© 2004-2006 Paolo Attivissimo. Some rights reserved.
Ultimo aggiornamento: 2 marzo 2006. Versione di Zone Alarm: 6.1.744.
Sicuramente gli esperti storceranno il naso, additando firewall ben più potenti di quello che vi propongo, ma ho scelto la versione gratuita di Zone Alarm perché è un compromesso sensato di prezzo, facilità d'uso ed efficacia.
Anche nella sua versione gratuita, è sempre meglio che esporre a Internet un computer indifeso. E' come un casco per la moto: non vi salverà la vita se vi centra un carro armato, ma vi proteggerà dagli incidenti più comuni. Le protezioni più pesanti ci sono, ma sono anche più difficili da gestire. E se sono difficili, finisce che non vengono usate.
In ogni caso, anche se scegliete un altro prodotto, leggete lo stesso come si installa e configura Zone Alarm: i concetti descritti si applicano anche a tutti gli altri firewall.
E' abbastanza spontaneo dubitare di qualsiasi cosa ci venga offerta gratuitamente. Dove sta la fregatura? Be', in questo caso la fregatura non c'è: Zone Labs, la società produttrice di Zone Alarm, ha realizzato varie versioni del proprio firewall. Una è gratuita, le altre no. Quella gratuita serve come oggetto promozionale per invogliarvi a comperare le versioni a pagamento, più ricche di funzioni.
La versione gratuita è comunque sufficiente per l'uso normale, e potete usarla tranquillamente senza dover passare a quelle commerciali se rispettate le condizioni di licenza (uso gratuito per utenti privati, non per lavoro) e se sopportate un pochino di promozione pubblicitaria delle versioni a pagamento. Anche i programmatori devono guadagnarsi la pagnotta in qualche modo.
Questo articolo descrive l'installazione di Zone Alarm 6 su un computer con Windows XP italiano dotato di Service Pack 2 e nel quale non è già presente una versione precedente di Zone Alarm. In caso di aggiornamento di uno Zone Alarm preesistente, l'installazione è molto più breve e non è necessaria alcuna configurazione, dato che Zone Alarm attinge alla configurazione preesistente. Ho aggiunto alcuni appunti che ne tengono conto.
La 5.1 è stata la prima versione di Zone Alarm compatibile con il Service Pack 2. Le versioni precedenti funzionano, ma non vengono riconosciute dal Centro Sicurezza di Windows installato dal Service Pack 2.
Procurarsi la versione gratuita di Zone Alarm non è difficile; la trovate spesso distribuita nelle riviste d'informatica, o la potete scaricare direttamente dal sito di Zone Labs (www.zonelabs.com).
Con ovvie intenzioni promozionali, il sito non fornisce un accesso immediato e intuitivo alla versione gratuita, mentre quella a pagamento è propagandata con insistenza. Cercate un collegamento intitolato "Free Zone Alarm" e seguitelo, cercando la frase magica free download (scaricamento gratuito). A un certo punto vi verrà chiesto se volete salvare nel vostro computer un file che ha un nome del tipo zlsSetup_61_744_000_en.exe o simile: fatelo. Il file è piuttosto grande (circa 10 megabyte).
Per primissima cosa, scollegatevi da Internet. Avete già rischiato abbastanza sin qui, collegando Windows a Internet senza protezione (o con la protezione modesta del firewall integrato, se aveete il Service Pack 2): non è il caso di rischiare ulteriormente, specialmente nel momento in cui state installando un nuovo programma.
Lanciate il programma di installazione di Zone Alarm, ossia il file che avete appena scaricato o trovato nella rivista. La prima finestra di dialogo vi chiede dove volete installare il firewall. Potete tranquillamente accettare la cartella proposta, oppure cambiarla cliccando su Browse. Al termine, cliccate su Next.
