Dopo quasi 13 anni dal suo lancio sul mercato, Windows XP verrà ritirato il prossimo 8 aprile. A partire da quella data Microsoft cesserà di fornire qualunque tipo di supporto, anche a pagamento, per quello che è indubbiamente il sistema operativo più longevo dell’intera storia del colosso di Redmond. Come comportarsi, quindi, dopo la fine del supporto di Windows XP?
Il suggerimento proposto da Microsoft, ovviamente, è quello di abbandonare Windows XP è passare ad una versione più recente di Windows: Windows 7, Windows 8 o Windows 8.1.
La società di Redmond ha anche pubblicato un sito web che fornisce informazioni aggiuntive a tutti coloro che ancora stanno utilizzando Windows XP e che desiderano valutare la migrazione verso una successiva versione di Windows.
“Se l’organizzazione non ha ancora iniziato la migrazione a un sistema operativo più moderno, è già in ritardo. Basandoci sulla nostra esperienza e su quella dei nostri clienti, possiamo dire che in media sono necessari dai 18 ai 32 mesi per completare la distribuzione di un nuovo sistema operativo all’interno di un’azienda“, osserva Microsoft nella sua disamina.
Con un trucco recentemente individuato, è possibile continuare a ricevere gli aggiornamenti per Windows XP, addirittura fino al 2019.
La procedura da applicare è illustrata nell’articolo Continuare ad usare e aggiornare Windows XP.
È però vero che molti professionisti ed aziende possono continuare a sentire la necessità di eseguire software verticali e vecchie applicazioni gestionali non pienamente compatibili con le versioni più recenti di Windows.
Il passaggio a Windows 7 o Windows 8.x potrebbe quindi non essere una soluzione praticabile, da parte di alcune imprese, nel brevissimo periodo. Ridotte disponibilità in termini di budget rallentano inevitabilmente l’acquisto di nuovo hardware ed il passaggio e versioni più recenti di Windows. Soprattutto se si considera che l’adozione del nuovo sistema operativo potrebbe dover comportare l’aggiornamento di tutti gli applicativi gestionali in uso.
È quindi altamente probabile che anche dopo l’8 aprile 2014, sia presso gli utenti privati che fra le imprese, numerose macchine Windows XP continuino a restare in servizio.
Le statistiche NetApplications aggiornate al mese di dicembre 2013 parlano chiaro: nonostante la fetta di utenti che sta ancora adoperando sistemi Windows XP stia via a via scemando, XP è sempre il secondo sistema operativo più usato in assoluto. Ancora oggi.
Al primo posto della classifica c’è Windows 7 (47,5%) ma il 29% degli utenti, su scala planetaria, starebbe ancora usando macchine basate su Windows XP.
Decisamente più distaccati, ancora, Windows 8 e Windows 8.1 (complessivamente al 10,5%) e Windows Vista al 3,6%.
In questa fase, che anticipa di esattamente tre mesi la fine del supporto di Windows XP, è però importante che fra gli utenti di questo sistema operativo si diffonda massima consapevolezza circa i rischi a cui si andrà incontro dopo l’8 aprile.
Fine del supporto per Windows XP: cosa significa?
Ogni prodotto software di Microsoft (così come quello di qualunque altra società) porta con sé una sorta di “data di scadenza”. Nel caso di Microsoft, per ogni software immesso sul mercato ne viene stabilito un “ciclo di vita”. Due le principali fasi che ciascun software attraversa: supporto mainstream e supporto extended.
Durante il periodo “mainstream”, Microsoft rilascia – a titolo gratuito – patch di sicurezza ed aggiornamenti di vario genere. In seguito, il software continua ad essere supportato nella modalità “extended”: nel corso di questa seconda fase, Microsoft si limita a distribuire aggiornamenti riguardanti problemi di sicurezza; per ottenere gli altri è necessario sottoscrivere un abbonamento a pagamento.
Windows XP era entrato nella fase di supporto “extended” già dal 2009 ed il supporto era stato da Microsoft esteso tanto da rendere il sistema operativo quasi “immortale”. Tredici anni di supporto, infatti, sono un “unicum” nella storia dell’azienda statunitense (maggiori informazioni in questa pagina).
Cosa succederà dopo l’8 aprile 2014 alle macchine di Windows XP?
Dopo l’8 aprile 2014, data del ritiro definitivo di Windows XP, in un primo tempo non succederà nulla alle macchine basate su questo sistema operativo che continueranno a funzionare come accaduto sino ad oggi.
