Verificare se il file ISO di Windows è originale

La semplice procedura per controllare che il file ISO di Windows o di Office scaricato dalla rete sia autentico e non modificato da parte di terzi.

I file ISO del supporto d’installazione di Windows possono essere scaricati, senza problemi, dai server ufficiali Microsoft. La società di Redmond non consente la pubblicazione di tali file da parte di siti terzi. Va detto che spesso professionisti e aziende sono alla ricerca delle immagini dei supporti d’installazione di Windows ormai non più reperibili. Ad esempio, Windows 7 non è più supportato da metà gennaio 2020 e Microsoft non rilascia più alcun aggiornamento di sicurezza. Link ufficiali per il download di Windows 7, così come per le altre versioni del sistema operativo ormai uscite dal supporto esteso, non sono più reperibili.

Capita però che alcune imprese abbiano la necessità di reinstallare da zero Windows 7 o altri sistemi operativi Microsoft su macchine isolate dal resto della rete, da mantenere in funzione ancora oggi per questioni di compatibilità. Abbiamo visto che Internet Archive o Archive.org offre le ISO di Windows e di altri software.

Come fare per per verificare che il file ISO di Windows è originale e non modificato da parte di terzi? È possibile stabilire con certezza l’edizione e la versione di Windows contenuta in un’immagine in formato ISO?

Come sapere se Windows è originale analizzandone il file ISO

Il miglior modo per controllare che un file ISO sia conforme con l’originale pubblicato sui server Microsoft (o un tempo presente sui server dell’azienda di Redmond), consiste nel verificarne la firma MD5/SHA.

La firma MD5 o SHA di un file è un valore hash, ovvero una stringa alfanumerica che rappresenta in modo univoco il contenuto del file stesso. Abbiamo illustrato in un altro articolo cos’è l’hashing e perché è così importante. Per qualunque file, si può calcolare il valore hash con Windows senza usare programmi di terze parti.

Per verificare che un file ISO di Windows sia genuino e corrisponda quindi all’originale, è possibile confrontare il valore hash (MD5, SHA-1 o SHA-256) del file scaricato (e calcolabile in proprio) con il valore hash ufficiale fornito da Microsoft.

Le funzioni di hashing (SHA-1 e SHA-256 sono due di esse) permettono di generare una stringa univoca identificativa a partire da un qualunque testo. L’hashing non può essere invertito: non è possibile cioè risalire al testo che ha generato la firma. Nel caso di un file ISO, ad esempio, l’algoritmo SHA-1 produrrà sempre la stessa firma per uno stesso file che non sia stato modificato mentre, in caso di alterazioni, ne genererà una diversa.

Il rischio, infatti, è che scaricando un file ISO da una fonte non affidabile, esso sia stato modificando aggiungendo componenti malevoli e software potenzialmente dannosi.

Il database degli hash ufficiali per i file ISO di Windows

Al paragrafo precedente abbiamo capito che è semplice calcolare l’hash di qualunque file, immagini ISO di Windows comprese. Il problema, tuttavia, deriva dal fatto che può essere complicato, soprattutto per le versioni di Windows più vecchie, accedere a un elenco completo e affidabile degli hash ufficiali.

C’è un ottimo software gratuito che permette di verificare se il file ISO di Windows sia originale, autentico e non alterato da parte di terzi. Windows and Office Genuine ISO Verifier dispone di un ricco database delle firme di ogni file ISO di Windows e Office.

File ISO hash ufficiali

Per usare Windows and Office Genuine ISO Verifier, basta visitare questo sito Web quindi cliccare sul pulsante DOWNLOAD. L’archivio compresso in formato RAR può essere ad esempio estratto con un’utilità come 7-Zip o con qualsiasi altro software compatibile.

Dopo aver estratto il contenuto dell’archivio, ad esempio in C:\, accedendo alla cartella Windows and Office Genuine ISO Verifier, si deve fare semplicemente doppio clic sull’eseguibile Windows and Office Genuine ISO Verifier vXX.XX.XX.XX.exe (dove XX.XX.XX.XX è il numero di versione). Ci si troverà dinanzi a una finestra simile a quella riprodotta in figura.

Windows Office Genuine ISO Verifier

Come controllare l’hash di qualunque immagine di Windows e Office

Calcolando la firma SHA-1 dell’immagine ISO sottoposta ad analisi e paragonandola con l’archivio in suo possesso, Windows and Office Genuine ISO Verifier può accertare l’autenticità del file.

Il programma non fa altro che calcolare il valore hash del file ISO e controllare che la firma restituita sia presente del suo database di hash noti.

Per procedere, basta cliccare sul pulsante “…” a destra di Input file (full path) in modo da indicare l’immagine ISO oggetto del controllo. Per impostazione predefinita, il programma utilizza l’algoritmo SHA-1. In alternativa, tuttavia, è possibile servirsi di SHA-256 (Verify using SHA-256).

Con un clic su Verify, al termine del calcolo della firma SHA-1/SHA-256, Windows and Office Genuine ISO Verifier emette il suo giudizio e riporta in maniera chiara una serie di informazioni. Quella più importante è GENUINE/NOT GENUINE: il primo messaggio, di colore verde, conferma che il contenuto dell’immagine è noto al programma. Nel riquadro sottostante, sono riportate tutte le informazioni chiave: il nome del file (File name), rappresenta un’ulteriore conferma circa il contenuto dell’immagine ISO.

Nell’immagine sottostante, il caso di un’immagine di Windows 11 modificata. Il file ISO contiene, in questo caso, semplicemente un file in più che è utilizzato per l’installazione non presidiata di Windows 11. L’abbiamo modificato noi a partire da un’immagine ufficiale di Windows 11 ma, anche in forza di questa semplice modifica, Windows and Office Genuine ISO Verifier “suona l’allarme” e mostra il messaggio NOT GENUINE.

File ISO Windows non genuino

Controllare singoli hash di Windows e Office

Se si fosse già in possesso di un valore hash di Windows, si può fare clic sul pulsante Check SHA Hash e incollarlo nel campo SHA Hash(es). Con un clic su Verify, il programma indica se l’hash è noto e corrisponde a uno di quelli che Microsoft ha comunicato ufficialmente.

Nell’immagine in figura, ad esempio, si vede che Windows and Office Genuine ISO Verifier ha riconosciuto l’hash indicato come corrispondente a una ISO di Windows 7 Professional SP1 in italiano a 64 bit.

Controllo hash ISO Windows

Scegliendo l’opzione Check multiple SHA-1 or SHA-256, è possibile verificare più firme tutte insieme. Stessa cosa è possibile farla con i file ISO: nella finestra principale del programma basta cliccare sul piccolo pulsante in basso a sinistra (Check multiple ISO). Qui si possono inserire più percorsi facenti riferimento, ciascuno, a una singola immagine.

Per ciascuna di esse, alla termine della verifica, Windows and Office Genuine ISO Verifier mostrerà un responso.

Credit immagine in apertura: iStock.com – Jean-Luc Ichard

Ti consigliamo anche

Link copiato negli appunti