Llegamos a ustedes gracias a:



Reportajes y análisis

Seguridad en Windows 7

Se presentan discrepancias.

[02/02/2009] Microsoft insistió el lunes que lo que algunos han llamado una falla de seguridad en Windows 7; no es un error, sino que es la forma en cómo el nuevo sistema operativo va a trabajar.

La semana pasada, Rafael Rivera, un desarrollador para una compañía que vende software de mensajería de seguridad para el gobierno de los EE.UU con sede en Virginia (EE.UU.); y Long Zheng, un renombrado blogger que escribe Yo he comenzado algo ('I Started Something'), argumentaron que un cambio a la característica de Control de Cuentas de Usuario (UAC por sus siglas en inglés) en Windows 7 podría ser explotada por atacantes que, a su vez, podrían deshabilitarla secretamente.
El Control de Cuentas de Usuario, que debutó con Windows Vista, es una característica de seguridad para los usuarios, que les pide su consentimiento antes de realizar tareas tales como la instalación de programas o drivers de dispositivos. Esta característica ha sido frecuente y duramente criticada desde el lanzamiento de Vista. Incluso Microsoft reconoce estos problemas desde el año pasado, cuando fue mencionado como uno de los cinco factores que han contribuido a una lenta adopción de Vista.
En Windows 7, la característica de Control de Cuentas de Usuario ha sido modificada de tal forma que presenta avisos pop-up con menor frecuencia. Asimismo, según Rivera y Long, UAC se ha modificado de modo que la función por defecto esté ajustada a "No notificarme cuando hago cambios en la configuración de Windows.
"Windows 7 viene ahora con el Control de Cuentas de Usuario configurado para ocultar las indicaciones cuando los usuarios cambian la configuración de Windows", señaló Rivera en una entrada en su blog el viernes. "Si bien con este modo se asegura todavía que las aplicaciones puedan sobrescribir todo el registro, Microsoft tuvo un error al permitir a los usuarios cambiar cualquier configuración de Windows sin ningún tipo de instrucción.
Rivera y Long mencionan que el peligro es que los atacantes pueden fácilmente desactivar el UAC -una de las características de seguridad de Microsoft más fuertemente promovida en los últimos dos años- sin que ello envuelva al usuario, y -debido a que el ajuste a la función por defecto de Windows 7 no advierte cuando esos cambios se hacen- sin su conocimiento.
La pareja creó un script que deshabilita el UAC, y lo publicó en línea. "Pronto nos dimos cuenta de las repercusiones eran aún peores de lo que se pensábamos", señaló Long. "Puede automatizar el reinicio después de que el UAC ha sido cambiado, agregar un programa a la carpeta de inicio del usuario, y como el UAC está desactivado, ejecutar aplicaciones con privilegios administrativos completos, listos para causar cualquier estrago".
Microsoft está en desacuerdo con las conclusiones de Rivera y Long.  "Esto no es una vulnerabilidad", señaló un portavoz de Microsoft en un correo electrónico. "La intención de la configuración por defecto del UAC es que no se le pida a los usuarios orden de ejecución al momento de hacer cambios a la configuración de Windows. Esto incluye cambiar el nivel de petición del UAC".
El portavoz señaló que los cambios al UAC en Windows 7 se basan en la retroalimentación recibida de los usuarios de Microsoft, y señaló que un script como el creado por Rivera y Long, solo puede aplicarse a una PC si el usuario lo descargó y ejecutó, o si se presentó como parte de un ataque. El portavoz continuó diciendo que "para que el código malicioso haya llegado a la caja, algo más debe haberse infringido, o el usuario dio su consentimiento expreso".
Andrew Storms, director de operaciones de seguridad en nCircle Network Security Inc., simpatizó con la posición de Microsoft en el debate. "Estoy de acuerdo en que está funcionando como se supone que lo haría", dijo a través de mensajes instantáneos. "La palabra 'vulnerabilidad' está, probablemente, fuera de lugar en este caso ".
El portavoz de Microsoft se negó a responder una pregunta sobre si la compañía va a alterar el comportamiento del UAC en la versión definitiva de Windows 7. Long, sin embargo, señaló que en el foro oficial de información de los usuarios del beta de Windows 7, Microsoft ha insinuado que no va a cambiar la configuración predeterminada del UAC.
En una entrada continuada en su blog escrita el sábado, Long permanece asombrado por la reticencia de Microsoft para resolver el problema. "Lo que no entiendo es cómo se está tratando la gravedad de este problema", dijo. "El argumento de Microsoft se basa totalmente en el usuario, con el que estoy de acuerdo en una medida -que tienen que descargar y ejecutar este tipo de aplicación-, pero recordemos, esta puede ser una aplicación de bajo privilegio dado que no cuenta con advertencias en absoluto.
"¿Cómo una solicitud de bajo privilegio, capaz de apagar completamente las aplicaciones privilegiadas de las capas de seguridad, no va a ser un defecto de seguridad?", se preguntó.
Los usuarios pueden protegerse a sí mismos simplemente restableciendo la configuración del UAC a la opción de "Siempre notificar. "Incómodo, pero seguro", señaló Long.
Para cambiar la configuración del UAC en Windows 7, localice el panel de control -escribiendo "UAC" en el campo de búsqueda del menú Inicio es la manera más rápida de encontrarlo -, luego arrastre el deslizador hasta la marca "Siempre notificar" y haga clic en Aceptar.
Microsoft lanzó una versión beta pública de Windows 7 hace tres semanas, y recientemente amplió el plazo para su descarga hasta el 10 de febrero.
Gregg Keizer, Computerworld