Lo único seguro, es que no es seguro...
Por Jose Luis Lopez (*)
[email protected]
Acabo de leer un reciente informe publicado en Internet, donde se explica un proceso "en dos pasos" para explotar la nueva característica de Windows Vista denominada UAC (User Account Control), de modo que un proceso malicioso pueda "disfrazarse" de una descarga legítima de software. Y eso me lleva a pensar que cuando todo cambia, a veces nada cambia.
Pero... ¿qué es UAC?. Básicamente, es una forma de proteger al usuario de si mismo. UAC considera a todos los usuarios, incluido al administrador, como un usuario normal y sin privilegios.
Cada vez que algo o alguien intente modificar cualquier cosa en algunas de las zonas protegidas del sistema, ésta característica implementada ahora en Windows Vista -pero
existente desde hace tiempo en otros sistemas como Mac o Unix-, interceptará el pedido y analizará si el usuario tiene o no los permisos necesarios para continuar.
Hace unos pocos días, Robert Paveza, un desarrollador de aplicaciones Web de una compañía norteamericana, publicó detalles de una vulnerabilidad en este proceso, en el documento al que hice referencia antes.
Básicamente, se trata de un ataque en dos pasos, porque primero requiere que una aplicación maliciosa (un troyano), sea descargado y se ejecute en el PC. Este programa puede estar camuflado como algo legítimo que el usuario realmente desea descargar.
Mientras ello ocurre -y sería el otro paso-, este software puede estar bajando de Internet otro código malicioso en un segundo plano, sin que el usuario ni el sistema lo adviertan.
La opinión de Microsoft sobre el problema es muy sencilla.
Las acciones que Paveza pretende demostrar, son aquellas que cualquier atacante podría tomar sobre un sistema que ya ha sido comprometido de alguna manera.
Básicamente, si entendemos como funciona UAC, esto significa que se requiere la interacción con el usuario para la infección inicial (y contar conque el antivirus instalado no detecte nada en ese momento).
No hay aquí mucho de diferente a cualquier otra situación
actual. Por ejemplo, recordemos el gusano que simula ser una
animación graciosa de Bush que alguien nos envía por
Messenger, o el correo electrónico con un mensaje
supuestamente enviado por nuestro banco pidiéndonos seguir un
enlace para acceder a una página en la que debemos
"confirmar" la contraseña de nuestra cuenta para no perderla.
El problema aquí no es el sistema, el problema, como siempre,
es el usuario.
Cómo explica Andrew Lee, director de tecnología de ESET en un
artículo publicado hace ya un tiempo en VSAntivirus (ver
"¿Solucionará Windows Vista el problema de los virus?",
http://www.vsantivirus.com/windows-vista-virus.htm), "el
hecho de no permitirle privilegios administrativos completos
a un usuario común (por lo menos no de manera predeterminada)
finalmente lleva al sistema operativo Windows de Microsoft, a
un punto donde, su configuración, puede alertar al usuario
más cauteloso de los problemas que son comunes a los
programas no deseados."
"No obstante," agrega Lee, "no lo lleva más allá de eso, y no
resuelve el problema real que es que los usuarios simplemente
no saben cómo distinguir entre acciones legítimas y las que
probablemente causen un problema."
Debemos recordar, como nos dice Microsoft, que UAC "no es un
firewall". UAC debe ser utilizado como una función de
seguridad, una herramienta para ayudarnos a ser menos
susceptibles a las tentaciones, pero de ningún modo nos va a
proteger de nosotros mismos.
Es seguro que el software o el hardware de seguridad que
instalemos en nuestro PC, no nos harán más inteligentes ni
tampoco menos tontos, si a pesar de todo seguimos curioseando
con esa imagen graciosa que alguien nos envía, o aceptamos
cualquier muñequito de colores que alguien nos adjunta en un
correo sin haberlo solicitado.
Todavía me hace gracia ver como muchas personas que en la
calle se cuidan de contar dinero en público, o evitan
transitar por ciertos lugares oscuros, recorren sin ningún
temor y de forma totalmente inconsciente la autopista de
Internet, dando incluso los datos de su tarjeta de crédito a
cualquiera que en el camino se los pida.
Solo estaremos más seguros en nuestro PC, cuando aceptemos a
conciencia que los hechos diarios de la vida no difieren casi
nada de lo que ocurre en Internet.
* Relacionados:
User-Prompted Elevation of Unintended Code in Windows Vista (PDF)
http://www.robpaveza.net/VistaUACExploit/UACExploitWhitepaper.pdf
¿Solucionará Windows Vista el problema de los virus?
http://www.vsantivirus.com/windows-vista-virus.htm
Un vistazo a la seguridad del nuevo Windows Vista
http://www.vsantivirus.com/windows-vista-31-01-07.htm
En Internet, todos somos extraños
http://www.vsantivirus.com/23-06-05.htm
Bruce Schneier: "la gente es demasiado paranoica"
http://www.vsantivirus.com/mm-bruce-schneier.htm
La seguridad es cuestión de rutina
http://www.vsantivirus.com/seguridad-rutina.htm
Fuente: http://www.vsantivirus.com/18-05-07.htm
[email protected]
Acabo de leer un reciente informe publicado en Internet, donde se explica un proceso "en dos pasos" para explotar la nueva característica de Windows Vista denominada UAC (User Account Control), de modo que un proceso malicioso pueda "disfrazarse" de una descarga legítima de software. Y eso me lleva a pensar que cuando todo cambia, a veces nada cambia.
