[img hspace=\'5\' width=\'150\' src=\"http://sicurezza.html.it/images/027/img003.gif\" align=\'left[/img] A causa dei numerosi buchi che un sistema operativo basato su Windows XP ha avuto nel passato la Microsoft, con l'uscita del SP2, ha voluto "
regalarci " un aggiornamento quasi esclusivamente incentrato sul miglioramento (a loro dire) della sicurezza del sistema operativo. Le dimensioni di quest'aggiornamento (nella sua versione per l'installazione, ad esempio, sulle reti e comunque ad uso principale di sviluppatori e professionisti IT) sono di 270 MByte circa <_< ; ciò è dovuto al fatto che in quest'aggiornamento sono comprese anche tutte quelle patch rilasciate dal sistema originale.
[!-- homecuthere --]
Iniziamo con lo sfatare un luogo comune al riguardo del quale si è detto e scritto molto: la routine di installazione esegue un controllo sul sistema per controllare se è installata una copia pirata, ma tale sistema è lo stesso del SP1. Ad un primo esame sembrerebbe che Microsoft non abbia aggiornato la lista di numeri seriali irregolari ma ciò non vuol dire che non abbia incorporato sistemi diversi che vadano oltre questo tipo di protezione. In effetti le modifiche portare al sistema sono così profonde che una tale evenienza non è del tutto remota.
Le modifiche implementate con l'installazione del SP2 potrebbero anche creare qualche problema di funzionamento ai programmi e ai driver già esistenti sul sistema; ad esempio quando si tenta di eseguire il lancio dell'applicazione "Nero Burning Rom", in una versione uscita precedentemente all'uscita del SP2, il sistema ci avvisa tramite una finestra che l'applicazione ha " problemi noti di compatibilità " e ci suggerisce di rivolgerci al produttore. Tale avviso è comunque disattivabile con un'apposito flag sulla stessa finestra in modo da poter provare ad utilizzare comunque l'applicazione.
Veniamo quindi alle
novità principali introdotte (o almeno che hanno tentato di introdurre
) con l'aggiornamento:
aggiornamenti del sistema operativo più semplici;
sicurezza più sotto controllo;
un firewall aggiornato rispetto a quello presente nella vecchia versione;
un browser migliore che incorpora già delle funzioni fino ad ora installabili dall'utente tramite applicazioni di terze parti;
nuove funzionalità automatiche di installazione in presenza di connessioni wireless o bluetooth.
Iniziamo in dettaglio a vedere le novità presenti proprio all'avvio del sistema; possiamo infatti constatare in cambio di immagine all'avvio che non presenta più indicazioni ne di anno ne di tipo di sistema (Home o Professional). In presenza di un'installazione su un sistema preesistente dopo la visualizzazione del nuovo " logo XP " ci si presenterà una pagina che ci permetterà di scegliere se attivare o meno il servizio di
aggiornamento automatico; diversamente dal vecchio sistema il nuovo non aggiorna soltanto le patch di sicurezza di Windows ma anche tutti i aggiornamenti per applicazioni Microsoft presenti ed installate. Inoltre (cosa che farà felici quanti ancora si collegano con la connessione dial-up) e in grado di riprendere il download in backgroud dal punto in cui lo ha interrotto, ad esempio, a causa di un riavvio o un blocco del sistema. Tale meccanismo, che autorizza l'esecuzione automatica di determinate procedure senza l'intervento dall'utente, se da un lato risulta essere interessante per diminuire la manutenzione in un ampio parco macchine dall'altro potrebbe essere sfruttato per eseguire codice dannoso, anche se lo stato attuale sembrerebbe che solo Microsoft sia in grado di utilizzarlo.
Appena il sistema avrà caricato il nostro desktop troveremo una nuova icona nella systray (l'angolo in basso a destra del nostro monitor), icona che a me piace definire come "
lo scudo crociato ": altro non è che un nuovo servizio caricato all'avvio è denominato da Microsoft "
centro sicurezza PC ". Tale icona può assumere due colorazioni, rosso e giallo. In rosso ci avvisa che era emerso un problema rilevato dal servizio, il giallo che sono stati resi disponibili nuovi aggiornamenti di sistema. Facendo doppio clic sull'icona ci si presenterà la schermata principale che mostra lo stato del livello corrente di protezione delle tre aree che il servizio controlla: firewall, aggiornamenti automatici e protezione da virus. Quando uno dei tre risulterà disattivato o il suo stato non potrà essere determinato dal servizio esso ci avviserà anche tramite un'apposita finestrella che salterà fuori all'icona (perdonate l'espressione colorita).
