Per effettuare una navigazione sicura online è indispensabile adottare alcune semplici linee di difesa che consentano di scongiurare il caricamento di codice dannoso sul proprio computer semplicemente visitando una pagina web nociva. Per una navigazione sicura non basta mantenere costantemente aggiornato il browser web. Tutti i moderni browser, infatti, sono sempre aperti all’utilizzo dei plugin, componenti aggiuntivi che arricchiscono il software di base dotandolo di ulteriori funzionalità. Firefox, Chrome, Opera e Internet Explorer (qui vengono chiamati “add on“) hanno da sempre permesso l’utilizzo di componenti aggiuntivi quali sono i plugin. La capacità di un software di supportare i plugin è generalmente un’ottima caratteristica.
C’è però un punto importante che non va sottovalutato. Sempre più frequentemente gli aggressori pubblicano sul web delle pagine web che ospitano contenuti “maligni” capaci di far leva sulle vulnerabilità conosciute presenti nelle più vecchie versioni dei plugin e dei software installati sui sistemi. Visitando una pagina web malevola utilizzando un browser che impiega, a sua volta, una versione “datata” di un certo plugin, è possibile che sul proprio sistema venga eseguito del codice nocivo aprendo così la porta ad ogni tipo di infezione.
Un’adeguata protezione del browser e dei dati contenuti sul sistema passa quindi per un periodo controllo dei plugin in uso. Particolare attenzione dev’essere posta al loro tempestivo aggiornamento.
L’uso di versioni superate dei plugin è una prassi da evitare perché responsabile di una buona parte delle infezioni da malware. Tra i plugin maggiormente bersagliati vi sono Java, Flash Player, Adobe Reader ed Apple Quicktime: utilizzando, con il proprio browser web, una versione non aggiornata di tali componenti aggiuntivi, è altamente probabile che prima o poi, durante la navigazione in Rete, si possa incorrere in spiacevoli problemi.
L’aggiornamento del solo browser non è quindi sufficiente: per evitare di correre rischi inutili, è indispensabile mantenere aggiornati tutti i plugin.
Il nostro consiglio è quello di controllare lo stato dei plugin per ciascun browser web installato sulla propria macchina: Internet Explorer, ad esempio, utilizza tecnologie differenti per la gestione dei plugin. Il prodotto di Microsoft impiega la tecnologia ActiveX per consentire la visualizzazione di oggetti particolari all’interno delle pagine web mentre i prodotti concorrenti non sfruttano la medesima soluzione.
La tendenza, ultimamente, è quella di rendere i browser oggetti sempre più capaci di visualizzare determinate tipologie di contenuti senza più appoggiarsi a plugin esterni. Qual è il vantaggio di questo approccio? Semplice. L’utente non deve più preoccuparsi dell’installazione e dell’aggiornamento del plugin perché esso sarà gestito automaticamente insieme con il browser. In altre parole, ogniqualvolta verrà aggiornato il browser, anche il plugin sarà aggiornato.
Google Chrome, in questo senso, ha fatto da apripista integrando speciali versioni dei plugin Adobe Flash Player ed Adobe Reader (Google Chrome si attrezza per leggere i documenti PDF): il browser del colosso di Redmond, grazie alla collaborazione instauratasi con Adobe, è in grado di mostrare creatività in formato Flash (ancora oggi molto diffuse sul web) ed aprire documenti PDF senza appoggiarsi ad alcun componente esterno. Anche Microsoft, di recente, ha integrato nella versione di Internet Explorer 10 di Windows 8 il plugin di Flash Player (Internet Explorer 10 sbarca anche su Windows 7).
Per quanto riguarda Mozilla, invece, Firefox 19 si è dotato di un lettore di file PDF interamente basato su HTML5 e codice JavaScript (Firefox 19 si dota del suo lettore di documenti PDF).
Controllare i plugin in uso in ogni browser web
Per ciascun browser web installato sul proprio sistema, il nostro consiglio è quello di controllare la lista dei plugin installati e caricati ad ogni avvio. Per tutti i principali browser (Firefox, Chrome, Opera) la procedura da seguire è identica, eccezion fatta per Internet Explorer.
Nel caso di Firefox, Chrome ed Opera, è sufficiente digitare nella barra degli indirizzi about:plugins
: si otterrà immediatamente la lista completa dei plugin abilitati e disabilitati.
