In breve, ecco di cosa si tratta:

Il Cross-site scripting (XSS) è una vulnerabilità che affligge siti web dinamici che impiegano un insufficiente controllo dell’input (parametri di richieste HTTP GET o contenuto di richieste HTTP POST). Un XSS permette ad un attaccante di inserire codice al fine di modificare il contenuto della pagina web visitata. In questo modo si potranno sottrarre dati sensibili presenti nel browser degli utenti che visiteranno successivamente quella pagina. Gli attacchi alle vulnerabilità XSS hanno effetti dirompenti per i siti con un elevato numero di utenti, dato che è sufficiente una sola compromissione per colpire chiunque visiti la stessa pagina.

L’attacco è partito alle 2.54 ora del pacifico (PDT), in Italia ho visto spuntar fuori il primo thread su Friendfeed circa 24 ore fa grazie a Massimo Cavazzini. L’ultima mania per gente famosa e comune messo in ginocchio da un codice javascript tutto sommato semplice (volutamente messo su più righe qui di seguito):

http://t.co/@%22onmouseover=%22document.getElementById(%27status%27)

.value=%27RT%20Matsta%27;$(%27.status-update-form%27).submit();
%22class=%22modal-overlay%22/

All’evento “onMouseOver” (semplice passaggio del mouse) sarebbe partito un retweet dell’ultimo messaggio dell’utente “Matsta“ (analizzato nell’esempio), innescando così un meccanismo bloccato da Twitter solo alle 7 ora del pacifico (una discreta manciata di ore dopo).

Secondo il blog ufficiale del servizio si tratta di un vecchio bug, già patchato ma tornato “disponibile” in seguito ad un aggiornamento di piattaforma che non ha nulla a che fare con il nuovo Twitter che sta per arrivare:

We discovered and patched this issue last month. However, a recent site update (unrelated to new Twitter) unknowingly resurfaced it.

Durante l’attacco anche Graham Cluley (Sophos) si è mosso realizzando un articolo che documentasse l’accaduto con immagini e casistiche varie.

Chiunque abbia utilizzato nel frattempo il sito “mobile” di Twitter non ha riscontrato alcun problema, lo stesso vale per chiunque abbia utilizzato un client di terze parti. Il consiglio ovviamente è quello di appoggiarsi a questi client quotidianamente (siete già riusciti ad utilizzare almeno una volta Twimbow?) o -se proprio non potete farne a meno- utilizzare Firefox provvisto di NoScript di Giorgio Maone (ne ho parlato anche in vecchi miei articoli).

Stavolta vorrei parlarvi di una casistica analizzata presso un cliente che ha deciso di aggiornare la sua console 3 passando alla nuova 4, basandosi su un sistema Windows Server 2008 a 64 bit (una configurazione che raramente vedo presso altre aziende, ancora oggi).

Il problema? Dopo l’upgrade del software installato sul server, i client hanno deciso di non aggiornarsi con i nuovi motori antivirus, motivo per il quale i clienti rimangono scoperti dal rilascio dei nuovi aggiornamenti da parte della nota azienda di sicurezza informatica. La risoluzione? Forzare un’installazione del nuovo antivirus nel momento in cui le macchine (gli utenti) fanno ingresso nel dominio.

A cosa appoggiarsi

Una stringa di controllo in Kix32 (software sempre più utilizzato, associato al netlogon) e un banale script batch che carichi il software necessario. La procedura è presto spiegata:

$PGRFILE=%Programfiles%+"\Sophos\Sophos Anti-Virus\SAVControl.dll"
if exist ($PGRFILE)
 ? "Antivirus Aggiornato" @CRLF
ELSE
 ? "Installo Antivirus" @CRLF
 ;shell '%comspec% /C '
 shell "cmd /c "+$LogonServer+"\netlogon\instSophos.bat /scrub"
ENDIF
EXIT

Perché il controllo su una DLL? Sophos 7 (versione dell’antivirus gestita dalla console 3) non ha tra i suoi file quella libreria. E’ invece presente tra i file di una installazione della versione 9 (gestita dalla console 4).

