Corso formato PDF in 4 lezione su SP2 per windows
Transcript
Corso formato PDF in 4 lezione su SP2 per windows
1a lezione Windows xp2 A scuola con PC Open Windows XP2 istruzioni per l’uso di Giorgio Gobbi Prima o poi l’installazione del Service Pack 2 di Windows XP è una tappa inevitabile, ma non risolve tutti i problemi e ne può creare anzi di nuovi. Le informazioni di queste quattro puntate vi saranno di aiuto egli ultimi mesi Microsoft e i media tecnici hanno dato ampio risalto al Service Pack 2 di Windows XP. Oltre a riassumere le correzioni e gli aggiornamenti successivi al Service Pack 1 del 2002, l’SP2, uscito con un anno di ritardo, ha il compito di contrastare le dilaganti infezioni da malware (virus, cavalli di Troia, worm, spyware e altro) che hanno caratterizzato il 2003. Perciò l’SP2 si presenta non solo come la solita raccolta di patch critiche per la sicurezza con l’aggiunta di correzioni e aggiornamenti, ma vuole essere un irrobustimento generale di Windows XP per renderlo meno vulnerabile agli attacchi che provengono prevalentemente da Internet. La promessa di un sistema operativo più sicuro potrebbe N farci sperare che finalmente si possa installare Windows e connetterlo a Internet senza più preoccuparsi della sua integrità. Non è proprio così; come vedremo, l’attivazione automatica del firewall di Windows e l’evoluzione di Internet Explorer e Outlook Express sono i cardini per bloccare il malware, ma questi programmi hanno comportamenti generalizzati. In altre parole, non riconoscono le specifiche minacce e non sono continuamente aggiornati come avviene per i migliori antivirus e firewall commerciali. Il Windows Firewall L’affermazione di Microsoft secondo cui il Windows Firewall (modesta evoluzione del precedente Firewall Connes- IL CALENDARIO DELLE LEZIONI Lezione 1: - Concetti generali sulla sicurezza - Installare l’SP2 - I possibili problemi Le prossime puntate Lezione 2: - I tipi di firewall sione Internet) impedirebbe a virus e worm di raggiungere il computer, suona per lo meno azzardata, visto che Windows non contiene un programma antivirus capace di distinguere un worm o un cavallo di Troia da un legittimo programma eseguibile. - Configurare il firewall di XP - Hardware e software per bloccare il traffico Lezione 3: - Configurare e utilizzare Explorer e Outlook Express Lezione 4: - Le modifiche nell’architettura di Windows XP Normalmente è l’antivirus che trova virus, trojan e worm, mentre il firewall, oltre a bloccare il traffico illecito, dovrebbe riconoscere e bloccare i tentativi di intrusione. Tra questi ultimi, ci sono i tentativi di sfruttare i bug di Windows o di eseguire trojan o 1a lezione Windows xp2 backdoor allo scopo di prendere il controllo del computer. Tra le regole che governano il funzionamento di un buon firewall ci sono quelle capaci di riconoscere minacce specifiche, così da proteggere il sistema dalle falle di Windows e dal malware (tipicamente trojan e worm) che vengono scoperti man mano. Tuttavia il Windows Firewall di SP2 non utilizza queste regole, inoltre dovrete comunque installare un antivirus. Pur ammettendo che un anno di lavoro aggiuntivo abbia corazzato Windows contro i bug noti (fino all’agosto 2004) e contro certe categorie di accessi illegali o sospetti, resta il fatto che Windows XP2 non riconosce il malware già installato (virus, trojan, worm, spyware e tutto il resto), non distingue amico da nemico in ciò che blocca e blocca solo certe ca- tegorie di oggetti, consentendo peraltro di aggirare il blocco se esso impedisce all’utente di operare. Per di più, il nuovo Windows Firewall può essere disattivato via software, un regalo che sarà subito utilizzato dagli autori di malware per introdurre codice maligno. 1 Un passo avanti uanto detto sopra non sminuisce i meriti di Windows XP2, ma mette in guardia dai facili entusiasmi. Per gli utenti che considerano il computer come un elettrodomestico da acquistare e usare così com’è, Windows XP2 è un passo avanti, anche se non offre la protezione completa che servirebbe a questo tipo di utenti; Windows XP2 richiede ancora applicazioni aggiuntive, come antivirus e anti spyware, per essere utilizzabile con sufficiente tranquillità. Gli utenti esperti, o perlomeno consapevoli delle minacce presenti su Internet, in questi anni si sono attrezzati con firewall, antivirus sempre aggiornato e altro software (come anti spyware e anti browser helper, descritti più avanti) e hanno sempre applicato gli aggiornamenti critici di Windows Update. In questo modo non hanno subito danni, neppure nei giorni di massimo allarme per la diffusione degli attacchi più virulenti. Questi utenti non hanno molto da guadagnare dall’SP2, che anzi crea più di un problema; tuttavia, proprio la necessità di tenere Windows aggiornato rende inevitabile l’applicazione del Service Pack 2, che diventerà il requisito per molte applicazioni. Si può ritardare l’installazione dell’SP2 per eseguire test e raccogliere esperienze, ma alla lunga lo si dovrà digerire (per gli allergici c’è sempre Mac e Linux). Windows XP2 va anche incontro alle grandi aziende, riducendo il rischio che i dipendenti possano infettare il sistema; tuttavia costringe a verificare la compatibilità delle applicazioni e ad adeguarsi alle nuove regole di protezione. Ad Q uso delle grandi aziende, l’SP2 aggiunge 609 nuovi oggetti ai criteri di gruppo (group policy) per Active Directory, elemento essenziale dell’architettura basata sui server Microsoft. Questi oggetti permettono agli amministratori di controllare in dettaglio la configurazione della protezione e i relativi comportamenti. Per esempio, si può assegnare un livello di rischio a ogni tipo di allegato e richiedere l’esame da parte di un antivirus ogni volta che vengono aperti gli allegati. Una ricerca della società AssetMetrix su 44.000 sistemi con XP in quasi 350 aziende, in base alle informazioni pubblicate da Microsoft, prevede che mediamente un PC su 10 avrà qualche problema dopo l’installazione dell’SP2 (vedi www.assetmetrix.com/solutions/xpsp 2/WinXPSP2ImpactAnalysis.pd f). Questa percentuale può essere molto più alta per le aziende con meno di 100 PC. Mentre i nuovi computer venduti con Windows XP2 saranno più sicuri, le aziende applicheranno l’SP2 con cautela, visti i problemi di compatibilità previsti per decine di applicazioni. I singoli utenti non corrono grossi rischi nell’applicare il Service Pack 2 a patto di osservare le regole che presentiamo più avanti e di essere consapevoli che qualcuno dei programmi utilizzati potrà avere dei problemi. Il sommario del corso Dedichiamo questa puntata alle informazioni generali sulla sicurezza (la base di partenza dell’SP2), alla sequenza di azioni consigliate per installare l’S P2 senza inconvenienti e a una serie di problemi causati dall’SP2 (in parte incontrati nelle 1 Il sito di Microsoft contiene una vasta documentazione sui benefici e sui problemi potenziali del Service Pack 2 nostre prove, in parte incontrati da altri, in parte dichiarati da Microsoft e da altri produttori). Nella seconda puntata, dopo una panoramica sul funzionamento e sui tipi di firewall, vedremo come usare e configurare il firewall di Windows XP2 e il confronto con alcuni firewall sul mercato. Vedremo perché un firewall può dare una falsa idea di sicurezza e perché dovrebbe incorporare o essere affiancato anche da funzioni di Intrusion Detection. Mostreremo esempi di soluzioni hardware e software per bloccare il traffico indesiderato e sospetto. Nella terza puntata vedremo in dettaglio come configurare e utilizzare le versioni SP2 di In- ternet Explorer e di Outlook Express. Le protezioni dell’SP2 possono bloccare i contenuti desiderati, ma se togliete il blocco rischiate di installare malware, per esempio un allegato di posta eseguibile; vedremo qual è la soluzione. La quarta e ultima puntata riassumerà le modifiche di architettura apportate a Windows dal Service Pack 2, soffermandosi su alcuni aspetti di maggiore interesse per gli utenti, come la nuova procedura per installare e configurare le connessioni di rete wireless. Infine citeremo parecchie fonti di informazioni sull’SP2 utili per approfondire l’argomento o per risolvere i problemi di funzionamento delle applicazioni. 1a lezione Windows xp2 2 Le minacce a Windows rima di chiarire quali sono i vari tipi di malware e di attacchi che minacciano Windows, citiamo alcune informazioni derivanti dall’esperienza pratica. L’Internet Storm Center (http://isc.sans.org/index.php) del SANS Institute (www.sans. org), che registra oltre 3 milioni di tentativi di intrusione al giorno, pubblica il tempo medio necessario perché un computer indifeso sia compromesso da software ostile via Internet. Il tempo medio tra gli attacchi, mentre scriviamo, è di 15 minuti e gli attacchi sono costituiti per la maggior parte da worm che tentano di propagarsi. Secondo le statistiche di Trend Micro, su un totale di 248 allarmi malware nello scorso maggio, quasi metà (121) erano worm, circa il 26% erano cavalli di Troia e circa l’11% erano programmi backdoor, spesso inclusi nella categoria dei trojan. Le altre categorie di virus riscontrati comprendevano malware .Bat e .Html, malware di tipo IRC, macro virus, malware VBS e JS e altri oggetti in percentuale minima. Come vedremo, un firewall e un antivirus efficienti bloccano tutto questo, ma lasciano passare lo spyware e l’adware, che costituiscono una minaccia non meno seria. Nel suo articolo Spyware Everywhere (spyware dappertutto, www.infoworld.com/article/04/09/03/36secadvise_1.ht ml), Wayne Rush (autore di una rubrica di sicurezza per InfoWorld) racconta di aver tro- P vato 1.450 programmi di spyware nel computer della figlia, che nel tempo era divenuto lentissimo fino a non riuscire neppure a connettersi a Internet. Abbiamo provato a collegare in rete un PC con una nuova installazione Windows XP2 pulita e completa, attivando il Windows Firewall e Norton Antivirus 2003 (aggiornato). Un altro firewall (con intrusion detection) proteggeva la connessione tra la rete locale e Internet. In 20 minuti di navigazione tra siti di notizie (tutti ben noti) e siti di musica, abbiamo accumulato 21 programmi critici di spyware e 25 tracce di navigazione (in sé innocue ma sfruttabili dal malware per fare danni). Per la cronaca, in un anno e mezzo di uso quotidiano con connessione ADSL e protezione tramite Norton Antivirus e Personal Firewall (2003 + update), è stata trovata solo una minima manciata di virus, tutti eliminati durante la scansione o cancellando i file temporanei di Internet; il resto degli innumerevoli attacchi è stato bloccato. Ora passiamo in rassegna quelli che collettivamente chiamiamo virus, così da capirne le differenze e le necessità di protezione. Questi altri 25 oggetti trovati da Ad-Aware dopo 20 minuti di browsing, sono tracce di navigazione innocue ma utilizzabili dal malware Un ulteriore spyware critico trovato da Spybot dopo la pulizia con Ad-Aware Virus Un virus è un programma (o un frammento di codice) che si autoreplica diffondendosi da un computer all’altro. In generale è scritto in modo da modificare il funzionamento del computer senza che l’utente se ne accor- ga. Un virus attacca una copia di se stesso ad altri file. Quando è attivato, può danneggiare file, causare strani comportamenti da parte del sistema o limitarsi a visualizzare messaggi fastidiosi. L’autoreplicazione distingue i virus da altre infezioni come i trojan (cavalli di Troia) e i worm (vermi). Cavallo di Troia Attenzione a evitare illusioni: questo è un elenco di 20 spyware critici accumulati nei primi 20 minuti di browsing Internet con Windows XP2, nonostante il firewall di rete, il Windows Firewall sul computer e Norton Antivirus in funzione Un cavallo di troia (detto anche trojan) è un programma distruttivo scritto con l’intento di recare danno a un computer e che ha l’aspetto di un programma utile o interessante. Un trojan si diffonde quando un utente è indotto ad aprire un file eseguibile, pensando che venga da una fonte affidabile e senza sospettare che un allegato di posta nasconda una minaccia per il sistema e la rete. Un esempio recente è un messaggio di e-mail con allegati presentati come aggiornamenti Mi- crosoft, che in realtà erano virus e tra le altre cose cercavano di disattivare antivirus e firewall. In caso di dubbio, i Bollettini Microsoft sulla sicurezza (www.microsoft.com/ italy/security/security_bulletins/archive.mspx) elencano gli aggiornamenti autentici. Un trojan, a differenza di un virus, è un programma autonomo, non si attacca ad altri programmi o file. Inoltre, a differenza di un worm, non si sposta da solo da un computer all’altro; per propagarsi occorre ad esempio che sia spedito per email o pubblicato in un sito di programmi da scaricare. In Windows, un trojan potrebbe essere allegato a un messaggio di posta con un nome in apparenza innocente. Sebbene un programma (file eseguibile) debba avere un’estensione (la parte finale del nome del file, dopo il punto) come .exe, .scr, .bat, o .pif (e varie 1a lezione Windows xp2 Microsoft raccomanda di installare un antivirus e nel nuovo Centro Sicurezza PC mostra lo stato di attivazione di firewall e antivirus, ma solo quelli che XP2 riconosce; XP2 è insistente nel sollecitarvi ad accettare il download e l’installazione automatica di tutti i Windows Update altre), il trojan può apparire come Readme.txt, perché il comportamento di default di Windows è di nascondere le estensioni dei file. Quel file potrebbe chiamarsi Readme.txt.exe all’insaputa dell’utente, che aprendo il file con un doppio clic installerebbe un programma potenzialmente distruttivo, anche se in apparenza esegue operazioni innocue per non essere scoperto. Per vedere i nomi completi di tutti i file, aprite Risorse del computer, Strumenti, Opzioni cartella, Visualizzazione; qui potete visualizzare i file nascosti, disattivare le caselle Nascondi i file protetti e Nascondi le estensioni dei file e attivare tutte le caselle del tipo Visualizza... Per esempio, un trojan può rendere il vostro computer uno zombie, controllato a distanza da chi ha scritto il trojan magari per intasare di messaggi e mettere così fuori servizio un sito preso di mira (questo attacco si chiama DoS, Denial of Service o DDoS - Distributed DoS - quando l’attacco avviene da molti zombie). Un trojan può anche servire per procurare informazioni all’autore (indirizzi e-mail, password, dati di carte di credito e via dicendo). Ci si protegge dai trojan evitando di aprire allegati di cui non conoscete origine e affidabilità e soprattutto installando un firewall e un antivirus efficaci. Se dovete aprire gli allegati, l’antivirus bloccherà i trojan e altro malware. Oltre che per filtrare l’e-mail, è vitale avere un antivirus in funzione quando scaricate software da Internet. Worm Un worm (verme) è un programma che si replica senza infettare altri programmi. Alcuni copiano se stessi da disco a disco, altri si replicano in memoria rallentando il computer. In generale un worm si trasmette da un computer all’altro ad alta velocità, sfruttando tutte le rubriche di indirizzi e-mail che il worm trova nel sistema. Da ciascuno dei computer destinatari, si ritrasmette a tutti gli e-mail delle rispettive rubriche, con rapida diffusione esponenziale (se non viene Gli utenti capaci di badare a se stessi possono decidere da soli se scaricare e installare i Windows Update, attivando l’avviso automatico di aggiornamenti disponibili Se volete un firewall che riconosca in modo specifico le minacce provenienti da Internet, non vi basta un firewall gratuito o il Windows Firewall di XP2; Norton Personal Firewall include un lungo elenco di trojan e backdoor che riconosce e tiene fuori dalla porta bloccato). Un worm consuma memoria e larghezza di banda della rete, rallentando o bloccando i computer. Certi worm si comportano da trojan (file eseguibili dall’utente), come MyDoom, che è un worm perché si trasmette come allegato di posta, ma richiede il doppio clic dell’utente sull’allegato per infettare il computer. Oltre a diffondersi rapidamente rallentando Internet, un worm può compiere azioni distruttive e trasportare malware sugli altri computer, per esempio installando una backdoor sui computer infetti, così da trasformarli in zombie. Sobig e MyDoom sono esempi di worm che installano una backdoor; i computer infetti cominciano a inviare spam (e-mail spazzatura) a tutti gli indirizzi trovati. C’è anche stato un worm con intenzioni teoricamente utili: i worm della famiglia Nachi sfruttavano le falle di Windows per insediarsi e quindi scaricare e installare le patch di Microsoft per chiudere quelle stesse falle, il tutto con riavvio del computer e senza chiedere il permesso all’utente. Backdoor Questo termine (“porta sul retro” o porta di servizio) viene usato sia per indicare l’effetto creato dal malware (un punto di accesso al computer) sia il malware stesso che crea la “porta di servizio”. Una backdoor è un metodo per aggirare le normali vie di accesso a un computer (tra cui l’autenticazione dell’utente) e ottenere accesso remoto senza che l’utente legittimo se ne accorga. Una backdoor può assumere la forma di un programma installato (come Back Orifice, catalogato tra i trojan) o può essere il risultato di modifiche al software di sistema. Per esempio, un sistema di login potrebbe essere modificato per accettare una certa combinazione di user e password. Ovunque ci sia del software proprietario, non esposto all’esame del codice sorgente, c’è il rischio della presenza segreta di backdoor, installate ad esempio per spiare l’utente. È stato scritto che un compilatore modificato ad arte può installare una backdoor partendo da sorgenti puliti; in ogni caso è ri- Per vedere i nomi dei file completi e riconoscere minacce del tipo Readme.txt.exe, consigliamo di attivare la visualizzazione di tutti i file e delle estensioni (la parte finale del nome dei file) 1a lezione Windows xp2 chiesta la connivenza tra chi controlla la produzione del software e gli enti interessati a entrare nei computer “dal retro”. Oltre alle backdoor consentite dai bug di Windows, alcuni tra i molti esempi di backdoor da malware sono Back Orifice, NetBus, SubSeven, Glacier, Drat, qaz.worm (una combinazione di trojan, worm e backdoor che si installa al posto del notepad.exe legittimo) e RemoteNC. Port scan La scansione delle porte TCP/IP è una serie di messaggi inviati da qualcuno che cerca di accedere al vostro computer per conoscere quali servizi di rete sono in funzione. Ogni servizio è associato a uno specifico numero di porta e molti di questi numeri sono standard, sebbene possano essere modificati. Di solito il port scan viene eseguito da un programma automatico che invia richieste a ogni porta di un indirizzo IP, in attesa di una risposta che riveli una vulnerabilità da sfruttare. Ogni porta è identificata da un numero tra 0 e 65535 corrispondente a un canale logico di comunicazione utilizzato da ogni applicazione TCP/IP. Ogni applicazione ha associato un particolare numero di porta; per esempio, l’HTTP usa per default la porta 80, sebbene sia configurabile diversamente. Per esempio, se il vostro browser scarica più file contemporaneamente da un server Web, ogni download utilizza un canale logico diverso e quindi un diverso numero di porta. La comunicazione tra due computer su una rete TCP/IP richiede che siano specificati l’indirizzo IP e il numero di porta per mittente e destinatario. L’insieme di indirizzo IP e numero di porta forma quello che viene chiamato socket (zoccolo). Il port scan è paragonabile al tentativo di un ladro che prova ad aprire porte e finestre di una casa per trovarne una aperta. Tra i compiti di un firewall c’è quello di tenere chiuse le porte non in uso e di non rispondere ai messaggi che sondano la presenza di porte attive (oltre a registrare e magari segnalare il tentativo di intrusione). Spyware e adware Lo spyware è qualunque software che trasmette informazioni personali dal vostro computer a qualche destinazione su Internet (solitamente aziende di marketing) senza la vostra consapevolezza e autorizzazione. Le informazioni raccolte e trasmesse possono essere di tipo diverso: per esempio i siti Web visitati oppure informazioni più riservate contenute nel computer. Per lo più questo software raccoglie informazioni demografiche e relative all’uso di Internet, in modo da inviarvi pubblicità mirata e magari rivendere ad altri le informazioni raccolte. Lo spyware non è software che voi installate di vostra scelta, ma si tratta di piccoli pezzi di codice che vengono installati ad esempio quando visitate i siti di news e i periodici on line, i siti di musica MP3, i siti di Diversi programmi con adware lasciano installato il meccanismo di adware/spyware dopo essere stati disinstallati; eccone la prova con l’adware TSADBOT, rimasto in funzione dopo aver disinstallato lo shareware che ne fa uso Un’occhiata al registro errori vi avvisa di problemi latenti che è meglio risolvere prima di installare l’SP2 download e in generale di servizi gratuiti. La forma benigna (o meno maligna) di spyware è l’adware, che visualizza pubblicità basata sulle vostre abitudini di navigazione in Internet. L’adware autorizzato è quello dei produttori di software gratuito, che vi avvisano che l’applicazione contiene un banner (una testata di spazio pubblicitario) utilizzata dagli sponsor e solitamente poco intrusiva. L’adware abusivo è invece utilizzato per inviarvi pubblicità non autorizzata e magari di tipo inappropriato. Come abbiamo detto, l’accumulo di questi sofware (spesso a centinaia), ha come minimo l’effetto di rallentare vistosamente il funzionamento del computer. Il confine tra adware e spyware è sottile. Si sono scoperte parecchie applicazioni adware che segretamente curiosavano nel computer raccogliendo e trasmettendo informazioni private, come la traccia dei siti Web visitati. Per di più, il software associato all’adware può rimanere in funzione anche dopo che avete disinstallato l’applicazione sponsorizzata dalla pubblicità. Oltre a raccogliere informazioni personali, il software spyware, in quanto software eseguibile indipendente (sebbene installato segretamente), ha tutte le potenzialità di qualsiasi altro programma, incluso il monitoraggio del vostro input da tastiera, l’esame dei file su hard disk, l’ascolto delle chat e dei messaggi, la lettura dei cookie, la modifica della pagina iniziale del browser e in genera- le il monitoraggio delle vostre azioni. In più, oltre a rallentare il sistema, lo spyware può causare crash del browser, messaggi di errore, crash del sistema e persino impedire l’installazione del Service Pack 2 di Windows XP. Fonti di spyware Se vi sembra troppo tecnico, saltate pure questo paragrafo, che ha lo scopo di sensibilizzarvi sulle capacità di danno dello spyware. Le tecniche di spyware diventano sempre più sofisticate e non si limitano a cookie troppo invadenti. Come avviene per gli antivirus, che impediscono l’ingresso dei virus controllando i file che vengono aperti, anche per lo spyware è necessario installare software di controllo e immunizzazione. I recenti spyware si diffondono attraverso tre metodi. Il primo è quello tradizionale e si basa su un’azione dell’utente che, a sua insaputa, determina l’installazione del codice spyware. In questo caso, il meccanismo di diffusione è simile a quello dei virus; questo spyware è diffuso attraverso gli allegati di posta, le cartelle di rete condivise, i firewall mal configurati e le applicazioni di instant messaging e scambio di file peer-to-peer. Il secondo metodo è più sofisticato e si basa sull’inganno dell’utente, che viene indotto a fare clic su un certo link, ad aprire un certo allegato o ad installare un programma gratuito. Ciascuna di queste azioni permette di installare software dannoso. Il terzo e più recente metodo 1a lezione Windows xp2 di diffusione dello spyware non richiede alcuna interazione con l’utente se non la normale navigazione tra le pagine Web. Lo spyware viene installato sul computer quando l’utente visita un sito infetto o visualizza una pubblicità pop-up contenente “codice attivo”, ovvero piccole applicazioni JavaScript, VBS script, ActiveX e Java. Oggi molti programmi e siti Web si basano