Corso formato PDF in 4 lezione su SP2 per windows

Transcript

1a lezione
Windows xp2
A scuola con PC Open
Windows XP2
istruzioni per l’uso
di Giorgio Gobbi
Prima o poi
l’installazione del
Service Pack 2 di
Windows XP è una
tappa inevitabile,
ma non risolve
tutti i problemi
e ne può creare
anzi di nuovi.
Le informazioni
di queste quattro
puntate vi
saranno di aiuto
egli ultimi mesi Microsoft
e i media tecnici hanno
dato ampio risalto al Service Pack 2 di Windows XP. Oltre a riassumere le correzioni e
gli aggiornamenti successivi al
Service Pack 1 del 2002, l’SP2,
uscito con un anno di ritardo,
ha il compito di contrastare le
dilaganti infezioni da malware
(virus, cavalli di Troia, worm,
spyware e altro) che hanno caratterizzato il 2003. Perciò l’SP2
si presenta non solo come la
solita raccolta di patch critiche
per la sicurezza con l’aggiunta
di correzioni e aggiornamenti,
ma vuole essere un irrobustimento generale di Windows XP
per renderlo meno vulnerabile
agli attacchi che provengono
prevalentemente da Internet.
La promessa di un sistema
operativo più sicuro potrebbe
N
farci sperare che finalmente si
possa installare Windows e
connetterlo a Internet senza
più preoccuparsi della sua integrità. Non è proprio così; come vedremo, l’attivazione automatica del firewall di Windows e l’evoluzione di Internet
Explorer e Outlook Express sono i cardini per bloccare il
malware, ma questi programmi
hanno comportamenti generalizzati. In altre parole, non riconoscono le specifiche minacce
e non sono continuamente aggiornati come avviene per i migliori antivirus e firewall commerciali.
Il Windows Firewall
L’affermazione di Microsoft
secondo cui il Windows Firewall (modesta evoluzione del
precedente Firewall Connes-
IL CALENDARIO DELLE LEZIONI
Lezione 1:
- Concetti generali sulla
sicurezza
- Installare l’SP2
- I possibili problemi
Le prossime puntate
Lezione 2:
- I tipi di firewall
sione Internet) impedirebbe a
virus e worm di raggiungere il
computer, suona per lo meno
azzardata, visto che Windows
non contiene un programma
antivirus capace di distinguere
un worm o un cavallo di Troia
da un legittimo programma
eseguibile.
- Configurare il firewall di XP
- Hardware e software per
bloccare il traffico
Lezione 3:
- Configurare e utilizzare
Explorer e Outlook Express
Lezione 4:
- Le modifiche nell’architettura
di Windows XP
Normalmente è l’antivirus
che trova virus, trojan e worm,
mentre il firewall, oltre a bloccare il traffico illecito, dovrebbe riconoscere e bloccare i tentativi di intrusione.
Tra questi ultimi, ci sono i
tentativi di sfruttare i bug di
Windows o di eseguire trojan o
1a lezione
Windows xp2
backdoor allo scopo di prendere il controllo del computer.
Tra le regole che governano il
funzionamento di un buon firewall ci sono quelle capaci di
riconoscere minacce specifiche, così da proteggere il sistema dalle falle di Windows e dal
malware (tipicamente trojan e
worm) che vengono scoperti
man mano. Tuttavia il Windows Firewall di SP2 non utilizza queste regole, inoltre dovrete comunque installare un antivirus.
Pur ammettendo che un anno di lavoro aggiuntivo abbia
corazzato Windows contro i
bug noti (fino all’agosto 2004) e
contro certe categorie di accessi illegali o sospetti, resta il
fatto che Windows XP2 non riconosce il malware già installato (virus, trojan, worm, spyware e tutto il resto), non distingue amico da nemico in ciò che
blocca e blocca solo certe ca-
tegorie di oggetti, consentendo
peraltro di aggirare il blocco se
esso impedisce all’utente di
operare. Per di più, il nuovo
Windows Firewall può essere
disattivato via software, un regalo che sarà subito utilizzato
dagli autori di malware per introdurre codice maligno.
1 Un passo avanti
uanto detto sopra non
sminuisce i meriti di Windows XP2, ma mette in
guardia dai facili entusiasmi.
Per gli utenti che considerano
il computer come un elettrodomestico da acquistare e usare
così com’è, Windows XP2 è un
passo avanti, anche se non offre la protezione completa che
servirebbe a questo tipo di
utenti; Windows XP2 richiede
ancora applicazioni aggiuntive,
come antivirus e anti spyware,
per essere utilizzabile con sufficiente tranquillità.
Gli utenti esperti, o perlomeno consapevoli delle minacce presenti su Internet, in questi anni si sono attrezzati con firewall, antivirus sempre aggiornato e altro software (come anti spyware e anti browser helper, descritti più avanti)
e hanno sempre applicato gli
aggiornamenti critici di Windows Update. In questo modo
non hanno subito danni, neppure nei giorni di massimo allarme per la diffusione degli attacchi più virulenti. Questi
utenti non hanno molto da guadagnare dall’SP2, che anzi crea
più di un problema; tuttavia,
proprio la necessità di tenere
Windows aggiornato rende inevitabile l’applicazione del Service Pack 2, che diventerà il requisito per molte applicazioni.
Si può ritardare l’installazione
dell’SP2 per eseguire test e raccogliere esperienze, ma alla
lunga lo si dovrà digerire (per
gli allergici c’è sempre Mac e Linux).
Windows XP2 va anche incontro alle grandi aziende, riducendo il rischio che i dipendenti possano infettare il sistema; tuttavia costringe a verificare la compatibilità delle applicazioni e ad adeguarsi alle
nuove regole di protezione. Ad
Q
uso delle grandi aziende, l’SP2
aggiunge 609 nuovi oggetti ai
criteri di gruppo (group policy)
per Active Directory, elemento
essenziale dell’architettura basata sui server Microsoft. Questi oggetti permettono agli amministratori di controllare in
dettaglio la configurazione della protezione e i relativi comportamenti. Per esempio, si
può assegnare un livello di rischio a ogni tipo di allegato e
richiedere l’esame da parte di
un antivirus ogni volta che vengono aperti gli allegati.
Una ricerca della società AssetMetrix su 44.000 sistemi con
XP in quasi 350 aziende, in base
alle informazioni pubblicate da
Microsoft, prevede che mediamente un PC su 10 avrà qualche problema dopo l’installazione dell’SP2 (vedi www.assetmetrix.com/solutions/xpsp
2/WinXPSP2ImpactAnalysis.pd
f). Questa percentuale può essere molto più alta per le aziende con meno di 100 PC.
Mentre i nuovi computer
venduti con Windows XP2 saranno più sicuri, le aziende applicheranno l’SP2 con cautela,
visti i problemi di compatibilità
previsti per decine di applicazioni. I singoli utenti non corrono grossi rischi nell’applicare il Service Pack 2 a patto di
osservare le regole che presentiamo più avanti e di essere
consapevoli che qualcuno dei
programmi utilizzati potrà avere dei problemi.
Il sommario del corso
Dedichiamo questa puntata
alle informazioni generali sulla
sicurezza (la base di partenza
dell’SP2), alla sequenza di azioni consigliate per installare l’S
P2 senza inconvenienti e a una
serie di problemi causati dall’SP2 (in parte incontrati nelle
1
Il sito di Microsoft contiene una vasta documentazione sui benefici e sui problemi
potenziali del Service Pack 2
nostre prove, in parte incontrati da altri, in parte dichiarati da Microsoft e da altri produttori).
Nella seconda puntata, dopo
una panoramica sul funzionamento e sui tipi di firewall, vedremo come usare e configurare il firewall di Windows XP2 e
il confronto con alcuni firewall
sul mercato. Vedremo perché
un firewall può dare una falsa
idea di sicurezza e perché dovrebbe incorporare o essere affiancato anche da funzioni di
Intrusion Detection. Mostreremo esempi di soluzioni
hardware e software per bloccare il traffico indesiderato e
sospetto.
Nella terza puntata vedremo
in dettaglio come configurare e
utilizzare le versioni SP2 di In-
ternet Explorer e di Outlook
Express. Le protezioni dell’SP2
possono bloccare i contenuti
desiderati, ma se togliete il
blocco rischiate di installare
malware, per esempio un allegato di posta eseguibile; vedremo qual è la soluzione.
La quarta e ultima puntata
riassumerà le modifiche di architettura apportate a Windows dal Service Pack 2, soffermandosi su alcuni aspetti di
maggiore interesse per gli utenti, come la nuova procedura
per installare e configurare le
connessioni di rete wireless.
Infine citeremo parecchie fonti
di informazioni sull’SP2 utili
per approfondire l’argomento
o per risolvere i problemi di
funzionamento delle applicazioni.
1a lezione
Windows xp2
2 Le minacce a Windows
rima di chiarire quali sono i
vari tipi di malware e di attacchi che minacciano Windows, citiamo alcune informazioni derivanti dall’esperienza
pratica. L’Internet Storm Center
(http://isc.sans.org/index.php)
del SANS Institute (www.sans.
org), che registra oltre 3 milioni
di tentativi di intrusione al giorno, pubblica il tempo medio necessario perché un computer
indifeso sia compromesso da
software ostile via Internet. Il
tempo medio tra gli attacchi,
mentre scriviamo, è di 15 minuti e gli attacchi sono costituiti
per la maggior parte da worm
che tentano di propagarsi. Secondo le statistiche di Trend
Micro, su un totale di 248 allarmi malware nello scorso maggio, quasi metà (121) erano
worm, circa il 26% erano cavalli di Troia e circa l’11% erano
programmi backdoor, spesso
inclusi nella categoria dei
trojan. Le altre categorie di virus riscontrati comprendevano
malware .Bat e .Html, malware
di tipo IRC, macro virus, malware VBS e JS e altri oggetti in percentuale minima.
Come vedremo, un firewall e
un antivirus efficienti bloccano
tutto questo, ma lasciano passare lo spyware e l’adware, che
costituiscono una minaccia non
meno seria.
Nel suo articolo Spyware
Everywhere (spyware dappertutto, www.infoworld.com/article/04/09/03/36secadvise_1.ht
ml), Wayne Rush (autore di una
rubrica di sicurezza per
InfoWorld) racconta di aver tro-
P
vato 1.450 programmi di spyware nel computer della figlia, che
nel tempo era divenuto lentissimo fino a non riuscire neppure
a connettersi a Internet.
Abbiamo provato a collegare
in rete un PC con una nuova installazione Windows XP2 pulita
e completa, attivando il Windows Firewall e Norton Antivirus 2003 (aggiornato). Un altro
firewall (con intrusion detection) proteggeva la connessione tra la rete locale e Internet. In
20 minuti di navigazione tra siti
di notizie (tutti ben noti) e siti
di musica, abbiamo accumulato
21 programmi critici di spyware
e 25 tracce di navigazione (in sé
innocue ma sfruttabili dal
malware per fare danni).
Per la cronaca, in un anno e
mezzo di uso quotidiano con
connessione ADSL e protezione
tramite Norton Antivirus e Personal Firewall (2003 + update),
è stata trovata solo una minima
manciata di virus, tutti eliminati durante la scansione o cancellando i file temporanei di Internet; il resto degli innumerevoli attacchi è stato bloccato.
Ora passiamo in rassegna
quelli che collettivamente chiamiamo virus, così da capirne le
differenze e le necessità di protezione.
Questi altri 25 oggetti trovati da Ad-Aware dopo 20 minuti di browsing, sono tracce di
navigazione innocue ma utilizzabili dal malware
Un ulteriore spyware critico trovato da Spybot dopo la pulizia con Ad-Aware
Virus
Un virus è un programma (o
un frammento di codice) che si
autoreplica diffondendosi da un
computer all’altro. In generale è
scritto in modo da modificare il
funzionamento del computer
senza che l’utente se ne accor-
ga. Un virus attacca una copia
di se stesso ad altri file. Quando
è attivato, può danneggiare file,
causare strani comportamenti
da parte del sistema o limitarsi
a visualizzare messaggi fastidiosi. L’autoreplicazione distingue i virus da altre infezioni come i trojan (cavalli di Troia) e i
worm (vermi).
Cavallo di Troia
Attenzione a evitare illusioni: questo è un elenco di 20 spyware critici accumulati nei
primi 20 minuti di browsing Internet con Windows XP2, nonostante il firewall di rete, il
Windows Firewall sul computer e Norton Antivirus in funzione
Un cavallo di troia (detto anche trojan) è un programma distruttivo scritto con l’intento di
recare danno a un computer e
che ha l’aspetto di un programma utile o interessante.
Un trojan si diffonde quando
un utente è indotto ad aprire un
file eseguibile, pensando che
venga da una fonte affidabile e
senza sospettare che un allegato di posta nasconda una minaccia per il sistema e la rete.
Un esempio recente è un messaggio di e-mail con allegati presentati come aggiornamenti Mi-
crosoft, che in realtà erano virus e tra le altre cose cercavano
di disattivare antivirus e firewall. In caso di dubbio, i Bollettini Microsoft sulla sicurezza
(www.microsoft.com/ italy/security/security_bulletins/archive.mspx) elencano gli aggiornamenti autentici.
Un trojan, a differenza di un
virus, è un programma autonomo, non si attacca ad altri programmi o file. Inoltre, a differenza di un worm, non si sposta
da solo da un computer all’altro; per propagarsi occorre ad
esempio che sia spedito per email o pubblicato in un sito di
programmi da scaricare.
In Windows, un trojan potrebbe essere allegato a un
messaggio di posta con un nome in apparenza innocente.
Sebbene un programma (file
eseguibile) debba avere un’estensione (la parte finale del
nome del file, dopo il punto) come .exe, .scr, .bat, o .pif (e varie
1a lezione
Windows xp2
Microsoft
raccomanda di
installare un
antivirus e nel
nuovo Centro
Sicurezza PC
mostra lo stato di
attivazione di
firewall e antivirus,
ma solo quelli che
XP2 riconosce; XP2
è insistente nel
sollecitarvi ad
accettare il
download e
l’installazione
automatica di tutti i
Windows Update
altre), il trojan può apparire come Readme.txt, perché il comportamento di default di Windows è di nascondere le estensioni dei file. Quel file potrebbe
chiamarsi Readme.txt.exe all’insaputa dell’utente, che
aprendo il file con un doppio
clic installerebbe un programma potenzialmente distruttivo,
anche se in apparenza esegue
operazioni innocue per non essere scoperto.
Per vedere i nomi completi di
tutti i file, aprite Risorse del
computer, Strumenti, Opzioni
cartella, Visualizzazione; qui
potete visualizzare i file nascosti, disattivare le caselle Nascondi i file protetti e Nascondi le
estensioni dei file e attivare tutte le caselle del tipo Visualizza...
Per esempio, un trojan può
rendere il vostro computer uno
zombie, controllato a distanza
da chi ha scritto il trojan magari per intasare di messaggi e
mettere così fuori servizio un sito preso di mira (questo attacco si chiama DoS, Denial of
Service o DDoS - Distributed
DoS - quando l’attacco avviene
da molti zombie). Un trojan può
anche servire per procurare
informazioni all’autore (indirizzi e-mail, password, dati di carte di credito e via dicendo).
Ci si protegge dai trojan evitando di aprire allegati di cui
non conoscete origine e affidabilità e soprattutto installando
un firewall e un antivirus efficaci. Se dovete aprire gli allegati,
l’antivirus bloccherà i trojan e
altro malware.
Oltre che per filtrare l’e-mail,
è vitale avere un antivirus in
funzione quando scaricate
software da Internet.
Worm
Un worm (verme) è un programma che si replica senza infettare altri programmi. Alcuni
copiano se stessi da disco a disco, altri si replicano in memoria rallentando il computer. In
generale un worm si trasmette
da un computer all’altro ad alta
velocità, sfruttando tutte le rubriche di indirizzi e-mail che il
worm trova nel sistema.
Da ciascuno dei computer
destinatari, si ritrasmette a tutti gli e-mail delle rispettive rubriche, con rapida diffusione
esponenziale (se non viene
Gli utenti capaci di
badare a se stessi
possono decidere da soli
se scaricare e installare i
Windows Update,
attivando l’avviso
automatico di
aggiornamenti disponibili
Se volete un firewall che
riconosca in modo
specifico le minacce
provenienti da Internet,
non vi basta un firewall
gratuito o il Windows
Firewall di XP2; Norton
Personal Firewall include
un lungo elenco di trojan
e backdoor che
riconosce e tiene fuori
dalla porta
bloccato). Un worm consuma
memoria e larghezza di banda
della rete, rallentando o bloccando i computer. Certi worm
si comportano da trojan (file
eseguibili dall’utente), come
MyDoom, che è un worm perché si trasmette come allegato
di posta, ma richiede il doppio
clic dell’utente sull’allegato per
infettare il computer.
Oltre a diffondersi rapidamente rallentando Internet, un
worm può compiere azioni distruttive e trasportare malware
sugli altri computer, per esempio installando una backdoor
sui computer infetti, così da trasformarli in zombie. Sobig e
MyDoom sono esempi di worm
che installano una backdoor; i
computer infetti cominciano a
inviare spam (e-mail spazzatura) a tutti gli indirizzi trovati.
C’è anche stato un worm con
intenzioni teoricamente utili: i
worm della famiglia Nachi sfruttavano le falle di Windows per
insediarsi e quindi scaricare e
installare le patch di Microsoft
per chiudere quelle stesse falle,
il tutto con riavvio del computer e senza chiedere il permesso all’utente.
Backdoor
Questo termine (“porta sul
retro” o porta di servizio) viene
usato sia per indicare l’effetto
creato dal malware (un punto
di accesso al computer) sia il
malware stesso che crea la
“porta di servizio”. Una backdoor è un metodo per aggirare
le normali vie di accesso a un
computer (tra cui l’autenticazione dell’utente) e ottenere accesso remoto senza che l’utente legittimo se ne accorga. Una
backdoor può assumere la forma di un programma installato
(come Back Orifice, catalogato
tra i trojan) o può essere il risultato di modifiche al software
di sistema. Per esempio, un sistema di login potrebbe essere
modificato per accettare una
certa combinazione di user e
password.
Ovunque ci sia del software
proprietario, non esposto all’esame del codice sorgente, c’è il
rischio della presenza segreta
di backdoor, installate ad esempio per spiare l’utente. È stato
scritto che un compilatore modificato ad arte può installare
una backdoor partendo da sorgenti puliti; in ogni caso è ri- Per vedere i nomi dei file
completi e riconoscere
minacce del tipo
Readme.txt.exe,
consigliamo di attivare la
visualizzazione di tutti i
file e delle estensioni (la
parte finale del nome dei
file)
1a lezione
Windows xp2
chiesta la connivenza tra chi
controlla la produzione del
software e gli enti interessati a
entrare nei computer “dal retro”. Oltre alle backdoor consentite dai bug di Windows, alcuni tra i molti esempi di backdoor da malware sono Back
Orifice, NetBus, SubSeven, Glacier, Drat, qaz.worm (una combinazione di trojan, worm e
backdoor che si installa al posto del notepad.exe legittimo) e
RemoteNC.
Port scan
La scansione delle porte
TCP/IP è una serie di messaggi
inviati da qualcuno che cerca di
accedere al vostro computer
per conoscere quali servizi di
rete sono in funzione. Ogni servizio è associato a uno specifico numero di porta e molti di
questi numeri sono standard,
sebbene possano essere modificati. Di solito il port scan viene
eseguito da un programma automatico che invia richieste a
ogni porta di un indirizzo IP, in
attesa di una risposta che riveli
una vulnerabilità da sfruttare.
Ogni porta è identificata da
un numero tra 0 e 65535 corrispondente a un canale logico di
comunicazione utilizzato da
ogni applicazione TCP/IP. Ogni
applicazione ha associato un
particolare numero di porta;
per esempio, l’HTTP usa per
default la porta 80, sebbene sia
configurabile diversamente.
Per esempio, se il vostro browser scarica più file contemporaneamente da un server Web,
ogni download utilizza un canale logico diverso e quindi un diverso numero di porta.
La comunicazione tra due
computer su una rete TCP/IP richiede che siano specificati l’indirizzo IP e il numero di porta
per mittente e destinatario. L’insieme di indirizzo IP e numero
di porta forma quello che viene
chiamato socket (zoccolo).
Il port scan è paragonabile al
tentativo di un ladro che prova
ad aprire porte e finestre di una
casa per trovarne una aperta.
Tra i compiti di un firewall c’è
quello di tenere chiuse le porte
non in uso e di non rispondere
ai messaggi che sondano la presenza di porte attive (oltre a registrare e magari segnalare il
tentativo di intrusione).
Spyware e adware
Lo spyware è qualunque
software che trasmette informazioni personali dal vostro
computer a qualche destinazione su Internet (solitamente
aziende di marketing) senza la
vostra consapevolezza e autorizzazione.
Le informazioni raccolte e
trasmesse possono essere di tipo diverso: per esempio i siti
Web visitati oppure informazioni più riservate contenute nel
computer. Per lo più questo
software raccoglie informazioni
demografiche e relative all’uso
di Internet, in modo da inviarvi
pubblicità mirata e magari rivendere ad altri le informazioni
raccolte.
Lo spyware non è software
che voi installate di vostra scelta, ma si tratta di piccoli pezzi
di codice che vengono installati ad esempio quando visitate i
siti di news e i periodici on line,
i siti di musica MP3, i siti di
Diversi programmi con adware lasciano installato il meccanismo di adware/spyware
dopo essere stati disinstallati; eccone la prova con l’adware TSADBOT, rimasto in
funzione dopo aver disinstallato lo shareware che ne fa uso
Un’occhiata al registro errori vi avvisa di problemi latenti che è meglio risolvere prima
di installare l’SP2
download e in generale di servizi gratuiti.
La forma benigna (o meno
maligna) di spyware è l’adware,
che visualizza pubblicità basata
sulle vostre abitudini di navigazione in Internet. L’adware autorizzato è quello dei produttori di software gratuito, che vi avvisano che l’applicazione contiene un banner (una testata di
spazio pubblicitario) utilizzata
dagli sponsor e solitamente poco intrusiva. L’adware abusivo
è invece utilizzato per inviarvi
pubblicità non autorizzata e
magari di tipo inappropriato.
Come abbiamo detto, l’accumulo di questi sofware (spesso
a centinaia), ha come minimo
l’effetto di rallentare vistosamente il funzionamento del
computer.
Il confine tra adware e
spyware è sottile. Si sono scoperte parecchie applicazioni
adware che segretamente curiosavano nel computer raccogliendo e trasmettendo informazioni private, come la traccia
dei siti Web visitati. Per di più, il
software associato all’adware
può rimanere in funzione anche
dopo che avete disinstallato
l’applicazione sponsorizzata
dalla pubblicità.
Oltre a raccogliere informazioni personali, il software
spyware, in quanto software
eseguibile indipendente (sebbene installato segretamente),
ha tutte le potenzialità di qualsiasi altro programma, incluso
il monitoraggio del vostro input
da tastiera, l’esame dei file su
hard disk, l’ascolto delle chat e
dei messaggi, la lettura dei
cookie, la modifica della pagina
iniziale del browser e in genera-
le il monitoraggio delle vostre
azioni. In più, oltre a rallentare il
sistema, lo spyware può causare crash del browser, messaggi
di errore, crash del sistema e
persino impedire l’installazione del Service Pack 2 di Windows XP.
Fonti di spyware
Se vi sembra troppo tecnico,
saltate pure questo paragrafo,
che ha lo scopo di sensibilizzarvi sulle capacità di danno
dello spyware. Le tecniche di
spyware diventano sempre più
sofisticate e non si limitano a
cookie troppo invadenti. Come
avviene per gli antivirus, che
impediscono l’ingresso dei virus controllando i file che vengono aperti, anche per lo
spyware è necessario installare
software di controllo e immunizzazione. I recenti spyware si
diffondono attraverso tre metodi. Il primo è quello tradizionale e si basa su un’azione dell’utente che, a sua insaputa, determina l’installazione del codice spyware. In questo caso, il
meccanismo di diffusione è simile a quello dei virus; questo
spyware è diffuso attraverso gli
allegati di posta, le cartelle di
rete condivise, i firewall mal
configurati e le applicazioni di
instant messaging e scambio di
file peer-to-peer.
Il secondo metodo è più sofisticato e si basa sull’inganno
dell’utente, che viene indotto a
fare clic su un certo link, ad
aprire un certo allegato o ad installare un programma gratuito.
Ciascuna di queste azioni permette di installare software
dannoso.
Il terzo e più recente metodo 1a lezione
Windows xp2
di diffusione dello spyware non
richiede alcuna interazione con
l’utente se non la normale navigazione tra le pagine Web. Lo
spyware viene installato sul
computer quando l’utente visita un sito infetto o visualizza
una pubblicità pop-up contenente “codice attivo”, ovvero
piccole applicazioni JavaScript, VBS script, ActiveX e Java. Oggi molti programmi e siti