Windows XP, tuttavia, non potrà più ritenersi un sistema operativo sicuro per navigare in Rete o comunque per scambiare dati online. Almeno dal momento in cui un qualsivoglia ricercatore, un gruppo di hacker o un team di criminali informatici non scopriranno una nuova vulnerabilità nel sistema operativo.
Tale lacuna di sicurezza, infatti, dopo l’8 aprile non verrà più sanata dai tecnici di Microsoft e continuerà a restare presente in ogni macchina basata su Windows XP.
Con l’espressione “zero day” (o 0-day) vengono comunemente definiti gli attacchi informatici che hanno inizio “nel giorno zero” ossia dal momento in cui è scoperta una falla di sicurezza in un programma specifico. Questo tipo di aggressioni, se ben studiate, possono mietere molte vittime proprio poiché il produttore dell’applicazione vulnerabile non ha evidentemente ancora avuto il tempo di rilasciare una patch correttiva.
Ecco, nel caso di Windows XP – dopo la fine del supporto “extended” – i criminali informatici potranno contare su “zero day infiniti” dal momento che nessuna vulnerabilità sarà più risolta da parte di Microsoft.
È lo stesso Tim Rains, direttore del gruppo Trustworthy Computing di Microsoft, a lanciare un nuovo messaggio d’allerta: “il mese successivo al ritiro di Windows XP, in occasione del primo “patch day”, criminali informatici di tutto il mondo inizieranno ad effettuare il reverse engineering degli aggiornamenti rilasciati per verificare se le vulnerabilità corrette nei sistemi operativi più recenti siano presenti anche in Windows XP“.
A distanza di circa un mese dal “ritiro” di Windows XP, durante il “patch day” di maggio 2014, il colosso di Redmond rilascerà aggiornamenti, ad esempio, per Windows 8.x, Windows 7 e Windows Vista, ossia per tutti i sistemi ancora supportati ma non per Windows XP. Gli aggressori potrebbero (e lo faranno certamente!) studiare le vulnerabilità risolte e controllare se le stesse siano presenti nel vecchio Windows XP.
C’è poi anche un ulteriore aspetto, secondo noi, da tenere presente: Windows Server 2003, il sistema operativo per macchine server che è stato fatto derivare dal kernel di Windows XP, sarà supportato fino a metà luglio 2015. Ciò significa che se da un lato Microsoft continuerà a rilasciare aggiornamenti per Windows Server 2003, è altamente probabile che le vulnerabilità via a via sanate in questo sistema siano egualmente presenti in Windows XP.
Per gli aggressori informatici basterà quindi studiare almeno gli aggiornamenti di sicurezza, soprattutto quelli critici, rilasciati per Windows Server 2003 per cercare di bersagliare le medesime vulnerabilità in Windows XP.
Lasciare macchine Windows XP libere di collegarsi alla rete, dopo l’8 aprile prossimo, può significare aprire le porte ad una vasta schiera di attacchi. Si parla di rischi concreti che in ambito aziendale potrebbero avere come conseguenza la sottrazione di dati sensibili, la distruzione di informazioni importanti ed ingenti perdite economiche.
Oltreoceano, le autorità statunitensi hanno già avvisato gli istituti bancari: in caso di perdite di dati, ad esempio le informazioni relative alle carte di credito della clientela, dovute alla presenza di sistemi Windows XP nell’infrastruttura aziendale, le banche saranno chiamate a risponderne in sede di giudizio. In Italia, dove l’attenzione è al momento concentrata su decine di altri problemi, non ci risulta siano state assunte misure similari. L’ufficio del Garante Privacy dispone comunque dei poteri per imporre delle linee guida a livello nazionale. Su un piatto della bilancia c’è Microsoft che ha dichiarato di non essere più disposta a supportare un sistema operativo ormai vecchio di 12 anni (un’era geologica se si parla di informatica); sull’altro piatto ci sono molti professionisti ed imprese, mal disposti ad affrontare costi per l’effettuazione di un aggiornamento che viene percepito non ancora indispensabile.
Coloro che non potessero fare a meno di macchine Windows XP dovrebbero isolarle il più possibile all’interno dell’infrastruttura aziendale e comunque disconnetterle completamente dalla rete Internet. Nel caso di applicazioni legacy, una delle soluzioni migliori consiste nell’affidarsi a soluzioni per la virtualizzazione dell’intero sistema operativo eseguendo Windows XP all’interno di un “recinto” impenetrabile dall’esterno.
