Un software non nasce mai perfetto. Per quanti sforzi vengano compiuti e per quante risorse vengano destinate nelle fasi di test precedenti al lancio di un prodotto software sul mercato, sviste, incertezze, veri e propri bug, problemi di vario genere, vulnerabilità di sicurezza fanno la loro comparsa, purtroppo, solo dopo l’installazione della versione finale, sui personal computer degli utenti. Microsoft ci ha ormai abituato, quindi, al rilascio periodico di patch ed aggiornamenti volti a risolvere i problemi scoperti di volta in volta all’interno dei propri pacchetti. La nota dolente è che spesso gli utenti (e a volte anche gli amministratori di sistema) rimandano l’installazione delle patch di sicurezza messe a disposizione dalla casa di Redmond lasciando così i propri sistemi porgere il fianco a virus e malware, sempre più diffusi in Rete. Due esempi recenti? L’infezione di milioni di sistemi da parte del virus Sasser in seguito alla mancata installazione della patch MS04-011 o dal virus Wallon, nel caso in cui si sia dimenticato di applicare la patch cumulativa MS04-004 per Internet Explorer.
I Service Pack, come evidenziato in altri nostri articoli, raccolgono la totalità degli aggiornamenti rilasciati, nel corso del tempo, da parte di Microsoft e spesso introducono anche alcune nuove funzionalità.
Mentre il primo Service Pack per Windows XP (reso disponibile nel mese di Agosto 2002) racchiudeva in sé essenzialmente le patch e gli aggiornamenti che la software house di Bill Gates aveva rilasciato dal momento del lancio del sistema operativo (Ottobre 2001), il Service Pack 2 (del quale abbiamo provato per voi, in anticipo, la versione Release Candidate 2) si propone come un aggiornamento molto più corposo ed articolato.
La prima versione beta del secondo Service Pack per Windows XP è stata inviata ai beta tester Microsoft a fine 2003. Sin dalle prime release, si è subito ben compreso quali fossero gli intenti del nuovo pacchetto di aggiornamento.
Le principali innovazioni che verranno introdotte con il Service Pack 2 sono infatti suddivisibili essenzialmente in cinque aree, gran parte delle quali riguardano la tematica “sicurezza”: Microsoft ha finalmente deciso di dare una risposta concreta alla diffusione di virus, di attacchi remoti, di componenti pericolosi (malware). Quanto siano efficaci le soluzioni integrate all’interno del Service Pack 2, lo avremo modo di verificare ben presto, alla prova dei fatti. Per il momento ci limitiamo a registrare una netta inversione di rotta da parte di Microsoft che, con lo scopo di rendere i sistemi basati su Windows XP decisamente più sicuri, non solo migliora l’architettura di base ma sensibilizza gli utenti ai problemi di sicurezza. Un traguardo non da poco considerando che la presenza di un antivirus aggiornato, di un firewall ben configurato e l’applicazione regolare delle patch di sicurezza consentono di evitare di incappare nella quasi totalità dei problemi.
Protezione della rete. Il cambiamento più radicale apportato dal Service Pack 2 riguarda il firewall integrato in Windows XP: ICF (Internet Connection Firewall), presente in tutte le versioni del sistema operativo, viene infatti ora mandato in pensione e sostituito con il nuovo Windows Firewall. ICF era sinora passato pressoché inosservato alla maggioranza degli utenti che hanno preferito in molti casi rivolgersi a “personal firewall” sviluppati da terze parti, decisamente più completi e semplici da configurare. Il nuovo firewall, invece, fa subito mostra di sé inserendo la propria icona tra quelle presenti nel Pannello di controllo e risulta accessibile anche cliccando con il tasto destro del mouse sull’icona (associata alle varie connessioni in corso) posizionata nella traybar. L’interfaccia è stata ampiamente ottimizzata: la scheda Generale consente semplicemente di attivare o disattivare il firewall mentre in Eccezioni è possibile indicare programmi e servizi che devono avere libero accesso (esclusi dal controllo del firewall). Gli utenti più evoluti possono personalizzare le “eccezioni” aggiungendo, per esempio, singole porte.