su contenuto attivo, quindi il blocco indiscriminato del codice attivo non è praticabile sui computer client, può tutt’al più essere applicato sui server. Due esempi micidiali di nuovi spyware sono Scob Trojan e WebMoney Trojan, particolarmente pericolosi perché il loro contenuto può essere programmato in modo da eseguire qualunque istruzione. Al momento vengono usati per trasportare un programma che intercetta l’input da tastiera, in modo da rubare nomi di utente e password bancarie. Il metodo di infezione tramite la visualizzazione di una pagina Web si chiama drive-by downloading, qualcosa come “scaricare mentre passi”. Un esempio è il famigerato Xupiter (una barra strumenti), che si insedia se utilizzate il programma di file sharing Grokster. Una volta installato, Xupiter cambia la homepage del browser, inoltra tutte le ricerche al proprio sito, scarica giochi, visualizza popup pubblicitari e blocca i tentativi dell’utente di riprendere il controllo e di disinstallare il programma. Scob è nascosto nel codice attivo ed è un attacco a più stadi. Una volta che il malware si è infiltrato nel computer attra- verso un modulo ActiveX infetto (tramite il browser), esso contatta un altro sito Web e scarica lo spyware eseguibile. Lo stesso meccanismo può essere usato per fare danni ben più gravi che intercettare l’input di tastiera (keylogger). WebMoney si nasconde in un file .Chm (help di Windows) ed è anch’esso multistadio. Il file .Chm viene usato per espandere il codice spyware compresso, che quindi viene eseguito e installa un file .Gif, che viene attivato attraverso un annuncio pop-up nella finestra del browser. Il file .Gif esegue un programma che attende un segnale per iniziare a registrare l’input da tastiera. Il segnale scatta quando l’utente visita un sito finanziario che già contiene codice infetto; per aggirare il sistema di sicurezza delle banche, l’URL del sito viene falsificato, così che l’utente finisce con aprire non la vera pagina di una banca ma una pagina simile falsificata e infetta. Anche i siti che usano l’SSL (Secure Sockets Layer, un protocollo per trasmettere informazioni private crittografate) sono esposti a questa minaccia. Di fronte a questi attacchi non basta più un’utility che ripulisca l’hard disk dallo spyware/adware, ma occorre bloccare il malware prima che entri nel computer. Questa lunga introduzione sulle minacce che espongono Windows non è accademica: lo spyware scavalca i tradizionali firewall e antivirus e le protezioni di Windows XP2; per di più è sempre più virulento e sofisticato man mano che passa il tempo. Come vedremo tra po- co, Microsoft prescrive la scansione della vostra installazione Windows XP prima di installare l’SP2. Forse è utile che XP2 blocchi allegati eseguibili e sconsigli l’utente di visitare siti di dubbia reputazione e di scaricare software gratuito, ma questo non impedirà a Windows di accumulare spyware già il primo giorno di utilizzo, se non vengono installate apposite difese. L’utente inesperto che naviga in Internet rimane esposto agli attacchi. Altri parassiti Tra le altre minacce che richiedono una barriera difensiva, citiamo i Web bug, i browser helper objects (BHO) e il browser hijacking. Un Web bug è un’immagine di 1x1 pixel inserita in una pagina Web o in un messaggio email e contenente un link a un Web server diverso da quello della pagina che aprite. Questo link informa il sito collegato, tipicamente di marketing, che voi avete visitato quella particolare pagina; le informazioni trasmesse a vostra insaputa sono l’IP del computer, l’URL della pagina Web, l’URL del Web bug, il giorno e ora, il vostro tipo di browser e un numero di cookie. Nel caso di Web bug nella posta, gli scopi sono: sapere che avete letto il messaggio, conoscere il vostro IP e misurare il grado di diffusione del messaggio. I Web bug sono comunemente usati dai siti di medie e grandi aziende; possono essere bloccati ad esempio da Zone Alarm Pro (abbiamo provato la versione 5.1 senza problemi in XP2). I BHO sono programmini che “aiutano” il browser espandendone le funzioni. Uno dei più utili è la barra di Google, che include una finestra di ricerca in Internet Explorer (più altre funzioni). Anche gli strumenti anti-spyware possono essere realizzati come BHO, ma non tutti i BHO sono di aiuto. Un BHO può prendere il controllo del browser e quindi condizionare pesantemente il vostro modo di navigare in Internet. Non solo, un BHO può eseguire qualsiasi istruzione e causare qualunque tipo di danno al vostro computer. Un BHO è un piccolo server costituito da un file DLL (libreria a collegamento dinamico) e per la sua caratteristica, propaga eventuali propri bug all’eseguibile a cui è collegato, causando problemi e crash al browser. Per sbarazzarvi dei BHO dannosi, esistono apposite utility (vedi più avanti). Il browser hijacking (sequestro del browser) ha diverse gradazioni di danno. Per esempio, può modificare la pagina iniziale del vostro browser, presentandovi ogni volta una pagina che magari preferireste proprio non vedere. Pop-up e moduli ActiveX sono tra gli strumenti di diffusione. Casi più gravi di hijacking avvengono quando il malware comincia a tempestarvi di finestre popup, si replica impedendone la disinstallazione e altera la navigazione Internet inserendo banner di aziende concorrenti al posto di quelli originali del sito visitato, alterando la destinazione dei link, aprendo siti diversi da quelli desiderati, alterando i criteri di ricerca, lasciando una quantità di collegamenti preferiti imbarazzanti e via dicendo. Se veniste coinvolti in un’indagine di polizia, non riuscireste a dimostrare di non frequentare i siti di cui questo genere di malware ha lasciato le tracce. Dal 2002 ci sono state negli USA diverse condanne (per non parlare dei licenziamenti e del discredito), in base alle tracce trovate nei computer (basta la denuncia di un collega o conoscente), che talvolta erano dello stesso tipo di quelle create dal browser hijacker CWS. Se la vostra pagina Web iniziale è diventata imbarazzante o usando i motori di ricerca vi trovate spesso in siti di bassa lega anziché in quelli cercati, dovreste provvedere a una rapida disinfestazione e immunizzazione del sistema. Ci si difende da questi attacchi soprattutto in via preventiva, installando subito dopo Windows il solito corredo di protezioni: firewall, antivirus, antispyware/adware e anti BHO, oltre a praticare cautela e buon senso se frequentate i quartieri bassi di Internet. Sebbene ci siano altre tipologie di parassiti, questo campionario rende l’idea. Ora è il momento di passare in rassegna i passi per installare l’SP2, predisponendo una possibile ritirata e organizzando le difese per tenere il malware al di fuori del sistema. 1a lezione Windows xp2 3 Prima di installare il Service Pack 2 el lungo articolo che il numero di ottobre di PC Open ha dedicato all’SP2, trovate molte informazioni pratiche sulle precauzioni da prendere prima dell’installazione e sui passi dell’installazione. Di seguito aggiungiamo informazioni e raccomandazioni che provengono anche da Microsoft e da alcuni dei maggiori produttori di PC. N Ingombro Cominciamo dall’ingombro. Se scaricate l’intero SP2 per potere eseguire più installazioni, calcolate il tempo necessario al download di oltre 260 MB. Se invece eseguite l’aggiornamento on line, via Windows Update, il software scaricato è quello che serve alla vostra configurazione, per un minimo di 75 MB. Se avete una connessione a banda larga, non c’è problema, altrimenti potete scegliere di ordinare il CD dell’SP2, che verrà recapitato in 4-6 settimane. Sempre a proposito di ingombro, occorrono almeno 1,8 GB liberi su disco per installare l’SP2. In ogni caso Windows è più sicuro e veloce se lo spazio libero è almeno il 20% della capacità della partizione, anche per facilitare la deframmentazione. Tempo Il tempo necessario per l’installazione è abbastanza lungo da aver indotto Microsoft a richiedere, per i notebook, l’alimentazione da rete durante l’aggiornamento, considerando insufficiente l’autonomia delle batterie. In ogni caso, Microsoft raccomanda di restare di fronte al computer per rispondere alle domande della procedura guidata. Naturalmente il tempo necessario dipende dalla velocità della connessione Internet, dalla velocità del PC e dallo stato dell’installazione (frammentazione del disco, spazio libero, quantità di software installato, malware e via dicendo). Stato del sistema Le istruzioni preparatorie di Microsoft iniziano con il logon come utente di tipo amministratore (administrator o altro utente del gruppo administrators), proseguono con la scansione del sistema per eliminare lo spyware, richiedono l’aggiornamento delle applicazioni per SP2 e richiedono quindi l’aggiornamento dei Windows Update disponibili. Secondo Microsoft, “è una buona idea far sì che la tua versione di Windows sia completamente aggiornata prima di installare l’SP2” per motivi di affidabilità e di prestazioni. Quando si parla di completo aggiornamento si allude comunque all’Express Install (una delle due forme di Windows Update), ovvero gli aggiornamenti ad alta priorità; non sono obbligatori quelli opzionali contenuti in Custom Install (installazione personalizzata). Qui apriamo una parentesi, perché molti utenti si sono chiesti se l’SP2 richieda l’SP1 o no, sulla base del fatto che abitualmente gli SP di Windows sono cumulativi, cioè includono quelli precedenti. La questione non è oziosa. Se scoprite che il vostro sistema è infetto o compromesso e preferite un’installazione ex-novo, i casi sono due: o avete a disposizione il CD di XP+SP1 o dovrete trascorrere un’intera giornata di lavoro per installare XP originale e tutti i Windows Update critici e l’SP1 (SP2 escluso), con diversi riavvii del sistema strada facendo. L’abbiamo sperimentato e vi assicuriamo che ne fareste volentieri a meno. La verità è che, anche se l’SP2 include i contenuti di SP1, per essere applicato richiede un ambiente compatibile e sicuro, altrimenti certe funzionalità non sono disponibili o non sono eseguite correttamente e durante le ore di connessione a Internet (per scaricare e installare l’SP2) c’è il rischio che il sistema venga compromesso. Facciamo un esempio: System Restore (Ripristino configurazione di sistema) non sarà utilizzabile per ripristinare un precedente stato del sistema a meno che sia stato installato l’aggiornamento SP23652. Se dopo aver installato l’SP2 scoprite di non poter accedere a un precedente punto di ripristino, dovrete disinstallare l’SP2, aggiornare System Resto- Un’occhiata al Registro errori vi avvisa di problemi latenti che è meglio risolvere prima di installare l’SP2 Anche il Visualizzatore eventi è una preziosa fonte di informazioni sui problemi della vostra installazione Windows re e reinstallare successivamente l’SP2. Una misura preventiva che consigliamo prima di installare un Service Pack è verificare la presenza di problemi rilevati dal sistema e non comunicati esplicitamente all’utente. Per esempio, un BIOS non aggiornato, un errore di integrità del file system, un modulo di sistema non trovato, un driver non aggiornato, un servizio che per qualche motivo non può essere attivato sono cause di problemi che magari passano inossservati al momento ma potrebbero creare guai futuri. In altre occasioni l’utente può vedere un programma che si blocca, un crash del sistema, un messaggio generico di errore e non sapere se deve preoccuparsi e intraprendere qualche azione. Senza diventare tutti sistemisti, è facile consultare il Registro errori (Start, Guida in linea, Strumenti - in basso a destra - Informazioni avanzate sul sistema, Visualizza registro errori). Il numero e la frequenza degli errori sono un primo indicatore che il sistema non è più integro, il più delle volte per cause software (anche un hard disk che inizia a zoppicare può causare errori). Un altro strumento analogo, più dettagliato, è il Visualizzatore eventi (in Pannello di controllo, Strumenti di amministrazione), che elenca informazioni, avvisi ed errori delle applicazioni e del sistema; quando 1a lezione Windows xp2 Drive Fitness test è il test di IBM-Hitachi per verificare a basso livello il buon funzionamento di un hard disk; il test viene eseguito in DOS avviando da floppy disk l’elenco diventa troppo lungo, potete azzerarlo o visualizzare solo avvisi ed errori, usando l’opzione Filtro nel menu Visualizza. Il doppio clic su un evento mostra i dettagli disponibili, a volte in termini comprensibili (per esesempio operazione fallita per disco pieno) altre volte in modo indecifrabile, che è pur sempre un punto di partenza se volete indagare. Un registro eventi zeppo di messaggi di errore dovrebbe consigliarvi di rimettere in sesto il sistema prima di applicare un Service Pack. Potete ad esempio ripristinare uno stato precedente del sistema con Ripristino configurazione di sistema o potete ripristinare un’immagine della partizione salvata in precedenza, prima che il sistema si degradasse (a patto che periodicamente facciate un backup con True Image o programma simile). Se non siete stati previdenti e il sistema è compromesso (insicuro e mal funzionante), considerate la possibilità di reinstallare Windows XP+SP1, installando poi il software di protezione e salvando periodiche immagini delle partizioni. Il controllo dell’integrità delle partizioni (con Chkdsk in finestra prompt o con ScanDisk in Windows Explorer) è un’operazione che dovrebbe essere eseguita periodicamente e prima di un grosso aggiornamento come l’SP2. Raccomandiamo anche la verifica dello stato fisico degli hard disk tramite le utility di basso livello scaricabili dai siti dei produttori; queste sono utili specialmente se i messaggi di errore del software vi inducono a sospettare dello stato di salute dell’hard disk. Prima di eseguire i backup, è utile deframmentare le partizioni; potete usare l’utility di Windows XP o il più potente Diskeeper 8 Aggiornamenti prima di SP2 Abbiamo esplorato una decina dei forum su Windows a cui qualche utente si era rivolto chiedendo aiuto sulla questione dell’SP1 (requisito o no di SP2). Tutte le risposte che abbiamo trovato erano unanimi nel sostenere che SP1 non dovrebbe essere necessario per installare SP2, sebbene Microsoft raccomandi di applicare tutti gli update prioritari, incluso l’SP1, prima dell’SP2. Anche se tecnicamente l’SP2 ingloba l’SP1, non ci sembra il caso di utilizzare per diverse ore (durante l’installazione dell’SP2) un sistema pieno di bug, di falle e di software che è stato modificato a ritmo frenetico dal 2001 a oggi (per non parlare dei driver che richiedono necessariamente l’applicazione dell’SP1). Siamo del parere che sia preferibile applicare l’SP2 a sistema con le funzionalità aggiornate e quindi più sicuro e affidabile. Disinfestazione True Image di Acronis è l’utility per salvare immagini di partizioni più comoda da usare per l’utente finale Torniamo alle istruzioni dei produttori. Secondo Microsoft, la prima operazione in assoluto, prima di aggiornare le applicazioni per SP2 e di eseguire i Windows Update che precedono l’SP2, occorre disinfestare il sistema dallo spyware. Il consiglio di Microsoft sui prodotti da usare è identico al nostro, vale a dire l’uso delle utility gratuite Spybot Search and Destroy 1.3 (www.safernetworking.org/it/index.html) e AD-Aware SE (www.lavasoft.de/), contenute nel nostro CD. Entrambe sono disponibili in italiano; se avete installato versioni precedenti, disintallatele perché non vengono più Dopo l’installazione dell’SP2, alcune periferiche USB non erano riconosciute aggiornate. Installate le versioni nuove, che sono più potenti e offrono gli aggiornamenti online. Per completare l’opera, installate anche un programma anti BHO, come BHODemon (http://www.definitivesolutions.com/bhodemon.htm). In questa fase, finché l’SP2 non sarà in funzione, raccomandiamo di collegarsi a Internet con la protezione di un firewall. Se non ne avete uno buono, usatene uno qualunque, come l’ICF di Windows XP o un prodotto gratuito come Zone Alarm (i firewall gratuiti eseguono solo le operazioni principali di firewall, mentre le versioni a pagamento includono le funzioni di intrusion detection). Per attivare l’ICF aprite Pannello di controllo, Connessioni di rete, selezionate la connessione al modem, clic destro, Proprietà, Avanzate, clic sulla casella Firewall Connessione Internet. Questo vale se il computer su cui state lavorando è quello connesso a Internet via modem. Se invece vi collegate a Internet tramite una rete locale, è importante che il firewall sia installato tra il modem e la rete (per i firewall hardware) o sul computer che funge da gateway verso Internet e che permette la condivisione della connessione Inter- 1a lezione Windows xp2 Per molte applicazioni (citate nel testo), l’Help in formato Web attivo viene bloccato dal browser di Windows XP2; occorre cliccare sulla barra informazioni e autorizzare il contenuto bloccato Quando Internet Explorer blocca un contenuto attivo, un menu (clic sulla Barra informazioni) vi permette di continuare se vi fidate della fonte net (firewall software). La pre- senza di firewall sui computer in rete, oltre a quello col modem, aumenta il lavoro di configurazione ma permette di filtrare pubblicità, cookie invadenti, Web bug, trasmissione di informazioni private e altro (se usate un firewall completo di intrusion detection, non quello di Windows o quelli gratuiti). Ora torniamo al caso semplice di un solo computer collegato via modem a Internet e supponiamo che abbiate attivato un firewall come prima misura di protezione. La sequenza di azioni consigliata è la seguente: installazione di Spybot, aggiornamento on line del programma e del suo database di spyware, immunizzazione, scansione del sistema, eliminazione dello spyware trovato; installazione di Ad-Aware, aggiornamento on line del pro- gramma, scansione del sistema, eliminazione dello spyware trovato (poco dopo che è passato Spybot). A questo punto, se non avete un antivirus installato, scaricatene uno gratuito come Antivir Personal Edition (http://www.free-av.de/), disponibile anche nel nostro CD e scaricate gli aggiornamenti prima di andare a caccia di virus. Se avete già un antivirus con licenza di aggiornamento in vigore (per esempio Norton Antivirus con LiveUpdate funzionante), accertatevi che software e descrizioni dei virus siano aggiornati. Facciamo qualche esempio. Hewlett Packard ha compilato una lista di aggiornamenti che dovrebbero essere applicati prima di installare l’SP2 sulle proprie macchine. Questi comprendono: tutti gli aggiornamenti critici di Windows Update (quindi anche l’SP1), l’aggiornamento sopra citato di System Restore, l’aggiornamento a Norton Antivirus con LiveUpdate, l’aggiornamento del driver grafico nVidia e una serie di aggiornamenti a programmi (Wild Tangent, Media Center, WinDVD e altri che hanno problemi di compatibilità con SP2). Dopo di che avvisa che ci saranno alcune differenze di comportamento dopo aver installato l’SP2. Un documento di HP è dedicato ai download bloccati e ai messaggi di avviso e insegna all’utente come fare per scaricare i file .exe di HP (driver e aggiornamenti software) quando l’SP2 cerca di impedirlo. Dell, nelle sue istruzioni sull’SP2, per prima cosa raccomanda di aggiornare il BIOS del PC all’ultimo livello disponibile. Subito dopo devono essere aggiornati l’antivirus e il firewall. Quindi si devono aggiornare alcuni driver, per lo più quelli per le connessioni Bluetooth e per la grafica. Sony avvisa che supporta l’S P2 solo sui propri computer dotati di Windows XP preinstallato, dopo di che elenca una serie di aggiornamenti a BIOS, driver e programmi, da eseguire prima di installare l’S P2. Quello che si deduce dalle istruzioni dei maggiori produttori è che il sistema deve essere aggiornato nelle sue varie aree: BIOS, driver (specialmen- te per video e connessioni di rete, ma non solo) e applicazioni prima di installare l’SP2. Tornando alle istruzioni di Microsoft, ora è il momento di applicare i Windows Update. Ci sarebbe sembrato più logico applicarli prima di aggiornare driver e applicazioni, che potrebbero avere come requisito l’SP1. Probabilmente Microsoft dà per scontato che l’SP1 sia stato applicato da tutti. Per finire, prima di eseguire il backup dei dati, Microsoft raccomanda di disconnettere eventuali altri utenti che stessero usando il computer, in aggiunta a quello che sta per installare l’SP2. Questo può succedere se utilizzate il Cambio rapido utente, per cui un utente controlla l’interfaccia e gli altri mantengono i loro programmi in esecuzione in background (per esempio il padre scrive in Word e i figli vedono un DVD con uscita sul televisore). Prima del prossimo passo, il backup dei dati, consigliamo di eseguire una deframmentazione delle partizioni di disco. Se non avete un programma efficiente come Diskeeper, dovrete accontentarvi dell’utility limitata inclusa in Windows XP. Backup Prima di un’operazione traumatica come l’installazione del Service Pack 2, Microsoft vi raccomanda di eseguire un backup completo di tutti i vostri file. Se siete esperti, forse sapete dove si trovano i vostri file, oppure utilizzate forme globali di backup, come l’immagine delle partizioni. Se non siete esperti, l’invito a eseguire un backup completo è una provocazione. Quali file dovrebbe salvare un principiante? Dove Aggiornamenti Microsoft raccomanda di consultare i produttori del vostro PC e delle applicazioni installate per sapere cosa dovete fare prima di installare l’SP2. Per vedere la versione di BIOS installata, potete usare un’utility come Everest di Lavalys, che sostituisce Aida 32 1a lezione Windows xp2 Se non avete un antivirus recente, potete utilizzare il gratuito Antivir Personal Edition, riconosciuto dal Centro Sicurezza di XP2 Se avete un Pentium 4 Prescott in revisione C-0, per installare l’SP2 dovrete attrezzarvi come spiegato nel testo; CPU-Z è un’utility per sapere tutto del vostro processore (in questo esempio il P4 è di tipo Northwood) sono gli archivi di e-mail? E la rubrica dei contatti? E gli account Internet? E i collegamenti preferiti di Internet Explorer? E le personalizzazioni delle applicazioni? Un “backup completo” richiede forse di salvare anche il registro di sistema? Il programma Backup, una delle Utility di sistema di Windows XP, tra le sue opzioni permette di salvare la cartella Documenti, le impostazioni e i preferiti di tutti gli utenti, ma è improbabile che un utente alle prime armi capisca di che si tratti e sappia estrarne i file che interessano. Se invece si salvano solo i file prodotti dal software applicativo, restano esclusi tutti i dati personali che risiedono dentro le directory di Windows (in particolare nell’albero Documents and Settings\<nome utente> e relative sottodirectory), come appunto la posta, i preferiti e altro. La nostra raccomandazione è duplice: tenete pure i backup che volete, ma in più salvate periodicamente un’immagine della o delle partizioni, in modo da 1) salvare tutti i dati e 2) poter ripristinare Windows e le applicazioni in pochissimo tempo in caso di crash, senza reinstallare nulla. Se avete sufficiente spazio su disco per salvare più immagini delle partizioni, almeno un’installazione di base pulita più quella continuamente aggiornata, godete di maggiore flessibilità e avete una trincea supplementare se tutto va storto e occorre tornare a una configurazione sicura (integra ed esente da bug, virus e spyware). Per salvare le immagini delle partizioni consigliamo di usare True Image di Acronis (la versione Deluxe completa è stata allegata al numero di aprile di PC Open). Qualche utente lamenta problemi nell’uso di Drive Image 7 dopo l’SP2; comunque questo programma non è più in commercio da quando Symantec ha incorporato PowerQuest. Anche V2i Protector 2.0 Desktop Edition, equivalente a Drive Image 7 con in più i backup incrementali, è un ottimo programma, ma non sappiamo se ha problemi di compatibilità con SP2. Norton Ghost 9 è l’erede di Drive Image, con compatibilità Ghost e utilizzo della Product Activation, che potrebbe esse- re di ostacolo per le configurazioni che cambiano di frequente. Per le aziende, True Image (anche nella versione server) è molto più limitato rispetto