Il firewall, che si attiverà in automatico su tutte le connessioni verso l'esterno presenti nel PC, presenta sostanziali novità rispetto al vecchio ICF (InternetConnectionFirewall). Il problema che si presentava con il vecchio sistema, ammesso che fosse stato attivato manualmente, era dovuto ad un'ostica gestione che esso stesso aveva; attivarlo significava bloccare alcune operazioni comuni, come ad esempio la condivisione di stampanti e file in una rete, almeno che non si interveniva su impostazioni alla portata solo di utenti esperti o amministratori sistema. Il nuovo firewall si presenta adesso con interfaccia che ci aiuta nella configurazione; tale interfaccia è presente come pannello nelle proprietà delle varie connessioni e ci permette a punto di adattarlo alle nostre esigenze. Se da un lato anche questo nuovo firewall blocca alcune funzioni utili dall'altro tramite l'interfaccia presente noteremo già alcuni impostazioni attivate per l'assistenza remota, il desktop remoto e altro, e potremo inoltre attivare i servizi che ci bisogneranno in maniera semplice. Si potranno quindi aprire porte specifiche in modo da permettere l'ingresso di pacchetti non richiesti verso un eventuale server che li riceverà all'interno del nostro PC. In alternativa al sistema di apertura porte può essere attivato il sistema di autorizzazione del programma; tale sistema utilizza il principio secondo cui un programma, una volta autorizzato dall'utente, può accedere e ricevere da Internet qualunque tipo di dati su qualunque porta. L'utilizzo dei due sistemi non può avvenire in contemporanea pertanto, nel caso di utilizzo del firewall di sistema, bisogna valutare bene quale dei due sistemi può essere più proficuo utilizzare in base al tipo di collegamento che bisogna effettuare.
Non bisogna però pensare che l'introduzione di questo firewall possa farci abbandonare i sistemi di protezione comunemente utilizzati per la navigazione Internet e la connessione a reti. Sotto firewall come ZoneAlarm o Norton Personal Firewall il sistema viene protetto a livello di applicazione e per singola porta; viene cioè creata una regola secondo cui un'applicazione può ricevere dati dall'esterno attraverso una o più porte specificate. Il firewall di Windows invece funziona a livello di sistema, un po' come fa il firewall collegato tra Internet e una rete LAN; si possono sempre aprire e chiudere le porte TCP o UDP ma queste non vengono assegnate a nessun programma o servizio in particolare e pertanto possono essere utilizzate come canale d'ingresso per " problemi vari ". È inoltre inclusa nel firewall di Windows un' interfaccia a disposizione dei programmatori che permetterebbe la disabilitazione della protezione e l'inserimento di un eventuale applicazione in una lista di applicazioni a cui è permesso collegarsi con l'esterno. Nel caso di PC casalinghi decidere in modo intelligente è una responsabilità che ricade tutta sulle spalle dell'utente. La posizione di Microsoft, più o meno, potrebbe essere riassunta nella frase: " Io il firewall te lo do, se poi lo setti male oppure qualcuno riesce ad aprirlo (magari la procedura si può trovare in mail o in faide scaricato da Internet) io non intendo nessuna responsabilità ". A me non sembra corretto fornire un sistema firewall che offra ad un estraneo un modo per nascondersi e disabilitare " l'antifurto " del nostro PC solo per il fatto di essere riuscito a sfruttare " una porta " lasciata custodita e aperta. Ecco perché, anche se grandi passi avanti sono stati fatti per darci sicurezza nell'uso del nostro PC, siamo ancora lontani da quello che ha la Microsoft definirebbero " IL sistema operativo ".
Il WEB è la strada più utilizzata da tutti gli intrusi per attaccare il nostro PC. I miglioramenti presenti in
Internet Explorer si notano non subito ma nell'utilizzo comune; cominciamo con il fatto che gli avvisi di sicurezza che prima si presentavano sotto forma di finestre adesso vengono visualizzati su una nuova " barra informazioni "che appare immediatamente sopra alla pagina Web visualizzata e sotto alla barra degli strumenti. Gli script, i download automatici, e tutte le altre finestre bloccate dal nuovo sistema di blocco dei popup vengono notificati su questa nuova barra che ci permetterà di volta in volta di specificare le operazioni da compiere. Potremo quindi sbloccare la finestra nel caso di un popup e abilitare gli stessi per il sito corrente o permettere il download di un controllo ActiveXo un file o l'avvio di uno script. Io ho personalmente abbandonato l'utilizzo dell'ottima Google Toolbar in quanto il blocco popup integrato in Internet Explorer, dopo un'opportuna configurazione, si presenta come uno strumento utile nella navigazione quotidiana. Inoltre la finestra " Gestione componenti aggiuntivi " richiamabile dal menu strumenti consente di visualizzare, attivare, disattivare o disinstallare i controlli ActiveX, gli oggetti " browser help " le barra degli strumenti ed altre estensioni presenti. Grazie a questo sistema mentre prima era possibile soltanto attivare sempre considerare attendibile il " software proveniente da.... " adesso è possibile " Installare sempre il software proveniente da... " oppure " Non installare mai software proveniente da... ". Un'opportuna configurazione di questo servizio ci permetterà in poco tempo di eliminare le fastidiose finestre di conferma che si presentavano ad ogni nuova installazione; ci sarà infatti consentito di specificare uno o più autori di software a cui è sempre consentita l'installazione o l'esecuzione di programmi. Tale servizio si avvale inoltre di certificati digitali, quindi se utilizzati dai rispettivi autori potrebbero essere un sistema " sicuro " di distribuzione di aggiornamenti con un minimo intervento da parte dell'utente. Inoltre ai file scaricati da Internet, se registrati su dischi che utilizzano l'NTFS, viene impostato un identificatore che permetterà al sistema di avvisarci tramite una apposita finestra che quel file potrebbe provenire da una fonte non attendibile e quindi va trattato con cautela. Tal identificatore non viene però applicato nel caso in cui il disco di salvataggio del file sia formattato con un file system diverso.