A questo punto sarà necessario rimuovere il precedente antivirus e partire con l’installazione del nuovo. Per andare ancora più sul sicuro ho preferito lanciare prima il CRT (Competitor Removal Tool) ed in seguito il setup:

@ECHO OFF
echo Verifica e installazione Sophos Antivirus ...
echo Non chiudere questa finestra.
echo;
REM --- Deploy to Windows 2000/XP/2003
\\SERVERSOPHOS\SophosUpdate\CIDs\S000\SAVSCFXP\crt\avremove.exe
\\SERVERSOPHOS\SophosUpdate\CIDs\S000\SAVSCFXP\Setup.exe -updp "\\SERVERSOPHOS\SophosUpdate\CIDs\S000\SAVSCFXP" -user "DOMINIO\AMMINISTRATORE" -pwd "PASSWORD" -mng yes
REM --- End of the script
:_End

L’operazione richiederà pochi minuti (a patto che le macchine non siano particolarmente datate o con risorse hardware molto limitate) e verrà ovviamente eseguita una sola volta per postazione. Il controllo (dalla seconda connessione al dominio) fallirà e l’utente avrà rapido accesso ai suoi dati ed al suo desktop.

Buon lavoro :)

# perché creare SnowLeopard?

Con l’avvento di Snow Leopard, Sophos ha realizzato e rilasciato una nuova versione del suo client antivirus. A seguito di questa scelta è stato necessario introdurre una nuova CID (Central Installation Directory) per la distribuzione degli aggiornamenti dedicati alla nuova versione del software, motivo per il quale la versione 7 (magari aggiornatasi automaticamente dalla 4) non riesce più a scaricare gli aggiornamenti da Storm.

sophos.com/support/knowledgebase/article/62329.html

# installare Sophos Antivirus

Come già specificato nel precedente paragrafo, Sophos ha pubblicato la nuova release 7.05 che funziona correttamente con Snow Leopard. Il mio consiglio è quello di disinstallare la vecchia 4.x e installare questa “da zero” ;)

Ancora una volta Sophos per Mac OS X è facilmente reperibile attraverso siti web specializzati nella tracciatura di applicativi dedicati al sistema operativo Apple. Uno tra i più utilizzati (anche dal sottoscritto) è sicuramente VersionTracker.com. Detto fatto, qui di seguito il collegamento alla pagina del pacchetto:

versiontracker.com/dyn/moreinfo/macosx/9815

Compatibile con:

• Mac OS X 10.4+ Intel (quindi anche 10.6 Snow Leopard sempre su Intel)

Se non avete un account registrato su Sophos.com diventa tutto più difficile, ma anche questa volta reperire l’applicativo “nudo” è stato semplice con una ricerca sul solito Google. Il pacchetto DMG occupa circa 50 MB.

# impostare SnowLeopard come mirror primario

Per l’installazione del nuovo client non cambia assolutamente nulla rispetto all’ultima volta che ho avuto modo di parlarvene (ricordate Storm?), la procedura è quindi disponibile nello stesso paragrafo del seguente articolo:

gioxx.org/2009/04/10/sophos-external-mirror-codename-storm

Chiaramente si tratta di andare a cambiare indirizzo per l’aggiornamento del client, cosa semplice se lo avete già fatto:

cliccare per ingrandire

Provando a salvare le impostazioni e lanciando un update forzato dovrebbe partire la verifica dell’indirizzo e -di conseguenza- del download :)

cliccare per ingrandire

Le restanti opzioni potete personalizzarle secondo le vostre esigenze.

# soddisfatti o rimborsati disinstallati

Non siete soddisfatti di Sophos Antivirus per Mac e volete disinstallarlo? Non sapete come procedere perché non basta spostare l’applicazione nel Cestino come fate solitamente? C’è uno script automatizzato che -una volta inseriti nome utente e password dell’amministratore della macchina- vi permetterà di non muovere più un dito e attendere che tutto venga eliminato senza lasciare tracce. Trovate il tutto dentro

Macintosh HD > Library > Application Support > Sophos Anti-Virus

o, in italiano (e cambia molto molto poco):

Macintosh HD > Libreria > Application Support > Sophos Anti-Virus

ed il gioco è fatto.