Web si basano su contenuto attivo, quindi il blocco indiscriminato del codice attivo non è
praticabile sui computer client,
può tutt’al più essere applicato
sui server. Due esempi micidiali di nuovi spyware sono Scob
Trojan e WebMoney Trojan,
particolarmente pericolosi perché il loro contenuto può essere programmato in modo da
eseguire qualunque istruzione.
Al momento vengono usati per
trasportare un programma che
intercetta l’input da tastiera, in
modo da rubare nomi di utente
e password bancarie.
Il metodo di infezione tramite
la visualizzazione di una pagina
Web si chiama drive-by downloading, qualcosa come “scaricare mentre passi”. Un esempio
è il famigerato Xupiter (una
barra strumenti), che si insedia
se utilizzate il programma di file sharing Grokster. Una volta
installato, Xupiter cambia la homepage del browser, inoltra tutte le ricerche al proprio sito,
scarica giochi, visualizza popup pubblicitari e blocca i tentativi dell’utente di riprendere il
controllo e di disinstallare il
programma.
Scob è nascosto nel codice
attivo ed è un attacco a più stadi. Una volta che il malware si è
infiltrato nel computer attra-
verso un modulo ActiveX infetto (tramite il browser), esso
contatta un altro sito Web e
scarica lo spyware eseguibile.
Lo stesso meccanismo può essere usato per fare danni ben
più gravi che intercettare l’input di tastiera (keylogger).
WebMoney si nasconde in
un file .Chm (help di Windows)
ed è anch’esso multistadio. Il file .Chm viene usato per espandere il codice spyware compresso, che quindi viene eseguito e installa un file .Gif, che
viene attivato attraverso un annuncio pop-up nella finestra del
browser. Il file .Gif esegue un
programma che attende un segnale per iniziare a registrare
l’input da tastiera. Il segnale
scatta quando l’utente visita un
sito finanziario che già contiene
codice infetto; per aggirare il sistema di sicurezza delle banche, l’URL del sito viene falsificato, così che l’utente finisce
con aprire non la vera pagina di
una banca ma una pagina simile falsificata e infetta.
Anche i siti che usano l’SSL
(Secure Sockets Layer, un protocollo per trasmettere informazioni private crittografate)
sono esposti a questa minaccia.
Di fronte a questi attacchi non
basta più un’utility che ripulisca
l’hard
disk
dallo
spyware/adware, ma occorre
bloccare il malware prima che
entri nel computer.
Questa lunga introduzione
sulle minacce che espongono
Windows non è accademica: lo
spyware scavalca i tradizionali
firewall e antivirus e le protezioni di Windows XP2; per di
più è sempre più virulento e sofisticato man mano che passa il
tempo. Come vedremo tra po-
co, Microsoft prescrive la scansione della vostra installazione
Windows XP prima di installare
l’SP2. Forse è utile che XP2 blocchi allegati eseguibili e sconsigli
l’utente di visitare siti di dubbia
reputazione e di scaricare
software gratuito, ma questo
non impedirà a Windows di accumulare spyware già il primo
giorno di utilizzo, se non vengono installate apposite difese.
L’utente inesperto che naviga in
Internet rimane esposto agli attacchi.
Altri parassiti
Tra le altre minacce che richiedono una barriera difensiva, citiamo i Web bug, i browser
helper objects (BHO) e il browser hijacking.
Un Web bug è un’immagine
di 1x1 pixel inserita in una pagina Web o in un messaggio email e contenente un link a un
Web server diverso da quello
della pagina che aprite. Questo
link informa il sito collegato, tipicamente di marketing, che
voi avete visitato quella particolare pagina; le informazioni
trasmesse a vostra insaputa sono l’IP del computer, l’URL della pagina Web, l’URL del Web
bug, il giorno e ora, il vostro tipo di browser e un numero di
cookie. Nel caso di Web bug
nella posta, gli scopi sono: sapere che avete letto il messaggio, conoscere il vostro IP e misurare il grado di diffusione del
messaggio. I Web bug sono comunemente usati dai siti di medie e grandi aziende; possono
essere bloccati ad esempio da
Zone Alarm Pro (abbiamo provato la versione 5.1 senza problemi in XP2).
I BHO sono programmini
che “aiutano” il browser espandendone le funzioni. Uno dei
più utili è la barra di Google,
che include una finestra di ricerca in Internet Explorer (più
altre funzioni). Anche gli strumenti anti-spyware possono essere realizzati come BHO, ma
non tutti i BHO sono di aiuto.
Un BHO può prendere il controllo del browser e quindi condizionare pesantemente il vostro modo di navigare in Internet. Non solo, un BHO può eseguire qualsiasi istruzione e causare qualunque tipo di danno al
vostro computer. Un BHO è un
piccolo server costituito da un
file DLL (libreria a collegamento dinamico) e per la sua caratteristica, propaga eventuali
propri bug all’eseguibile a cui è
collegato, causando problemi
e crash al browser. Per sbarazzarvi dei BHO dannosi, esistono apposite utility (vedi più
avanti).
Il browser hijacking (sequestro del browser) ha diverse
gradazioni di danno. Per esempio, può modificare la pagina
iniziale del vostro browser, presentandovi ogni volta una pagina che magari preferireste proprio non vedere. Pop-up e moduli ActiveX sono tra gli strumenti di diffusione.
Casi più gravi di hijacking
avvengono quando il malware
comincia a tempestarvi di finestre popup, si replica impedendone la disinstallazione e altera
la navigazione Internet inserendo banner di aziende concorrenti al posto di quelli originali
del sito visitato, alterando la
destinazione dei link, aprendo
siti diversi da quelli desiderati,
alterando i criteri di ricerca, lasciando una quantità di collegamenti preferiti imbarazzanti
e via dicendo.
Se veniste coinvolti in un’indagine di polizia, non riuscireste a dimostrare di non frequentare i siti di cui questo genere di malware ha lasciato le
tracce. Dal 2002 ci sono state
negli USA diverse condanne
(per non parlare dei licenziamenti e del discredito), in base
alle tracce trovate nei computer (basta la denuncia di un collega o conoscente), che talvolta
erano dello stesso tipo di quelle create dal browser hijacker
CWS. Se la vostra pagina Web
iniziale è diventata imbarazzante o usando i motori di ricerca vi trovate spesso in siti di
bassa lega anziché in quelli cercati, dovreste provvedere a una
rapida disinfestazione e immunizzazione del sistema.
Ci si difende da questi attacchi soprattutto in via preventiva, installando subito dopo
Windows il solito corredo di
protezioni: firewall, antivirus,
antispyware/adware e anti
BHO, oltre a praticare cautela e
buon senso se frequentate i
quartieri bassi di Internet.
Sebbene ci siano altre tipologie di parassiti, questo campionario rende l’idea. Ora è il momento di passare in rassegna i
passi per installare l’SP2, predisponendo una possibile ritirata
e organizzando le difese per tenere il malware al di fuori del sistema.
1a lezione
Windows xp2
3 Prima di installare il Service Pack 2
el lungo articolo che il numero di ottobre di PC
Open ha dedicato all’SP2,
trovate molte informazioni pratiche sulle precauzioni da prendere prima dell’installazione e
sui passi dell’installazione. Di
seguito aggiungiamo informazioni e raccomandazioni che
provengono anche da Microsoft e da alcuni dei maggiori
produttori di PC.
N
Ingombro
Cominciamo dall’ingombro.
Se scaricate l’intero SP2 per
potere eseguire più installazioni, calcolate il tempo necessario al download di oltre 260
MB. Se invece eseguite l’aggiornamento on line, via Windows Update, il software scaricato è quello che serve alla vostra configurazione, per un minimo di 75 MB. Se avete una
connessione a banda larga,
non c’è problema, altrimenti
potete scegliere di ordinare il
CD dell’SP2, che verrà recapitato in 4-6 settimane.
Sempre a proposito di ingombro, occorrono almeno 1,8
GB liberi su disco per installare
l’SP2. In ogni caso Windows è
più sicuro e veloce se lo spazio
libero è almeno il 20% della capacità della partizione, anche
per facilitare la deframmentazione.
Tempo
Il tempo necessario per l’installazione è abbastanza lungo
da aver indotto Microsoft a richiedere, per i notebook, l’alimentazione da rete durante
l’aggiornamento, considerando
insufficiente l’autonomia delle
batterie. In ogni caso, Microsoft raccomanda di restare di
fronte al computer per rispondere alle domande della procedura guidata. Naturalmente il
tempo necessario dipende dalla velocità della connessione
Internet, dalla velocità del PC e
dallo stato dell’installazione
(frammentazione del disco,
spazio libero, quantità di
software installato, malware e
via dicendo).
Stato del sistema
Le istruzioni preparatorie di
Microsoft iniziano con il logon
come utente di tipo amministratore (administrator o altro
utente del gruppo administrators), proseguono con la scansione del sistema per eliminare
lo spyware, richiedono l’aggiornamento delle applicazioni
per SP2 e richiedono quindi
l’aggiornamento dei Windows
Update disponibili. Secondo
Microsoft, “è una buona idea
far sì che la tua versione di
Windows sia completamente
aggiornata prima di installare
l’SP2” per motivi di affidabilità
e di prestazioni. Quando si parla di completo aggiornamento
si allude comunque all’Express
Install (una delle due forme di
Windows Update), ovvero gli
aggiornamenti ad alta priorità;
non sono obbligatori quelli opzionali contenuti in Custom Install (installazione personalizzata).
Qui apriamo una parentesi,
perché molti utenti si sono
chiesti se l’SP2 richieda l’SP1 o
no, sulla base del fatto che abitualmente gli SP di Windows
sono cumulativi, cioè includono quelli precedenti. La questione non è oziosa. Se scoprite
che il vostro sistema è infetto o
compromesso e preferite un’installazione ex-novo, i casi sono
due: o avete a disposizione il
CD di XP+SP1 o dovrete trascorrere un’intera giornata di
lavoro per installare XP originale e tutti i Windows Update
critici e l’SP1 (SP2 escluso),
con diversi riavvii del sistema
strada facendo. L’abbiamo sperimentato e vi assicuriamo che
ne fareste volentieri a meno.
La verità è che, anche se l’SP2 include i contenuti di SP1,
per essere applicato richiede
un ambiente compatibile e sicuro, altrimenti certe funzionalità non sono disponibili o non
sono eseguite correttamente e
durante le ore di connessione a
Internet (per scaricare e installare l’SP2) c’è il rischio che il sistema venga compromesso.
Facciamo un esempio: System Restore (Ripristino configurazione di sistema) non sarà
utilizzabile per ripristinare un
precedente stato del sistema a
meno che sia stato installato
l’aggiornamento SP23652. Se
dopo aver installato l’SP2 scoprite di non poter accedere a
un precedente punto di ripristino, dovrete disinstallare l’SP2, aggiornare System Resto-
Un’occhiata al Registro errori vi avvisa di problemi latenti che è meglio risolvere prima
di installare l’SP2
Anche il Visualizzatore eventi è una preziosa fonte di informazioni sui problemi della
vostra installazione Windows
re e reinstallare successivamente l’SP2.
Una misura preventiva che
consigliamo prima di installare
un Service Pack è verificare la
presenza di problemi rilevati
dal sistema e non comunicati
esplicitamente all’utente. Per
esempio, un BIOS non aggiornato, un errore di integrità del
file system, un modulo di sistema non trovato, un driver non
aggiornato, un servizio che per
qualche motivo non può essere
attivato sono cause di problemi che magari passano inossservati al momento ma potrebbero creare guai futuri. In altre
occasioni l’utente può vedere
un programma che si blocca,
un crash del sistema, un messaggio generico di errore e non
sapere se deve preoccuparsi e
intraprendere qualche azione.
Senza diventare tutti sistemisti, è facile consultare il Registro errori (Start, Guida in linea, Strumenti - in basso a destra - Informazioni avanzate sul
sistema, Visualizza registro errori). Il numero e la frequenza
degli errori sono un primo indicatore che il sistema non è
più integro, il più delle volte
per cause software (anche un
hard disk che inizia a zoppicare
può causare errori).
Un altro strumento analogo,
più dettagliato, è il Visualizzatore eventi (in Pannello di controllo, Strumenti di amministrazione), che elenca informazioni, avvisi ed errori delle applicazioni e del sistema; quando 1a lezione
Windows xp2
Drive Fitness test è il test di IBM-Hitachi per verificare a basso livello il buon
funzionamento di un hard disk; il test viene eseguito in DOS avviando da floppy disk
l’elenco diventa troppo lungo,
potete azzerarlo o visualizzare
solo avvisi ed errori, usando
l’opzione Filtro nel menu Visualizza. Il doppio clic su un evento mostra i dettagli disponibili,
a volte in termini comprensibili (per esesempio operazione
fallita per disco pieno) altre
volte in modo indecifrabile,
che è pur sempre un punto di
partenza se volete indagare.
Un registro eventi zeppo di
messaggi di errore dovrebbe
consigliarvi di rimettere in sesto il sistema prima di applicare un Service Pack. Potete ad
esempio ripristinare uno stato
precedente del sistema con Ripristino configurazione di sistema o potete ripristinare un’immagine della partizione salvata
in precedenza, prima che il sistema si degradasse (a patto
che periodicamente facciate
un backup con True Image o
programma simile). Se non siete stati previdenti e il sistema è
compromesso (insicuro e mal
funzionante), considerate la
possibilità di reinstallare Windows XP+SP1, installando poi il
software di protezione e salvando periodiche immagini
delle partizioni.
Il controllo dell’integrità delle partizioni (con Chkdsk in finestra prompt o con ScanDisk
in Windows Explorer) è un’operazione che dovrebbe essere
eseguita periodicamente e prima di un grosso aggiornamento come l’SP2.
Raccomandiamo anche la
verifica dello stato fisico degli
hard disk tramite le utility di
basso livello scaricabili dai siti
dei produttori; queste sono utili specialmente se i messaggi di
errore del software vi inducono
a sospettare dello stato di salute dell’hard disk.
Prima di eseguire i backup, è utile deframmentare le partizioni; potete usare l’utility di
Windows XP o il più potente Diskeeper 8
Aggiornamenti prima di SP2
Abbiamo esplorato una decina dei forum su Windows a
cui qualche utente si era rivolto chiedendo aiuto sulla questione dell’SP1 (requisito o no
di SP2). Tutte le risposte che
abbiamo trovato erano unanimi nel sostenere che SP1 non
dovrebbe essere necessario
per installare SP2, sebbene Microsoft raccomandi di applicare tutti gli update prioritari, incluso l’SP1, prima dell’SP2. Anche se tecnicamente l’SP2 ingloba l’SP1, non ci sembra il caso di utilizzare per diverse ore
(durante l’installazione dell’SP2) un sistema pieno di bug,
di falle e di software che è stato modificato a ritmo frenetico
dal 2001 a oggi (per non parlare dei driver che richiedono
necessariamente l’applicazione dell’SP1). Siamo del parere
che sia preferibile applicare l’SP2 a sistema con le funzionalità aggiornate e quindi più sicuro e affidabile.
Disinfestazione
True Image di Acronis è l’utility per salvare immagini di partizioni più comoda da usare
per l’utente finale
Torniamo alle istruzioni dei
produttori. Secondo Microsoft,
la prima operazione in assoluto, prima di aggiornare le applicazioni per SP2 e di eseguire
i Windows Update che precedono l’SP2, occorre disinfestare il sistema dallo spyware. Il
consiglio di Microsoft sui prodotti da usare è identico al nostro, vale a dire l’uso delle utility gratuite Spybot Search and
Destroy 1.3 (www.safernetworking.org/it/index.html)
e AD-Aware SE (www.lavasoft.de/), contenute nel nostro
CD. Entrambe sono disponibili
in italiano; se avete installato
versioni precedenti, disintallatele perché non vengono più
Dopo l’installazione dell’SP2, alcune periferiche
USB non erano riconosciute
aggiornate. Installate le versioni nuove, che sono più potenti
e offrono gli aggiornamenti online. Per completare l’opera, installate anche un programma
anti BHO, come BHODemon
(http://www.definitivesolutions.com/bhodemon.htm).
In questa fase, finché l’SP2
non sarà in funzione, raccomandiamo di collegarsi a Internet con la protezione di un firewall. Se non ne avete uno
buono, usatene uno qualunque, come l’ICF di Windows XP
o un prodotto gratuito come
Zone Alarm (i firewall gratuiti
eseguono solo le operazioni
principali di firewall, mentre le
versioni a pagamento includono le funzioni di intrusion detection). Per attivare l’ICF aprite Pannello di controllo, Connessioni di rete, selezionate la
connessione al modem, clic destro, Proprietà, Avanzate, clic
sulla casella Firewall Connessione Internet. Questo vale se il
computer su cui state lavorando è quello connesso a Internet
via modem. Se invece vi collegate a Internet tramite una rete
locale, è importante che il firewall sia installato tra il modem e la rete (per i firewall
hardware) o sul computer che
funge da gateway verso Internet e che permette la condivisione della connessione Inter- 1a lezione
Windows xp2
Per molte applicazioni (citate nel testo), l’Help in formato Web attivo viene bloccato dal
browser di Windows XP2; occorre cliccare sulla barra informazioni e autorizzare il
contenuto bloccato
Quando Internet
Explorer blocca un
contenuto attivo, un
menu (clic sulla Barra
informazioni) vi
permette di continuare
se vi fidate della fonte
net (firewall software). La pre-
senza di firewall sui computer
in rete, oltre a quello col modem, aumenta il lavoro di configurazione ma permette di filtrare pubblicità, cookie invadenti, Web bug, trasmissione di
informazioni private e altro (se
usate un firewall completo di
intrusion detection, non quello
di Windows o quelli gratuiti).
Ora torniamo al caso semplice di un solo computer collegato via modem a Internet e
supponiamo che abbiate attivato un firewall come prima
misura di protezione. La sequenza di azioni consigliata è
la seguente: installazione di
Spybot, aggiornamento on line
del programma e del suo database di spyware, immunizzazione, scansione del sistema,
eliminazione dello spyware trovato; installazione di Ad-Aware,
aggiornamento on line del pro-
gramma, scansione del sistema, eliminazione dello spyware
trovato (poco dopo che è passato Spybot).
A questo punto, se non avete un antivirus installato, scaricatene uno gratuito come Antivir
Personal
Edition
(http://www.free-av.de/), disponibile anche nel nostro CD
e scaricate gli aggiornamenti
prima di andare a caccia di virus. Se avete già un antivirus
con licenza di aggiornamento
in vigore (per esempio Norton
Antivirus con LiveUpdate funzionante), accertatevi che
software e descrizioni dei virus
siano aggiornati.
Facciamo qualche esempio.
Hewlett Packard ha compilato
una lista di aggiornamenti che
dovrebbero essere applicati
prima di installare l’SP2 sulle
proprie macchine. Questi comprendono: tutti gli aggiornamenti critici di Windows Update (quindi anche l’SP1), l’aggiornamento sopra citato di System Restore, l’aggiornamento
a Norton Antivirus con LiveUpdate, l’aggiornamento del driver grafico nVidia e una serie di
aggiornamenti a programmi
(Wild Tangent, Media Center,
WinDVD e altri che hanno problemi di compatibilità con
SP2). Dopo di che avvisa che ci
saranno alcune differenze di
comportamento dopo aver installato l’SP2. Un documento
di HP è dedicato ai download
bloccati e ai messaggi di avviso
e insegna all’utente come fare
per scaricare i file .exe di HP
(driver e aggiornamenti software) quando l’SP2 cerca di impedirlo.
Dell, nelle sue istruzioni sull’SP2, per prima cosa raccomanda di aggiornare il BIOS del
PC all’ultimo livello disponibile. Subito dopo devono essere
aggiornati l’antivirus e il firewall. Quindi si devono aggiornare alcuni driver, per lo
più quelli per le connessioni
Bluetooth e per la grafica.
Sony avvisa che supporta l’S
P2 solo sui propri computer
dotati di Windows XP preinstallato, dopo di che elenca
una serie di aggiornamenti a
BIOS, driver e programmi, da
eseguire prima di installare l’S
P2.
Quello che si deduce dalle
istruzioni dei maggiori produttori è che il sistema deve essere aggiornato nelle sue varie
aree: BIOS, driver (specialmen-
te per video e connessioni di
rete, ma non solo) e applicazioni prima di installare l’SP2.
Tornando alle istruzioni di
Microsoft, ora è il momento di
applicare i Windows Update.
Ci sarebbe sembrato più logico
applicarli prima di aggiornare
driver e applicazioni, che potrebbero avere come requisito
l’SP1. Probabilmente Microsoft
dà per scontato che l’SP1 sia
stato applicato da tutti.
Per finire, prima di eseguire
il backup dei dati, Microsoft
raccomanda di disconnettere
eventuali altri utenti che stessero usando il computer, in aggiunta a quello che sta per installare l’SP2. Questo può succedere se utilizzate il Cambio
rapido utente, per cui un utente
controlla l’interfaccia e gli altri
mantengono i loro programmi
in esecuzione in background
(per esempio il padre scrive in
Word e i figli vedono un DVD
con uscita sul televisore).
Prima del prossimo passo, il
backup dei dati, consigliamo
di eseguire una deframmentazione delle partizioni di disco.
Se non avete un programma efficiente come Diskeeper, dovrete accontentarvi dell’utility
limitata inclusa in Windows XP.
Backup
Prima di un’operazione traumatica come l’installazione del
Service Pack 2, Microsoft vi
raccomanda di eseguire un
backup completo di tutti i vostri file. Se siete esperti, forse
sapete dove si trovano i vostri
file, oppure utilizzate forme
globali di backup, come l’immagine delle partizioni. Se non
siete esperti, l’invito a eseguire
un backup completo è una provocazione. Quali file dovrebbe
salvare un principiante? Dove
Aggiornamenti
Microsoft raccomanda di
consultare i produttori del vostro PC e delle applicazioni installate per sapere cosa dovete
fare prima di installare l’SP2.
Per vedere la versione di BIOS installata, potete usare un’utility come Everest di
Lavalys, che sostituisce Aida 32
1a lezione
Windows xp2
Se non avete un antivirus recente, potete utilizzare il gratuito Antivir Personal Edition,
riconosciuto dal Centro Sicurezza di XP2
Se avete un Pentium 4 Prescott in revisione C-0, per installare l’SP2 dovrete
attrezzarvi come spiegato nel testo; CPU-Z è un’utility per sapere tutto del vostro
processore (in questo esempio il P4 è di tipo Northwood)
sono gli archivi di e-mail? E la
rubrica dei contatti? E gli account Internet? E i collegamenti preferiti di Internet Explorer?
E le personalizzazioni delle applicazioni? Un “backup completo” richiede forse di salvare
anche il registro di sistema?
Il programma Backup, una
delle Utility di sistema di Windows XP, tra le sue opzioni permette di salvare la cartella Documenti, le impostazioni e i preferiti di tutti gli utenti, ma è improbabile che un utente alle
prime armi capisca di che si
tratti e sappia estrarne i file
che interessano. Se invece si
salvano solo i file prodotti dal
software applicativo, restano
esclusi tutti i dati personali che
risiedono dentro le directory di
Windows (in particolare nell’albero Documents and Settings\<nome utente> e relative
sottodirectory), come appunto
la posta, i preferiti e altro.
La nostra raccomandazione
è duplice: tenete pure i backup
che volete, ma in più salvate
periodicamente un’immagine
della o delle partizioni, in modo da 1) salvare tutti i dati e 2)
poter ripristinare Windows e le
applicazioni in pochissimo
tempo in caso di crash, senza
reinstallare nulla. Se avete sufficiente spazio su disco per salvare più immagini delle partizioni, almeno un’installazione
di base pulita più quella continuamente aggiornata, godete
di maggiore flessibilità e avete
una trincea supplementare se
tutto va storto e occorre tornare a una configurazione sicura
(integra ed esente da bug, virus e spyware).
Per salvare le immagini delle
partizioni consigliamo di usare
True Image di Acronis (la versione Deluxe completa è stata
allegata al numero di aprile di
PC Open). Qualche utente lamenta problemi nell’uso di Drive Image 7 dopo l’SP2; comunque questo programma non è
più in commercio da quando
Symantec ha incorporato
PowerQuest. Anche V2i Protector 2.0 Desktop Edition,
equivalente a Drive Image 7
con in più i backup incrementali, è un ottimo programma,
ma non sappiamo se ha problemi di compatibilità con SP2.
Norton Ghost 9 è l’erede di Drive Image, con compatibilità
Ghost e utilizzo della Product
Activation, che potrebbe esse-
re di ostacolo per le configurazioni che cambiano di frequente.
Per le aziende, True Image
(anche nella versione server) è
molto più limitato rispetto a