Similmente al comportamento di gran parte dei migliori “personal firewall”, anche Windows Firewall informa ora l’utente sui tentativi di accesso alla Rete da parte di una qualsiasi delle applicazioni installate sul personal computer. Per ciascun programma che tenta di comunicare in Rete, Windows Firewall visualizza una finestra di allerta richiedendo se si desidera che il flusso di dati in uscita debba essere consentito oppure preventivamente bloccato.
Windows Firewall si basa sul concetto di eccezione. Le eccezioni ricalcano essenzialmente le regole firewall (rules) degli altri software personal firewall. Grazie alle eccezioni è infatti possibile stabilire quali applicazioni debbono avere accesso alla Rete e, soprattutto, su quali porte. Per ciascun programma che tenta di comunicare in Rete, Windows Firewall visualizza una finestra di allerta richiedendo se si desidera che il flusso di dati in uscita debba essere consentito oppure preventivamente bloccato.
La scheda Eccezioni consente, appunto, di verificare a quali software si è dato il via libera per comunicare in Rete oltre alla lista delle eventuali porte TCP/UDP che possono essere utilizzate. E’ tacito che l’utente dovrà riporre grande attenzione quando crea una nuova eccezione (ossia quando concede ad un’applicazione il permesso di scambiare dati in Rete). E’ buona regola controllare periodicamente la lista delle eccezioni che risultano impostate e comunque, prima di consentire libero accesso ad un’applicazione, di verificare più volte la sua identità controllando che non si tratti di programmi sospetti.
Il nuovo Windows Firewall porta con sé un indubbio vantaggio: quello di rendere finalmente più sicuri anche i sistemi degli utenti che da poco si sono avvicinati al personal computer (il bersaglio preferito di virus e malware: utilizzati come mezzo per una loro rapida diffusione). Nonostante si tratti di uno strumento certamente più completo, flessibile ed efficace rispetto al vecchio ICF, manca ancora qualcosa. E gli utenti più evoluti non ne saranno probabilmente entusiasti.
Uno dei “segreti” per rendere il sistema meno vulnerabile ed offrire meno “punti di appiglio” a chi cerca, dall’esterno, di far danni (virus, malware o malintenzionati), consiste proprio nell’impostare regole firewall che siano più “strette” possibili. E’ assolutamente sconsigliabile, infatti, dare ampie possibilità di comunicazione, in entrata ed in uscita, alle varie applicazioni installate: è sempre bene ridurle al minimo indispensabile. E’ questa una delle lacune di Windows Firewall: o si dà ampie possibilità di comunicazione ad una applicazione o le si negano. Non è possibile, al momento, configurare in profondità protocolli e porte sulle quali una singola applicazione può operare.
In seguito all’esperienza maturata con la repentina diffusione del worm MSBlaster e di virus similari, sono stati migliorati il servizio RPC e l’infrastruttura DCOM in modo tale da renderli più solidi e meno sensibili ad attacchi esterni. Il servizio Messenger (Pannello di controllo, Strumenti di amministrazione, Servizi), inoltre, utilizzato da “spammer” di tutto il mondo per inviare messaggi non richiesti a sistemi Windows 2000/XP, risulta ora disattivato in modo predefinito (per evitare di veder comparire, durante la “navigazione” in Rete, finestre di dialogo pubblicizzanti, in genere, siti pornografici, servizi di dubbia utilità, casinò online e così via, si era costretti – sinora – a disabilitare manualmente il servizio).
Sono stati aggiornati Windows Media Player 9 e Windows Messenger, risolvendo tutti i problemi di sicurezza al momento conosciuti.
