Qualche giorno fa winAddons.com ha pubblicato l’aggiornamento di un applicativo che dovrebbe poter semplificare le operazioni di salvataggio / ripristino profilo su Firefox e Thunderbird. Il suo nome è BackupFox ed è prodotto in via amatoriale da un ragazzo greco: Antonis Kaladis. Ieri sera ho avuto il tempo di scaricarlo e testarlo. Ancora una volta ci si trova di fronte ad un applicativo potenzialmente dannoso per browser e mail client, contro ogni buona regola di backup e ripristino da sempre consigliata nel nostro forum.

immagine: SpreadFirefox

Indubbiamente l’utility è allettante per chi non sa dove mettere le mani o non vuole rischiare di fare danni all’interno del proprio sistema. Diciamo pure che se vogliamo tirare fuori qualcosa di buono da quest’idea si può pensare ad un ulteriore workaround da adottare in fase di creazione backup. Ecco quindi come funziona BackupFox e come sfruttarlo in modo “decente“:

Cominciate scaricando e scompattando l’ultima versione di BackupFox partendo dal seguente indirizzo:

neowin.net/forum/index.php?showtopic=291258

Non necessita di installazione, basta scompattare il file per cominciare ad utilizzare l’utility.

Per effettuare il backup del profilo si seguono 3 passaggi semplicissimi:

• Si individua il profilo che si vuole conservare (io ne ho due di cui uno principale e l’altro utilizzato solo per test di estensioni / plugin / altro) e si indica la cartella di destinazione scegliendo se tenere la cache;
• Si prosegue con Next affinché il programma cominci a macinare copiando tutti i file del profilo;
• Si conclude con Finish e si osserva il risultato all’interno della cartella di destinazione.

Qui di seguito gli screenshot dei 3 punti:

clicca per ingrandire

Andando a controllare nella cartella appositamente creata per il test scopro che quel “test_2007-11-29.firefox” in realtà è un file zip (il sospetto è nato vedendo 7za.exe tra i file dell’utility). Tasto destro, 7-Zip, Apri, ecco il risultato:

clicca per ingrandire

Si tratta di una banale copia dell’intera cartella che si trova sotto %appdata%\Mozilla\Firefox\Profiles fatta eccezione per qualche file che non va mai copiato. Ancora una volta ribadisco: NON bisogna farlo. Per sapere come mai potete dare una occhiata a questa discussione:

forum.mozillaitalia.org/index.php?topic=5940.0

In pratica nel profilo appena copiato ci sono dei file che contengono percorsi assoluti (per chi non sapesse di cosa sto parlando) che se spostati su altro PC / sistema operativo potrebbero generare non pochi problemi di caricamento. Per evitare tutto ciò all’atto del ripristino, sarà possibile effettuare una banale operazione di cancellazione dati all’interno del file *.firefox. Tornate in 7-Zip e selezionate tutto tranne:

• bookmarks.html che contiene i segnalibri
• user.js che contiene le personalizzazioni
• cookies.txt e cookperm.txt (o hostperm.1) che contengono i cookies
• signons.txt e key3.db che contengono le password salvate

Schiacciate il pulsante “Cancella” come da immagine:

clicca per ingrandire

Così facendo avrete ottenuto quanto di più genuino ci sia (sembra la pubblicità della Osella, sic!). Se volete ripristinare il vostro backup in un’altra macchina (o sulla stessa dopo una formattazione) potrete procedere avendo la “quasi certezza” di riuscire nel vostro intento. Un consiglio spassionato? Fate tutto a mano senza l’aiuto di questa applicazione di terze parti. Si fa prima e con l’aiuto di gente volenterosa riuscirete ad ottenere di certo il risultato :)

Qualche link che può tornarvi davvero utile:

• Backup del proprio profilo / Crearne uno nuovo (Firefox)
• Hai perso i segnalibri per strada? (Firefox)
• Backup/Ripristino archivi di posta elettronica e rubrica (Thunderbird)

Vi ricordo inoltre che esistono due vere e propria “bibbie” per districarsi nei tanti piccoli problemi quotidiani che possono capitare utilizzando browser o mail client: le FireFAQ (Firefox) e ThunderFAQ (Thunderbird).

Cheers!

Nuovo caso di phishing arrivato prepotentemente su 5 delle mie caselle di posta elettronica (ne uso 11 in totale). Ancora una volta si parla di banche, furto di credenziali e aggiornamento / conferma dati per la propria “sicurezza“.