Chrome trasforma l’indirizzo about:plugins
in chrome://plugins
: è assolutamente normale. Nella finestra dei plugin di Google Chrome, suggeriamo di fare clic sul link Dettagli in modo da ottenere informazioni sull’esatto percorso in cui è memorizzato ciascun plugin aggiuntivo. Il browser di Google, nel caso di Adobe Flash, potrebbe visualizzare due plugin: uno contiene la dizione “PepperFlash” nel percorso, l’altro NPAPI in corrispondenza della voce “Tipo“. Il primo plugin (“PepperFlash” o PPAPI) è quello integrato direttamente nel browser e mantenuto costantemente aggiornato dai tecnici di Google; l’altro, invece, è il plugin installato dai server Adobe e compatibile anche con Firefox ed Opera (viene salvato nella cartella %systemroot%\system32\Macromed\Flash
).
Se si hanno dubbi sull’identità di un plugin, è possibile disattivarlo cliccando sul link Disabilita o Disattiva, su Opera.
Per disattivare un plugin in Firefox, invece, è necessario premere il tasto ALT
, fare clic sul menù Strumenti, su Componenti aggiuntivi quindi sui pulsanti Disattiva.
In Chrome, se si preferisse usare sempre il plugin integrato nel browser, si potrebbe fare clic su link Disabilita corrispondente al plugin NPAPI di Adobe:
Ad ogni modo, suggeriamo di non perdere mai il controllo sui plugin installati accertandosi bene della rispettiva identità. Non è cosa saggia mantenere attivati plugin sconosciuti o comunque in numero troppo elevato.
In Internet Explorer, la lista dei plugin (anzi, degli “add on” installati), è accessibile cliccando sull’icona dell’ingranaggio (mostrata nella barra degli strumenti dell’applicazione) quindi su Gestione componenti aggiuntivi.
Dal menù a tendina Mostra, suggeriamo si selezionare la voce Tutti i componenti aggiuntivi.
Cliccando con il tasto destro del mouse sul nome di un qualunque add-on, si potrà richiederne la disattivazione semplicemente facendo clic su Disabilita:
Protezione del browser e del sistema dai malware
Tutte le più recenti versioni dei principali browser web disponibili in Rete utilizzano dei meccanismi che provvedono ad avvisare l’utente qualora uno o più plugin risultassero obsoleti. Nei casi più gravi, i vari produttori provvedono a richiedere, in maniera del tutto automatica, la disabilitazione di quelle versioni dei plugin che possono rappresentare un pericolo per la sicurezza dell’utente e la riservatezza dei dati memorizzati sul suo sistema.
Da parte nostra, però, consigliamo di prevenire qualunque problema agendo in modo proattivo. Tipicamente, infatti, quando un produttore decide di bloccare il caricamento di un plugin “la frittata è ormai fatta”: gli aggressori, evidentemente, hanno già sferrato con successo – su scala più o meno ampia – degli attacchi.
Dopo aver stabilito quali plugin vengono caricati su ogni browser web installato sul sistema e di quali si ha effettivamente bisogno, suggeriamo – periodicamente – di collegarsi con questa pagina.
Qualys BrowserCheck è uno dei migliori test disponibili in Rete che consentono di verificare lo stato di aggiornamento dei principali plugin. Per effettuare una scansione rapida, è sufficiente collegarsi con questa pagina, cliccare sul pulsante Scan now ed accettare le condizioni di licenza d’uso dell’applicazione web:
Qualora uno o più plugin non dovessero risultare aggiornati all’ultima versione, BrowserCheck mostrerà un messaggio d’allerta:
Viceversa, la comparsa di un messaggio come quello riportato nella figura seguente attesta che tutto è a posto e che si stanno utilizzano versioni aggiornate (e quindi sicure) dei vari plugin:
Ove uno o più plugin non fossero aggiornati, si dovrà provvedere ad installare tempestivamente la corrispondente versione più recente.
Rimuovere i plugin dal browser quando sono pericolosi o se restano utilizzati
Allorquando uno o più o plugin dovessero risultare superflui, se ne consiglia l’immediata rimozione. Ad esempio, se di solito si fa uso di Google Chrome o di Mozilla Firefox, è tipicamente inutile (ed a volte rischioso) mantenere il plugin di Adobe Reader installato in Internet Explorer.
Per rimuovere qualunque plugin, prima di valutare interventi alternativi, il modo canonico è quello di accedere al Pannello di controllo, fare doppio clic su Installazione applicazioni oppure su Programmi e funzionalità (a seconda della versione di Windows in uso) e richiedere la disinstallazione del plugin di cui ci si vuole sbarazzare.
Se il plugin non figurasse in elenco, il modo migliore per eliminarlo, consiste nel digitare about:plugins
nella barra degli indirizzi di Firefox, Chrome ed Opera annotando il percorso completo in cui il componente aggiuntivo risulta memorizzato.
A questo punto, portandosi nello stesso percorso, si potrà eliminare o, meglio ancora, spostare in una directory di backup il file deputato al funzionamento del plugin da rimuovere: al successivo riavvio del browser, il caricamento del componente non avverrà più (sparirà dalla finestra about:plugins
).
