Il Service pack 2 di Windows Xp

27 agosto 2004Un software non nasce mai perfetto. Per quanti sforzi vengano compiuti e per
quante risorse vengano destinate nelle fasi di test precedenti al lancio di un
prodotto software sul mercato, sviste, incertezze, veri e propri bug, problemi
di vario genere, vulnerabilità di sicurezza fanno la loro
comparsa, purtroppo, solo dopo l’installazione della versione finale,
sui personal computer degli utenti. Microsoft ci ha ormai abituato, quindi, al
rilascio periodico di patch ed aggiornamenti volti a risolvere i problemi
scoperti di volta in volta all’interno dei propri pacchetti. La nota dolente è
che spesso gli utenti (e a volte anche gli amministratori di sistema) rimandano
l’installazione delle patch di sicurezza lasciando così i propri sistemi porgere
il fianco a virus e malware, sempre più diffusi in Rete. Due esempi recenti?
L’infezione di milioni di sistemi da parte del virus Sasser in seguito alla
mancata installazione della patch MS04-011 o dal virus Wallon, nel caso in cui
si sia dimenticato di applicare la patch cumulativa MS04-004 per Internet
Explorer.

I Service Pack, come evidenziato in altri nostri
articoli, raccolgono la totalità degli aggiornamenti rilasciati, nel corso del
tempo, da parte di Microsoft e spesso introducono anche alcune nuove
funzionalità. Mentre il primo Service Pack per Windows Xp (reso disponibile nel
mese di agosto 2002) racchiudeva in sé essenzialmente le patch e gli
aggiornamenti che la software house aveva rilasciato dal momento del lancio del
sistema operativo (ottobre 2001), il Service Pack 2 (del quale abbiamo provato
per voi, in anticipo, la versione Release Candidate 2) si propone come un
aggiornamento molto più corposo ed articolato.

Le principali innovazioni che verranno introdotte con il Service Pack 2 sono
infatti suddivisibili essenzialmente in cinque aree, gran parte delle quali
riguardano la sicurezza:
Protezione della rete. Il
cambiamento più radicale apportato dal Service Pack 2 riguarda il firewall
integrato in Windows Xp: Icf (Internet connection firewall), presente in tutte
le versioni del sistema operativo, viene infatti ora mandato in pensione e
sostituito con il nuovo Windows Firewall. Icf era sinora
passato pressoché inosservato alla maggioranza degli utenti che hanno preferito
in molti casi rivolgersi a “personal firewall” sviluppati da terze
parti, decisamente più completi e semplici da configurare. Il nuovo firewall,
invece, fa subito mostra di sé inserendo la propria icona tra quelle
presenti nel Pannello di controllo

e risulta accessibile anche cliccando con il tasto destro del mouse sull’icona (associata alle varie connessioni in corso) posizionata nella traybar. L’interfaccia è stata ampiamente ottimizzata: la scheda Generale consente semplicemente di attivare o disattivare il firewall mentre in Eccezioni è possibile indicare programmi e servizi che devono avere libero accesso (esclusi dal controllo del firewall). Gli utenti più evoluti possono personalizzare le “eccezioni” aggiungendo, per esempio, singole porte.

Similmente al comportamento di gran parte dei migliori “personal firewall”, anche Windows Firewall informa ora
l’utente sui tentativi di accesso alla Rete da parte di una qualsiasi delle
applicazioni installate sul personal computer. Per ciascun programma che tenta
di comunicare in Rete, Windows Firewall visualizza una finestra di allerta
richiedendo se si desidera che il flusso di dati in uscita debba essere
consentito oppure preventivamente bloccato. Windows
Firewall si basa sul concetto di eccezione. Le eccezioni ricalcano
essenzialmente le regole firewall (rules) degli altri software personal
firewall. Grazie alle eccezioni è infatti possibile stabilire quali applicazioni
debbono avere accesso alla Rete e, soprattutto, su quali porte. Per ciascun
programma che tenta di comunicare in Rete, Windows Firewall visualizza una
finestra di allerta richiedendo se si desidera che il flusso di dati in uscita
debba essere consentito oppure preventivamente bloccato. La scheda
Eccezion

