28 Ago
Posted by: Andrea Lanfranchi in: Mondo IT
Vi dico subito che la mia categorica risposta in merito è un chiaro e secco NO !!! Non sono utili e, nella stragrande maggioranza dei casi, vi causano più problemi di quelli che avete già e che state cercando di risolvere utilizzando uno dei tantissimi programmi che si presentano come panacea di tutti i mali del registro di Windows.
Detto questo vorrei cercare di argomentare il perchè di questa mia posizione.
Prima di tutto bisogna capire cosa è il registro di sistema di Windows. Semplificando all’estremo è un’area nella quale Windows, e le applicazioni che vi sono installate, memorizzano importanti informazioni per il loro corretto funzionamento oltre a numerose impostazioni personalizzate dall’utente. Per esempio nel registro di sistema viene memorizzato quali debbano essere i servizi ad avvio automatico, se siete collegati ad un dominio oppure no, quali sono le impostazioni della vostra scheda di rete, quali componenti sono stati installati, fino a che spaziatura delle icone avete scelto per la visualizzazione delle icone sul desktop. Ovviamente questi esempi sono una parte meno che infinitesimale delle migliaia di informazioni che sono contenute nel registro di sistema di Windows. Più aumenta la complessità del sistema operativo e delle applicazioni che vi sono installate, più il numero delle chiavi e dei valori che sono memorizzati nel registro aumenta. Per chi volesse farsi una cultura più approfondita sull’argomento vi consiglio questa pagina di Wikipedia.
Tuttavia la prima cosa da tenere bene a mente quando si affrontano problematiche legate, o riconducibili, al registro di sistema è la seguente : il registro di sistema è fatto, appunto, per il sistema, non per l’utente. Non aver chiaro questo concetto porta a problematiche conseguenze: dal momento che il registro di sistema è poco intellegibile per l’utente ci si affida ciecamente a prodotti di terze parti per la sua pulizia e manutenzione e, ancora, dato che quell’accrocchio di chiavi e valori presenta degli errori (secondo il programma che avete scelto per farne la pulizia) il problema della lentezza del computer o del suo malfunzionamento deve essere per forza li.
Allora vi propongo un piccolo test: procuratevi una copia aggiornata di CCleaner (sicuramente uno dei più accreditati prodotti per la manutenzione e la puliza del sistema) ed un computer nuovo nuovo senza sistema operativo installato e, da zero, installatevi Windows XP o Windows Vista da un CD originale. (se non avete la possibilità di farlo su un computer nuovo potete facilmente crearvi un pc virtuale utilizzando VirtualBox o VirtualPc). Subito dopo l’installazione e senza che vi siatema MAI collegati ad internet, senza aver installato nient’altro che il sistema operativo, senza aver modificato nessuna impostazione (a parte quelle richiestevi durante la procedura di installazione del sistema operativo), installate CCleaner e fategli fare un’analisi del registro. Troverà diverse chiavi che secondo lui sono errate e devono essere corrette. Eppure vi trovate nella “migliore” posizione che tanti sedicenti esperti vi consigliano nel momento in cui avete qualche problema apparentemente irrisolvibile con il computer : formatta e reinstalla (santo cielo quanto tempo perso). E allora perchè CCleaner trova degli errori ? Il computer è veloce e funziona bene.
Le risposta è presto detta: non esiste nessun tool per la pulizia del registro che sia completamente sicuro e che sappia esattamente cosa deve e cosa non deve esserci nel registro di sistema. CCleaner incluso. Tutte le chiavi ed i valori vanno analizzate secondo le configurazioni specifiche della macchina, secondo il software installato e questa combinazione varia da caso a caso. Potete immaginare un tool per il registro di sistema che sappia contemplare tutte le possibili chiavi corrette per tutti i software che esistono al mondo per windows in tutte le loro possibili combinazioni di installazione ? C’è chi ha installato Visual Studio e MS Office, c’è chi dispone di Adobe ma non di Visual Studio e installa Open Office, c’è chi usa Lotus Domino, chi lavora nella grafica e utilizza programmi specifici, c’è chi ha installato programmi sviluppati ad-hoc che per qualche motivo inseriscono chiavi e valori apparentemente inutili, senza riferimenti coerenti ma che per lo sviluppatore devono esserci. Ecc. Ecc. Ecc.
L’unico caso in cui il registro di sistema può essere causa di un grave malfunzionamento del computer è quando uno o più file dei quali è composto risultino danneggiati o non accessibili. Le dimensioni del registro e/o la presenza di chiavi o valori inutili non hanno mai portato ad alcuna evidenza reale di degrado delle prestazioni del computer ed il presunto aumento di velocità che si otterrebbe dalla puliza del registro è solo una grande balla venduta ad arte da moltissimi produttori di strumenti a pagamento per la pulizia del registro.