# avvertenze prima dell’utilizzo

SnowLeopard, così come Storm & Wolverine, è a vostra disposizione. Sono stati nuovamente modificati gli script che si preoccupano di aggiornare questo terzo mirror e funziona tutto correttamente con tanto di notifiche di successo / insuccesso comodamente recapitate nella mia mailbox (così che non sfugga nulla). Ancora una volta ribadisco che non si tratta di favorire la pirateria ma di proteggere quante più macchine possibili affidando il proprio hardware alla bontà del prodotto Sophos.

Questo ennesimo minuscolo progetto è in fase BETA persistente, potrei decidere di eliminarlo tra qualche giorno o tra qualche mese (anno? :P ) quindi non fateci cieco affidamento. Banda e spazio messo a disposizione dal sottoscritto e dall’allegra banda GxWare, fatene buon uso.

Per controllare la data dell’ultimo aggiornamento file potete fare riferimento alla seguente pagina:

users.gxware.org/snowleopard/version.php

Cheers.

Per questo motivo ho deciso di rimediare e mettere in piedi un processo automatico che svolge lo sporco lavoro ogni notte, operazione schedulata alle 3.00 per l’esattezza.

Mi sono servito ancora una volta di uno script batch, il 7-Zip Command Line Version, l’eseguibile sleep presente nel Windows 2003 Server Resource Kit e di un secondo batch già presente in tutte le installazioni di Sophos (%programfiles%\Sophos\Enterprise Console\DB\BackupDB.bat).

Prima di partire vi invito a copiare il 7za.exe ed lo sleep.exe all’interno della cartella Windows\System32 della vostra macchina, così da poter essere richiamati facilmente dal prompt di MS-Dos.

Lo script è davvero semplice, può essere salvato in qualsiasi posizione. Nel mio caso ho deciso di lasciarlo in %programfiles%\Sophos.

Prima il codice, poi la spiegazione :-)

@echo off
cls
echo Backup Database SOPHOS su macchina locale
echo;
echo Controllo esistenza cartella bck su disco C ...
echo;
if not exist C:\bck mkdir C:\bck
cd "%programfiles%\Sophos\Enterprise Console\DB"
echo Avvio procedura di backup Database ...
echo Tempo di attesa: 20 sec.
for /f "tokens=1-3 delims=/- " %%a in ('date /t') do set xdate=%%a_%%b_%%c
start /min BackupDB.bat C:\bck\sophos_%xdate%.sql SOPHOS
sleep 20
echo;
echo Backup effettuato.
echo;
echo Compressione con 7zip ...
echo;
7za.exe a -t7z -mx5 C:\bck\sophos_%xdate%.7z C:\bck\sophos_%xdate%.sql
echo;
echo Cancellazione file temporanei ...
del C:\bck\sophos_%xdate%.sql
echo;
echo Processo terminato

La cartella usata per tenere in piedi i backup è la C:\bck, potete tranquillamente cambiarla sostituendola nello script. Sappiate comunque che il batch di Sophos gestisce meglio i nomi di cartelle senza spazi al loro interno, regolatevi di conseguenza ;)

Per differenziare le versioni dei backup ho deciso di includere la data. Il parametro funzionante sotto DOS è “%date%” che però restituisce un valore come questo qui di seguito:

C:\Documents and Settings\Giovanni>echo %date%
24/07/2009

C:\Documents and Settings\Giovanni>

motivo per il quale diventa necessario sostituire quegli slash con qualcosa di più compatibile. Il ciclo for inserito nello script permette di farlo inserendo gli underscore perfettamente compatibili con il batch di Sophos (e con il mio!), generando un nuovo valore %xdate% richiamabile in qualsiasi momento.

Lo sleep.exe viene richiamato nel frattempo che va in funzione lo “start BackupDB.bat” che si preoccupa di effettuare in una finestra minimizzata il file SQL di esportazione dall’Enterprise Console. 20 secondi bastano e avanzano per un file che racchiude informazioni per un totale di circa 200 macchine. Nel vostro caso potrebbe essere necessario aumentare il numero di secondi (dipende da quanto è grande l’esportazione).

