Script aggiornati per Greasemonkey 4 e altre importanti novità

Chi segue il blog da qualche tempo ormai lo sa, i miei post più seguiti sono quasi tutti dedicati al download di video delle principali emittenti italiane, e non solo, disponibili liberamente sui siti web.

Da diversi anni ho reso disponibili gratuitamente degli script (con annesso server di supporto, per Rai e Mediaset) dedicati ciascuno a un singolo sito web. Qui sotto trovate i link ai vari post, dai quali potete scaricare e installare ciò che vi interessa. 🙂

Firefox e Greasemonkey

In passato ho sempre consigliato a tutti Greasemonkey su Firefox, perché è un componente aggiuntivo libero e open source che si può considerare anche la prima delle estensioni per usare gli user script. Poi è nata Tampermonkey per Chrome, Opera e altri browser e adesso ne esistono pure di ulteriori.

Nel lavoro di ammodernamento precedente all’uscita di Firefox 57 (Quantum), gli autori di Greasemonkey si sono trovati nella condizione di dover aggiornare l’estensione e ne hanno approfittato per fare alcune modifiche non retrocompatibili.

Ne è risultato che i miei script funzionavano bene su Greasemonkey 3, ma erano inefficaci su Greasemonkey 4. Quindi ho suggerito a tutti di passare a Tampermonkey. 😉

Come sempre accade, ho continuato a ricevere lo stesso qualche richiesta in merito a presunti “problemi” da sistemare sullo script, da persone che usavano Greasemonkey nonostante i ripetuti avvisi. Però per il resto è andato tutto abbastanza liscio.

Ad ogni modo ora non è più necessario preoccuparsi, infatti ho aggiornato tutti gli script per renderli funzionanti col nuovo Greasemonkey! 😀

Gli aggiornamenti

Non ho effettuato solo una modifica (per fortuna non troppo impegnativa) in termini di compatibilità garantita con Greasemonkey e Tampermonkey, ma in alcuni casi ci sono state delle modifiche ulteriori. Eccovi un riepilogo:

  • Rai Play: ora il link compare regolarmente, inoltre ho nascosto il fastidioso avviso che chiede all’utente di disattivare il blocco pubblicitario. Bloccare le pubblicità è fondamentale (leggete qui perché).
  • Video Mediaset: ora tutti i link compaiono regolarmente. Ho rimosso il pop-up che compare a chi accede a Mediaset dall’estero. Nella quasi totalità dei casi, chi usa il mio script può vedere i video geoprotetti di Mediaset anche in altri paesi.
  • La7: nella stragrande maggioranza dei casi funzionava già con Greasemonkey 4, ma ho fatto una piccola modifica per sistemare il resto.
  • Infine ho applicato la stessa correzione agli script per RSI e BBC.

Altre informazioni utili

Una cosa che ha confuso alcune persone è che da un po’ di tempo sia Rai che Mediaset richiedono di essere registrati, per vedere molti dei loro video. È così da diversi mesi, eppure pochi se ne sono accorti e ogni tanto qualcuno me lo “segnala”.

Il motivo è semplice: chi usa i miei script non deve registrarsi perché ci pensano loro a mostrare subito il video. Un risparmio di tempo e di privacy, saltando il login e la pubblicità iniziale. 🙂 Nei rari casi in cui un link non sia disponibile o riconoscibile dallo script, può comparire una finestra di login… ma non allarmatevi, è fatto così il sito.

Altra cosa utile da tenere a mente, lo accennavo prima, è che usando il mio script per Video Mediaset potete visualizzare tranquillamente quasi tutti i loro filmati anche dall’estero senza strumenti particolari. 😉 Questo perché i loro video “geo-protetti” sono protetti tanto quanto lo sarebbe un caveau pieno di diamanti, aperto e con un cartello che dice “non entrare”.

Per quanto riguarda invece i video della Rai (se non siete in Italia) o della BBC (se non siete nel Regno Unito) avrete bisogno di un servizio VPN serio. Ne ho parlato approfonditamente nell’articolo Cos’è una VPN e perché è fondamentale usarla per proteggersi. Il post ha dei link per acquistare degli account lifetime scontati… Sennò fate voi e scegliete quella che preferite. 🙂

Infine, vorrei precisare che questi aggiornamenti non riguardano i problemi di qualche giorno fa (sorti attorno al 15 gennaio) per i link che non comparivano sotto ad alcuni video su Rai Play. Quello era un malfunzionamento sul server (già risolto) causato dall’hosting provider. Ne ho parlato nei commenti sotto al post.