Memoria, posta elettronica e navigazione
Protezione della memoria. Per ricusare attacchi basati su vulnerabilità di tipo buffer overrun (alcuni worm sfruttano tali vulnerabilità per copiare eccessivi quantitativi di dati nelle aree di memoria del computer), Microsoft ha provveduto a ricompilare il codice dei componenti-chiave di Windows XP. Le funzionalità di Data Execution Prevention, inoltre, consistono nel supporto del meccanismo di protezione della memoria a livello hardware, attualmente implementato nei processori AMD Athlon 64, AMD Opteron e Intel Itanium. Gli altri processori “tradizionali” (per esempio, il Pentium 4 o gli Athlon a 32 bit) – che non includono la speciale funzione NX (No eXecute) – debbono fidare esclusivamente sulla protezione implementata a livello software. Tale tecnica (denominata “sandboxing”) non è, ovviamente, efficace così come quella in hardware.
Gestione della posta elettronica. Nel tentativo di ridurre drasticamente le infezioni da virus diffusi via posta elettronica o comunque il prelievo di codice potenzialmente nocivo, Outlook Express è stato ampiamente migliorato. Oltre alla risoluzione di numerosi bug e vulnerabilità, il client e-mail di Microsoft si propone come uno strumento più solido e funzionale: in primo luogo, il programma evita il download di risorse (es. immagini) da server remoti spesso linkati nelle e-mail che si ricevono. In questo modo è possibile prevenire molte tipologie di attacchi virus (come il famoso Sobig.F, diffusosi ampiamente la scorsa estate) nonché l’azione di spammer di tutto il mondo, i quali, diversamente, proprio ricorrendo all’utilizzo di piccole immagini (chiamate anche “web bug”) “nascoste” nei messaggi, sono in grado di identificare la vostra casella di posta come un indirizzo e-mail valido, facile bersaglio per l’invio di comunicazioni non richieste.
Sulla scia di quanto già fatto in Outlook 2003, è stato aggiunto il blocco degli allegati potenzialmente pericolosi: il comportamento di Outlook Express risulterà del tutto simile a quello del “fratello maggiore”.
Il client di posta di Microsoft, quindi, impedirà la visualizzazione di immagini e di altri link remoti presenti nei messaggi in arrivo (è comunque possibile accedervi, qualora l’e-mail provenisse da un mittente fidato, cliccando sull’apposito avviso).
Per quanto riguarda gli allegati, Outlook Express inibirà automaticamente l’apertura di quelli potenzialmente ostili isolandoli in un’area protetta in modo che non possano causare danni al resto del sistema. La tecnologia che sovrintende a questa caratteristica è denominata Attachment Execution Services: si tratta di una API pubblica che può essere liberamente utilizzata da parte degli sviluppatori.
E’ possibile inoltre scegliere se si desidera utilizzare, per la visualizzazione dei messaggi di posta, la libreria MSHTML (che ha mostrato diverse possibili vulnerabilità) o quella per la gestione dei file in formato RTF, certamente più sicura.
Navigazione più sicura. Anche Internet Explorer è stato migliorato con lo scopo di difendere il personal computer da componenti potenzialmente nocivi, spesso prelevati all’insaputa dell’utente durante la “navigazione” in Rete. In particolare, adesso viene automaticamente interrotta l’esecuzione, sul computer locale, di componenti attivi e script, presenti un sempre maggior numero di pagine web. Qualora ci si imbatta di una pagina web facente uso di un controllo ActiveX, Internet Explorer visualizzerà, nella parte superiore della finestra, un messaggio che illustra la situazione: cliccando su di esso si potranno ottenere maggiori informazioni sull’ActiveX ed eventualmente acconsentire alla sua installazione sul personal computer. In tal caso, la pagina verrà ricaricata e verrà mostrata una finestra di dialogo con la quale Internet Explorer richiede conferma circa l’installazione dell’ActiveX.