Il funzionamento (molto elementare) del batch BackupDB realizzato da Sophos è spiegato nel /? lanciato da DOS, lo riporto:

C:\Program Files\Sophos\Enterprise Console\DB>BackupDB.bat

Usage:
 BackupDB backup_file_path [instance_name]

C:\Program Files\Sophos\Enterprise Console\DB>

altrimenti bisognerebbe far riferimento alla procedura manuale, spiegata in un documento della KB Sophos.com all’indirizzo:

sophos.com/support/knowledgebase/article/27265.html

Finito il backup si passa alla compressione grazie alla riga di comando del 7za precedentemente copiato nella Windows\System32. La riga che lancia la compressione del file SQL indica all’applicativo la necessità di generare un file 7z (-t7z) con compressione normale dandogli lo stesso nome del file originale. Per conoscere tutti i segreti della riga di comando di 7za vi rimando ad un fantastico documento, davvero completo:

http://dotnetperls.com/7-zip-examples

Il processo di compressione potrebbe anche impiegare diversi minuti (15 / 20 talvolta) ma schedulando questo lavoro a notte fonda non penso ci siano grossi problemi di sovraccarico della macchina, giusto? ;-)

Come chicca finale si cancella il file *.SQL recuperando spazio sul disco e mantenendo solo il .7z compresso.

Basterà ora aggiungere alle Operazioni Pianificate del sistema il lancio quotidiano (o settimanale se più vi aggrada) del batch, all’ora esatta desiderata.

Cheers.

sophos.com/support/knowledgebase/article/28591.html

Riporta passo dopo passo le operazioni da compiere, fortunatamente semplici da replicare tramite batch senza l’intervento umano. Chiaramente il batch che si andrà a realizzare avrà la necessità di essere avviato come amministratori della macchina (locali o di dominio, non ha importanza), questo perché si richiamano delle stringhe di installazioni che verrebbero inibite ad un utente normale.

# la procedura da seguire

qui di seguito i passaggi suggeriti dalla documentazione ufficiale:

1. Install Sophos Anti-Virus to a client machine as if it was a fresh install.
2. After update has finished, stop the Sophos AutoUpdate service. (This prevents an update starting during the procedure, which would attempt to install the other components, breaking the image. The service will restart automatically at the end of the procedure.)
3. Go to the folder C:\Program Files\Sophos\Remote Management System, and make copies of the following files :
   • cac.pem
   • mrinit.conf
4. Go to ‘Add/Remove Programs’, and remove the following components :
   • Sophos Anti-Virus
   • Sophos Remote Management System
5. Delete the contents of the : C:\Program Files\Sophos\AutoUpdate\Cache folder
6. Delete the : C:\Program Files\Sophos\AutoUpdate\data\status\status.xml file
7. Re-create the : C:\Program Files\Sophos\Remote Management System folder, and add (to it) the copies of cac.pem, and mrinit.conf you made (above)
8. Now take the image

# il batch spiegato passo-passo

Tutto parte quindi da un’installazione pulita di Sophos Antivirus, da eseguire con procedura standard su una macchina che si vorrà utilizzare poi come master (clone) per le altre a venire.

Fermando il servizio AutoUpdate si eviteranno interventi da parte del server, condizione fondamentale durante il processo di preparazione:

echo *** Fermo il servizio Update ... ***
echo.
net stop "Sophos AutoUpdate Service"

si copiano quindi i file di configurazione del RMS (Remote Management System) fuori dalla cartella iniziale, basta la root della cartella dell’antivirus:

echo *** Copio file RMS ... ***
echo.
cd "%programfiles%\Sophos\Remote Management System"
copy cac.pem ..\cac.pem
copy mrinit.conf ..\mrinit.conf

e si procede con la disinstallazione di RMS e parte AntiVirus (lasciando solo -quindi- la parte AutoUpdate):

echo *** Disinstallo Sophos Antivirus ... ***
MsiExec.exe /X{034759DA-E21A-4795-BFB3-C66D17FAD183} REBOOT=SUPPRESS /qn 2>NUL
echo.
echo Eseguito.
echo.
echo *** Disinstallo Sophos Remote Management System ... ***
MsiExec.exe /X{FF11005D-CBC8-45D5-A288-25C7BB304121} REBOOT=SUPPRESS /qn 2>NUL
echo.
echo Eseguito.

