Ci credereste che bastano dodici semplici regole per salvarvi da tutti gli attacchi informatici degli ultimi anni?

Sono in questo libro di Paolo Attivissimo.  Provatele. Gli altri si pentiranno di non averlo fatto.

Capitolo 0 - Note per l'edizione digitale 

Capitolo 1 - "Questo libro non mi serve..."

Capitolo 2 - Là fuori è una giungla

Capitolo 3 - Raddrizziamo Windows

Ho scelto di cominciare il lavoro di blindatura partendo da questo strumento di difesa dal nome piuttosto arcano perché Windows XP ha un problema fondamentale: 

così com'è, può essere sufficiente collegarlo a Internet per infettarlo. Ed è ovviamente inutile lavorare alla protezione del computer se il nemico è già dentro le

mura. Ecco perché la prima regola del Dodecalogo parla di firewall: Regola 1: Installate un buon firewall.

Un firewall è l'equivalente informatico di un buttafuori. È un programma, residente nel vostro computer o in un apparecchio

esterno, che respinge le visite indesiderate e fa entrare e uscire soltanto i dati che autorizzate a circolare. E là fuori, su Internet, ci sono tanti individui e virus indesiderati e indesiderabili.

E visto che me lo chiedete, si pronuncia "faier-uool". Beh, più o meno; accontentatevi. Ricordate inoltre che firewall significa "parete tagliafuoco", non "muro di fuoco" come scrivono certi giornalisti figli di papà.

Navigare in Internet con Windows senza firewall significa cercarsi guai. Windows XP è dotato di un firewall, ma è normalmente disattivato 

(viene attivato automaticamente soltanto se avete l'aggiornamento chiamato Service Pack 2). Il che è profondamente stupido, come installare

Se non avete il Service Pack 2, non perdete tempo ad attivare il firewall integrato in Windows: per ammissione della stessa Microsoft, la versione pre-Service

Pack 2 è un colabrodo31 e comunque non blocca il traffico uscente dal vostro computer, per cui un virus che vi infetta può lanciare attacchi dal vostro PC verso altri

Installare un firewall è un'esperienza rivelatrice. Potreste pensare che non vi serva, perché tanto non vi capita mai di essere attaccati:

non avete nemici così ostili. La realtà è ben diversa: siamo tutti sotto attacco quasi continuamente, solo che non ce ne accorgiamo perché Windows, come molti altri sistemi operativi, preferisce non farcelo vedere. Non ha tutti i torti: occhio non vede, cuore non duole.

Virus e vandali della Rete, infatti, tentano a casaccio di accedere a tutti i computer che trovano connessi a Internet. Niente di personale,

insomma: è un procedimento casuale. Chi capita, capita. Il firewall rivela questo brulichio incessante di tentativi d'accesso e il primo impatto è scioccante.

Tuttavia lo stupore iniziale di vedersi sotto continua aggressione diventa molto presto scocciatura, per cui di solito si disattivano le

notifiche (ma non l'efficacia) del firewall, in modo che ci protegga silenziosamente, senza disturbarci ogni volta per dirci "Ehi! Ho bloccato un altro intruso! Come sono bravo!!".

La sorpresa successiva nasce quando ci si accorge di quanti dei nostri normalissimi programmi tentano di uscire dal nostro computer,

anche se apparentemente non hanno ragione di farlo.

• Windows Media Player, per esempio, tenta spesso di uscire quando vediamo un filmato o ascoltiamo una canzone presente nel nostro computer.

• Quando chiediamo alla funzione di ricerca file di Esplora Risorse di cercare un file sul nostro disco rigido, la prima cosa che fa Esplora Risorse è tentare di andare su Internet.

• Lo fa spesso anche Acrobat Reader, il programma che si usa per leggere i diffusissimi documenti in formato PDF.

• La lista potrebbe continuare a lungo: ho colto in flagrante sia Word, sia programmi alternativi come OpenOffice.org32, sia programmi di elaborazione audio come SoundForge. 

Non è un vezzo esclusivo di Microsoft, insomma. Perché vogliono uscire? Con chi vogliono comunicare, e cosa vogliono dirgli? Non so voi, ma l'idea che ci siano queste comunicazioni

a mia insaputa non mi lascia tranquillo. Nel dubbio, è meglio impedirle o perlomeno esserne informati.