Una funzione della quale si sentiva la mancanza nelle precedenti versioni del browser di casa Microsoft è la possibilità di ottenere la lista completa delle aggiunte installate sul proprio personal computer, durante la “navigazione” in Rete. Nella nuova finestra Add-ons manager (accessibile dal menù Strumenti di Internet Explorer), vengono ora elencati tutti i controlli ActiveX scaricati ed installati sul sistema oltre, ad esempio, ai vari oggetti BHO. Gli oggetti BHO consentono, a particolari applicazioni che ne fanno uso, di interfacciarsi con Internet Explorer controllandone il comportamento ed aggiungendo nuove funzionalità. Tali oggetti (poiché non richiedono alcuna autorizzazione per essere installati) sono spesso impiegati da applicazioni maligne per raccogliere informazioni sulle vostre abitudini e per rubare dati che riguardano l’utente. La finestra Gestione componenti aggiuntivi consente, quindi, finalmente, di verificare le aggiunte per Internet Explorer che risultano presenti e, soprattutto, di eliminare (oppure disattivare temporaneamente) con semplicità quelle non necessarie od, addirittura, pericolose.
Si tratta di una funzionalità particolarmente utile che consente, ad esempio, di “sradicare” dal proprio sistema eventuali add-on per il browser facenti capo a spyware o applicativi malware, indebitamente prelevati dalla Rete.
Infine, il Service Pack 2 allinea Internet Explorer ai browser “concorrenti” (Mozilla Firefox in primis) per quanto riguarda l’abilità in fase di riconoscimento e “neutralizzazione” delle finestre a comparsa (pop-up). Viene quindi colmata una lacuna presente da ormai da molto tempo in Internet Explorer: il browser è in grado di impedire la visualizzazione di gran parte dei pop-up consentendo comunque di stilare una lista di siti web comunque autorizzati a proporli (opzione da attivare, oltre che per i siti web “fidati”, anche per i servizi web – come quello per la gestione del proprio conto corrente bancario, per la consultazione di quotazioni borsistiche e finanziarie,… – che spesso ne fanno uso). La regolazione delle impostazioni del “pop-up blocker” è effettuabile facendo riferimento al menù Strumenti del browser oppure cliccando sull’icona visualizzata nella barra di stato.
Centro Sicurezza PC e altre innovazioni
Gestione e manutenzione del personal computer. Fiore all’occhiello del Service Pack 2 per Windows XP è il nuovo Centro Sicurezza PC. Si tratta di un’area che raccoglie le informazioni principali sullo stato del sistema e che ricorda molto da vicino l’omonima finestra integrata in McAfee InternetSecuritySuite 2004. La filosofia di base è la stessa: mentre McAfee visualizza nel suo Centro Sicurezza PC il livello di sicurezza garantito dalla configurazione attuale dei suoi prodotti (antivirus, firewall, privacy service e servizio antispam), la versione di Microsoft si propone di offrire informazioni e suggerimenti essenziali per la messa in sicurezza del sistema agendo sul proprio firewall, provvedendo all’applicazione degli ultimi aggiornamenti rilasciati, aggiornando il software antivirus in uso. Il Centro Sicurezza PC è accessibile dal Pannello di controllo facendo doppio clic sull’omonima icona.
Dopo l’installazione del Service Pack 2, Windows XP richiederà immediatamente se attivare o meno il download automatico degli aggiornamenti. Rispondendo in modo affermativo si sarà certi di non dimenticare l’installazione di patch importanti. Gli “aggiornamenti automatici” sono comunque liberamente personalizzabili (è possibile per esempio essere informati circa l’esistenza di un aggiornamento prima di provvedere al download ed all’installazione). Una delle più interessanti novità è il protocollo Bits 2.0 (Background Intelligent Transfer Service) che si propone come la soluzione definitiva per la gestione della procedura di prelievo degli aggiornamenti. Oltre alla possibilità di pianificare gli aggiornamenti negli orari che più ci aggradano, Bits permette di ottimizzare l’utilizzo della banda utilizzando un duplice approccio: in primo luogo viene supportato il download incrementale (vengono scaricate solo le porzioni di codice strettamente necessarie per l’aggiornamento), poi è possibile stabilire il quantitativo di banda che può essere destinato all’operazione.