Mettere in sicurezza Windows XP dopo l’8 aprile 2014
Innanzi tutto una premessa. Windows Update continuerà a funzionare anche dopo l’8 aprile 2014. Ciò significa che gli aggiornamenti per Windows XP rilasciati fino a quella data continueranno ad essere disponibili per il download e l’installazione anche in periodi successivi.
È quindi bene verificare di aver Windows XP pienamente aggiornato mediante l’installazione di tutte le patch Microsoft.
Certo è che un fastidioso problema manifestatosi da qualche tempo proprio sulle macchine Windows XP SP3 sta causando non pochi problemi anche adesso, alcuni mesi prima del “pensionamento” del sistema, agli utenti che correttamente provano ad aggiornare i propri sistemi.
Migliaia di utenti stanno infatti riscontrando l’impossibilità di applicare gli aggiornamenti veicolati attraverso Windows Update su Windows XP SP3. La diagnosi è sempre la stessa: la CPU che schizza al 100% con il processo SVCHOST.exe che “affossa” il sistema e lo rende praticamente inutilizzabile.
La soluzione, di immediata e semplice applicazione, è illustrata nel nostro articolo Windows Update, SVCHOST e CPU al 100% su Windows XP SP3.
La procedura da seguire è facile: è sufficiente disattivare il servizio “Aggiornamenti automatici”, quindi installare Internet Explorer 8 richiedendo l’applicazione di tutti gli aggiornamenti disponibili (casella Installa aggiornamenti).
Chi avesse precedentemente installato Internet Explorer 8 in Windows XP, invece, è sufficiente che – dopo aver fermato il servizio “Aggiornamenti automatici” – provveda a scaricare ed installare l’ultimo aggiornamento cumulativo per Internet Explorer 8 disponibile. Nell’articolo Windows Update, SVCHOST e CPU al 100% su Windows XP SP3 provvediamo ad aggiornare sempre i link facendoli puntare all’ultimo aggiornamento cumulativo per Internet Explorer rilasciato da Microsoft.
L’installazione di Internet Explorer 8 (ultima versione del browser Microsoft per Windows XP) è sempre indicata perché permette di scongiurare alcuni problemi di sicurezza “atavici” che contraddistinguono le precedenti major releases.
Utilizzo di un account utente limitato
Altro suggerimento essenziale per evitare di incorrere in problemi consiste nell’utilizzo di un account utente dotato di privilegi ridotti. Con Windows XP, soprattutto dopo l’8 aprile, è bene non utilizzare il sistema effettuando il login da un account amministratore.
La maggior parte dei malware e dei codici nocivi in circolazione fanno molti più danni nel momento in cui dovessero essere eseguiti nell’ambito di account Windows dotati dei poteri amministrativi.
Dalla sezione Strumenti di amministrazione, Gestione computer si dovrà cliccare su Utenti e gruppi locali quindi ancora su Utenti in modo da verificare gli account presenti sulla macchina. Ovviamente, gli account amministrativi potranno e dovranno essere lasciati lì dove sono.
Cliccando con il tasto destro del mouse si potrà invece selezionare Nuovo utente, specificare il nome per il nuovo account, indicare una password negli appositi campi quindi cliccare sul pulsante Crea disattivando la casella Cambiamento obbligatorio password all’accesso successivo.
Dopo aver fatto clic su Chiudi si noterà che l’utente appena aggiunto, è stato automaticamente inserito nel gruppo Users (gli amministratori fanno parte del gruppo Administrators). È immediato verificarlo facendo clic sulla scheda Membro di:
Già utilizzando questo account al momento del login in Windows XP si scongiureranno rischi di gravi danni sul sistema.
Aggiornamento dei software, sandboxing e prevenzione degli exploit
Aggiornamento di tutti i programmi utilizzati
Aggiornare Windows e le altre applicazioni installate sul personal computer non è una procedura oziosa, una perdita di tempo. Tutt’altro. Se si “naviga” in Rete utilizzando un sistema operativo non aggiornato, un browser obsoleto o, ancora dei plugin “superati” ci sono buone probabilità che il proprio sistema (ed i dati in esso conservati) possano diventare bersaglio di un’aggressione.
I criminali informatici sono infatti soliti utilizzare pagine web che, una volta caricate dal browser, fanno leva sulle vulnerabilità note del browser stesso, dei plugin installati (Java, Flash Player, Silverlight, QuickTime,…) e del sistema operativo per installare codice dannoso.