Licenza e nuova policy

Volevo infine chiarire una cosa importante sull’uso degli script ed eventuali richieste di assistenza in merito. Dal primo giorno (di oltre 6 anni fa!) gli script sono rilasciati sotto licenza GPL, una licenza libera. Ciò vi garantisce che potete usarli gratis e liberamente per qualsiasi scopo, installarli dove vi pare, condividerli e modificarli a condizione di riportare chi è l’autore e mantenere le modifiche sotto la stessa licenza.

Gli script (e relativo server di supporto) sono e restano a vostra disposizione.

Però è opportuno tenere a mente anche quanto è indicato nella licenza, in merito a eventuali garanzie di funzionamento. Userò la traduzione non ufficiale della GPLv3 per maggiore chiarezza:

Eccetto quando altrimenti stabilito per iscritto, i detentori del copyright e/o le altre parti forniscono il programma “così com’è” senza garanzia di alcun tipo, né espressa né implicita, incluse, ma non limitate a, le garanzie di commerciabilità o di utilizzabilità per un particolare scopo.

Ciò significa, in altri termini, che non devo fornire garanzie di funzionamento costante al 100%, stando sempre al passo con le modifiche ai siti delle varie TV. Né in realtà ho il tempo di farlo… aggiorno quando riesco, essendo tutte ore extra che devo spendere per gli script. 🙂

Non posso altresì dedicare molto tempo a rispondere ai quesiti che arrivano via email o messaggi privati, sennò diventa un impegno gravoso che va ad intaccare il tempo dedicato alla mia professione. Per questo motivo da oggi ho deciso di disattivare la chat della mia pagina Facebook.

Se ci sono dubbi, domande o commenti sugli script ho sempre chiesto agli utenti di usare l’area commenti dei relativi articoli. Per comodità vostra li trovate linkati all’inizio di questo post, quindi commentate pure!

Se 10 persone mi scrivono in privato, devo dare 10 risposte. Se 10 persone usano l’area commenti, la prima riceve la risposta e le altre 9 si trovano già la soluzione pronta senza far fatica. È un vantaggio per tutti! 😉

Come policy generale comunque ho intenzione di dare una mano con gli script a chi ha effettuato una donazione, naturalmente se ho tempo e se riesco. Contando la globalità degli script citati sopra, sono state superate le 60000 (sessantamila) copie installate. Vi lascio trarre qualche conclusione su quanto più tempo libero avrei se per ogni installazione mi fosse stato donato un euro. 😀

Chi usa gli script e non ha intenzione di donare sappia che può continuare a farlo gratuitamente tutte le volte che lo desidera. Semplicemente porti un po’ di pazienza se ogni tanto qualcosa non va. Chi invece ha la necessità di avere consulenze dedicate o script realizzati su misura (tutte attività che richiedono tempo) può chiedermi un preventivo in merito a tutti i servizi che offro.

Annunci

I video e le slide dei miei talk al Linux Day 2017

Come vi avevo precedentemente notificato, lo scorso 28 ottobre ho partecipato al Linux Day 2017 organizzato dal LUG Vicenza. In realtà i video sono stati pubblicati quasi subito, ma è stato un periodo un po’ pieno e riesco ad informarvi solo ora. Qui di seguito trovate i video e le slide di ciascun intervento. 🙂

Pubblicità invasiva e spiona: come proteggersi su Android

Il video è disponibile su YouTube:

Le slide sono su SlideShare (cliccate qui per il PDF):

Su questo argomento avevo anche scritto il post Bloccare le pubblicità sui dispositivi Android che potete usare come riferimento per seguire più facilmente le istruzioni date nel video.

Come sviluppo le applicazioni web

Il video è disponibile su YouTube:

Le slide sono su SlideShare (cliccate qui per il PDF):

L’app mostrata durante il talk è disponibile su GitHub.