Sorvegliare il traffico uscente è importante anche per un'altra ragione. Molti virus si insediano nel computer senza fare danno apparente ma "zombificandolo", ossia trasformandolo in uno schiavo che ubbidisce segretamente agli ordini del suo misterioso padrone (che spesso è uno spammer o un altro tipo di truffatore). 

Una volta insediati, questi virus devono comunicare con il proprio padrone e tentare di trasmettersi ad altri utenti. Un firewall decente si deve accorgere di questi tentativi di comunicazione da parte di un programma non autorizzato e bloccarli. In altre parole, il firewall deve impedire che l'infezione che vi ha colpito si possa estendere ad altri utenti.

Il problema è assai meno raro di quel che potreste pensare: le società del settore informatico stimano che almeno un terzo della posta-spazzatura (lo spam) è generata da computer "zombificati".

La sicurezza non si ottiene mai mediante una singola soluzione; si conquista combinando vari ingredienti. È un po' come mettere la

cintura e anche le bretelle: un po' scomodo, ma riduce moltissimo le probabilità di trovarsi con le braghe calate nel momento meno opportuno se cede uno dei due supporti.

A parte questo, il firewall agisce contro pericoli diversi da quelli sorvegliati da un antivirus. L'antivirus ci difende contro i file ostili recapitati al nostro computer; il firewall ci protegge dalle intrusioni perpetrate direttamente via Internet o tramite la rete locale.

Per esempio, se un e-mail contiene un allegato infetto, il firewall lo lascerà passare, perché dal suo punto di vista si tratta di traffico di dati legittimo; sta poi all'antivirus determinare che l'allegato è pericoloso. Per contro, se un aggressore tenta di far leva su una falla di Windows o di un nostro programma per penetrare le nostre difese,

l'antivirus non se ne accorgerà, ma il firewall sì.

Fra le due forme di attacco c'è comunque oggigiorno una certa sovrapposizione:per esempio, certi firewall bloccano anche alcuni tipi di virus e alcuni antivirus fermano gli intrusi che cercano di farci visitare una pagina Web infetta. Tuttavia, grosso modo la suddivisione dei compiti è questa: bloccare i file ostili spetta all'antivirus,

fermare gli attacchi diretti è compito del firewall.

Il firewall è un programma perennemente attivo, che osserva tutto il traffico di dati che entra ed esce tramite le connessioni di rete (connessioni alla rete locale e connessioni a Internet di qualunque tipo). Quando rileva traffico di tipo anomalo o sospetto, lo segnala all'utente oppure lo blocca direttamente.

Per quanto riguarda il traffico uscente, la maggior parte dei firewall è in grado di capire quale programma lo sta generando e comportarsi

di conseguenza. Per esempio, per inviare un e-mail è abbastanza ovvio che il vostro programma di posta deve trasmettere dei dati verso Internet; il firewall riconosce il programma che genera la trasmissione e (con il vostro preventivo consenso) gli permette di effettuarla.

Il firewall esamina anche il traffico ricevuto dalla rete locale o da Internet e riconosce e blocca quello ostile, lasciando passare invece quello sicuro. Per esempio, per scaricare la posta dovete evidentemente ricevere dati da Internet: il firewall riconosce che si tratta di e-mail e lascia passare. Se invece un vandalo cerca di entrare

nel vostro computer, il firewall rileva i dati ostili mandati dall'aggressore e li blocca.

Un firewall permette anche di essere selettivi nell'accettare comunicazioni da altri computer. Normalmente un computer accetta trasmissioni

di dati da qualunque altro computer della rete locale o di Internet, ma questo significa che le accetta anche dagli utenti ostili.

Il firewall consente di creare una "lista nera" di computer indesiderati oppure una "lista bianca" che specifica gli unici computer dai quali si accettano comunicazioni.

Alcuni firewall usano la modalità di occultamento (stealth mode in gergo): in sostanza, rendono invisibile su Internet il vostro computer,

in modo tale che l'aggressore medio non si accorga affatto della vostra esistenza e quindi non pensi neppure di prendervi di mira. Un aggressore esperto sa accorgersi di questo trucco, ma se

non ce l'ha specificamente con voi, vi lascerà comunque stare e andrà a cercarsi bersagli meno protetti. Tanto Internet è piena di prede facili.

Per capire quanto sia importante e utile un firewall bisogna conoscere un pochino la psicologia degli aggressori informatici e il loro modo di operare.

