Tempo di Lettura: 8 minuti
Un interessante articolo pubblicato su Punto Informatico illustra le potenzialità del pesante Service Pack 2 di Windows XP. Ce da che esserne soddisfatti (vi consiglio anche la lettura di Integrare il Servive Pack 2 nel sistema operativo Windows XP e Windows XP Service Pack 2 atto primo).
Di seguito ne illustrerò le novità più significative.
A differenza dei suoi predecessori, l’SP2 per Windows XP non è una semplice collezione di patch, ma un corposo aggiornamento a Windows che include un certo numero di nuove funzionalità e componenti, la stragrande maggioranza dei quali relativi alla sicurezza. E’ evidente la decisa risposta di Microsoft all’urgente necessità di porre un freno alla diffusione di worm nel suo sistema operativo: ha così deciso di inoculare in Windows XP, attraverso l’SP2, quelle che chiama “safety technologies”, tecnologie il cui compito sarà fondamentalmente quello di proteggere PC desktop e server dagli attacchi che sfruttano le porte aperte e i buffer overrun e che si diffondono attraverso e-mail e pagine Web.
Nota: Similmente al primo service pack, al momento dell’installazione l’SP2 controlla la validità del Product ID (PID) (visibile cliccando con il tasto destro su Risorse del computer -> Proprietà -> Registrato a nome di:) e, nel caso questo appartenga alla “lista nera??? di Microsoft, si rifiuta di installarsi. È presto per fornire informazioni più dettagliate, ma stando alle indiscrezioni pare che l’SP2 consideri non validi tutti i PID che non contengono il gruppo di tre cifre “640???.
Internet Explorer
La prima novità è quella del blocco dei pop-up, abilitata di default.
La seconda novità di un certo rilievo introdotta con l’SP2 è la disabilitazione dell’installazione automatica dei cosidetti “Browser Help Object” (BHO): si tratta di una sorta di plug-in che, sotto forma di DLL, consentono agli sviluppatori di personalizzare e controllare il funzionamento di Internet Explorer. I BHO sono molto utilizzati da portali e società di advertising per installare sui PC, talvolta con mezzi poco leciti, toolbar di ricerca o altri moduli che veicolano pubblicità o tracciano le abitudini dell’utente. Alcuni BHO particolarmente aggressivi cambiano l’home page di IE e visualizzano ad intervalli regolari finestre pop-up con pubblicità di vario genere, talvolta anche porno.
Con le attuali versioni di Windows XP, l’utente può imbattersi in siti web che, sfruttando una funzionalità nota come “drive by downloading”, sono in grado di infettare il suo sistema installando virus, worm o spyware. L’SP2 fa in modo che, prima dell’installazione di un BHO, l’utente venga avvisato con una finestra dei rischi che potrebbe correre qualora decida di installare questo genere di add-in.
Dato che l’SP2 potrebbe essere applicato ad un sistema dove sono già installati plug-in di questo tipo, Microsoft ha fornito un tool denominato “Manage Add-ons” che permette di controllare i BHO “agganciati” ad Explorer e di disabilitare quelli non desiderati.
L’altra modifica di un certo rilievo apportata dall’SP2 a IE è costituita da una funzione che impedisce la possibilità, da parte di uno script, di cambiare le impostazioni della finestra di Internet Explorer. Oggi i siti Web hanno la facoltà di aprire nuove finestre del browser prive della barra di navigazione o di quella di stato, deciderne il posizionamento sullo schermo e la dimensione. Con l’SP2 tutto ciò non sarà più possibile poiché gli sviluppatori non avranno più la possibilità di modificare il comportamento del browser attraverso script.
Outlook Express
Dopo l’aggiornamento, le e-mail HTML che contengono delle immagini o degli allegati ritenuti sospetti (ad esempio quelli con estensione “.exe”) vengono automaticamente bloccate e isolate. In particolare, nel caso in cui che una e-mail contenga delle immagini che richiedono l’accesso ad un sito Web, all’utente verrà chiesto il permesso di caricarle oppure no.
Infine viene integrata una nuova API, chiamata Attachment Execution Service (AES), che ha il compito di controllare gli allegati delle e-mail. Si tratta di un servizio indipendente, dunque eventualmente utilizzabile anche da altre applicazioni, che ha il compito di determinare, in base a vari criteri, quali allegati vanno considerati pericolosi. Il primo controllo svolto è quello sull’estensione del file, successivamente viene verificato se questa estensione e l’applicazione associata al tipo MIME sono coerenti. Infine, AES valuta il grado di rischio derivante dall’apertura del file: se l’attachment viene riconosciuto come completamente sicuro, come nel caso di immagini e file di testo, questo verrà mostrato all’utente senza ulteriori passaggi o notifiche; se invece viene considerato insicuro, come nel caso di file eseguibili, il file verrà bloccato e all’utente verrà notificato un avviso.
Windows Firewall
Windows Firewall è una versione aggiornata e potenziata dell’Internet Connections Firewall (ICF) già integrato in Windows XP.