In Windows XP, soprattutto dopo l’8 aprile, diverrà necessità ancor più impellente quella di verificare il browser web utilizzato ed i plugin in esso presenti. Ciascun plugin dovrà essere mantenuto sempre aggiornato (il consiglio dovrebbe essere sempre applicato, anche oggi, nel caso di qualunque sistema operativo) installando la più recente versione via a via rilasciata dal produttore.
Vulnerabilità irrisolte nei vari programmi che si impiegano a cadenza giornaliera restano il “tallone d’Achille” che può esporre l’utente comune come il professionista o la grande azienda a rischi d’infezione.
Basti pensare che anche famose aziende a livello internazionale sono bersaglio di attacchi che sfruttano, molto spesso, vulnerabilità presenti sui sistemi client connessi in rete locale. Spesso un browser non aggiornato, una vecchia versione di Flash Player, una release obsoleta di Java, possono fungere da “testa di ponte” per sferrare un attacco capace di sottrarre informazioni personali od installare malware (abbiamo affrontato il problema anche nell’articolo “Rogue software: cosa sono e come si diffondono. Gli strumenti per rimuovere queste minacce“).
Anche quando Microsoft cesserà di rilasciare aggiornamenti per Windows XP, quindi, si dovrà proseguire regolarmente all’installazione degli aggiornamenti per il browser, per i plugin eventualmente installati e per tutti i programmi che si utilizzano per “comunicare” in Rete (client e-mail, software per la messaggistica istantanea,…). È altamente consigliato, inoltre, installare gli aggiornamenti disponibili per Adobe Reader, per la suite per l’ufficio (Microsoft Office, LibreOffice,…) ed in generale per qualunque altra applicazione installata sul personal computer. Può accadere, infatti, di ricevere via e-mail o di scaricare dal web un file malevolo presentato, ad esempio, come un normale documento ma che in realtà sfrutta una vulnerabilità nota del programma con cui l’oggetto può essere aperto per eseguire codice dannoso.
1) installare tutti gli aggiornamenti disponibili su Windows Update per Windows XP che saranno rilasciati fino all’8 aprile 2014.
2) verificare i plugin in uso in Internet Explorer 8 e disinstallare tutti quelli sconosciuti o non necessari.
3) abbandonare Internet Explorer 8 (Microsoft non rilascerà più, dall’8 aprile, alcun aggiornamento) ed installare Google Chrome.
4) installare in Google Chrome solamente i plugin strettamente necessari e controllare regolarmente quali oggetti si stanno utilizzando.
Perché la scelta è ricaduta sul browser Google Chrome?
Installare Google Chrome su Windows XP ed utilizzarlo dopo l’8 aprile 2014, insieme con gli altri suggerimenti, fornisce un buon livello di sicurezza durante la navigazione online.
Il browser di Google, innanzi tutto, continuerà ad essere supportato – su Windows XP – anche dopo il ritiro definitivo del sistema operativo da parte del colosso di Redmond. Come avevamo evidenziato nell’articolo Google Chrome supporterà Windows XP anche dopo l’8 aprile, la versione di Chrome per Windows, compatibile con Windows XP, continuerà ad essere aggiornata.
Gli utenti di Windows XP potranno così fidare su di un browser web aggiornato ed esente da qualunque vulnerabilità conosciuta.
Chrome, inoltre, integra tecniche di “sandboxing” che permettono di isolare eventuali codici nocivi scongiurando modifiche sul “sottostante” sistema operativo.
Chrome crea un processo a sé stante, dotato di privilegi molto limitati, per ciascuna scheda di navigazione aperta. Il programma parte dai privilegi dell’account utente che ha eseguito il browser ed elimina tutti i privilegi possibili.
Un aspetto di fondamentale importanza che viene confermato da Marco Giuliani, CEO dell’italiana SaferBytes: “in questo modo, anche se la sessione del browser venisse compromessa da qualche exploit basato su una falla al momento sconosciuta, l’eventuale malware erediterebbe solamente questi privilegi limitati“. Grazie a questo meccanismo, il malware non potrebbe compiere alcuna modifica sul sistema dell’utente. Nel caso di Chrome, inoltre, “ogni processo relativo ad una finestra di navigazione viene inserito in un “job object”, un particolare oggetto di Windows che permette di tenere ancor più sotto controllo ciò che avviene in un processo, applicando ulteriori restrizioni sia in termini di performance che in termini di sicurezza“.
Nel caso degli utenti Windows XP, Chrome può quindi configurarsi come il migliore alleato. L’apprezzatissimo Firefox, ad esempio, non supporta l’utilizzo delle sandbox dal momento che si limita ad isolare i plugin in un processo a sé stante che sicuramente protegge il browser da eventuali crash ma non costituisce un recinto invalicabile.