Come già accennato, se non siete individui particolarmente in vista o non vi siete fatti troppi nemici, è difficile che un attacco vi prenda di mira personalmente. L'aggressore medio non fa altro

che gironzolare per Internet alla ricerca di qualche preda, quasi sempre senza curarsi di chi sia la persona che aggredisce.

Come un predatore nella savana, prende di mira preferibilmente i soggetti più deboli e vulnerabili, lasciando perdere quelli meglio difesi o così ben mimetizzati da sfuggire alla sua perlustrazione.

È un paragone molto poetico, perlomeno per le mie capacità letterarie, ma all'atto pratico come funziona la cosa? 

A ogni computer collegato a Internet viene assegnato un indirizzo permanente o temporaneo, chiamato indirizzo IP e solitamente espresso sotto

forma di quattro numeri in serie, per esempio 212.162.1.47. È grosso modo paragonabile al numero telefonico assegnato al vostro cellulare.

Usando appositi programmi, l'aggressore "chiama" tutti gli indirizzi compresi in una certa gamma e vede chi risponde, esattamente come un molestatore telefonico può comporre una rosa di numeri

a caso alla ricerca di una vittima dalla voce promettente.

Se l'aggressore trova un indirizzo che gli risponde, passa alla seconda fase dell'attacco: trovare un varco. Per gestire il traffico di dati, ogni computer collegato a Internet suddivide la connessione

in porte (non sono oggetti reali come le porte USB alle quali collegate una stampante, ma delle convenzioni virtuali). La posta inviata passa da una determinata porta, quella ricevuta entra da

un'altra, le pagine Web arrivano da un'altra ancora e così via. Per ogni servizio di Internet c'è una porta corrispondente (o più d'una). L'aggressore "bussa" a ciascuna di queste porte per vedere se per

caso dall'altra parte c'è una risposta e controlla se la porta è chiusa a chiave o aperta. La risposta può provenire per esempio da un virus precedentemente insediatosi, da un programma volutamente

installato nel PC (per esempio uno di quelli usati per scambiare musica) o da un errore di impostazione del sistema operativo. 

In tutti i casi, l'aggressore può usare questa risposta come appiglio per tentare di far danni.

Una delle tecniche di attacco più diffuse è inviare dati in formati anomali. I programmi e le funzioni di Windows che stanno in ascolto sulle porte sono spesso ingenui e si aspettano che i dati in

arrivo rispettino le convenzioni, andando invece in tilt (e permettendo all'aggressore di devastare il computer) se i dati sono confezionati in modo appositamente anomalo.

Lo scopo del firewall è prevenire tutto questo. Innanzitutto, il firewall "chiude a chiave" tutte le porte lasciate incautamente aperte dai programmi e da Windows e rifiuta di rispondere a chi "bussa"

da fuori, in modo da non offrire appigli: fa finta che in casa non ci sia nessuno, come si fa con i venditori porta a porta.

Successivamente, il firewall previene l'aggressione nascondendo l'esistenza del vostro computer con un semplice espediente: quando un aggressore bussa al vostro indirizzo IP, il firewall non solo

non gli risponde, ma gli fa credere che quell'indirizzo non sia assegnato.

Per tornare al paragone telefonico, è come se il molestatore componesse il vostro numero di telefono e invece di sentire il tono di libero, sentisse la voce della Telecom che annuncia che il numero

chiamato è inesistente. In entrambi i casi, il rompiscatole desisterà e andrà a cercare altrove. È per questo che siamo tutti sotto attacco ripetutamente nell'arco

della giornata e dobbiamo difenderci con un firewall. Là fuori ci sono migliaia di vandali sfigati che si sfogano cercando computer vulnerabili e bussando alle loro porte in cerca di qualche pertugio

dal quale intrufolarsi per fare danni o spiare. A loro non interessa chi siete: interessa soltanto trovare un bersaglio facile.

Esistono due grandi famiglie di firewall: quelli software, ossia costituiti da programmi-sentinella da installare nel computer, e quelli hardware, vale a dire apparecchi autonomi e separati dal computer,

che contengono un programma-sentinella.

I firewall hardware sono molto più efficaci di quelli software, perché sono apparecchi indipendenti e quindi immuni alle falle di Windows, ma sono anche più costosi.

 Se potete, investite in un firewall hardware, specialmente se dovete proteggere più di un computer (ne basta uno per tutti i computer). 

È quello che fanno tutte le aziende che hanno un minimo di riguardo per la sicurezza. 