V2i Protector Server e Desktop di PowerQuest/Symantec,
che consentono la gestione
centralizzata di tutti i backup
sui desktop. Comunque, per
l’utente finale, True Image è
preferibile: usa meno risorse, è
facile da usare e non crea problemi. La versione 8, leggera
evoluzione della 7, è la più recente e costa on line 50 dollari.
La versione 6 va bene ed è la
più facile da usare, ma non supporta i backup automatici a periodicità programmata e i
backup incrementali.
Dopo il backup completo dei
dati, Microsoft raccomanda di
creare un Automated System
Recovery, una funzione propria
di XP Professional che serve a
ricostruire il sistema da zero in
caso di disastro. Il programma
Backup permette di creare un
backup di tipo ASR, ma XP Home non è in grado di utilizzarlo.
L’uso dell’ASR è complesso e
laborioso e utilizza il CD originale di XP, un supporto con la
configurazione di sistema e il
backup dei dati degli utenti.
Solo se avete predisposto in
anticipo un backup completo
ASR potete ripristinare il sistema. Secondo la stessa Microsoft, la procedura è solo in parte automatica e non ripristina
necessariamente l’intero sistema; inoltre richiede un notevole sforzo di preparazione e serve come ultima risorsa in caso
di catastrofe. In poche parole:
scordatevene e salvate le partizioni con True Image.
Installazione
Dopo la lunga preparazione,
siete pronti per installare l’SP2;
potete scegliere se usare Windows Update in connessione a
Internet o procurarvi il CD oppure, se avete la banda larga e
diversi PC da aggiornare, se
scaricare il file completo da
260 MB. Sul numero di ottobre
di PC Open trovate tutte le
informazioni per l’installazione dell’SP2. Ora passiamo alle
prime esperienze dopo l’installazione.
Problemi
Per rafforzare le misure di
protezione, è stata introdotta 1a lezione
Windows xp2
Un esempio di messaggio trasmesso a un computer in rete via Messenger
L’SP2 disabilita il servizio Messenger usato per trasmettere messaggi amministrativi
in rete; se ad esempio utilizzate net send, dovete riabilitare e avviare il servizio (che
non ha niente a che fare con Windows Messenger)
in Windows XP2 una miriade di
modifiche che hanno un impatto sulle applicazioni e che causano problemi di compatibilità
con i programmi, con qualche
driver e talvolta anche con il
BIOS. Microsoft ha pubblicato
una vasta documentazione sull’SP2 nel suo sito, per la maggior parte indirizzata agli sviluppatori e alle aziende affinché provvedano ad adeguarsi.
Ad esempio il documento Application Compatibility Testing
and Mitigation Guide for Windows XP Service Pack 2, di oltre
100 pagine, spiega come eseguire i test di compatibilità delle applicazioni e, per far fronte
ai problemi, come disattivare o
attenuare le nuove funzioni di
sicurezza in attesa o nella speranza che le applicazioni vengano aggiornate dai produttori.
Naturalmente, se proteggete
il vostro PC con firewall, antivirus, antispyware e così via non
avete bisogno né dell’SP2 né di
aggiornare alcuna applicazione, d’altra parte non si può procrastinare troppo l’adozione di
un Service Pack, perché alla
lunga potreste faticare ad applicare gli update critici. D’altra
parte, se il vostro sistema è già
protetto, potete disattivare
molti blocchi imposti dall’SP2:
accettare immagini e allegati
nella posta, scaricare qualsiasi
tipo di file e così via.
Prime difficoltà
Vi raccontiamo la prima
esperienza con l’SP2 dopo
averlo installato su un notebook Satellite Pro 6100 Toshiba
(Pentium 4M, 512 MB di RAM,
rete cablata e rete wireless) del
2002. Windows XP Pro era ag-
giornato con tutti i Windows
Update e l’SP1. Il portatile era
connesso a Internet tramite la
rete locale ed era protetto da
Zone Alarm Pro 5.1 (aggiornato) e da Antivir Personal Edition anch’esso aggiornato.
L’SP2 è stato installato dal file di 260 MB in rete, quindi il
processo è stato relativamente
rapido. Al riavvio, abbiamo
eseguito un piccolo censimento delle applicazioni, aprendo
quelle principali e facendo un
paio di operazioni, tra cui l’apertura dell’Help. Le applicazioni che utilizzano l’help di
Windows o i file PDF per l’aiuto,
funzionano. Quelle che ricorrono al formato Web hanno problemi, come ad esempio
Freehand 10, Photoshop 7, ImageRaeady 7, GoLive 6, Flash
MX, InDesign 2; il browser blocca i contenuti dell’help perché
usano contenuto attivo “potenzialmente pericoloso” (Windows XP2 non distingue amico
da nemico). Come abbiamo rimarcato, Windows XP2 mette
barriere senza entrare nel merito della minaccia: l’help di
Photoshop e una pagina Web
malfamata sono la stessa cosa.
In compenso, facendo clic sul
messaggio di avviso di Internet
Explorer, potete consentire l’esecuzione di script e ActiveX e
vedere help e guide.
Esempi di programmi che
sembrano funzionare correttamente in un test rapidissimo
(help incluso) sono Word 2000,
Excel 2000, Powerpoint 2000,
Outlook 2000, OneNote, Outlook Express, Acrobat 5,
Dreamweaver MX, WinRar 3,
WinIso 5.3, Diskeeper 8, True
Image 8 e Cinema 4D. Il test con
Quicktime 6 Player è stato negativo, il programma non ha
funzionato; disinstallandolo e
installando la versione 6.5 tutto è andato a posto.
Il maggiore problema che si
è manifestato dopo l’installazione dell’SP2 è stato che in
uscita dallo standby (apertura
dello schermo) non venivano
più riconosciute le periferiche
USB, con messaggi di errore
per ogni hub presente sulla
motherboard. Abbiamo aggiornato il BIOS del Satellite Pro e il
problema è scomparso.
Inoltre abbiamo avuto dei
problemi a causa della nuova
interfaccia per le reti wireless.
Di tanto in tanto cadeva la connessione wireless logica, anche
se restava in funzione la connessione radio. Questo problema sembrava associato a un’instabiltà di Windows Explorer
comparsa con l’SP2, che si manifestava attraverso frequenti
hang-up (Explorer cessava di
rispondere e si bloccava). Modificando ad esempio le impostazioni WEP con l’utility wireless di US Robotics, Explorer si
è bloccato più volte. Anche
uscendo dallo standby, Explorer si è bloccato diverse volte.
Per ora, ci limitiamo a osservare che prima di installare l’SP2
non esisteva nessuno di questi
problemi. Mentre prima dell’SP2 la rete wireless ha funzionato bene per parecchi mesi
con chiavi WEP di 256 bit (supportate da US Robotics), con
l’SP2 la riduzione a chiavi di
128 bit sembra sia servita a
non mandare Explorer in blocco e a non perdere la connessione wireless durante lo
standby. Come vedremo, Windows XP2 è più invadente nel
trattamento delle connessioni
wireless e tende a volersi sostituire al software del produttore
della scheda wireless.
Desktop
Abbiamo provato l’SP2 anche su un desktop biprocesso-
re (board Asus CUV4X-D con
doppio Pentium III, 1 GB di
RAM, dischi SCSI e IDE, rete),
con Windows installato da zero
(XP del 2001 più un’intera giornata di update on line), senza
aggiornare il BIOS del 2001. A
differenza del notebook, dove il
Registro errori di XP presentava parecchi errori da parte di
servizi di sistema, sul desktop,
dopo l’installazione dell’SP2,
abbiamo trovato solo due errori ACPI (Advanced Configuration and Power Interface) imputabili al BIOS (probabilmente da aggiornare) e già ricorrenti prima dell’SP2.
Se ne avete la possibilità, verificate la presenza di aggiornamenti BIOS disponibili e consultate il registro errori (o il Visualizzatore eventi) per verificare il grado di integrità e stabilità del sistema prima di installare l’SP2. Eventuali problemi latenti potrebbero aggravarsi installando il Service
Pack.
Potete verificare la data del
BIOS installato tramite un’utility del tipo di Lavalys Everest
(ex Aida 32), scaricabile gratuitamente da www.lavalys.com/
products/overview.php?pid=1
&lang=en&pageid=1.
Se poi vi siete precipitati ad
acquistare una delle prime CPU
Intel Prescott (Pentium 4 o Celeron D) avete un problema in
più.
CPU Prescott
Vari media informano che i
problemi di compatibilità tra le
motherboard e i primi processori Prescott, impediscono a
XP2 di funzionare. Questo succede con i primi Pentium 4 e
Celeron D Prescott, identificati
dalla revisione C-0. Se avete
questo problema, ci sono due
possibili soluzioni: aggiornare
il BIOS della motherboard (sperando che ce ne sia uno aggiornato che supporta il core Prescott C-0) o applicare la patch
KB885626
di
Microsoft
1a lezione
Windows xp2
Ecco come viene ricevuto un messaggio Messenger (il testo può anche essere lungo)
(http://support.microsoft.com/
default.aspx?scid=kb;enus;885626). Questa patch deve
essere applicata prima dell’SP2.
Se usate Windows Update
per installare l’SP2, Microsoft
non vi permette l’installazione
se avete una CPU Prscott C-0 e
non avete installato la patch.
Per conoscere il livello di revisione della CPU installata potete usare l’ottimo CPU-Z, scaricabile gratuitamente da
www.cpuid.com/cpuz.php.
Wireless
Un problema wireless lamentato da utenti che utilizzavano l’assegnazione automatica dell’indirizzo IP (tramite servizio DHCP) è che con l’SP2 devono assegnare l’indirizzo manualmente. Questo problema è
riportato nei forum e non è un
effetto dell’attivazione automatica del firewall.
Altri lamentano che in SP2
riescono a connettersi tramite
una PC Card WiFi ma non più
con l’adattatore wireless integrato nel notebook. Qualcuno
cita disconnessioni più frequenti e prestazioni inferiori.
Probabilmente le schede wireless più vecchie sono quelle
più soggette a problemi con
SP2; ci sono segnalazioni che,
anche con driver aggiornati,
qualcuno non riesce a connettersi all’access point neppure
senza crittografia.
Qualche utente segnala problemi con il WPA e raccomanda
di aggiornare il firmware di router e access point per usare il
WPA.
Inoltre sembra che l’aggiornamento 815485 (http://support.microsoft.com/default.as
px?scid=kb;en-us;815485), ovvero il supporto WPA per XP,
possa creare problemi se poi
non si abilita il WPA su access
point e schede.
Antivirus e firewall
Molti utenti hanno il dente
avvelenato contro questo o
quel produttore di antivirus e
firewall, citando situazioni in
cui la disinstallazione di questi
software ha risolto i propri problemi. In proposito ci limitiamo
a osservare che sul notebook
aggiornato a SP2, Zone Alarm
Pro 5.1 e il gratuito AntiVir 6
funzionano egregiamente e sono riconosciuti da XP2 nella finestra Centro sicurezza PC, dove compaiono come attivati (a
differenza di Norton firewall e
antivirus, che verranno aggiornati a tale scopo).
Software che non funziona
Microsoft ha pubblicato il
documento Alcuni programmi
si bloccano dopo l'installazione
di Windows XP Service Pack 2
(http://support.microsoft.com/
default.aspx?kbid=842242), che
include una lista di una cinquantina di programmi di vario
genere, anche di Microsoft.
Una causa comune è il funzionamento piuttosto grezzo del
Windows Firewall, che blocca
le connessioni e non si crea un
database delle porte utilizzate
dalle applicazioni che accedono a Internet.
Il documento citato insegna
a usare il comando Netstat (un
comando per amministratori
usato in finestra prompt) per
identificare le porte da aprire e
spiega come aprire manualmente le porte usando il programma di configurazione del
firewall. Per soli 39,50 dollari,
Zone Alarm Pro offre firewall e
intrusion detection e non chiede all’utente di diventare un
tecnico.
Se optate per l’uso del Windows Firewall, può esservi utile leggere il documento Troubleshooting Windows Firewall
settings in Windows XP Service
Pack 2 (Soluzione dei problemi
derivanti dalle impostazioni di
Windows Firewall nel Service
Pack 2 di Windows XP,
http://support.microsoft.com/
default.aspx?scid=kb;enus;875357).
Un altro documento di Microsoft si chiama Programs that
are known to experience a loss
of functionality when they run
on a Windows XP Service Pack
2-based computer (Programmi
che notoriamente accusano
una perdita di funzionalità
quando sono eseguiti su un
computer con Windows XP
Service Pack 2, http://support.microsoft.com/default.as
px?scid=kb;en-us;884130) ed
elenca 38 programmi noti per
non funzionare o funzionare in
parte sotto l’SP2.
La lista include parecchi antivirus, firewall e utility di protezione. I problemi elencati sono per lo più impossibilità di
installazione, impossibilità di
disinstallazione, mancata esecuzione, vari Stop error (per
esempio crash del PC all’avvio
se è installto GoBack del 2003)
e altro; vi consigliamo di controllare se usate programmi citati nel documento.
Microsoft ha messo le mani
avanti elencando parecchi programmi che non vanno a nozze
con SP2 e raccomandando di
consultare i produttori delle
applicazioni prima di installare
l’SP2. Probabilmente non incontrerete gravi problemi con
l’SP2 ma, oltre a informarvi prima dell’installazione, potreste
decidere di sbarazzarvi di un
po’ di software vecchio e poco
usato.
Messenger
Continua sui media, persino
in certi documenti di Microsoft, la confusione tra Windows Messenger (l’utility di comunicazione istantanea testo/audio/video di Windows
XP, che richiede un account
.NET Passport) e il servizio di
sistema Messenger, che non
ha niente a che fare con Windows Messenger e che serve a
trasmettere messaggi (solitamente di tipo amministrativo)
di Net Send e del servizio Alerter. Negli ultimi tempi qualche
malware ha iniziato ad abusare
di Messenger per inviare popup invadenti sullo schermo.
Con l’SP2 Messenger per default è disattivato. Se avrete bisogno di inviare messaggi
istantanei ai computer in rete
(per esempio Net send Giovanni Devo chiudere Internet per 15
minuti. Giorgio), dovrete prima
riattivare Messenger sui PC interessati.
Potete usare Start, Esegui,
services.msc e quindi abilitare
Messenger come automatico e
avviarlo. Questo servizio di
messaggistica immediata può
essere fastidioso su un PC privo di protezioni e in preda al
malware, mentre è utile per
scambiare messaggi immediati
in rete che balzano in primo
piano e non possono essere
ignorati.
DivX
DivX 5.2.1, DivX Pro 5.2.1 e
Dr DivX 1.0.6 sono le nuove
versioni compatibili con Windows XP SP2. Si possono scaricare da www.divx.com.
Google Toolbar
Dopo l’installazione dell’SP2
abbiamo visto sparire la finestra dei popup bloccati dalla
barra di Google. Disinstallando
in Installazione applicazioni
(nel Pannello di controllo) Google Toolbar e reinstallandola
dal sito di Google (http://toolbar.google.com/intl/it/), ricompare la finestra dei popup bloccati. E’ interessante notare che
certi popup sono bloccati da
Internet Explorer (la versione
SP2), mentre altri sono bloccati dalla Google Toolbar.
Nero
Se usate Nero per registrare
su CD e DVD, dovete scaricare
l’ultimo aggiornamento per la
compatibilità con SP2. Se usate
Nero per i backup, è bene che
lo aggiorniate prima di installare l’SP2.
La prossima puntata
Speriamo che questa raccolta di informazioni e di esperienze vi aiuti a inquadrare il
problema della protezione dalle insidie di Internet e a decidere come procedere per aggiornare Windows XP.
Nella prossima puntata affrontiamo l’argomento firewall
e rilevazione delle intrusioni;
mostreremo che cosa offre l’SP2, che cosa manca, come si
usa il Windows Firewall, quali
sono gli inconvenienti e quali
sono le soluzioni alternative
che possono rivelarsi più efficaci.
2a lezione
Windows xp2
Windows XP2
istruzioni per l’uso
Il Windows Firewall dell’SP2,
evoluzione dell’ICF
di Windows XP,
è una prima barriera
contro le minacce provenienti
da Internet; vediamo limiti,
rischi e altre soluzioni
ella prima puntata abbiamo chiarito che la protezione di Windows è un
processo costante, che si sviluppa su più fronti. Innanzi tutto c’è la vastità e complessità
del sistema operativo: anche
una piccola percentuale di errori o di situazioni anomale
non previste può creare delle
falle nella sicurezza del sistema
(questo accade regolarmente).
Poi c’è la relativa fragilità
meccanica dei computer, che
tuttora conservano i dati su dischi magnetici soggetti a usura
e guasti improvvisi. Infine c’è
l’azione malvagia di chi scrive
software distruttivo, il cosiddetto malware di cui abbiamo
censito le principali manifestazioni nella scorsa puntata. Per
introdurre del software dannoso nel vostro computer, vengono usati diversi mezzi: la posta
elettronica, l’azione di autoreplicazione di virus e worm, la
scansione delle porte Internet,
i trucchi per indurre l’utente a
eseguire una certa azione o a
fornire certe informazioni, ma
a volte può bastare la semplice
navigazione in Internet o l’apertura di un messaggio e-mail
in HTML.
N
Dopo ogni annuncio della
scoperta di una falla di sicurezza in Windows o nelle principali applicazioni, inizia la gara tra
chi sfrutta la falla per fare danni, chi deve riparare la falla
(per lo più Microsoft) e chi deve estendere i vari software di
protezione (antivirus e così
via) per riconoscere e neutralizzare la nuova minaccia.
Prima di parlare di firewall,
che sono essenzialmente strumenti di protezione da attacchi
esterni, non dobbiamo dimenticare che gli attacchi provenienti dall’interno di un’organizzazione sono altrettanto pericolosi. Un sondaggio in una
delle maggiori università americane ci insegna che il 75% degli studenti rivela ad altri la
propria password. Analogamente, negli uffici le password
vengono spesso lasciate in
pubblico (sotto la tastiera, sotto il tavolo, nel cassetto e così
via) e a volte non sono neppure assegnate individualmente.
Un’altra minaccia proveniente
dall’interno è l’uso di notebook
per collegarsi a Internet durante viaggi e trasferte. Spesso i
PC, soprattutto quelli dei manager, non sono equipaggiati
di Giorgio Gobbi
Lezione 1:
Le prossime puntate
- Concetti generali di sicurezza
Lezione 3:
2:
Lezione
con firewall e antivirus aggiornati, quindi vengono rapidamente infettati durante la navigazione in Internet e propagano l’infezione quando sono riconnessi alla rete aziendale.
Una minaccia interna è anche
l’installazione non autorizzata
di un access point da parte di
un impiegato volonteroso che
vuole migliorare l’accesso alla
rete wireless aziendale; se l’acces point non è protetto, diventa una porta aperta persino
nella rete più sicura.
Tutto questo ci suggerisce
che per proteggere un sistema
o una rete, ed evitare che i dati
prendano il volo o che i computer vengano danneggiati o
cadano sotto il controllo remoto di malintenzionati, occorrono diverse azioni preventive:
l’uso di sistemi operativi protetti da password (ormai anche
la legge sulla privacy lo impone), l’adozione di adeguate procedure di backup, l’educazione
degli utenti alla riservatezza,
l’installazione di firewall
hardware e/o software per impedire attacchi esterni, l’uso di
antivirus e anti-spyware aggiornati su ogni computer e,
aspetto fondamentale, la sensi-
Internet Explorer e Outlook
Express
Lezione 4:
di Windows XP
bilizzazione degli utenti riguardo la navigazione Internet, l’uso dell’e-mail e degli allegati, il
download di file eseguibili e l’apertura o esecuzione di file di
provenienza non garantita.
Senza l’educazione e la vigilanza dell’utente, tutte le altre
difese perdono di efficacia, perché per ogni forma di difesa
vengono inventati nuovi attacchi che si mimetizzano da oggetti leciti (a volte trasmessi in
modo frazionato, come nel
contrabbando di ordigni sotto
forma di parti staccate). In altre parole, se cliccate su tutto
ciò che Internet vi propone, è
improbabile che il vostro PC
sopravviva a lungo, per quanto
siate arroccati tra firewall e antivirus (che sono i primi programmi che il malware cerca di
disattivare). Tutte queste considerazioni trovano un’eco nella legge 196/2003, che codifica
le responsabilità del trattamento dei dati personali, inclusa la protezione dei dati e dell’accesso ai computer.
Attacchi esterni
Il termine firewall, tradotto
letteralmente come “paratia
antifiamma”, evoca il concetto
2a lezione
Windows xp2
In questo schema di fonte Microsoft, nel PC che funge da
gateway si vedono il Windows Firewall e la funzione di
Condivisione connessione Internet (ICS), interposti tra
l’interfacciA di rete esterna (modem verso Internet) e
l’interfaccia di rete interna, connessa agli altri PC attraverso
uno switch Ethernet (non mostrato)
di una barriera che impedisce
la propagazione di un pericolo.
Specialmente anni fa, quando
Internet non era ancora un terreno di coltura per attacchi di
ogni genere, c’era l’impressione che un firewall fosse una linea di difesa che permettesse
Se il computer non funge da gateway, come in questo caso,
non è necessaria la condivisione della connessione Internet e il
firewall si trova frapposto tra l’unica connessione di rete (a
Internet) e le applicazioni che accedono a Internet
sonni tranquilli. Non trascorse
molto tempo prima che l’idea
del firewall fosse associata alla
linea Maginot, l’invalicabile fortificazione eretta dalla Francia
negli anni ’30 per impedire
un’invasione tedesca. La linea
Maginot era formidabile, ma fu
prontamente aggirata quando
la Germania invase la Francia
passando dal Belgio. Un firewall è un primo deterrente
per bloccare gli attacchi frontali, cioè i pacchetti di dati più
facilmente riconoscibili come
ostili, ma per gli attacchi meno
evidenti occorre affiancare ai firewall tradizionali altri strumenti di ispezione più sofisticati, capaci di distinguere
un’intrusione dal traffico lecito. Paradossalmente, a parità
di comportamenti degli utenti,
è più facile proteggere singoli
PC o una piccola rete rispetto a
una rete aziendale, perché il
singolo utente può permettersi
di installare e tenere aggiornato uno schieramento di programmi di difesa (firewall con
prevenzione delle intrusioni,
antivirus, anti-spyware e via dicendo), mentre l’azienda, per
motivi logistici ed economici,
tende a installare un firewall
centrale (spesso privo di un efficace sistema di riconoscimento delle intrusioni) e un antivirus su ogni computer, contando sul fatto che gli impiegati non dovrebbero passare il
tempo a curiosare in Internet.
Nel corso del tempo, i firewall hanno subito un’evoluzione e diversificazione, volta a
rendere più efficace la capacità di bloccare il traffico indesiderato e filtrare e instradare
in modo personalizzato il traffico lecito. Per inquadrare virtù
e manchevolezze del Windows
Firewall, iniziamo con un’introduzione generale, dove faccciamo conoscenza con i tipi
fondamentali di firewall.
1 Il firewall, il controllore del traffico
firewall sono sistemi o dispositivi o programmi che controllano il traffico tra reti caratterizzate da diversi livelli di
sicurezza. Attualmente si parla
di firewall soprattutto nel contesto della connettività Internet e della famiglia di protocolli TCP/IP. Per esempio, la vostra rete locale domestica formata da un desktop e da un notebook connessi via Ethernet, è
considerata sicura, perché ne
controllate gli accessi; quando
installate un modem-router ADSL e lo collegate all’hub o switch a cui sono connessi i due
computer, state mettendo in
comunicazione una rete fidata
(la LAN) con una rete insicura
(Internet). Per impedire che anche la LAN diventi insicura, facile preda per attacchi e infe-
I
zioni, mettete una parete divisoria tra le due reti, cioè il firewall. A parte Internet, un firewall può essere usato per limitare e proteggere la connettività fra reti di qualsiasi tipo,
come ad esempio una sottorete aperta al pubblico e la sottorete dell’amministrazione.
Usato per proteggere la connessione a Internet, un firewall
limita le possibilità di sfruttare
le vulnerabilità intrinseche dei
protocolli TCP/IP e, in qualche
misura, può contribuire a mitigare i problemi di sicurezza di
un sistema insicuro, come ad
esempio un’installazione Windows che non sia mantenuta
aggiornata con tutte le patch
critiche. Con Windows XP2, Microsoft sta cercando di persuadere gli utenti, quasi in modo
ossessivo, ad impostare il
download e l’installazione automatica degli aggiornamenti,
proprio per limitare le falle
aperte al mondo esterno.
Ci sono diversi tipi di firewall. Il firewall più semplice è
poco più di un router (dispositivo che interconnette reti diverse) e si limita a filtrare i pacchetti IP in transito. Firewall
più potenti riescono a neutralizzare un insieme più ampio di
vulnerabilità TCP/IP e i firewall I sette strati del
modello OSI (Open
Systems
Interconnect),
un’astrazione delle
comunicazioni di
rete
2a lezione
Gli strati OSI di interesse per il funzionamento dei firewall
di classe superiore offrono
un’ulteriore protezione perché