Di recente Mozilla è tornata a parlare del progetto Electrolysis ossia della possibile aggiunta, in Firefox, di un meccanismo di sandboxing ma, per il momento, le versioni ad oggi distribuite non integrano nulla di simile (Mozilla torna a lavorare su multiprocesso e sandboxing).
Utilizzare server DNS che evitano la consultazione di siti web nocivi
Ogniqualvolta si digita nel browser un indirizzo contenente un nome a dominio (es. www.ilsoftware.it), viene interrogato un server DNS (spesso, quello gestito dal provider Internet utilizzato per connettersi alla Rete) che controllerà, in primis, la presenza di una voce nella sua cache. Nel caso in cui la corrispondenza nome-IP venga individuata, il DNS restituisce subito l’IP corretto.
I server DNS che i fornitori della connessione Internet mettono a disposizione sono quelli più frequentemente utilizzati dalla clientela. Nulla vieta, tuttavia, di sfruttare i DNS messi a disposizione da altri provider o da specifiche società.
Perché usare server DNS alternativi su Windows XP?
L’obiettivo è quello di fidare su un maggior livello di sicurezza: alcuni server DNS, mantenuti da aziende che si occupano di sicurezza, permettono di bloccare la visualizzazione di siti web potenzialmente dannosi.
Il nostro consiglio, su Windows XP, è quindi quello di accedere alle proprietà della connessione di rete (Pannello di controllo, Connessioni di rete), cliccare con il tasto destro del mouse in corrispondenza del collegamento in uso (LAN o wireless) quindi scegliere Proprietà.
Dopo aver selezionato dall’elenco la voce Protocollo Internet (TCP/IP), si dovrà cliccare ancora su Proprietà quindi scegliere Utilizza i seguenti indirizzi server DNS.
Nel caso in cui le due caselle contenessero già degli indirizzi, si potrà rimuoverli ed inserire, gli IP seguenti:
(bloccano malware e phishing)
(bloccano malware, phishing e siti porno)
(bloccano malware, phishing, porno e siti potenzialmente non adatti)
Le tre coppie di DNS sono server messi a disposizione da Symantec che, una volta utilizzati, permettono di impedire la consultazione – mediante qualunque browser web – di qualsiasi sito web ricada nelle categorie sopra indicate.
Per automatizzare le scelte e saperne di più in materia di server DNS, consigliamo la lettura dell’articolo DNS sicuri con Angel DNS: protezione contro malware e siti sconvenienti.
Mantenere sempre aggiornati i plugin per il browser
Come abbiamo evidenziato al quarto punto dei suggerimenti precedentemente indicati, mantenere sempre aggiornati i plugin utilizzati nel browser web significa proteggersi da una buona parte delle aggressioni.
La capacità di un software di supportare i plugin è generalmente un’ottima caratteristica. C’è però un punto importante che non va sottovalutato. Sempre più frequentemente gli aggressori pubblicano sul web delle pagine web che ospitano contenuti “maligni” capaci di far leva sulle vulnerabilità conosciute presenti nelle più vecchie versioni dei plugin e dei software installati sui sistemi. Visitando una pagina web malevola utilizzando un browser che impiega, a sua volta, una versione “datata” di un certo plugin, è possibile che sul proprio sistema venga eseguito del codice nocivo aprendo così la porta ad ogni tipo di infezione.
Per proteggersi da questo tipo di attacchi, su Windows XP, dopo aver installato Chrome, il consiglio è quello di porre massima attenzione sulle versioni dei plugin caricati.
Nel nostro articolo Navigazione sicura e protezione del browser: controllare, aggiornare e rimuovere i plugin, abbiamo illustrato una serie di procedure che permettono di capire quali plugin devono essere aggiornati e quali possono essere eliminati.
Google Chrome, tra l’altro, utilizza delle speciali versioni dei plugin Adobe Flash Player ed Adobe Reader: il browser del colosso di Mountain View, grazie alla collaborazione instauratasi con Adobe, è in grado di mostrare creatività in formato Flash (ancora oggi molto diffuse sul web) ed aprire documenti PDF senza appoggiarsi ad alcun componente esterno.
È certamente una buona cosa perché i plugin integrati direttamente in Chrome che consentono di visualizzare contenuti Flash e documenti PDF si aggiornano insieme con il browser.
