venerdì 26 maggio 2017

Windows Quick Tip: Visualizzare l'elenco dei programmi installati sulla postazione utilizzando WMIC

WMIC (Windows Management Instrumentation Command-line) consente di ottenere l'elenco dei programmi installati sul PC. La sintassi del comando è molto semplice. Dal Prompt dei Comandi eseguire
wmic product get name, version
per ottenere l'elenco dei programmi installati e relativa versione.

Se si intende salvare l'output in un file è possibile utilizzare il parametro /output
wmic /output:ElencoProgrammi.txt product get name,version

Per visualizzare l'elenco dei programmi installati su una macchina remota si può utilizzare il parametro /NODE: seguito dal nome della postazione
wmic /NODE:Server01 product get name, version


WMIC, Lista dei programmi installati
FIG 1 - WMIC, Lista dei programmi installati

sabato 20 maggio 2017

Ransomware WannaCry: Recuperare i dati criptati

Il ricercatore di sicurezza informatica Adrien Guinet, ha trovato un modo per recuperare la chiave per decriptare i file cifrati dal ransomware WannaCry: Il ransomware genera la chiave pubblica e quella privata sulla macchina della vittima e, a causa di un errore di programmazione, la memoria dove risiedono tali chiavi non viene ripulita ma viene semplicemente contrassegnata come libera. Basandosi su tali informazioni un'altro ricercatore di sicurezza, Benjamin Delpy, ha sviluppato un tool chiamato WannaKiwi che automatizza l'operazione di recupero della chiave privata. 
WannaCry
FIG 1 - WannaCry

Nel caso in cui il sistema sia stato infettato, non riavviarlo o spegnerlo.
  • Scaricare WannaKiwi https://github.com/gentilkiwi/wanakiwi/releases e avviare il file eseguibile;
  • Il tool cerca autonomamente il file 00000000.pky. Non resta che sperare che la chiave privata non sia stata sovrascritta in memoria e attendere che il tool riesca ad individuarla e a procedere al recupero dei file cifrati con estensione .wncry
WannaKiwi provvede a creare anche i file con estensione .dky fermando, in questo modo, l'infezione di ulteriori file.



martedì 16 maggio 2017

Ransomware WannaCry: Come proteggersi

L'attacco informatico eseguito dal ransomware WannaCry (conosciuto anche con i nomi WanaCrypt0r 2.0 o WCry/WannaCry) è di carattere planetario. Il ransomware sfrutta una tecnica utilizzata da EternalBlue/DoublePulsar, uno strumento d'intrusione sviluppato dalla NSA che è stato trafugato e diffuso da alcune organizzazioni criminali. Il malware si diffonde da una rete locale all'altra attraverso Internet sfruttando le condivisione di rete SMB (SAMBA), generalmente attiva di default sui sistemi Windows, pertanto se un PC è stato infettato scollegarlo dalla rete per scongiurare l'infezione di altre postazioni/dispositivi. L'infezione è stata al momento bloccata: WannaCry verifica la presenza di un particolare domino esterno (www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com) e se non lo trova o non riesce ad accedervi provvede ad infettare il sistema. Il dominio è stato di recente creato per fermare l'infezione ma altre varianti del malware sprovviste di tale controllo si stanno diffondendo.
Purtroppo questo attacco dimostra ancora una volta la scarsa considerazione della sicurezza da parte degli utenti ma soprattutto da parte di molte aziende: sono stati colpite dall'infezione Università, Ospedali, compagnie di telecomunicazioni e persino banche. La patch diffusa da Microsoft che sistema la falla sfruttata dal ransomware è la MS17-010 disponibile già da Marzo. 

I sistemi interessati dal ransomware sono Windows XP, Windows Vista SP2, Windows Server 2008, Windows 7, Windows 8-8.1, Windows Server 2012 e R2, Windows 10, Windows Server 2016 non aggiornati.


Oltre ad installare la patch è opportuno verificare la disabilitazione della funzionalità Supporto per condivisione file SMB 1.0/CIFS come indicato di seguito:
  • Da Windows premere la combinazione di tasti WIN+R e, nella finestra Esegui, digitare appwiz.cpl seguito da invio;
  • Sul lato sinistro della finestra cliccare su Attivazione o Disattivazione delle funzionalità di Windows

    Windows, Attivazione o disattivazione delle funzionalità di Windows
    FIG 1 - Windows, Attivazione o disattivazione delle funzionalità di Windows
  • Dall'elenco togliere la spunta alla voce Supporto per condivisione file SMB 1.0/CIFS (SMB1.0/CIFS File Sharing Support) e confermare cliccando su OK

    Supporto per condivisione file SMB 1.0/CIFS
    FIG 2 - Supporto per condivisione file SMB 1.0/CIFS

Per proteggersi da gran parte di virus/ransomware basta seguire pochi e semplici passaggi:
  • Tenere sempre il sistema operativo aggiornato. Windows può essere aggiornato sia tramite il tool integrato nel sistema sia installando le patch di sicurezza manualmente scaricandole da http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598.
  • Aggiornare il proprio antivirus/firewall;
  • Non aprire email, allegati o file di dubbia provenienza senza prima aver effettuato almeno un controllo con un antivirus aggiornato;
  • Eseguire frequenti backup dei dati importanti su supporti esterni è tenerli disconnessi dalla rete.