a V2i Protector Server e Desktop di PowerQuest/Symantec, che consentono la gestione centralizzata di tutti i backup sui desktop. Comunque, per l’utente finale, True Image è preferibile: usa meno risorse, è facile da usare e non crea problemi. La versione 8, leggera evoluzione della 7, è la più recente e costa on line 50 dollari. La versione 6 va bene ed è la più facile da usare, ma non supporta i backup automatici a periodicità programmata e i backup incrementali. Dopo il backup completo dei dati, Microsoft raccomanda di creare un Automated System Recovery, una funzione propria di XP Professional che serve a ricostruire il sistema da zero in caso di disastro. Il programma Backup permette di creare un backup di tipo ASR, ma XP Home non è in grado di utilizzarlo. L’uso dell’ASR è complesso e laborioso e utilizza il CD originale di XP, un supporto con la configurazione di sistema e il backup dei dati degli utenti. Solo se avete predisposto in anticipo un backup completo ASR potete ripristinare il sistema. Secondo la stessa Microsoft, la procedura è solo in parte automatica e non ripristina necessariamente l’intero sistema; inoltre richiede un notevole sforzo di preparazione e serve come ultima risorsa in caso di catastrofe. In poche parole: scordatevene e salvate le partizioni con True Image. Installazione Dopo la lunga preparazione, siete pronti per installare l’SP2; potete scegliere se usare Windows Update in connessione a Internet o procurarvi il CD oppure, se avete la banda larga e diversi PC da aggiornare, se scaricare il file completo da 260 MB. Sul numero di ottobre di PC Open trovate tutte le informazioni per l’installazione dell’SP2. Ora passiamo alle prime esperienze dopo l’installazione. Problemi Per rafforzare le misure di protezione, è stata introdotta 1a lezione Windows xp2 Un esempio di messaggio trasmesso a un computer in rete via Messenger L’SP2 disabilita il servizio Messenger usato per trasmettere messaggi amministrativi in rete; se ad esempio utilizzate net send, dovete riabilitare e avviare il servizio (che non ha niente a che fare con Windows Messenger) in Windows XP2 una miriade di modifiche che hanno un impatto sulle applicazioni e che causano problemi di compatibilità con i programmi, con qualche driver e talvolta anche con il BIOS. Microsoft ha pubblicato una vasta documentazione sull’SP2 nel suo sito, per la maggior parte indirizzata agli sviluppatori e alle aziende affinché provvedano ad adeguarsi. Ad esempio il documento Application Compatibility Testing and Mitigation Guide for Windows XP Service Pack 2, di oltre 100 pagine, spiega come eseguire i test di compatibilità delle applicazioni e, per far fronte ai problemi, come disattivare o attenuare le nuove funzioni di sicurezza in attesa o nella speranza che le applicazioni vengano aggiornate dai produttori. Naturalmente, se proteggete il vostro PC con firewall, antivirus, antispyware e così via non avete bisogno né dell’SP2 né di aggiornare alcuna applicazione, d’altra parte non si può procrastinare troppo l’adozione di un Service Pack, perché alla lunga potreste faticare ad applicare gli update critici. D’altra parte, se il vostro sistema è già protetto, potete disattivare molti blocchi imposti dall’SP2: accettare immagini e allegati nella posta, scaricare qualsiasi tipo di file e così via. Prime difficoltà Vi raccontiamo la prima esperienza con l’SP2 dopo averlo installato su un notebook Satellite Pro 6100 Toshiba (Pentium 4M, 512 MB di RAM, rete cablata e rete wireless) del 2002. Windows XP Pro era ag- giornato con tutti i Windows Update e l’SP1. Il portatile era connesso a Internet tramite la rete locale ed era protetto da Zone Alarm Pro 5.1 (aggiornato) e da Antivir Personal Edition anch’esso aggiornato. L’SP2 è stato installato dal file di 260 MB in rete, quindi il processo è stato relativamente rapido. Al riavvio, abbiamo eseguito un piccolo censimento delle applicazioni, aprendo quelle principali e facendo un paio di operazioni, tra cui l’apertura dell’Help. Le applicazioni che utilizzano l’help di Windows o i file PDF per l’aiuto, funzionano. Quelle che ricorrono al formato Web hanno problemi, come ad esempio Freehand 10, Photoshop 7, ImageRaeady 7, GoLive 6, Flash MX, InDesign 2; il browser blocca i contenuti dell’help perché usano contenuto attivo “potenzialmente pericoloso” (Windows XP2 non distingue amico da nemico). Come abbiamo rimarcato, Windows XP2 mette barriere senza entrare nel merito della minaccia: l’help di Photoshop e una pagina Web malfamata sono la stessa cosa. In compenso, facendo clic sul messaggio di avviso di Internet Explorer, potete consentire l’esecuzione di script e ActiveX e vedere help e guide. Esempi di programmi che sembrano funzionare correttamente in un test rapidissimo (help incluso) sono Word 2000, Excel 2000, Powerpoint 2000, Outlook 2000, OneNote, Outlook Express, Acrobat 5, Dreamweaver MX, WinRar 3, WinIso 5.3, Diskeeper 8, True Image 8 e Cinema 4D. Il test con Quicktime 6 Player è stato negativo, il programma non ha funzionato; disinstallandolo e installando la versione 6.5 tutto è andato a posto. Il maggiore problema che si è manifestato dopo l’installazione dell’SP2 è stato che in uscita dallo standby (apertura dello schermo) non venivano più riconosciute le periferiche USB, con messaggi di errore per ogni hub presente sulla motherboard. Abbiamo aggiornato il BIOS del Satellite Pro e il problema è scomparso. Inoltre abbiamo avuto dei problemi a causa della nuova interfaccia per le reti wireless. Di tanto in tanto cadeva la connessione wireless logica, anche se restava in funzione la connessione radio. Questo problema sembrava associato a un’instabiltà di Windows Explorer comparsa con l’SP2, che si manifestava attraverso frequenti hang-up (Explorer cessava di rispondere e si bloccava). Modificando ad esempio le impostazioni WEP con l’utility wireless di US Robotics, Explorer si è bloccato più volte. Anche uscendo dallo standby, Explorer si è bloccato diverse volte. Per ora, ci limitiamo a osservare che prima di installare l’SP2 non esisteva nessuno di questi problemi. Mentre prima dell’SP2 la rete wireless ha funzionato bene per parecchi mesi con chiavi WEP di 256 bit (supportate da US Robotics), con l’SP2 la riduzione a chiavi di 128 bit sembra sia servita a non mandare Explorer in blocco e a non perdere la connessione wireless durante lo standby. Come vedremo, Windows XP2 è più invadente nel trattamento delle connessioni wireless e tende a volersi sostituire al software del produttore della scheda wireless. Desktop Abbiamo provato l’SP2 anche su un desktop biprocesso- re (board Asus CUV4X-D con doppio Pentium III, 1 GB di RAM, dischi SCSI e IDE, rete), con Windows installato da zero (XP del 2001 più un’intera giornata di update on line), senza aggiornare il BIOS del 2001. A differenza del notebook, dove il Registro errori di XP presentava parecchi errori da parte di servizi di sistema, sul desktop, dopo l’installazione dell’SP2, abbiamo trovato solo due errori ACPI (Advanced Configuration and Power Interface) imputabili al BIOS (probabilmente da aggiornare) e già ricorrenti prima dell’SP2. Se ne avete la possibilità, verificate la presenza di aggiornamenti BIOS disponibili e consultate il registro errori (o il Visualizzatore eventi) per verificare il grado di integrità e stabilità del sistema prima di installare l’SP2. Eventuali problemi latenti potrebbero aggravarsi installando il Service Pack. Potete verificare la data del BIOS installato tramite un’utility del tipo di Lavalys Everest (ex Aida 32), scaricabile gratuitamente da www.lavalys.com/ products/overview.php?pid=1 &lang=en&pageid=1. Se poi vi siete precipitati ad acquistare una delle prime CPU Intel Prescott (Pentium 4 o Celeron D) avete un problema in più. CPU Prescott Vari media informano che i problemi di compatibilità tra le motherboard e i primi processori Prescott, impediscono a XP2 di funzionare. Questo succede con i primi Pentium 4 e Celeron D Prescott, identificati dalla revisione C-0. Se avete questo problema, ci sono due possibili soluzioni: aggiornare il BIOS della motherboard (sperando che ce ne sia uno aggiornato che supporta il core Prescott C-0) o applicare la patch KB885626 di Microsoft 1a lezione Windows xp2 Ecco come viene ricevuto un messaggio Messenger (il testo può anche essere lungo) (http://support.microsoft.com/ default.aspx?scid=kb;enus;885626). Questa patch deve essere applicata prima dell’SP2. Se usate Windows Update per installare l’SP2, Microsoft non vi permette l’installazione se avete una CPU Prscott C-0 e non avete installato la patch. Per conoscere il livello di revisione della CPU installata potete usare l’ottimo CPU-Z, scaricabile gratuitamente da www.cpuid.com/cpuz.php. Wireless Un problema wireless lamentato da utenti che utilizzavano l’assegnazione automatica dell’indirizzo IP (tramite servizio DHCP) è che con l’SP2 devono assegnare l’indirizzo manualmente. Questo problema è riportato nei forum e non è un effetto dell’attivazione automatica del firewall. Altri lamentano che in SP2 riescono a connettersi tramite una PC Card WiFi ma non più con l’adattatore wireless integrato nel notebook. Qualcuno cita disconnessioni più frequenti e prestazioni inferiori. Probabilmente le schede wireless più vecchie sono quelle più soggette a problemi con SP2; ci sono segnalazioni che, anche con driver aggiornati, qualcuno non riesce a connettersi all’access point neppure senza crittografia. Qualche utente segnala problemi con il WPA e raccomanda di aggiornare il firmware di router e access point per usare il WPA. Inoltre sembra che l’aggiornamento 815485 (http://support.microsoft.com/default.as px?scid=kb;en-us;815485), ovvero il supporto WPA per XP, possa creare problemi se poi non si abilita il WPA su access point e schede. Antivirus e firewall Molti utenti hanno il dente avvelenato contro questo o quel produttore di antivirus e firewall, citando situazioni in cui la disinstallazione di questi software ha risolto i propri problemi. In proposito ci limitiamo a osservare che sul notebook aggiornato a SP2, Zone Alarm Pro 5.1 e il gratuito AntiVir 6 funzionano egregiamente e sono riconosciuti da XP2 nella finestra Centro sicurezza PC, dove compaiono come attivati (a differenza di Norton firewall e antivirus, che verranno aggiornati a tale scopo). Software che non funziona Microsoft ha pubblicato il documento Alcuni programmi si bloccano dopo l'installazione di Windows XP Service Pack 2 (http://support.microsoft.com/ default.aspx?kbid=842242), che include una lista di una cinquantina di programmi di vario genere, anche di Microsoft. Una causa comune è il funzionamento piuttosto grezzo del Windows Firewall, che blocca le connessioni e non si crea un database delle porte utilizzate dalle applicazioni che accedono a Internet. Il documento citato insegna a usare il comando Netstat (un comando per amministratori usato in finestra prompt) per identificare le porte da aprire e spiega come aprire manualmente le porte usando il programma di configurazione del firewall. Per soli 39,50 dollari, Zone Alarm Pro offre firewall e intrusion detection e non chiede all’utente di diventare un tecnico. Se optate per l’uso del Windows Firewall, può esservi utile leggere il documento Troubleshooting Windows Firewall settings in Windows XP Service Pack 2 (Soluzione dei problemi derivanti dalle impostazioni di Windows Firewall nel Service Pack 2 di Windows XP, http://support.microsoft.com/ default.aspx?scid=kb;enus;875357). Un altro documento di Microsoft si chiama Programs that are known to experience a loss of functionality when they run on a Windows XP Service Pack 2-based computer (Programmi che notoriamente accusano una perdita di funzionalità quando sono eseguiti su un computer con Windows XP Service Pack 2, http://support.microsoft.com/default.as px?scid=kb;en-us;884130) ed elenca 38 programmi noti per non funzionare o funzionare in parte sotto l’SP2. La lista include parecchi antivirus, firewall e utility di protezione. I problemi elencati sono per lo più impossibilità di installazione, impossibilità di disinstallazione, mancata esecuzione, vari Stop error (per esempio crash del PC all’avvio se è installto GoBack del 2003) e altro; vi consigliamo di controllare se usate programmi citati nel documento. Microsoft ha messo le mani avanti elencando parecchi programmi che non vanno a nozze con SP2 e raccomandando di consultare i produttori delle applicazioni prima di installare l’SP2. Probabilmente non incontrerete gravi problemi con l’SP2 ma, oltre a informarvi prima dell’installazione, potreste decidere di sbarazzarvi di un po’ di software vecchio e poco usato. Messenger Continua sui media, persino in certi documenti di Microsoft, la confusione tra Windows Messenger (l’utility di comunicazione istantanea testo/audio/video di Windows XP, che richiede un account .NET Passport) e il servizio di sistema Messenger, che non ha niente a che fare con Windows Messenger e che serve a trasmettere messaggi (solitamente di tipo amministrativo) di Net Send e del servizio Alerter. Negli ultimi tempi qualche malware ha iniziato ad abusare di Messenger per inviare popup invadenti sullo schermo. Con l’SP2 Messenger per default è disattivato. Se avrete bisogno di inviare messaggi istantanei ai computer in rete (per esempio Net send Giovanni Devo chiudere Internet per 15 minuti. Giorgio), dovrete prima riattivare Messenger sui PC interessati. Potete usare Start, Esegui, services.msc e quindi abilitare Messenger come automatico e avviarlo. Questo servizio di messaggistica immediata può essere fastidioso su un PC privo di protezioni e in preda al malware, mentre è utile per scambiare messaggi immediati in rete che balzano in primo piano e non possono essere ignorati. DivX DivX 5.2.1, DivX Pro 5.2.1 e Dr DivX 1.0.6 sono le nuove versioni compatibili con Windows XP SP2. Si possono scaricare da www.divx.com. Google Toolbar Dopo l’installazione dell’SP2 abbiamo visto sparire la finestra dei popup bloccati dalla barra di Google. Disinstallando in Installazione applicazioni (nel Pannello di controllo) Google Toolbar e reinstallandola dal sito di Google (http://toolbar.google.com/intl/it/), ricompare la finestra dei popup bloccati. E’ interessante notare che certi popup sono bloccati da Internet Explorer (la versione SP2), mentre altri sono bloccati dalla Google Toolbar. Nero Se usate Nero per registrare su CD e DVD, dovete scaricare l’ultimo aggiornamento per la compatibilità con SP2. Se usate Nero per i backup, è bene che lo aggiorniate prima di installare l’SP2. La prossima puntata Speriamo che questa raccolta di informazioni e di esperienze vi aiuti a inquadrare il problema della protezione dalle insidie di Internet e a decidere come procedere per aggiornare Windows XP. Nella prossima puntata affrontiamo l’argomento firewall e rilevazione delle intrusioni; mostreremo che cosa offre l’SP2, che cosa manca, come si usa il Windows Firewall, quali sono gli inconvenienti e quali sono le soluzioni alternative che possono rivelarsi più efficaci. 2a lezione Windows xp2 A scuola con PC Open Windows XP2 istruzioni per l’uso Il Windows Firewall dell’SP2, evoluzione dell’ICF di Windows XP, è una prima barriera contro le minacce provenienti da Internet; vediamo limiti, rischi e altre soluzioni ella prima puntata abbiamo chiarito che la protezione di Windows è un processo costante, che si sviluppa su più fronti. Innanzi tutto c’è la vastità e complessità del sistema operativo: anche una piccola percentuale di errori o di situazioni anomale non previste può creare delle falle nella sicurezza del sistema (questo accade regolarmente). Poi c’è la relativa fragilità meccanica dei computer, che tuttora conservano i dati su dischi magnetici soggetti a usura e guasti improvvisi. Infine c’è l’azione malvagia di chi scrive software distruttivo, il cosiddetto malware di cui abbiamo censito le principali manifestazioni nella scorsa puntata. Per introdurre del software dannoso nel vostro computer, vengono usati diversi mezzi: la posta elettronica, l’azione di autoreplicazione di virus e worm, la scansione delle porte Internet, i trucchi per indurre l’utente a eseguire una certa azione o a fornire certe informazioni, ma a volte può bastare la semplice navigazione in Internet o l’apertura di un messaggio e-mail in HTML. N Dopo ogni annuncio della scoperta di una falla di sicurezza in Windows o nelle principali applicazioni, inizia la gara tra chi sfrutta la falla per fare danni, chi deve riparare la falla (per lo più Microsoft) e chi deve estendere i vari software di protezione (antivirus e così via) per riconoscere e neutralizzare la nuova minaccia. Prima di parlare di firewall, che sono essenzialmente strumenti di protezione da attacchi esterni, non dobbiamo dimenticare che gli attacchi provenienti dall’interno di un’organizzazione sono altrettanto pericolosi. Un sondaggio in una delle maggiori università americane ci insegna che il 75% degli studenti rivela ad altri la propria password. Analogamente, negli uffici le password vengono spesso lasciate in pubblico (sotto la tastiera, sotto il tavolo, nel cassetto e così via) e a volte non sono neppure assegnate individualmente. Un’altra minaccia proveniente dall’interno è l’uso di notebook per collegarsi a Internet durante viaggi e trasferte. Spesso i PC, soprattutto quelli dei manager, non sono equipaggiati di Giorgio Gobbi IL CALENDARIO DELLE LEZIONI Lezione 1: Le prossime puntate - Concetti generali di sicurezza - Installare l’SP2 - I possibili problemi Lezione 3: 2: Lezione - I tipi di firewall - Configurare il firewall di XP - Hardware e software per bloccare il traffico con firewall e antivirus aggiornati, quindi vengono rapidamente infettati durante la navigazione in Internet e propagano l’infezione quando sono riconnessi alla rete aziendale. Una minaccia interna è anche l’installazione non autorizzata di un access point da parte di un impiegato volonteroso che vuole migliorare l’accesso alla rete wireless aziendale; se l’acces point non è protetto, diventa una porta aperta persino nella rete più sicura. Tutto questo ci suggerisce che per proteggere un sistema o una rete, ed evitare che i dati prendano il volo o che i computer vengano danneggiati o cadano sotto il controllo remoto di malintenzionati, occorrono diverse azioni preventive: l’uso di sistemi operativi protetti da password (ormai anche la legge sulla privacy lo impone), l’adozione di adeguate procedure di backup, l’educazione degli utenti alla riservatezza, l’installazione di firewall hardware e/o software per impedire attacchi esterni, l’uso di antivirus e anti-spyware aggiornati su ogni computer e, aspetto fondamentale, la sensi- - Configurare e utilizzare Internet Explorer e Outlook Express Lezione 4: - Le modifiche nell’architettura di Windows XP bilizzazione degli utenti riguardo la navigazione Internet, l’uso dell’e-mail e degli allegati, il download di file eseguibili e l’apertura o esecuzione di file di provenienza non garantita. Senza l’educazione e la vigilanza dell’utente, tutte le altre difese perdono di efficacia, perché per ogni forma di difesa vengono inventati nuovi attacchi che si mimetizzano da oggetti leciti (a volte trasmessi in modo frazionato, come nel contrabbando di ordigni sotto forma di parti staccate). In altre parole, se cliccate su tutto ciò che Internet vi propone, è improbabile che il vostro PC sopravviva a lungo, per quanto siate arroccati tra firewall e antivirus (che sono i primi programmi che il malware cerca di disattivare). Tutte queste considerazioni trovano un’eco nella legge 196/2003, che codifica le responsabilità del trattamento dei dati personali, inclusa la protezione dei dati e dell’accesso ai computer. Attacchi esterni Il termine firewall, tradotto letteralmente come “paratia antifiamma”, evoca il concetto 2a lezione Windows xp2 In questo schema di fonte Microsoft, nel PC che funge da gateway si vedono il Windows Firewall e la funzione di Condivisione connessione Internet (ICS), interposti tra l’interfacciA di rete esterna (modem verso Internet) e l’interfaccia di rete interna, connessa agli altri PC attraverso uno switch Ethernet (non mostrato) di una barriera che impedisce la propagazione di un pericolo. Specialmente anni fa, quando Internet non era ancora un terreno di coltura per attacchi di ogni genere, c’era l’impressione che un firewall fosse una linea di difesa che permettesse Se il computer non funge da gateway, come in questo caso, non è necessaria la condivisione della connessione Internet e il firewall si trova frapposto tra l’unica connessione di rete (a Internet) e le applicazioni che accedono a Internet sonni tranquilli. Non trascorse molto tempo prima che l’idea del firewall fosse associata alla linea Maginot, l’invalicabile fortificazione eretta dalla Francia negli anni ’30 per impedire un’invasione tedesca. La linea Maginot era formidabile, ma fu prontamente aggirata quando la Germania invase la Francia passando dal Belgio. Un firewall è un primo deterrente per bloccare gli attacchi frontali, cioè i pacchetti di dati più facilmente riconoscibili come ostili, ma per gli attacchi meno evidenti occorre affiancare ai firewall tradizionali altri strumenti di ispezione più sofisticati, capaci di distinguere un’intrusione dal traffico lecito. Paradossalmente, a parità di comportamenti degli utenti, è più facile proteggere singoli PC o una piccola rete rispetto a una rete aziendale, perché il singolo utente può permettersi di installare e tenere aggiornato uno schieramento di programmi di difesa (firewall con prevenzione delle intrusioni, antivirus, anti-spyware e via dicendo), mentre l’azienda, per motivi logistici ed economici, tende a installare un firewall centrale (spesso privo di un efficace sistema di riconoscimento delle intrusioni) e un antivirus su ogni computer, contando sul fatto che gli impiegati non dovrebbero passare il tempo a curiosare in Internet. Nel corso del tempo, i firewall hanno subito un’evoluzione e diversificazione, volta a rendere più efficace la capacità di bloccare il traffico indesiderato e filtrare e instradare in modo personalizzato il traffico lecito. Per inquadrare virtù e manchevolezze del Windows Firewall, iniziamo con un’introduzione generale, dove faccciamo conoscenza con i tipi fondamentali di firewall. 