I miei talk al Linux Day 2017 — Sabato 28/10/2017, Torri di Quartesolo (VI)

Quest’anno al GrappaLUG abbiamo deciso di aggregarci agli amici del Gruppo Utenti GNU/Linux di Vicenza per l’organizzazione del Linux Day. Andremo lì come delegazione e lavoreremo tutti assieme per realizzare un evento bello, gratuito e utile presso il Centro Giovanile di Torri di Quartesolo, al confine con Vicenza.

Per chi non lo sapesse, ricordo che:

Dal 2001 il Linux Day è una iniziativa distribuita per conoscere ed approfondire Linux ed il software libero. Si compone di numerosi eventi locali, organizzati autonomamente da gruppi di appassionati nelle rispettive città, tutti nello stesso giorno. In tale contesto puoi trovare talks, workshops, spazi per l’assistenza tecnica, gadgets, dibattiti e dimostrazioni pratiche.

L’argomento di quest’anno è Privacy e riservatezza individuale. Io proporrò due talk, il primo dei quali è piuttosto in linea con il tema:

Ore 12.00–12.30 — Pubblicità invasiva e spiona: come proteggersi su Android

Le pubblicità sul web sono per natura fastidiose, ma quelle dedicate agli smartphone sono particolarmente problematiche. Esse ci profilano costantemente, tracciando le pagine che visitiamo e i nostri interessi. Il tutto mentre ci consumano una larga parte dei dati mobili consentiti dal piano tariffario. Vedremo nei dettagli i rischi causati dalle pubblicità e alcuni metodi semplici ma efficaci per proteggere i nostri smartphone Android.

In sostanza sarà una trattazione più approfondita del mio articolo relativo al blocco della pubblicità su Android. Il secondo talk invece è dedicato allo sviluppo software:

Ore 15.00–15.45 — Come sviluppo le applicazioni web

Oggi possiamo finalmente lasciarci alle spalle l’idea di dover utilizzare PHP per lo sviluppo web. Durante la presentazione verrà spiegato un semplice workflow che utilizzo per lavorare con Python, Flask, SQLite, Apache e Git per ridurre i bug, semplificare il codice e ottimizzare i tempi di deployment.

L’ho intitolato così perché scrivere “PHP fa schifo” sul volantino pareva brutto. 😀 Sto scherzando ovviamente, ho usato PHP e ogni tanto lo uso ancora, però le dichiarazioni dell’autore stesso Rasmus Lerdorf fanno riflettere. Inoltre Flask mi sta veramente cambiando il modo di lavorare in positivo e parlare di Python è sempre un’ottima cosa. 🙂

Oltre a questo, il titolo è volutamente neutro: parlerò di come io sviluppo le applicazioni web, ma non significa che sia l’unico modo possibile.

Per tutti i dettagli vi rimando alla pagina del Linux Day 2017 sul sito del LUG Vicenza. Come sempre l’ingresso è libero e gratuito, perciò non mancate!

Migliaia di italiani hanno ricevuto un SMS truffa a tema Bitcoin

Oggi 9 ottobre 2017, alle 13:30 ora italiana (11:30 UTC), migliaia di numeri cellulari in Italia hanno ricevuto un SMS molto sospetto da un mittente mascherato dalla stringa “BitcoinCode”.

Ho effettuato una rapida analisi del messaggio e del relativo link, potendo stimare il numero minimo di utenti colpiti e verificare che il sito linkato è piuttosto infido e decisamente inaffidabile (come era prevedibile). Lo scopo di questo post è duplice: da una parte vorrei descrivere la metodologia di analisi utilizzata e dall’altra mettere in guardia chiunque si imbatta nel metodo “Bitcoin Code”.

Lo strano SMS

Il contenuto dell’SMS è già piuttosto sospetto (il link non è cliccabile, volutamente):

Hai (1) Bitcoin nel tuo account. Conferma l’account qui: http://bit.ly/2y9WNXB Valore di mercato corrente 3895.83 Euro

Ma guarda… a pranzo stavo giusto pensando “buono questo panino, è da un po’ che qualcuno non mi regala 4000 euro”. Come no! 😀

Ora, dirò una cosa (spero) ovvia, però… chiaramente non ho aperto il link. In questi casi non si deve mai cliccare collegamenti ignoti che potrebbero potenzialmente portare a pagine contenenti malware, o anche semplicemente tracciare il fatto che il proprio numero telefonico ha ricevuto e letto l’SMS.