una veloce pulizia della cartella Cache seguita a ruota dalla rimozione del file di status dell’ultimo update ricevuto:

echo *** Cancello cartella Cache ... ***
cd ..\AutoUpdate
rd Cache /S /Q
echo.
echo *** Cancello Status Update ... ***
cd data\status
del status.xml

per arrivare infine al ripopolamento della cartella RMS precedentemente disinstallato:

echo *** Popolo cartella Remote Management System ***
cd %programfiles%\Sophos
if not exist "Remote Management System" mkdir "Remote Management System"
move cac.pem "Remote Management System"
move mrinit.conf "Remote Management System"

il gioco è praticamente fatto, la macchina da clonare è pronta (provando ad immaginare che Sophos sia stato l’ultimo software da preparare per il master).

Sulla macchina clonata basterà attendere (o lanciare forzatamente) un aggiornamento del client per far partire immediatamente il download dei pacchetti mancanti con conseguente installazione, nome macchina differente (sicuramente) ma configurazioni praticamente identiche alla macchina che ha generato il clone.

Facile, comodo, veloce :-)

Buon lavoro!

Dopo un paio di test incrociati siamo incappati in un bug che -scoperto in seguito- è stato già dichiarato dalla Knowledge Base della nota casa di sicurezza, verrà risolto nella prossima versione. Vediamo di cosa si tratta …

Sophos Antivirus -quello installato sulla macchina client per capirci- contiene un modulo di protezione web che scansiona le pagine che andiamo a visitare, tutto ciò per evitare che qualche malware distribuito da una qualsivoglia pagina web possa comodamente “sfondare” le protezioni della macchina ed “entrare a prendersi un caffè” nonostante manchi l’invito. Il modulo -se associato a Internet Explorer 8- potrebbe non funzionare correttamente e addirittura bloccare l’apertura del browser Microsoft (qualcuno -me compreso- direbbe “fantastico bug, passa a Firefox!”).

E’ tutto legato al seguente documento della KB Sophos (in inglese):

sophos.com/support/knowledgebase/article/59284.html

Issue
When you attempt to run Internet Explorer version 8 ( IE 8 ) one of the following may occur:

• IE8 fails to open – this may be an intermittent problem
• IE8 opens but displays an error message, similar to:
  Windows cannot find 'http://www.sophos.com'.
Make sure you typed the name correctly then try again.
  The IE window may appear but remains blank.

Si tratta di un baco nella versione 7.6.8 di Sophos Antivirus per Windows 2000 / XP / 2003. Il problema coinvolge tutte le versioni di Windows XP, Vista SP1 e SP2, 2008 SP1 e Sp2. La nuova versione del motore antivirus arriverà -come sempre- in modo automatico e totalmente trasparente per l’utente che -nel frattempo- può correggere il tutto modificando il proprio registro di sistema, disattivando l’addon direttamente dal browser o facendo un “rollback” alla versione 7.6.7.

Consiglio -nel caso in cui tu sia un utente poco esperto, magari con poca competenza e senza corsi di ingegneria informatica alle spalle :P- il metodo più semplice: disattivare il plugin direttamente dai componenti aggiuntivi del browser.

# disattivare il componente aggiuntivo di IE 8

Metodo abbastanza semplice anche con il browser bloccato ed inservibile. Andare su Start, Impostazioni, Pannello di Controllo e selezionare “Opzioni Internet“. Nella scheda “Programmi” selezionare “Gestione componenti aggiuntivi“:

A questo punto basterà disabilitare (tasto destro) la prima voce riguardante Sophos Web Content Scanner, come in immagine:

cliccare sull’immagine per ingrandire

I test sono stati effettuati su una macchina virtuale XP Pro SP3 (in inglese, come si nota nelle immagini) e l’esito è stato positivo.