Talvolta il firewall hardware è integrato nell'apparecchio che usate per collegarvi a Internet, specialmente nel caso di connessioni ADSL.

Date un'occhiata al manuale del vostro modem ADSL: può darsi che contenga un firewall e non lo sappiate. In tal caso, siete già a posto.

Se non potete permettervi la spesa di un firewall hardware, potete ricorrere a un firewall software. Ve ne sono molti gratuiti che funzionano benissimo; 

se volete maggiore versatilità e assistenza tecnica, potete rivolgervi ai firewall a pagamento. In questo capitolo vi presenterò soltanto i firewall software, perché sono la soluzione

di gran lunga più diffusa. 

Tenete presente, comunque, che esistono tecniche di intrusione che permettono di spegnere a distanza un firewall software, se l'utente abbocca all'esca; è molto più difficile spegnere un firewall hardware.

senza firewall, il trucco è semplice: chiedete a qualcun altro di scaricarlo con il suo computer già protetto e di darvi il firewall su un CD.

Nulla vieta di abbinare un firewall hardware e uno software, per esempio quello integrato nel vostro modem ADSL e uno installato sul PC. I firewall hardware, infatti, solitamente bloccano i tentativi

di aggressione in entrata, ma non fanno molto contro quelli in uscita; molti firewall software, invece, sorvegliano i tentativi ostili anche in uscita.

Un firewall hardware a guardia della connessione a Internet e uno sul PC sono una buona coppia anche nel caso di una rete locale di computer (per esempio in ufficio). Il primo protegge il perimetro,

per così dire, mentre il secondo evita che un'eventuale contaminazione di un computer possa diffondersi agli altri. È come mettere un buttafuori all'ingresso principale e altri nerboruti sorveglianti alle

porte dei singoli uffici. 

L'inconveniente principale di un doppio firewall misto è che se qualcosa non funziona nella comunicazione verso Internet, è più difficile determinarne la causa, perché bisogna scoprire quale dei

due firewall la sta bloccando (per esempio disabilitando il firewall software e guardando se questo risolve il problema). Nel caso di una rete locale, possono inoltre sorgere difficoltà nella condivisione

di file e stampanti se il firewall software non è impostato correttamente per consentirla.

Ecco una breve rassegna dei più gettonati firewall software.

• Nome: BlackICE PC Protection

Produttore e sito: Internet Security Systems,

Prezzo: a pagamento

Lingua: inglese

• Nome: Conseal Firewall/8signs Firewall

Produttore e sito: 8signs, www.consealfirewall.com

Prezzo: a pagamento, versione dimostrativa scaricabile gratis

Lingua: inglese

• Nome: F-Secure Internet Security

Produttore e sito: F-Secure, www.f-secure.it

Prezzo: a pagamento; versione dimostrativa scaricabile gratis

Lingua: italiano

• Nome: Kerio Personal Firewall

Produttore e sito: Kerio, www.kerio.com

Prezzo: la versione Limited Free Edition è gratuita per uso personale

Lingua: inglese

• Nome: McAfee Personal Firewall Plus

Produttore e sito: McAfee, it.mcafee.com

Prezzo: a pagamento

Lingua: italiano

• Nome: Norton Personal Firewall

Produttore e sito: Symantec, www.symantec.it/region/it/product/npf_index.-html

Prezzo: a pagamento

Lingua: italiano

• Nome: Outpost Firewall Pro

Produttore e sito: Agnitum, www.agnitum.it

Prezzo: a pagamento; versione dimostrativa scaricabile

Lingua: italiano

• Nome: Panda Platinum Internet Security

Produttore e sito: Panda Software, us.pandasoftware.com/com/it/

Prezzo: a pagamento

Lingua: italiano

• Nome: Sygate Personal Firewall

Produttore e sito: Sygate, smb.sygate.com/products/spf_standard.htm

Prezzo: gratuito per uso personale; la versione Pro è a pagamento

Lingua: inglese

• Nome: Tiny Personal Firewall

Produttore e sito: Tiny, www.tinysoftware.com/home/tiny2?la=IT

Prezzo: a pagamento

Lingua: inglese

• Nome: Zone Alarm

Produttore e sito: Zone Labs, www.zonelabs.com

Prezzo: gratuito per uso personale; la versione Plus/Pro è a pagamento

Lingua: inglese, francese, tedesco, spagnolo, giapponese

Sul mio sito www.attivissimo.net, nella sezione dedicata a questo libro, trovate le istruzioni dettagliate per scaricare, installare e configurare la versione gratuita di Zone

Molti pensano che configurare un firewall sia un'impresa complicatissima e che i firewall siano grandi scocciatori che gridano continuamente

"al lupo, al lupo" senza motivo, causando falsi allarmi e intralciando l'uso del computer.

