizzo completo a cui punta un URL accorciata da servizi come TinyUrl e bitly.
WhereGoes
FIG 1 - WhereGoes


Browserling
Il sito Browserling mette a disposizione una mini virtual machine temporanea in cui è possibile selezionare il sistema operativo e il browser da utilizzare per la verifica dell'URL sospetto senza mettere a rischio il proprio sistema. La versione gratuita del tool richiede l'attesa di una coda dalla durata variabile (generalmente un minuto o poco più) e la scelta del sistema operativo e del browser è limitata. Una volta scaduto il tempo di attesa, verrà caricato il sistema operativo e il browser selezionato per un periodo di tempo limitato ma comunque più che sufficiente per testare il nostro URL.
browserling
FIG 2 - Browserling




martedì 13 luglio 2021

Windows 10: Ingrandire le miniature di anteprima sulla taskbar

Per impostazione predefinita, passando con il cursore del mouse sulle icone presenti nella barra della applicazioni di Windows 10 viene mostrata l'anteprima della finestra. 
Windows 10 - Anteprima barra delle applicazioni
FIG 1 - Windows 10, Anteprima barra delle applicazioni


Volendo, è possibile ingrandire le dimensioni della finestra intervenendo sul registro di sistema:
  • Avviare l'editor del registro di sistema (WIN+R e digitare regedit seguito da invio); 
  • Posizionarsi su
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Taskband
  • Creare un nuovo valore DWORD (32 bit) e rinominarlo in MinThumbSizePx;
  • Eseguire un doppio click del mouse sul valore appena creato, nella sezione nominata Base selezionare Decimale e nella casella Dati valore digitare 400. Tale valore definisce, in pixel, la dimensione minima dell'anteprima. I valori accettati vanno da 0 a 500.
    MinThumbSizePx
    FIG 2 - MinThumbSizePx

  • In modo analogo creare il valore DWORD (32 bit) nominato MaxThumbSizePx e assegnargli lo stesso valore decimale di MinThumbSizePx.
  • A questo punto non resta che disconnettersi e riconnettersi al sistema per avere l'anteprima di dimensioni maggiorate.
Windows 10, Nuova anteprima barra delle applicazioni
FIG 3 - Windows 10, Nuova anteprima barra delle applicazioni




lunedì 12 luglio 2021

Google: Digital Millennium Copyright Act

Quando si effettua una ricerca su Google, alcun risultati potrebbero essere rimossi in quanto segnalati come illegali per violazione del copyright. Tuttavia le informazioni fornite da Google relativamente ai risultati rimossi, possono essere utili agli smanettoni per trovare "nuove fonti" per le loro ricerche di materiale pirata.

Proviamo ad effettuare una ricerca su Google usando le parole chiavi
Star Wars streaming 

In fondo alla pagina dei risultati troviamo il seguente messaggio:

A seguito di numerosi reclami ricevuti ai sensi Digital Millennium Copyright Act (Legge statunitense sul copyright), abbiamo rimosso 6 risultati da questa pagina. Se vuoi, puoi leggere i reclami correlati al DMCA che hanno causato la rimozione all'indirizzo LumenDatabase.org: Reclamo, Reclamo, Reclamo, Reclamo, Reclamo, Reclamo.
Digital Millennium Copyright Act
FIG 1 - Digital Millennium Copyright Act


Nel messaggio si fa riferimento a www.lumendatabase.org, un database che raccoglie e verifica tutte le richieste di rimozione di materiale online segnalato come illegale e, in fondo al messaggio, vengono riportati dei link per maggiori dettagli relativi ai risultati rimossi. Cliccando sui link Reclamo si viene dirottati su una pagina Web contenente una serie di URL correlati alla ricerca effettuata. Si tratta di indirizzi di siti contenenti materiale pirata. Anche se lo scopo è quello di bloccare la diffusione dei contenuti pirata, fornendo a tutti un elenco completo dei siti incriminati si rischia di ottenere l'effetto opposto.

www.lumendatabase.org
FIG 2 - www.lumendatabase.org




martedì 6 luglio 2021

OS Fingerprinting: Individuare il sistema operativo attraverso il comando Ping

Ping (Packet internet groper) è un'utility di amministrazione per reti generalmente utilizzata per verificare la presenza e la raggiungibilità di un dispositivo di rete (Host) su una rete IP (Internet Protocol). 

Ping invia un pacchetto ICMP (Internet Control Message Protocol) di tipo Echo Request al sistema target e rimane in attesa di un pacchetto ICMP di tipo Echo Reply di risposta (solitamente la parte del sistema operativo dedicata alla gestione dello stack di rete è programmato per rispondere automaticamente con un pacchetto Echo Reply alla ricezione di un pacchetto Echo Request). In questo modo viene misurato il tempo, in millisecondi, impiegato da uno o  più pacchetti ICMP a raggiungere un dispositivo di rete e a ritornare indietro consentendo di misurare anche le latenze di trasmissione di rete.

Il Time to live (TTL) si riferisce alla quantità di tempo o salti (conosciuti anche con il termine HOPS e che rappresentano, in pratica, il numero di reti attraversate per raggiungere il destinatario) che un pacchetto è impostato per esistere all'interno di una rete prima di essere scartato da un router. I valori di default del TTL differiscono tra i vari sistemi operativi (si veda la tabella) il che consente di effettuare una prima ipotesi sul sistema operativo installato sull'host che si sta analizzando (OS fingerprinting).

