|
Lo único seguro, es que no es seguro...
|
|
VSantivirus No 2449 Año 11, viernes 18 de mayo de 2007
Lo único seguro, es que no es seguro...
http://www.vsantivirus.com/18-05-07.htm
Por Jose Luis Lopez (*)
videosoft@videosoft.net.uy
Acabo de leer un reciente informe publicado en Internet, donde se explica un proceso "en dos pasos" para explotar la nueva característica de Windows Vista denominada UAC (User Account Control), de modo que un proceso malicioso pueda "disfrazarse" de una descarga legítima de software. Y eso me lleva a pensar que cuando todo cambia, a veces nada cambia.
Pero... ¿qué es UAC?. Básicamente, es una forma de proteger al usuario de si mismo. UAC considera a todos los usuarios, incluido al administrador, como un usuario normal y sin privilegios.
Cada vez que algo o alguien intente modificar cualquier cosa en algunas de las zonas protegidas del sistema, ésta característica implementada ahora en Windows Vista -pero existente desde hace tiempo en otros sistemas como Mac o Unix-, interceptará el pedido y analizará si el usuario tiene o no los permisos necesarios para continuar.
Hace unos pocos días, Robert Paveza, un desarrollador de aplicaciones Web de una compañía norteamericana, publicó detalles de una vulnerabilidad en este proceso, en el documento al que hice referencia antes.
Básicamente, se trata de un ataque en dos pasos, porque primero requiere que una aplicación maliciosa (un troyano), sea descargado y se ejecute en el PC. Este programa puede estar camuflado como algo legítimo que el usuario realmente desea descargar.
Mientras ello ocurre -y sería el otro paso-, este software puede estar bajando de Internet otro código malicioso en
un segundo plano, sin que el usuario ni el sistema lo adviertan.
La opinión de Microsoft sobre el problema es muy sencilla. Las acciones que Paveza pretende demostrar, son aquellas que cualquier atacante podría tomar sobre un sistema que ya ha sido comprometido de alguna manera.
Básicamente, si entendemos como funciona UAC, esto significa que se requiere la interacción con el usuario para la infección inicial (y contar conque el antivirus instalado no detecte nada en ese momento).
No hay aquí mucho de diferente a cualquier otra situación actual. Por ejemplo, recordemos el gusano que simula ser una animación graciosa de Bush que alguien nos envía por Messenger, o el correo electrónico con un mensaje supuestamente enviado por nuestro banco pidiéndonos seguir un enlace para acceder a una página en la que debemos "confirmar" la contraseña de nuestra cuenta para no perderla.
El problema aquí no es el sistema, el problema, como siempre, es el usuario.
Cómo explica Andrew Lee, director de tecnología de ESET en un artículo publicado hace ya un tiempo en VSAntivirus (ver "¿Solucionará Windows Vista el problema de los virus?",
http://www.vsantivirus.com/windows-vista-virus.htm), "el hecho de no permitirle privilegios administrativos completos a un usuario común (por lo menos no de manera predeterminada) finalmente lleva al sistema operativo Windows de Microsoft, a un punto donde, su configuración, puede alertar al usuario más cauteloso de los problemas que son comunes a los programas no deseados."
"No obstante," agrega Lee, "no lo lleva más allá de eso, y no resuelve el problema real que es que los usuarios simplemente no saben cómo distinguir entre acciones legítimas y las que probablemente causen un problema."
Debemos recordar, como nos dice Microsoft, que UAC "no es un firewall". UAC debe ser utilizado como una función de seguridad, una herramienta para ayudarnos a ser menos susceptibles a las tentaciones, pero de ningún modo nos va a proteger de nosotros mismos.
Es seguro que el software o el hardware de seguridad que instalemos en nuestro PC, no nos harán más inteligentes ni tampoco menos tontos, si a pesar de todo seguimos curioseando con esa imagen graciosa que alguien nos envía, o aceptamos cualquier muñequito de colores que alguien nos adjunta en un correo sin haberlo solicitado.
Todavía me hace gracia ver como muchas personas que en la calle se cuidan de contar dinero en público, o evitan transitar por ciertos lugares oscuros, recorren sin ningún temor y de forma totalmente inconsciente la autopista de Internet, dando incluso los datos de su tarjeta de crédito a cualquiera que en el camino se los pida.
Solo estaremos más seguros en nuestro PC, cuando aceptemos a conciencia que los hechos diarios de la vida no difieren casi nada de lo que ocurre en Internet.
Relacionados:
User-Prompted Elevation of Unintended Code in Windows Vista (PDF)
http://www.robpaveza.net/VistaUACExploit/UACExploitWhitepaper.pdf
¿Solucionará Windows Vista el problema de los virus?
http://www.vsantivirus.com/windows-vista-virus.htm
Un vistazo a la seguridad del nuevo Windows Vista
http://www.vsantivirus.com/windows-vista-31-01-07.htm
En Internet, todos somos extraños
http://www.vsantivirus.com/23-06-05.htm
Bruce Schneier: "la gente es demasiado paranoica"
http://www.vsantivirus.com/mm-bruce-schneier.htm
La seguridad es cuestión de rutina
http://www.vsantivirus.com/seguridad-rutina.htm
(*) Jose Luis Lopez es el responsable de contenidos de VSAntivirus.com, y director ejecutivo de ESET NOD32 Uruguay.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|