A volte sembra che il nostro sistema Windows funzioni normalmente. Le applicazioni vengono eseguite. I log di sicurezza indicano che tutto va bene. Eppure esistono delle piccole anomalie: rallentamento ingiustificato, spie che si accendono, richieste di accesso alla rete inaspettate, strani messaggi nei registri degli eventi. Se poi nei giorni scorsi si è verificata qualche strano fenomeno con file di provenienza non troppo affidabile, può essere legittimo il dubbio che le nostre difese siano state compromesse da un malware che il sistema non è in grado di identificare.
In questi casi è consigliabile sottoporre il nostro Hard Disk a un controllo esterno. Ciò può essere effettuato utilizzando un Cd-Rom di Boot. Tradizionalmente questo genere di dischi si basano su Dos, e vengono utilizzati per avviare tutti i tools che richiedono che il sistema esaminato non sia funzionante. Parliamo quindi, oltre che di Antivirus, di strumenti per il file recovery, l'imaging, la formattazione, il troubleshooting e così via
Caratteristica comune di questi prodotti è un interfaccia grafica molto scarna, spesso a linea di comando, e una difficoltà connaturata nel Dos a gestire le partizioni NTFS. Per superare queste limitazioni Microsoft ha creato Windows Preinstallation Environment (Windows PE), concepito per fornire ai professionisti dell'IT una serie di tool per la preparazione e l'installazione di Windows XP Professional e Windows Server 2003. Venuto a conoscenza nel 2002 del nuovo prodotto di casa Microsoft, il norvegese Bart Lagerveij, esperto creatore di dischi di Boot, ha maturato la convinzione che in futuro gli ambienti Windows preinstallati avrebbero soppiantato i tools Dos-based nelle preferenze di tecnici e amministratori di sistema. Ha deciso allora di crearne uno personalmente, per estendere i vantaggi del PE a tutti gli utenti dei sistemi operativi Microsoft.
Il risultato dei suoi sforzi è stata la creazione di BartPE, definito come "Preinstalled Environment", e non "Preinstallation Environment" come nel caso del software Microsoft, quasi a sottolineare la diversa destinazione d'uso. Infatti, mentre il prodotto della casa di Richmond è concepito come uno strumento di "preinstallazione", destinato essenzialmente a realizzare installazioni del sistema operativo su Hard Disk, nel caso di Bart si tratta di un ambiente "preinstallato", cioè pronto per un autonomo utilizzo.
Fra le varie caratteristiche, di BartPE troviamo:
- Presenza di un ottima interfaccia grafica, con un menu Start.
- Accesso in lettura/scrittura a volumi NTFS (anche > 2 TeraByte).
- Supporto di rete con configurazione TCP/IP pienamente personalizzabile.
- Controllo remoto su altre macchine, tramite vnc o remote desktop
- Disponibilità di un numero di plugins virtualmente illimitato grazie all'integrazione diretta dei files .cab.
È a quest'ultima caratteristica che faremo ricorso per integrare il nostro disco con programmi antivirus e antispyware.
Realizziamo il nostro disco
Per realizzare il nostro BartPE CD dobbiamo scaricare e installare l'ultima versione di PE Builder dal sito del produttore. Questo programma si occuperà di assemblare il nostro ambiente preinstallato a partire da una qualsiasi edizione di Windows XP (inclusa la Home) o Windows Server 2003. Nella casella Origine della finestra principale dovremo indicare quindi il percorso della cartella che contiene tali file, se preventivamente li abbiamo copiati sul nostro Hard Disk. Altrimenti dovremo inserire il disco originale di Windows nel nostro lettore. PE Builder verificherà la correttezza del percorso indicato. Specificheremo inoltre se desideriamo scrivere direttamente il CD o creare un'immagine ISO da masterizzare in seguito.
La maggior parte delle personalizzazioni vengono effettuate comunque a partire dalla schermata dei Plugins. Qui potremo selezionare gli strumenti di cui abbiamo bisogno. I più utili, nel nostro caso, risultano essere:
- AD-Aware SE, per la rimozione dello Spyware.
- McAfee VirusScan, il nostro Antivirus.
- McAfee Stinger, strumento di rimozione del malware, utile per eliminare specifiche minacce già note.
In tutti e tre i casi sarà utile premere il pulsante Aiuto e seguire le istruzioni che compariranno sul nostro Browser. In genere si tratta di scaricare il plug-in, aggiornarlo con la lista delle definizioni più recente, e copiare i file che ci verranno indicati in una certa cartella.
Altri plug-in interessanti, anche se non necessari per il nostro scopo attuale sono:
- PuTTY, Client Telnet/SSH gratuito per Win32.
- UltraVNC, free package che consente di vedere il desktop di una macchina remota e controllarla tramite il mouse e la tastiera locale.
- Firefox, che non è disponibile nella lista dei plug-in predefiniti, ma può essere integrato scaricando il file .cab e seguendo le istruzioni.
Giunti a questo punto siamo pronti per realizzare il nostro BartPE CD. Premiamo quindi il pulsante Crea e attendiamo. Il disco che otterremo ci consentirà di avviare i nostri controlli da un sistema non compromesso. Il ricorso a un supporto di sola lettura come un CD-Rom impedisce inoltre che un malware particolarmente aggressivo possa tentare di infiltrare le sue routines fra i file del sistema. Unico inconveniente il fatto che, se in futuro avremo bisogno di effettuare una nuova scansione, dovremo provvedere a realizzare un nuovo CD, contenente gli aggiornamenti più recenti. Pertanto sarà conveniente utilizzare un supporto riscrivibile (CD/RW).
Soluzioni alternative
Sebbene i programmi di sicurezza descritti nelle pagine precedenti siano già predisposti per essere utilizzati da PE Builder, è anche possibile che altri prodotti possano essere integrati nel nostro sistema preinstallato. Questo è vero in particolare per tutti i programmi distribuiti, o comunque trasformabili, sotto forma di file.cab. Ulteriori informazioni possono essere disponibili presso i siti dei produttori.
Alcune applicazioni in grado di funzionare senza installazione possono poi essere integrate nel nostro BartPE inserendo le cartelle che le contengono all'interno dell'immagine del nostro CD. È il caso delle così dette Portable Apps, appositamente studiate per l'uso tramite media rimovibili. Una lista delle applicazioni portabili relative alla sicurezza è presente su una pagina di Wikipedia.
Se poi siete interessati ad acquistare una soluzione commerciale, Alwil Software ha sviluppato il suo Avast! BART CD. Qui la parola BART è diventata un acronimo per Bootable Antivirus & Recovery Tools. Il componente principale è una speciale versione di Avast! 4 antivirus. Una caratteristica importante di questo BART CD è la maniera in cui sono eseguiti gli aggiornamenti. È il builder, infatti, a provvedere ad aggiornare tutti i componenti, prima di avviare la creazione del file ISO, semplificando non poco il nostro lavoro.
Il prodotto integra inoltre una serie di tools quali:
- Registry Cleaner, per risolvere i problemi relativi alle chiavi di registro.
- Junk File Remover, per l'eliminazione dei files non più necessari al sistema.
- Avast! Disk Checker, per correggere gli errori del disco.
- Data Shredder, per l'eliminazione definitiva dei files.
- Avast! Registry Editor, per l'accesso illimitato ai registri di configurazione di tutti i sistemi presenti sul disco.
- Event Viewer, per visualizzare i registri degli eventi di Windows.
Sono inoltre presenti un interprete a linea di comando, un file manager e un semplice editor di testo.