Device / OSVersionProtocolTTL
AIX TCP60
AIX UDP30
AIX3.2, 4.1ICMP255
BSDIBSD/OS 3.1 and 4.0ICMP255
CompaTru64 v5.0ICMP64
Cisco ICMP254
DEC PathworksV5TCP and UDP30
Foundry ICMP64
FreeBSD2.1RTCP and UDP64
FreeBSD3.4, 4.0ICMP255
FreeBSD5ICMP64
HP-UX9.0xTCP and UDP30
HP-UX10.01TCP and UDP64
HP-UX10.2ICMP255
HP-UX11ICMP255
HP-UX11TCP64
Irix5.3TCP and UDP60
Irix6.xTCP and UDP60
Irix6.5.3, 6.5.8ICMP255
juniper ICMP64
MPE/IX (HP) ICMP200
Linux2.0.x kernelICMP64
Linux2.2.14 kernelICMP255
Linux2.4 kernelICMP255
LinuxRed Hat 9ICMP and TCP64
MacOS/MacTCP2.0.xTCP and UDP60
MacOS/MacTCPX (10.5.6)ICMP/TCP/UDP64
NetBSD ICMP255
Netgear FVG318 ICMP and UDP64
OpenBSD2.6 & 2.7ICMP255
OpenVMS07.01.2002ICMP255
OS/2TCP/IP 3.0 64
OSF/1V3.2ATCP60
OSF/1V3.2AUDP30
Solaris2.5.1, 2.6, 2.7, 2.8ICMP255
Solaris2.8TCP64
StratusTCP_OSICMP255
StratusTCP_OS (14.2-)TCP and UDP30
StratusTCP_OS (14.3+)TCP and UDP64
StratusSTCPICMP/TCP/UDP60
SunOS4.1.3/4.1.4TCP and UDP60
SunOS5.7ICMP and TCP255
UltrixV4.1/V4.2ATCP60
UltrixV4.1/V4.2AUDP30
UltrixV4.2 – 4.5ICMP255
VMS/Multinet TCP and UDP64
VMS/TCPware TCP60
VMS/TCPware UDP64
VMS/Wollongong1.1.1.1TCP128
VMS/Wollongong1.1.1.1UDP30
VMS/UCX TCP and UDP128
Windowsfor WorkgroupsTCP and UDP32
Windows95TCP and UDP32
Windows98ICMP32
Windows98, 98 SEICMP128
Windows98TCP128
WindowsNT 3.51TCP and UDP32
WindowsNT 4.0TCP and UDP128
WindowsNT 4.0 SP5- 32
WindowsNT 4.0 SP6+ 128
WindowsNT 4 WRKS SP 3, SP 6aICMP128
WindowsNT 4 Server SP4ICMP128
WindowsMEICMP128
Windows2000 proICMP/TCP/UDP128
Windows2000 familyICMP128
WindowsServer 2003 128
WindowsXPICMP/TCP/UDP128
WindowsVistaICMP/TCP/UDP128
Windows7ICMP/TCP/UDP128
WindowsServer 2008ICMP/TCP/UDP128
Windows10ICMP/TCP/UDP128


Per cercare di individuare il sistema operativo installato sull'Host target, basta eseguire un Ping. Supponiamo di voler analizzare un host che si trova sulla nostra stessa rete, il comando da eseguire sarà del tipo
ping 192.168.0.55
al posto dell'indirizzo IP possiamo utilizzare il nome Host.
Time to live 64
FIG 1 - Time to live 64


Come visibile in FIG 1, l'Host target ha risposto al ping con un TTL a 64 che, visionando i valori in tabella, ci fa desumere che siamo davanti ad un sistema *nix/Linux.
Questo è il caso più semplice infatti, trovandoci sulla stessa rete dell'Host target, il TTL non viene decrementato.

Quando l'Host target si trova su un'altra rete bisogna tener conto anche degli HOPS. Ad esempio, supponiamo di voler indagare sul sistema operativo che ospita il sito www.cisco.com.
Eseguiamo il ping verso il sito web
ping www.cisco.com 
Ping www.cisco.com
FIG 2 - Ping www.cisco.com


Il TTL restituito dal ping è 56 (FIG 2). Dato che mi aspetto si tratti di un sistema *nix/linux posso supporre che tra i due host, quello da cui è stato lanciato il comando e quello target, ci siano 8 router. Per verificarlo basta eseguire un traceroute.
In ambiente Windows il comando da eseguire è
tracert www.cisco.com
in ambiente linux il comando è
traceroute -n www.cisco.com
TraceRoute
FIG 3 - TraceRoute

Come visibile da FIG 3 tra i due host ci sono 8 router (il nono è l'indirizzo della macchina target).

I risultati ottenibili con questa tecnica non sono affidabili al 100% anche se si tratta del metodo meno invasivo e che da meno nell'occhio. Innanzitutto, come visibile in tabella, più sistemi operativi hanno lo stesso TTL inoltre i valori di default possono essere modificati. Risultati più attendibili possono essere ottenuti utilizzando tool come p0f, nmap e xprobe.