Nel caso di Internet Explorer, per rimuovere un add-on bisognerà portarsi nella finestra Gestione componenti aggiuntivi, selezionare Tutti i componenti aggiuntivi dal menù Mostra, fare doppio clic sull’elemento da eliminare e verificare se il pulsante Rimuovi fosse disponibile.
Se il pulsante Rimuovi apparisse inutilizzabile, le cose si complicano perché Internet Explorer non offre uno strumento per la semplice eliminazione del plugin.
Una soluzione consiste nell’utilizzo di Autoruns, noto stumento software che consente di eliminare applicazioni e servizi che non devono più essere caricati automaticamente. Autoruns, mantenuto aggiornato dagli sviluppatori Microsoft, dev’essere avviato con i diritti di amministratore: nella scheda Internet Explorer si troverà l’elenco dei plugin installati nel browser del colosso di Redmond.
Cliccando con il tasto destro del mouse sul plugin da rimuovere quindi scegliendo Delete, questo verrà immediatamente cancellato.
Se il plugin del quale ci si vuole sbarazzare non comparisse nella scheda Internet Explorer di Autoruns, si dovrà applicare un intervento più drastico.
Gli utenti più esperti dovrebbero innanzi tutto annotare il percorso in cui il file del plugin è conservato (voce Cartella) nonché il lungo identificativo alfanumerico, compreso tra parentesi graffe, ID classe. Entrambe le informazioni sono rilevabili dalla finestra Gestione componenti aggiuntivi di Internet Explorer facendo doppio clic sull’add-on da eliminare.
Dopo aver avviato l’Editor del registro di sistema, si dovrà individuare la chiave HKEY_CLASSES_ROOT\CLSID
.
Qui si dovrà andare alla ricerca della sottochiave col nome corrispondente esattamente all’ID classe precedentemente desunto dalla finestra Gestione componenti aggiuntivi di Internet Explorer. Eliminando tale chiave (suggeriamo comunque di effettuarne prima un backup: comando File, Esporta) e riavviando Internet Explorer, l’add-on sarà più caricato e non figurerà più nella lista contenuta nella finestra Gestione componenti aggiuntivi.
Se una chiave del registro non dovesse risultare eliminabile (visualizzazione di un messaggio d’errore da parte dell’Editor), è assai probabile che non si disponga di sufficienti autorizzazioni per cancellarla, anche nel caso in cui si utilizzi un account amministratore.
Per risolvere, si dovrà fare clic con il tasto destro del mouse sulla chiave da eliminare, scegliere Autorizzazioni quindi cliccare sul pulsante Avanzate:
Come si vede nell’esempio in figura, l’account SYSTEM ha tutti i diritti per gestire la sottochiave selezionata mentre l’account amministratore ne è sprovvisto.
Accedendo alla scheda Proprietario, si dovrà selezionare dall’elenco un account dotato dei diritti amministrativi (va bene anche l’intero gruppo Administrators), spuntare la casella Sostituisci proprietario in sottocontenitori ed oggetti, quindi fare clic sul pulsante OK.
A questo punto, tornati alla precedente finestra, si dovrà selezionare l’account amministratore o il gruppo Administrators dal riquadro Utenti e gruppi quindi attivare la casella Controllo completo sotto la colonna Consenti:
Così facendo, la chiave con il lungo CLSID corrispondente all’add-on da rimuovere potrà essere finalmente eliminata.
Riavviando Internet Explorer, l’add-on sarà scomparso dalla finestra Gestione componenti aggiuntivi.
Se non si prevede di usare Java durante la navigazione online ma, ad esempio, solamente per eseguire dei gestionali, installati in locale e sviluppati usando questo linguaggio, a partire dalla versione “update 10”, Java 7 offre una pratica funzionalità per procedere alla disattivazione lato web. È sufficiente accedere al Pannello di controllo di Windows, cliccare sull’icona di Java, fare clic sulla scheda Sicurezza quindi disattivare la casella Abilitare il contenuto Java nel browser.
Viceversa, se non si utilizzano mai le runtime di Java, il consiglio migliore è quello di procedere ad una disinstallazione completa da Pannello di controllo (Installazione applicazioni o Programmi e funzionalità).
Per difendersi da tutte le minacce che interessano gli utenti di Java, suggeriamo la lettura dell’articolo “Java è sicuro? Come difendersi dalle minacce più recenti“: abbiamo spiegato i rischi derivanti dagli “zero day”, attacchi informatici che hanno inizio “nel giorno zero” ossia dal momento in cui è scoperta una falla di sicurezza in un programma specifico, e abbiamo pubblicato alcune linee guida per verificare se Java è installato e se può eseguire applet dal browser web.