Nel momento in cui dovesse essere rilevato un problema di sicurezza, anche nei plugin Flash/PDF usati da Chrome, Google rilascia un aggiornamento dell’intero browser che viene automaticamente installato (controllare di usare sempre l’ultima release del browser cliccando su Informazioni su Google Chrome).
Controllare che le versioni dei software in uso sono le più recenti
Per aiutare gli utenti di Windows XP nell’individuazione dei programmi non aggiornati che possono rappresentare un rischio, c’è Secunia PSI, applicazione gratuita capace di monitorare costantemente il sistema, rilevare l’installazione di nuovi software e segnalare i programmi osboleti o da adeguare all’ultima release.
Nell’articolo Aggiornare Windows e le altre applicazioni mettendo in sicurezza il sistema: Secunia PSI 3.0 è possibile trovare tutte le indicazioni sull’utilizzo del programma di Secunia.
Oltre a Secunia PSI, l’azienda danese mette a disposizione anche una vasta schiera di software che si occupano di effettuare l’inventario all’interno di una rete locale aziendale e di informare l’amministratore sugli interventi da applicare.
Eseguire le applicazioni in un “recinto sicuro” con Sandboxie
Invincea è la società che di recente ha messo a segno l’acquisizione di Sandboxie, eccellente software che permette di avviare qualunque applicazione in maniera che questa resti isolata dal sistema. Quando si avvia un’applicazione ricorrendo a Sandboxie, questa viene isolata dal resto del sistema e non ha la possibilità di alterare la configurazione del personal computer in uso. L’idea alla base delle tecnologie di “sandboxing” consiste nel rendere molto più complicata, per eventuali aggressori, l’esecuzione di codice nocivo sul sistema dell’utente.
L’utilizzo di un meccanismo di sandboxing consente di elevare, e di molto, il livello di sicurezza su Windows XP.
Non è dato sapere come Invincea vorrà riutilizzare le tecnologie di protezione sviluppate dall’autore di Sandboxie ma è chiaro che, molto probabilmente, la società vorrà usare il software (distribuito sostanzialmente a titolo gratuito) per pubblicizzare le sue soluzioni.
Invincea, infatti, propone FreeSpace, software indicato per le aziende che permette di proteggere quei sistemi Windows XP che continueranno ad essere usati dopo l’8 aprile (vedere questo articolo).
Sandboxie, tuttavia, dovrebbe restare un prodotto praticamente a costo zero. Il software viene ancor’oggi distribuito sotto forma di versione di prova che però può essere adoperata per un periodo di tempo illimitato, senza restrizioni, accettando la periodica comparsa di una finestra di avviso che invita a versare la quota di registrazione (vedere anche l’articolo Sandboxie acquisito da Invincea, quale futuro per uno dei software più apprezzati?).
L’installazione di Sandboxie, su Windows XP, è avviabile semplicemente facendo doppio clic sul file scaricabile da questa scheda. Si consiglia di optare per l’interfaccia in italiano.
Il programma richiederà di installare sul sistema in uso un driver che costituisce il cuore dell’applicazione (finestra Installazione dei driver). Come ricordato in fase d’installazione del programma, è caldamente consigliato disabilitare temporaneamente eventuali software, presenti sul sistema, che abbiano come obiettivo quello di monitorare il comportamento delle applicazioni.
Una finestra “ad hoc” (Compatibilità con i programmi) permetterà di predisporre il programma affinché sia compatibile con alcuni programmi che lavorano a più basso livello e che, diversamente, potrebbero causare problemi.
Una procedura guidata mostrerà quindi le funzionalità di base di Sandboxie iniziando con un semplice esempio: l’apertura del browser all’interno della sandbox.
La finestra Sandboxie control, richiamabile in qualunque momento anche dal menù Start, Programmi di Windows, elenca tutti i processi in esecuzione all’interno della “sandbox”.
Come ricorda la finestra di presentazione del programma, visualizzata al primo avvio dell’applicazione, la particolare area isolata – dall’interno della quale si può eseguire qualuque software – è detta “area virtuale“.
All’interno della barra del titolo di ciascun programma eseguito nel contesto della “sandbox”, Sandboxie aggiunge il simbolo [#].
Per impostazione predefinita, Sandboxie crea automaticamente una “sandbox” di default: il suo nome è DefaultBox (è possibile verificarlo nel menù Area virtuale). Il software lascia comunque piena libertà, all’utente, di aggiungere successivamente, qualora lo si ritenesse opportuno, nuove sandbox. Il contenuto delle varie sandbox viene conservato, di default, in una cartella denominata c:\sandbox\nome_utente\nome_sandbox
(menù Area virtuale, Modifica percorso delle aree virtuali).