1 Il firewall, il controllore del traffico firewall sono sistemi o dispositivi o programmi che controllano il traffico tra reti caratterizzate da diversi livelli di sicurezza. Attualmente si parla di firewall soprattutto nel contesto della connettività Internet e della famiglia di protocolli TCP/IP. Per esempio, la vostra rete locale domestica formata da un desktop e da un notebook connessi via Ethernet, è considerata sicura, perché ne controllate gli accessi; quando installate un modem-router ADSL e lo collegate all’hub o switch a cui sono connessi i due computer, state mettendo in comunicazione una rete fidata (la LAN) con una rete insicura (Internet). Per impedire che anche la LAN diventi insicura, facile preda per attacchi e infe- I zioni, mettete una parete divisoria tra le due reti, cioè il firewall. A parte Internet, un firewall può essere usato per limitare e proteggere la connettività fra reti di qualsiasi tipo, come ad esempio una sottorete aperta al pubblico e la sottorete dell’amministrazione. Usato per proteggere la connessione a Internet, un firewall limita le possibilità di sfruttare le vulnerabilità intrinseche dei protocolli TCP/IP e, in qualche misura, può contribuire a mitigare i problemi di sicurezza di un sistema insicuro, come ad esempio un’installazione Windows che non sia mantenuta aggiornata con tutte le patch critiche. Con Windows XP2, Microsoft sta cercando di persuadere gli utenti, quasi in modo ossessivo, ad impostare il download e l’installazione automatica degli aggiornamenti, proprio per limitare le falle aperte al mondo esterno. Ci sono diversi tipi di firewall. Il firewall più semplice è poco più di un router (dispositivo che interconnette reti diverse) e si limita a filtrare i pacchetti IP in transito. Firewall più potenti riescono a neutralizzare un insieme più ampio di vulnerabilità TCP/IP e i firewall I sette strati del modello OSI (Open Systems Interconnect), un’astrazione delle comunicazioni di rete 2a lezione Gli strati OSI di interesse per il funzionamento dei firewall di classe superiore offrono un’ulteriore protezione perché ispezionano il contenuto di dati dei pacchetti, anziché soltanto alcuni campi della testata. Il livello di protezione richiesto, il numero di utenti, la banda passante supportata e la disponibilità di altre funzionalità determina la scelta del firewall, nell’ambito della spesa sostenibile. Un modo per confrontare le diverse categorie di firewall consiste nel considerare gli strati del modello di riferimento OSI (Open Systems Interconnect), un’astrazione delle comunicazioni in rete tra computer e dispositivi di networking. Dal basso in alto, i setti strati OSI sono: 1) fisico, 2) data link (collegamento), 3) rete, 4) trasporto, 5) sessione, 6) presentazione e 7) applicazione. Lo strato fisico rappresenta l’hardware e il mezzo della comunicazione fisica, come ad esempio Ethernet. Lo strato data link è quello che caratterizza il traffico dentro una rete locale (LAN) ed è il primo strato di indirizzamento dei computer e dispositivi di rete; le interfacce di rete di ogni PC, switch, router, firewall ecc. sono identificate da un numero di 48 bit chiamato indirizzo MAC (Media Access Control). Lo strato rete si occupa del traffico su network geografici (WAN, Wide Area Network); su Internet gli indirizzi di strato 3 sono chiamati indirizzi IP (Internet Protocol), dal nome del protocollo usato a questo strato. Lo strato trasporto identifica specifiche sessioni di comunicazione tra applicazioni; un sistema può avere in corso qualsiasi numero di sessioni di strato 4 con altri sistemi sulla stessa rete. La terminologia TCP/IP include il concetto di porte, che possono essere viste come i punti terminali delle sessioni; un nume- ro di source port (porta di origine) identifica la sessione di comunicazione sul sistema di origine e una destination port (porta di destinazione) identifica la sessione di comunicazione sul sistema di destinazione. Gli strati da 5 a 7 rappresentano sistemi e applicazioni orientate all’utente. Tipi di firewall I firewall di base operano su un numero limitato di strati OSI, mentre quelli più completi e avanzati coprono un maggior numero di strati. I firewall capaci di esaminare un numero superiore di strati sono più efficaci, permettono una maggiore flessibilità nella configurazione e supportano più protocolli e applicazioni. Un firewall che opera agli strati 2 e 3 non distingue tra utenti diversi, mentre un firewall che ispeziona lo strato applicativo può occuparsi dell’autenticazione degli utenti e inviare segnalazioni a specifici utenti. Packet Filter Il tipo di firewall più elementare si chiama Packet Filter (filtro di pacchetti). Di base è un dispositivo di routing (connessione tra reti diverse, allo strato 3) che include una funzione di controllo degli accessi governata da un insieme di regole (ruleset). Il controllo degli accessi si basa sulle informazioni chiave contenute nei pacchetti trasmessi in rete: indirizzo IP d’origine, indirizzo IP di destinazione, tipo di traffico (il protocollo usato per comunicare), alcune eventuali caratteristiche delle sessioni di strato 4 (come le porte di origine e destinazione) e, talvolta, l’interfaccia del router da cui proviene il pacchetto e l’interfaccia del router a cui il pacchetto è destinato. I packet filter sono molto veloci e flessibili; in un’azienda si 2a lezione Windows xp2 Il FireWall-1 di Check Point intercetta, analizza e prende provvedimenti su tutte le comunicazioni prima che entrino nella rete; a differenza degli altri produttori, Check Point interpreta la stateful inspection come un’analisi completa dei pacchetti, incluso il campo dati, fino allo strato applicativo dei protocolli Un esempio di collocazione di un packet filter al confine esterno della rete prestano a essere collocati al confine, tra il provider Internet e l’intera rete (che spesso contiene altri tipi di firewall). I packet filter bloccano certi attacchi, filtrano alcuni protocolli indesiderati e lasciano che il traffico venga filtrato da altri firewall su più strati OSI; essi non impediscono attacchi basati su funzioni o vulnerabilità proprie dello strato applicativo. Vediamo un esempio semplificato di ruleset (l’insieme di regole) di un packet filter usato per filtrare il traffico periferico di un’azienda, tra la rete locale e il provider Internet. Teniamo presente che i numeri di porta fino a 1023 sono quelli corrispondenti a note applicazioni TCP/IP (come 25 per l’SNMP usato dai server di posta e 80 per l’HTTP usato dai Web server), mentre i numeri di porta superiori a 1023 sono usati sui PC locali come porte di origine della comunicazione. In questo esempio didattico le regole, eseguite in sequenza finché una condizione non si avvera, potrebbero essere: 1) se l’IP di destinazione del pacchetto è sulla rete locale e la porta di destinazione è maggiore di 1023 (quindi si tratta della risposta a una comunicazione originata localmente), lascia entrare il pacchetto, 2) se l’IP di origine è quello del firewall, blocca il pacchetto, 3) se l’IP di destinazione è quello del firewall, blocca il pacchetto, 4) se l’IP di origine è sulla rete locale, lascia uscire il pacchetto, 5) se l’indirizzo di destinazione è quello del mail ser- ver locale e la porta di destinazione è quella usata dal protocollo SNMP di posta, lascia entrare il pacchetto, 6) se l’indirizzo di destinazione è quello del Web server locale e la porta di destinazione è quella usata per il protocollo HTTP (Web), lascia entrare il pacchetto, 7) blocca qualunque altro pacchetto che non risponde alle regole precedenti. In questo piccolo esempio, il comportamento del firewall segue tre criteri fondamentali: 1) lasciare uscire qualunque pacchetto, 2) lasciare entrare solo i pacchetti che giungono in risposta a una comunicazione originata dal computer locale e 3) lasciare entrare i pacchetti destinati ai server di posta e web locali (tutto il resto viene bloccato). Nella realtà, un ruleset comprende un lungo elenco di regole, che possono essere personalizzate dall’utente o dall’amministratore. In questo scenario è normale installare, oltre a un packet filter di confine, un altro firewall più accurato, tra l’interno della rete locale e la zona periferica dove si trovano i server accessibili da Internet. In questo modo, anche se i server venissero compromessi da attacchi esterni, il resto della rete locale rimarrebbe isolato e protetto. Questo risponde al criterio iniziale di installare un firewall tra due o più reti con diverse caratteristiche di sicurezza. Stateful Inspection Nel proseguire nella nostra schematizzazione tra i tipi fon- damentali di firewall, ci imbattiamo in un termine che non ha una definizione univoca e che non corrisponde necessariamente al punto di vista di Check Point, il principale produttore di firewall, che dichiara di avere inventato e brevettato la Stateful Inspection. La stateful inspection è l’ispezione dei pacchetti non solo individualmente ma come parte di una sessione di comunicazione. I firewall di Check Point adottano un mix di tecnologie che realizzano un esame assai approfondito di ogni pacchetto, che va ben oltre il concetto usuale (e diluito) di stateful inspection, comunque il principio generale resta valido. La stateful inspection di Check Point si basa sull’intercettazione dei pacchetti allo strato 3 e sull’esame dei contenuti fino allo strato applicativo. Nell’accezione comune, un firewall è considerato di tipo stateful inspection quando incorpora l’ispezione dei dati di strato 4 (trasporto, dove operano i protocolli TCP e UDP). Quando un’applicazione TCP crea una sessione con un host remoto, nel sistema di origine viene creata una porta con lo scopo di ricevere i pacchetti di risposta dal sistema di destinazione. Questa porta locale deve avere un numero compreso tra 1024 e 16383, mentre la porta di destinazione avrà numero inferiore a 1024. Come abbiamo visto sopra nell’esempio di ruleset, un packet filter lascia passare tutto il traffico entrante diretto alle porte superiori a 1023, creando un forte rischio di intrusione da parte di utenti non autorizzati. I firewall stateful inspection risolvono il problema creando un elenco delle connessioni TCP in uscita con associato il numero di porta di ritorno (maggiore di 1023). Se un pacchetto in arrivo su un numero di porta alto non (maggiore di 1023) non risulta rispondere a una comunicazione originata localmente, viene scartato. Un altro esempio di intervento della stateful inspection è la verifica che sia rispettato il formato di inizio e fine trasmissione. Un dialogo TCP tra due sistemi inizia con l’invio di un pacchetto SYN (sincronizza), a cui viene risposto con un pacchetto SYN/ACK (sincronizzazione e riconoscimento), dopo di che il primo computer invia un secondo SYN di riconoscimento all’ACK (i SYN sono numerati) e inizia la comunicazione fino al pacchetto FIN finale (il TCP prevede anche altri stati). La stateful inspection blocca un dialogo che inizi con un pacchetto di risposta, se la richiesta non è mai avvenuta, così il sistema ostile non riceve un messaggio di errore che rivelerebbe informazioni utili per organizzare un attacco. La stateful inspection è adottata dalla maggior parte dei firewall hardware e software (sia pure con una grande variabilità di funzioni supportate), incluso il Windows Firewall. Application-Proxy Gateway Questo tipo di firewall (detto anche in breve proxy firewall), 2a lezione Windows xp2 è utilizzato da un certo numero di produttori per i loro modelli più avanzati e costosi. Oltre alle funzioni viste sopra, un firewall di questo tipo include l’ispezione dello strato applicativo, così da verificare che per ciascuna delle principali applicazioni TCP/IP (SMTP, HTTP, FTP, DNS e tante altre), i protocolli vengano rispettati alla lettera senza deviazioni che potrebbero nascondere attacchi o lo sfruttamento di note vulnerabilità. Il concetto di proxy è quello di un server che risiede tra un’applicazione client, come un browser, e un reale server, per esempio un Web server; al server il proxy appare come se fosse il client, mentre al client esso appare come se fosse il vero server. Si usano server proxy per due motivi: migliorare le prestazioni (per esempio conservando localmente le pagine Web di accesso frequente) e filtrare le richieste, come avviene in un firewall proxy. Un firewall proxy esamina non solo la testata dei pacchetti, come avviene nella stateful inspection, ma anche il loro “carico utile”, cioè il campo dati. In questo modo il firewall può riconoscere contenuti dannosi (per esempio codice eseguibile) e modificarli o bloccarli. Per fare questo, un proxy firewall deve contenere un modulo software (chiamato agente) per ciascun tipo di applicazione da monitorare e filtrare; su alcuni firewall proxy, il nu- mero di agenti può raggiungere la ventina. Certi produttori affermano che solo un proxy firewall ispeziona il contenuto dei pacchetti entrando nel merito dello strato applicativo; Check Point, viceversa, esegue questa azione senza proxy e la definisce Stateful Inspection. La differenza sta nel fatto che un proxy introduce un elemento aggiuntivo che spezza il modello client/server, rende più rigida la configurazione, è limitato nelle applicazioni supportate e ha prestazioni inferiori, anche se offre un analogo livello di sicurezza. Il modello di Check Point abbina la buona sicurezza all’estendibilità e alle alte prestazioni, il che spiega perché è il preferito dalle grandi aziende. Quale sia il nome, l’ispezione dei pacchetti allo strato applicativo permette di controllare qualunque cosa e in particolare di eseguire l’autenticazione degli utenti in uno dei tanti modi possibili (tramite user/password, dispositivi hardware o certificati, indirizzo o periferica biometrica). Ibridi Per brevità, non entriamo in ulteriori dettagli sui tipi di firewall, che spesso sono un ibrido di varie tecnologie. Spesso si trovano firewall di tipo stateful inspection che incorporano alcune funzioni dei proxy firewall con l’obiettivo di proteggere il sistema dalle sue vulnerabilità (in particolare quelle di Windows) e allo scopo di offrire funzioni di autenticazioni e di logging più dettagliato (la registrazione delle azioni eseguite dal firewall). Personal firewall Quando un nuovo programma cerca di accedere a Internet, ZoneAlarm chiede se autorizzarlo e, in tal caso, per una volta o per sempre; per fare una scelta, l’utente può consultare le proprietà del programma e chiedere ulteriori informazioni Il firewall ZoneAlarm, appena riconosce una nuova rete, la classifica tra Internet (insicura) e trusted (sicura) Nella gamma di prezzi da 0 a 100.000 euro dei firewall, qui ci interessano soprattutto i prodotti gratuiti e di basso costo per uso personale, tutti di tipo software. Partendo da zero, oltre al firewall incluso in Windows XP c’è una serie di firewall di base gratuiti che potete scaricare da Internet, come ZoneAlarm, il più popolare, e quelli di Sygate, Kerio e Agnitum. Questi produttori promuovono il loro software commerciale offrendo le versioni gratuite per uso personale, mentre le versioni a pagamento complete sono paragonabili a quelle di prodotti ZoneAlarm tiene una tabella dei diritti di accesso a Internet, alla rete locale e alla spedizione di posta, con la possibilità di personalizzare i diritti in ricezione e in trasmissione esclusivamente commerciali come Norton Personal Firewall e McAfee Personal Firewall. I firewall software per uso personale che riscuotono maggiore apprezzamento sono ZoneAlarm Pro e Norton Personal Firewall, venduti anche in una suite di protezione che include antivirus, difesa della privacy e altro. Li abbiamo usati entrambi con soddisfazione, anche se preferiamo ZoneAlarm Pro perché non impone la Product Activation, che non si addice a chi cambia configurazione di frequente. Inoltre, comunicando il numero di una vecchia licenza per un software di Norton o McAfee, si usufruisce del Competitive Upgrade: con 40 dollari (circa 33 euro) si acquista on line l’intera ZoneAlarm Security Suite, comprendente firewall, antivirus, protezione dell’identità e della privacy e protezione dell’e-mail e del contenuto delle comunicazioni. Una soluzione integrata facilita il rinnovo delle licenze annuali, che danno diritto agli aggiornamenti del software e dei descrittori dei virus. I personal firewall a pagamento, oltre alla stateful inspection di base, includono protezioni specifiche contro cavalli di Troia, backdoor e falle di Windows; in altre parole, eseguono una funzione di prevenzione contro le intrusioni che nei firewall aziendali è 2a lezione Windows xp2 Questo è il messaggio con cui ZoneAlarm informa che ha bloccato un tentativo di intrusione da parte dell’IP specificato; fino a 500 alert possono essere tenuti aperti e consultabili appena abbozzata o fornita sui modelli più costosi. Quindi non è raro trovare un firewall hardware che protegge il confine di una rete e i firewall personali che proteggono i singoli PC a un livello più capillare, che include il filtro dei pacchetti in uscita. Il filtro del traffico uscente solitamente non viene eseguito dai firewall hardware, ma è importante per impedire che il PC, qualora cada sotto il controllo di uno spyware o altro malware sfuggito ai controlli, cominci a inviare all’esterno dati, attacchi e infezioni. Il Win- Questo è il messaggio con cui ZoneAlarm informa di avere bloccato una o più intrusioni nella privacy; in questo esempio da record, ha bloccato, all’apertura di una pagina Web, cookie invadenti, pubblicità, animazioni, Web bug e l’accesso a informazioni private dows Firewall non filtra i pacchetti in uscita, quindi non protegge il sistema se qualche attacco, penetrato mimetizzandosi in mezzo al traffico delle applicazioni, inizia a “chiamare casa” per mettere il PC sotto controllo remoto, inviando dati e file locali, propagando worm e sferrando attacchi a server su Internet. Con un firewall come ZoneAlarm o Norton, quando un programma non autorizzato cerca di accedere a Internet, compare un messaggio con cui potete bloccare la comunicazione. Nel caso di ZoneAlarm, il messaggio consiglia sul da farsi e permette di raccogliere informazioni che aiutano a capire se il programma è lecito o rappresenta una minaccia, specialmente quando si tratta di un modulo software di basso livello o dal nome sconosciuto. Sui firewall hardware è comunque possibile aggiungere regole per bloccare il traffico in uscita se non appartiene a una lista di categorie ammesse, per esempio HTTP e HTTPS per il Web, DNS, FTP e PPTP (per utenti remoti su reti private virtuali). Firewall hardware Nelle impostazioni avanzate di ZoneAlarm, l’utente specifica se il PC sfrutta la Condivisione connessione Internet (ICS) di Windows XP e, in tal caso, se è un client o il gateway (il PC collegato al modem), dopo di che ZoneAlarm configura la condivisione delle risorse senza che l’utente debba fare nient’altro Funzioni firewall di base sono spesso incluse nei router e gateway ADSL, sia Ethernet che wireless, con prezzi che partono da meno di 100 euro. I firewall hardware sono disponibili a tutti i livelli di prezzo, secondo le funzioni che svolgono e la loro capacità di elaborazione (banda passante, capacità di crittografia e così via). Per una piccola azienda, un firewall di categoria SOHO IPCop è un popolare firewall gratuito basato su una distribuzione Linux essenziale e su un corredo di funzioni aggiuntive, tra cui la rilevazione delle intrusioni con Snort e il supporto delle reti wireless (Small Office - Home Office) costa qualche centinaio di euro se il numero di utenti non supera la decina. Ci si avvicina ai 700 euro se si acquista un modello dotato di IPS (Intrusion Prevention System) e antivirus. Alcuni esempi in questa categoria (che vede numerosi prodotti e produttori) sono i firewall SnapGear di CyberGuard (www.snapgear.it), Safe@Office di Check Point (www.checkpoint.com), Juniper NetScreen-5GT Enhanced (www.juniper. net) e l’F25AV di NetAsq (www.netasq.it), dotato di IPS e antivirus. Una caratteristica dei firewall hardware, come pure dei router e gateway per Ethernet o wireless, è il supporto per una serie di servizi aggiuntivi. Quelli fondamentali sono il server DHCP (Dynamic Host Configuration Protocol, che esegue l’assegnazione dinamica degli indirizzi IP ai computer in rete che non hanno un IP predefinito) e il supporto NAT (Network Address Translation, il meccanismo che permette a più computer in rete di condividere un indirizzo IP pubblico traducendo gli indirizzi IP privati, non visibili da Internet, nell’indirizzo IP pubblico). Un altro servizio importante svolto dai firewall (tranne i più economici), è la funzione di server VPN (Virtual Private Network), che permette di ricevere comunicazioni sicure (crittografate), da PC remoti o succursali periferiche di un’azienda attraverso Internet. Il numero di comunicazioni VPN simultanee, la banda passante del traffico VPN e la potenza dell’hardware di cifratura/decifratura sono altri elementi che determinano il prezzo di un firewall. Non necessariamente i firewall di livello superiore sono di tipo hardware; possono essere di tipo software ospitati da sistemi operativi come Linux o Windows Server. Firewall Linux Linux può essere utilizzato come firewall in diversi modi. Esistono versioni specifiche di alcune distribuzioni che sono personalizzate per l’uso come firewall. Poi ci sono i tanti firewall hardware con Linux embedded, che offre la flessibilità di Linux e il relativo linguaggio di definizione delle regole firewall. Infine c’è un esempio brillante di firewall software basato su una distribuzione Linux ridotta all’osso (anche per motivi di sicurezza); si chiama IPCop (poliziotto dell’IP) e l’immagine ISO del CD (che installa Linux e il firewall in pochi minuti) è scaricabile da www.ipcop.org (40 MB). È appena uscita la release 1.4, che supporta le reti wireless, il backup via rete e altro. IPCop funziona egregiamente anche su un vecchio PC in disuso. 2a lezione Windows xp2 2 IDS e IPS, così si rilevano le intrusioni entre i firewall tradizionali sono diventati sempre più trasparenti per i nuovi tipi di attacchi dall’esterno, si sono sviluppate parallelamente le tecniche di rilevamento delle intrusioni, che oggi, almeno in parte, tendono a convergere con i firewall. La rilevazione delle intrusioni è il processo di monitoraggio degli eventi che accadono in un computer o in una rete alla ricerca di segni di intrusione, ovvero tentativi di compromettere la confidenzialità o integrità dei dati o di scavalcare i meccanismi di sicurezza. Questi attacchi possono venire da Internet o da utenti autorizzati che cercano di procurarsi privilegi superiori a quelli assegnati o che fanno cattivo uso dei loro privilegi. M Intrusion Detection System Un IDS (Intrusion Detection System, sistema di rilevazione delle intrusioni) può agire nell’ambito di un computer, di un nodo di rete o può anche ana- lizzare l’intero traffico di rete a caccia di anomalie; esistono anche altre tipologie di IDS basate su singole applicazioni o sul riconoscimento di anomalie o eventi specifici. Un IDS non blocca la minaccia, ma la riconosce e la registra, lasciando a chi analizza le registrazioni la scelta delle azioni da intraprendere. Idealmente, in una rete aziendale dovrebbero esserci più IDS per monitorare il traffico nelle varie zone, per esempio a ridosso di Internet, all’interno del router o firewall periferico (nella zona del Web server) e all’interno della rete locale (probabilmente dopo un secondo firewall). In un’installazione ad alto livello di sicurezza i sistemi IDS sono dispiegati in tutti i punti chiave della rete. Il più diffuso software IDS è di tipo Open Source e si chiama Snort. È incluso in diversi firewall sia hardware sia software ed è scaricabile gratuitamente da www.snort.org. Oltre alla versione per Linux, che è l’ambiente naturale di Snort, esiste la versione anche per Windows. Snort rileva i segni d’intrusione e li mette a disposizione per l’analisi. Idealmente, l’analisi dei report di Snort viene eseguita da un’applicazione che si chiama Acid (Analysis Console for Intrusion Databases) ed è reperibile presso http://acidlab.sourceforge.net. La sua installazione richiede un ambiente con una serie di applicazioni tra cui PHP, MySql, il Web server Apache e una serie di altri moduli, tutti disponibili su piattaforma Linux. Se volete fare esperimenti con software gratuito IDS e IPS, potete esplorare, oltre al mondo di Snort e Acid, i programmi Prevx (www.prevx.com), SnoopNetCop (www.snoopanalyzer.com), Aide (http://sourceforge.net/projects/aide/), Prelude (www.prelude-ids.org), Foundstone Attacker, Foundtsone Carbonite e Foundstone Filewatch (www.foundstone. com). Intrusion Prevention Systems Mentre i sistemi IDS sono prevalentemente autonomi e sono collocati in vari punti di una rete per sorvegliarne la sicurezza, senza bloccare le intrusioni, i sistemi IPS riconoscono e bloccano le intrusioni e sono solitamente integrati nei firewall di livello superiore. Il loro compito è di aprire i pacchetti in transito, esaminarne il contenuto e mettere a confronto le informazioni della testata con quelle del campo dati, in conformità a ciascuno dei protocolli utilizzati. Per un’azienda che non possa permettersi di dotare ogni singolo PC di un firewall software completo, un firewall centralizzato con funzioni IPS è la soluzione più efficace. Per l’uso personale e la piccola azienda, le versioni commerciali (a pagamento) dei personal firewall citati in precedenza offrono un’ottima protezione dalle intrusioni (resta sempre la necessità di installare sui PC antivirus e antispyware). 