ispezionano il contenuto di dati dei pacchetti, anziché soltanto alcuni campi della testata. Il livello di protezione richiesto, il numero di utenti, la
banda passante supportata e la
disponibilità di altre funzionalità determina la scelta del firewall, nell’ambito della spesa
sostenibile.
Un modo per confrontare le
diverse categorie di firewall
consiste nel considerare gli
strati del modello di riferimento OSI (Open Systems Interconnect), un’astrazione delle comunicazioni in rete tra
computer e dispositivi di
networking.
Dal basso in alto, i setti strati OSI sono: 1) fisico, 2) data
link (collegamento), 3) rete, 4)
trasporto, 5) sessione, 6) presentazione e 7) applicazione.
Lo strato fisico rappresenta
l’hardware e il mezzo della comunicazione fisica, come ad
esempio Ethernet. Lo strato
data link è quello che caratterizza il traffico dentro una rete
locale (LAN) ed è il primo strato di indirizzamento dei computer e dispositivi di rete; le interfacce di rete di ogni PC, switch, router, firewall ecc. sono
identificate da un numero di 48
bit chiamato indirizzo MAC
(Media Access Control). Lo strato rete si occupa del traffico su
network geografici (WAN, Wide
Area Network); su Internet gli
indirizzi di strato 3 sono chiamati indirizzi IP (Internet Protocol), dal nome del protocollo
usato a questo strato. Lo strato
trasporto identifica specifiche
sessioni di comunicazione tra
applicazioni; un sistema può
avere in corso qualsiasi numero di sessioni di strato 4 con altri sistemi sulla stessa rete. La
terminologia TCP/IP include il
concetto di porte, che possono
essere viste come i punti terminali delle sessioni; un nume-
ro di source port (porta di origine) identifica la sessione di
comunicazione sul sistema di
origine e una destination port
(porta di destinazione) identifica la sessione di comunicazione sul sistema di destinazione. Gli strati da 5 a 7 rappresentano sistemi e applicazioni orientate all’utente.
Tipi di firewall
I firewall di base operano su
un numero limitato di strati
OSI, mentre quelli più completi
e avanzati coprono un maggior
numero di strati. I firewall capaci di esaminare un numero
superiore di strati sono più efficaci, permettono una maggiore flessibilità nella configurazione e supportano più protocolli e applicazioni. Un firewall
che opera agli strati 2 e 3 non
distingue tra utenti diversi,
mentre un firewall che ispeziona lo strato applicativo può occuparsi dell’autenticazione degli utenti e inviare segnalazioni
a specifici utenti.
Packet Filter
Il tipo di firewall più elementare si chiama Packet Filter (filtro di pacchetti). Di base è un
dispositivo di routing (connessione tra reti diverse, allo strato 3) che include una funzione
di controllo degli accessi governata da un insieme di regole
(ruleset). Il controllo degli accessi si basa sulle informazioni
chiave contenute nei pacchetti
trasmessi in rete: indirizzo IP
d’origine, indirizzo IP di destinazione, tipo di traffico (il protocollo usato per comunicare),
alcune eventuali caratteristiche delle sessioni di strato 4
(come le porte di origine e destinazione) e, talvolta, l’interfaccia del router da cui proviene il pacchetto e l’interfaccia
del router a cui il pacchetto è
destinato.
I packet filter sono molto veloci e flessibili; in un’azienda si
2a lezione
Windows xp2
Il FireWall-1 di Check Point intercetta, analizza e prende provvedimenti su tutte
le comunicazioni prima che entrino nella rete; a differenza degli altri produttori,
Check Point interpreta la stateful inspection come un’analisi
completa dei pacchetti,
incluso il campo
dati, fino allo strato
applicativo
dei protocolli
Un esempio di
collocazione di un
packet filter al confine
esterno della rete
prestano a essere collocati al
confine, tra il provider Internet
e l’intera rete (che spesso contiene altri tipi di firewall). I
packet filter bloccano certi attacchi, filtrano alcuni protocolli indesiderati e lasciano che il
traffico venga filtrato da altri firewall su più strati OSI; essi
non impediscono attacchi basati su funzioni o vulnerabilità
proprie dello strato applicativo.
Vediamo un esempio semplificato di ruleset (l’insieme di
regole) di un packet filter usato
per filtrare il traffico periferico
di un’azienda, tra la rete locale
e il provider Internet. Teniamo
presente che i numeri di porta
fino a 1023 sono quelli corrispondenti a note applicazioni
TCP/IP (come 25 per l’SNMP
usato dai server di posta e 80
per l’HTTP usato dai Web server), mentre i numeri di porta
superiori a 1023 sono usati sui
PC locali come porte di origine
della comunicazione.
In questo esempio didattico
le regole, eseguite in sequenza
finché una condizione non si
avvera, potrebbero essere: 1)
se l’IP di destinazione del pacchetto è sulla rete locale e la
porta di destinazione è maggiore di 1023 (quindi si tratta
della risposta a una comunicazione originata localmente), lascia entrare il pacchetto, 2) se
l’IP di origine è quello del firewall, blocca il pacchetto, 3)
se l’IP di destinazione è quello
del firewall, blocca il pacchetto, 4) se l’IP di origine è sulla rete locale, lascia uscire il pacchetto, 5) se l’indirizzo di destinazione è quello del mail ser-
ver locale e la porta di destinazione è quella usata dal protocollo SNMP di posta, lascia entrare il pacchetto, 6) se l’indirizzo di destinazione è quello
del Web server locale e la porta di destinazione è quella usata per il protocollo HTTP
(Web), lascia entrare il pacchetto, 7) blocca qualunque altro pacchetto che non risponde alle regole precedenti.
In questo piccolo esempio, il
comportamento del firewall
segue tre criteri fondamentali:
1) lasciare uscire qualunque
pacchetto, 2) lasciare entrare
solo i pacchetti che giungono
in risposta a una comunicazione originata dal computer locale e 3) lasciare entrare i pacchetti destinati ai server di posta e web locali (tutto il resto
viene bloccato). Nella realtà,
un ruleset comprende un lungo
elenco di regole, che possono
essere personalizzate dall’utente o dall’amministratore.
In questo scenario è normale installare, oltre a un packet
filter di confine, un altro firewall più accurato, tra l’interno della rete locale e la zona
periferica dove si trovano i server accessibili da Internet. In
questo modo, anche se i server
venissero compromessi da attacchi esterni, il resto della rete locale rimarrebbe isolato e
protetto. Questo risponde al
criterio iniziale di installare un
firewall tra due o più reti con
diverse caratteristiche di sicurezza.
Stateful Inspection
Nel proseguire nella nostra
schematizzazione tra i tipi fon-
damentali di firewall, ci imbattiamo in un termine che non ha
una definizione univoca e che
non corrisponde necessariamente al punto di vista di
Check Point, il principale produttore di firewall, che dichiara
di avere inventato e brevettato
la Stateful Inspection. La stateful inspection è l’ispezione dei
pacchetti non solo individualmente ma come parte di una
sessione di comunicazione. I firewall di Check Point adottano
un mix di tecnologie che realizzano un esame assai approfondito di ogni pacchetto, che va
ben oltre il concetto usuale (e
diluito) di stateful inspection,
comunque il principio generale
resta valido.
La stateful inspection di
Check Point si basa sull’intercettazione dei pacchetti allo
strato 3 e sull’esame dei contenuti fino allo strato applicativo.
Nell’accezione comune, un firewall è considerato di tipo stateful inspection quando incorpora l’ispezione dei dati di strato 4 (trasporto, dove operano i
protocolli TCP e UDP). Quando
un’applicazione TCP crea una
sessione con un host remoto,
nel sistema di origine viene
creata una porta con lo scopo
di ricevere i pacchetti di risposta dal sistema di destinazione.
Questa porta locale deve avere
un numero compreso tra 1024
e 16383, mentre la porta di destinazione avrà numero inferiore a 1024.
Come abbiamo visto sopra
nell’esempio di ruleset, un
packet filter lascia passare tutto il traffico entrante diretto alle porte superiori a 1023,
creando un forte rischio di intrusione da parte di utenti non
autorizzati. I firewall stateful
inspection risolvono il problema creando un elenco delle
connessioni TCP in uscita con
associato il numero di porta di
ritorno (maggiore di 1023). Se
un pacchetto in arrivo su un
numero di porta alto non
(maggiore di 1023) non risulta
rispondere a una comunicazione originata localmente, viene
scartato.
Un altro esempio di intervento della stateful inspection
è la verifica che sia rispettato il
formato di inizio e fine trasmissione. Un dialogo TCP tra due
sistemi inizia con l’invio di un
pacchetto SYN (sincronizza), a
cui viene risposto con un pacchetto SYN/ACK (sincronizzazione e riconoscimento), dopo
di che il primo computer invia
un secondo SYN di riconoscimento all’ACK (i SYN sono numerati) e inizia la comunicazione fino al pacchetto FIN finale (il TCP prevede anche altri
stati). La stateful inspection
blocca un dialogo che inizi con
un pacchetto di risposta, se la
richiesta non è mai avvenuta,
così il sistema ostile non riceve
un messaggio di errore che rivelerebbe informazioni utili
per organizzare un attacco.
La stateful inspection è adottata dalla maggior parte dei firewall hardware e software (sia
pure con una grande variabilità
di funzioni supportate), incluso il Windows Firewall.
Application-Proxy Gateway
Questo tipo di firewall (detto
anche in breve proxy firewall), 2a lezione
Windows xp2
è utilizzato da un certo numero
di produttori per i loro modelli
più avanzati e costosi. Oltre alle funzioni viste sopra, un firewall di questo tipo include l’ispezione dello strato applicativo, così da verificare che per
ciascuna delle principali applicazioni TCP/IP (SMTP, HTTP,
FTP, DNS e tante altre), i protocolli vengano rispettati alla lettera senza deviazioni che potrebbero nascondere attacchi
o lo sfruttamento di note vulnerabilità.
Il concetto di proxy è quello
di un server che risiede tra
un’applicazione client, come
un browser, e un reale server,
per esempio un Web server; al
server il proxy appare come se
fosse il client, mentre al client
esso appare come se fosse il
vero server. Si usano server
proxy per due motivi: migliorare le prestazioni (per esempio
conservando localmente le pagine Web di accesso frequente)
e filtrare le richieste, come avviene in un firewall proxy.
Un firewall proxy esamina
non solo la testata dei pacchetti, come avviene nella stateful
inspection, ma anche il loro
“carico utile”, cioè il campo dati. In questo modo il firewall
può riconoscere contenuti dannosi (per esempio codice eseguibile) e modificarli o bloccarli. Per fare questo, un proxy
firewall deve contenere un modulo software (chiamato agente) per ciascun tipo di applicazione da monitorare e filtrare;
su alcuni firewall proxy, il nu-
mero di agenti può raggiungere
la ventina. Certi produttori affermano che solo un proxy firewall ispeziona il contenuto
dei pacchetti entrando nel merito dello strato applicativo;
Check Point, viceversa, esegue
questa azione senza proxy e la
definisce Stateful Inspection.
La differenza sta nel fatto che
un proxy introduce un elemento aggiuntivo che spezza il modello client/server, rende più rigida la configurazione, è limitato nelle applicazioni supportate e ha prestazioni inferiori, anche se offre un analogo livello
di sicurezza. Il modello di
Check Point abbina la buona sicurezza all’estendibilità e alle
alte prestazioni, il che spiega
perché è il preferito dalle grandi aziende.
Quale sia il nome, l’ispezione
dei pacchetti allo strato applicativo permette di controllare
qualunque cosa e in particolare di eseguire l’autenticazione
degli utenti in uno dei tanti
modi
possibili
(tramite
user/password, dispositivi
hardware o certificati, indirizzo
o periferica biometrica).
Ibridi
Per brevità, non entriamo in
ulteriori dettagli sui tipi di firewall, che spesso sono un ibrido di varie tecnologie. Spesso
si trovano firewall di tipo stateful inspection che incorporano
alcune funzioni dei proxy firewall con l’obiettivo di proteggere il sistema dalle sue vulnerabilità (in particolare quelle
di Windows) e allo scopo di offrire funzioni di autenticazioni
e di logging più dettagliato (la
registrazione delle azioni eseguite dal firewall).
Personal firewall
Quando un nuovo programma cerca di
accedere a Internet, ZoneAlarm chiede se
autorizzarlo e, in tal caso, per una volta o
per sempre; per fare una scelta, l’utente
può consultare le proprietà del
programma e chiedere ulteriori
informazioni
Il firewall ZoneAlarm, appena riconosce una nuova rete, la classifica tra Internet
(insicura) e trusted (sicura)
Nella gamma di prezzi da 0 a
100.000 euro dei firewall, qui ci
interessano soprattutto i prodotti gratuiti e di basso costo
per uso personale, tutti di tipo
software. Partendo da zero, oltre al firewall incluso in Windows XP c’è una serie di firewall di base gratuiti che potete scaricare da Internet, come ZoneAlarm, il più popolare, e quelli di Sygate, Kerio e
Agnitum. Questi produttori
promuovono il loro software
commerciale offrendo le versioni gratuite per uso personale, mentre le versioni a pagamento complete sono paragonabili a quelle di prodotti
ZoneAlarm tiene una tabella dei diritti di accesso a Internet, alla rete locale e alla
spedizione di posta, con la possibilità di personalizzare i diritti in ricezione e in
trasmissione
esclusivamente commerciali
come Norton Personal Firewall
e McAfee Personal Firewall.
I firewall software per uso
personale che riscuotono maggiore apprezzamento sono ZoneAlarm Pro e Norton Personal
Firewall, venduti anche in una
suite di protezione che include
antivirus, difesa della privacy e
altro. Li abbiamo usati entrambi con soddisfazione, anche se
preferiamo ZoneAlarm Pro
perché non impone la Product
Activation, che non si addice a
chi cambia configurazione di
frequente. Inoltre, comunicando il numero di una vecchia licenza per un software di Norton o McAfee, si usufruisce del
Competitive Upgrade: con 40
dollari (circa 33 euro) si acquista on line l’intera ZoneAlarm
Security Suite, comprendente
firewall, antivirus, protezione
dell’identità e della privacy e
protezione dell’e-mail e del
contenuto delle comunicazioni. Una soluzione integrata facilita il rinnovo delle licenze
annuali, che danno diritto agli
aggiornamenti del software e
dei descrittori dei virus.
I personal firewall a pagamento, oltre alla stateful inspection di base, includono
protezioni specifiche contro
cavalli di Troia, backdoor e
falle di Windows; in altre parole, eseguono una funzione di
prevenzione contro le intrusioni che nei firewall aziendali è
2a lezione
Windows xp2
Questo è il messaggio con cui ZoneAlarm
informa che ha bloccato un tentativo di
intrusione da parte dell’IP specificato;
fino a 500 alert possono essere tenuti
aperti e consultabili
appena abbozzata o fornita sui
modelli più costosi. Quindi non
è raro trovare un firewall
hardware che protegge il confine di una rete e i firewall personali che proteggono i singoli
PC a un livello più capillare,
che include il filtro dei pacchetti in uscita.
Il filtro del traffico uscente
solitamente non viene eseguito
dai firewall hardware, ma è importante per impedire che il
PC, qualora cada sotto il controllo di uno spyware o altro
malware sfuggito ai controlli,
cominci a inviare all’esterno
dati, attacchi e infezioni. Il Win-
Questo è il messaggio con cui ZoneAlarm
informa di avere bloccato una o più
intrusioni nella privacy; in questo
esempio da record, ha bloccato,
all’apertura di una pagina Web, cookie
invadenti, pubblicità, animazioni, Web
bug e l’accesso a informazioni private
dows Firewall non filtra i pacchetti in uscita, quindi non
protegge il sistema se qualche
attacco, penetrato mimetizzandosi in mezzo al traffico delle
applicazioni, inizia a “chiamare
casa” per mettere il PC sotto
controllo remoto, inviando dati e file locali, propagando
worm e sferrando attacchi a
server su Internet.
Con un firewall come ZoneAlarm o Norton, quando un programma non autorizzato cerca
di accedere a Internet, compare un messaggio con cui potete
bloccare la comunicazione. Nel
caso di ZoneAlarm, il messaggio consiglia sul da farsi e permette di raccogliere informazioni che aiutano a capire se il
programma è lecito o rappresenta una minaccia, specialmente quando si tratta di un
modulo software di basso livello o dal nome sconosciuto.
Sui firewall hardware è comunque possibile aggiungere
regole per bloccare il traffico in
uscita se non appartiene a una
lista di categorie ammesse, per
esempio HTTP e HTTPS per il
Web, DNS, FTP e PPTP (per
utenti remoti su reti private virtuali).
Firewall hardware
Nelle impostazioni avanzate di
ZoneAlarm, l’utente specifica se il PC
sfrutta la Condivisione connessione
Internet (ICS) di Windows XP e, in tal
caso, se è un client o il gateway (il PC
collegato al modem), dopo di che
ZoneAlarm configura la condivisione delle
risorse senza che l’utente debba fare
nient’altro
Funzioni firewall di base sono spesso incluse nei router e
gateway ADSL, sia Ethernet
che wireless, con prezzi che
partono da meno di 100 euro. I
firewall hardware sono disponibili a tutti i livelli di prezzo,
secondo le funzioni che svolgono e la loro capacità di elaborazione (banda passante, capacità di crittografia e così
via). Per una piccola azienda,
un firewall di categoria SOHO
IPCop è un popolare firewall gratuito basato su una distribuzione Linux essenziale e su
un corredo di funzioni aggiuntive, tra cui la rilevazione delle intrusioni con Snort e il
supporto delle reti wireless
(Small Office - Home Office) costa qualche centinaio di euro
se il numero di utenti non supera la decina. Ci si avvicina ai
700 euro se si acquista un modello dotato di IPS (Intrusion
Prevention System) e antivirus.
Alcuni esempi in questa categoria (che vede numerosi prodotti e produttori) sono i firewall SnapGear di CyberGuard (www.snapgear.it), Safe@Office di Check Point
(www.checkpoint.com), Juniper NetScreen-5GT Enhanced
(www.juniper. net) e l’F25AV di
NetAsq (www.netasq.it), dotato di IPS e antivirus.
Una caratteristica dei firewall hardware, come pure
dei router e gateway per Ethernet o wireless, è il supporto per
una serie di servizi aggiuntivi.
Quelli fondamentali sono il server DHCP (Dynamic Host Configuration Protocol, che esegue
l’assegnazione dinamica degli
indirizzi IP ai computer in rete
che non hanno un IP predefinito) e il supporto NAT (Network
Address Translation, il meccanismo che permette a più computer in rete di condividere un
indirizzo IP pubblico traducendo gli indirizzi IP privati, non visibili da Internet, nell’indirizzo
IP pubblico).
Un altro servizio importante
svolto dai firewall (tranne i più
economici), è la funzione di
server VPN (Virtual Private
Network), che permette di ricevere comunicazioni sicure
(crittografate), da PC remoti o
succursali periferiche di un’azienda attraverso Internet. Il
numero di comunicazioni VPN
simultanee, la banda passante
del traffico VPN e la potenza
dell’hardware di cifratura/decifratura sono altri elementi
che determinano il prezzo di
un firewall.
Non necessariamente i firewall di livello superiore sono
di tipo hardware; possono essere di tipo software ospitati
da sistemi operativi come Linux o Windows Server.
Firewall Linux
Linux può essere utilizzato
come firewall in diversi modi.
Esistono versioni specifiche di
alcune distribuzioni che sono
personalizzate per l’uso come
firewall. Poi ci sono i tanti firewall hardware con Linux embedded, che offre la flessibilità
di Linux e il relativo linguaggio
di definizione delle regole firewall. Infine c’è un esempio
brillante di firewall software
basato su una distribuzione Linux ridotta all’osso (anche per
motivi di sicurezza); si chiama
IPCop (poliziotto dell’IP) e l’immagine ISO del CD (che installa
Linux e il firewall in pochi minuti) è scaricabile da www.ipcop.org (40 MB). È appena
uscita la release 1.4, che supporta le reti wireless, il backup
via rete e altro. IPCop funziona
egregiamente anche su un vecchio PC in disuso.
2a lezione
Windows xp2
2 IDS e IPS, così si rilevano le intrusioni
entre i firewall tradizionali sono diventati sempre più trasparenti per i
nuovi tipi di attacchi dall’esterno, si sono sviluppate parallelamente le tecniche di rilevamento delle intrusioni, che
oggi, almeno in parte, tendono
a convergere con i firewall.
La rilevazione delle intrusioni è il processo di monitoraggio degli eventi che accadono in un computer o in una rete alla ricerca di segni di intrusione, ovvero tentativi di compromettere la confidenzialità o
integrità dei dati o di scavalcare i meccanismi di sicurezza.
Questi attacchi possono venire da Internet o da utenti autorizzati che cercano di procurarsi privilegi superiori a quelli assegnati o che fanno cattivo
uso dei loro privilegi.
M
Intrusion Detection System
Un IDS (Intrusion Detection
System, sistema di rilevazione
delle intrusioni) può agire nell’ambito di un computer, di un
nodo di rete o può anche ana-
lizzare l’intero traffico di rete a
caccia di anomalie; esistono
anche altre tipologie di IDS basate su singole applicazioni o
sul riconoscimento di anomalie o eventi specifici. Un IDS
non blocca la minaccia, ma la
riconosce e la registra, lasciando a chi analizza le registrazioni la scelta delle azioni da intraprendere.
Idealmente, in una rete
aziendale dovrebbero esserci
più IDS per monitorare il traffico nelle varie zone, per esempio a ridosso di Internet, all’interno del router o firewall periferico (nella zona del Web server) e all’interno della rete locale (probabilmente dopo un
secondo firewall). In un’installazione ad alto livello di sicurezza i sistemi IDS sono dispiegati in tutti i punti chiave della
rete. Il più diffuso software IDS
è di tipo Open Source e si chiama Snort. È incluso in diversi
firewall sia hardware sia
software ed è scaricabile gratuitamente da www.snort.org.
Oltre alla versione per Linux,
che è l’ambiente naturale di
Snort, esiste la versione anche
per Windows.
Snort rileva i segni d’intrusione e li mette a disposizione
per l’analisi. Idealmente, l’analisi dei report di Snort viene
eseguita da un’applicazione
che si chiama Acid (Analysis
Console for Intrusion Databases) ed è reperibile presso
http://acidlab.sourceforge.net.
La sua installazione richiede
un ambiente con una serie di
applicazioni tra cui PHP, MySql,
il Web server Apache e una serie di altri moduli, tutti disponibili su piattaforma Linux.
Se volete fare esperimenti
con software gratuito IDS e IPS,
potete esplorare, oltre al mondo di Snort e Acid, i programmi
Prevx (www.prevx.com), SnoopNetCop (www.snoopanalyzer.com), Aide (http://sourceforge.net/projects/aide/),
Prelude (www.prelude-ids.org),
Foundstone Attacker, Foundtsone Carbonite e Foundstone
Filewatch (www.foundstone.
com).
Intrusion Prevention Systems
Mentre i sistemi IDS sono
prevalentemente autonomi e
sono collocati in vari punti di
una rete per sorvegliarne la sicurezza, senza bloccare le intrusioni, i sistemi IPS riconoscono e bloccano le intrusioni
e sono solitamente integrati
nei firewall di livello superiore.
Il loro compito è di aprire i pacchetti in transito, esaminarne il
contenuto e mettere a confronto le informazioni della testata
con quelle del campo dati, in
conformità a ciascuno dei protocolli utilizzati. Per un’azienda
che non possa permettersi di
dotare ogni singolo PC di un firewall software completo, un firewall centralizzato con funzioni IPS è la soluzione più efficace. Per l’uso personale e la
piccola azienda, le versioni
commerciali (a pagamento) dei
personal firewall citati in precedenza offrono un’ottima protezione dalle intrusioni (resta
sempre la necessità di installare sui PC antivirus e antispyware).
3 Windows Firewall, già pronto all’uso
differenza dell’ICF (Firewall connessione Internet) originario di XP, il
Windows Firewall dell’SP2 è attivo per default, ma può essere
disattivato dall’utente o dal
programma di installazione di
un altro firewall software oppure da un malware che approfitti dell’interfaccia software
gentilmente messa a disposizione da Microsoft.
Una caratteristica apprezzabile del Windows Firewall è
quella della sua attivazione prima che vengano inizializzate le
funzioni di rete, proteggendo il
sistema durante quel breve periodo di tempo in cui esso è
vulnerabile. Gli altri firewall
software non offrono questa
protezione, ma se vi preoccupa