Pero... ¿qué es UAC?. Básicamente, es una forma de proteger al usuario de si mismo. UAC considera a todos los usuarios, incluido al administrador, como un usuario normal y sin privilegios.
Cada vez que algo o alguien intente modificar cualquier cosa en algunas de las zonas protegidas del sistema, ésta característica implementada ahora en Windows Vista -pero
existente desde hace tiempo en otros sistemas como Mac o Unix-, interceptará el pedido y analizará si el usuario tiene o no los permisos necesarios para continuar.
Hace unos pocos días, Robert Paveza, un desarrollador de aplicaciones Web de una compañía norteamericana, publicó detalles de una vulnerabilidad en este proceso, en el documento al que hice referencia antes.
Básicamente, se trata de un ataque en dos pasos, porque primero requiere que una aplicación maliciosa (un troyano), sea descargado y se ejecute en el PC. Este programa puede estar camuflado como algo legítimo que el usuario realmente desea descargar.
Mientras ello ocurre -y sería el otro paso-, este software puede estar bajando de Internet otro código malicioso en un segundo plano, sin que el usuario ni el sistema lo adviertan.
La opinión de Microsoft sobre el problema es muy sencilla.
Las acciones que Paveza pretende demostrar, son aquellas que cualquier atacante podría tomar sobre un sistema que ya ha sido comprometido de alguna manera.
Básicamente, si entendemos como funciona UAC, esto significa que se requiere la interacción con el usuario para la infección inicial (y contar conque el antivirus instalado no detecte nada en ese momento).
No hay aquí mucho de diferente a cualquier otra situación
actual. Por ejemplo, recordemos el gusano que simula ser una
animación graciosa de Bush que alguien nos envía por
Messenger, o el correo electrónico con un mensaje
supuestamente enviado por nuestro banco pidiéndonos seguir un
enlace para acceder a una página en la que debemos
"confirmar" la contraseña de nuestra cuenta para no perderla.
El problema aquí no es el sistema, el problema, como siempre,
es el usuario.
Cómo explica Andrew Lee, director de tecnología de ESET en un
artículo publicado hace ya un tiempo en VSAntivirus (ver
"¿Solucionará Windows Vista el problema de los virus?",
http://www.vsantivirus.com/windows-vista-virus.htm), "el
hecho de no permitirle privilegios administrativos completos
a un usuario común (por lo menos no de manera predeterminada)
finalmente lleva al sistema operativo Windows de Microsoft, a
un punto donde, su configuración, puede alertar al usuario
más cauteloso de los problemas que son comunes a los
programas no deseados."
"No obstante," agrega Lee, "no lo lleva más allá de eso, y no
resuelve el problema real que es que los usuarios simplemente
no saben cómo distinguir entre acciones legítimas y las que
probablemente causen un problema."
Debemos recordar, como nos dice Microsoft, que UAC "no es un
firewall". UAC debe ser utilizado como una función de
seguridad, una herramienta para ayudarnos a ser menos
susceptibles a las tentaciones, pero de ningún modo nos va a
proteger de nosotros mismos.
Es seguro que el software o el hardware de seguridad que
instalemos en nuestro PC, no nos harán más inteligentes ni
tampoco menos tontos, si a pesar de todo seguimos curioseando
con esa imagen graciosa que alguien nos envía, o aceptamos
cualquier muñequito de colores que alguien nos adjunta en un
correo sin haberlo solicitado.
Todavía me hace gracia ver como muchas personas que en la
calle se cuidan de contar dinero en público, o evitan
transitar por ciertos lugares oscuros, recorren sin ningún
temor y de forma totalmente inconsciente la autopista de
Internet, dando incluso los datos de su tarjeta de crédito a
cualquiera que en el camino se los pida.
Solo estaremos más seguros en nuestro PC, cuando aceptemos a
conciencia que los hechos diarios de la vida no difieren casi
nada de lo que ocurre en Internet.
* Relacionados:
User-Prompted Elevation of Unintended Code in Windows Vista (PDF)
http://www.robpaveza.net/VistaUACExploit/UACExploitWhitepaper.pdf
¿Solucionará Windows Vista el problema de los virus?
http://www.vsantivirus.com/windows-vista-virus.htm
Un vistazo a la seguridad del nuevo Windows Vista
http://www.vsantivirus.com/windows-vista-31-01-07.htm
En Internet, todos somos extraños
http://www.vsantivirus.com/23-06-05.htm
Bruce Schneier: "la gente es demasiado paranoica"
http://www.vsantivirus.com/mm-bruce-schneier.htm
La seguridad es cuestión de rutina
http://www.vsantivirus.com/seguridad-rutina.htm
Fuente: http://www.vsantivirus.com/18-05-07.htm
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!