i consente, appunto, di verificare a
quali software si è dato il via libera per comunicare in Rete oltre alla lista
delle eventuali porte Tcp/Udp che possono essere utilizzate. E’ ovvio che
l’utente dovrà riporre grande attenzione quando crea una nuova eccezione (ossia
quando concede ad un’applicazione il permesso di scambiare dati in Rete).

E’ buona regola controllare periodicamente la lista delle eccezioni che
risultano impostate e comunque, prima di consentire libero accesso ad
un’applicazione, di verificare più volte la sua identità controllando che non si
tratti di programmi sospetti. Il nuovo Windows Firewall porta con sé un
indubbio vantaggio: quello di rendere finalmente più sicuri anche i
sistemi degli utenti che da poco si sono avvicinati al personal computer.
Nonostante si tratti di uno strumento certamente più completo rispetto al
vecchio Icf, manca ancora qualcosa. E gli utenti più evoluti non ne saranno
probabilmente entusiasti. Uno dei “segreti” per rendere il sistema meno
vulnerabile ed offrire meno “punti di appiglio” a chi cerca,
dall’esterno, di far danni (virus, malware o malintenzionati), consiste proprio
nell’impostare regole firewall che siano più “strette” possibili. E’ assolutamente sconsigliabile,
infatti, dare ampie possibilità di comunicazione, in entrata ed in uscita, alle
varie applicazioni installate: è sempre bene ridurle al minimo
indispensabile

. E’ questa una delle lacune di Windows
Firewall: o si dà ampie possibilità di comunicazione ad una applicazione o le si
negano. Non è possibile, al momento, configurare in profondità protocolli e
porte sulle quali una singola applicazione può operare.

Gestione della posta elettronica. Nel
tentativo di ridurre drasticamente le infezioni da virus diffusi via posta
elettronica o comunque il prelievo di codice potenzialmente nocivo, Outlook
Express è stato ampiamente migliorato. Oltre alla risoluzione di numerosi bug e
vulnerabilità, il client e-mail di Microsoft si propone come uno strumento più
solido e funzionale: in primo luogo, il programma evita il download di risorse
(es. immagini) da server remoti spesso linkati nelle e-mail che si ricevono. In
questo modo è possibile prevenire molte tipologie di attacchi virus (come il
famoso Sobig.F, diffusosi ampiamente la scorsa estate) nonché l’azione di
spammer di tutto il mondo, i quali, diversamente, proprio ricorrendo
all’utilizzo di piccole immagini (chiamate anche “web bug”)
“nascoste” nei messaggi, sono in grado di identificare la vostra
casella di posta come un indirizzo e-mail valido, facile bersaglio per l’invio
di comunicazioni non richieste. Sulla scia di quanto già fatto in
Outlook 2003, è stato aggiunto il blocco degli allegati potenzialmente
pericolosi: il comportamento di Outlook Express risulterà del tutto
simile a quello del “fratello maggiore”

. Il client di posta di Microsoft, quindi, impedirà la visualizzazione di
immagini e di altri link remoti presenti nei messaggi in arrivo (è comunque
possibile accedervi, qualora l’e-mail provenisse da un mittente fidato, cliccando sull’apposito avviso).
Per quanto riguarda gli allegati, Outlook Express inibirà automaticamente l’apertura di quelli potenzialmente
ostili isolandoli in un’area protetta in modo che non possano
causare danni al resto del sistema. 