la possibilità di essere allo scoperto per alcuni secondi, ogni
volta che avviate Windows, potete utilizzare un firewall
hardware a ridosso del modem
o integrato nel router o ga-
A
teway di accesso a Internet, così da avere una difesa di base
sempre attiva.
Mentre l’ICF veniva attivato
ed eventualmente personalizzato separatamente per ciascuna delle connessioni di rete,
il Windows Firewall dell’SP2
viene attivato in blocco per tutte le connessioni. Questo non è
sempre il comportamento desiderato ed espone il sistema a
impreviste vulnerabilità. Infatti, se avete una connessione
via modem e una via LAN, vorrete probabilmente due comportamenti diversi: protezione
con firewall e nessuna condivisione di risorse per la prima e
firewall disattivato e condivisione delle risorse per la seconda. Anche le personalizzazioni di configurazione sono
presumibilmente diverse per
reti con diverse caratteristiche
di sicurezza. Ma le cose sono
più complicate e il pericolo è in
agguato, come ha scoperto la
rivista tedesca PC Welt, il cui
articolo sull’SP2 ha fatto in pochi giorni il giro del mondo
Web.
Perciò, prima di addentraci
nella configurazione del Windows Firewall, chiariamo alcuni punti sul firewall e sulla condivisione delle risorse nelle tre
versioni di Windows XP: quella
originale, con SP1 e con SP2.
Rischi di SP1 e SP2
La premessa, a beneficio di
chi utilizza Windows senza
preoccuparsi degli aspetti di
networking, è che tra le proprietà di ogni connessione di
rete (come quella a Internet via
modem o quella alla rete locale) c’è una lista di componenti
(come client, servizi e protocolli) che la connessione può
La finestra Connessioni di rete mostra Windows Firewall attivato per default su tutte le
connessioni (tranne la prima, che risiede su un altro computer)
2a lezione
Windows xp2
Per default, il Windows Firewall di Windows XP2 è attivato su
tutte le connessioni di rete, ma può essere disattivato
manualmente o via software
È vitale che sulla connessione Internet sia disattivato l’accesso
alle risorse condivise del computer, ma in certe condizioni
Windows XP2 lascia erroneamente attivata la condivisione
usare. Un esempio è il protocollo TCP/IP, che deve essere
necessariamente attivo perché
funzionino le connessioni in
una rete locale basata su Windows o la connessione a Internet. Alcuni componenti, come
il TCP/IP, sono indispensabili,
mentre altri sono opzionali, come la condivisione delle risorse. Questa casella, tra le proprietà di rete di una connessione, solitamente è selezionata
per le connessioni LAN e deselezionata per le connessioni
modem, per impedire che il
mondo esterno possa accedere
La casella Non consentire eccezioni blocca le connessioni in
ingresso destinate ai programmi e servizi elencati nella sezione
Eccezioni, come ad esempio l’Assistenza remota e il Desktop
remoto
Per aggiungere nuovi programmi alle eccezioni, si usa la finestra
Aggiungi programma; con Cambia ambito, si può definire se un
programma sarà accessibile localmente o anche da Internet
alle vostre risorse condivise (file e stampanti).
Il problema scoperto da PC
Welt è che, in determinate circostanze, dopo l’applicazione
dell’SP2 i vostri dati vengono
messi a disposizione di tutto il
mondo attraverso Internet,
grazie alla condivisione di file e
stampanti (più tutti gli altri servizi di rete). La condizione perché ciò avvenga è che sia attiva
la condivisione di risorse su
una rete locale interna e il collegamento a Internet tramite
connessione dialup (modem a
56K o a banda larga con uno
dei protocolli PPP) o ISDN e
che non sia attivata la Condivisione connessione Internet (ICS,
Internet Connection Sharing).
In queste condizioni si è protetti solo se un firewall è integrato nel modem (o router o
gateway). Lo staff di PC Welt ha
scoperto che questa configurazione è abbastanza comune,
tanto da riuscire a curiosare in
diversi computer su Internet.
Nella versione originaria di
Windows XP, la sezione Rete
delle proprietà di una connessione di rete (quella dialup è da
tenere d’occhio) è attendibile;
Alla lista di default delle eccezioni potete
aggiungere programmi e servizi che
devono essere accessibili a
comunicazioni originate da Internet (che
di regola vengono bloccate)
se la casella di condivisioni dei
file e stampanti è deselezionata, non c’è pericolo.
Con l’SP1, il servizio di condivisione era generalizzato, ma
fortunatamente il firewall di XP
era attivato per default sulle
connessioni dialup; se disattivate il firewall, un messaggio
avvisa che le vostre risorse
condivise possono essere visibili da Internet. Comunque si
poteva configuare una connessione modem con firewall e
una LAN senza.
Ora al bug di SP1 se ne somma uno di SP2 e il firewall è attivato sia per le connessioni
dialup sia per quelle LAN e, erroneamente, viene attivata la
condivisione di file e stampanti su tutte le connessioni.
Non potendo ripristinare la
vecchia configurazione con
l’ICF, dovete rimediare in un altro modo. Aprite Windows Firewall nel Pannello di controllo,
sezione Eccezioni; selezionate
Condivisione file e stampanti;
cliccate su Modifica e vedete
selezionate quattro porte TCP
e UDP usate dal servizio di condivisione. Voi volete disattivare
la condivisione sulla connessione dialup e lasciarla attiva
sulle connessioni interne, quindi cliccate su Cambia ambito e,
nella finestra che segue, selezionate la seconda opzione (Solo la rete locale) o la terza (Elenco personalizzato). Si è scoperto che un’ulteriore bug fa sì
che la seconda opzione viene
ignorata (lasciando i dati con- 2a lezione
divisi visibili al mondo) se
non è attiva la Condivisione
connessione Internet tra le proprietà avanzate della connessione dialup; in tal caso dovete
usare la terza opzione e inserire a mano gli indirizzi IP e le
subnet mask di tutte le connessioni locali che devono avere accesso alle risorse condivise: vero incubo se avete parecchi PC e se usavate l’assegnazione dinamica degli IP. Trovate l’articolo di PC Welt (in inglese) presso www.pcwelt.
de/news/sicherheit/103039/index.html.
Anche alla luce di questa vicenda, abbiamo speso volentieri qualche decina di euro
per la licenza di un firewall serio con protezione delle intrusioni e del traffico uscente.
Configurazione di Windows
Firewall
Supponendo che Windows
Firewall e le connessioni di rete siano configurati in modo da
evitare la condivisione dei file
su Internet, ora possiamo
esplorare le opzioni di configurazione che potrebbero essere utili per sfruttare Windows Firewall.
Nella finestra Windows Firewall (dal Pannello di controllo), oltre ai bottoni per attivare
e disattivare il firewall, ce n’è
un terzo che annulla tutte le
eccezioni selezionate nella sezione Eccezioni, già vista nel
paragrafo precedente. Questo
bottone blocca tutte le connessioni in ingresso ai programmi e servizi elencati sotto
Eccezioni. Non sappiamo se
blocca effettivamente la condivisione di file e stampanti, alla
luce del capitolo precedente. Il
Norton Personal Firewall 2003, in
questa finestra, mostra le regole con cui
blocca intrusioni come cavalli di Troia e
backdoor
blocco delle eccezioni è un’opzione utile per proteggervi
quando siete in viaggio e vi
collegate a Internet via modem. Non essendo collegati a
una LAN, potete disattivare
completamente la condivisione senza inconvenienti. Non
potete invece bloccare le eccezioni se usate la connessione a
Internet per operazioni di assistenza remota o di desktop remoto, una delle funzioni più
apprezzate di Windows XP
Professional. Se lasciate selezionata la casella Visualizza un
avviso ..., sarete avvertiti quando il firewall blocca una comunicazione.
Se, dopo l’installazione dell’SP2, cessa di funzionare un
programma o servizio che si
occupa di comunicazioni o che
accetta traffico in ingresso non
sollecitato, dovrete identifica-
Cambia ambito permette di limitare, per ogni applicazione, l’accessibilità in ingresso a
comunicazioni originate da Internet
2a lezione
Windows xp2
Per ogni programma e servizio elencato nella sezione Eccezioni, si possono vedere le
porte interessate e modificare l’ambito di accessibilità in ingresso
La sezione di proprietà avanzate di Windows Firewall permette di selezionare i servizi
accessibili in ingresso in modo indipendente per ciascuna connessione di rete, di
attivare la registrazione degli eventi e di scegliere quali messaggi ICMP (di stato ed
errore) si desidera abilitare
Se si cambia ambito per un programma o servizio elencato tra le eccezioni (accessibile
in ingresso da comunicazioni non sollecitate), si può specificare se l’ambito include
Internet, la LAN o solo alcuni indirizzi IP
re il programma o le porte da
abilitare ed aggiungerli alla lista delle eccezioni tramite i
bottoni Aggiungi programma o
Aggiungi porta. Salvo necessità
particolari, non dovreste accettare traffico entrante che
non sia in risposta a una vostra
richiesta; le normali applicazioni, come browser e client di
e-mail, ricevono pacchetti in
ingresso solo in risposta alle
loro richieste (come l’apertura
di una pagina Web o l’ispezione di una casella postale).
Un importante miglioramento di Windows Firewall rispetto all’ICF è che, per le applicazioni aggiunte nella sezione Eccezioni, vengono automaticamente aperte e chiuse le porte
necessarie (che costituiscono
varchi nel firewall) per il solo
periodo di esecuzione del programma. Solo un amministratore può aggiungere un programma alla lista delle eccezioni, ma il programma potrà
essere eseguito dai normali
utenti. Chi volesse ulteriori
dettagli può consultare il documento “Windows XP Service
Pack 2: A Developer's View”
(http://msdn.microsoft.com/librar y/default.asp?url=/library/en-us/dnwxp/html/securityinxpsp2.asp), che descrive
da un punto di vista tecnico i
contenuti dell’SP2.
Se poi volete personalizzare
l’ambito di controllo di programmi e porte, cliccate su
Cambia ambito (come visto sopra per la condivisione) e specificate se l’eccezione (cioè lo
sblocco del firewall) vale per
tutti i computer (inclusi tutti
quelli su Internet), solo quelli
della rete locale o quelli elencati per indirizzo IP e subnet
mask.
La terza sezione della finestra Windows Firewall, Avanzate, offre ulteriori opzioni di
configurazione. La prima, Impostazione connessioni di rete,
specifica su quali interfacce il
firewall è attivo. Inizialmente il
firewall è attivo per default su
tutte le connessioni, ma basta
deselezionare le caselle corrispondenti per disattivarlo
quando non è necessario. Visto che Windows Firewall non
filtra il traffico in uscita e non
offre vere funzioni di Intrusion
Prevention, può essere disattivato sulle connessioni interne
di una LAN, dove viceversa sono utili firewall come ZoneAlarm Pro, che bloccano cookie
invadenti, pubblicità, animazioni indesiderate e Web bug
in ingresso e informazioni private (come l’ultimo sito visitato) in uscita (tutti questi elementi attraversano un normale firewall e sono bloccati solo
se sono attive funzioni di prevenzione delle intrusioni).
Nel riquadro Impostazione
connessioni di rete, il bottone
Impostazioni permette di selezionare servizi e comandi
ICMP (vedi sotto) da attivare
per la specifica connessione
selezionata.
La seconda opzione di Avanzate permette di attivare il logging (Registrazione protezione), ovvero la registrazione dei
pacchetti ignorati e delle connessioni riuscite in un file di testo, che potete analizzare per
verificare se il firewall è funzionale o troppo restrittivo o
permissivo.
La terza opzione serve per
abilitare la ricezione e l’invio di
messaggi del protocollo ICMP
(Internet Control Message Protocol), un componente della
famiglia TCP/IP che serve a notificare al mittente dei pacchetti IP (datagrams) informazioni su stato ed errori, come
destinazione irraggiungibile,
richiesta d’echo e risposta all’echo (base del comando Ping
per verificare la raggiungibilità
di un nodo IP), parametri non
validi, reindirizzamento, tempo scaduto e altro. I messaggi
ICMP sono l’unico caso in cui
Windows Firewall può filtrare il
traffico in uscita. Se ad esem-
2a lezione
Windows xp2
Tra le Impostazioni avanzate di Windows Firewall, per ogni connessione si possono
scegliere i servizi raggiungibili da comunicazioni originate su Internet
pio volete che un computer risponda alle richieste di echo
(Ping è il primo degli strumenti diagnostici per verificare le
connessioni), accertatevi che
sia selezionata la casella Consenti richiesta echo in ingresso
nelle impostazioni ICMP della
sezione Avanzate di Windows
Firewall.
Confronti
Sebbene Windows Firewall
sia orientato alle aziende e all’utente alle prime armi (quello
esperto installa un firewall migliore), l’interfaccia vista sopra
mostra che il firewall di Windows è amichevole finché potete ignorarne l’esistenza, mentre non lo è affatto se dovete
impostare eccezioni per sbloccare un programma che non
funziona o se dovete turare le
falle per la condivisione dei file
su Internet. In particolare, nel
Windows Firewall, il controllo
dell’accesso per le applicazioni
è trattato sotto forma di eccezioni, anziché di autorizzazioni
all’accesso a Internet per ciascuna applicazione che lo preveda. Al contrario, altri programmi, come ZoneAlarm e
Norton Personal Firewall, tengono aggiornata una lista di
tutti i programmi che possono
accedere a Internet, insieme
con i diritti di accesso individuali. Per esempio, ZoneAlarm,
per ogni applicazione, permette di modificare le autorizzazioni a ricevere e trasmettere
sia sulla rete locale sia su Internet e a inviare posta elettronica.
Un’altra caratteristica che
rende ZoneAlarm completo ma
facile da usare è il linguaggio
dell’interfaccia, comprensibile
anche a utenti di scarsa esperienza. Quando riconosce una
nuova rete, ZoneAlarm chiede
se è da classificare come sicura (interna) o insicura (Internet) e per le reti locali permette di specificare se la rete locale utilizza la Condivisione connessione Internet di Windows e
in tal caso se il PC è il gateway
o un client; secondo il caso,
ZoneAlarm predispone l’accessibilità alla rete e la condivisione delle risorse, senza
pretendere che l’utente inserisca gli IP o un intervallo di IP
fidati, come avviene in altri firewall. Windows Firewall non
Una delle Impostazioni avanzate permette di abilitare il traffico dei messaggi ICMP, un
protocollo della famiglia TCP/IP per notifiche di stato e di errore
offre nulla di tutto questo e ha
un’interfaccia molto tecnica,
del tutto estranea all’utente
inesperto a cui l’SP2 promette
un Windows più sicuro che
mai. Viceversa, altri firewall
come quelli citati di ZoneLabs
e di Symantec hanno interfacce più orientate all’utente e
tuttavia permettono di estendere il ruleset del firewall con
regole definite dall’utente.
Soluzione dei problemi
L’articolo “Risoluzione dei
problemi relativi alle impostazioni della funzionalità Windows Firewall in Windows XP
Service Pack 2” (http://support.microsoft.com/default.as
px?scid=kb;it;875357) insegna
a configurare Windows Firewall nel caso sia bloccata
una porta utilizzata da un programma.
La soluzione comprende l’uso della sezione Eccezioni sopra citata, l’analisi del file di
logging (di cui l’articolo descrive la struttura) e, se questo non basta, l’utilizzo di due
dozzine di comandi in finestra
prompt, quelli solitamente
usati dai sistemisti per confi-
gurare o riparare Windows tramite l’interfaccia testo.
L’impressione è che Windows Firewall sia uno strumento destinato alle aziende,
personalizzabile attraverso i
criteri di gruppo (Group policies) di Windows, più che un’utility a disposizione dell’utente
finale. Lo conferma il documento “Deploying Windows Firewall Settings for Microsoft
Windows with Service pack 2”,
che promuove l’impostazione
dei firewall a livello collettivo,
in un’azienda basata su server
Windows e Active Directory,
attraverso la definizione di Criteri di gruppo da applicare in
modo generalizzato.
È vero che Windows Firewall
blocca il traffico in entrata non
sollecitato e nasconde le porte
a chi ne fa la scansione a caccia di punti deboli nel sistema,
ma per efficacia, interfaccia e
facilità di configurazione, preferiamo i firewall gratuiti reperibili su Internet e, soprattutto,
le versioni commerciali come
ZoneAlarm Pro e ZoneLabs Security Suite, che offrono protezione completa e facilità d’uso
e configurazione.
3a lezione
Windows xp2
Windows XP2
l’accesso a Internet
Dopo le due puntate dedicate
ai problemi di installazione,
alla protezione dai malware
e ai firewall, vediamo
come utilizzare le versioni SP2
di Internet Explorer
e di Outlook Express
nternet Explorer (IE) ha una
cattiva fama per quanto riguarda la sicurezza. La storia
di IE è stata ed è tuttora una
fonte inesauribile di falle di importanza critica per la sicurezza di Windows.
A qualche mese di distanza
dall’uscita del Service Pack 2,
quando si è attenuata sui media l’eco delle notizie di fonte
Microsoft, possiamo fare i conti con la realtà e con l’esperienza degli utenti. Tra i molti siti
che segnalano le falle di Windows, e in particolare di IE, citiamo quello di Secunia, un’azienda che fornisce soluzioni di
sicurezza informatica e che de-
I
di Giorgio Gobbi
Lezione 1:
Lezione 2:
ve la sua fama ai security advisories, i rapporti informativi
sulle falle e i pericoli di oltre
4000 applicazioni tra cui i
browser per il Web.
Su http://secunia.com, a
metà novembre, ecco qual è la
situazione di IE 6: “Microsoft
Explorer 6, con tutte le patch
del produttore installate e tutti i rimedi temporanei applicati, è affetto al momento da uno
o più rapporti informativi classificati come Estremamente
critici”. Se ce ne fosse bisogno, precisiamo che “Estremamente critico” è il livello massimo di pericolosità, nella scala di Secunia, per una falla nel-
la sicurezza. Ma non è tutto.
Secunia afferma che “Al momento, 17 dei 67 rapporti informativi (segnalazioni di falle in
IE 6) sono classificati unpatched (non corretti) nel database di Secunia”.
Scorrendo le statistiche di
Secunia, si scopre che una notevole percentuale delle falle
riscontrate in IE non è stata
corretta. Persino mentre usciva l’SP2, nell’agosto 2004, Secunia lanciava l’allarme su una
falla critica associata al drag
and drop con il mouse in IE,
che permetteva a una pagina
Web ostile di piazzare del
software dannoso nel menu di
Lezione 3:
Express
La prossima puntata
Lezione 4:
di Windows XP
avvio di Windows. Questa falla
è stata corretta in ottobre, insieme a molte altre. Basta una
ricerca con argomento SP2 security holes (falle nella sicurezza di SP2) per trovare ogni sorta di bug e punti deboli, come i
10 nuovi security hole di SP2
scoperti nella prima decade di
novembre 2004 da Finjan
Software (www.finjan.com),
un’altra azienda che opera nel
campo della sicurezza.
Le 10 nuove falle riguardano
anche IE 6 e permettono agli
hacker di accedere ai file locali, di scaricare software sul
computer e di eseguirlo in barba alle protezioni introdotte
nell’SP2, il tutto all’insaputa
dell’utente.
Passi avanti
e un passo indietro
Secondo Secunia, a metà novembre 2004 il 34% delle 53 falle
di sicurezza di Internet Explorer 6 scoperte da inizio 2003 era
ancora privo di correzione
Il 15% delle falle di sicurezza di IE 6 è considerato
estremamente critico da Secunia; di queste falle, una parte era
priva di correzione a metà novembre 2004
Anche in questa puntata, come nelle due precedenti, rendiamo merito ai miglioramenti
introdotti in Windows XP2, ma
invitiamo a non abbassare la
guardia, perché Windows è ancora Windows e Internet Explorer è ancora Internet Explorer, non è improvvisamente diventato Mozilla Firefox (un
3a lezione
Windows xp2
browser recente ma non afflitto dalle vulnerabilità che hanno interessato IE) o il noto
Opera (che al momento ha
una sola vulnerabilità non
corretta, peraltro di gravità
moderata).
In questa puntata parliamo
dei progressi nel browsing e
nella posta elettronica, ma per
guardare al di là degli slogan e
dei documenti tecnici di Mi-
crosoft vi invitiamo a visitare i
forum degli utenti e i siti che
si occupano dei problemi di
Windows e di sicurezza.
Il sondaggio di un blog americano rivela che il 15% dei
752 utenti che hanno risposto
(professionisti, non utenti finali alle prime armi) ha avuto
il PC bloccato dall’SP2 e che
metà di loro ha dovuto reinstallare Windows. In generale,
viene confermata l’impressione che l’SP2 richieda un sistema integro per essere installato senza problemi.
Nelle nostre prove, tutti i
PC hanno retto bene l’impatto
di SP2 perché erano stati tenuti sotto l’ombrello di firewall, antivirus, anti-spyware
e frequenti Windows Update.
Uno dei maggiori problemi
che abbiamo incontrato nel
Service Pack 2 (non molto
pubblicizzato) è stato causato
dalla cessata distribuzione
della Microsoft Java Virtual
Machine, dopo la condanna
di Microsoft nella causa intentata da Sun Microsystems. Ne
parliamo più avanti a beneficio di chi utilizza, presumibilmente per lavoro, applicazioni che dipendono dalla
MSJVM.
1 Internet Explorer in SP2
bbiamo letto da più parti
che Internet Explorer è
stato reso molto più sicuro nel Service Pack 2. Come abbiamo visto sopra, man mano
che vengono scoperte nuove
falle, nascono nuovi problemi
di sicurezza, così il software
migliora gradualmente nel gioco senza fine tra chi scrive
software imperfetto, chi ne
scopre le vulnerabilità e chi le
sfrutta per fare danno.
Il principale obiettivo di Microsoft con l’SP2 era ridurre le
più comuni aree di vulnerabilità, quotidianamente bersagliate dagli attacchi a Windows. Questo è stato realizzato
in quattro modi: protezione
della rete, protezione della memoria, trattamento più sicuro
dei messaggi (instant message
ed e-mail) e maggiore sicurezza
nel browsing.
Partiamo da quest’ultimo,
che rappresenta una delle
principali attività per molti
utenti di PC. Le aree in cui IE è
stato reso più sicuro sono la
gestione dei componenti aggiuntivi (add-on, come i controlli ActiveX e i Browser Helper Object), la gestione dei cosiddetti binary behavior
(componenti associati a elementi HTML per arricchire le
funzionalità delle pagine Web),
la gestione dei download attraverso l’Attachment Execution
Service (che ne valuta la pericolosità) e la gestione dei popup. Vediamo queste aree una
per una.
A
Add-on
Prima dell’SP2, gli add-on (in
italiano componenti aggiuntivi) erano fonti potenziali di
problemi. Tipici add-on sono i
controlli ActiveX, le estensioni
del browser e le barre strumenti. Gli add-on sono piccoli
programmi che servono a rendere più comoda e piacevole
l’interfaccia e la navigazione
nel Web, per esempio con l'aggiunta di barre strumenti (come quella di Google), con aree
di tipo stock ticker (dove scorrono informazioni come news e
quotazioni finanziarie), con video, animazioni e altro ancora.
Molti add-on sono utili, basti
pensare alla Google Bar, che diventa uno strumento indispensabile per chi usa il Web per lavoro. Ma ci sono gli add-on indesiderati, come quelli delle
aziende di marketing e pubblicità che fanno comparire popup pubblicitari quando l’utente
apre una pagina Web che ha
determinati contenuti. È anche
possibile che gli add-on non
funzionino correttamente o
che facciano uscire informazioni private.
Talvolta questi programmi
sono utilizzati per raccogliere
informazioni personali, per installare software nel computer
o per consentire a un altro
utente di controllare il computer in remoto. Di conseguenza,
il consiglio di Microsoft, che si
traduce nelle impostazioni di
default di IE, è quello di installare i controlli ActiveX o i componenti aggiuntivi solo se l'autore è attendibile e affidabile.
La versione di IE fornita nell’SP2 include la gestione degli
add-on e la rilevazione dei crash ad essi riconducibili. La Gestione componenti aggiuntivi è
una funzione che fa parte del
menu Strumenti di IE. La finestra ha due tipi di visualizzazione: l’elenco degli add-on
correntemente caricati in IE e
l’elenco di tutti gli add-on La nuova Gestione
componenti
aggiuntivi di
Internet Explorer,
tra gli Strumenti di
IE, mostra i
controlli ActiveX, i
Browser Helper
Objects e le barre
strumenti aggiunti
a IE
La funzione
Gestione
componenti
aggiuntivi di IE
mostra la lista
degli add-on
caricati e permette
di modificarne lo
stato di attivazione
In questa
visualizzazione
la Gestione
componenti
aggiuntivi mostra
tutti gli add-on che
sono stati usati da
IE
3a lezione
Windows xp2
che sono stati usati da IE. In en-