MS Exchange: Rimuovere la foto associata all'account utente tramite EMS

Per rimuovere una foto associata ad un'account utente in ambiente MS Exchange 2013/2016 è possibile agire tramite EMS (Exchange Management Shell) utilizzando il cmdlet Remove-UserPhoto. La sintassi del comando è la seguente

Remove-UserPhoto -identity <IdentificativoMailbox>

oppure

Remove-UserPhoto -ClearMailboxPhotoRecord <SwitchParameter> -Identity <IdentificativoMailbox>

MS Exchange, foto associata all'account utente
FIG 1 - MS Exchange, foto associata all'account utente


Parametri principali


Identity
Il parametro Identity specifica l'identità dell'account utente. Il parametro accetta un qualsiasi valore che consenta di identificare l'account in modo univoco come:
GUID
Nome distinto (DN)
Dominio\Account
Nome dell'entità utente
LegacyExchangeDN
SamAccountName
Indirizzo SMTP
Alias 


ClearMailboxPhotoRecord
Il parametro ClearMailboxPhotoRecord è disponibile solo per il servizio basato su cloud e indica che la foto eliminata da una casella di posta viene considerata vuota anziché rimossa. Non è necessario specificare un valore per questa opzione.



Esempi


Esempio 1
Remove-UserPhoto -identity GLUBRANO
Elimina la foto associata all'account GLUBRANO

Esempio 2
Remove-UserPhoto -identity giovanni.lubrano@contoso.com -Confirm:$false
Rimuove la foto associata all'account identificato dall'indirizzo giovanni.lubrano@contoso.com senza chiedere conferma prima di procedere.



lunedì 15 maggio 2017

Outlook: Modificare la grandezza del carattere del riquadro cartelle/riquadro di spostamento

Tutte le versioni di Outlook dispongono di una sezione nota come Navigation Pane che, oltre a permettere un accesso rapido a tutte le cartelle della posta, consente di passare rapidamente a visualizzazioni diverse quali il Calendario, i Contatti, le Attività, le Note, ecc. Nella versione di Outlook 2010 il Navigation Pane prende il nome di Riquadro di spostamento mentre a partire da Outlook 2013 il nome è stato modificato in Riquadro Cartelle.

In questo articolo verrà mostrato come procedere per ingrandire il Font del Navigation Pane; mentre in Outlook 2010 è presente un'apposita opzione, per le versioni successive è necessario agire tramite le opzioni del sistema operativo.


Outlook 2010

  • All'interno di Outlook, dal menu Visualizza cliccare su Riquadro di spostamento quindi selezionare Opzioni...;
    Outlook 2010, menu Visualizza
    FIG 1 - Outlook 2010, menu Visualizza
  • Nella finestra Opzioni Riquadro di spostamento, cliccare sul pulsante Tipo di carattere (il pulsante Reimposta ripristina le impostazioni di default);
    Outlook 2010, Opzioni riquadro di spostamento
    FIG 2 - Outlook 2010, Opzioni riquadro di spostamento
  • Selezionare il Tipo di carattere e la grandezza desiderati quindi cliccare su OK per ritornare alla finestra precedente;
    Outlook 2010, Tipo di carattere riquadro di spostamento
    FIG 3 - Outlook 2010, Tipo di carattere riquadro di spostamento
  • Nella finestra Opzioni Riquadro di spostamento cliccare sul pulsante OK per applicare le modifiche.



Outlook 2013 e successivi


A partire da Outlook 2013 il Navigation Pane prende il nome di Riquadro cartelle inoltre è stata rimossa l'opzione che consente la modifica della grandezza dei caratteri di tale riquadro. Per ingrandire i caratteri all'interno del Riquadro cartelle è necessario procedere tramite le impostazioni di visualizzazione del sistema operativo. Ovviamente, in questo caso, la grandezza dei caratteri verrà modificata anche nei menu di altre applicazioni e del sistema operativo. Di seguito vengono elencati i passaggi da seguire in ambiente Windows 10, per altre versioni di Windows i passaggi sono analoghi.
  • Accedere al Pannello di controllo cliccare su Aspetto e personalizzazione;

    Windows 10, Pannello di controllo - Aspetto e personalizzazione
    FIG 4 - Windows 10, Pannello di controllo - Aspetto e personalizzazione
  •  Nella schermata successiva cliccare su Schermo;

    Windows 10, Schermo
    FIG 5 - Windows 10, Schermo
  • Nella sezione Modifica solo la dimensione del testo selezionare la voce Menu nella combobox e impostare la dimensione desiderata (di default è 9) quindi cliccare su Applica.
    Windows 10, Modifica dimensione del testo dei menu
    FIG 6 - Windows 10, Modifica dimensione del testo dei menu




domenica 7 maggio 2017

C#: Elencare i file PST connessi ad Outlook

Per poter utilizzare Outlook è necessario disporre di un account di posta (Microsoft Exchange, POP o IMAP). L'account di posta è composto da un'oggetto di tipo Store che viene utilizzato per memorizzare i dati. Lo Store, a sua volta, è composto da cartelle e Item (come e-mail, contatti, appuntamenti, ecc). Anche un file archivio (file PST) è composto da un'oggetto di tipo Store. Per chiarire il concetto, si veda la seguente figura.