Qualunque software è avviabile nell'”area virtuale” di Sandboxie facendo clic con il tasto destro sul suo eseguibile o sul suo collegamento quindi scegliendo la voce Avvia nell’area virtuale.
È possibile giungere al medesimo risultato cliccando con il tasto destro del mouse sull’icona di Sandboxie, visualizzata nell’area della traybar (generalmente in basso a destra, accanto all’orologio di sistema), quindi facendo clic su DefaultBox ed infine su Avvia un programma. Nel caso in cui si siano create più “sandbox” differenti, in luogo di DefaultBox, è sufficiente selezionare quella desiderata.
Com’è possibile notare, Sandboxie mette a disposizione delle voci che permettono di eseguire, nel contesto della sandbox, il browser web, il client di posta elettronica, Esplora risorse od un qualunque programma presente nel menù Start di Windows.
L’icona di Sandboxie visualizzata nella traybar può assumere due diversi aspetti. Nel primo caso, quando è completamente di colore giallo, significa che non ci sono applicazioni al momento in esecuzione all’interno delle “sandbox”; viceversa, se l’icona si arricchisce di alcuni punti di colore rosso, significa che Sandboxie sta gestendo l’esecuzione di uno o più programmi.
Avviando un qualunque programma nell’area virtuale di Sandboxie, si noteranno, nella finestra principale – oltre ad un riferimento al file eseguibile del software stesso – anche tre ulteriori elementi SandboxieRpcSs.exe
, SandboxieDcomLaunch.exe
e SandboxieCrypto.exe
. I file sono correlati al funzionamento di Sandboxie e non richiedono alcun intervento da parte dell’utente.
Eseguendo il browser web all’interno della “sandbox”, ogniqualvolta si completa il download di un file, Sandboxie mostra una finestra di dialogo simile alla seguente:
Cosa significa “recupero”? Come precedentemente anticipato, Sandboxie memorizza tutti i file scaricati mediante un’istanza “sandboxed” del browser all’interno della sua area protetta.
Qualunque nuovo elemento prelevato, quindi, non sarà immediatamente spostato sul sistema “reale” ma continuerà a risiedere nella “sandbox”. Attraverso la finestra Recupero immediato, si può indicare a Sandboxie se si desidera che il file prelevato venga subito salvato sul sistema, nella cartella specificata oppure in una posizione diversa. Cliccando su Chiudi, il file indicato continuerà invece a restare nella “sandbox”.
Per maggiore sicurezza, in modo da scongiurare la copia di file potenzialmente nocivi sul sistema, è possibile disattivare la funzionalità di ripristino immediato: è sufficiente accedere al menù Area virtuale, cliccare sul nome della “sandbox” in uso (ad esempio DefaultBox), scegliere Impostazioni dell’area virtuale, fare doppio clic sulla voce Recupero dei file (menù di sinistra) quindi su Recupero immediato. Disattivando la casella Abilita recupero immediato tutti gli oggetti scaricati utilizzando il browser resteranno nella “sandbox”.
Per recuperare un file dall’area virtuale (“sandbox”) e copiarlo sul sistema in uso è possibile accedere alla finestra principale di Sandboxie e cliccare sul menù Visualizza, File e cartelle.
Cliccando con il tasto destro del mouse sui file d’interesse, quindi ricorrendo ai comandi Salva nella stessa cartella o Salva in un’altra cartella, sarà possibile “estrarre” gli elementi indicati dall'”area virtuale” di Sandboxie e memorizzarli, rispettivamente, nella medesima directory oppure in una cartella differente.
In alternativa, cliccando con il tasto destro del mouse sull’icona di Sandboxie nella traybar, sulla “sandbox” in uso, quindi su Recupero veloce, il programma mostrerà una schermata che riassume tutti i file e le cartelle create nell’area virtuale protetta e che possono essere ripristinati sul sistema “reale”.
Il comando Elimina contenuto, anch’esso presente nel menù che compare cliccando con il tasto destro del mouse sull’icona di Sandboxie, quindi sulla “sandbox” in uso, consente di rimuovere rapidamente tutto il contenuto dell’area virtuale protetta.
Va rammentato che, con l’impostazione di default, le modifiche applicate – ad esempio – all’elenco dei siti web preferiti saranno perdute allorquando si esca dalla sandbox.