3 Windows Firewall, già pronto all’uso differenza dell’ICF (Firewall connessione Internet) originario di XP, il Windows Firewall dell’SP2 è attivo per default, ma può essere disattivato dall’utente o dal programma di installazione di un altro firewall software oppure da un malware che approfitti dell’interfaccia software gentilmente messa a disposizione da Microsoft. Una caratteristica apprezzabile del Windows Firewall è quella della sua attivazione prima che vengano inizializzate le funzioni di rete, proteggendo il sistema durante quel breve periodo di tempo in cui esso è vulnerabile. Gli altri firewall software non offrono questa protezione, ma se vi preoccupa la possibilità di essere allo scoperto per alcuni secondi, ogni volta che avviate Windows, potete utilizzare un firewall hardware a ridosso del modem o integrato nel router o ga- A teway di accesso a Internet, così da avere una difesa di base sempre attiva. Mentre l’ICF veniva attivato ed eventualmente personalizzato separatamente per ciascuna delle connessioni di rete, il Windows Firewall dell’SP2 viene attivato in blocco per tutte le connessioni. Questo non è sempre il comportamento desiderato ed espone il sistema a impreviste vulnerabilità. Infatti, se avete una connessione via modem e una via LAN, vorrete probabilmente due comportamenti diversi: protezione con firewall e nessuna condivisione di risorse per la prima e firewall disattivato e condivisione delle risorse per la seconda. Anche le personalizzazioni di configurazione sono presumibilmente diverse per reti con diverse caratteristiche di sicurezza. Ma le cose sono più complicate e il pericolo è in agguato, come ha scoperto la rivista tedesca PC Welt, il cui articolo sull’SP2 ha fatto in pochi giorni il giro del mondo Web. Perciò, prima di addentraci nella configurazione del Windows Firewall, chiariamo alcuni punti sul firewall e sulla condivisione delle risorse nelle tre versioni di Windows XP: quella originale, con SP1 e con SP2. Rischi di SP1 e SP2 La premessa, a beneficio di chi utilizza Windows senza preoccuparsi degli aspetti di networking, è che tra le proprietà di ogni connessione di rete (come quella a Internet via modem o quella alla rete locale) c’è una lista di componenti (come client, servizi e protocolli) che la connessione può La finestra Connessioni di rete mostra Windows Firewall attivato per default su tutte le connessioni (tranne la prima, che risiede su un altro computer) 2a lezione Windows xp2 Per default, il Windows Firewall di Windows XP2 è attivato su tutte le connessioni di rete, ma può essere disattivato manualmente o via software È vitale che sulla connessione Internet sia disattivato l’accesso alle risorse condivise del computer, ma in certe condizioni Windows XP2 lascia erroneamente attivata la condivisione usare. Un esempio è il protocollo TCP/IP, che deve essere necessariamente attivo perché funzionino le connessioni in una rete locale basata su Windows o la connessione a Internet. Alcuni componenti, come il TCP/IP, sono indispensabili, mentre altri sono opzionali, come la condivisione delle risorse. Questa casella, tra le proprietà di rete di una connessione, solitamente è selezionata per le connessioni LAN e deselezionata per le connessioni modem, per impedire che il mondo esterno possa accedere La casella Non consentire eccezioni blocca le connessioni in ingresso destinate ai programmi e servizi elencati nella sezione Eccezioni, come ad esempio l’Assistenza remota e il Desktop remoto Per aggiungere nuovi programmi alle eccezioni, si usa la finestra Aggiungi programma; con Cambia ambito, si può definire se un programma sarà accessibile localmente o anche da Internet alle vostre risorse condivise (file e stampanti). Il problema scoperto da PC Welt è che, in determinate circostanze, dopo l’applicazione dell’SP2 i vostri dati vengono messi a disposizione di tutto il mondo attraverso Internet, grazie alla condivisione di file e stampanti (più tutti gli altri servizi di rete). La condizione perché ciò avvenga è che sia attiva la condivisione di risorse su una rete locale interna e il collegamento a Internet tramite connessione dialup (modem a 56K o a banda larga con uno dei protocolli PPP) o ISDN e che non sia attivata la Condivisione connessione Internet (ICS, Internet Connection Sharing). In queste condizioni si è protetti solo se un firewall è integrato nel modem (o router o gateway). Lo staff di PC Welt ha scoperto che questa configurazione è abbastanza comune, tanto da riuscire a curiosare in diversi computer su Internet. Nella versione originaria di Windows XP, la sezione Rete delle proprietà di una connessione di rete (quella dialup è da tenere d’occhio) è attendibile; Alla lista di default delle eccezioni potete aggiungere programmi e servizi che devono essere accessibili a comunicazioni originate da Internet (che di regola vengono bloccate) se la casella di condivisioni dei file e stampanti è deselezionata, non c’è pericolo. Con l’SP1, il servizio di condivisione era generalizzato, ma fortunatamente il firewall di XP era attivato per default sulle connessioni dialup; se disattivate il firewall, un messaggio avvisa che le vostre risorse condivise possono essere visibili da Internet. Comunque si poteva configuare una connessione modem con firewall e una LAN senza. Ora al bug di SP1 se ne somma uno di SP2 e il firewall è attivato sia per le connessioni dialup sia per quelle LAN e, erroneamente, viene attivata la condivisione di file e stampanti su tutte le connessioni. Non potendo ripristinare la vecchia configurazione con l’ICF, dovete rimediare in un altro modo. Aprite Windows Firewall nel Pannello di controllo, sezione Eccezioni; selezionate Condivisione file e stampanti; cliccate su Modifica e vedete selezionate quattro porte TCP e UDP usate dal servizio di condivisione. Voi volete disattivare la condivisione sulla connessione dialup e lasciarla attiva sulle connessioni interne, quindi cliccate su Cambia ambito e, nella finestra che segue, selezionate la seconda opzione (Solo la rete locale) o la terza (Elenco personalizzato). Si è scoperto che un’ulteriore bug fa sì che la seconda opzione viene ignorata (lasciando i dati con- 2a lezione divisi visibili al mondo) se non è attiva la Condivisione connessione Internet tra le proprietà avanzate della connessione dialup; in tal caso dovete usare la terza opzione e inserire a mano gli indirizzi IP e le subnet mask di tutte le connessioni locali che devono avere accesso alle risorse condivise: vero incubo se avete parecchi PC e se usavate l’assegnazione dinamica degli IP. Trovate l’articolo di PC Welt (in inglese) presso www.pcwelt. de/news/sicherheit/103039/index.html. Anche alla luce di questa vicenda, abbiamo speso volentieri qualche decina di euro per la licenza di un firewall serio con protezione delle intrusioni e del traffico uscente. Configurazione di Windows Firewall Supponendo che Windows Firewall e le connessioni di rete siano configurati in modo da evitare la condivisione dei file su Internet, ora possiamo esplorare le opzioni di configurazione che potrebbero essere utili per sfruttare Windows Firewall. Nella finestra Windows Firewall (dal Pannello di controllo), oltre ai bottoni per attivare e disattivare il firewall, ce n’è un terzo che annulla tutte le eccezioni selezionate nella sezione Eccezioni, già vista nel paragrafo precedente. Questo bottone blocca tutte le connessioni in ingresso ai programmi e servizi elencati sotto Eccezioni. Non sappiamo se blocca effettivamente la condivisione di file e stampanti, alla luce del capitolo precedente. Il Norton Personal Firewall 2003, in questa finestra, mostra le regole con cui blocca intrusioni come cavalli di Troia e backdoor blocco delle eccezioni è un’opzione utile per proteggervi quando siete in viaggio e vi collegate a Internet via modem. Non essendo collegati a una LAN, potete disattivare completamente la condivisione senza inconvenienti. Non potete invece bloccare le eccezioni se usate la connessione a Internet per operazioni di assistenza remota o di desktop remoto, una delle funzioni più apprezzate di Windows XP Professional. Se lasciate selezionata la casella Visualizza un avviso ..., sarete avvertiti quando il firewall blocca una comunicazione. Se, dopo l’installazione dell’SP2, cessa di funzionare un programma o servizio che si occupa di comunicazioni o che accetta traffico in ingresso non sollecitato, dovrete identifica- Cambia ambito permette di limitare, per ogni applicazione, l’accessibilità in ingresso a comunicazioni originate da Internet 2a lezione Windows xp2 Per ogni programma e servizio elencato nella sezione Eccezioni, si possono vedere le porte interessate e modificare l’ambito di accessibilità in ingresso La sezione di proprietà avanzate di Windows Firewall permette di selezionare i servizi accessibili in ingresso in modo indipendente per ciascuna connessione di rete, di attivare la registrazione degli eventi e di scegliere quali messaggi ICMP (di stato ed errore) si desidera abilitare Se si cambia ambito per un programma o servizio elencato tra le eccezioni (accessibile in ingresso da comunicazioni non sollecitate), si può specificare se l’ambito include Internet, la LAN o solo alcuni indirizzi IP re il programma o le porte da abilitare ed aggiungerli alla lista delle eccezioni tramite i bottoni Aggiungi programma o Aggiungi porta. Salvo necessità particolari, non dovreste accettare traffico entrante che non sia in risposta a una vostra richiesta; le normali applicazioni, come browser e client di e-mail, ricevono pacchetti in ingresso solo in risposta alle loro richieste (come l’apertura di una pagina Web o l’ispezione di una casella postale). Un importante miglioramento di Windows Firewall rispetto all’ICF è che, per le applicazioni aggiunte nella sezione Eccezioni, vengono automaticamente aperte e chiuse le porte necessarie (che costituiscono varchi nel firewall) per il solo periodo di esecuzione del programma. Solo un amministratore può aggiungere un programma alla lista delle eccezioni, ma il programma potrà essere eseguito dai normali utenti. Chi volesse ulteriori dettagli può consultare il documento “Windows XP Service Pack 2: A Developer's View” (http://msdn.microsoft.com/librar y/default.asp?url=/library/en-us/dnwxp/html/securityinxpsp2.asp), che descrive da un punto di vista tecnico i contenuti dell’SP2. Se poi volete personalizzare l’ambito di controllo di programmi e porte, cliccate su Cambia ambito (come visto sopra per la condivisione) e specificate se l’eccezione (cioè lo sblocco del firewall) vale per tutti i computer (inclusi tutti quelli su Internet), solo quelli della rete locale o quelli elencati per indirizzo IP e subnet mask. La terza sezione della finestra Windows Firewall, Avanzate, offre ulteriori opzioni di configurazione. La prima, Impostazione connessioni di rete, specifica su quali interfacce il firewall è attivo. Inizialmente il firewall è attivo per default su tutte le connessioni, ma basta deselezionare le caselle corrispondenti per disattivarlo quando non è necessario. Visto che Windows Firewall non filtra il traffico in uscita e non offre vere funzioni di Intrusion Prevention, può essere disattivato sulle connessioni interne di una LAN, dove viceversa sono utili firewall come ZoneAlarm Pro, che bloccano cookie invadenti, pubblicità, animazioni indesiderate e Web bug in ingresso e informazioni private (come l’ultimo sito visitato) in uscita (tutti questi elementi attraversano un normale firewall e sono bloccati solo se sono attive funzioni di prevenzione delle intrusioni). Nel riquadro Impostazione connessioni di rete, il bottone Impostazioni permette di selezionare servizi e comandi ICMP (vedi sotto) da attivare per la specifica connessione selezionata. La seconda opzione di Avanzate permette di attivare il logging (Registrazione protezione), ovvero la registrazione dei pacchetti ignorati e delle connessioni riuscite in un file di testo, che potete analizzare per verificare se il firewall è funzionale o troppo restrittivo o permissivo. La terza opzione serve per abilitare la ricezione e l’invio di messaggi del protocollo ICMP (Internet Control Message Protocol), un componente della famiglia TCP/IP che serve a notificare al mittente dei pacchetti IP (datagrams) informazioni su stato ed errori, come destinazione irraggiungibile, richiesta d’echo e risposta all’echo (base del comando Ping per verificare la raggiungibilità di un nodo IP), parametri non validi, reindirizzamento, tempo scaduto e altro. I messaggi ICMP sono l’unico caso in cui Windows Firewall può filtrare il traffico in uscita. Se ad esem- 2a lezione Windows xp2 Tra le Impostazioni avanzate di Windows Firewall, per ogni connessione si possono scegliere i servizi raggiungibili da comunicazioni originate su Internet pio volete che un computer risponda alle richieste di echo (Ping è il primo degli strumenti diagnostici per verificare le connessioni), accertatevi che sia selezionata la casella Consenti richiesta echo in ingresso nelle impostazioni ICMP della sezione Avanzate di Windows Firewall. Confronti Sebbene Windows Firewall sia orientato alle aziende e all’utente alle prime armi (quello esperto installa un firewall migliore), l’interfaccia vista sopra mostra che il firewall di Windows è amichevole finché potete ignorarne l’esistenza, mentre non lo è affatto se dovete impostare eccezioni per sbloccare un programma che non funziona o se dovete turare le falle per la condivisione dei file su Internet. In particolare, nel Windows Firewall, il controllo dell’accesso per le applicazioni è trattato sotto forma di eccezioni, anziché di autorizzazioni all’accesso a Internet per ciascuna applicazione che lo preveda. Al contrario, altri programmi, come ZoneAlarm e Norton Personal Firewall, tengono aggiornata una lista di tutti i programmi che possono accedere a Internet, insieme con i diritti di accesso individuali. Per esempio, ZoneAlarm, per ogni applicazione, permette di modificare le autorizzazioni a ricevere e trasmettere sia sulla rete locale sia su Internet e a inviare posta elettronica. Un’altra caratteristica che rende ZoneAlarm completo ma facile da usare è il linguaggio dell’interfaccia, comprensibile anche a utenti di scarsa esperienza. Quando riconosce una nuova rete, ZoneAlarm chiede se è da classificare come sicura (interna) o insicura (Internet) e per le reti locali permette di specificare se la rete locale utilizza la Condivisione connessione Internet di Windows e in tal caso se il PC è il gateway o un client; secondo il caso, ZoneAlarm predispone l’accessibilità alla rete e la condivisione delle risorse, senza pretendere che l’utente inserisca gli IP o un intervallo di IP fidati, come avviene in altri firewall. Windows Firewall non Una delle Impostazioni avanzate permette di abilitare il traffico dei messaggi ICMP, un protocollo della famiglia TCP/IP per notifiche di stato e di errore offre nulla di tutto questo e ha un’interfaccia molto tecnica, del tutto estranea all’utente inesperto a cui l’SP2 promette un Windows più sicuro che mai. Viceversa, altri firewall come quelli citati di ZoneLabs e di Symantec hanno interfacce più orientate all’utente e tuttavia permettono di estendere il ruleset del firewall con regole definite dall’utente. Soluzione dei problemi L’articolo “Risoluzione dei problemi relativi alle impostazioni della funzionalità Windows Firewall in Windows XP Service Pack 2” (http://support.microsoft.com/default.as px?scid=kb;it;875357) insegna a configurare Windows Firewall nel caso sia bloccata una porta utilizzata da un programma. La soluzione comprende l’uso della sezione Eccezioni sopra citata, l’analisi del file di logging (di cui l’articolo descrive la struttura) e, se questo non basta, l’utilizzo di due dozzine di comandi in finestra prompt, quelli solitamente usati dai sistemisti per confi- gurare o riparare Windows tramite l’interfaccia testo. L’impressione è che Windows Firewall sia uno strumento destinato alle aziende, personalizzabile attraverso i criteri di gruppo (Group policies) di Windows, più che un’utility a disposizione dell’utente finale. Lo conferma il documento “Deploying Windows Firewall Settings for Microsoft Windows with Service pack 2”, che promuove l’impostazione dei firewall a livello collettivo, in un’azienda basata su server Windows e Active Directory, attraverso la definizione di Criteri di gruppo da applicare in modo generalizzato. È vero che Windows Firewall blocca il traffico in entrata non sollecitato e nasconde le porte a chi ne fa la scansione a caccia di punti deboli nel sistema, ma per efficacia, interfaccia e facilità di configurazione, preferiamo i firewall gratuiti reperibili su Internet e, soprattutto, le versioni commerciali come ZoneAlarm Pro e ZoneLabs Security Suite, che offrono protezione completa e facilità d’uso e configurazione. 3a lezione Windows xp2 A scuola con PC Open Windows XP2 l’accesso a Internet IL CALENDARIO DELLE LEZIONI Dopo le due puntate dedicate ai problemi di installazione, alla protezione dai malware e ai firewall, vediamo come utilizzare le versioni SP2 di Internet Explorer e di Outlook Express nternet Explorer (IE) ha una cattiva fama per quanto riguarda la sicurezza. La storia di IE è stata ed è tuttora una fonte inesauribile di falle di importanza critica per la sicurezza di Windows. A qualche mese di distanza dall’uscita del Service Pack 2, quando si è attenuata sui media l’eco delle notizie di fonte Microsoft, possiamo fare i conti con la realtà e con l’esperienza degli utenti. Tra i molti siti che segnalano le falle di Windows, e in particolare di IE, citiamo quello di Secunia, un’azienda che fornisce soluzioni di sicurezza informatica e che de- I di Giorgio Gobbi Lezione 1: - Concetti generali di sicurezza - Installare l’SP2 - I possibili problemi Lezione 2: - I tipi di firewall - Configurare il firewall di XP - Hardware e software per bloccare il traffico ve la sua fama ai security advisories, i rapporti informativi sulle falle e i pericoli di oltre 4000 applicazioni tra cui i browser per il Web. Su http://secunia.com, a metà novembre, ecco qual è la situazione di IE 6: “Microsoft Explorer 6, con tutte le patch del produttore installate e tutti i rimedi temporanei applicati, è affetto al momento da uno o più rapporti informativi classificati come Estremamente critici”. Se ce ne fosse bisogno, precisiamo che “Estremamente critico” è il livello massimo di pericolosità, nella scala di Secunia, per una falla nel- la sicurezza. Ma non è tutto. Secunia afferma che “Al momento, 17 dei 67 rapporti informativi (segnalazioni di falle in IE 6) sono classificati unpatched (non corretti) nel database di Secunia”. Scorrendo le statistiche di Secunia, si scopre che una notevole percentuale delle falle riscontrate in IE non è stata corretta. Persino mentre usciva l’SP2, nell’agosto 2004, Secunia lanciava l’allarme su una falla critica associata al drag and drop con il mouse in IE, che permetteva a una pagina Web ostile di piazzare del software dannoso nel menu di Lezione 3: - Configurare e utilizzare Internet Explorer e Outlook Express La prossima puntata Lezione 4: - Le modifiche nell’architettura di Windows XP avvio di Windows. Questa falla è stata corretta in ottobre, insieme a molte altre. Basta una ricerca con argomento SP2 security holes (falle nella sicurezza di SP2) per trovare ogni sorta di bug e punti deboli, come i 10 nuovi security hole di SP2 scoperti nella prima decade di novembre 2004 da Finjan Software (www.finjan.com), un’altra azienda che opera nel campo della sicurezza. Le 10 nuove falle riguardano anche IE 6 e permettono agli hacker di accedere ai file locali, di scaricare software sul computer e di eseguirlo in barba alle protezioni introdotte nell’SP2, il tutto all’insaputa dell’utente. Passi avanti e un passo indietro Secondo Secunia, a metà novembre 2004 il 34% delle 53 falle di sicurezza di Internet Explorer 6 scoperte da inizio 2003 era ancora privo di correzione Il 15% delle falle di sicurezza di IE 6 è considerato estremamente critico da Secunia; di queste falle, una parte era priva di correzione a metà novembre 2004 Anche in questa puntata, come nelle due precedenti, rendiamo merito ai miglioramenti introdotti in Windows XP2, ma invitiamo a non abbassare la guardia, perché Windows è ancora Windows e Internet Explorer è ancora Internet Explorer, non è improvvisamente diventato Mozilla Firefox (un 3a lezione Windows xp2 browser recente ma non afflitto dalle vulnerabilità che hanno interessato IE) o il noto Opera (che al momento ha una sola vulnerabilità non corretta, peraltro di gravità moderata). In questa puntata parliamo dei progressi nel browsing e nella posta elettronica, ma per guardare al di là degli slogan e dei documenti tecnici di Mi- crosoft vi invitiamo a visitare i forum degli utenti e i siti che si occupano dei problemi di Windows e di sicurezza. Il sondaggio di un blog americano rivela che il 15% dei 752 utenti che hanno risposto (professionisti, non utenti finali alle prime armi) ha avuto il PC bloccato dall’SP2 e che metà di loro ha dovuto reinstallare Windows. In generale, viene confermata l’impressione che l’SP2 richieda un sistema integro per essere installato senza problemi. Nelle nostre prove, tutti i PC hanno retto bene l’impatto di SP2 perché erano stati tenuti sotto l’ombrello di firewall, antivirus, anti-spyware e frequenti Windows Update. Uno dei maggiori problemi che abbiamo incontrato nel Service Pack 2 (non molto pubblicizzato) è stato causato dalla cessata distribuzione della Microsoft Java Virtual Machine, dopo la condanna di Microsoft nella causa intentata da Sun Microsystems. Ne parliamo più avanti a beneficio di chi utilizza, presumibilmente per lavoro, applicazioni che dipendono dalla MSJVM. 