# ritoccare il registro

Il metodo è identico per le versioni 32 e 64 bit se non fosse per la posizione della cartella dove una nuova chiave di registro deve essere piazzata.

Windows 32 bit (forse il 90% dei casi aziendali e casalinghi)

• Da Start / Esegui digitare regedit e procedere premendo invio o cliccando su OK
• Navigare fino alla cartella HKEY_LOCAL_MACHINE\Software\Sophos\Webscanning
• Creare un nuovo valore DWORD chiamato SuppressBHOLoader e impostarlo a 1
• Chiudere il registro e provare ad aprire Internet Explorer 8. Se non dovesse ancora funzionare, riavviare la macchina e riprovare.

Windows 64 bit (forse il restante 10%)

• Da Start / Esegui digitare regedit e procedere premendo invio o cliccando su OK
• Navigare fino alla cartella HKEY_LOCAL_MACHINE\Software\WOW6432Node\Sophos\Webscanning
  
• Creare un nuovo valore DWORD chiamato SuppressBHOLoader e impostarlo a 1
• Chiudere il registro e provare ad aprire Internet Explorer 8. Se non dovesse ancora funzionare, riavviare la macchina e riprovare.

Volete la pappa pronta? Non c’è problema, la sezione download di GxWare contiene già i file reg pronti:

downloads.gxware.org/index.php?dir=apps/sophos/WebScanning

Rispettivamente nella versione 32 e 64 bit.

# in conclusione

Il problema è risolvibile e facilmente aggirabile. Certo è consigliato usare la console se i PC cominciano ad essere più di 10 (in questo caso vi consiglio di fare riferimento al documento della KB linkato prima). Resta ora da attendere la nuova release dai Sophos Labs che non dovrebbe tardare particolarmente.

Buon lavoro.

blogzilla.info/2009/03/26/firefox-in-pericolo-previsto-un-update-urgente

Si parla di un codice particolarmente pericoloso, attacca Firefox dalla versione 2.* tanto quanto la 3.0.7 già -fortunatamente- superata dalla 3.0.8. Proteggere la propria macchina però diventa necessario con l’aumentare delle minacce “dedicate alle piattaforme alternative“.

# perché creare Storm?

Ricordate Wolverine?

gioxx.org/2008/08/12/sophos-external-mirror-codename-wolverine/

In attività da 4 mesi circa, è utilizzato da diverse macchine casalinghe che sfruttano l’ottimo client antivirus di casa Sophos. Gode di ottima salute, permette un costante aggiornamento delle definizioni antivirus e del motore client, mette a disposizione un version.log attraverso il quale tenere costantemente monitorati i rilasci. Protegge però solo macchine Windows 2000 / 7 non permettendo di tenere sotto update altri tipi di sistema operativo.

Sono un utilizzatore Mac, fino ad oggi assolutamente felice di non dover utilizzare alcun AV per proteggere la macchina. Questa falla però non è da sottovalutare, è un buon momento per installare il client. Volete provarci anche voi? Magari nella folla si nasconde anche qualche utilizzatore di Tiger che non supporta neanche il ramo 3 di Firefox, peggio ancora dato che non verrà rilasciata alcuna patch / aggiornamento per il ramo 2!

# installare Sophos Antivirus

Contrariamente al sistema di casa Microsoft, Sophos per MacOS è facilmente reperibile attraverso siti web specializzati nella tracciatura di applicativi dedicati al sistema operativo Apple. Uno tra i più utilizzati (anche dal sottoscritto) è sicuramente VersionTracker.com. Detto fatto, qui di seguito il collegamento alla pagina del pacchetto:

versiontracker.com/dyn/moreinfo/macosx/9815

Compatibile con:

• Mac OS X 10.5 Intel
• Mac OS X 10.5 PPC
• Mac OS X 10.4 Intel
• Mac OS X 10.4 PPC
• Mac OS X 10.3.9
• Mac OS X 10.3
• Mac OS X 10.2

Se non avete un account registrato su Sophos.com diventa tutto più difficile, ma magari io posso darvi una mano.