A causa di questi preconcetti, capita che gli utenti si rifiutino di installare un firewall. Poi piangono quando arrivano virus come Blaster, Sasser e compagnia bella, che si infilano automaticamente

nel computer sfruttando un difetto di Windows che qualsiasi firewall è in grado di compensare.

In realtà tutto dipende dal firewall che si sceglie e da come lo si configura. L'errore che si commette spesso è lasciare attivate le notifiche dei tentativi di intrusione. A prima vista questo può sembrare

il modo giusto di procedere, ma in realtà i tentativi sono talmente frequenti che ciò che conta non è esserne informati, ma esserne protetti.

Il firewall va insomma configurato in modo che agisca silenziosamente e automaticamente contro le minacce provenienti dall'esterno, così come un buttafuori non va a riferire in continuazione al

capo quando si sbarazza di un avventore molesto. Salvo casi rari, inoltre, cercare di scoprire chi sta dietro i tanti tentativi di penetrazione è soltanto una perdita di tempo: principalmente

per ragioni legali, le possibilità di ricavarne informazioni che possano portare a una punizione del colpevole sono irrisorie. 

Anche in questo caso, insomma, è importante la protezione più che l'informazione.

La vera difficoltà nell'uso di un firewall sta nel saper rispondere agli allarmi generati dai programmi che tentano di uscire, soprattutto nel periodo iniziale d'uso del nostro buttafuori digitale, quando deve ancora imparare a conoscere i programmi fidati. Anche in questo caso, comunque, basta applicare un criterio di base abbastanza semplice:

In altre parole, se non siete veramente sicuri di cosa fa un certo programma che chiede l'autorizzazione, non autorizzatelo; dategli il permesso soltanto se non darglielo rende impossibile usare Internet.

Sul mio sito www.attivissimo.net, nella sezione Acchiappavirus, trovate un elenco dei nomi dei programmi più frequentemente rilevati dai firewall, con i relativi consigli

Tenete sempre presente che i vandali della Rete non aspettano altro che un vostro passo falso. Concedete quindi le autorizzazioni con estrema parsimonia.

Come si fa a sapere se un programma è fidato o no? Vi conviene partire dal presupposto che ciò che non conoscete è malvagio fino a prova contraria, per cui cominciate a vietarne l'uscita temporaneamente; nel frattempo, indagate immettendo il nome del programma in Google o chiedendo a un amico o collega esperto.

Molto spesso i programmi che tentano di uscire sono componenti legittimi di Windows, con nomi come per esempio svchost.exe, spoolsv.exe, jucheck.exe, explorer.exe, cmd.exe, rundll.exe, oppure sono componenti dell'antivirus che cercano di uscire per scaricare i propri aggiornamenti.

In tal caso, dopo aver appurato che si tratta effettivamente di programmi regolari, vi conviene autorizzarli (meglio se in modo non permanente, così ne tenete sotto controllo l'attività).

trappola dando loro nomi simili a quelli di questi componenti (per esempio svchosts.exe al posto di sv-chost.exe) oppure sostituendo direttamente il componente

Nella scelta di cosa autorizzare e cosa vietare, Internet Explorer (iexplore.exe) è un caso un po' particolare. L'abitudine e l'istinto probabilmente vi suggeriscono di dargli un'autorizzazione permanente, visto che lo usate spessissimo, ma permettetemi di sconsigliarvelo in favore di un'autorizzazione di volta in volta.

Internet Explorer, il programma Microsoft per la navigazione nel Web, è infatti uno dei principali veicoli di infezione degli aggressori.

Visualizzare un sito ostile con Internet Explorer può essere sufficiente per contaminare e devastare il vostro computer. 

È un problema così serio che il CERT, ente del Dipartimento per la Sicurezza Interna USA, ad agosto 2004 è arrivato al punto di sconsigliare l'uso di Internet Explorer, raccomandando di sostituirlo

con programmi di navigazione (browser) alternativi. Per questo la navigazione con Internet Explorer va ridotta al minimo indispensabile, usando al suo posto un programma alternativo,

come descritto nei capitoli successivi.