1 Internet Explorer in SP2 bbiamo letto da più parti che Internet Explorer è stato reso molto più sicuro nel Service Pack 2. Come abbiamo visto sopra, man mano che vengono scoperte nuove falle, nascono nuovi problemi di sicurezza, così il software migliora gradualmente nel gioco senza fine tra chi scrive software imperfetto, chi ne scopre le vulnerabilità e chi le sfrutta per fare danno. Il principale obiettivo di Microsoft con l’SP2 era ridurre le più comuni aree di vulnerabilità, quotidianamente bersagliate dagli attacchi a Windows. Questo è stato realizzato in quattro modi: protezione della rete, protezione della memoria, trattamento più sicuro dei messaggi (instant message ed e-mail) e maggiore sicurezza nel browsing. Partiamo da quest’ultimo, che rappresenta una delle principali attività per molti utenti di PC. Le aree in cui IE è stato reso più sicuro sono la gestione dei componenti aggiuntivi (add-on, come i controlli ActiveX e i Browser Helper Object), la gestione dei cosiddetti binary behavior (componenti associati a elementi HTML per arricchire le funzionalità delle pagine Web), la gestione dei download attraverso l’Attachment Execution Service (che ne valuta la pericolosità) e la gestione dei popup. Vediamo queste aree una per una. A Add-on Prima dell’SP2, gli add-on (in italiano componenti aggiuntivi) erano fonti potenziali di problemi. Tipici add-on sono i controlli ActiveX, le estensioni del browser e le barre strumenti. Gli add-on sono piccoli programmi che servono a rendere più comoda e piacevole l’interfaccia e la navigazione nel Web, per esempio con l'aggiunta di barre strumenti (come quella di Google), con aree di tipo stock ticker (dove scorrono informazioni come news e quotazioni finanziarie), con video, animazioni e altro ancora. Molti add-on sono utili, basti pensare alla Google Bar, che diventa uno strumento indispensabile per chi usa il Web per lavoro. Ma ci sono gli add-on indesiderati, come quelli delle aziende di marketing e pubblicità che fanno comparire popup pubblicitari quando l’utente apre una pagina Web che ha determinati contenuti. È anche possibile che gli add-on non funzionino correttamente o che facciano uscire informazioni private. Talvolta questi programmi sono utilizzati per raccogliere informazioni personali, per installare software nel computer o per consentire a un altro utente di controllare il computer in remoto. Di conseguenza, il consiglio di Microsoft, che si traduce nelle impostazioni di default di IE, è quello di installare i controlli ActiveX o i componenti aggiuntivi solo se l'autore è attendibile e affidabile. La versione di IE fornita nell’SP2 include la gestione degli add-on e la rilevazione dei crash ad essi riconducibili. La Gestione componenti aggiuntivi è una funzione che fa parte del menu Strumenti di IE. La finestra ha due tipi di visualizzazione: l’elenco degli add-on correntemente caricati in IE e l’elenco di tutti gli add-on La nuova Gestione componenti aggiuntivi di Internet Explorer, tra gli Strumenti di IE, mostra i controlli ActiveX, i Browser Helper Objects e le barre strumenti aggiunti a IE La funzione Gestione componenti aggiuntivi di IE mostra la lista degli add-on caricati e permette di modificarne lo stato di attivazione In questa visualizzazione la Gestione componenti aggiuntivi mostra tutti gli add-on che sono stati usati da IE 3a lezione Windows xp2 che sono stati usati da IE. In en- trambi i casi, l’elenco mostra il tipo di componente (controllo ActiveX, helper del browser o barra strumenti), lo stato di ogni add-on (attivato o disattivato) e le informazioni per identificare il componente e rintracciarne il file. Ognuno degli add-on può essere attivato o disattivato usando questa finestra. Le impostazioni predefinite di IE, che potete esplorare e modificare in Strumenti, Opzioni Internet, Protezione, difendono il sistema dagli effetti potenzialmente dannosi di addon indesiderati. La protezione ha impostazioni diverse per Internet (rete insicura) e la rete locale (chiamata Intranet locale nella finestra Protezione). Se in Protezione cliccate sul mappamondo (Internet) e sul bottone Livello personalizzato, vedete le impostazioni che proteggono da Internet, in particolare quelle della sezione Controlli e plug-in ActiveX. I componenti di origine non certificata sono bloccati per default; per tutte le operazioni che comportano qualche rischio potenziale si dovrebbero selezionare le opzioni Disattiva o Chiedi conferma. Se ora nella finestra Protezione selezionate Intranet locale e cliccate su Livello personalizzato, vedete che la protezione è allentata, perché la rete locale è ritenuta sicura (solitamente è protetta da un firewall che filtra il traffico proveniente da Internet). La funzione di rilevazione dei crash tenta di riconoscere i crash in IE che sono riconducibili agli add-on e dà all’utente la possibilità di disattivare l’addon in questione. Nelle aziende, gli amministratori ora hanno la possibilità di definire policy (criteri) generali che stabiliscono quali sono gli add-on consentiti a livello di intera azienda. La sezione Protezione delle Opzioni Internet in IE mostra i livelli di protezione per le diverse zone di sicurezza; in questo esempio la zona è quella di Internet Il livello di protezione è massimo nella zona dei siti sottoposti a restrizioni, come si vede dalla finestra Protezione di IE; in Windows XP2 anche i messaggi di e-mail vengono elaborati con questo ambiente di sicurezza Un esempio dei più semplici è il cambiamento degli attributi di visualizzazione di un elemento di testo quando viene attraversato dal cursore del mouse. Alla potenza dei binary behavior corrisponde la pericolosità potenziale se vengono usati per nuocere. Trovate maggiori dettagli sui binary behavior alla pagina http://msdn.microsoft.com/ msdnmag/issues/01/01/cutting/ del sito di Microsoft per gli sviluppatori. Per esempio, uno sviluppatore Web, per cambiare attributi grafici in corrispondenza di un’azione dell’utente (come nel caso del cursore del mouse che sorvola un’area o testo), anziché i tradizionali script basati sugli eventi onmouseover e onmouseout (cursore che sorvola l’area e poi ne esce), può usare una notazione più compatta ed elegante richiamando un pezzo di programma in C++ che esegue la stessa funzione. Il programma viene compilato (diventa codice binario) e implementa un certo comportamento (behavior), quindi un binary behavior è un vero e proprio programma con ampia libertà d’azione e alta pericolosità potenziale. Per proteggere l’utente, l’SP2 introduce in IE una protezione dai binary behavior e questi sono disattivati per default nella zona dei siti soggetti a restrizioni (una delle quattro zone che vedete nella finestra Protezione). Dal momento che nella maggior parte dei programmi di e-mail i messaggi in formato HTML vengono elaborati con le regole di protezione della zona soggetta a restrizioni, ora la posta elettronica è molto meno vulnerabile a virus e worm basati sui binary behavior. Questo argomento può sembrare troppo tecnico ma, sfortunatamente per gli addetti al marketing, è una delle funzioni più apprezzabili dell’SP2 e contribuisce ad aiutare a digerire qualche difficoltà di adattamento. con restrizioni (le quattro zone visibili nella finestra Protezione). Per esempio, alle pagine Web situate in Internet possono essere precluse certe operazioni, come l’accesso all’hard disk locale. D’altra parte, le pagine Web situate sul computer locale si trovano in quella che viene chiamata Local machine zone, che è la zona con le minori restrizioni. Questa è un’altra delle zone di sicurezza di IE, ma non compare nelle finestre delle impostazioni. Grazie alle minori restrizioni, un hacker potrebbe sfruttare i maggiori privilegi di una pagina archiviata nella Local machine zone per curiosare e compromettere il computer. Perciò, a differenza delle versioni di Windows precedenti, che consideravano la zona locale sicura e non soggetta a protezione, Windows XP2 applica alla macchina locale una serie di protezioni per evitare che essa venga usata, ad esempio, per caricare codice HTML dannoso. La conseguenza è un forte impatto su tutte le applicazioni che utilizzano file HTML locali; d’ora in poi queste applicazioni, per non avere restrizioni, dovranno scrivere informazioni specifiche nel registro di sistema. Windows XP2 chiede all’utente l’autorizzazione ad aprire pagine con contenuto attivo residente sul computer locale Local machine zone Quando IE apre una pagina Web, pone delle restrizioni a ciò che la pagina può fare in base alla collocazione della pagina, per esempio su Internet, sulla intranet locale o tra i siti classificati come attendibili o Binary behavior I binary behavior (comportamenti binari) sono componenti software che supportano speciali interfacce di programmazione riconosciute da IE. Il loro scopo è aggiungere funzionalità a IE in misura maggiore di quanto è permesso agli script (per esempio quelli in JavaScript contenuti in molte pagine Web). Per default, viene bloccato il contenuto attivo residente sul computer, come accade per le pagine di help di varie applicazioni; l’utente deve dare l’autorizzazione alla loro apertura Nelle opzioni Internet avanzate di Internet Explorer si può disattivare il blocco dei contenuti attivi delle pagine Web residenti sull’hard disk o sul CD/DVD locale 3a lezione Windows xp2 Ora, per default, non funzionano più gli script e gli ActiveX di pagine HTML locali aperte in IE, ma l’utente viene avvisato e ha la possibilità di autorizzare l’operazione. Per esempio, se aprite l’help di varie applicazioni che utilizzano help HTML con contenuto attivo, vedrete apparire una finestrella che avvisa della presenza di un messaggio nella barra informazioni (la zona inferiore della testata di IE, sotto le barre strumenti). Il messaggio avverte che è stato impedito al file di visualizzare il contenuto attivo, perché potrebbe accedere alle risorse del computer. Se avete fiducia nell’autore dell’applicazione, cliccate sulla barra e autorizzate l’apertura del contenuto attivo. La protezione dal contenuto attivo delle pagine HTML contenute nell’hard disk del computer o in un CD o DVD inserito nel relativo drive, a volte, può essere più di ostacolo che di beneficio. In SP2 la regola generale è bloccare e proteggere e lasciare che sia l’utente ad allentare le restrizioni. Perciò, se volete consentire l’esecuzione di contenuto attivo locale, aprite IE, Strumenti, Opzioni Internet, Avanzate e fate scorrere le voci; verso il fondo della lista trovate le due caselle Consenti l’esecuzione di contenuto attivo da CD nel computer e Consenti l’esecuzione di contenuto attivo in fine nel computer. Se avete fiducia nella provenienza di questi contenuti, selezionate le due caselle e confermate con OK. Attachment Execution Service L’AES, o servizio di esecuzione degli allegati, è un altro dei cardini su cui si regge la sicurezza di Windows XP2. Questo servizio viene usato sia nel trattamento dei messaggi, per controllare la visualizzazione e l’esecuzione degli allegati, sia da IE per verificare la sicurezza del download dei file e avvertire l’utente quando occorre il suo permesso esplicito per scaricare un file che potrebbe rappresentare una minaccia. Attraverso i suoi dialoghi, l’AES fornisce all’utente informazioni e consigli, per esempio sul rischio di eseguire programmi che siano privi di firma digitale o di provenienza ignota o non sottoposti a scansione antivirus. Oltre a indicare la provenienza, il tipo e le dimensioni dei file scaricati, l’AES mostra all’utente chi ha pubblicato il file eseguibile. IE utilizza le informazioni MIME (Multipurpose Internet Mail Extensions) sul tipo di file per decidere cosa fare dei file che riceve da un Web server. Per esempio, se in risposta a una richiesta HTTP (Hypertext Transfer Protocol, il protocollo client/server alla base del web) IE riceve un file JPEG (.jpg), esso generalmente viene visualizzato in una finestra di IE, mentre se si tratta di un file eseguibile, IE chiede all’utente che cosa ne deve fare. Quello che è cambiato nell’SP2 è che IE segue regole più restrittive per impedire che l’utente scarichi o esegua un file pericoloso, con false informazioni MIME o un’estensione non coerente con il reale tipo di file. Se ci sono conflitti tra il nome del file e la sua tipologia MIME (come risulta dal contenuto del file), IE tenta di riconciliare le due informazioni cambiando il nome del file nella cache in cui è stato scaricato. Se ulteriori controlli rivelano il permanere di un conflitto, l’utente riceve un messaggio che chiede conferma dell’operazione sul file, ma se il gestore dello specifico tipo MIME di file rifiuta un file che è incoerente con il tipo dichiarato, IE invia all’utente un messaggio di errore e il file viene bloccato. Un altro aspetto di questi controlli è che viene rifiutata l’esecuzione di un file potenQuando tentate di scaricare un file (es. un driver) da Internet con Windows XP2, questo pop-up vi informa che potrebbe essere non sicuro e di guardare se è visualizzata la barra informazioni, che offre un menu di scelte Cliccando sulla barra informazioni si può autorizzare il download del file o chiedere spiegazioni Una volta deciso di scaricare un file eseguibile, un popup chiede se salvarlo o eseguirlo, ma ancora una volta mette in guardia dai rischi che si corrono e offre spiegazioni Se si clicca sul link Che rischi si corrono nella finestra di download, si apre la guida di IE che aiuta a decidere se aprire il file, raccomandando all’utente una serie di azioni cautelative zialmente corrotto qualunque sia il tipo MIME e l’estensione del file. Queste protezioni intendono evitare che un file, scaricato con un’estensione innocua come .txt, sia in realtà un eseguibile o un file che include contenuto attivo, a sua volta capace di accedere abusivamente alle risorse del computer. Perché questo meccanismo funzioni, gli sviluppatori Web dovranno fare in modo che i file siano archiviati sul server con una opportuna testata, che evita che un file sia trattato in base alla sua estensione ma che fa intervenire il controllo di coerenza tra estensione e tipo MIME. Tra i tanti strumenti messi in campo, c’è anche il cosiddetto MIME sniffing: IE è in grado di “annusare” il tipo MIME del file esaminandone il contenuto, così da evitare di promuovere un tipo di file a una categoria superiore, corrispondente a un rischio maggiore. Se ad esempio un file viene ricevuto come puro testo (.txt) ma ha contenuti HTML, IE eviterà di promuoverlo a file HTML, che potrebbe avere contenuti attivi e curiosare nel computer. 3a lezione Windows xp2 Caching Nelle versioni precedenti di Windows con IE, alcune pagine Web erano in grado di accedere a oggetti caricati in cache da un altro sito Internet. In Windows XP2 è stato introdotto un blocco alla navigazione tra domini diversi che impedisce l’accesso a oggetti prodotti da script nel contesto di un diverso dominio Web. Questo cambiamento in SP2 influenza gli sviluppatori, più che gli utenti, ma la citiamo perché contribuisce al quadro generale della maggiore sicurezza di navigazione. Pop-up Dopo tanti dettagli tecnici, finalmente una funzione comprensibile a tutti. Il blocco dei pop-up non è una novità assoluta, perché era già presente, ad esempio, nella barra di Google, dove svolge un lavoro egregio ed è disattivabile con un clic quando l’interfaccia di un sito comporta l’apertura delle finestra pop-up. Per la comodità di disattivazione e riattivazione, continuiamo a preferire il blocco dei pop-up di Google a quello di SP2, ma non costa nulla tenerli entrambi a portata di mano; il blocco di IE è comunque personalizzabile. Per default, le finestre pop- up sono bloccate in SP2 secondo un criterio medio di valutazione, che blocca la maggioranza dei pop-up automatici. Potete disattivare il blocco dei pop-up o modificarne la modalità di intervento aprendo in IE Strumenti, Opzioni Internet, Privacy e cliccando sul bottone Opzioni (attivo solo se è selezionata la casella Blocca popup). Nelle opzioni potete inserire una lista di siti da cui accettate i pop-up (per esempio perché sono parte integrante dell’accesso al sito e non pubblicità invadente) o potete bloccare tutti i pop-up (salvo sbloccarli, quando necessario, premendo il tasto Ctrl). IE blocca la maggior parte di pop-up automatici e non blocca i pop-up che si aprono quando l’utente clicca su un link di una pagina Web. Il blocco dei pop-up introduce anche delle restrizioni sulle finestre pop-up, indipendentemente dal fatto che siano bloccate o aperte: queste finestre non possono avere dimensioni superiori all’area visibile del desktop, non possono nascondere la barra strumenti e non possono essere aperte in background o fuori da questa area. In questo modo si evitano popup nascosti e difficili da chiudere. Se un sito apre un pop-up Quando un pop-up viene bloccato, la barra informazioni vi consente di attivare il pop-up temporaneamente o in permanenza per questo sito, oppure modificare le impostazioni relative all’apertura delle finestre popup Per default, in Windows XP2 è attivo il blocco dei pop-up (le finestre che si aprono automaticamente spesso di contenuto pubblicitario); nella sezione Privacy delle Opzioni Internet di IE potete modificare le impostazioni relative BhoDemon, un’utility gratuita per tenere sotto controllo i Browser Helper Object, distingue i BHO benigni (come Acrobat Reader, SpyBot e Google Toolbar in questo esempio) da quelli maligni che viene bloccato, appare il solito avviso che informa della presenza di un messaggio nella barra informazioni e viene emesso un suono (disattivabile nelle impostazioni). L’utente, cliccando sulla barra informazioni, può attivare temporaneamente i pop-up da quel sito, può attivare in permanenza i pop-up da quel sito o può aprire la finestra delle impostazioni del blocco dei pop-up. Se non ne volete sapere di pop-up (neppure di quelli utili), potete disattivare anche il messaggio di arrivo di un pop-up, ma allora dovrete inserire i nomi dei siti da cui accettate i pop-up nella finestra Impostazioni blocco pop-up, altrimenti non riuscirete a utilizzare un certo numero di siti. Nel complesso, il blocco dei pop-up, con le funzioni accessorie che regolano l’apertura delle finestre, è una funzione senz’altro utile, un altro punto a favore nella lista dei pro e contro di Windows XP2. In ogni caso, potete provare la barra di Google, installabile in pochi istanti aprendo www.google.it e cliccando su Google Toolbar, in fondo, per scaricare e installare il BHO (browser helper object che la implementa). Il blocco dei pop-up di IE e quello di Google convivono senza alcun problema. Pagine protette Dopo l’installazione dell’SP2 è possibile che alcune pagine Web protette con SSL (Secure Sockets Layer) a 128 bit non funzionino correttamente, in conseguenza delle tecniche di protezione aggiunte con il Service Pack. Per individuare le cause della scorretta visualizzazione delle pagine, potete utilizzare le istruzioni che Microsoft ha pubblicato nel doNella finestra di impostazioni del blocco dei pop-up potete modificare le impostazioni di default, ad esempio per elencare i siti di cui accettate i pop-up La barra di Google, oltre a facilitare le ricerche con l’omonimo motore (con bottoni per cercare anche nelle sezioni immagini e forum), blocca e sblocca i pop-up con un clic 3a lezione Windows xp2 Se in Windows è installata la Microsoft Java Virtual Machine, il comando Jview (eseguito in finestra prompt) risponde e indica la versione installata (qui la 5.00.3810); se non risponde, non è installata la MSJVM cumento di Microsoft “Risoluzione dei problemi di accesso a pagine Web protette con Internet Explorer 6 Service Pack 2”, scaricabile da http://support.microsoft.com/?kbid=870 700. SSL è un protocollo sviluppato da Netscape (ma usato anche da IE) per trasmettere documenti privati via Internet tramite crittografia. Molti siti Web usano questo protocollo durante transazioni che comportano la richiesta di informazioni personali (per es. il numero di carta di credito). Convenzionalmente, i siti che richiedono una connessione SSL iniziano per https (HTTP over SSL) anziché http. Java dopo SP2 Dopo la vittoria di Sun nella causa contro Microsoft, che usava una Java Virtual Machine con estensioni proprietarie per Windows, Microsoft è stata costretta a interrompere i download della propria VM. Ne ha risentito anche l’SP2, privato della VM. Tuttavia Microsoft è stata autorizzata a fornire aggiornamenti per la sicurezza della MSJVM fino alla fine del 2007. Nel periodo transitorio, Microsoft fornisce una serie di strumenti, come test di compatibilità con il Java autentico (quello di Sun), informazioni tecniche e un’utility per disinstallare la MSJVM. Tuttavia ci sono applicazioni che non funzionano con Java di Sun e utenti che detestano il motore Java di Sun e preferiscono quello più snello ed efficiente di Microsoft. La morale è che, dopo l’installazione dell’SP2, molti utenti lamentano che non funzionano più le applicazioni basate sulla MSJVM. Per esempio, sui computer delle nostre prove non funzionava più il software HP di configurazione e gestione degli access point, lasciando come unica alternativa l’uso dell’interfaccia seriale (via Hyperlink e cavo seriale) per impostare in modo estremamente macchinoso, in modalità testo, decine di parametri. Oltre ai dispositivi di networking con interfaccia Web potenziata da applet Java, ci sono sicuramente molte applicazioni che dipendono dalla MSJVM per funzionare. Per rimettere in funzione l’utility di HP, abbiamo fatto qualche ricerca e scoperto che quello di Java è un problema abbastanza diffuso tra gli utenti di Windows XP2. Tra i tanti siti e forum visitati, ve ne consigliamo alcuni che aiutano a trovare la soluzione: •www.mvps.org/marksxp/Win dowsXP/java.php •www.microsoft.com/mscorp/ java •http://inetexplorer.mvps.org/ answers_9.htm#java •www.mcse.ms/message1183 726.html •http://support.microsoft.co m/default.aspx?scid=kb;enus;816093. Il documento di Microsoft che guida alla transizione dopo l’abbandono della MSJVM è disponibile alla pagina download.microsoft.com/download/a/7/f/a7f0d96d-c40a-4ce7863a-139f5af69305/msjvm_itpro.pdf. In pratica, abbiamo disattivato le VM di Sun e abbiamo installato una vecchia MSJVM (ancora scaricabile) e il suo ultimo aggiornamento 3810. Per vedere se c’è una Java VM attiva in IE, aprite Strumenti, Op- Nella sezione delle Opzioni Internet avanzate di IE trovate quali sono le Virtual Machine Java installate e attive; qui si nota l’assenza della Microsoft Java VM dopo l’installazione del Service Pack 2 e la presenza del motore Java di Sun, installato a parte zioni Internet, Avanzate e fate scorrere l’elenco; le eventuali VM sono appena prima della categoria Protezioni. A quanto pare, il fatto (noto Firefox è un browser della famiglia Mozilla ed è quindi dotato dell’interfaccia a schede da tempo) che la MSJVM non è più distribuita e che l’unico Java autorizzato è quello di Sun non sembra avere scosso un produttore delle dimensioni di 3a lezione Windows xp2 HP, che non fa cenno del problema nelle aree del sito dedicate al supporto e ai quesiti tecnici. Il servizio di supporto, interpellato, ha risposto suggerendo di scaricare l’ultimo firmware, che non è una risposta al quesito sulla sparizione della MSJVM. Prevediamo quindi che il problema di Java costringerà molti professionisti e aziende a cavarsi d’impaccio da soli. Quando serve Internet Explorer? Con la sua percentuale di diffusione, IE è lo standard di fatto tra i browser, ma la sua vulnerabilità, a confronto con la velocità e affidabilità di Opera e di Firefox, stanno erodendo la sua quota di utenza. IE serve ad esempio agli utenti e alle aziende che utilizzano la tecnologia ActiveX e, secondariamente, agli utenti che hanno bisogno della massima flessibilità di stampa. Altrimenti, è probabile che se ne possa fare a meno, come raccomandano gli addetti alla sicurezza. Firefox 1.0, scaricato a milioni di copie ogni settimana (www.mozilla-europe.org/it/), è il browser del momento. Ha tutto quello che non ha IE: navigazione a schede (visualizzazione di più pagine per finestra), barra di ricerca integrata, segnalibri (preferiti) resi vivi tramite integrazione con RSS, gestore dei download, alto livello di personalizzazione, piccole dimensioni (5 MB per la versione per Windows, poco più per Linux e MacOS X), conformità agli standard di Internet, antispam e altro. In più ha ciò che IE ha solo dall’SP2: blocco dei pop-up, privacy e sicurezza. Firefox è disponibile in 19 lingue per Windows, MacOS X e Linux. Subito dopo l’installazione, Firefox vi offre di importare da IE tutte le personalizzazioni (preferiti, password, moduli, cookies e via dicendo). Dopo averli provati con soddisfazione, ci siamo ritrovati a usare Opera o Firefox in coppia con IE, i primi per le ricerche e la navigazione e IE per le operazioni di stampa o per i siti con contenuti ActiveX. Dato che l’uscita della prossima versione di Windows (Longhorn) sta subendo progressivi rinvii, nel corso del 2004 hanno cominciato a circolare voci su un ipotetico Internet Explorer 7, che potrebbe tenere conto della effettiva concorrenza di Firefox e dei desideri degli utenti. Microsoft sta sollecitando richieste e commenti sul futuro browser da parte di utenti e sviluppatori. Tra le richieste degli utenti c’è un migliore supporto degli standard (per es. CSS e PNG), il supporto RSS, la navigazione a schede (tabbed browsing) e il gestore dei download. Negli ultimi 12 mesi, la quota di utilizzo dei browser IE è scesa dall’87% al 77%, mentre quella dei browser Mozilla è salita dal 7,2 al 18,6% (fonte www.w3schools.com). 