Le connessioni in
wireless vengono adesso indicate nella systray con un'icona diversa rispetto a quella delle connessioni dirette e pertanto più riconoscibile. È stata inoltre sostituita completamente l'interfaccia di controllo; ora l'elenco delle reti disponibili è molto più chiaro e fornisce svariate informazioni sul tipo di rete; inoltre vengono supportati il PEA (Protected Extensible Authentication) e il WPA (Wi-fi Protected Access) che consente un livello di protezione superiore ai precedenti sistemi. Inoltre le connessioni
bluetooth vengono supportate in modo nativo e non è quindi necessario utilizzare software sviluppato da terze parti per la configurazione degli eventuali dispositivi collegati.
Veniamo adesso alle considerazioni e modifiche e si possono fare per aumentare le performance di un sistema con SP2 installato. Innanzitutto c'è da rilevare che, per la gioia di tanti comuni mortali, viene disattivato di default il servizio Messenger che permetteva l'apertura improvvisa e non richiesta di finestre di testo con le scritte più disparate. Tale servizio, utile su delle macchine di una rete per l'invio di messaggi tra diverse postazioni, portava infatti i comuni utenti a scatti d'ira inconsulti a causa delle numerose finestre che si potevano presentare durante la normale navigazione Internet. È già questo è una cosa buona...
Una cosa che invece m'ha personalmente disturbato è la presenza dello "scudo crociato"; tale servizio infatti potrebbe risultare alla lunga fastidioso in quanto, utilizzando firewall di terze parti o software antivirus non riconosciuti, il sistema ci avviserebbe continuamente che ci sono dei gravi problemi protezione. Per eliminare tale fastidiosa ipotesi, ed anche per recuperare qualche manciata di megabyte di RAM che risulta sempre utile, bisogna disabilitare l'avvio automatico alla partenza del sistema di questo servizio dal pannello di servizi presente negli strumenti di amministrazione raggiungibili dall'apposita icona sul pannello di controllo.
Potrebbe risultare inoltre fastidioso il funzionamento della barra informazioni in Internet Explorer che si attiverebbe ogni volta che andiamo ad effettuare il download da Internet di qualunque file; per eliminare quest'altro problema bisogna andare a sfruttare le possibilità di modifica delle impostazioni avanzate in Internet Explorer. Una apposita opzione ci permetterà di disabilitare funzionamento della barra nello specifico caso del download di file.
Per eliminare o quanto meno diminuire le possibilità che il nostro computer, s'è infettato da un worm o un virus, possa fare eccessivi danni anche ad altri PC della rete a cui siamo collegati è stata inoltre implementato un sistema di limitazione delle connessioni contemporaneamente attive; tale limitazione non ci permette di attuare più di dieci connessioni contemporanee verso l'esterno. E qui casca l'asino: l'attuale larghezza di banda presente con l'avvento delle connessioni ADSL a 640/256 kbps far sì che qualunque utente normale raggiunga molto facilmente e superi le dieci connessioni. Pertanto tale limitazione, inizialmente pensata per bloccare, ad esempio, l'invio di centinaia di messaggi contemporaneamente da un PC in effetto ad altri, risulta essere una limitazione inaccettabile. Tale limitazione può per fortuna essere facilmente bypassata tramite l'utilizzo, ad esempio, il software XpAntispy che ci permette di eliminare questa limitazione e di settare vari altri parametri di Windows.
In definitiva, a mio parere, il sistema aggiornato presenta ancora varie pecche ma è indiscutibile il fatto che sia un grande passo avanti verso il sistema che, secondo le promesse di Microsoft, dovrebbe essere il non-plus-ultra dei sistemi operativi: Longhorn, in uscita annunciata all'inizio per il 2003 e poi trasportata, secondo le previsioni di Microsoft, non prima del 2006.
Staremo a vedere...