trambi i casi, l’elenco mostra il
tipo di componente (controllo
ActiveX, helper del browser o
barra strumenti), lo stato di
ogni add-on (attivato o disattivato) e le informazioni per
identificare il componente e
rintracciarne il file. Ognuno degli add-on può essere attivato o
disattivato usando questa finestra.
Le impostazioni predefinite
di IE, che potete esplorare e
modificare in Strumenti, Opzioni Internet, Protezione, difendono il sistema dagli effetti potenzialmente dannosi di addon indesiderati. La protezione
ha impostazioni diverse per Internet (rete insicura) e la rete
locale (chiamata Intranet locale
nella finestra Protezione). Se in
Protezione cliccate sul mappamondo (Internet) e sul bottone
Livello personalizzato, vedete
le impostazioni che proteggono da Internet, in particolare
quelle della sezione Controlli e
plug-in ActiveX. I componenti di
origine non certificata sono
bloccati per default; per tutte
le operazioni che comportano
qualche rischio potenziale si
dovrebbero selezionare le opzioni Disattiva o Chiedi conferma.
Se ora nella finestra Protezione selezionate Intranet locale e cliccate su Livello personalizzato, vedete che la protezione è allentata, perché la rete locale è ritenuta sicura (solitamente è protetta da un firewall
che filtra il traffico proveniente
da Internet).
La funzione di rilevazione
dei crash tenta di riconoscere i
crash in IE che sono riconducibili agli add-on e dà all’utente la
possibilità di disattivare l’addon in questione. Nelle aziende,
gli amministratori ora hanno
la possibilità di definire policy
(criteri) generali che stabiliscono quali sono gli add-on
consentiti a livello di intera
azienda.
La sezione Protezione delle Opzioni
Internet in IE mostra i livelli
di protezione per le diverse zone di
sicurezza; in questo esempio la zona
è quella di Internet
Il livello di protezione è massimo nella
zona dei siti sottoposti a restrizioni, come
si vede dalla finestra Protezione di IE; in
Windows XP2 anche i messaggi di e-mail
vengono elaborati con questo ambiente
di sicurezza
Un esempio dei più semplici
è il cambiamento degli attributi di visualizzazione di un elemento di testo quando viene
attraversato dal cursore del
mouse. Alla potenza dei binary
behavior corrisponde la pericolosità potenziale se vengono
usati per nuocere.
Trovate maggiori dettagli sui
binary behavior alla pagina
http://msdn.microsoft.com/
msdnmag/issues/01/01/cutting/ del sito di Microsoft per
gli sviluppatori.
Per esempio, uno sviluppatore Web, per cambiare attributi grafici in corrispondenza
di un’azione dell’utente (come
nel caso del cursore del mouse
che sorvola un’area o testo),
anziché i tradizionali script basati sugli eventi onmouseover e
onmouseout (cursore che sorvola l’area e poi ne esce), può
usare una notazione più compatta ed elegante richiamando
un pezzo di programma in C++
che esegue la stessa funzione.
Il programma viene compilato (diventa codice binario) e
implementa un certo comportamento (behavior), quindi un
binary behavior è un vero e
proprio programma con ampia
libertà d’azione e alta pericolosità potenziale.
Per proteggere l’utente, l’SP2 introduce in IE una protezione dai binary behavior e
questi sono disattivati per default nella zona dei siti soggetti
a restrizioni (una delle quattro
zone che vedete nella finestra
Protezione). Dal momento che
nella maggior parte dei programmi di e-mail i messaggi in
formato HTML vengono elaborati con le regole di protezione
della zona soggetta a restrizioni, ora la posta elettronica è
molto meno vulnerabile a virus
e worm basati sui binary behavior. Questo argomento può
sembrare troppo tecnico ma,
sfortunatamente per gli addetti al marketing, è una delle funzioni più apprezzabili dell’SP2
e contribuisce ad aiutare a digerire qualche difficoltà di
adattamento.
con restrizioni (le quattro zone
visibili nella finestra Protezione). Per esempio, alle pagine
Web situate in Internet possono essere precluse certe operazioni, come l’accesso all’hard
disk locale. D’altra parte, le pagine Web situate sul computer
locale si trovano in quella che
viene chiamata Local machine
zone, che è la zona con le minori restrizioni. Questa è un’altra delle zone di sicurezza di IE,
ma non compare nelle finestre
delle impostazioni. Grazie alle
minori restrizioni, un hacker
potrebbe sfruttare i maggiori
privilegi di una pagina archiviata nella Local machine zone
per curiosare e compromettere
il computer. Perciò, a differenza delle versioni di Windows
precedenti, che consideravano
la zona locale sicura e non soggetta a protezione, Windows
XP2 applica alla macchina locale una serie di protezioni per
evitare che essa venga usata,
ad esempio, per caricare codice HTML dannoso.
La conseguenza è un forte
impatto su tutte le applicazioni
che utilizzano file HTML locali;
d’ora in poi queste applicazioni, per non avere restrizioni,
dovranno scrivere informazioni specifiche nel registro di sistema.
Windows XP2 chiede all’utente
l’autorizzazione ad aprire pagine con
contenuto attivo residente sul computer
locale
Local machine zone
Quando IE apre una pagina
Web, pone delle restrizioni a
ciò che la pagina può fare in base alla collocazione della pagina, per esempio su Internet,
sulla intranet locale o tra i siti
classificati come attendibili o
Binary behavior
I binary behavior (comportamenti binari) sono componenti software che supportano
speciali interfacce di programmazione riconosciute da IE.
Il loro scopo è aggiungere
funzionalità a IE in misura maggiore di quanto è permesso agli
script (per esempio quelli in JavaScript contenuti in molte pagine Web).
Per default, viene bloccato il contenuto attivo residente sul computer, come accade
per le pagine di help di varie applicazioni; l’utente deve dare l’autorizzazione alla loro
apertura
Nelle opzioni Internet avanzate di
Internet Explorer si può disattivare il
blocco dei contenuti attivi delle pagine
Web residenti sull’hard disk o sul
CD/DVD locale
3a lezione
Windows xp2
Ora, per default, non funzionano più gli script e gli ActiveX
di pagine HTML locali aperte in
IE, ma l’utente viene avvisato e
ha la possibilità di autorizzare
l’operazione. Per esempio, se
aprite l’help di varie applicazioni che utilizzano help HTML
con contenuto attivo, vedrete
apparire una finestrella che avvisa della presenza di un messaggio nella barra informazioni
(la zona inferiore della testata
di IE, sotto le barre strumenti).
Il messaggio avverte che è stato impedito al file di visualizzare il contenuto attivo, perché
potrebbe accedere alle risorse
del computer. Se avete fiducia
nell’autore dell’applicazione,
cliccate sulla barra e autorizzate l’apertura del contenuto
attivo.
La protezione dal contenuto
attivo delle pagine HTML contenute nell’hard disk del computer o in un CD o DVD inserito
nel relativo drive, a volte, può
essere più di ostacolo che di
beneficio. In SP2 la regola generale è bloccare e proteggere
e lasciare che sia l’utente ad allentare le restrizioni. Perciò, se
volete consentire l’esecuzione
di contenuto attivo locale, aprite IE, Strumenti, Opzioni Internet, Avanzate e fate scorrere le
voci; verso il fondo della lista
trovate le due caselle Consenti
l’esecuzione di contenuto attivo
da CD nel computer e Consenti
l’esecuzione di contenuto attivo
in fine nel computer. Se avete fiducia nella provenienza di questi contenuti, selezionate le
due caselle e confermate con
OK.
Attachment Execution
Service
L’AES, o servizio di esecuzione degli allegati, è un altro
dei cardini su cui si regge la sicurezza di Windows XP2. Questo servizio viene usato sia nel
trattamento dei messaggi, per
controllare la visualizzazione e
l’esecuzione degli allegati, sia
da IE per verificare la sicurezza
del download dei file e avvertire l’utente quando occorre il
suo permesso esplicito per
scaricare un file che potrebbe
rappresentare una minaccia.
Attraverso i suoi dialoghi, l’AES
fornisce all’utente informazioni
e consigli, per esempio sul rischio di eseguire programmi
che siano privi di firma digitale
o di provenienza ignota o non
sottoposti a scansione antivirus. Oltre a indicare la provenienza, il tipo e le dimensioni
dei file scaricati, l’AES mostra
all’utente chi ha pubblicato il file eseguibile.
IE utilizza le informazioni MIME (Multipurpose Internet Mail
Extensions) sul tipo di file per
decidere cosa fare dei file che
riceve da un Web server. Per
esempio, se in risposta a una richiesta HTTP (Hypertext Transfer Protocol, il protocollo
client/server alla base del web)
IE riceve un file JPEG (.jpg), esso generalmente viene visualizzato in una finestra di IE,
mentre se si tratta di un file
eseguibile, IE chiede all’utente
che cosa ne deve fare.
Quello che è cambiato nell’SP2 è che IE segue regole più
restrittive per impedire che l’utente scarichi o esegua un file
pericoloso, con false informazioni MIME o un’estensione
non coerente con il reale tipo
di file. Se ci sono conflitti tra il
nome del file e la sua tipologia
MIME (come risulta dal contenuto del file), IE tenta di riconciliare le due informazioni cambiando il nome del file nella cache in cui è stato scaricato. Se
ulteriori controlli rivelano il
permanere di un conflitto, l’utente riceve un messaggio che
chiede conferma dell’operazione sul file, ma se il gestore dello specifico tipo MIME di file rifiuta un file che è incoerente
con il tipo dichiarato, IE invia
all’utente un messaggio di errore e il file viene bloccato.
Un altro aspetto di questi
controlli è che viene rifiutata
l’esecuzione di un file potenQuando tentate di
scaricare un file (es.
un driver) da Internet
con Windows XP2,
questo pop-up vi
informa che
potrebbe essere non
sicuro e di guardare
se è visualizzata la
barra informazioni,
che offre un menu di
scelte
Cliccando sulla
barra informazioni
si può autorizzare il
download del file o
chiedere
spiegazioni
Una volta deciso di
scaricare un file
eseguibile, un popup chiede se
salvarlo o
eseguirlo, ma
ancora una volta
mette in guardia
dai rischi che si
corrono e offre
spiegazioni
Se si clicca sul link Che rischi si corrono nella finestra di download, si apre la guida di
IE che aiuta a decidere se aprire il file, raccomandando all’utente una serie di azioni
cautelative
zialmente corrotto qualunque
sia il tipo MIME e l’estensione
del file.
Queste protezioni intendono evitare che un file, scaricato
con un’estensione innocua come .txt, sia in realtà un eseguibile o un file che include contenuto attivo, a sua volta capace
di accedere abusivamente alle
risorse del computer.
Perché questo meccanismo
funzioni, gli sviluppatori Web
dovranno fare in modo che i file siano archiviati sul server
con una opportuna testata, che
evita che un file sia trattato in
base alla sua estensione ma
che fa intervenire il controllo di
coerenza tra estensione e tipo
MIME.
Tra i tanti strumenti messi in
campo, c’è anche il cosiddetto
MIME sniffing: IE è in grado di
“annusare” il tipo MIME del file
esaminandone il contenuto, così da evitare di promuovere un
tipo di file a una categoria superiore, corrispondente a un rischio maggiore. Se ad esempio
un file viene ricevuto come puro testo (.txt) ma ha contenuti
HTML, IE eviterà di promuoverlo a file HTML, che potrebbe avere contenuti attivi e curiosare nel computer.
3a lezione
Windows xp2
Caching
Nelle versioni precedenti di
Windows con IE, alcune pagine
Web erano in grado di accedere a oggetti caricati in cache da
un altro sito Internet. In Windows XP2 è stato introdotto un
blocco alla navigazione tra domini diversi che impedisce l’accesso a oggetti prodotti da
script nel contesto di un diverso dominio Web. Questo cambiamento in SP2 influenza gli
sviluppatori, più che gli utenti,
ma la citiamo perché contribuisce al quadro generale della
maggiore sicurezza di navigazione.
Pop-up
Dopo tanti dettagli tecnici, finalmente una funzione comprensibile a tutti. Il blocco dei
pop-up non è una novità assoluta, perché era già presente,
ad esempio, nella barra di Google, dove svolge un lavoro egregio ed è disattivabile con un
clic quando l’interfaccia di un
sito comporta l’apertura delle
finestra pop-up. Per la comodità di disattivazione e riattivazione, continuiamo a preferire
il blocco dei pop-up di Google a
quello di SP2, ma non costa
nulla tenerli entrambi a portata
di mano; il blocco di IE è comunque personalizzabile.
Per default, le finestre pop-
up sono bloccate in SP2 secondo un criterio medio di valutazione, che blocca la maggioranza dei pop-up automatici.
Potete disattivare il blocco dei
pop-up o modificarne la modalità di intervento aprendo in IE
Strumenti, Opzioni Internet, Privacy e cliccando sul bottone
Opzioni (attivo solo se è selezionata la casella Blocca popup). Nelle opzioni potete inserire una lista di siti da cui accettate i pop-up (per esempio
perché sono parte integrante
dell’accesso al sito e non pubblicità invadente) o potete
bloccare tutti i pop-up (salvo
sbloccarli, quando necessario,
premendo il tasto Ctrl).
IE blocca la maggior parte di
pop-up automatici e non blocca i pop-up che si aprono quando l’utente clicca su un link di
una pagina Web.
Il blocco dei pop-up introduce anche delle restrizioni sulle
finestre pop-up, indipendentemente dal fatto che siano bloccate o aperte: queste finestre
non possono avere dimensioni
superiori all’area visibile del
desktop, non possono nascondere la barra strumenti e non
possono essere aperte in background o fuori da questa area.
In questo modo si evitano popup nascosti e difficili da chiudere. Se un sito apre un pop-up
Quando un pop-up
viene bloccato, la
barra informazioni
vi consente di
attivare il pop-up
temporaneamente
o in permanenza
per questo sito,
oppure modificare
le impostazioni
relative all’apertura
delle finestre popup
Per default, in
Windows XP2 è
attivo il blocco dei
pop-up (le finestre
che si aprono
automaticamente
spesso di
contenuto
pubblicitario); nella
sezione Privacy
delle Opzioni
Internet di IE
potete modificare
le impostazioni
relative
BhoDemon, un’utility gratuita per tenere sotto controllo i Browser Helper Object,
distingue i BHO benigni (come Acrobat Reader, SpyBot e Google Toolbar in questo
esempio) da quelli maligni
che viene bloccato, appare il
solito avviso che informa della
presenza di un messaggio nella
barra informazioni e viene
emesso un suono (disattivabile
nelle impostazioni). L’utente,
cliccando sulla barra informazioni, può attivare temporaneamente i pop-up da quel sito,
può attivare in permanenza i
pop-up da quel sito o può aprire la finestra delle impostazioni
del blocco dei pop-up. Se non
ne volete sapere di pop-up
(neppure di quelli utili), potete
disattivare anche il messaggio
di arrivo di un pop-up, ma allora dovrete inserire i nomi dei
siti da cui accettate i pop-up
nella finestra Impostazioni blocco pop-up, altrimenti non riuscirete a utilizzare un certo numero di siti.
Nel complesso, il blocco dei
pop-up, con le funzioni accessorie che regolano l’apertura
delle finestre, è una funzione
senz’altro utile, un altro punto
a favore nella lista dei pro e
contro di Windows XP2. In ogni
caso, potete provare la barra di
Google, installabile in pochi
istanti aprendo www.google.it
e cliccando su Google Toolbar,
in fondo, per scaricare e installare il BHO (browser helper
object che la implementa). Il
blocco dei pop-up di IE e quello di Google convivono senza
alcun problema.
Pagine protette
Dopo l’installazione dell’SP2
è possibile che alcune pagine
Web protette con SSL (Secure
Sockets Layer) a 128 bit non
funzionino correttamente, in
conseguenza delle tecniche di
protezione aggiunte con il Service Pack. Per individuare le
cause della scorretta visualizzazione delle pagine, potete
utilizzare le istruzioni che Microsoft ha pubblicato nel doNella finestra di
impostazioni del
blocco dei pop-up
potete modificare
le impostazioni di
default, ad
esempio per
elencare i siti di cui
accettate i pop-up
La barra di Google, oltre a facilitare le ricerche con l’omonimo motore (con bottoni per
cercare anche nelle sezioni immagini e forum), blocca e sblocca i pop-up con un clic
3a lezione
Windows xp2
Se in Windows è installata la Microsoft Java Virtual Machine, il comando Jview
(eseguito in finestra prompt) risponde e indica la versione installata (qui la 5.00.3810);
se non risponde, non è installata la MSJVM
cumento di Microsoft “Risoluzione dei problemi di accesso a
pagine Web protette con Internet Explorer 6 Service Pack 2”,
scaricabile da http://support.microsoft.com/?kbid=870
700.
SSL è un protocollo sviluppato da Netscape (ma usato
anche da IE) per trasmettere
documenti privati via Internet
tramite crittografia. Molti siti
Web usano questo protocollo
durante transazioni che comportano la richiesta di informazioni personali (per es. il
numero di carta di credito).
Convenzionalmente, i siti che
richiedono una connessione
SSL iniziano per https (HTTP
over SSL) anziché http.
Java dopo SP2
Dopo la vittoria di Sun nella
causa contro Microsoft, che
usava una Java Virtual Machine con estensioni proprietarie
per Windows, Microsoft è stata
costretta a interrompere i
download della propria VM. Ne
ha risentito anche l’SP2, privato della VM. Tuttavia Microsoft
è stata autorizzata a fornire aggiornamenti per la sicurezza
della MSJVM fino alla fine del
2007. Nel periodo transitorio,
Microsoft fornisce una serie di
strumenti, come test di compatibilità con il Java autentico
(quello di Sun), informazioni
tecniche e un’utility per disinstallare la MSJVM. Tuttavia ci
sono applicazioni che non funzionano con Java di Sun e utenti che detestano il motore Java
di Sun e preferiscono quello
più snello ed efficiente di Microsoft.
La morale è che, dopo l’installazione dell’SP2, molti utenti lamentano che non funzionano più le applicazioni basate
sulla MSJVM. Per esempio, sui
computer delle nostre prove
non funzionava più il software
HP di configurazione e gestione
degli access point, lasciando
come unica alternativa l’uso
dell’interfaccia seriale (via Hyperlink e cavo seriale) per impostare in modo estremamente
macchinoso, in modalità testo,
decine di parametri.
Oltre ai dispositivi di
networking con interfaccia
Web potenziata da applet Java,
ci sono sicuramente molte applicazioni che dipendono dalla
MSJVM per funzionare. Per rimettere in funzione l’utility di
HP, abbiamo fatto qualche ricerca e scoperto che quello di
Java è un problema abbastanza
diffuso tra gli utenti di Windows XP2. Tra i tanti siti e forum visitati, ve ne consigliamo
alcuni che aiutano a trovare la
soluzione:
•www.mvps.org/marksxp/Win
dowsXP/java.php
•www.microsoft.com/mscorp/
java
•http://inetexplorer.mvps.org/
answers_9.htm#java
•www.mcse.ms/message1183
726.html
•http://support.microsoft.co
m/default.aspx?scid=kb;enus;816093.
Il documento di Microsoft
che guida alla transizione dopo
l’abbandono della MSJVM è disponibile alla pagina download.microsoft.com/download/a/7/f/a7f0d96d-c40a-4ce7863a-139f5af69305/msjvm_itpro.pdf.
In pratica, abbiamo disattivato le VM di Sun e abbiamo installato una vecchia MSJVM
(ancora scaricabile) e il suo ultimo aggiornamento 3810. Per
vedere se c’è una Java VM attiva in IE, aprite Strumenti, Op-
Nella sezione delle Opzioni Internet avanzate di IE trovate quali sono le Virtual Machine
Java installate e attive; qui si nota l’assenza della Microsoft Java VM dopo
l’installazione del Service Pack 2 e la presenza del motore Java di Sun, installato a
parte
zioni Internet, Avanzate e fate
scorrere l’elenco; le eventuali
VM sono appena prima della
categoria Protezioni.
A quanto pare, il fatto (noto
Firefox è un browser della famiglia Mozilla
ed è quindi dotato dell’interfaccia a schede
da tempo) che la MSJVM non è
più distribuita e che l’unico Java autorizzato è quello di Sun
non sembra avere scosso un
produttore delle dimensioni di
3a lezione
Windows xp2
HP, che non fa cenno del problema nelle aree del sito dedicate al supporto e ai quesiti
tecnici.
Il servizio di supporto, interpellato, ha risposto suggerendo di scaricare l’ultimo
firmware, che non è una risposta al quesito sulla sparizione
della MSJVM. Prevediamo
quindi che il problema di Java
costringerà molti professionisti e aziende a cavarsi d’impaccio da soli.
Quando serve Internet
Explorer?
Con la sua percentuale di diffusione, IE è lo standard di fatto tra i browser, ma la sua vulnerabilità, a confronto con la
velocità e affidabilità di Opera
e di Firefox, stanno erodendo la
sua quota di utenza. IE serve
ad esempio agli utenti e alle
aziende che utilizzano la tecnologia ActiveX e, secondariamente, agli utenti che hanno bisogno della massima flessibilità di stampa. Altrimenti, è
probabile che se ne possa fare
a meno, come raccomandano
gli addetti alla sicurezza.
Firefox 1.0, scaricato a milioni di copie ogni settimana
(www.mozilla-europe.org/it/), è
il browser del momento. Ha
tutto quello che non ha IE: navigazione a schede (visualizzazione di più pagine per finestra), barra di ricerca integrata,
segnalibri (preferiti) resi vivi
tramite integrazione con RSS,
gestore dei download, alto livello di personalizzazione, piccole dimensioni (5 MB per la
versione per Windows, poco
più per Linux e MacOS X),
conformità agli standard di Internet, antispam e altro. In più
ha ciò che IE ha solo dall’SP2:
blocco dei pop-up, privacy e sicurezza. Firefox è disponibile
in 19 lingue per Windows, MacOS X e Linux. Subito dopo l’installazione, Firefox vi offre di
importare da IE tutte le personalizzazioni (preferiti, password, moduli, cookies e via dicendo).
Dopo averli provati con soddisfazione, ci siamo ritrovati a
usare Opera o Firefox in coppia
con IE, i primi per le ricerche e
la navigazione e IE per le operazioni di stampa o per i siti
con contenuti ActiveX.
Dato che l’uscita della prossima versione di Windows
(Longhorn) sta subendo progressivi rinvii, nel corso del
2004 hanno cominciato a circolare voci su un ipotetico Internet Explorer 7, che potrebbe
tenere conto della effettiva
concorrenza di Firefox e dei desideri degli utenti. Microsoft
sta sollecitando richieste e
commenti sul futuro browser
da parte di utenti e sviluppatori. Tra le richieste degli utenti
c’è un migliore supporto degli
standard (per es. CSS e PNG), il
supporto RSS, la navigazione a
schede (tabbed browsing) e il
gestore dei download.
Negli ultimi 12 mesi, la quota
di utilizzo dei browser IE è scesa dall’87% al 77%, mentre
quella dei browser Mozilla è
salita dal 7,2 al 18,6% (fonte
www.w3schools.com).
2 Outlook Express e Windows Messenger
ome abbiamo visto nella
prima puntata, buona parte delle infezioni si propaga attraverso gli allegati di posta e i messaggi istantanei.
La curiosità degli utenti e
la loro disponibilità ad accettare file dai loro colleghi e
conoscenti, e talvolta persino
da sconosciuti, sono stati un
fattore determinante nella
trasmissione di file malware
travestiti da file utili o divertenti.
Come raccontano le cronache, milioni di utenti hanno
aperto e-mail dal titolo “I love
you” provenienti da colleghi o
persone poco più che sconosciute. Un altro caso alle cronache è stato quello della bella
tennista Anna Kournikova; i
milioni di utenti che credevano
di scaricarne la foto hanno infettato i propri computer, le reti e i computer di amici e conoscenti quando il worm
VBS.SST@mm si è attivato e
propagato a tutti gli indirizzi
della rubrica di posta.
C
un file Excel o Word può contenere macro che accedono illecitamente alle risorse del
computer. Anche un file .zip in
sé non presenta pericoli, ma
può contenere file a rischio.
Come per i download di IE,
anche per i messaggi si è presentato il problema di non basarsi soltanto sull’estensione
dei file o sul tipo MIME di allegato per scoprire il tipo di contenuto di un file, a cui corri-
sponde il livello di pericolosità potenziale. Microsoft Outlook 2003, già prima dell’SP2,
aveva incorporato un meccanismo di blocco degli allegati.
Con il Service Pack 2, lo stesso
tipo di protezione è stato portato in Outlook Express, in
Windows Messenger e in altre
applicazioni di messaggistica,
utilizzando il servizio centralizzato AES per la gestione degli allegati.
In futuro anche Outlook farà
uso del servizio di sistema, anziché del suo codice interno,
per identificare se un allegato
è sicuro o insicuro.
L’AES, di cui abbiamo parlato a proposito di IE, controlla
la visualizzazione e l’esecuzione dei file allegati ai messaggi e
ha un’interfaccia che può essere utilizzata da varie applicazioni. L’AES utilizza diversi