Navigazione più sicura. Anche Internet Explorer è stato
migliorato con lo scopo di difendere il personal computer da componenti
potenzialmente nocivi, spesso prelevati all’insaputa dell’utente durante la
navigazione in Rete. In particolare, adesso viene automaticamente interrotta
l’esecuzione, sul computer locale, di componenti attivi e script, presenti un
sempre maggior numero di pagine web. Qualora ci si imbatta di una pagina web
facente uso di un controllo ActiveX, Internet Explorer visualizzerà, nella parte
superiore della finestra, un messaggio che illustra la situazione: cliccando su
di esso si potranno ottenere maggiori informazioni sull’ActiveX ed eventualmente
acconsentire alla sua installazione sul personal computer. In tal caso, la
pagina verrà ricaricata e verrà mostrata una finestra di dialogo con la quale
Internet Explorer richiede conferma circa l’installazione dell’ActiveX. Una
funzione della quale si sentiva la mancanza nelle precedenti versioni del
browser di casa Microsoft è la possibilità di ottenere la lista completa
delle aggiunte installate sul proprio personal computer, durante la
“navigazione” in Rete. Nella nuova finestra Add-ons manager (accessibile dal
menù Strumenti di Internet Explorer), vengono ora elencati tutti i controlli
ActiveX scaricati ed installati sul sistema oltre, ad esempio, ai vari oggetti
Bho. Gli oggetti Bho consentono, a particolari applicazioni che ne fanno uso, di
interfacciarsi con Internet Explorer controllandone il comportamento ed
aggiungendo nuove funzionalità. Tali oggetti (poiché non richiedono alcuna
autorizzazione per essere installati) sono spesso impiegati da applicazioni
maligne per raccogliere informazioni sulle vostre abitudini e per rubare dati
che riguardano l’utente. La finestra Gestione componenti aggiuntivi consente,
quindi, finalmente, di verificare le aggiunte per Internet Explorer che
risultano presenti e, soprattutto, di eliminare (oppure disattivare
temporaneamente) con semplicità quelle non necessarie od, addirittura,
pericolose. Si tratta di una funzionalità particolarmente utile che consente, ad
esempio, di “sradicare” dal proprio sistema eventuali add-on
per il browser facenti capo a spyware o applicativi malware, indebitamente
prelevati dalla Rete.

Infine, il Service Pack 2 allinea Internet Explorer ai browser
concorrenti (Mozilla Firefox in primis) per quanto riguarda l’abilità
in fase di riconoscimento e “neutralizzazione” delle finestre a
comparsa (pop-up). Viene quindi colmata una lacuna presente da ormai da molto
tempo in Internet Explorer: il browser è in grado di impedire la visualizzazione
di gran parte dei pop-up consentendo comunque di stilare una lista di siti web
comunque autorizzati a proporli (opzione da attivare, oltre che per i siti web
“fidati”, anche per i servizi web – come quello per la gestione del proprio
conto corrente bancario, per la consultazione di quotazioni borsistiche e
finanziarie). La regolazione delle impostazioni del “pop-up blocker” è
effettuabile facendo riferimento al menù Strumenti del browser oppure cliccando
sull’icona visualizzata nella barra di stato. Gestione e manutenzione del
personal computer.

Fiore all’occhiello del Service Pack 2 per Windows Xp è il
nuovo Centro sicurezza pc. Si tratta di un’area che raccoglie le informazioni
principali sullo stato del sistema e che ricorda molto da vicino l’omonima
finestra integrata in McAfee InternetSecuritySuite 2004. La filosofia di base è
la stessa: mentre McAfee visualizza nel suo Centro sicurezza pc il livello
di sicurezza garantito dalla configurazione attuale dei suoi prodotti
(antivirus, firewall, privacy service e servizio antispam), la versione di
Microsoft si propone di offrire informazioni e suggerimenti essenziali per la
messa in sicurezza del sistema agendo sul proprio firewall, provvedendo
all’applicazione degli ultimi aggiornamenti rilasciati, aggiornando il software
antivirus in uso. Il Centro sicurezza pc è accessibile dal Pannello di
controllo facendo doppio clic sull’omonima icona. Dopo l’installazione del
Service Pack 2, Windows Xp richiederà immediatamente se attivare o meno il
download automatico degli aggiornamenti. Rispondendo in modo affermativo si sarà
certi di non dimenticare l’installazione di patch importanti.