Analisi dell’URL

Bit.ly è un famosissimo servizio per accorciare (e in un certo senso mascherare) degli URL. Non c’entra nulla con questi messaggi promozionali, serve solo a rendere un URL più corto, una cosa utile per inviarlo via SMS. La cosa interessante è che ha anche delle funzionalità statistiche: chiunque conosca un URL generato da questo sito può semplicemente aggiungere un + alla fine e ottenere maggiori informazioni.

Andando a visitare http://bit.ly/2y9WNXB+ ho potuto capire che l’URL non avrebbe tracciato il mio numero di cellulare, perché è stato aperto oltre 3200 volte:

statistiche_link_bitcoin_code
Le visite che ha ricevuto il link contenuto nell’SMS

È interessante vedere come il link sia stato condiviso anche su Facebook e in misura molto ridotta anche in altre nazioni. Il picco di visite nella fascia 11:00-11:59 UTC (cioè 13:00-13:59 in Italia) coincide con l’orario in cui ho ricevuto l’SMS.

Escluso il tracciamento, restava comunque il rischio di malware. Prima di puntare un browser a quell’indirizzo, è stato opportuno provare a vedere dove andasse a finire quell’URL. Ho usato HTTPie che è molto comodo:

http --follow --all get 'http://creativesellar.com/tracking/596dae565fa39a39a9c3f869?src=59ca723d377e015f43de7a16&s1=&s2=&s3=&s4=&s5=&k=598c46292cd1ca261ba4867d'

La pagina delle statistiche di Bit.ly consente di vedere la versione originale dell’URL, di conseguenza si può visitare senza incrementare le statistiche. In altri termini, nessuno di quei 3200 click è mio. 🙂

L’output di HTTPie è decisamente prolisso perché mostra tutti gli header HTTP (piuttosto utili per fare debugging e analizzare pagine sospette) ma mi limito a dire che i redirect sono stati i seguenti:

http://a.trafficrouter.bid/aff_c?offer_id=1628&aff_id=2074&aff_sub=59ca723d377e015f43de7a16&aff_sub2=59dbce2dee485e5e82e82aef&entity=jav

http://mediaroi.go2cloud.org/aff_r?offer_id=1666&aff_id=2074&url=http%3A%2F%2Fbitcoinmillions.co%2Fse%2F%3Foffer_id%3D1666%26aff_id%3D2074%26transaction_id%3D102685e5380c3fe094b3ed05a891bc%26aff_sub%3D59ca723d377e015f43de7a16%26aff_sub2%3D59dbce2dee485e5e82e82aef%26aff_sub3%3D%26aff_sub4%3D%26goal_id%3D2510%26xparam%3Dbitcoinmillions.co%2Fse%26entity%3Djav%26urfname%3D%7Burfname%7D%26urlname%3D%7Burlname%7D%26urphone%3D%7Burphone%7D%26uremail%3D%7Buremail%7D%26urcountry%3D%7Burcountry%7D&urlauth=646211568076217752932436557944

http://bitcoinmillions.co/se/?offer_id=1666&aff_id=2074&transaction_id=102685e5380c3fe094b3ed05a891bc&aff_sub=59ca723d377e015f43de7a16&aff_sub2=59dbce2dee485e5e82e82aef&aff_sub3=&aff_sub4=&goal_id=2510&xparam=bitcoinmillions.co/se&entity=jav&urfname={urfname}&urlname={urlname}&urphone={urphone}&uremail={uremail}&urcountry={urcountry}

La mia reazione è stata più o meno questa:

Alla fine sono capitato su bitcoinmillions.co, in particolare nella versione svedese per via dell’IP della VPN che sto usando oggi. Ho aperto l’URL in una macchina virtuale da analisi e poi ho verificato che il sito è disponibile anche in italiano, tedesco, inglese e qualche altro idioma (basta cambiare il codice della lingua nell’URL).