Non preoccupatevi se Windows fa comparire un fumetto che vi avvisa che "Il computer potrebbe essere esposto a rischi" perché non c'è "nessun firewall attivato". Ignorate pure il fumetto. Va bene così: Zone Alarm ha infatti disattivato il firewall integrato in Windows perché ne prenderà il posto.
Nella finestra di dialogo successiva, intitolata User information, immettete il vostro nome e (facoltativamente) quello della vostra ditta: tenete presente che Zone Alarm è gratuito soltanto per uso personale. Immettete anche il vostro indirizzo di e-mail, in modo che possiate ricevere le notifiche degli aggiornamenti (e, ahimè, un po' di pubblicità).
Lasciate attivate le caselle I want to register Zone Alarm so I can download updates e Inform me about important updates and news, che consentono a Zone Alarm di ricevere un avviso automatico quando esce una nuova versione del firewall che magari tura qualche falla di quella corrente. Cliccate su Next.
Se state aggiornando uno Zone Alarm preesistente, vi viene chiesto se volete fare un'installazione che erediti le impostazioni dello Zone Alarm preesistente (Upgrade) o se volete ripartire da zero (Clean install).
Nella schermata successiva, License agreement, viene presentato l'accordo di licenza (in inglese). Leggetelo, se sapete l'inglese, e poi accettatelo attivando la casella I accept the terms of the preceding License Agreement. Avviate l'installazione cliccando su Install. Sembra non succedere nulla, ma attendete con fiducia.
Se state aggiornando Zone Alarm, compare l'avviso This is a security check from the Zone Labs security engine... In pratica, Zone Alarm "vecchio" si è accorto che volete sostituirlo e vi chiede conferma di questa vostra decisione (caso mai si tratti invece di un tentativo di disattivazione effettuato da un programma ostile). Rispondete pertanto Yes.
Dopo una breve pausa, inizia la copia dei file. Poi parte un sondaggio: rispondete scegliendo le risposte più pertinenti alle domande su come vi collegate a Internet, come pensate di cavarvela in fatto di sicurezza, quanti computer possedete o gestite, che tipo di computer proteggerete con Zone Alarm, eccetera. Al termine, cliccate su Finish.
Compare la richiesta Setup is complete. Do you want to start ZoneAlarm now? In altre parole, l'installazione vera e propria del firewall è finita, e Zone Alarm vuole sapere se lo volete attivare subito. Rispondete cliccando su Yes.
A questo punto tocca sorbirsi un po' di pubblicità. La finestra di dialogo che compare è intitolata License Wizard; se non volete provare la versione Pro gratuitamente per quindici giorni e vi accontentate della versione gratuita, che è quella che descrivo qui, attivate Select ZoneAlarm e cliccate su Next.
Nella schermata successiva, quella che inizia con "Within minutes...", cliccate su Finish. Nella schermata che compare a questo punto, cliccate su Finish (non su Next; fidatevi) e poi su Done.
Fatto questo, Zone Alarm vi chiede di riavviare il computer. Accettate cliccando su OK.
Al riavvio di Windows, può comparire un tutorial (una sorta di breve spiegazione del funzionamento di Zone Alarm). Se compare, saltatelo pure, cliccando su Finish.
Non vi allarmate se compare un fumetto "Security Alert" che parla di "Changed program": cliccate ripetutamente su Allow per farlo scomparire temporaneamente. Se compaiono altri allarmi, cliccate su OK. Tanto siete scollegati da Internet, per cui nessuno vi può attaccare.
Ora finalmente siete a tu per tu con la schermata principale di Zone Alarm. Come noterete, è organizzata in modo diverso dalle tradizionali schermate dei programmi per Windows: non c'è una barra menu in alto. L'equivalente della barra menu è la banda gialla verticale a sinistra, dove trovate le sezioni Overview, Firewall, Program Control, eccetera.
Ciascuna sezione è suddivisa in sottosezioni, identificate dalle linguette cliccabili in alto a destra. Per esempio, nella sezione Overview potete cliccare su Preferences per regolare le impostazioni preferite di Zone Alarm.