Ci sono però parecchi siti che per ragioni particolarmente stupide funzionano soltanto con Internet Explorer, alla faccia dell'universalità di Internet (è come aprire un negozio di vestiti che fa entrare

soltanto clienti di taglia media e lascia sulla porta tutti gli altri).

Sono siti che magari non potete ignorare, come quelli di banche o istituzioni governative; è un numero in rapida diminuzione, dopo gli spaventi causati dalle falle passate di Internet Explorer, 

ma comunque non trascurabile. Se vi imbattete in uno di questi siti, potete tirar fuori Internet Explorer e fargli fare un giretto, ma mi raccomando: usatelo soltanto su

siti di reputazione più che cristallina. Ricordate comunque che il firewall da solo non basta: deve far parte di un insieme di contromisure

Come si fa a sapere se un firewall funziona o no? Dobbiamo per forza fidarci delle dichiarazioni di affidabilità dei loro produttori? Dopotutto, ogni tanto anche i firewall rivelano qualche falla.

Ci vorrebbe qualcosa che mettesse alla prova il firewall con qualche tentativo di intrusione, senza però far danni. Per fortuna Internet offre numerosi servizi di questo genere.

Per conoscere il vostro indirizzo IP, scegliete Start > Impostazioni> Connessioni di rete e cliccate con il pulsante destro sulla connessione a Internet indicata

nell'elenco che compare. Scegliete Stato dal menu e poi la scheda Supporto (Figura 5.1).

fornitori ADSL o in fibra ottica. In tal caso, per collaudare il vostro firewall ci vuole un esperto che si colleghi direttamente al vostro computer con il suo, dotato di appositi

Uno dei più celebri test per i firewall è disponibile presso il sito dell'esperto Steve Gibson (grc.com), ed è diviso in due sezioni chiamate ShieldsUp e LeakTest, alle quali si accede cliccando sui rispettivi titoli nella pagina principale del sito.

Il test della sezione ShieldsUp si attiva cliccando su Proceed e accettando eventuali segnalazioni di sicurezza generate da Windows o dal vostro programma di navigazione (Internet Explorer o altro).

Il sito cercherà di penetrare in modo innocuo nel vostro computer: in pratica, si comporterà come un intruso che prova tutte le maniglie di un corridoio d'albergo in cerca di qualche porta non chiusa.Se avete impostato il firewall per notificarvi dei tentativi di penetrazione, appena iniziate il test dovrebbe partire una sinfonia di allarmi.

Cliccate sui pulsanti File Sharing e Common Ports per avviare un collaudo delle "porte" che più frequentemente vengono lasciate aperte da Windows e dai più diffusi programmi.

Scegliendo File Sharing, se il vostro firewall funziona a dovere dovreste ottenere da Grc.com due responsi: "Your Internet port 139 does not appear to exist" e 

"Unable to connect with NetBIOS to your computer".

Questi messaggi significano che il tentativo di intrusione è fallito, ossia che il firewall ha resistito correttamente. Se non ottenete questi due messaggi, siete nei guai, perché il firewall è inefficace e

chiunque può entrare e leggere il contenuto del vostro computer.

Il test di Common Ports (Figura 5.2) è più ampio e dettagliato: esamina un maggior numero di porte e indica per ciascuna porta il risultato del tentativo di intrusione. L'ideale è ottenere un risultato Stealth su tutte le porte, che significa che il vostro computer risulta addirittura invisibile agli intrusi di media competenza.

Se per varie ragioni non riuscite a ottenere questo risultato, potete comunque accontentarvi tranquillamente di un Closed, che indica che il vostro computer è rilevabile dall'esterno tramite quella porta

ma saggiamente respinge l'intrusione. Ai fini pratici, fra Closed e Stealth non c'è poi grande differenza: l'importante è che il vostro computer non risponda alle chiamate provenienti dall'esterno.

Se trovate Open su una o più porte, siete nei guai: vuol dire che il vostro computer è non solo rilevabile, ma addirittura risponde ai tentativi di presa di contatto dall'esterno, che possono essere il primo passo di un'intrusione. Se non avete una ragione più che valida per lasciare aperte queste porte (per esempio ospitate un server Web o FTP e quindi dovete lasciare aperte le porte 80 o

21), è meglio che cominciate a preoccuparvi e chiedete un consulto a un esperto sul posto.