L’accesso, da parte del sistema operativo o da parte delle applicazioni, alle chiavi del registro avviene, appunto, per chiavi indicizzate: nessun programma “va alla ricerca di una chiave” come potreste fare voi utilizzando regedit. Punta diretto alla chiave che si aspetta di trovare e ne legge il valore. In alcuni casi vengono enumerate le eventuali sottochiavi ma si tratta pur sempre di letture sequenziali di infinitesime parti di una porzione già nota ed istantaneamente individuata all’interno del registro.
Al contrario se con regedit non sapete esattamente cosa state cercando e imponete una ricerca libera di chiavi o valori che contengono una determinata stringa o numero è evidente che più è alto il numero di dati contenuti nel registro, più sarà lunga l’operazione di ricerca di ciò che volete ottenere. Questo induce alla errata percezione che un registro “snello” possa velocizzare il sistema in generale ma non è così, perchè, come appena spiegato, durante il normale funzionamento del computer, tutte le applicazioni che hanno bisogno di leggere o scrivere qualche cosa dal/nel registro accedono direttamente, mediante chiavi senza fare ricerche top-down.
L’unica considerazione sensata relativa ad un collegamento tra le prestazioni della macchina ed il registro di sistema è questa: il registro di sistema è contenuto su file e se i file che lo compongono sono altamente frammentati, la lettura di questi file può essere rallentata come per qualsiasi altro file perchè il sistema operativo deve leggere dal disco i dati da posizioni diverse e non contigue. L’unico modo per ottimizzare la lettura da disco dei file che compongono il registro di sistema è quello di riscrivere l’intero contenuto dei file in aree su disco contigue. Ma non è quello che fanno i registry-cleaners: al contrario l’utilizzo frequente di tool per la pulizia del registro crea, attraverso la continua cancellazione delle chiavi e dei valori di registri ritenuti non corretti, crea dei piccoli spazi all’interno dei file che li rendono, alla lunga, altamente frammentati. Piuttosto, se proprio volete addossare le colpe di un degrado di performance al registro di sistema, cercate di deframmentarlo: l’ottimo PageDefrag di Sysinternals è quello che serve.
Ma convincetevi del fatto che è mille volte meglio avere il registro di sistema popolato con qualche decina o centinaia di chiave orfane piuttosto che far cancellare da un pulitore chiavi importanti (ricordatevi … importanti non per l’utente ma per il sistema). Ho visto troppe volte utenti che hanno zappato centinaia di chiavi senza pensarci solo perchè lo dice CCleaner (o altro programma come Advanced System Care o PCTools o chi più ne ha più ne metta) per poi accorgersi che (giusto per fare un esempio) MS Office al primo avvio richiede i CD di installazione, il tal programma non trova più i suoi file di help, estensioni associate a programmi non sono più leggibili … ecc. ecc.
Se dovete fare qualche modifica al registro di sistema (perchè magari un’analisi eseguita con HiJackThis rileva qualche impostazione che va corretta) fatelo a mano con regedit oppure, se non siete sicuri di cosa fare, fatevi aiutare da un esperto magari chiedendo consigli in un forum. Ma se non avete particolari problemi con il pc a parte un po’ di lentezza, lasciate tranquillo il registro e non fate girare alcun tool di pulizia del registro.
Probabilmente ci sarà chi argomenterà, anche con violenza, che CCleaner (o altri) sono eccellenti programmi: in parte è vero, anche io lo uso, ma solo per eccellenti funzionalità come la pulizia dei file temporanei, l’eliminazione delle cronologie di esplorazione ecc. Se devo usarlo per l’analisi del registro lo uso solo per ottenere dei suggerimenti ma non mi sognerei mai di fargli applicare tout-cour tutte le azioni che propone.
In conclusione tenete sempre a mente che il registro di sistema è un componente chiave del sistema operativo ed il suo danneggiamento o la sua manipolazione possono portare a risultati ben peggiori di quelli che si intendeva ottenere. Lasciate perdere i registry-cleaners … vi salverete anche dal fatto che moltissimi di questi in realtà non puliranno e non ottimizzeranno proprio nulla: sono fatti solo per installare sul vostro computer software che non vorreste mai.