Gli aggiornamenti automatici sono comunque liberamente
personalizzabili (è possibile per esempio essere informati circa l’esistenza di
un aggiornamento prima di provvedere al download ed all’installazione). Una
delle più interessanti novità è il protocollo Bits 2.0 (Background intelligent
transfer service) che si propone come la soluzione definitiva per la
gestione della procedura di prelievo degli aggiornamenti. Oltre alla
possibilità di pianificare gli aggiornamenti negli orari che più ci aggradano,
Bits permette di ottimizzare l’utilizzo della banda utilizzando un duplice
approccio: in primo luogo viene supportato il download incrementale (vengono
scaricate solo le porzioni di codice strettamente necessarie per
l’aggiornamento), poi è possibile stabilire il quantitativo di banda che può
essere destinato all’operazione. La sezione Aggiornamenti automatici del Centro
sicurezza pc permette proprio di configurare il servizio volto
all’applicazione degli aggiornamenti per Windows Xp. E’ stata inoltre modificata
la finestra mostrata all’atto dello spegnimento del personal computer: da qui è
possibile scegliere se installare gli aggiornamenti prima di spegnere il
sistema. Oltre alla possibilità di accedere alla configurazione del firewall,
Centro sicurezza pc promette di interfacciarsi con gli antivirus sviluppati
dalla maggior parte dei produttori. Nei test che abbiamo condotto, Centro
sicurezza pc è stato in grado di rilevare tutti i principali software
antivirus commerciali. Non solo. Affinché un software antivirus possa essere
riconosciuto da Windows Xp, è bene, dopo la sua installazione, provvedere
immediatamente ad aggiornare le sue firme ed, eventualmente, a riavviare il
sistema. Nella parte più bassa della finestra di Controllo Sicurezza PC è
presente anche un link per accedere alle opzioni di configurazione di Internet
Explorer ed Outlook Express. Avremmo particolarmente apprezzato se fosse stata
offerta l’opportunità di accedere anche alle impostazioni di browser e client di
posta “alternativi”.

Il Service Pack 2, inoltre, aggiorna Windows Installer alla versione 3.0: ciò
si traduce principalmente nell’introduzione di alcune innovazioni tese
ad una migliore gestione degli aggiornamenti dei software installati.
Gli aggiornamenti per Windows, ad esempio, vengono raggruppati tutti insieme
nella finestra Installazione applicazioni del Pannello di controllo invece che
in modo disordinato, così come accade tutt’oggi. Altre caratteristiche. Il
Service Pack 2 introduce in Windows Xp estende ampiamente il supporto per le
reti wireless: la nuova procedura guidata ottimizza la creazione di reti senza
fili. Debutta ufficialmente anche il supporto per le periferiche facenti uso
della tecnologia Bluetooth. Per quanto riguarda le misure antipirateria incluse
nel Service Pack, si sono inizialmente susseguite, nei mesi scorsi,
dichiarazioni che lasciavano intendere come il pacchetto di aggiornamento
potesse essere distribuito senza alcuna protezione. L’obiettivo consisteva nel
rendere possibile l’installazione dell’aggiornamento anche su copie
irregolari del sistema operativo: l’intento sarebbe stato quello di
impedire che sistemi “piratati” potessero essere usati come testa di
ponte per sferrare attacchi su pc “regolari” o per la diffusione di
virus. In realtà Microsoft ha successivamente precisato che il Service Pack 2
(così come accaduto per la prima versione) integrerà un controllo basato sul
numero di serie (product key) della copia di Windows Xp installata. Qualora tale
codice dovesse essere presente nella “black list” di Microsoft,
verrebbe impedita l’installazione del pacchetto di aggiornamento.