Se vi occorre un test ancora più approfondito, potete scegliere una terza opzione, All Service ports, che esamina un numero molto ampio di porte (le prime 1056) e le diagnostica individualmente

con un semaforo verde (tutto OK, siete invisibili), blu (porta chiusa ma rilevabile) o rosso (porta aperta e vulnerabile).

In realtà neppure questo test approfondito esamina tutte le porte, che sono in realtà ben 65535 e possono essere usate ciascuna in due modi (TCP e UDP); se volete collaudare altre porte, potete

scegliere l'opzione User Specified Custom Port Probe, specificandone fino a sessantacinque per volta.

Dopo le prime 1056 verificabili con gli altri test, le porte più a rischio, perché usate da programmi molto diffusi, e quindi le più meritevoli di un test personalizzato sono le seguenti (fra parentesi il

programma o il servizio Windows che le usa): 

• TCP 1503 (NetMeeting), UDP 1701 (L2TP), TCP 1720 (Net-Meeting), TCP/UDP 1723 (PPTP), TCP 1731 (NetMeeting),UDP 1900 (SSDP), UDP 2001-2120 (Windows Messenger),

TCP 2869 (Universal Plug and Play), TCP 3002 e 3003 (Condivisione Connessione Internet), TCP 3389 (RDP), TCP 5000 (Universal Plug and Play), UDP 6801 (Windows Messenger),

TCP 6891-6900 e TCP/UDP 6901 (Windows Messenger).

Queste porte devono essere aperte se usate i servizi o programmi associati ad esse; altrimenti devono risultare chiuse.

La sezione LeakTest è ancora più severa: consente di collaudare la robustezza del vostro firewall per quel che riguarda i tentativi di uscita dal vostro computer. Per usarla, scaricate un piccolissimo quanto innocuo programma che simula il comportamento di un programma ostile, lo depositate in una cartella di prova e lo rinominate, dandogli il nome di un altro programma che avete già autorizzato (per esempio svchost.exe).

Se il vostro firewall è stupido e identifica i programmi autorizzati soltanto sulla base del loro nome e non del loro contenuto, il programma di prova riuscirà a uscire e contatterà Grc.com, avvisandovi del successo del test (e quindi del fallimento del vostro firewall). Se il vostro firewall si accorge dell'impostura, bloccherà il programma di prova, come mostrato nella Figura 5.3 nel caso di

Zone Alarm.

Alcuni produttori di antivirus e di altro software per la sicurezza informatica

offrono test gratuiti simili a quelli di Steve Gibson.

• Trend Micro, per esempio, offre Hacker Check, presso www.-hackercheck.com. Il servizio è in inglese e richiede una conferma di autorizzazione preventiva via e-mail.

• Anche Sygate offre un servizio analogo, sempre in inglese, presso scan.sygate.com.

• Se volete qualcosa in italiano, potete usare il test di Symantec, disponibile presso questo chilometrico indirizzo:

Secondo quanto indicato da Symantec, il test funziona soltanto con Internet Explorer e Netscape e richiede di accettare l'installazione di un piccolo programma apposito.

Le prime volte che si usa un firewall, capita che alcuni programmi cessino di funzionare. Il problema più classico è che diventa improvvisamente impossibile usare Internet Explorer, che prende a rispondere con il suo solito messaggio "impossibile visualizzare la pagina". Usando un altro programma di navigazione, invece, la pagina

Web desiderata è perfettamente visualizzabile. 

La causa più frequente di questo problema è che avete detto al firewall di vietare permanentemente a Internet Explorer di uscire, invece di dirgli di chiedervi il permesso ogni volta.

Se Internet Explorer è bloccato automaticamente, non riesce a uscire dal vostro computer e quindi non può contattare il sito desiderato.

Internet Explorer segnala il problema nell'unico modo che gli è dato, ossia dicendo (in tutta sincerità) che non riesce a visualizzare la pagina desiderata. Purtroppo non è abbastanza furbo da dirvi perché.

Una delle novità di maggiore spicco del Service Pack 2 è la presenza di una versione potenziata e soprattutto attivata automaticamente

del firewall già presente in XP, ribattezzata Windows Firewall.

È comunque consigliabile adottare un firewall alternativo, perché le prestazioni di Windows Firewall sono piuttosto limitate ed è già nota almeno una sua falla grave che in alcuni casi può rendere visibili a tutta Internet eventuali cartelle condivise del vostro PC.