Stranezze e assurdità

La pagina ha lo scopo di presentare all’ignaro utente il metodo “Bitcoin Code” che consentirebbe, tramite investimenti sulle opzioni binarie, di guadagnare… udite udite… 13000 euro al giorno senza fare un bel niente. Di nuovo: come no! 😀

finto_ceo
Il finto inventore di Bitcoin Code

Secondo il sito, il “genio” dietro a questo metodo (talmente geniale da rivelarlo a tutti gratis) sarebbe Stefano Savarese. Mi correggo: secondo la versione italiana del sito. Infatti per la versione inglese sarebbe Steve McKay, per quella tedesca Sven Hegel e per quella svedese Stefan Holmquist.

La foto del presunto inventore è uguale, ma i nomi sono diversi. Ah, se l’immagine vi piace è possibile acquistarla su questo sito di immagini stock, ma penso che l’aveste già immaginato. Questo fatto è stato scoperto facilmente con TinEye, un motore di ricerca per immagini.

Un altro elemento che non dà alcuna fiducia è il modulo di registrazione senza HTTPS, ma quello purtroppo si trova anche su siti meno “sospetti”. L’ennesimo campanello d’allarme dovrebbe suonare notando che questo metodo “gratuito” richiede un versamento minimo di 250€ che presumibilmente non rivedrete mai più e di certo non diventeranno 13000.

Chi c’è dietro a tutto questo?

Metto subito le mani avanti: l’attribuzione di siti, messaggi e “operazioni di business” varie è una cosa molto complicata e non bisogna fidarsi troppo delle informazioni trovate. D’altro canto però non fidarsi è un atteggiamento buono e prudente.

Detto ciò, la cosa più naturale è controllare il Whois dei vari domini coinvolti, sperando di trovare qualcosa. Così ho fatto:

whois creativesellar.com

… e via dicendo per gli altri. Come temevo, tutti quanti i domini sono protetti da qualche servizio di whois privacy o comunque riportano dati inaccurati. Questo non indica per forza un problema, ma quando si parla di investimenti sarebbe consigliabile sapere con chi si ha veramente a che fare.

Volendo arrivare al dunque, mi sono registrato con un indirizzo di Mailinator e ho cercato di trovare la pagina in cui Bitcoin Code mi avrebbe chiesto dei soldi. Avendo usato la versione inglese del sito, ho ricevuto un’email di conferma inviata da un tale Alfie Hughes usando SendLane, un servizio per l’invio di email.

SendLane aggiunge il nome e l’indirizzo del mittente in fondo al messaggio, o meglio i dati che costui ha usato per crearsi un account. Nell’email che ho ricevuto era riportato:

BTC ltd
7 More London Riverside
London
United Kingdom, SE1 2RT

Peccato che questo sia l’indirizzo della sede londinese di PwC, una rispettabile multinazionale che non ha nulla a che vedere con questa truffa. Ecco l’ennesimo segno dell’inaffidabilità di Bitcoin Code (come se ce ne fosse bisogno).

Per usare l’account e depositare i soldi sono stato rimandato verso un sito esterno, cioè https://www.toroption.com. Dai, almeno questo ha l’HTTPS così ti puoi far spillare del denaro ma in sicurezza. 😉

Anche il Whois di questo dominio è occultato.

La pagina di contatto del sito racchiude un altro aspetto bizzarro: cambia le informazioni e i numeri di telefono a seconda della lingua scelta. Inoltre i dati non sono rappresentati come testo (anche se sembra che sia così) ma sono un’immagine!

La versione inglese è l’unica che riporta due indirizzi:

Main Office
Royal Capital Ltd.,
Off. 13, 97 Andranik
Zoravar St. Yerevan

Smart Choice Zone LP,
272 Bath Street Glasgow.
G2 4JR. Scotland

+44-2035192667
+37-460462823

Scopriamo quindi che l’ufficio principale sarebbe a Yerevan, in Armenia, cosa che sembra plausibile. Il secondo indirizzo è di un servizio che noleggia uffici virtuali a Glasgow, in Scozia. Anche attività rispettabili usano questi servizi, a volte.

Dei due numeri di telefono riportati, il secondo mostra come prefisso +37 (che era in uso alla Germania dell’Est un po’ di anni fa) ma in realtà è +374, che corrisponde all’Armenia.