Per il momento non c'è molto da configurare, tranne la sezione Alerts & Logs, dove scegliete se Zone Alarm deve avvisarvi o no ogni volta che rileva e blocca del traffico sospetto in entrata (ossia tentativi di penetrazione legittima o meno dall'esterno). Se volete farvi un'idea di quanto siano frequenti i tentativi d'intrusione, lasciate attivata (On) l'opzione Alert Events Shown per qualche giorno; ma vi garantisco che vi stuferete molto presto di ricevere allarmi in continuazione e la imposterete a Off.
Qualunque sia l'impostazione che scegliete, verrete avvisati comunque se un programma del vostro computer tenta di uscire (cosa che il firewall di Windows non fa: lascia uscire qualunque cosa). Quest'opzione, infatti, riguarda soltanto gli allarmi per così dire minori, che in pratica non richiedono il vostro intervento.
Le altre sezioni del programma possono attendere: è il momento di terminare la configurazione iniziale di Zone Alarm.
Riducete a icona Zone Alarm, poi cliccate col pulsante destro del mouse sul pulsante di Zone Alarm nella barra delle applicazioni e scegliete Send to Tray. Compare una finestra di dialogo di promemoria, nella quale potete tranquillamente attivare Don't show this message again e poi cliccare su OK. Tutto questo fa in modo che Zone Alarm sparisca dalla barra delle applicazioni e ricompaia come icona nell'area di notifica.
Chiudete Windows e riavviate. Durante la chiusura, Zone Alarm può chiedere di salvare dei dati: in tal caso, accettate. Ora, finalmente, potete ricollegarvi a Internet in modo un po' più sicuro: Zone Alarm si avvia automaticamente e vi protegge.
Se avete installato il Service Pack 2, Zone Alarm viene riconosciuto dal Centro Sicurezza di Windows e disattiva automaticamente il firewall incorporato in Windows, prendendone il posto.
Ora mi fermo un attimo a raccontarvi come funziona Zone Alarm e da dove prende il proprio nome.
Il nome Zone Alarm deriva dal fatto che il firewall divide l'universo informatico in due zone:
Per esempio, se avete un altro computer nella vostra rete locale e volete permettergli di condividere i file e le stampanti del computer sul quale avete installato il firewall, dovete dire a Zone Alarm di mettere l'altro computer nella zona Trusted.
Se non volete dare quest'autorizzazione e anzi volete impedire agli altri utenti della rete locale di sbirciare nei vostri file, non dovete fare nulla: Zone Alarm parte dal saggio presupposto che se non gli dite specificamente "fidati, questo è un amico", non si fida di nessuno.
Se cliccate su Firewall e scegliete la scheda Main, troverete due cursori che consentono di regolare il livello di paranoia delle due zone:
L'altra sottosezione di Firewall, denominata Zones, è quella in cui si indicano a Zone Alarm i computer di cui si può fidare. Se non avete altri computer, non avete nulla da configurare in questa sottosezione. Se invece avete uno o più altri computer collegati in una rete locale e volete consentire loro di superare il firewall e condividere file e stampanti, procedete come segue:
Se avete molti computer da rendere fidati, invece di specificare i loro indirizzi uno per uno potete specificare una gamma di indirizzi IP: quando cliccate su Add, scegliete IP Range e immettete l'indirizzo IP di partenza e quello finale della gamma che volete autorizzare.
Siate molto circospetti nel concedere fiducia. Anche i computer della rete locale possono essere una fonte di infezione o di attacco, sia perché possono infettarsi e poi tentare di infettare voi, sia perché i loro utenti possono essere incompetenti o addirittura ostili. Capita più spesso di quanto possiate pensare che un collega faccia dispetti o venga a sbirciare o sabotare.
In particolare, tenete presente che i dispositivi tramite i quali accedete a Internet non vanno considerati fidati. Non è necessario mettere nella zona Trusted il modem, la scheda di rete, il router o l'access point (se non sapete cosa sono, fa niente); anzi, è altamente sconsigliabile.