Per fortuna, Microsoft ha avuto il buon senso di collaborare con le società che producono firewall alternativi e quindi se installate un altro firewall, Windows Firewall si disattiva automaticamente e cede il comando al concorrente.

Come con qualsiasi firewall, ci possono essere interferenze con il funzionamento di alcuni programmi che devono scambiare dati

con altri computer della rete locale o su Internet (per esempio i programmi di scambio file come WinMX, Kazaa o eMule). 

In tal caso occorre accedere alla schermata di configurazione di Windows Firewall (Start > Impostazioni > Pannello di controllo > Windows Firewall, 

oppure clic destro sull'icona di connessione nell'area di notifica) e aprire le porte usate da questi programmi.

Windows Firewall è comunque già preimpostato in modo da non interferire con il traffico generato dai programmi più diffusi e con quello generato all'interno di una rete locale, per cui le condivisioni delle stampanti e dei file non dovrebbero subire interferenze. In ogni caso, sul sito Microsoft è disponibile una miniguida di configurazione in italiano.

È possibile creare una lista di eccezioni, ossia di programmi autorizzati a ricevere comunicazioni dall'esterno. Questo è utile per i giochi online e per i programmi di scambio e di chat come MSN Messenger, che devono poter ricevere istruzioni dall'esterno. Si possono anche definire porte specifiche che il firewall deve lasciare aperte (mi raccomando, fatelo soltanto con molta cautela). È altamente sconsigliabile attivare la Condivisione file e stampanti se il vostro computer è collegato direttamente a Internet. Un aggressore può far leva su questo servizio

alla Rete: è facile dimenticarsi di disattivare la condivisione, esponendosi quindi a un rischio notevole. Se avete bisogno di attivare la Condivisione file e stampanti, attrezzatevi con un firewall hardware che si

interponga fra il vostro computer e Internet. Il firewall di Microsoft include anche una modalità "chiudere i boccaporti" facilmente attivabile tramite la casella Non consentire eccezioni.

Questa modalità va usata per le situazioni a rischio (Figura 5.4): per esempio, in occasione di un attacco virale particolarmente grave e pervasivo o quando viene scoperta una vulnerabilità

in un'applicazione o in un componente di Windows che accede a Internet.

Un'altra situazione in cui è opportuno "chiudere i boccaporti" è quando si effettua una connessione a Internet al di fuori della protezione della rete aziendale (come fa tipicamente il manager che si porta il PC portatile dell'ufficio a casa).

In questa modalità vengono scavalcate tutte le eccezioni che avete definito e quindi viene rifiutata ogni comunicazione iniziata dall'esterno:

sono ammesse soltanto quelle in partenza dal vostro computer, che in teoria dovrebbero essere legittime. In teoria.

L'integrazione di un firewall rimodernato in Windows XP non significa che si possono buttar via i firewall prodotti da terzi. Il prodotto

Microsoft ha al momento, anche nella sua incarnazione nel Service Pack 2, una limitazione non presente in molti dei suoi concorrenti:

consente automaticamente tutte le connessioni in uscita, a prescindere dal programma che le genera.

Detta così può sembrare una cosa poco importante. Che problema c'è? Se un programma esce dal vostro computer, è perché volete che esca, no? Quindi non c'è ragione di mettere blocchi in uscita: l'importante è che ci siano quelli in entrata, per tenere fuori i cattivi, e il firewall Microsoft li ha.

Purtroppo non è così semplice. Mettiamo che veniate infettati da un virus informatico o da uno dei loro cugini molesti, gli spyware (descritti in dettaglio in seguito): i tentativi di questi programmi ostili di raggiungere il proprio padrone o di disseminarsi non verranno fermati da Windows Firewall, come avviene invece con i firewall alternativi. Sarete insomma non soltanto infetti, ma anche untori.

In conclusione, il firewall integrato nel Service Pack 2 è meglio del colabrodo cosmico che Microsoft offriva prima e permette di collegare un PC Windows a Internet senza che si infetti automaticamente entro pochi minuti, ma non è ancora adeguato ai problemi di sicurezza odierni. Problemi di lingua e di costi a parte, vi troverete meglio con un firewall alternativo.

(C) 2004 Paolo Attivissimo (www.attivissimo.net). Questa pagina è liberamente fotocopiabile e distribuibile purché intatta.