# impostare Storm come mirror primario

Per una installazione standard, i server centrali di Sophos rimarranno unica fonte primaria per l’aggiornamento. Nel caso in cui voleste sostituirli o integrarli con Storm, le operazioni da seguire sono semplicissime. Si partirà con un’installazione in pieno stile Mac. Caricamento del blocco DMG, doppio clic sul file di installazione ed un avanti / avanti / fine:

clicca sulle immagini per ingrandirle

A questo punto sarà possibile vedere l’icona dello scudo Sophos nella barra di stato del Mac, quella in alto per capirci!

e cliccandoci sopra con il mouse sarà possibile visualizzare le varie voci a disposizione dell’utilizzatore. Inutile dire che ci interesserà quella relativa alla configurazione:

nella quale bisognerà immediatamente andare a cliccare l’opzione che permetterà di sbloccare, previo inserimento dati di autenticazione, la modifica delle opzioni di default (quella evidenziata dal rettangolo rosso). Cliccare quindi sulla scheda “AutoUpdate” nella quale andare a specificare l’indirizzo del server di aggiornamento, nel mio caso ho deciso di usare Storm come primario:

Confermando il tutto con “Set” e uscendo dalla finestra, si potrà lanciare un aggiornamento forzato dell’applicativo e di tutti i suoi file, direttamente dal mirror di casa GxWare, il download dei file durerà il tempo necessario ad allineare il client alle ultime definizioni rilasciate da Sophos:

clicca sulle immagini per ingrandirle

Facile no? :)

# soddisfatti o rimborsati disinstallati

Non siete soddisfatti di Sophos Antivirus per Mac e volete disinstallarlo? Non sapete come procedere perché non basta spostare l’applicazione nel Cestino come fate solitamente? C’è uno script automatizzato che, una volta inseriti nome utente e password dell’amministratore della macchina, vi permetterà di non muovere più un dito e attendere che tutto venga eliminato senza lasciare tracce. Trovate il tutto dentro

Macintosh HD > Library > Application Support > Sophos Anti-Virus

o, in italiano (e cambia molto molto poco):

Macintosh HD > Libreria > Application Support > Sophos Anti-Virus

ed il gioco è fatto.

# avvertenze prima dell’utilizzo

Storm, così come Wolverine, è a vostra disposizione. Non ho avuto molto tempo per testare il tutto ma faccio pieno affidamento sulla validità dello script già esistente (che gestisce anche Wolverine chiaramente) e sugli aggiornamenti Sophos. Ancora una volta ribadisco che non si tratta di favorire la pirateria ma di proteggere quante più macchine possibili affidando il proprio hardware alla bontà del prodotto Sophos.

Questo minuscolo progetto è in fase BETA persistente, potrei decidere di eliminarlo tra qualche giorno o tra qualche mese (anno? :P ) quindi non fateci cieco affidamento. Banda e spazio messo a disposizione dal sottoscritto e dall’allegra banda GxWare, fatene buon uso.

Per controllare la data dell’ultimo aggiornamento file potete fare riferimento alla seguente pagina:

users.gxware.org/storm/version.php

Cheers.

A video compare un (molto) poco affascinante alert che avvisa l’amministratore della macchina che non sarà possibile lanciare un “Update CID” forzato con clic destro via EM Library, ottenendo un errore simile a questo:

There is a task currently being executed. Please wait until the task is finished before starting a new task.

Poco male, consultando la KB di Sophos.com si scopre che questo errore è generato dall’eseguibile che si occupa di effettuare il download degli aggiornamenti dai server principali Sophos per poi inserirli nelle cartelle, tale dllloader.exe. Si risolve fin troppo facilmente:

• si apre il Task Manager
• si individua dllloader.exe e lo si termina in modo forzato

Provando ora a chiedere un nuovo aggiornamento forzato dalla EM Library tutto dovrebbe funzionare correttamente.