26 Ago
Posted by: Andrea Lanfranchi in: Mondo IT
Gli autori di codice malevolo fanno di tutto, con eccellenti risultati in verità, per eludere difese e protezioni messe a guardia del pc. Il loro obiettivo primario, a dispetto di quello che si può immaginare, non è creare danni immediati al computer quanto piuttosto quello di intrufolarsi all’interno del computer e stare ben nascosti cercando di svolgere attività poco lecite come ad esempio fregarvi dati personali, usare la vostra macchina come base di lancio per attacchi ad altri computer o server, sfruttare le vostre connessioni di rete locale per propagarsi agli altri computer dell’azienda o di casa. Insomma … cercare di fare i loro comodi con il minimo impatto sulla vostra percezione di qualcosa che non va’. Infatti, più è il tempo che passa senza che voi vi accorgiate di nulla, più è il tempo che il malware ha a disposizione per compiere i suoi misfatti.
Come sempre amo ricordare, affidarsi solo ad un buon antivirus/antimalware, non è sufficiente. La tecnologia alla base della rilevazione di virus e malware in genere è, concettualmente, vecchia di anni: i grandi produttori dei noti marchi di antivirus dispongono di laboratori di analisi che passano il tempo a studiare nuovi esempi (sample) di codice malevolo raccolto da macchine infette o segnalato dai loro utenti, compilano elenchi di nuove impronte da rilasciare in aggiornamento (siamo alla data attuale nell’ordine delle migliaia al giorno) e le distribuiscono tramite il web. I rovesci della medaglia sono presto detti: delle centinaia di migliaia di impronte virali che il vostro antivirus o antimalware è istruito a riconoscere più del 97% non è e non sarà mai di alcun interesse per il vostro computer – con evidenti ripercussioni sulle prestazioni del computer -, gli aggiornamenti arrivano – inevitabilmente – con un ritardo di qualche ora che, per infezioni a rapidissima diffusione, potrebbero essere fatali e, da ultimo, l’intero sistema di protezione si regge sull’assunto che il pc funzioni correttamente per poter ricevere gli aggiornamenti via web. Specialmente in questo ultimo caso è facile intuire come molti codici malevoli abbiano come obiettivo da colpire la risoluzione dei nomi internet all’interno del computer in modo che l’antivirus non sappia più dove andare a richiedere i propri aggiornamenti.
Ma in definitiva, come ci si può accorgere se la macchina è stata in qualche modo infettata ? Elevando la propria percezione di qualcosa che non va come dovrebbe. E l’unico modo per farlo è quello di imparare a conoscere cosa c’è nel computer e come funziona per potersi accorgere di cosa non dovrebbe esserci. Per questo è essenziale crearsi una “base” di partenza dalla quale poter partire nell’analisi dei possibili casi di infezione a cui il vostro antivirus o antimalware non ha potuto/saputo porre rimedio.
Ma quali strumenti utilizzare ? Ve ne sono molti, anche alcuni che sicuramente mi sfuggono, che possono aiutarvi ad individuare eventuali ospiti non invitati.
Con Process Explorer è possibile elencare quali processi siano attualmente in esecuzione sul computer e descrive le funzione di ogni processo. Ma la cosa più importante è che con Process Explorer potete salvare una “situazione base” dello stato dei processi del pc e, nel caso in cui iniziate a rilevare comportamenti anomali, confrontare una nuova analisi con una precedentemente salvata per cercare di individuare cosa c’è di nuovo che non dovrebbe esserci. Ogni differenza rilevata può essere un punto di partenza per iniziare ad investigare sulla eventuale presenza di malware.
HiJackThis è una sorta di Process Explorer con funzionalità aggiuntive e l’indubbia eccellente caratteristica di essere facilmente utilizzabile anche da chi non sia particolarmente esperto di sistemi operativi. La creazione di una situazione di base (ottenuta quando si è sicuri che il computer stia funzionando al meglio) è estremamente facile ed utilissima per individuare le differenze che, nel tempo, si possono verificare. Nel caso in cui non siate in grado di interpretare il risultato dell’analisi di HiJackThis, niente paura: vi sono dei siti che possono interpretarlo per voi dandovi immediatamente evidenza di cosa c’è di buono e cosa di cattivo in esecuzione sul computer. I due più famosi sono HiJackThis.de e Networktechs.com: semplicemente copiate l’esito dell’analisi nella casella della pagina web, date invio e aspettate il risultato.
Se, invece, desiderate ottenere il parere di un esperto potete sempre consultare il forum di HijackThis (in lingua inglese) o, se non avete dimestichezza con la lingua, rivolgervi ad uno dei tanti forum in lingua italiana che possono darvi assistenza come ad esempio pc-facile.com.