Nella configurazione predefinita, inoltre, qualunque aggiornamento applicato a Firefox od ai plugin in uso durante l’esecuzione in un’area virtuale, avrà efficacia solo all’interno della sandbox. Quando l’area virtuale viene cancellata, tutti gli aggiornamenti saranno persi. Per risolvere il problema è necessario accertarsi di eseguire Firefox all’infuori della sandbox, nella maniera tradizionale, allorquando si dovesse rilevare la disponibilità di un qualunque aggiornamento. Una volta applicati gli “update”, si potrà nuovamente riavviare Firefox utilizzando Sandboxie.
Le altre opzioni presenti nella finestra Impostazioni dell’area virtuale consentono di personalizzare in profondità il comportamento di Sandboxie.
Utilizzare Malwarebytes Anti-Exploit
Col termine “exploit” si definisce quel particolare codice che – sfruttando una vulnerabilità software irrisolta (perché non sistemata installando gli ultimi aggiornamenti o perché non ancora sanata dal produttore dell’applicazione) – permette di effettuare operazioni potenzialmente dannose all’insaputa dell’utente, acquisire privilegi più elevati oppure provocare attacchi DoS (Denial of Service).
Gli exploit che si concentrano su falle “zero day” sono quindi i più pericolosi perché prendono di mira falle di sicurezza che non sono immediatamente risolvibili (generalmente attraverso l’installazione delle patch) da parte degli utenti.
Sarà esattamente il caso di Windows XP, a partire dal prossimo 8 aprile.
Come abbiamo spiegato nell’articolo Proteggersi dai nuovi malware e dagli attacchi con Anti-Exploit, con il rilascio delle più recenti versioni di Windows, sono state introdotte nuove tecnologie utili per bloccare sul nascere quegli attacchi exploit che sfruttano lacune di sicurezza ancora irrisolte.
“La prevenzione di attacchi provenienti da exploit si articola fondamentalmente su due livelli: una prevenzione affinché l’eventuale bug sfruttato dall’exploit non possa essere sfruttato e la prevenzione dell’eventuale payload che il codice dell’exploit si porta con sé“, osserva Marco Giuliani. “Entrambi gli approcci sono utili per arginare il problema degli exploit, ma mentre il primo deve far riferimento ad alcune funzionalità del sistema operativo, il secondo approccio può essere implementato indipendentemente dal sistema operativo. Su Windows XP manca, su tutti, una componente fondamentale che possa permettere il corretto funzionamento del primo approccio: l’Address Space Layout Randomization, o ASLR. L’assenza di ASLR rende letteralmente vano qualsiasi tentativo di prevenire eventuali exploit a livello strutturale“.
Per questo motivo, dal momento che Windows XP integra solamente il meccanismo di protezione DEP (Data Execution Prevention), (vedere Proteggersi dai nuovi malware e dagli attacchi con Anti-Exploit), il consiglio è quello di utilizzare un’utilissima applicazione come MalwareBytes Anti-Exploit.
“MalwareBytes Anti-Exploit si pone invece come obiettivo quello di intercettare e prevenire eventuali exploit tracciandone il loro profilo comportamentale, cioè monitorando eventuali azioni nocive provenienti da codice potenzialmente non autorizzato“, evidenzia ancora Giuliani. “Grazie a questo approccio, MalwareBytes Anti-Exploit si propone come una valida alternativa per Windows XP per tentare di arginare attacchi provenienti da exploit 0-day che potrebbero sorgere dopo che Microsoft non rilascerà più alcun aggiornamento“.
Una guida all’uso di MalwareBytes Anti-Exploit, insieme con i link per il download del prodotto, sono pubblicati nell’articolo Proteggersi dai nuovi malware e dagli attacchi con Anti-Exploit.
Isolare il più possibile le macchine Windows XP
Il consiglio migliore, comunque, per evitare di correre rischi soprattutto in ambito aziendale, consiste nell’isolare le macchine Windows XP.
Se collegate alla rete locale, è preferibile che queste non siano in grado di uscire su Internet ma eventualmente di accedere solo alla LAN.
Questo tipo di limitazione può essere imposta a livello del router o del firewall aziendale.
Importantissimo, infine, che le macchine Windows XP non siano mai utilizzate per collegarsi direttamente alla rete Internet (ad esempio usando un semplice modem ADSL). Si dovrebbe quindi verificare l’utilizzo di un router o di un modem-router che integri funzionalità firewall.
In questo modo, le porte TCP ed UDP delle macchine Windows XP non saranno mai direttamente esposte sulla Rete.