Il primo è del Regno Unito (coerente col secondo indirizzo) e cercandolo sul web viene fuori un fermo avvertimento da parte dell’Autorità per i Servizi Finanziari e i Mercati (FSMA) del Belgio:

The Financial Services and Markets Authority (FSMA) warns the public against the activities of TorOption, a company that offers binary options without complying with Belgian financial legislation.

TorOption is not allowed to provide banking and/or investment services in or from Belgium.

Furthermore, the FSMA reminds the public that since 18 August 2016, no investment firm (authorized or not) is permitted actively to distribute, within the territory of Belgium, binary options or any other derivative instruments whose maturity is less than one hour and/or that directly or indirectly use leverage (including forex derivatives and CFDs).

The FSMA thus strongly advises against responding to any offer of financial service made by TorOption and against transferring money to any account number it might mention.

L’avvertimento completo, che vi consiglio di leggere, segnala anche un comunicato analogo della Commissione Nazionale del Mercato dei Valori (CNMV) spagnola.

In conclusione

Abbiamo visto come in data odierna migliaia di italiani abbiano ricevuto un messaggio truffaldino, che tentava di convincere le persone ad investire dei soldi con la promessa di guadagni allettanti e assolutamente irreali.

L’analisi delle informazioni disponibili con tecniche OSINT (ma soprattutto la valutazione di cosa non è disponibile) ha confermato ciò che l’intuito faceva presagire: pur non trattandosi di malware, è comunque meglio stare alla larga da Bitcoin Code, TorOption e qualsiasi altra operazione legata a tali entità.

Io non sono un esperto di investimenti, quindi di certo non vi dirò che uso fare dei vostri soldi, né voglio pubblicizzare altre alternative “più affidabili” (come invece ho visto fare ad altri siti che hanno accennato a Bitcoin Code). 🙂

Però una cosa ve la voglio dire: se volete fare investimenti, valutate attentamente l’affidabilità dei soggetti coinvolti. Non lasciatevi allettare dal miraggio di guadagni talmente facili da essere impossibili!

I miei talk a ESC 2017 — Venerdì 01/09/2017, Venezia

Esattamente a un anno dalla mia prima partecipazione a ESC, sono stato nuovamente invitato per portare un contributo a questo interessante evento. Dal sito ufficiale:

ESC è un incontro non-profit di persone interessate al Software e Hardware Libero, all’Hacking e al DIY. Il contenuto dell’evento è in continua evoluzione e viene creato dai suoi partecipanti.

In particolare, quest’anno ho deciso di partecipare anche perché ci sono state delle novità organizzative. Sono convinto che ciò porterà una ventata di freschezza e di continuo miglioramento all’evento, cosa che non fa mai male. 🙂 L’edizione 2017 sarà coordinata da Sebastiano Mestre (fondatore dell’evento) con l’aiuto dell’Associazione Radioamatori Italiani – Sezione di Mestre – “Enrico De Rossi I3DRE”.

Ma non preoccupatevi, la consueta formula amichevole, gratuita e informale (con tanto di campeggio) rimarrà invariata! 😉 Io sarò presente il 1° settembre con due talk, il primo dei quali in rappresentanza di Gimp Italia:

Ore 15:00 — Correzioni fotografiche con GIMP

GIMP possiede tutti gli strumenti necessari per operare le correzioni più diffuse alle foto. Alcuni accorgimenti, infatti, consentono di osservare subito un miglioramento delle immagini. Il talk verterà su un approccio semplice per la correzione di luminosità e colori.

Il secondo invece sarà una riproposizione di un talk che avevo tenuto alla DUCC-IT a Vicenza:

Ore 16:00 — Ask Ubuntu: aiutare anche senza saper programmare

Ask Ubuntu è un sito Q&A (domanda e risposta) che raccoglie gli utenti di questa popolare distribuzione. Tramite un sistema collaborativo ed autogestito, tutti i partecipanti donano il proprio contributo per aiutarsi a vicenda e risolvere problemi o dubbi relativi all’uso di Ubuntu, portando beneficio a tutta la comunità.

Come nelle scorse edizioni, l’evento si terrà a Forte Bazzera e naturalmente questi due talk sono solo la punta dell’iceberg. Ci sono tantissimi talk in programma perciò non lasciateveli sfuggire!

Vi ricordo che per partecipare è necessario registrarsi qui.

Ci vediamo all’ESC! 😀