2 Outlook Express e Windows Messenger ome abbiamo visto nella prima puntata, buona parte delle infezioni si propaga attraverso gli allegati di posta e i messaggi istantanei. La curiosità degli utenti e la loro disponibilità ad accettare file dai loro colleghi e conoscenti, e talvolta persino da sconosciuti, sono stati un fattore determinante nella trasmissione di file malware travestiti da file utili o divertenti. Come raccontano le cronache, milioni di utenti hanno aperto e-mail dal titolo “I love you” provenienti da colleghi o persone poco più che sconosciute. Un altro caso alle cronache è stato quello della bella tennista Anna Kournikova; i milioni di utenti che credevano di scaricarne la foto hanno infettato i propri computer, le reti e i computer di amici e conoscenti quando il worm VBS.SST@mm si è attivato e propagato a tutti gli indirizzi della rubrica di posta. C un file Excel o Word può contenere macro che accedono illecitamente alle risorse del computer. Anche un file .zip in sé non presenta pericoli, ma può contenere file a rischio. Come per i download di IE, anche per i messaggi si è presentato il problema di non basarsi soltanto sull’estensione dei file o sul tipo MIME di allegato per scoprire il tipo di contenuto di un file, a cui corri- sponde il livello di pericolosità potenziale. Microsoft Outlook 2003, già prima dell’SP2, aveva incorporato un meccanismo di blocco degli allegati. Con il Service Pack 2, lo stesso tipo di protezione è stato portato in Outlook Express, in Windows Messenger e in altre applicazioni di messaggistica, utilizzando il servizio centralizzato AES per la gestione degli allegati. In futuro anche Outlook farà uso del servizio di sistema, anziché del suo codice interno, per identificare se un allegato è sicuro o insicuro. L’AES, di cui abbiamo parlato a proposito di IE, controlla la visualizzazione e l’esecuzione dei file allegati ai messaggi e ha un’interfaccia che può essere utilizzata da varie applicazioni. L’AES utilizza diversi criteri per stabilire se un alle- Il livello di pericolosità degli allegati Allegati come i file di testo e semplici immagini sono generalmente innocui, mentre molti formati di file, come i binari eseguibili, sono intrinsecamente sospetti. Molti file possono essere sicuri, ma anche Le opzioni di Outlook Express permettono di sbloccare allegati e contenuti HTML esterni che potrebbero essere pericolosi Nelle opzioni di lettura di Outlook Express si può chiedere di leggere i messaggi in modalità testo, il che elimina il rischio che ci sia qualche elemento ostile nascosto in un messaggio HTML 3a lezione Windows xp2 In questo messaggio ricevuto da Outlook Express in Windows XP2, gli allegati sicuri sono resi disponibili, mentre l’eseguibile, giudicato insicuro, è stato rimosso come avvisa il messaggio nella barra informazioni Dopo aver disabilitato il blocco degli allegati, Outlook Express li rende tutti disponibili, incluso il file eseguibile; inoltra visualizza l’immagine JPEG sotto il testo del messaggio gato è sicuro. Per prima cosa, guarda l’estensione del file, considerando che estensioni come .txt, .jpg e .gif sono innocue. Poi controlla qual è l’applicazione associata al tipo MIME di allegato e all’estensione del file e verifica se sono coerenti. Sulla base di una lista, l’AES può decidere che una certa associazione è sicura o pericolosa. In caso di pericolo, può accertarsi che sia attivo e aggior- nato un antivirus prima di permettere che l’utente veda o esegua il file. L’AES può anche verificare la zona di sicurezza da cui proviene il messaggio (Internet, intranet locale, macchina locale e così via) e agire in base ai criteri stabiliti dall’amministratore del sistema. I consigli per Outlook Express In Windows XP2, quando Outlook Express (OE) apre un messaggio con allegati, chiama l’AES per appurare se l’allegato è sicuro. Se il responso è positivo, l’allegato è reso disponibile all’utente. Per esempio, le immagini sicure sono visualizzate e gli allegati di testo sicuri sono elencati tra gli allegati che l’utente può aprire. Se l’allegato è palesemente insicuro, come un file binario eseguibile, viene bloccato e sotto la barra strumenti appare un messaggio che elenca gli allegati che sono stati bloccati perché considerati non sicuri. Questo è per lo meno il comportamento di default. Fortunatamente l’utente che conosce gli allegati che sta maneggiando e che si fida del mittente, può allentare le protezioni. Aprendo in OE Strumenti, Opzioni, Protezione, ci sono due opzioni particolarmente utili, che rispondono ai quesiti dei numerosi utenti che si lamentano perché non riescono più a usare OE come prima. La prima opzione da considerare è quella che si chiama Non consentire salvataggio o apertura di allegati che potrebbero contenere virus, attiva per default. Se viene disattivata, potete di nuovo ricevere file .exe e simili. È giusto che l’utente inesperto e inconsapevole venga protetto, ma è anche opportuno che l’utente avveduto e dotato di antivirus aggiornato possa disattivare il blocco e ricevere ad esempio un driver per e-mail. La seconda opzione che menzioniamo riguarda le immagini. Una tecnica usata da spammer e virus per identificare gli account di posta attivi da prendere di mira è includere contenuto esterno, come le immagini, in un messaggio in HTML. Quando il programma di posta chiama il server che ospita l’immagine, questo “hit” può essere registrato dal Web server e utilizzato per identificare il destinatario. Per la protezione della privacy e la prevenzione di attacchi, ora il comportamento di default di OE è il blocco delle immagini e contenuti esterni. Se disattivate Blocca immagini e altri contenuti esterni nella posta elettronica HTML nelle opzioni di protezione, riattivate i contenuti esterni della posta HTML, con il rischio che vi siano celati comportamenti dannosi. Come accennato a proposito dei binary behavior in Internet Explorer, il rendering dei messaggi di e-mail avviene per default in una zona ad alta sicurezza, cioè l’Area Siti con restrizioni, che impedisce l’esecuzione di binary behavior nei messaggi HTML. È allora importante che non venga disattivata, nella finestra Protezione delle Opzioni, la casella Area Siti con restrizioni, che protegge il sistema dai contenuti binari dannosi eventualmente nascosti in messaggi HTML ostili. Come ulteriore misura di protezione, potete impostare la lettura dei messaggi in formato testo. Aprite Strumenti, Opzioni, Lettura e selezionate la casella Leggi tutti i messaggi in testo normale. In questo modo, OE visulizza il messaggio usando il modulo Rich edit, molto più semplice del modulo browser Mshtml preso a prestito da IE. La scelta di vedere i messaggi come testo in pratica elimina la possibilità che un messaggio e-mail possa nascondere una minaccia al proprio interno. I consigli per Windows Messenger Quanto detto per gli allegati di posta vale parimenti per Windows Messanger (WM) e la messaggistica in generale. Quando un computer con Windows XP2 riceve un file di WM da un altro computer, è possibile che all’utente venga chiesto di accettare o rifiutare il file. Se si accetta il file, può apparire un messaggio di avviso che mette in guardia dai pericoli di virus e script e invita l’utente ad accertare l’identità del mittente, eseguire un antivirus sui file ricevuti (se non avviene già automaticamente) e accertarsi che l’antivirus sia tenuto quotidianamente aggiornato. Se avete problemi a utilizzare WM dopo l’installazione dell’SP2, potete leggere l’articolo della Knowledge Base di Microsoft Impossibile avviare Windows Messenger dopo l'installazione di Windows XP Service Pack 2, disponibile alla pagina http://support.microsoft.com/default.aspx?scid=kb ;it;843019. 4a lezione Windows xp2 A scuola con PC Open Windows XP2 wireless e memoria di Giorgio Gobbi Dopo le tre puntate dedicate ai problemi d’installazione, alla sicurezza e all’accesso a Internet, vediamo la nuova interfaccia per la connessioni senza fili e la protezione della memoria. Con la procedura per farsi un CD con l’SP2 elle prime tre puntate abbiamo esaminato gli aspetti di Windows XP con SP2 che interessano la maggior parte degli utenti: i problemi di installazione, la sicurezza e l’accesso a Internet. Nella quarta e ultima puntata vediamo altri aspetti significativi di Windows XP2, tra cui N la migliorata configurazione delle reti wireless e una più efficace protezione della memoria. Includiamo anche la procedura rapida per creare un CD di installazione di XP con già integrato l’SP2 e una bibliografia per approfondire gli aspetti tecnici dell’SP2. IL CALENDARIO DELLE LEZIONI Lezione 1: Lezione 3: - Concetti generali di sicurezza - Installare l’SP2 - I possibili problemi - Configurare e utilizzare Internet Explorer e Outlook Express Lezione 2: - I tipi di firewall - Configurare il firewall di XP - Hardware e software per bloccare il traffico Lezione 4: - Le modifiche all’architettura di Windows XP - Reti wireless - Memoria La finestra Connessioni di rete include la nuova visualizzazione delle reti wireless disponibili La finestra Risorse di rete include la nuova installazione guidata di una rete senza fili Con SP2, questa è la lista delle reti wireless a portata di rilevamento 4a lezione Windows xp2 1 Wireless P2 introduce miglioramenti nella connettività wireless, sia quella 802.11 (Wi-Fi e varianti) usata da reti locali e hotspot (punti di accesso pubblici), sia quella Bluetooth usata dai dispositivi a breve raggio. Possiamo suddividere questi miglioramenti nelle seguenti aree: 1) supporto WPA (Wi-Fi Protected Access) incorporato, 2) nuovo formato delle finestre in Connessioni di rete, Proprietà e Status per le connessioni wireless, 3) servizi WPS (Wireless Provisioning Services), 4) procedura guidata (wizard) per l’installazione di una rete wireless, 5) registrazione delle operazioni del servizio Zero Configuration Wireless, 6) nuova funzionalità di ripristino per le connessioni wireless e 7) migliore gestione delle connessioni Bluetooth. Prima di commentare l’esperienza d’uso in XP2, vediamo una panoramica di questi argomenti. Prima dell’SP2, il supporto WPA doveva essere scaricato tramite Windows Update; ora è presente in Windows XP2 e si può configurare una scheda wireless con supporto WPA tramite le funzioni di Windows o usando l’utility del produttore, senza doversi più preoccupare del supporto da parte di Windows. L’interfaccia di configurazione e monitoraggio è migliorata e riguarda le funzioni di S La nuova finestra di Stato di connessione senza fili, più chiara con l’SP2 uso più comune: Connessioni di rete, Proprietà e Status, che sono anche collegate tra loro. In generale le finestre e i dialoghi sono più espressivi e forniscono più informazioni. In Connessioni di rete, la Visualizzazione delle reti disponibili ora mostra all’istante quale rete è connessa e lo stato di protezione di ciascuna rete a portata radio. Inoltre il bottone Connetti/ Disconnetti permette di passare da una rete all’altra. Le varie sezioni della finestra Proprietà hanno subìto qualche modifica nella visualizzazione delle reti wireless disponibili e nella selezione della protezione (è stato aggiunto il WPA); inoltre è stata aggiunta una sezione Connessione nelle Proprietà delle Reti preferite, che si trova nella sezione Reti senza fili tra le Proprietà di una connessione wireless. La nuova sezione serve per attivare o no la connessione automatica quando la rete a cui si riferisce è a portata di rilevamento radio. La nuova finestra Status ha una grafica più espressiva e ha un link alla visualizzazione delle reti disponibili. Un miglioramento sia nel dialogo di Connessioni di rete sia nella finestra Status riguarda la segnalazione dello stato di connessione della rete wireless attraverso le varie fasi: validazione dell’identità dell’utente, tentativo di autenticazione in rete, eventuale fallimento dell’autenticazione, connessione (autenticazione a buon fine), acquisizione dell’indirizzo IP di rete in caso di allocazione dinamica attraverso un servizio DHCP (Dynamic Host Configuration Protocol), connessione o no secondo che sia disponibile un server DHCP con indirizzi liberi. Queste informazioni sono utili specialmente in fase di diagnosi quando la connessione non funziona. L’icona della connessione sulla barra di notifica cambia aspetto secondo il suo stato: disconnessa, in fase di connessione, avviso di connettività limitata (DHCP non disponibile e assegnazione di un indirizzo nel range 169.254.0.0 /16 riservato a Windows), connessa. Al punto 3) abbiamo citato i nuovi servizi WPS. I Wireless Provisioning Services sono una serie di estensioni alle funzioni client (quelle di un computer che si collega a una rete wireless) che migliorano il processo di connessione ai punti di accessi pubblici (gli hotspot in aeroporti, bar, alberghi e così via) o alle reti di aziende che forniscono accesso Internet wireless agli ospiti. Della procedura guidata per installare una rete wireless, utile ma non per tutte le configurazioni, parliamo più avanti. Nei casi in cui può essere usata, si esegue sul primo computer e poi si replica sugli altri computer tramite una chiave USB (un drive USB di memoria flash). Il punto 5) riguarda il logging (registrazione in un file) delle operazioni eseguite da componenti specifici o da tutti i componenti del processo di autenticazione di una connessione wireless, a scopo di diagnosi e di soluzione dei problemi. A tale scopo si usa il comando (in finestra prompt) netsh ras set tracing. Windows XP2 include il tracciamento del servizio Zero Configuration Wireless, responsabile del riconoscimento e del tentativo di connessione delle reti “preferite”, quelle di uso abituale. Per vedere queste registrazioni, abilitate il logging tramite netsh ras set tracing * enabled, disabilitate e riabilitate la rete wireless in Connessioni di rete, quindi aprite i file Wzcdlg.log e Wzctrace.log nella directory Tracing sotto la directory di sistema. Per disattivare il tracing, eseguite netsh ras set tracing * disabled. Al punto 6) abbiamo citato la funzione di Ripristino della connessione wireless, accessibile ad esempio attraverso i menu rapidi (clic destro) in Connessioni di rete o in Status. Questa funzione è stata migliorata nell’SP2 e abbiamo constatato che funziona efficacemente quando per qualche motivo un computer (correttamente configurato) non si connette più alla rete. Nella nostra esperienza, prima dell’SP2, questa funzione era di scarsa efficacia. Questa era, prima dell’SP2, la visualizzazione delle reti wireless disponibili Reti wireless Prima dell’SP2, la configurazione delle schede wireless poteva essere eseguita sia attraverso l’utility di configurazione fornita dal produttore (insieme al driver) sia attraverso le funzioni messe a disposizione da Windows. Era facile passare da una all’altra delle due strade; anche usando l’utility del produttore, si poteva passare a Windows, per esempio per modificare certi attributi non accessibili in altro modo. Bastava seguire il percorso Connessioni di rete, selezione della connessione senza fili, Proprietà, Reti senza fili e selezionare la casella Usa Windows per configurare le impostazioni della rete senza fili. Dopo di che, si poteva accedere ai parametri di configurazione selezionando la con- Questa è la finestra da aprire per selezionare Windows come configuratore della rete wireless 4a lezione Windows xp2 Windows XP2 non mostra più l’elenco delle reti disponibili se non specificate di voler usare Windows per la configurazione wireless Un esempio di configurazione di una scheda wireless tramite l’utility fornita dal produttore nessione nella sezione Genera- le delle proprietà e cliccando su Configura e quindi su Avanzate. Altre proprietà erano modificabili nelle sezioni Reti senza fili e Avanzate della finestra Proprietà. Tutto questo è stato descritto nel corso Wi-Fi pubblicato tra giugno e settembre 2004 e incluso nel DVD allegato a PC Open n° 100. Una volta completata l’incursione tra le proprietà Windows della connessione wireless, si poteva deselezionare la casella Usa Windows per configurare le impostazioni della rete senza fili e tornare nell’utility del produttore, che generalmente è più facile da usare, è più logica nella sequenza di pagine di impostazioni, permette di inserire più facilmente e senza ambiguità le chiavi WEP o WPA e offre funzionalità aggiuntive, come la visualizzazione grafica della potenza e qualità della connessione e la misura della velocità di trasferimento in Kbps. Generalmente, quando si acquista una scheda wireless, le istruzioni guidano all’installazione del software, che comprende il driver e l’utility di configurazione. Quindi la procedura spiega come configurare la scheda appena installata e imposta l’esecuzione automatica dell’utility di configurazione, che resta sempre a portata di doppio clic per monitorare la connessione o modificarne qualche caratteristica. Con l’SP2 le cose sono leggermente cambiate. Se usate l’utility del produttore per configurare la connessione, non potete più fare clic destro sull’icona della connessione wireless (in basso a destra, sulla barra di notifica) e cliccare su Visualizza reti senza fili disponibili, una comoda funzione che elenca le reti captate dalla vostra scheda Wi-Fi. In Windows XP2, se volete vedere le reti a portata radio, dovete utilizzare l’utility di configurazione della scheda oppure dovete prima selezionare la casella Usa Windows per configurare le impostazioni della rete senza fili nelle proprietà della connessione wireless. Configurazione in Windows Supponiamo di trovarci nella condizione di voler configurare una nuova scheda wireless e di avere già installato e configurato un access point o un’altra scheda wireless con cui ci si vuole connettere. Ricordiamo che una rete wireless può essere di tipo Infrastruttura (le stazioni comunicano attraverso un access point) o di tipo Adhoc (le stazioni comunicano direttamente tra loro). La connessione più semplice è quella Ad-hoc tra due schede Wi-Fi (vedi seconda lezione del corso Wireless), che abbiamo usato anche per verificare le funzionalità wireless di Windows XP2. Per destreggiarsi in una connessione di rete, soprattutto se è wireless (molto più complicata da configurare rispetto a una connessione via cavo), Windows mette a disposizione diversi strumenti. Il primo è Connessioni di rete, accessibile dal Pannello di controllo. Selezionando una connessione, se ne può vedere lo stato con doppio clic sul nome della connessione, oppure se ne possono vedere e modificare le proprietà con clic destro, Proprietà. Nella sezione Generale della finestra Proprietà, trovate una casella, in basso, che permette di inserire l’icona della connessione nella barra di notifica di Windows. Questa icona è utile per due motivi: mostra l’attività della connessione e permette di aprire con un clic diverse finestre utili, come quelle di stato, di ripristino della connessione, di visualizzazione delle reti disponibili e di modi- Le proprietà di una connessione wireless includono le impostazioni TCP/IP e il bottone Configura per i parametri avanzati Le proprietà di una rete wireless selezionata nell’elenco Reti preferite, nella sezione Reti senza fili delle proprietà della connessione wireless Questa finestra, introdotta con l’SP2, permette la connessione automatica delle reti wireless selezionate 4a lezione Windows xp2 Le proprietà avanzate delle reti “preferite” includono i tipi di reti a cui connettersi e la possibilità di connessione automatica Dal bottone Configura nelle proprietà generali di una connessione wireless, si entra nelle proprietà avanzate dell’adattatore wireless fica delle impostazioni del firewall di Windows. Raccomandiamo di attivare l’icona perché, appena qualcosa non va, sarà il punto di partenza per vedere lo stato della connessione e cercare di riattivarla. Dopo avere installato una scheda di rete in Windows XP2, insieme al driver e all’utility di configurazione, le istruzioni del produttore vi guidano attraverso la procedura di setup, dove specificate il nome della rete (SSID), il tipo di rete (Infrastruttura o Ad-hoc), il canale radio (da 1 a 13), il tipo di autenticazione dell’utente (consigliamo Open), l’attivazione della sicurezza (WEP o WPA) e una o più chiavi di protezione. Queste impostazioni devono essere coerenti con quelle dell’access point e delle altre schede wireless, altrimenti potrà funzionare la connessione radio (strato fisico della rete) ma le stazioni non si connetteranno. Inizialmente è più facile installare la rete senza attivare le misure di sicurezza, per poi attivarle una volta che la connessione funziona. Quando l’utility di configurazione conferma che la connessione è attiva, potete verificarlo aprendo Explorer (Esplora risorse) per accedere ai file condivisi degli altri PC e Internet Explorer per accedere a Internet. Diamo per scontato che siano state impostate correttamente le proprietà TCP/IP della connessione (indirizzo IP, gateway di default e indirizzi DNS), come nel caso di una rete cablata. Se tutto funziona come previsto, la scheda wireless del PC riconoscerà il segnale dell’access point o di qualche altra scheda wireless ed entrerà a far parte della rete. Con clic destro sull’icona della connessione wireless (che in XP2 ha cambiato aspetto, per distinguersi dalle connessioni via cavo) e clic su Visualizza reti senza filo disponibili, probabilmente apparirà il messaggio “Impossibile configurare la rete senza fili”, che continua spiegando che se avete attivato un altro programma di configurazione, dovreste continuare a usarlo, ma se scegliete di usare Windows per la configurazione, dovete cliccare su Cambia impostazioni avanzate, entrare nella sezione Reti senza fili e selezionare la casella Usa Windows per configurare le impostazioni della rete senza fili. Probabilmente non occorre chiudere l’utility di configurazione fornita con la scheda, ma questo potrebbe variare secondo i casi. Una volta dichiarato che si vuole usare Windows per la configurazione, potete visualizzare le reti disponibili, per esempio partendo da un clic destro sull’icona della connessione o sul nome della connessione in Connessioni di rete. L’attivazione di una connessione wireless non è così ovvia e immediata come nel caso di una rete cablata. È influenzata dalla sequenza degli eventi e può succedere che, dopo aver acceso i computer, la connes- sione non sia attiva. Se in precedenza la rete wireless funzionava, di solito basta eseguire Ripristina nel menu rapido (clic destro sull’icona della connessione) per rimettere le cose a posto. Le opzioni di configurazione sono distribuite nelle varie sezioni della finestra Proprietà. Nella sezione Generale, il bottone Configura apre la finestra Proprietà di Gestione periferiche, a sua volta suddivisa in sei sezioni; quella che ci interessa è la sezione Avanzate, che permette di modificare anche certi parametri generalmente inaccessibili dall’utility del produttore (e che solitamente è meglio non modificare). Tornando alle proprietà della connessione wireless, nella sezione Reti senza fili, nel pannello Reti preferite, potete selezionare una rete e, cliccando sul bottone Proprietà, modificare il tipo di autenticazione (aperta o con chiave condivisa), il tipo di crittografia e le chiavi. Selezionando la crittografia tramite WEP (il livello di base garantito da tutti i prodotti), inserite fino a quattro chiavi (le stesse e nello stesso ordine impostate sull’access point e sulle altre schede). Dato che Windows non permette di selezionare esplicitamente il formato delle chiavi (caratteri ASCII o cifre esadecimali) e che ha un controllo rudimentale della lunghezza delle chiavi introdotte, di solito è più comodo definire le chiavi utilizzando l’utility del produttore. Il bottone Avanzate nella finestra Reti senza fili permette di specificare se ci si vuole connettere solo a un tipo di rete (con access point o Ad-hoc) o a qualsiasi rete disponibile e se ci si vuole connettere automaticamente a qualsiasi rete wireless a portata del computer. Quest’ultima opzione va usata con cautela perché potrebbe portarvi a una violazione della privacy, facendovi entrare nella rete del vicino di casa (tuttora la maggior parte delle reti wireless viene installata senza protezione). Potete sempre visualizzare l’elenco delle reti disponibili e poi scegliere a quale connettervi. Dato che anche il vicino è nelle stesse condizioni, non è il caso di lasciare la vostra rete senza protezione WEP o WPA. Installazione guidata Quando installate dei dispositivi di rete (schede d’interfaccia e altro), la prassi è quella di eseguire la funzione Installa una rete domestica o una piccola rete aziendale in Connessioni di rete, in modo da configurare automaticamente Windows per l’accesso alle risorse della rete. Per le reti wireless, l’SP2 ha introdotto una funziona solo apparentemente analoga. La trovate nella finestra Risorse di rete e si chiama Installa una rete senza fili domestica o per una piccola azienda. In teoria dovrebbe permettere a chiunque di installare una rete wireless senza difficoltà. In pratica, questa procedura limita le scelte dell’utente, non risolve tutti i problemi e ne può creare di nuovi. La sequenza dei passi è stata mostrata a pag. 34 del numero di dicembre 2004 di PC Open. Si inizia dando un nome alla rete e scegliendo tra assegnazione automatica o manuale di una chiave di protezione, WEP o WPA. La procedura guidata per l’installazione di una rete wireless inizia specificando il nome della rete e il tipo di chiave di protezione La procedura permette di inserire una sola chiave WEP di non oltre 128 bit o una chiave WPA 4a lezione Windows xp2 Questo messaggio di errore spiega che talvolta la configurazione del sistema impedisce