La sezione Aggiornamenti automatici del Centro Sicurezza PC permette proprio di configurare il servizio volto all’applicazione degli aggiornamenti per Windows XP.
E’ stata inoltre modificata la finestra mostrata all’atto dello spegnimento del personal computer: da qui è possibile scegliere se installare gli aggiornamenti prima di spegnere il sistema.
Oltre alla possibilità di accedere alla configurazione del firewall, Centro Sicurezza PC promette di interfacciarsi con gli antivirus sviluppati dalla maggior parte dei produttori (i pacchetti supportati dovrebbero essere quelli sviluppati dalle software house elencati in questa pagina). Nei test che abbiamo condotto, Centro Sicurezza PC è stato in grado di rilevare tutti i principali software antivirus commerciali. Non solo. E’ stato correttamente riconosciuto anche il pacchetto gratuito (per uso personale) AVG 6.0 di Grisoft (prelevabile da questa pagina nella nostra Area Download). Affinché un software antivirus possa essere riconosciuto da Windows XP, è bene, dopo la sua installazione, provvedere immediatamente ad aggiornare le sue firme ed, eventualmente, a riavviare il sistema.
Centro Sicurezza PC dovrebbe riconoscere anche la presenza (o la successiva installazione sul sistema) di un software firewall sviluppato da terze parti. Purtroppo, almeno nella versione RC2 – non ancora definitiva -, che abbiamo provato Controllo Sicurezza PC mostra ancora qualche lacuna in tal senso: non è stato ad esempio di rilevare la presenza dell’ottimo Outpost Firewall, nemmeno nell’ultima versione 2.1 (build 314).
Nella parte più bassa della finestra di Controllo Sicurezza PC è presente anche un link per accedere alle opzioni di configurazione di Internet Explorer ed Outlook Express. Avremmo particolarmente apprezzato se fosse stata offerta l’opportunità di accedere anche alle impostazioni di browser e client di posta “alternativi”.
Il Service Pack 2, inoltre, aggiorna Windows Installer alla versione 3.0: ciò si traduce principalmente nell’introduzione di alcune innovazioni tese ad una migliore gestione degli aggiornamenti dei software installati. Gli aggiornamenti per Windows, ad esempio, vengono raggruppati tutti insieme nella finestra Installazione applicazioni del Pannello di controllo invece che in modo disordinato, così come accade tutt’oggi.
Altre caratteristiche. Il Service Pack 2 introduce in Windows XP estende ampiamente il supporto per le reti wireless: la nuova procedura guidata ottimizza la creazione di reti senza fili. Debutta ufficialmente anche il supporto per le periferiche facenti uso della tecnologia Bluetooth.
Per quanto riguarda le misure antipirateria incluse nel Service Pack, si sono inizialmente susseguite, nei mesi scorsi, dichiarazioni che lasciavano intendere come il pacchetto di aggiornamento potesse essere distribuito senza alcuna protezione. L’obiettivo consisteva nel rendere possibile l’installazione dell’aggiornamento anche su copie irregolari del sistema operativo: l’intento sarebbe stato quello di impedire che sistemi “piratati” potessero essere usati come testa di ponte per sferrare attacchi su pc “regolari” o per la diffusione di virus. In realtà Microsoft ha successivamente precisato che il Service Pack 2 (così come accaduto per la prima versione) integrerà un controllo basato sul numero di serie (product key) della copia di Windows XP installata. Qualora tale codice dovesse essere presente nella “black list” di Microsoft, verrebbe impedita l’installazione del pacchetto di aggiornamento.