criteri per stabilire se un alle-
Il livello di pericolosità
degli allegati
Allegati come i file di testo e
semplici immagini sono generalmente innocui, mentre molti formati di file, come i binari
eseguibili, sono intrinsecamente sospetti. Molti file possono essere sicuri, ma anche
Le opzioni di Outlook Express permettono di sbloccare
allegati e contenuti HTML esterni che potrebbero essere
pericolosi
Nelle opzioni di lettura di Outlook Express si può chiedere di
leggere i messaggi in modalità testo, il che elimina il rischio che
ci sia qualche elemento ostile nascosto in un messaggio HTML
3a lezione
Windows xp2
In questo messaggio ricevuto da Outlook Express in Windows XP2, gli allegati sicuri
sono resi disponibili, mentre l’eseguibile, giudicato insicuro, è stato rimosso come
avvisa il messaggio nella barra informazioni
Dopo aver disabilitato il blocco degli allegati, Outlook Express li rende
tutti disponibili, incluso il file eseguibile; inoltra visualizza l’immagine JPEG
sotto il testo del messaggio
gato è sicuro. Per prima cosa,
guarda l’estensione del file,
considerando che estensioni
come .txt, .jpg e .gif sono innocue.
Poi controlla qual è l’applicazione associata al tipo MIME
di allegato e all’estensione del
file e verifica se sono coerenti.
Sulla base di una lista, l’AES
può decidere che una certa associazione è sicura o pericolosa. In caso di pericolo, può accertarsi che sia attivo e aggior-
nato un antivirus prima di permettere che l’utente veda o
esegua il file. L’AES può anche
verificare la zona di sicurezza
da cui proviene il messaggio
(Internet, intranet locale, macchina locale e così via) e agire
in base ai criteri stabiliti dall’amministratore del sistema.
I consigli
per Outlook Express
In Windows XP2, quando
Outlook Express (OE) apre un
messaggio con allegati, chiama
l’AES per appurare se l’allegato
è sicuro. Se il responso è positivo, l’allegato è reso disponibile all’utente. Per esempio, le
immagini sicure sono visualizzate e gli allegati di testo sicuri sono elencati tra gli allegati
che l’utente può aprire. Se l’allegato è palesemente insicuro,
come un file binario eseguibile,
viene bloccato e sotto la barra
strumenti appare un messaggio che elenca gli allegati che
sono stati bloccati perché considerati non sicuri.
Questo è per lo meno il comportamento di default. Fortunatamente l’utente che conosce gli allegati che sta maneggiando e che si fida del mittente, può allentare le protezioni.
Aprendo in OE Strumenti, Opzioni, Protezione, ci sono due
opzioni particolarmente utili,
che rispondono ai quesiti dei
numerosi utenti che si lamentano perché non riescono più a
usare OE come prima.
La prima opzione da considerare è quella che si chiama
Non consentire salvataggio o
apertura di allegati che potrebbero contenere virus, attiva per
default. Se viene disattivata,
potete di nuovo ricevere file
.exe e simili. È giusto che l’utente inesperto e inconsapevole venga protetto, ma è anche opportuno che l’utente avveduto e dotato di antivirus
aggiornato possa disattivare il
blocco e ricevere ad esempio
un driver per e-mail.
La seconda opzione che
menzioniamo riguarda le immagini.
Una tecnica usata da spammer e virus per identificare gli
account di posta attivi da prendere di mira è includere contenuto esterno, come le immagini, in un messaggio in HTML.
Quando il programma di posta
chiama il server che ospita
l’immagine, questo “hit” può
essere registrato dal Web server e utilizzato per identificare
il destinatario. Per la protezione della privacy e la prevenzione di attacchi, ora il comportamento di default di OE è
il blocco delle immagini e contenuti esterni.
Se disattivate Blocca immagini e altri contenuti esterni nella posta elettronica HTML nelle
opzioni di protezione, riattivate i contenuti esterni della posta HTML, con il rischio che vi
siano celati comportamenti
dannosi.
Come accennato a proposito dei binary behavior in Internet Explorer, il rendering dei
messaggi di e-mail avviene per
default in una zona ad alta sicurezza, cioè l’Area Siti con restrizioni, che impedisce l’esecuzione di binary behavior nei
messaggi HTML. È allora importante che non venga disattivata, nella finestra Protezione
delle Opzioni, la casella Area
Siti con restrizioni, che protegge il sistema dai contenuti binari dannosi eventualmente
nascosti in messaggi HTML
ostili.
Come ulteriore misura di
protezione, potete impostare
la lettura dei messaggi in formato testo. Aprite Strumenti,
Opzioni, Lettura e selezionate
la casella Leggi tutti i messaggi
in testo normale. In questo modo, OE visulizza il messaggio
usando il modulo Rich edit,
molto più semplice del modulo
browser Mshtml preso a prestito da IE.
La scelta di vedere i messaggi come testo in pratica elimina la possibilità che un messaggio e-mail possa nascondere una minaccia al proprio interno.
I consigli per Windows
Messenger
Quanto detto per gli allegati
di posta vale parimenti per
Windows Messanger (WM) e la
messaggistica in generale.
Quando un computer con
Windows XP2 riceve un file di
WM da un altro computer, è
possibile che all’utente venga
chiesto di accettare o rifiutare
il file.
Se si accetta il file, può apparire un messaggio di avviso
che mette in guardia dai pericoli di virus e script e invita l’utente ad accertare l’identità
del mittente, eseguire un antivirus sui file ricevuti (se non
avviene già automaticamente)
e accertarsi che l’antivirus sia
tenuto quotidianamente aggiornato.
Se avete problemi a utilizzare WM dopo l’installazione dell’SP2, potete leggere l’articolo
della Knowledge Base di Microsoft Impossibile avviare
Windows Messenger dopo l'installazione di Windows XP Service Pack 2, disponibile alla pagina http://support.microsoft.com/default.aspx?scid=kb
;it;843019.
4a lezione
Windows xp2
Windows XP2
wireless e memoria
di Giorgio Gobbi
Dopo le tre puntate dedicate ai problemi d’installazione, alla sicurezza e
all’accesso a Internet, vediamo la nuova interfaccia per la connessioni senza fili
e la protezione della memoria. Con la procedura per farsi un CD con l’SP2
elle prime tre puntate abbiamo esaminato gli
aspetti di Windows XP
con SP2 che interessano la
maggior parte degli utenti: i
problemi di installazione, la sicurezza e l’accesso a Internet.
Nella quarta e ultima puntata vediamo altri aspetti significativi di Windows XP2, tra cui
N
la migliorata configurazione
delle reti wireless e una più efficace protezione della memoria.
Includiamo anche la procedura rapida per creare un CD di
installazione di XP con già integrato l’SP2 e una bibliografia
per approfondire gli aspetti
tecnici dell’SP2.
Lezione 1:
Lezione 3:
Express
Lezione 2:
Lezione 4:
- Le modifiche all’architettura
di Windows XP
- Reti wireless
- Memoria
La finestra Connessioni di rete include la nuova visualizzazione delle reti wireless
disponibili
La finestra Risorse di rete include la nuova installazione guidata di una rete senza fili
Con SP2, questa è la lista delle reti wireless a portata di rilevamento
4a lezione
Windows xp2
1 Wireless
P2 introduce miglioramenti nella connettività
wireless, sia quella 802.11
(Wi-Fi e varianti) usata da reti
locali e hotspot (punti di accesso pubblici), sia quella
Bluetooth usata dai dispositivi
a breve raggio.
Possiamo suddividere questi miglioramenti nelle seguenti aree: 1) supporto WPA (Wi-Fi
Protected Access) incorporato, 2) nuovo formato delle finestre in Connessioni di rete, Proprietà e Status per le connessioni wireless, 3) servizi WPS
(Wireless Provisioning Services), 4) procedura guidata (wizard) per l’installazione di una
rete wireless, 5) registrazione
delle operazioni del servizio
Zero Configuration Wireless, 6)
nuova funzionalità di ripristino
per le connessioni wireless e 7)
migliore gestione delle connessioni Bluetooth. Prima di commentare l’esperienza d’uso in
XP2, vediamo una panoramica
di questi argomenti.
Prima dell’SP2, il supporto
WPA doveva essere scaricato
tramite Windows Update; ora è
presente in Windows XP2 e si
può configurare una scheda wireless con supporto WPA tramite le funzioni di Windows o
usando l’utility del produttore,
senza doversi più preoccupare
del supporto da parte di Windows.
L’interfaccia di configurazione e monitoraggio è migliorata e riguarda le funzioni di
S
La nuova finestra di Stato
di connessione senza fili, più chiara con
l’SP2
uso più comune: Connessioni di
rete, Proprietà e Status, che sono anche collegate tra loro. In
generale le finestre e i dialoghi
sono più espressivi e forniscono più informazioni.
In Connessioni di rete, la Visualizzazione delle reti disponibili ora mostra all’istante
quale rete è connessa e lo stato
di protezione di ciascuna rete a
portata radio.
Inoltre il bottone Connetti/
Disconnetti permette di passare da una rete all’altra. Le varie
sezioni della finestra Proprietà
hanno subìto qualche modifica
nella visualizzazione delle reti
wireless disponibili e nella selezione della protezione (è stato aggiunto il WPA); inoltre è
stata aggiunta una sezione Connessione nelle Proprietà delle
Reti preferite, che si trova nella
sezione Reti senza fili tra le Proprietà di una connessione wireless. La nuova sezione serve
per attivare o no la connessione automatica quando la rete a
cui si riferisce è a portata di rilevamento radio. La nuova finestra Status ha una grafica più
espressiva e ha un link alla visualizzazione delle reti disponibili.
Un miglioramento sia nel
dialogo di Connessioni di rete
sia nella finestra Status riguarda la segnalazione dello stato
di connessione della rete wireless attraverso le varie fasi: validazione dell’identità dell’utente, tentativo di autenticazione in rete, eventuale fallimento dell’autenticazione, connessione (autenticazione a
buon fine), acquisizione dell’indirizzo IP di rete in caso di
allocazione dinamica attraverso un servizio DHCP (Dynamic
Host Configuration Protocol),
connessione o no secondo che
sia disponibile un server DHCP
con indirizzi liberi.
Queste informazioni sono
utili specialmente in fase di diagnosi quando la connessione
non funziona. L’icona della connessione sulla barra di notifica
cambia aspetto secondo il suo
stato: disconnessa, in fase di
connessione, avviso di connettività limitata (DHCP non disponibile e assegnazione di un
indirizzo nel range 169.254.0.0
/16 riservato a Windows), connessa.
Al punto 3) abbiamo citato i
nuovi servizi WPS. I Wireless
Provisioning Services sono
una serie di estensioni alle funzioni client (quelle di un computer che si collega a una rete
wireless) che migliorano il processo di connessione ai punti
di accessi pubblici (gli hotspot
in aeroporti, bar, alberghi e così via) o alle reti di aziende che
forniscono accesso Internet wireless agli ospiti.
Della procedura guidata per
installare una rete wireless, utile ma non per tutte le configurazioni, parliamo più avanti.
Nei casi in cui può essere usata, si esegue sul primo computer e poi si replica sugli altri
computer tramite una chiave
USB (un drive USB di memoria
flash).
Il punto 5) riguarda il logging
(registrazione in un file) delle
operazioni eseguite da componenti specifici o da tutti i componenti del processo di autenticazione di una connessione
wireless, a scopo di diagnosi e
di soluzione dei problemi. A tale scopo si usa il comando (in
finestra prompt) netsh ras set
tracing. Windows XP2 include il
tracciamento del servizio Zero
Configuration Wireless, responsabile del riconoscimento e del tentativo di connessione delle reti “preferite”, quelle
di uso abituale. Per vedere queste registrazioni, abilitate il logging tramite netsh ras set tracing * enabled, disabilitate e
riabilitate la rete wireless in
Connessioni di rete, quindi aprite i file Wzcdlg.log e Wzctrace.log nella directory Tracing
sotto la directory di sistema.
Per disattivare il tracing, eseguite netsh ras set tracing * disabled.
Al punto 6) abbiamo citato
la funzione di Ripristino della
connessione wireless, accessibile ad esempio attraverso i
menu rapidi (clic destro) in
Connessioni di rete o in Status.
Questa funzione è stata migliorata nell’SP2 e abbiamo constatato che funziona efficacemente quando per qualche motivo un computer (correttamente configurato) non si connette più alla rete. Nella nostra
esperienza, prima dell’SP2,
questa funzione era di scarsa
efficacia.
Questa era, prima dell’SP2, la
visualizzazione delle reti wireless
disponibili
Reti wireless
Prima dell’SP2, la configurazione delle schede wireless poteva essere eseguita sia attraverso l’utility di configurazione
fornita dal produttore (insieme al driver) sia attraverso le
funzioni messe a disposizione
da Windows. Era facile passare
da una all’altra delle due strade; anche usando l’utility del
produttore, si poteva passare a
Windows, per esempio per modificare certi attributi non accessibili in altro modo. Bastava
seguire il percorso Connessioni
di rete, selezione della connessione senza fili, Proprietà, Reti
senza fili e selezionare la casella Usa Windows per configurare
le impostazioni della rete senza
fili. Dopo di che, si poteva accedere ai parametri di configurazione selezionando la con- Questa è la finestra da aprire per
selezionare Windows come configuratore
della rete wireless
4a lezione
Windows xp2
Windows XP2 non mostra più l’elenco delle reti disponibili se non specificate di voler
usare Windows per la configurazione wireless
Un esempio di configurazione di una
scheda wireless tramite l’utility fornita
dal produttore
nessione nella sezione Genera-
le delle proprietà e cliccando
su Configura e quindi su Avanzate. Altre proprietà erano modificabili nelle sezioni Reti senza fili e Avanzate della finestra
Proprietà. Tutto questo è stato
descritto nel corso Wi-Fi pubblicato tra giugno e settembre
2004 e incluso nel DVD allegato
a PC Open n° 100.
Una volta completata l’incursione tra le proprietà Windows della connessione wireless, si poteva deselezionare la
casella Usa Windows per configurare le impostazioni della rete senza fili e tornare nell’utility
del produttore, che generalmente è più facile da usare, è
più logica nella sequenza di pagine di impostazioni, permette
di inserire più facilmente e senza ambiguità le chiavi WEP o
WPA e offre funzionalità aggiuntive, come la visualizzazione grafica della potenza e qualità della connessione e la misura della velocità di trasferimento in Kbps.
Generalmente, quando si acquista una scheda wireless, le
istruzioni guidano all’installazione del software, che comprende il driver e l’utility di
configurazione. Quindi la procedura spiega come configurare la scheda appena installata e
imposta l’esecuzione automatica dell’utility di configurazione,
che resta sempre a portata di
doppio clic per monitorare la
connessione o modificarne
qualche caratteristica.
Con l’SP2 le cose sono leggermente cambiate. Se usate
l’utility del produttore per configurare la connessione, non
potete più fare clic destro sull’icona della connessione wireless (in basso a destra, sulla
barra di notifica) e cliccare su
Visualizza reti senza fili disponibili, una comoda funzione
che elenca le reti captate dalla
vostra scheda Wi-Fi. In Windows XP2, se volete vedere le
reti a portata radio, dovete utilizzare l’utility di configurazione della scheda oppure dovete
prima selezionare la casella
Usa Windows per configurare le
impostazioni della rete senza fili nelle proprietà della connessione wireless.
Configurazione in Windows
Supponiamo di trovarci nella
condizione di voler configurare
una nuova scheda wireless e di
avere già installato e configurato un access point o un’altra
scheda wireless con cui ci si
vuole connettere. Ricordiamo
che una rete wireless può essere di tipo Infrastruttura (le stazioni comunicano attraverso
un access point) o di tipo Adhoc (le stazioni comunicano direttamente tra loro). La connessione più semplice è quella
Ad-hoc tra due schede Wi-Fi
(vedi seconda lezione del corso Wireless), che abbiamo usato anche per verificare le funzionalità wireless di Windows
XP2.
Per destreggiarsi in una connessione di rete, soprattutto se
è wireless (molto più complicata da configurare rispetto a
una connessione via cavo),
Windows mette a disposizione
diversi strumenti. Il primo è
Connessioni di rete, accessibile
dal Pannello di controllo. Selezionando una connessione, se
ne può vedere lo stato con doppio clic sul nome della connessione, oppure se ne possono
vedere e modificare le proprietà con clic destro, Proprietà.
Nella sezione Generale della
finestra Proprietà, trovate una
casella, in basso, che permette
di inserire l’icona della connessione nella barra di notifica di
Windows. Questa icona è utile
per due motivi: mostra l’attività della connessione e permette di aprire con un clic diverse finestre utili, come quelle
di stato, di ripristino della connessione, di visualizzazione
delle reti disponibili e di modi-
Le proprietà di una connessione wireless
includono le impostazioni TCP/IP e il
bottone Configura per i parametri avanzati
Le proprietà di una rete wireless
selezionata nell’elenco Reti preferite,
nella sezione Reti senza fili delle
proprietà della connessione wireless
Questa finestra, introdotta con l’SP2,
permette la connessione automatica
delle reti wireless selezionate
4a lezione
Windows xp2
Le proprietà avanzate delle reti
“preferite” includono i tipi di reti a cui
connettersi e la possibilità di
connessione automatica
Dal bottone Configura nelle proprietà
generali di una connessione wireless, si
entra nelle proprietà avanzate
dell’adattatore wireless
fica delle impostazioni del firewall di Windows. Raccomandiamo di attivare l’icona perché, appena qualcosa non va,
sarà il punto di partenza per
vedere lo stato della connessione e cercare di riattivarla.
Dopo avere installato una
scheda di rete in Windows XP2,
insieme al driver e all’utility di
configurazione, le istruzioni del
produttore vi guidano attraverso la procedura di setup,
dove specificate il nome della
rete (SSID), il tipo di rete (Infrastruttura o Ad-hoc), il canale radio (da 1 a 13), il tipo di autenticazione dell’utente (consigliamo Open), l’attivazione
della sicurezza (WEP o WPA) e
una o più chiavi di protezione.
Queste impostazioni devono
essere coerenti con quelle dell’access point e delle altre
schede wireless, altrimenti potrà funzionare la connessione
radio (strato fisico della rete)
ma le stazioni non si connetteranno.
Inizialmente è più facile installare la rete senza attivare le
misure di sicurezza, per poi attivarle una volta che la connessione funziona. Quando l’utility di configurazione conferma che la connessione è attiva,
potete verificarlo aprendo Explorer (Esplora risorse) per accedere ai file condivisi degli altri PC e Internet Explorer per
accedere a Internet. Diamo per
scontato che siano state impostate correttamente le proprietà TCP/IP della connessione (indirizzo IP, gateway di default e indirizzi DNS), come nel
caso di una rete cablata.
Se tutto funziona come previsto, la scheda wireless del PC
riconoscerà il segnale dell’access point o di qualche altra
scheda wireless ed entrerà a
far parte della rete. Con clic destro sull’icona della connessione wireless (che in XP2 ha
cambiato aspetto, per distinguersi dalle connessioni via cavo) e clic su Visualizza reti senza filo disponibili, probabilmente apparirà il messaggio
“Impossibile configurare la rete senza fili”, che continua
spiegando che se avete attivato un altro programma di configurazione, dovreste continuare a usarlo, ma se scegliete
di usare Windows per la configurazione, dovete cliccare su
Cambia impostazioni avanzate,
entrare nella sezione Reti senza fili e selezionare la casella
Usa Windows per configurare le
impostazioni della rete senza fili. Probabilmente non occorre
chiudere l’utility di configurazione fornita con la scheda, ma
questo potrebbe variare secondo i casi.
Una volta dichiarato che si
vuole usare Windows per la
configurazione, potete visualizzare le reti disponibili, per
esempio partendo da un clic
destro sull’icona della connessione o sul nome della connessione in Connessioni di rete.
L’attivazione di una connessione wireless non è così ovvia
e immediata come nel caso di
una rete cablata. È influenzata
dalla sequenza degli eventi e
può succedere che, dopo aver
acceso i computer, la connes-
sione non sia attiva. Se in precedenza la rete wireless funzionava, di solito basta eseguire
Ripristina nel menu rapido (clic
destro sull’icona della connessione) per rimettere le cose a
posto.
Le opzioni di configurazione
sono distribuite nelle varie sezioni della finestra Proprietà.
Nella sezione Generale, il bottone Configura apre la finestra
Proprietà di Gestione periferiche, a sua volta suddivisa in sei
sezioni; quella che ci interessa
è la sezione Avanzate, che permette di modificare anche certi parametri generalmente inaccessibili dall’utility del produttore (e che solitamente è meglio non modificare).
Tornando alle proprietà della connessione wireless, nella
sezione Reti senza fili, nel pannello Reti preferite, potete selezionare una rete e, cliccando
sul bottone Proprietà, modificare il tipo di autenticazione
(aperta o con chiave condivisa), il tipo di crittografia e le
chiavi. Selezionando la crittografia tramite WEP (il livello di
base garantito da tutti i prodotti), inserite fino a quattro
chiavi (le stesse e nello stesso
ordine impostate sull’access
point e sulle altre schede).
Dato che Windows non permette di selezionare esplicitamente il formato delle chiavi
(caratteri ASCII o cifre esadecimali) e che ha un controllo
rudimentale della lunghezza
delle chiavi introdotte, di solito è più comodo definire le
chiavi utilizzando l’utility del
produttore.
Il bottone Avanzate nella finestra Reti senza fili permette
di specificare se ci si vuole connettere solo a un tipo di rete
(con access point o Ad-hoc) o a
qualsiasi rete disponibile e se
ci si vuole connettere automaticamente a qualsiasi rete wireless a portata del computer.
Quest’ultima opzione va usata
con cautela perché potrebbe
portarvi a una violazione della
privacy, facendovi entrare nella rete del vicino di casa (tuttora la maggior parte delle reti
wireless viene installata senza
protezione). Potete sempre visualizzare l’elenco delle reti disponibili e poi scegliere a quale connettervi. Dato che anche
il vicino è nelle stesse condizioni, non è il caso di lasciare la
vostra rete senza protezione
WEP o WPA.
Installazione guidata
Quando installate dei dispositivi di rete (schede d’interfaccia e altro), la prassi è quella di eseguire la funzione Installa una rete domestica o una piccola rete aziendale in Connessioni di rete, in modo da configurare automaticamente Windows per l’accesso alle risorse
della rete.
Per le reti wireless, l’SP2 ha
introdotto una funziona solo
apparentemente analoga. La
trovate nella finestra Risorse di
rete e si chiama Installa una rete senza fili domestica o per
una piccola azienda. In teoria
dovrebbe permettere a chiunque di installare una rete wireless senza difficoltà. In pratica,
questa procedura limita le scelte dell’utente, non risolve tutti
i problemi e ne può creare di
nuovi. La sequenza dei passi è
stata mostrata a pag. 34 del numero di dicembre 2004 di PC
Open. Si inizia dando un nome
alla rete e scegliendo tra assegnazione automatica o manuale di una chiave di protezione,
WEP o WPA.
La procedura guidata per l’installazione
di una rete wireless inizia specificando il
nome della rete e il tipo di chiave di
protezione
La procedura permette di inserire una
sola chiave WEP di non oltre 128 bit o
una chiave WPA
4a lezione
Windows xp2
Questo messaggio di errore spiega che talvolta la configurazione del sistema
impedisce alla procedura guidata tramite drive flash di avere successo
La configurazione impostata per la prima
stazione può essere replicata sugli altri
PC con un drive USB di memoria flash
Se si usa il drive flash, la procedura vi
copia sopra le informazioni di
configurazione e un programma ad avvio
automatico (autorun)
Scritte le informazioni sul drive flash, si
porta il drive su tutti i computer da
configurare e alla fine lo si reinserisce nel
PC di partenza per vedere l’esito
Nel caso di assegnazione
manuale viene richiesta l’immissione della chiave e qui iniziano i problemi. La procedura
non accetta chiavi di lunghezza
superiore a 128 bit, pur dichiarando che, più è lunga la chiave, maggiore è la protezione;