alla procedura guidata tramite drive flash di avere successo La configurazione impostata per la prima stazione può essere replicata sugli altri PC con un drive USB di memoria flash Se si usa il drive flash, la procedura vi copia sopra le informazioni di configurazione e un programma ad avvio automatico (autorun) Scritte le informazioni sul drive flash, si porta il drive su tutti i computer da configurare e alla fine lo si reinserisce nel PC di partenza per vedere l’esito Nel caso di assegnazione manuale viene richiesta l’immissione della chiave e qui iniziano i problemi. La procedura non accetta chiavi di lunghezza superiore a 128 bit, pur dichiarando che, più è lunga la chiave, maggiore è la protezione; tuttavia diversi produttori supportano chiavi WEP di 256 bit. Un altro problema, almeno per una nicchia di utenti, è che la procedura guidata non prevede reti Ad-hoc, ma solo con access point (reti a infrastruttura o ESS). Il terzo problema è che questa procedura non permette di inserire più di una chiave, mentre le utility dei produttori e persino la configurazione tramite Proprietà della connessione, permettono di inserire fino a quattro chiavi WEP, che rendono molto più difficile l’intercettazione delle comunicazioni. Visto che usavamo una rete Ad-hoc con due chiavi a 256 bit, abbiamo subito incontrato tutti e tre i problemi; ma non sono finiti qui. Fingendo di installare una rete con access point e una chiave a 128 bit, abbiamo proseguito con l’installazione; il passo successivo è la scelta tra la configurazione manuale di ciascuna stazione e la copia delle impostazioni su un’unità di memoria flash USB, da utilizzare per configurare rapidamente gli altri computer. Abbiamo provato entrambi i percorsi; nel primo caso sulla memoria flash è stato registrato un programma (setupSNK. exe), da eseguire quando il dispositivo viene inserito negli altri computer da aggiungere alla rete. Nel secondo caso (installazione manuale della rete), la procedura si è bloccata con un messaggio di errore che recita: A seconda del software per reti senza fili in esecuzione nel Alla fine dell’installazione guidata della rete wireless, se stampate le informazioni di configurazione, scoprite che dovete eseguire anche la procedura tradizionale di configurazione di una rete per attivare la condivisione delle risorse locali computer, è possibile che l’installazione guidata rete senza fili non funzioni. Per ulteriori informazioni, consultare l’articolo 871122 nella Microsoft Knowledge Base di Microsoft.com”. Questo articolo afferma che se è uscito quell’errore, significa che non è attivo il servizio di sistema Wireless Zero Configuration (in italiano si chiama Zero Configuration reti senza fili). Questo nel nostro caso non era vero, dato che il servizio era attivo, tanto più che, senza tale servizio in funzione, non sarebbe stato possibile vedere l’elenco delle reti wireless a portata di segnale. La configurazione in cui abbiamo provato la procedura guidata per l’installazione di una rete senza fili era abbastanza standard: un notebook di marca con Pentium 4 Mobile, 512 MB di RAM e Windows XP tenuto aggiornato e ben protetto da attacchi e intrusioni. La conclusione è che la nuova procedura di Windows XP2 per configurare le reti wireless è interessante in certi casi (rete con access point e singola chiave di protezione) ma non funziona sempre e anche Microsoft lo ammette, pur offrendo una spiegazione sbagliata (almeno nel nostro caso). Inoltre, nelle istruzioni a video non è scritto che questa procedura non provvede ad attivare la condivisione dei file e stampanti sulla rete locale, per cui occorre eseguire anche la normale Installazione guidata rete che si usa per le reti cablate. Diversamente, l’accesso alle risorse condivise potrebbe avere dei problemi. Questo lo scoprite solo se, spinti dalla curiosità, selezionate Stampa impostazioni di rete nell’ultima pagina della procedura guidata. C’è un aspetto positivo che riguarda le schede con supporto WPA. Già dal 2003 ci sono sul mercato prodotti, come quelli di Linksys, che supportano non solo il WPA ma anche la crittografia avanzata AES (Advanced Encryption Standard), che non tutti offrono perché richiede una specifica implementazione in hardware. Con queste schede, oltre all’utility di configurazione del produttore, potete usare la procedura guidata d’installazione della rete, che prevede anche il caso WPA con AES. AES è la scelta migliore, se supportata da schede e access point, perché fornisce il tipo di crittografia più efficace. In pratica, la configurazione guidata è applicabile solo ai casi più semplici e la possibilità di configurare automaticamente più computer con il drive flash, per quanto attraente, non sempre funziona. Nei casi che non sono coperti dall’installazione guidata o in cui la rete wireless non funziona, dovrete comunque ricorrere alla configurazione manuale e ai comandi e utility che possono aiutarvi a impostare correttamente la rete. Memoria flash Se decidete che vi interessa sfruttare la configurazione automatica delle schede wireless con una memoria flash USB (UFD, USB Flash Drive), può esservi utile conoscere il contenuto che viene trasferito nel drive di memoria. \Autorun.inf serve a eseguire automaticamente il programma di setup \Smrtntky\ Setupsnk.exe quando il drive UFD è inserito nella presa USB. Se c’è già un file Autorun.inf, viene rinominato Autorun.fcb. Se selezionate la casella di rimozione dei dati dall’UFD alla fine dell’installazione, i file di setup vengono cancellati dal drive e Autorun.fcb torna a essere Autorun.inf. \Smrtntky\Setupsnk.exe è il programma che, su un PC con Windows XP2, esegue il setup della connessione wireless in base ai dati di configurazione memorizzati nel file \Smrtntky\Wsetting.wcf del drive UFD. Se il PC non ha l’SP2, il programma vi propone di stampare il file \Smrtntky\ Wsetting.txt contenente i dati di configurazione, da applicare manualmente. \Smrtntky\Wsetting.wfc è un file XML che contiene i parametri di configurazione per la rete wireless, tra cui il nome della rete, il metodo di autenticazione e crittografia e la chiave WEP o WPA. Smrtntky\Wsetting.txt è un file di testo con l’equivalente 4a lezione Windows xp2 dei dati contenuti in \Smrtntky \Wsetting.wcf. \Smrtntky\Device\xxxxxxx x.wcf è un file di configurazione contenente informazioni in formato XML relative al computer su cui è stata eseguita inizialmente la procedura di installazione guidata della rete wireless. Il nome del file è la rappresentazione ASCII delle cifre esadecimali degli ultimi quattro byte dell’indirizzo MAC dell’adattatore di rete. Per esempio, per un computer con scheda di rete con indirizzo MAC 00-AA-A3-8C3D-0F, il nome del file sarebbe A38c3d0f.wfc. Durante l’installazione guidata, le informazioni di setup della rete wireless sono scritte sul drive UFD, quindi vi viene chiesto di estrarre il drive e di inserirlo a turno in tutti i PC da collegare e infine di reinserirlo nel PC iniziale. A questo punto la procedura vi mostra l’esito dell’operazione e, in caso di successo, l’elenco dei PC che sono stati configurati nella rete. A questo punto avete la possibilità di cancellare i dati dal drive per motivi di sicurezza. Bluetooth Windows XP in origine non supportava le connessioni Bluetooth, che hanno sostituito con vantaggio molte connessioni a infrarosso. All’inizio del 2002 Microsoft iniziò a supportare Bluetooth con un aggiornamento software e con i driver per i propri prodotti hardware. Ora l’SP2 porta un sensibile miglioramento nel riconoscimento dei dispositivi Bluetooth. Su un PC con ricetrasmettitore Bluetooth attivato, un’icona Bluetooth blu nella barra di notifica permette di accedere a operazioni come l’aggiunta di una periferica, l’invio o ri- cezione di un file o l’associazione a una rete Bluetooth. Anche nel Pannello di controllo una nuova applet offre la procedura guidata per l’aggiunta di nuovi dispositivi Bluetooth. Inoltre, per motivi di sicurezza, potete assegnare una password ai dispositivi in modo che siano vincolati al vostro computer, evitando che entrino a far parte di altre reti. Forse Bluetooth non avrà il successo previsto qualche anno fa, ma per lo meno non gli manca un supporto adeguato in Windows. 2 Protezione della memoria e le migliorie nel campo del networking wireless sono rivolte a una maggiore facilità d’uso del sistema operativo, l’argomento protezione della memoria ci riporta nell’alveo principale del Service Pack 2, che è quello della sicurezza. Nel corso degli anni, uno dei meccanismi usati più di frequente per penetrare in un sistema facendo breccia nelle barriere di sicurezza è stato il buffer -overrun, vale a dire riempire un buffer fino a oltrepassarne i limiti di memoria ed eseguire codice dannoso. In questo tipo di attacco, l’autore invia una lunga sequenza di dati in input a un programma, debordando dall’area di memoria allocata per ricevere l’input. La stringa inserisce in memoria del codice maligno che, quando eseguito, scatena un virus o un worm. Windows XP2 utilizza due diverse misure per proteggersi dagli attacchi di tipo bufferoverrun. Se la CPU installata nel sistema lo supporta, Windows può attivare il bit di protezione dall’esecuzione per le pagine di memoria virtuale destinate a contenere solo dati e non codice eseguibile. Su tutte le CPU, invece, Windows si è fatto più guardingo e riduce le possibilità di buffer-overrun con tecniche di sandboxing. Un sandbox trae il nome dalla cassetta o recinto di sabbia usato per far giocare i bambini senza che spargano sabbia dapper- S tutto. Nel gergo software, un sandbox è un ambiente di esecuzione protetto, utilizzato per eseguire programmi non fidati senza possibilità che facciano danni al resto del sistema. Questo viene ottenuto riducendo i privilegi dei processi eseguiti nel sandbox. L’SP2 introduce la protezione contro l’esecuzione di codice dalle aree di dati, regolata dell’opzione NoExecute nel file Boot.ini; il default è OptIn e protegge solo Windows, ma si può modificare in OptOut per proteggere anche le applicazioni Protezione dall’esecuzione A parte l’Itanium, limitato a una nicchia di server di fascia alta, i processori AMD a 64 bit (in attesa che anche le CPU di Intel implementino questa funzione) possono marcare la memoria con un attributo che indica la non eseguibilità di quell’area di codice. Questa protezione dall’esecuzione (NX per AMD, Execute Disable per Intel) si applica per pagina di memoria virtuale, modificando un bit nel descrittore della pagina. Su questi processori, Windows XP2 usa il bit di non esecuzione per impedire l’esecuzione di codice contenuto in pagine di dati. Per utilizzare la funzione NX, la CPU deve funzionare in modalità PAE (Physical Address Extension). Quando viene tentata l’esecuzione da una di queste pagine, il processore invia una segnalazione e blocca l’esecuzione di quel codice. Questa funzione, se fosse stata disponibile prima, avrebbe impedito al worm Blaster di compiere i disastri che ha fatto. Sandboxing Per tutti i processori che non dispongono della funzione di non esecuzione, Windows XP2 aggiunge delle verifiche su due strutture di memoria utilizzate dal sistema, lo stack e l’heap. Lo stack è usato per le variabili locali temporanee; è allocato quando viene richiamata una funzione e deallocato all’uscita dalla funzione. L’heap è usato dai programmi per allocare e deallocare dinamicamente blocchi di memoria che hanno durata più lunga. La protezione che è stata aggiunta a queste due strutture è appunto di tipo sandboxing. Per proteggere lo stack, tutto il codice binario è stato ricompilato usando un’opzione che consente controlli di sicurezza sui buffer nello stack. Alcune istruzioni, aggiunte alle sequenze di chiamata e rilascio delle funzioni, permettono alle librerie di runtime (moduli utilizzati durante l’esecuzione delle applicazioni) di intercettare la maggior parte dei buffer-ovverrun. A queste misure si aggiunge la marcatura, all’inizio e alla fine dei buffer allocati, con dei Per estendere la Data Execution Protection alle applicazioni, si usa questa finestra della applet Sistema nel Pannello di controllo particolari “cookies” che le librerie di runtime controllano man mano che i blocchi di memoria sono allocati e liberati. Se i cookies vengono trovati mancanti o incoerenti, le librerie segnalano una condizione di errore dovuto all’overrun di un buffer dello heap. Se la Data Execution Pre- 4a lezione Windows xp2 vention (DEP, prevenzione contro l’esecuzione dei dati) si rivelerà efficace come nelle intenzioni di Microsoft, Windows XP2 avrà compiuto un passo avanti significativo. In pratica La Data Execution Prevention a livello di sistema è controllata dallo switch (opzione) NoExecute che nel file Boot.ini è associato all’installazione (o installazioni) di Windows XP2. Potete aprire Boot.ini con il Blocco note (il file si trova nella directory principale del disco di sistema) o visualizzarlo tramite Sistema nel Pannello di controllo. Se volete modificare Boot.ini con un editor, dovete prima togliere l’attributo di sola lettura nelle proprietà del file in Explorer. Per default, lo switch NoExecute ha valore OptIn: sui sistemi con CPU che supporta il bit NX (AMD64 e alcune Intel), la funzione DEP è abilitata per default per alcuni eseguibili di sistema e solo per le applicazioni che lo richiedono (opt-in) durante l’installazione. Assegnando a NoExecute il valore OptOut in Boot.ini, la DEP è abilitata per default per tutti i processi, ma l’utente può compilare una lista di applicazioni specifiche a cui non va applicata DEP. Queste esclusioni possono rendersi necessarie per problemi di compatibilità, in attesa di avere versioni aggiornate per Windows XP2. Se assegnate a NoExecute il valore AlwaysOn (sempre acceso), ottenete una copertura DEP totale per l’intero sistema: tutti i processi sono eseguiti con DEP attiva e non è possibile specificare eccezioni. Le applicazioni eventualmente elencate in precedenza come OptOut, vengono eseguite anch’esse con DEP attiva. Il quarto e ultimo valore previsto per NoExecute è AlwaysOff (sempre spento), che disattiva la DEP per l’intero sistema, persino se la CPU supporta il bit NX. In questo caso, la CPU non opera in modalità PAE a meno che in Boot.ini non sia specificata l’opzione /PAE. I dettagli tecnici, reperibili sul sito di Microsoft, riguardano soprattutto sistemisti e sviluppatori. Le opzioni per gli utenti sono essenzialmente due: lasciare OptIn e proteggere solo Windows o attivare l’OptOut per proteggere anche le applicazioni, salvo escludere quelle non compatibili. Alcune applicazioni che costruisconono codice eseguibile nelle aree dati hanno problemi di compatibilità e richiedono un aggiornamento. Per attivare la prote- zione DEP anche per le applicazioni, aprite Pannello di controllo, Sistema, Avanzate, Impostazioni nel riquadro Prestazioni, Protezione Esecuzione Programmi. Qui selezionate Attiva Protezione esecuzione programmi per tutti i programmi e i servizi tranne quelli selezionati. Usate il bottone Aggiungi per elencare le applicazioni che hanno problemi di compatibilità, così da eseguirle senza attivare la protezione DEP. Internet Information Services Windows XP Professional include gli Internet Information Services (IIS), versione 5.1, che permettono di utilizzare il vostro computer come Web server su Internet o su una intranet. L’accessibilità limitata non permette di utilizzare l’IIS per ospitare un sito Web accessibile al vasto pubblico, ma è uno strumento utile per operazioni di testing, manutenzione e accesso remoto. D’altra parte, un Web server è una porta aperta in più (e una di quelle più interessanti) per gli attacchi da Internet e non dovrebbe essere attivato senza robuste difese, a cominciare da un firewall efficace. In Windows XP Pro, l’IIS è un componente incluso ma da installare a parte dopo aver installato il sistema operativo. Per attivare l’IIS, aprite Pannel- lo di controllo, Installazione applicazioni, Installazione componenti di Windows e selezionate la casella Internet Information Services (IIS). L’IIS non è disponibile in XP Home Edition. Visto che molti utenti sviluppano il proprio sito Web e usano il Web server locale per le prove, la sicurezza dell’IIS è di interesse abbastanza ampio. IIS prima e dopo l’SP2 Se installate una versione slipstream (XP con SP2 integrato, vedi ultima sezione) di Windows XP, la configurazione di default di IIS 5.1 risulta modificata così da ridurre il “fronte d’attacco” esposto alle minacce esterne. Questo migliora la sicurezza generale del sistema e della rete, che risultano meno vulnerabili. Tuttavia, se applicate il Service Pack 2 a un’installazione XP+SP1, la configurazione di IIS non viene modificata. Per fruire della maggiore protezione, dovrete scaricare lo strumento IIS Lockdown da http://go.microsoft.com/fwlink/?linkid=22848. Quando IIS viene installato da un CD slipstream XP+SP2, viene attivata una serie di impostazioni che riducono l’esposizione di IIS, tra cui la disattivazione delle estensioni server per FrontPage e l’omissione degli esempi campione. 3 Integrare l’SP2 con Windows XP on c’è un solo modo di creare un CD di installazione che integri Windows XP e il Service Pack 2. Vi spieghiamo una procedura diretta ed elegante per farlo. Questa procedura viene chiamata slipstream in inglese, un termine che in origine era usato per indicare la correzione o estensione di un software (facendogli “scivolare dentro” le modifiche) senza creare un nuovo numero di versione. Windows, dopo l’azione di slipstreaming dell’SP2, si chiama Windows XP SP2 (noi lo chiamiamo Windows XP2). Supponiamo che vi siate procurati il file completo Service Pack 2 in italiano, vale a dire la versione per l’installazione dalla rete (o da un hard disk locale). N Se avete la banda larga, potete scaricarlo da www.microsoft.com/downloads/details.as px?displaylang=it&FamilyID=049c9dbe-3b8e-4f308245-9e368d3cdb5a. Copiate il CD di installazione originale di Windows XP in una directory dell’hard disk, per esempio \CDXP (non lasciate spazi nel nome). Copiate il file dell’SP2 in un’altra directory, per esempio \XPSP2. Ora aprite una finestra prompt (Start, Esegui, cmd) e vi posizionate nella directory dell’SP2 (cd \XPSP2). Supponendo che il drive su cui state lavorando sia D: e che il file dell’SP2 sia WindowsXP-KB835935SP2-ITA.exe, il comando che produce l’integrazione tra XP e SP2 è WindowsXP-KB835935- Nella procedura per creare un CD con XP+SP2, IsoBuster estrae dal CD di Windows il file che renderà bootable il nuovo CD SP2-ITA /integrate:D:\CDXP. Questo comando funziona con le copie commerciali di Windows XP, mentre potrebbe non funzionare con le copie OEM fornite dai produttori di hardware. Alla fine dell’estrazione dei file dell’SP2 e della loro integrazione con i file di XP, un messaggio annuncia che l’inte- grazione è terminata. Ora si tratta di creare un CD bootable (avviabile) di XP2. Vi procurate IsoBuster (versione gratuita), lo installate e lo aprite con il CD originale di XP inserito nel drive. Selezionate la directory Bootable CD sul CD di XP e fate clic destro su Microsoft Corporation.img. Nel menu selezionate Extract Mi- 4a lezione Windows xp2 Utilizzando Nero per la registrazione del CD XP+SP2, queste sono le impostazioni della sezione Boot parametri, aggiornate la vostra versione di Nero, altrimenti il CD non sarà avviabile. Passate alla sezione Label di New Compilation e nel campo etichetta (Volume label ISO 9660) inserite un nome di vostra scelta; se presente, selezionate la casella Also use the ISO 9660 text for Joliet. Quindi cliccate su New. Nella finestra del browser di Nero, a destra selezionate l’intero contenuto della directory \CDXP e lo trascinate nella finestra di sinistra (ISO1). Ora premete l’icona Burn per registrare il CD. Nella finestra Burn, selezionate le caselle Write, Finalize CD e BURN-Proof (o altra dicitura per la protezione da underrun) e scegliete la velocità di scrittura appropriata e Write method = Track-at-once. Alla fine della scrittura avrete un CD di XP con SP2 avviabile. Support Tools La finestra di Nero con i file da copiare Le impostazioni nella sezione Burn di Nero crosoft Corporation.img, e lo estraete mettendolo nella cartella \CDXP. Supponendo di usare Nero Burning ROM per registrare il CD, aprite il programma, selezionate la funzione Creare CD d’avvio e nella sezione Boot della finestra New Compilation selezionate Image file e inserite D:\CDWINXP\Microsoft Corporation.img nella finestrella. Selezionate la casella Enable expert Settings, scegliete No Emulation e modificate Number of loaded sectors a 4 (altrimenti il CD non fa il boot). Dalla sezione Boot passate alla sezione ISO di New compilation, che dovrebbe essere compilata con questi valori: File name length = Max 31 car. (ISO Level 2), Format = Mode 1, Character Set = ISO 9660 (standard ISO CD-ROM), Joliet, Allow path depth of more than 8 directories, Allow more than 255 characters in path, Do not add the ‘;1’ ISO file version extension e Allow more than 64 characters for Joliet names. Se non vedete tutti questi Gli Strumenti di supporto per Windows XP, già citati nel corso Windows Expert, sono destinati all'utilizzo da parte di utenti esperti e servono per diagnosticare e risolvere problemi di vario tipo. Trovate una descrizione dei singoli strumenti nella loro documentazione in linea (Suptools.chm). Gli Strumenti di supporto per Windows XP possono essere installati solo su computer con Windows XP Professional o Windows XP 64-Bit Edition. Non possono essere utilizzati per aggiornare gli Strumenti di supporto installati su Windows NT o Windows 2000. Microsoft consiglia di rimuovere tutte le precedenti versioni degli Strumenti di supporto, comprese le versioni Beta per Windows XP, prima di eseguire il programma di installazione. Non lo abbiamo fatto ma ci ha pensato l’installatore. I Support Tools non sono stati localizzati, quindi sono disponibili solo in inglese, con qualche rischio teorico di funzionamento scorretto sulle versioni di XP in altre lingue. Nel Service Pack 2 sono stati aggiornati alcuni dei programmi: bitsadmin.exe, extract.exe, httpcfg.exe, iadstools.dll, ipseccmd.exe, netdom.exe e replmon.exe. In totale gli strumenti sono 80 e potete scaricare il file eseguibile che li installa da www.microsoft.com/down- loads/details.aspx?displaylang=it&FamilyID=49ae85769bb9-4126-9761-ba8011fabf38. Riferimenti e conclusione Il sito di Microsoft per l’SP2: www.microsoft.com/italy/windowsxp/sp2/default.mspx Windows XP Service Pack 2 con tecnologie avanzate di sicurezza: panoramica sulle funzionalità www.microsoft.com/ italy/windowsxp/sp2/technologiesoverview.mspx Funzionalità di Windows XP Service Pack 2 www.microsoft.com/italy/windowsxp/sp2/ features.mspx Procedure e supporto per Windows XP Service Pack 2 www.microsoft.com/italy/ windowsxp/sp2/howto/ default.mspx Windows XP Service Pack 2 (SP2) per Professionisti IT support.microsoft.com/?scid= fh%3bln%3bwindowsxpsp2it Features and Functionality in Windows XP Service Pack 2 www.microsoft.com/technet/ prodtechnol/winxppro/plan/ xpsp2ff.mspx Changes to Functionality in Microsoft Windows XP Service Pack 2 www.microsoft.com/ technet/prodtechnol/winxppro/maintain/sp2chngs.mspx Di queste fonti di documentazione, l’ultima citata è quella più tecnica e concreta, lontana dal linguaggio del marketing; contiene otto documenti che costituiscono una miniera d’informazioni e comprendono quasi tutto quello che vorrete sapere sul Service Pack 2 di XP, incluse tante nuove tecnologie che per ragioni di spazio non abbiamo citato in queste quattro puntate. Utilizzare XP dopo il Service Pack 2 non è sempre una passeggiata e i problemi incontrati sono diversi secondo il tipo di utente. Per noi, ad esempio, la seccatura maggiore è stata l’assenza della MS Java Virtual Machine, mentre altri hanno sperimentato i guai di applicare l’SP2 a un’installazione troppo “logorata”. Dopo quattro mesi di test ed esperienza, la conclusione è che non torneremmo indietro. Tuttavia vi raccomandiamo di procurarvi un programma di backup delle immagini delle partizioni e di aggiungere un disco per i backup, così, se tutto va storto, potete sempre ripristinare l’installazione originaria in pochi minuti.