Protagonista di questa vicenda è CartaSi. Quando arriva una mail da un qualsiasi istituto bancario occorrerebbe farsi qualche domanda prima di procedere, così da evitare potenziali errori di distrazione e grane al tecnico che dovrà sopportare le vostre lamentele per cambiare le credenziali che “qualche cattivone vi ha rubato a causa del vostro stupido PC“:

• Sono cliente di quell’istituto? (al 90% non lo sarete)
• L’italiano è corretto ortograficamente e sintatticamente?
• Mi chiedono di confermare mie credenziali di accesso? (99,9% delle volte)

Le risposte potrebbero essere molteplici ma hanno un punto in comune: le banche (così come le Poste Italiane colpite poco tempo fa) non richiederanno mai e poi mai credenziali di accesso ai servizi web utilizzando una semplice mail. Manderanno, solo se necessario per l’effettiva sicurezza del cliente, comunicazione scritta a mezzo posta ordinaria. Analizzo quindi l’attacco verso CartaSi arrivato due giorni fa.

Questo l’oggetto della mail:

Gentile Cliente,
Una nuova gamma completa di servizi online è adesso disponibile !
Per poter usufruire dei nuovi servizi online di CartaSi.it occorre prima diventare UTENTE VERIFICATO.
Accedi ai servizi online di Cartasi.it e diventa UTENTE VERIFICATO »
Cordiali Saluti

Il reale dominio di partenza è ccex.net, azienda (a dire della loro home page) “esperta in soluzioni tecnologiche di rete” forse non troppo attenta alle falle presenti nel proprio webserver:

Return-Path: <ftpuser@ccex.net>
X-Original-To: gioxx@extenzilla.org
Delivered-To: m5924512@spunkymail-mx2.g.dreamhost.com
Received: from ccex.net (ccex.net [66.104.28.10])
by spunkymail-mx2.g.dreamhost.com (Postfix) with ESMTP id D8E37720C5
for <gioxx@extenzilla.org>; Sun, 25 Nov 2007 18:32:04 -0800 (PST)
Received: from ccex.net (ftpuser@localhost [127.0.0.1])
by ccex.net (8.12.10/8.12.10) with ESMTP id lAQ2W0mB000378
for <gioxx@extenzilla.org>; Sun, 25 Nov 2007 21:32:00 -0500
Received: (from ftpuser@localhost)
by ccex.net (8.12.10/8.12.10/Submit) id lAQ2W0kf000377
for gioxx@extenzilla.org; Sun, 25 Nov 2007 21:32:00 -0500
Date: Sun, 25 Nov 2007 21:32:00 -0500
To: gioxx@extenzilla.org
Subject: FPA NOTICE: verificare l'autenticità delle informazioni personali fornite
Message-ID: <1196044320.13529.qmail@init.cartasi.it>
From: "servizio@cartasi.it" <servizio@cartasi.it>

Nel testo ho trovato due collegamenti che -a distanza di 72 ore dal massiccio spam- portano ad un’area vuota di un sito tedesco (avranno scoperto l’inghippo). Qualche informazione sul sito web:

Domain name: wtnet.net
Registrant Contact:
NA
The data in Bulkregister.com's WHOIS database is p (NA)
+1.11
Fax:
Bulkregister.com for information purposes only, that is, to
obtaining information about or related to a domain name regi
does not guarantee its ac,
Administrative Contact:
Denit Internet Services bv
Hostmaster Denit (support@denit.net)
+31.203371801
Fax: +31.203371802
Contactweg 131
Amsterdam, Nederland 1014 BJ
Amsterdam, 1014
NL
Technical Contact:
Denit Internet Services bv
Hostmaster Denit (support@denit.net)
+31.203371801
Fax: +31.203371802
Contactweg 131
Amsterdam, Nederland 1014 BJ
Amsterdam, 1014
NL
Status: Locked
Name Servers:
dns1.name-services.com
dns2.name-services.com
dns3.name-services.com
dns4.name-services.com
dns5.name-services.com
Creation date: 30 Oct 2001 11:26:24
Expiration date: 30 Oct 2007 11:26:24

Chiaramente, così come successe per l’attacco a Poste Italiane, il reale proprietario del dominio sarà stato colto a sua insaputa da questa sgradita sorpresa che ha potuto eliminare così da evitare altre possibili vittime alle prime armi con questa tecnica di furto telematica :)

Come sempre: attenzione!