tuttavia diversi produttori supportano chiavi WEP di 256 bit.
Un altro problema, almeno per
una nicchia di utenti, è che la
procedura guidata non prevede reti Ad-hoc, ma solo con access point (reti a infrastruttura
o ESS). Il terzo problema è che
questa procedura non permette di inserire più di una chiave,
mentre le utility dei produttori
e persino la configurazione tramite Proprietà della connessione, permettono di inserire fino
a quattro chiavi WEP, che rendono molto più difficile l’intercettazione delle comunicazioni.
Visto che usavamo una rete
Ad-hoc con due chiavi a 256
bit, abbiamo subito incontrato
tutti e tre i problemi; ma non
sono finiti qui. Fingendo di installare una rete con access
point e una chiave a 128 bit, abbiamo proseguito con l’installazione; il passo successivo è la
scelta tra la configurazione
manuale di ciascuna stazione e
la copia delle impostazioni su
un’unità di memoria flash USB,
da utilizzare per configurare rapidamente gli altri computer.
Abbiamo provato entrambi i
percorsi; nel primo caso sulla
memoria flash è stato registrato un programma (setupSNK.
exe), da eseguire quando il dispositivo viene inserito negli
altri computer da aggiungere
alla rete. Nel secondo caso (installazione manuale della rete),
la procedura si è bloccata con
un messaggio di errore che recita: A seconda del software per
reti senza fili in esecuzione nel
Alla fine dell’installazione guidata della
rete wireless, se stampate le
informazioni di configurazione, scoprite
che dovete eseguire anche la procedura
tradizionale di configurazione di una rete
per attivare la condivisione delle risorse
locali
computer, è possibile che l’installazione guidata rete senza fili non funzioni. Per ulteriori
informazioni, consultare l’articolo 871122 nella Microsoft
Knowledge
Base
di
Microsoft.com”. Questo articolo
afferma che se è uscito quell’errore, significa che non è attivo il servizio di sistema Wireless Zero Configuration (in italiano si chiama Zero Configuration reti senza fili). Questo nel
nostro caso non era vero, dato
che il servizio era attivo, tanto
più che, senza tale servizio in
funzione, non sarebbe stato
possibile vedere l’elenco delle
reti wireless a portata di segnale.
La configurazione in cui abbiamo provato la procedura
guidata per l’installazione di
una rete senza fili era abbastanza standard: un notebook
di marca con Pentium 4 Mobile, 512 MB di RAM e Windows
XP tenuto aggiornato e ben
protetto da attacchi e intrusioni. La conclusione è che la nuova procedura di Windows XP2
per configurare le reti wireless
è interessante in certi casi (rete con access point e singola
chiave di protezione) ma non
funziona sempre e anche Microsoft lo ammette, pur offrendo una spiegazione sbagliata
(almeno nel nostro caso). Inoltre, nelle istruzioni a video non
è scritto che questa procedura
non provvede ad attivare la
condivisione dei file e stampanti sulla rete locale, per cui
occorre eseguire anche la normale Installazione guidata rete
che si usa per le reti cablate. Diversamente, l’accesso alle risorse condivise potrebbe avere dei problemi. Questo lo scoprite solo se, spinti dalla curiosità, selezionate Stampa impostazioni di rete nell’ultima pagina della procedura guidata.
C’è un aspetto positivo che
riguarda le schede con supporto WPA. Già dal 2003 ci sono sul
mercato prodotti, come quelli
di Linksys, che supportano non
solo il WPA ma anche la crittografia avanzata AES (Advanced
Encryption Standard), che non
tutti offrono perché richiede
una specifica implementazione
in hardware. Con queste schede, oltre all’utility di configurazione del produttore, potete
usare la procedura guidata d’installazione della rete, che prevede anche il caso WPA con
AES. AES è la scelta migliore, se
supportata da schede e access
point, perché fornisce il tipo di
crittografia più efficace.
In pratica, la configurazione
guidata è applicabile solo ai casi più semplici e la possibilità di
configurare automaticamente
più computer con il drive flash,
per quanto attraente, non sempre funziona. Nei casi che non
sono coperti dall’installazione
guidata o in cui la rete wireless
non funziona, dovrete comunque ricorrere alla configurazione manuale e ai comandi e utility che possono aiutarvi a impostare correttamente la rete.
Memoria flash
Se decidete che vi interessa
sfruttare la configurazione automatica delle schede wireless
con una memoria flash USB
(UFD, USB Flash Drive), può esservi utile conoscere il contenuto che viene trasferito nel
drive di memoria.
\Autorun.inf serve a eseguire automaticamente il programma di setup \Smrtntky\
Setupsnk.exe quando il drive
UFD è inserito nella presa USB.
Se c’è già un file Autorun.inf,
viene rinominato Autorun.fcb.
Se selezionate la casella di rimozione dei dati dall’UFD alla
fine dell’installazione, i file di
setup vengono cancellati dal
drive e Autorun.fcb torna a essere Autorun.inf.
\Smrtntky\Setupsnk.exe è
il programma che, su un PC con
Windows XP2, esegue il setup
della connessione wireless in
base ai dati di configurazione
memorizzati
nel
file
\Smrtntky\Wsetting.wcf del
drive UFD. Se il PC non ha l’SP2,
il programma vi propone di
stampare il file \Smrtntky\
Wsetting.txt contenente i dati
di configurazione, da applicare
manualmente.
\Smrtntky\Wsetting.wfc è
un file XML che contiene i parametri di configurazione per la
rete wireless, tra cui il nome
della rete, il metodo di autenticazione e crittografia e la chiave WEP o WPA.
Smrtntky\Wsetting.txt è un
file di testo con l’equivalente
4a lezione
Windows xp2
dei dati contenuti in \Smrtntky
\Wsetting.wcf.
\Smrtntky\Device\xxxxxxx
x.wcf è un file di configurazione
contenente informazioni in formato XML relative al computer
su cui è stata eseguita inizialmente la procedura di installazione guidata della rete wireless. Il nome del file è la rappresentazione ASCII delle cifre esadecimali degli ultimi quattro byte dell’indirizzo MAC dell’adattatore di rete. Per esempio, per
un computer con scheda di rete
con indirizzo MAC 00-AA-A3-8C3D-0F, il nome del file sarebbe
A38c3d0f.wfc.
Durante l’installazione guidata, le informazioni di setup
della rete wireless sono scritte
sul drive UFD, quindi vi viene
chiesto di estrarre il drive e di
inserirlo a turno in tutti i PC da
collegare e infine di reinserirlo
nel PC iniziale. A questo punto
la procedura vi mostra l’esito
dell’operazione e, in caso di
successo, l’elenco dei PC che
sono stati configurati nella rete.
A questo punto avete la possibilità di cancellare i dati dal drive per motivi di sicurezza.
Bluetooth
Windows XP in origine non
supportava le connessioni
Bluetooth, che hanno sostituito con vantaggio molte connessioni a infrarosso. All’inizio
del 2002 Microsoft iniziò a supportare Bluetooth con un aggiornamento software e con i
driver per i propri prodotti
hardware. Ora l’SP2 porta un
sensibile miglioramento nel riconoscimento dei dispositivi
Bluetooth.
Su un PC con ricetrasmettitore Bluetooth attivato, un’icona Bluetooth blu nella barra
di notifica permette di accedere a operazioni come l’aggiunta di una periferica, l’invio o ri-
cezione di un file o l’associazione a una rete Bluetooth.
Anche nel Pannello di controllo una nuova applet offre la
procedura guidata per l’aggiunta di nuovi dispositivi
Bluetooth.
Inoltre, per motivi di sicurezza, potete assegnare una
password ai dispositivi in modo che siano vincolati al vostro computer, evitando che
entrino a far parte di altre reti.
Forse Bluetooth non avrà il
successo previsto qualche anno fa, ma per lo meno non gli
manca un supporto adeguato
in Windows.
2 Protezione della memoria
e le migliorie nel campo
del networking wireless
sono rivolte a una maggiore facilità d’uso del sistema
operativo, l’argomento protezione della memoria ci riporta
nell’alveo principale del Service Pack 2, che è quello della sicurezza.
Nel corso degli anni, uno dei
meccanismi usati più di frequente per penetrare in un sistema facendo breccia nelle
barriere di sicurezza è stato il
buffer -overrun, vale a dire
riempire un buffer fino a oltrepassarne i limiti di memoria ed
eseguire codice dannoso. In
questo tipo di attacco, l’autore
invia una lunga sequenza di dati in input a un programma, debordando dall’area di memoria
allocata per ricevere l’input. La
stringa inserisce in memoria
del codice maligno che, quando eseguito, scatena un virus o
un worm.
Windows XP2 utilizza due diverse misure per proteggersi
dagli attacchi di tipo bufferoverrun. Se la CPU installata
nel sistema lo supporta, Windows può attivare il bit di protezione dall’esecuzione per le
pagine di memoria virtuale destinate a contenere solo dati e
non codice eseguibile. Su tutte
le CPU, invece, Windows si è
fatto più guardingo e riduce le
possibilità di buffer-overrun
con tecniche di sandboxing. Un
sandbox trae il nome dalla cassetta o recinto di sabbia usato
per far giocare i bambini senza
che spargano sabbia dapper-
S
tutto. Nel gergo software, un
sandbox è un ambiente di esecuzione protetto, utilizzato per
eseguire programmi non fidati
senza possibilità che facciano
danni al resto del sistema. Questo viene ottenuto riducendo i
privilegi dei processi eseguiti
nel sandbox.
L’SP2 introduce la protezione contro l’esecuzione di codice dalle aree di dati, regolata
dell’opzione NoExecute nel file Boot.ini; il default è OptIn e protegge solo Windows, ma
si può modificare in OptOut per proteggere anche le applicazioni
Protezione dall’esecuzione
A parte l’Itanium, limitato a
una nicchia di server di fascia
alta, i processori AMD a 64 bit
(in attesa che anche le CPU di
Intel implementino questa funzione) possono marcare la memoria con un attributo che indica la non eseguibilità di quell’area di codice. Questa protezione dall’esecuzione (NX per
AMD, Execute Disable per Intel) si applica per pagina di memoria virtuale, modificando un
bit nel descrittore della pagina.
Su questi processori, Windows XP2 usa il bit di non esecuzione per impedire l’esecuzione di codice contenuto in
pagine di dati. Per utilizzare la
funzione NX, la CPU deve funzionare in modalità PAE (Physical Address Extension). Quando viene tentata l’esecuzione
da una di queste pagine, il processore invia una segnalazione
e blocca l’esecuzione di quel
codice. Questa funzione, se fosse stata disponibile prima,
avrebbe impedito al worm Blaster di compiere i disastri che
ha fatto.
Sandboxing
Per tutti i processori che
non dispongono della funzione
di non esecuzione, Windows
XP2 aggiunge delle verifiche su
due strutture di memoria utilizzate dal sistema, lo stack e
l’heap.
Lo stack è usato per le variabili locali temporanee; è allocato quando viene richiamata
una funzione e deallocato all’uscita dalla funzione. L’heap è
usato dai programmi per allocare e deallocare dinamicamente blocchi di memoria che
hanno durata più lunga.
La protezione che è stata aggiunta a queste due strutture è
appunto di tipo sandboxing.
Per proteggere lo stack, tutto il
codice binario è stato ricompilato usando un’opzione che
consente controlli di sicurezza
sui buffer nello stack.
Alcune istruzioni, aggiunte
alle sequenze di chiamata e rilascio delle funzioni, permettono alle librerie di runtime (moduli utilizzati durante l’esecuzione delle applicazioni) di intercettare la maggior parte dei
buffer-ovverrun.
A queste misure si aggiunge
la marcatura, all’inizio e alla fine dei buffer allocati, con dei
Per estendere la Data Execution
Protection alle applicazioni, si usa questa
finestra della applet Sistema nel Pannello
di controllo
particolari “cookies” che le librerie di runtime controllano
man mano che i blocchi di memoria sono allocati e liberati.
Se i cookies vengono trovati
mancanti o incoerenti, le librerie segnalano una condizione
di errore dovuto all’overrun di
un buffer dello heap.
Se la Data Execution Pre-
4a lezione
Windows xp2
vention (DEP, prevenzione
contro l’esecuzione dei dati) si
rivelerà efficace come nelle intenzioni di Microsoft, Windows
XP2 avrà compiuto un passo
avanti significativo.
In pratica
La Data Execution Prevention a livello di sistema è controllata dallo switch (opzione)
NoExecute che nel file Boot.ini
è associato all’installazione (o
installazioni) di Windows XP2.
Potete aprire Boot.ini con il
Blocco note (il file si trova nella directory principale del disco di sistema) o visualizzarlo
tramite Sistema nel Pannello di
controllo. Se volete modificare
Boot.ini con un editor, dovete
prima togliere l’attributo di sola lettura nelle proprietà del file in Explorer.
Per default, lo switch NoExecute ha valore OptIn: sui sistemi con CPU che supporta il bit
NX (AMD64 e alcune Intel), la
funzione DEP è abilitata per default per alcuni eseguibili di sistema e solo per le applicazioni che lo richiedono (opt-in)
durante l’installazione.
Assegnando a NoExecute il
valore OptOut in Boot.ini, la
DEP è abilitata per default per
tutti i processi, ma l’utente può
compilare una lista di applicazioni specifiche a cui non va
applicata DEP.
Queste esclusioni possono
rendersi necessarie per problemi di compatibilità, in attesa di avere versioni aggiornate
per Windows XP2.
Se assegnate a NoExecute il
valore AlwaysOn (sempre acceso), ottenete una copertura
DEP totale per l’intero sistema:
tutti i processi sono eseguiti
con DEP attiva e non è possibile specificare eccezioni.
Le applicazioni eventualmente elencate in precedenza
come OptOut, vengono eseguite anch’esse con DEP attiva.
Il quarto e ultimo valore previsto per NoExecute è AlwaysOff (sempre spento), che disattiva la DEP per l’intero sistema, persino se la CPU supporta il bit NX. In questo caso,
la CPU non opera in modalità
PAE a meno che in Boot.ini non
sia specificata l’opzione /PAE.
I dettagli tecnici, reperibili
sul sito di Microsoft, riguardano soprattutto sistemisti e sviluppatori. Le opzioni per gli
utenti sono essenzialmente
due: lasciare OptIn e proteggere solo Windows o attivare
l’OptOut per proteggere anche
le applicazioni, salvo escludere
quelle non compatibili. Alcune
applicazioni che costruisconono codice eseguibile nelle aree
dati hanno problemi di compatibilità e richiedono un aggiornamento. Per attivare la prote-
zione DEP anche per le applicazioni, aprite Pannello di controllo, Sistema, Avanzate, Impostazioni nel riquadro Prestazioni, Protezione Esecuzione
Programmi. Qui selezionate Attiva Protezione esecuzione programmi per tutti i programmi e i
servizi tranne quelli selezionati.
Usate il bottone Aggiungi per
elencare le applicazioni che
hanno problemi di compatibilità, così da eseguirle senza attivare la protezione DEP.
Internet Information Services
Windows XP Professional include gli Internet Information
Services (IIS), versione 5.1, che
permettono di utilizzare il vostro computer come Web server su Internet o su una intranet. L’accessibilità limitata non
permette di utilizzare l’IIS per
ospitare un sito Web accessibile al vasto pubblico, ma è uno
strumento utile per operazioni
di testing, manutenzione e accesso remoto. D’altra parte, un
Web server è una porta aperta
in più (e una di quelle più interessanti) per gli attacchi da Internet e non dovrebbe essere
attivato senza robuste difese, a
cominciare da un firewall efficace. In Windows XP Pro, l’IIS è
un componente incluso ma da
installare a parte dopo aver installato il sistema operativo.
Per attivare l’IIS, aprite Pannel-
lo di controllo, Installazione applicazioni, Installazione componenti di Windows e selezionate
la casella Internet Information
Services (IIS). L’IIS non è disponibile in XP Home Edition. Visto che molti utenti sviluppano
il proprio sito Web e usano il
Web server locale per le prove,
la sicurezza dell’IIS è di interesse abbastanza ampio.
IIS prima e dopo l’SP2
Se installate una versione slipstream (XP con SP2 integrato,
vedi ultima sezione) di Windows XP, la configurazione di
default di IIS 5.1 risulta modificata così da ridurre il “fronte
d’attacco” esposto alle minacce esterne. Questo migliora la
sicurezza generale del sistema
e della rete, che risultano meno
vulnerabili. Tuttavia, se applicate il Service Pack 2 a un’installazione XP+SP1, la configurazione di IIS non viene modificata. Per fruire della maggiore
protezione, dovrete scaricare
lo strumento IIS Lockdown da
http://go.microsoft.com/fwlink/?linkid=22848.
Quando IIS viene installato
da un CD slipstream XP+SP2,
viene attivata una serie di impostazioni che riducono l’esposizione di IIS, tra cui la disattivazione delle estensioni
server per FrontPage e l’omissione degli esempi campione.
3 Integrare l’SP2 con Windows XP
on c’è un solo modo di
creare un CD di installazione che integri Windows XP e il Service Pack 2. Vi
spieghiamo una procedura diretta ed elegante per farlo.
Questa procedura viene
chiamata slipstream in inglese,
un termine che in origine era
usato per indicare la correzione o estensione di un software
(facendogli “scivolare dentro”
le modifiche) senza creare un
nuovo numero di versione.
Windows, dopo l’azione di slipstreaming dell’SP2, si chiama
Windows XP SP2 (noi lo chiamiamo Windows XP2). Supponiamo che vi siate procurati il
file completo Service Pack 2 in
italiano, vale a dire la versione
per l’installazione dalla rete (o
da un hard disk locale).
N
Se avete la banda larga, potete scaricarlo da www.microsoft.com/downloads/details.as
px?displaylang=it&FamilyID=049c9dbe-3b8e-4f308245-9e368d3cdb5a.
Copiate il CD di installazione
originale di Windows XP in una
directory dell’hard disk, per
esempio \CDXP (non lasciate
spazi nel nome). Copiate il file
dell’SP2 in un’altra directory,
per esempio \XPSP2.
Ora aprite una finestra
prompt (Start, Esegui, cmd) e vi
posizionate nella directory dell’SP2 (cd \XPSP2). Supponendo che il drive su cui state lavorando sia D: e che il file dell’SP2 sia WindowsXP-KB835935SP2-ITA.exe, il comando che
produce l’integrazione tra XP e
SP2 è WindowsXP-KB835935-
Nella procedura per creare un CD con XP+SP2, IsoBuster estrae dal CD di Windows il
file che renderà bootable il nuovo CD
SP2-ITA /integrate:D:\CDXP.
Questo comando funziona con
le copie commerciali di Windows XP, mentre potrebbe non
funzionare con le copie OEM
fornite dai produttori di
hardware.
Alla fine dell’estrazione dei
file dell’SP2 e della loro integrazione con i file di XP, un
messaggio annuncia che l’inte-
grazione è terminata. Ora si
tratta di creare un CD bootable
(avviabile) di XP2.
Vi procurate IsoBuster (versione gratuita), lo installate e lo
aprite con il CD originale di XP
inserito nel drive. Selezionate
la directory Bootable CD sul
CD di XP e fate clic destro su
Microsoft Corporation.img. Nel
menu selezionate Extract Mi-
4a lezione
Windows xp2
Utilizzando Nero per la registrazione del CD XP+SP2, queste sono le impostazioni della
sezione Boot
parametri, aggiornate la vostra
versione di Nero, altrimenti il
CD non sarà avviabile.
Passate alla sezione Label di
New Compilation e nel campo
etichetta (Volume label ISO
9660) inserite un nome di vostra scelta; se presente, selezionate la casella Also use the
ISO 9660 text for Joliet. Quindi
cliccate su New.
Nella finestra del browser di
Nero, a destra selezionate l’intero contenuto della directory
\CDXP e lo trascinate nella finestra di sinistra (ISO1). Ora
premete l’icona Burn per registrare il CD. Nella finestra Burn,
selezionate le caselle Write, Finalize CD e BURN-Proof (o altra
dicitura per la protezione da
underrun) e scegliete la velocità di scrittura appropriata e
Write method = Track-at-once.
Alla fine della scrittura avrete
un CD di XP con SP2 avviabile.
Support Tools
La finestra di Nero con i file da copiare
Le impostazioni nella sezione Burn di Nero
crosoft Corporation.img, e lo
estraete mettendolo nella cartella \CDXP.
Supponendo di usare Nero
Burning ROM per registrare il
CD, aprite il programma, selezionate la funzione Creare CD
d’avvio e nella sezione Boot
della finestra New Compilation
selezionate Image file e inserite
D:\CDWINXP\Microsoft Corporation.img nella finestrella.
Selezionate la casella Enable
expert Settings, scegliete No
Emulation e modificate Number
of loaded sectors a 4 (altrimenti
il CD non fa il boot).
Dalla sezione Boot passate
alla sezione ISO di New compilation, che dovrebbe essere
compilata con questi valori: File name length = Max 31 car.
(ISO Level 2), Format = Mode 1,
Character Set = ISO 9660 (standard ISO CD-ROM), Joliet, Allow path depth of more than 8
directories, Allow more than
255 characters in path, Do not
add the ‘;1’ ISO file version extension e Allow more than 64
characters for Joliet names.
Se non vedete tutti questi
Gli Strumenti di supporto per
Windows XP, già citati nel corso Windows Expert, sono destinati all'utilizzo da parte di
utenti esperti e servono per
diagnosticare e risolvere problemi di vario tipo. Trovate una
descrizione dei singoli strumenti nella loro documentazione in linea (Suptools.chm).
Gli Strumenti di supporto per
Windows XP possono essere
installati solo su computer con
Windows XP Professional o
Windows XP 64-Bit Edition.
Non possono essere utilizzati
per aggiornare gli Strumenti di
supporto installati su Windows
NT o Windows 2000.
Microsoft consiglia di rimuovere tutte le precedenti versioni degli Strumenti di supporto,
comprese le versioni Beta per
Windows XP, prima di eseguire
il programma di installazione.
Non lo abbiamo fatto ma ci ha
pensato l’installatore.
I Support Tools non sono stati localizzati, quindi sono disponibili solo in inglese, con
qualche rischio teorico di funzionamento scorretto sulle versioni di XP in altre lingue.
Nel Service Pack 2 sono stati aggiornati alcuni dei programmi: bitsadmin.exe, extract.exe, httpcfg.exe, iadstools.dll, ipseccmd.exe, netdom.exe e replmon.exe.
In totale gli strumenti sono
80 e potete scaricare il file eseguibile che li installa da
www.microsoft.com/down-
loads/details.aspx?displaylang=it&FamilyID=49ae85769bb9-4126-9761-ba8011fabf38.
Riferimenti e conclusione
Il sito di Microsoft per l’SP2:
www.microsoft.com/italy/windowsxp/sp2/default.mspx
Windows XP Service Pack 2
con tecnologie avanzate di sicurezza: panoramica sulle funzionalità www.microsoft.com/
italy/windowsxp/sp2/technologiesoverview.mspx
Funzionalità di Windows XP
Service Pack 2 www.microsoft.com/italy/windowsxp/sp2/
features.mspx
Procedure e supporto per
www.microsoft.com/italy/
windowsxp/sp2/howto/
default.mspx
(SP2) per Professionisti IT
support.microsoft.com/?scid=
fh%3bln%3bwindowsxpsp2it
Features and Functionality
in Windows XP Service Pack 2
www.microsoft.com/technet/
prodtechnol/winxppro/plan/
xpsp2ff.mspx
Changes to Functionality in
Microsoft Windows XP Service
Pack 2 www.microsoft.com/
technet/prodtechnol/winxppro/maintain/sp2chngs.mspx
Di queste fonti di documentazione, l’ultima citata è quella
più tecnica e concreta, lontana
dal linguaggio del marketing;
contiene otto documenti che
costituiscono una miniera
d’informazioni e comprendono
quasi tutto quello che vorrete
sapere sul Service Pack 2 di XP,
incluse tante nuove tecnologie
che per ragioni di spazio non
abbiamo citato in queste quattro puntate.
Utilizzare XP dopo il Service
Pack 2 non è sempre una passeggiata e i problemi incontrati
sono diversi secondo il tipo di
utente. Per noi, ad esempio, la
seccatura maggiore è stata l’assenza della MS Java Virtual Machine, mentre altri hanno sperimentato i guai di applicare l’SP2
a un’installazione troppo “logorata”. Dopo quattro mesi di test
ed esperienza, la conclusione è
che non torneremmo indietro.
Tuttavia vi raccomandiamo di
procurarvi un programma di
backup delle immagini delle
partizioni e di aggiungere un disco per i backup, così, se tutto
va storto, potete sempre ripristinare l’installazione originaria in pochi minuti.

Corso formato PDF in 4 lezione su SP2 per windows

Transcript

Documenti analoghi

Una cura per ogni male La nuova generazione 106 Scanner per tutti

Firewalls Firewall I firewall sono una componente o un insieme di

7 buoni motivi

Firewall

GUIDA CONFIGURAZIONE OTTIMALE PC

IMMOBILIARE 2006 – FUNO DI AR

Guida all`installazione e all`uso dei programmi packet. Prima Parte

L`esperto Informatico(seconda edizione Marzo 2010)

L`esperto Informatico(terza edizione trimestre 2010)

120 SPCEC@M

guida pdf - Home Page DEXSTEXPROGRAMS

Modem ADSL con Router Wireless G

documento programmatico sulla sicurezza dei dati personali

Catalogo Pluriservice SPA in formato PDF

Versione PDF - SIF

elenco_di_programmi_open_source_da_w