Outlook Store
FIG 1 - Outlook Store


In questo articolo verrà mostrato come, utilizzando C#, è possibile ottenere l'elenco dei file PST connessi ad Outlook.
Per poter interagire con gli oggetti di Outlook è necessario utilizzare, all'interno della nostra applicazione, il namespace Microsoft.Office.Interop.Outlook.

Una volta aggiunti i riferimenti a Microsoft.Office.Interop.Outlook, la prima operazione da effettuare è quella di creare un oggetto Outlook Application.
Outlook.Application olApp = new Outlook.Application();

Tale oggetto può essere utilizzato per diversi scopi, noi lo useremo per accedere agli altri oggetti di Outlook sottostanti.

Il nostro obiettivo è quello di accedere agli Store. Tale operazione è possibile attraverso l'oggetto NameSpace che contiene la sessione di collegamento ad Outlook
Outlook.NameSpace olNs=olApp.Session;
Outlook.Stores olStores=olNs.Stores;

A questo punto in olStores abbiamo tutti gli Store del profilo Outlook. Attraverso un ciclo For andiamo ad analizzare ciascun Store e verificare se si tratta di un file di dati (olStore.IsDataFileStore) e se la sua estensione è .PST (olStore.FilePath.ToString().ToUpper().EndsWith(".PST"). In caso affermativo il nome del file, comprensivo di path, verrà accodato ad una variabile stringa (pstList) che, al termine, conterrà l'elenco di tutti i file PST connessi ad Outlook
for (int i = 1; i <= olStores.Count; i++){
 olStore=olStores[i];
 if(olStore.IsDataFileStore){ //se si tratta di un file di dati
  if ((olStore.FilePath.ToString().ToUpper().EndsWith(".PST")) ){
   count++;
   pstList += String.Format("{0}. {1}{2}",count,olStore.FilePath,Environment.NewLine);
  }
    
 }
 if (olStore !=null)
  Marshal.ReleaseComObject(olStore);

 }

Alla fine non resta che chiudere le sessioni e rilasciare gli oggetti.
if (olStores !=null)
 Marshal.ReleaseComObject(olStores);
if (olStore !=null)
 Marshal.ReleaseComObject(olStore);
if (olApp !=null)
 Marshal.ReleaseComObject(olApp);
if (olNs != null)
 Marshal.ReleaseComObject(olNs);

Per chi vuole può scaricare il codice sorgente dell'esempio dal seguente link.
DOWNLOAD



giovedì 4 maggio 2017

Ransomware JeepersCrypt: Recupero dati

Gli esperti di BleepingComputer  hanno scovato un nuovo ransomware proveniente dal Brasile chiamato JeepersCrypt (nome che si rifà al film horror Jeepers Creepers). Il ransomware aggiunge l'estensione .jeepers ai file cifrati e visualizza la richiesta di riscatto mostrata in figura in cui l'utente viene avvisato che dispone di 24 ore di tempo per pagare il riscatto.
FIG 1 - Ransomware JeepersCrypt

Come recuperare i dati

Prima di procedere a decriptare i dati, consiglio di effettuare una scansione approfondita con un antivirus e un antimalware (come Malwarebytes) aggiornati.
Il recupero dei dati è possibile grazie al tool StupidDecrypter sviluppato da Michael Gillespie (Demonslay335) e scaricabile da https://download.bleepingcomputer.com/demonslay335/StupidDecrypter.zip

Il tool permette di decriptare file cifrati con le seguenti estensioni: .android, .anon, .crypted, .deria, .devil, .FailedAccess, .fucked, .Harzhuangzi, .haters, .jeepers, .killedXXX, .lock, .MIKOYAN, .Nazi, .powned, .SnakeEye, .xncrypt, _crypt0, _nullbyte.


Scompattare il file .zip ed avviare l'unico file eseguibile StupidDecrypter.exe


StupidDrecypter, recuperare i dati cifrati da JeepersCrypt
FIG 2 - StupidDrecypter, recuperare i dati cifrati da JeepersCrypt

Cliccare sul pulsante Select Directory e selezionare la cartella o il disco contenente i dati cifrati quindi cliccare su Decrypt per avviare il processo di recupero dati. I dettagli dell'operazione verranno indicati nel riquadro alla sinistra dei pulsanti inoltre, all'interno della cartella in cui risiede l'eseguibile del tool, verrà generato un file di log.

Il tool consente anche di eliminare i file cifrati selezionando l'apposita opzione dal menu Settings.


StupidDecrypter, Delete Encrypted Files
FIG 3 - StupidDecrypter, Delete Encrypted Files