Attenzione : la rimozione dei processi o delle chiavi di registro suggerite dall’applicazione potrebbe non sempre essere la soluzione adatta ai vostri problemi. E’ importante disporre di una buona base di conoscenza per capire quali effetti produrrà il vostro intervento soprattutto sul registro di sistema. Nel dubbio … chiedete, chiedete, chiedete !!!!
Questi due strumenti costituiscono già una buona base di partenza, ma come è intuibile, esprimono tutta la loro utilità quando ci stiamo accorgendo che c’è qualcosa che non funziona a dovere, quindi quando verosimilmente il codice malevolo si è già installato nel computer.
Come si può allora evitare di lasciare troppe porte aperte alle infezioni ? La risposta sta nei frequenti aggiornamenti che Microsoft rilascia di continuo per i propri sistemi operativi e per le proprie applicazioni. Si tratta di aggiornamenti importanti che nella stragrande maggioranza dei casi hanno lo scopo di mettere delle pezze (patch) alle vulnerabilità via via rilevate nel tempo. Sono proprio queste vulnerabilità che, se non corrette adeguatamente, diventano autostrade aperte alle infezioni. Emblematico è il caso della recente infezione di Conficker (altrimenti noto come Downadup): i computer regolarmente aggiornati con tutte le patch di sicurezza hanno resistito all’infezione mentre quelli NON aggiornati se la sono beccata con un indice di infezione altissimo.
Il consiglio quindi è sempre lo stesso : eseguite gli aggiornamenti del sistema operativo con regolarità, anche tutti i giorni. Obiezioni del tipo “non monto la service pack x perchè se no mi rallenta il computer” sono semplicemente sciocche e potrebbero farvi rimpiangere di non essere intervenuti prima. In termini di sicurezza è molto meglio avere un sistema operativo aggiornato con tutte le patch di sicurezza piuttosto che aggiornare quotidianamente l’antivirus. Ricordate sempre che uno dei fattori su cui fanno leva gli autori del codice malevolo è proprio il fatto che sanno perfettamente che molta parte dei computer non è aggiornata e quindi vi sono vulnerabilità da sfruttare.
Per cercare di capire a quali rischi di vulnerabilità sia esposto il vostro computer, e ovviamente metterci le opportune pezze di protezione, potete usare questi strumenti:
Microsoft Baseline Security Analyzer è uno scanner di vulnerabilità che rileva le impostazioni di configurazione non sicure e verifica, in tutti i prodotti Microsoft installati sul pc (incluso il sistema operativo Windows ovviamente) quali patch di sicurezza non siano state applicate e che quindi sono necessarie. Purtroppo è disponibile solo in lingua inglese.
Come per MBSA anche gli scanner di Secunia ricercano le vulnerabilità non corrette all’interno del computer, ma a differenza del prodotto Microsoft, includono nella scansione anche prodotti software di terze parti (ovvero non Microsoft), il che li rendono ovviamente più completi. Sia gli scanner on-line che quelli client offrono un’interfaccia intuitiva su cosa ci sia che non va e sul modo per porvi rimedio. Quando possibile indicano anche il collegamento diretto alla pagina del produttore il cui software deve essere corretto per il download degli aggiornamenti.
Tuttavia le cose non sempre facili come sembrano. A questo punto non fatevi trarre in inganno dall’assunto “nessuna vulnerbilità … nessun punto di accesso per il malware”: esiste del malware particolarmente insidioso che ricade nelle classi comunemente chiamate zero-day. Un’attacco di questo tipo sfrutta vulnerabilità ancora sconosciute, soprattutto al produttore del software e che, ovviamente, non vengono rilevate dai precedenti scanner come vulnerabilità da correggere. E’ a questo punto che entra in gioco la scelta di un buon antivirus specialmente se in grado di offrire una protezione euristica.
Ultimamente gli antivirus stanno perdendo molto della loro rispettabilità a causa della intrinseca impossibilità di raggiungimento del 100% di rilevazione delle infezioni conosciute e non conosciute. Tuttavia non è una buona idea tenere un computer senza antivirus: è troppo rischioso. Personalmente ho optato per TrustPort che offre una soluzione di scansione basata su diversi motori : quello che non trova l’uno, si spera, trova l’altro. Non voglio comunque accendere le solite frequenti e violente discussioni su quale antivirus sia il migliore.