Un'altra sezione da configurare subito è E-mail protection. Il suo scopo è filtrare gli allegati che vi arrivano nella posta e tentare di eliminare quelli potenzialmente pericolosi. Dico tentare perché nella versione gratuita di Zone Alarm questa funzione è molto limitata: in pratica blocca soltanto alcuni tipi di allegati pericolosi (gli script VBS, se vi interessano i dettagli tecnici).
Tuttavia, dato che la sicurezza è una questione di difese multiple, tutto fa brodo, per cui ben venga anche questa piccola protezione in più. Il grosso delle difese contro gli allegati infetti, comunque, spetta all'antivirus. Morale della favola: attivate la voce On di questa sezione.
Provate a collegarvi a Internet e a fare quello che fate normalmente al computer: inviare la posta, navigare nel Web, chattare con gli amici, eccetera. Noterete subito che la musica è cambiata e che il vostro nuovo buttafuori digitale è molto attivo e sospettoso.
La prima volta che lanciate per esempio un browser, infatti, Zone Alarm fa comparire un fumetto che avvisa di un tentativo di comunicazione non autorizzato (o per meglio dire non ancora autorizzato) e vi chiede se consentire la comunicazione o bloccarla.
L'allerta con la dicitura New Program indica che Zone Alarm ha rilevato un tentativo di uscita di un programma che gli è sconosciuto (lo sono tutti per forza di cose, se avete appena installato il firewall). Notate che Zone Alarm, a differenza del firewall integrato in Windows, sorveglia anche i tentativi di uscita, anziché soltanto quelli di entrata.
Sappiamo che il programma che vuole uscire è Netscape perché Zone Alarm ne indica il nome dopo Do you want to allow ("Vuoi autorizzare...") e specifica il nome del relativo file eseguibile accanto ad Application (in questo caso netscp.exe).
Ma il firewall ora vuole sapere cosa fare del programma che ha bloccato. A voi la scelta:
La scelta della risposta dipende ovviamente dalla natura del programma che sta tentando di uscire. Per esempio, se è il vostro programma di posta che sta tentando di collegarsi a Internet, vi conviene autorizzarlo in via definitiva.
In sostanza, tutti i programmi che usate normalmente per Internet (tranne Internet Explorer, che va usato solo per i siti fidati e comunque sotto stretta sorveglianza) vanno autorizzati permanentemente, così Zone Alarm non vi tormenterà con richieste a ripetizione.
A volte il fumetto di Zone Alarm ha una banda blu e reca la dicitura Server program. In tal caso, la prudenza deve essere massima. Un server è infatti (in questo contesto) un programma che accetta comandi dall'esterno. Internet Explorer o il vostro programma di posta, per esempio, non sono server, perché sono loro a prendere l'iniziativa di chiedere dati all'esterno o di spedirli (in gergo tecnico sono client).
Un programma server, invece, rimane in ascolto in attesa di un'iniziativa esterna. Molti componenti regolari di Windows si comportano in questo modo, ma lo fanno anche praticamente tutti i programmi ostili: restano in attesa di ordini dal loro oscuro padrone.
In altre parole, avere un programma che è permanentemente in attesa di comandi dall'esterno è sempre e comunque una Pessima Idea, perché offre un appiglio agli aggressori. Se il programma server è un componente di Windows, non c'è troppo da preoccuparsi, ma se domani si scopre una falla nella sicurezza di quel componente (e capita anche troppo spesso), vi trovate con un programma vulnerabile pronto a ricevere ordini dal vandalo di turno.
Ricordate pertanto di prestare moltissima attenzione a questi avvisi, perché possono fare un'enorme differenza in termini di sicurezza. Anche qui vale il principio generale già citato prima: bloccare qualsiasi programma che richiede l'autorizzazione come server fino a che si dimostra che è innocuo e soprattutto necessario.