# doppio caso, “non fine della soluzione“

Nel mio specifico caso però non solo la Libreria dava l’errore sopra riportato ma non riusciva ad aggiornare correttamente una delle CID su sede esterna. Cosa si fa in questi casi? Non esiste un solo metodo di risoluzione e non esiste una sola buona motivazione per la quale dovrebbe accadere ciò. Semplicemente, sulla base dell’esperienza passata e sulla conferma avuta oggi, la migliore risoluzione a questo problema resta la distruzione (con conseguente ricostruzione) della CID, non da Libreria ma via esplora risorse sulla macchina.

Procedere è semplice. Basterà collegarsi in remoto sulla macchina (sia da Start / Esegui / \\nomemacchina\c$ che VNC / Remote Dekstop) , esplorare l’unità disco fino a “Sophos Sweep for NT” o dove avete deciso di tenere i file d’aggiornamento, cancellare completamente la directory ES** e dalla Libreria ordinare un Update CID della stessa per poterla far ricreare da zero: nuovi file, ultimi aggiornamenti, tutto fila ora liscio.

Il vostro antivirus (e la CID incriminata) dovrebbe essere tornato a funzionare a regimi pieni :)

Cheers.

Il programma è il seguente:

• Ore 09.00 Registrazione e welcome coffee
• Ore 09.30 Benvenuto e apertura dei lavori
• Ore 09.45 Sicurezza delle informazioni. Come affrontare le nuove minacce (Sophos)
• Ore 10.35 L’importanza di essere Partner di un leader di mercato
• Ore 11.20 Coffee break
• Ore 11.35 Un’esperienza di successo.
• Ore 12.15 Conclusione dei lavori
• Ore 12.30 Cocktail

Disponibile anche in versione PDF direttamente scaricabile dal sito web ufficiale:

sophos.it/sophos/docs/itl/marketing_material/sophos-italia-tour-agenda_bologna.pdf

# come arrivare

L’evento si terrà presso l’hotel “Aemilia Golden Tulip” di Bologna, in via G. Zaccherini Alvisi, 16. Qui di seguito propongo la mappa generata da Google che riproduce la posizione esatta dell’Hotel. Potete chiaramente (dalla stessa) generare il tracciato da fare in automobile:

Cliccare sull’immagine per aprire la mappa interattiva

Coloro che si sono iscritti e parteciperanno all’evento potranno discutere con chi quotidianamente utilizza le soluzioni Sophos per la protezione dei dati della propria azienda, potranno ottenere maggiori informazioni sui prodotti. Per tutti coloro che non potranno approfittare di questa tappa consiglio l’iscrizione a quelle rimaste:

sophos.it/companyinfo/events/emea/sophositaliatour.html

Il prossimo 24 febbraio a Verona, il 10 marzo 2009 a Torino, il 19 marzo 2009 a Milano.

A domattina quindi, per chi c’è ;)

Niente di particolare sia chiaro, giusto la soddisfazione di veder partire e lavorare correttamente l’applicativo di protezione che tanto “spammo” su questi lidi ;)

Il pacchetto da utilizzare è lo stesso per le versioni NT 5.0 o superiore (2000, XP, Vista o 2003 / 2008), quindi ESXP. E’ possibile perciò appoggiarsi al server antivirus aziendale (o esterno che offra un pacchetto auto-installante) per poter effettuare l’installazione e -in seguito- l’aggiornamento delle definizioni e delle policy.

Ho quindi sfruttato il server AV dell’ufficio facendo partire il setup standard e dando le solite credenziali per l’installazione da rete. L’icona scudo compare correttamente nella tray e visualizzando lo Stato dell’aggiornamento ecco comparire il “Download in progress“:

cliccare sull’immagine per ingrandirla

E ora?

Ora, magari dopo aver riavviato il sistema operativo che fa sempre bene, noterete nel Centro Sicurezza che Sophos è stato correttamente riconosciuto e viene gestito dal sistema che lo userà per proteggersi da attacchi di malware o qualsiasi altra schifezza che passa dalla rete o dai supporti di memorizzazione (interna o esterna che sia):

Se penso a quanti problemi ha dato inizialmente l’installazione del client su Vista mi viene da piangere:

sophos.com/support/knowledgebase/search-results/?search=vista+antivirus&…

E voi? Avete provato altri antivirus sulla nuova piattaforma? Se si, quali? Funzionano correttamente?