Anche qui, comunque, l’antivirus non è sufficiente dal momento che la loro tecnica di rilevazione si basa su collezioni di impronte virali e su una analisi euristica dalle limitate capacità di indagine. I writers di virus e di codice malevolo in genere utilizzano tecniche di morphing (mascheramento) del loro codice, rendendo impossibile il confronto delle impronte virabile e confondendo l’analisi euristica. Scegliete dunque con cura il vostro antivirus/antimalware prestando moltissima attenzione e senza cadere nelle facili trappole di malware che si fingono degli antivirus (come ad esempio antivirus 2009).
A coadiuvare l’attività del vostro antivirus potrete comunque adottare anche altri tipi di programmi letteralmente chiamati Antimalware Enforcers (rafforzatori).
Malicious Software Removal Tool è in generale un buon strumento per la rilevazione e rimozione del malware se non altro per il fatto che è prodotto dalla stessa Microsoft: in linea di principio almeno loro sanno quale codice, di windows o delle loro applicazioni, è legittimo o è malware. Gli aspetti salienti di questa applicazione sono principalmente da ricondursi al fatto che il processo di rimozione dell’eventuale malware è completamente automatico, ed i suoi aggiornamenti vengono rilasciati tramite Windows Update.
Windows Defender è uno strumento, gratuito, di protezione dallo spyware. In generale non gode di un’ottima reputazione, ma secondo me questa cattiva fama gli è stata appioppata a torto. Sicuramente non è uno degli strumenti più efficaci nella rimozione del malware ma dispone di una caratteristica saliente che lo fa apprezzare da un’utenza poco esperta: la notifica immediata delle modifiche in corso in importanti chiavi di registro oltre a strumenti per l’analisi dei programmi in esecuzione. Potrebbe essere validamente inserito anche nel primo gruppo di applicazioni (vedi in cima all’articolo).
Questo strumento fornito da BleepingComputers è veramente impressionante per quanto delicato da utilizzare. L’ho testato in diverse occasioni con ottimi successo. Piuttosto che fornire il link diretto al download preferisco rimandarvi alla pagina di spiegazioni all’uso perchè, come consiglia lo stesso sito, non dovrebbe essere utilizzato senza l’assistenza di un esperto.
Sicuramente Malwarebyte’s AntiMalware (MBAM) è tra gli strumenti di maggiore successo, forse il migliore, nella rilevazione e rimozione del malware di ultima generazione.
GMER è un tool per la rilevazione di un malware particolare : i rootkit. Nonostante la rimozione dei rootkit sia operazione particolarmente complessa, GMER ha ottenuto ottimi risultati in questo delicatissimo campo.
In conclusione, con gli strumenti indicati, e mantenendo sempre viva la curiosità e la voglia di farsi aiutare, riuscirete ad aumentare notevolmente la vostra sicurezza specialmente se avrete SEMPRE l’accortezza di mantenere i vostri sistemi aggiornati.
24 Ago
Posted by: Andrea Lanfranchi in: Mondo IT
Quante volte accade che facciate ai vostri clienti una domanda di questo tipo : ” Scusi, non capisco quello che mi sta descrivendo, mi può mandare un’immagine dello schermo con print-screen ? ”
Il più delle volte, di fronte ad una richiesta del genere, dall’altra parte dell’apparecchio si sente un rumore come di vento leggero che soffia in una grotta: vuoto e terrore ! Al che io inizio … ” Guardi … si fa così. Faccia in modo che appaia la finestra con l’errore e poi prema, mi raccomando insieme, i tasti ALT e STAMP, così possiamo copiar…. “. Vengo interrotto bruscamente: ” Ah si si … ho capito … faccio io … gliela mando subito.”
Passano pochi minuti e nella mia mailbox arriva un messaggio da nomedelclientestupido@ilsuodominio senza oggetto, senza testo e con solo un allegato che si chiama … Senza Nome.Doc (se va bene … altrimenti è Senza Nome.DOCX !!!!! stracakkio) … sospiro ! Apro il documento e apprezzo il fatto che clientestupido ha incollato l’immagine del suo wide-screen-con-risoluzione-da-paura in un formato A4 che ovviamente non riesce a contenerlo e quindi ha tagliato l’immagine … guardacaso proprio nella parte che mi interessava guardare.
Ma santo cielo : ci vuole tanto a capire che un’immagine può vivere di vita propria ? Possibile che Word sia l’unica cosa che ti viene in mente per mandarmi un’immagine ? E se non ho Word, che faccio ?
Per coloro che vogliono imparare e, soprattutto, vogliono salvare la vita ed i nervi di chi, pazientemente, cerca di darvi una mano con il computer, la procedura corretta è la seguente:
Per ogni volta che seguirete queste semplici indicazioni ci sarà un tennnnico del computer che vi ringrazierà dal profondo del cuore.