Se un programma fa comparire l'allarme Server, provate a negargli temporaneamente il permesso di comunicare, anche se si tratta di un componente di Windows. Se il computer funziona lo stesso, rendete pure permanente il divieto: se non serve, perché correre rischi superflui? Se il computer non funziona, concedete l'autorizzazione, ma soltanto dopo aver esaminato bene il caso, magari chiedendo lumi ad amici esperti.
A volte uno stesso programma può far comparire sia l'allarme normale, sia quello Server. In questo caso, ciascuno degli allarmi va indagato separatamente, e l'autorizzazione come server va concessa soltanto con estrema riluttanza.
Tutto questo vi può sembrare complicato e paranoico, ma in realtà dopo qualche giorno di navigazione imparerete a riconoscere la manciata di programmi e componenti di Windows che hanno effettivamente bisogno di accedere a Internet e darete ordini permanenti a Zone Alarm.
A quel punto, Zone Alarm smetterà di interpellarvi e diventerà un guardiano silenzioso ma sempre pronto a scattare se gli si presenta di fronte una faccia nuova.
Scoprirete, fra l'altro, che molti programmi tentano di andare su Internet senza alcun motivo apparente. Installare un firewall vi farà capire quante cose avvengono alle vostre spalle, e non sempre per ragioni positive.
Se cambiate versione di un programma oppure lo reinstallate o lo spostate a una cartella diversa, Zone Alarm è abbastanza furbo da accorgersene. Per esempio, dopo che ho installato una nuova versione del browser Firefox, Zone Alarm ha reagito così:
Questo firewall, infatti, non si limita a guardare il nome del programma prima di concedere o meno l'autorizzazione a passare: se così fosse, a un intruso basterebbe ricorrere al vecchio trucco di attaccare il proprio virus a un programma molto diffuso e apparentemente innocuo (per esempio iexplore.exe, ossia Internet Explorer), oppure dare al proprio software ostile il nome di quel programma.
Zone Alarm genera una sorta di "impronta digitale" (checksum) di ciascun programma autorizzato o meno. In questo modo, se anche un solo bit del programma viene modificato, il firewall se ne accorge e segnala il possibile problema.
Questo però comporta che cambiando versione di un programma, Zone Alarm si inquieta, perché dal suo punto di vista un programma familiare ha cambiato impronte digitali: brutto segno, meglio chiamare il capo. Sta infatti a voi verificare se il sospetto di Zone Alarm è fondato.
Niente è per sempre, specialmente in informatica, per cui i programmi che autorizzate oggi potrebbero essere diversi da quelli di domani; potreste cambiare idea, o rendervi conto che un programma al quale avete vietato l'uscita ha in realtà ragioni legittime per uscire. In questo caso ricorrete alla sezione Program Control di Zone Alarm.
Assicuratevi che nella scheda Main di questa sezione il cursore sia impostato su Medium (High, ossia il controllo più rigoroso, è disponibile soltanto nella versione a pagamento).
Poi date un'occhiata alla scheda Programs: è qui che Zone Alarm compila l'elenco dei programmi che gli si sono presentati e hanno tentato di passare il varco.
La figura qui sotto mostra l'elenco di programmi di un computer piuttosto vissuto: uno dei miei. Ogni riga riporta il nome di un programma (non il nome del suo file eseguibile, ma il nome con il quale si presenta a Zone Alarm) e i permessi che gli sono stati accordati e negati:
Ogni programma ha quattro autorizzazioni distinte, a seconda del tipo di accesso richiesto e della zona a cui vorrebbe accedere:
Per esempio, nella figura qui sopra, Microsoft Word e Media Player hanno quattro punti interrogativi: vuol dire che devono sempre chiedere il mio permesso prima di uscire, sia per fare un'uscita normale, sia per comportarsi da server, e lo devono chiedere sia per andare su Internet, sia per raggiungere la rete locale. Ebbene sì, non mi fido proprio, e ne ho ben donde.