ICF, è un filtro che si limita a controllare il traffico di rete esclusivamente su alcune porte d’ingresso predefinite o che sono state selezionate dall’utente: quest’ultimo deve quindi conoscere a priori quali sono le porte che devono restare aperte perché le sue applicazioni possano interagire correttamente con il mondo esterno. In particolare, ICF non prevede la possibilità, per l’utente, di definire delle regole di accesso che tengano conto, oltre che delle porte, anche delle singole applicazioni.
Con Windows Firewall questa importante limitazione non esiste più: il traffico di rete può infatti essere controllato anche in base all’applicazione: come offrono ormai da tempo tutti i personal firewall per Windows, quando un’applicazione sconosciuta tenta di accedere alla rete l’utente può permettere o negare (in modo temporaneo o definitivo) l’azione.
Windows Firewall è in grado di controllare anche il traffico in uscita, offre un’interfaccia molto più intuitiva e personalizzabile e fornisce tutta una serie di opzioni e di meccanismi di sicurezza che lo rendono paragonabile alle versioni freeware dei personal firewall per Windows più diffusi sul mercato. La prima di queste funzionalità è la cosiddetta “boot security”, in grado di proteggere un PC anche in fase di avvio e durante l’autenticazione al sistema. C’è da osservare che in questo periodo di tempo il computer potrà comunque accedere ai servizi di rete di base, come DHCP e DNS.
Un’altra differenza tra Windows Firewall e ICF è che mentre in quest’ultimo le politiche per la sicurezza erano esclusivamente locali, e dunque riferite al singolo adattatore di rete installato su di un PC, ora tali policy sono globali, per cui una modifica effettuata su di una scheda di rete può essere estesa anche a tutte le altre.
Windows Firewall fornisce anche la possibilità di bloccare “al volo” tutte le richieste di connessione provenienti dall’esterno (anche quelle permesse).
C’è da notare come il nuovo firewall, a differenza del vecchio, venga ora attivato di default. Microsoft ha optato per questa scelta osservando che nel recente passato moltissimi attacchi avrebbero avuto una portata assai meno ampia se ICF fosse stato abilitato in modo predefinito: Microsoft sostiene che molti utenti, oggi, non sono neppure a conoscenza dell’esistenza di ICF.
Nel caso in cui si desideri utilizzare un firewall alternativo a quello integrato nell’SP2, Microsoft raccomanda di disattivare Windows Firewall: questo sia per evitare conflitti fra i due applicativi, sia per non penalizzare le performance di rete.
Aggiornamenti automatici
La prima novità è data dal fatto che al primo riavvio viene visualizzata una schermata che chiede all’utente se abilitare “completamente” la funzionalità. Se l’utente decide di abilitarla, ogni volta che Microsoft rilascerà una patch critica per Windows XP, questa verrà automaticamente scaricata utilizzando, come già succede oggi, la banda non sfruttata.
Il nuovo Aggiornamenti automatici provvederà inoltre ad installare le patch in modo automatico visualizzando un piccolo scudetto giallo nella system tray: questo indicherà all’utente lo stato di avanzamento del download e dell’installazione delle fix, avvisandolo inoltre dell’eventuale necessità di riavviare la macchina al termine della procedura d’installazione.
Sul fronte delle novità trasparenti all’utente finale c’è osservare che Microsoft ha drasticamente ridotto la dimensione delle patch critiche grazie all’impiego di una nuova tecnologia per la compressione e di una chiamata “delta” che servirà per scaricare solo i file effettivamente necessari.
Infine, Microsoft ha introdotto una funzionalità, chiamata “install on shutdown”, che si preoccuperà di installare automaticamente, prima dello spegnimento del sistema, quegli aggiornamenti critici di cui l’utente, per qualsivoglia motivo, abbia sospeso l’installazione: in questo modo, quando la macchina verrà riaccesa, il sistema sarà aggiornato.
Protezione della memoria
Una delle più comuni vulnerabilità di sicurezza è infatti rappresentata dalla mancanza di un meccanismo di controllo che verifichi se l’indirizzo della cella di memoria che contiene la prossima istruzione da eseguire appartenga ad una zona che dovrebbe contenere dati o codice. Uno degli attacchi più frequenti consiste nel far traboccare un buffer di memoria riservato ai dati per corrompere o per sovrascrivere la zone di memoria adiacente al buffer. A questo punto, se questo spazio era riservato al codice del programma, può in genere essere cambiato l’indirizzo della cella di memoria con la prossima istruzione da eseguire, sostituendolo con uno al cui interno sono contenute le istruzioni malevoli.
Installando l’SP2 questo tipo di vulnerabilità sarà quindi fortemente ridotta.
Le altre novità minori
Altre novità o aggiornamenti minori introdotti in Windows XP con l’SP2 sono il rilascio delle DirectX 9.0c, Windows Media Player 9.0 e la separazione degli aggiornamenti critici e delle patch scaricate da Windows Update: per non appesantire troppo la leggibilità di “Aggiungi Rimuovi Applicazioni”, di default sono state nascoste.