Come gli antivirus, anche i firewall richiedono aggiornamenti periodici, anche se non così frequenti. Ogni tanto, infatti, viene scoperta qualche falla anche nei firewall, che in fin dei conti sono comunque programmi e quindi per definizione imperfetti. Un difetto del firewall potrebbe consentire a un aggressore particolarmente deciso di scardinare questo elemento della vostra sicurezza informatica. E' successo, per esempio, con BlackIce e RealSecure durante l'attacco del worm Witty, ed è successo anche con il firewall di Symantec (due volte).
Per sapere quando occorre aggiornare il firewall è spesso disponibile un'opzione di notifica automatica. Per esempio, Zone Alarm contatta la propria casa produttrice ogni volta che vi collegate a Internet e lo avviate e guarda se ci sono aggiornamenti; se ce ne sono, compare sullo schermo l'invito a scaricarli.
A differenza degli antivirus, i firewall vengono in genere aggiornati in blocco: in altre parole, invece di scaricare un file di aggiornamento, si scarica un'intera versione nuova del programma.
Dopo aver scaricato la nuova versione del firewall, la prima cosa da fare è scollegarsi da Internet e dalla rete locale. Durante l'aggiornamento, infatti, il computer si troverà momentaneamente privo della protezione offerta dal firewall, e siccome la sfiga ci vede benissimo, è facile che qualche virus dei tanti in giro per la Rete (e magari anche nella rete locale) approfitti di questa temporanea vulnerabilità per tentare un attacco.
L'aggiornamento di Zone Alarm è un procedimento piuttosto semplice. Dopo aver scaricato la nuova versione del programma ed esservi staccati da Internet e dalla rete locale, lanciate il programma, che trova automaticamente la cartella dell'installazione precedente. Cliccate su Next.
Nella schermata delle informazioni utente compaiono automaticamente le informazioni che avevate immesso nella versione precedente. Modificatele, se necessario, poi cliccate su Next.
Alla domanda Upgrade or clean install, che vi chiede di scegliere fra aggiornamento e reinstallazione da zero, rispondete con Upgrade. Cliccate su Next.
Nella schermata License agreement, che presenta la licenza d'uso, cliccate su I accept per accettarla. Infine cliccate su Install.
Zone Alarm si chiude e mostra l'annuncio perentorio che presento qui sotto. In sintesi, Zone Alarm si chiede perché lo state chiudendo e si augura che abbiate una buona ragione per farlo. Dato che l'avete, cliccate su Yes.
Inizia la reinstallazione, che è molto simile all'installazione che avete fatto la prima volta che avete adottato Zone Alarm. I dati del sondaggio sugli utenti (User Survey) sono precompilati attingendoli da quelli che avete dato a suo tempo: accettateli e cliccate su Finish.
Zone Alarm chiede di riavviare Windows: accettate cliccando su OK. Dopo il riavvio, fa un po' di pubblicità per la versione a pagamento; se non vi interessa, attivate Select Zone Alarm e cliccate su Next. Dopo un'ulteriore schermata pubblicitaria potete cliccare su Finish per completare l'aggiornamento.
Fatto questo, non vi resta che ridurre a icona Zone Alarm e cliccare col pulsante destro nella barra delle applicazioni, sul pulsante di Zone Alarm, e scegliere Send to tray. Nell'area di notifica compare l'icona di Zone Alarm aggiornato.
Missione compiuta: tutte le impostazioni della versione precedente vengono acquisite automaticamente nella nuova versione.
Chiaramente Zone Alarm ha molte altre opzioni e funzioni che permettono di affinarne ulteriormente il funzionamento. Tuttavia non voglio tediarvi con dettagli che normalmente non sono indispensabili per il buon uso del firewall. Se volete saperne di più, usate un motore di ricerca (Google, per esempio) per sfogliare le tante guide all'uso approfondito di Zone Alarm che trovate su Internet anche in italiano.