G Data Whitepaper 2009 - La seguridad del sistema Windows 7 - Go safe. Go safer. G Data.
←
→
Transcripción del contenido de la página
Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación
G Data
Whitepaper 2009
La seguridad del sistema Windows 7
Marc-Aurél Ester & Ralf Benzmüller
G Data Security Labs
Go safe. Go safer. G Data.
G Data Whitepaper 2009 Contenido 1. Windows 7 en la línea de salida........................................................................................................ 2 2. Control de las cuentas de usuario.................................................................................................... 2 3. Cortafuegos....................................................................................................................................... 3 4. Extensiones de archivos................................................................................................................... 3 5. AppLocker.......................................................................................................................................... 4 6. Windows Defender............................................................................................................................ 4 7. Bitlocker ............................................................................................................................................. 5 8. Bitlocker to go................................................................................................................................... 6 9. Conclusión.......................................................................................................................................... 6 Copyright © 2009 G Data Software AG 1
G Data Whitepaper 2009 1. Windows 7 en la línea de salida Windows 7 viene directamente a relevar a Windows Vista que ha tenido una recepción más bien fría, sobre todo por parte de los clientes corporativos. La cuota de mercado de Windows Vista se sitúa en torno al 30%, mientras que Windows XP detenta todavía un jugoso 58% del pastel. Con Windows 7 Mi- crosoft intenta remediar muchos puntos flojos que a los usuarios particulares y los corporativos desa- gradaban de Windows Vista. Así, Windows 7 consume menos recursos del sistema que Vista y también van a sacar pronto una edición especial para netbooks y dispositivos ultraligeros similares. Con Win- dows 7 se publica también la nueva interfaz gráfica DirectX-11. El sistema ha optimizado también el manejo de las unidades solid state, con lo que se ha conseguido abreviar el tiempo de inicialización. También se ha modernizado la interfaz del usuario. Y en último lugar, pero no en importancia, Win- dows 7 tiene la pretensión de ser más seguro que su predecesor. A continuación vamos a explicar las novedades y cambios más importantes en cuestión de seguridad que nos aporta Windows 7. Vamos a mostrar dónde los mecanismos de protección son efectivos, dónde son mejorables y lo que ha empeo- rado en comparación con Windows Vista. Además vamos a exponer también que la más joven versión de Windows permite utilizar una eficaz versión antivirus. 2. Control de las cuentas de usuario Es una pena que la seguridad no sea siempre lo más cómodo. El mejor ejemplo de esta afirmación es el con- trol de las cuentas de usuario de Vista. Muchos usuarios criticaban que las ventanas de diálogo del control de las cuentas de usuario frenaban con frecuencia el flujo de trabajo. Por eso, numerosos usuarios decidieron arreglar el problema a su manera y suprimieron sin pensárselo dos veces los molestos mensajes de aviso. Pero con ello dejaron inactivo también un medio efectivo de combatir el software dañino, porque así estaban dejando vía libre al malware para que se apropiase ilícita y automáticamente los derechos de orden superior necesarios para las instala- ciones. Para evitar este problema, en Windows 7 se puede ahora graduar en cuatro niveles la visualización de los mensajes de aviso del UAC. 1. Avisar siempre si un programa o el usuario desean modificar el sistema. 2. Avisar solo si un programa desea efectuar cambios en el sistema. 3. Avisar solo si un programa intenta efectuar cambios en el sistema. El fondo de pantalla no se oscurece en este modo. 4. No hay ningún aviso. Conociendo el panorama, es de esperar que habrá muchos usuarios dejarán totalmente de lado los dos primeros modos. Pero así se reduce también el efecto de protección. Pero también aunque haya conectado la UAC, el malware puede entrar subrepticiamente en el sistema. Durante la fase beta ya se consumaron ataques que pusieron en jaque al sistema y que desactivaron por completo el sistema de mensajes del UAC. Copyright © 2009 G Data Software AG 2
G Data Whitepaper 2009 Tareas sin verificar A pesar de su vigilancia continua, el control de las cuentas de usuario deja fuera algunos procesos automáticos en Windows. Por eso es posible apropiarse de los derechos de administrador al iniciar el sistema mediante la planificación de tareas, sin que aparezca ninguna consulta al usuario. Así el progra- ma dañino puede instalarse en el sistema sin ser notado. Con el control de las cuentas de usuario, Microsoft ha arañado un poco de confort extra a costa de la seguridad. Las configuraciones más débiles del programa pueden dar pie a los programas malicio- sos a que se acomoden a sus anchas en el sistema. Estas opciones de manejo descafeinadas afectan negativamente a la seguridad. En el área de la administración de derechos, Microsoft debería dejarse inspirar por el mundo Mac OS X, que ofrece unos modelos mucho más efectivos y también más fáciles de manejar. 3. Cortafuegos Microsoft se ha tomado muy a pecho la críti- cas que cosechó el cortafuegos de Windows y en Windows 7 ha pulido mucho el confort de manejo del cortafuegos. Se crean reglas automáticas para ciertas aplicaciones. Los asistentes de reglas hacen también más senci- llo administrar los conjuntos de reglas. Ahora, con los asistentes se pueden crear con toda facilidad nuevos conjuntos de reglas. Además se puede configurar que el cortafuegos actúe de modo acorde con distintos entornos: por ejemplo, para las WLANs públicas se pueden definir reglas más estrictas que para la red corporativa. En el nuevo SO también se pueden asignar perfiles distintos a cada tarjeta de red. Casi nadie pone en duda que es necesario utilizar el cortafuegos, pero casi todos sabemos que no es buena idea transferir luego a los usuarios la tarea de crear y actualizar los conjuntos de reglas. La mayor parte de los usuarios particulares no tienen los conocimientos necesarios y lo hacen al albur. Pero un clic equivocado puede llevarles a bloquearse el acceso a Internet o a que ya no puedan utilizar la impresora de la red. Ahora, como siempre, no es una buena solución preguntar al usuario en caso de duda. Lo mejor aquí es un cortafuegos que decida por sí mismo los datos que pueden pasar y los que no. Esta función solo la ofrecen los productos especializados en seguridad en Internet. No ha desaparecido, por cierto, la opción de desactivar el cortafuegos completamente, posibilidad de la que pueden aprovecharse también los programas dañinos. El cortafuegos de Windows no tiene una característica de autoprotección como los cortafuegos de los productos más corrientes de seguridad informática. Aquí los cortafuegos comerciales son más efectivos y tienen un alcance mucho mayor. Copyright © 2009 G Data Software AG 3
G Data Whitepaper 2009 4. Extensiones de archivos Ya desde Windows 9x lleva siendo blanco de las críticas la forma que tienen de gestionar las exten- siones de los nombres de los archivos. Microsoft sigue con su idea fija de que un usuario no tiene porqué ver la abreviatura al final del nombre de un archivo cuando se trate de un tipo de archivo co- nocido. Los ciberdelincuentes llevan décadas sacando partido de esta „peculiaridad“. La estrategia que usan es el siguiente: En la configuración estándar, en los nombres de los archivos se ocultan las exten- siones conocidas, como por ej. „.exe“, „.scr“ o también „.doc“ Solo se muestra el nombre del archivo y el icono correspondiente. Pero el problema es que un atacante puede asignar a los archivos ejecutables el icono que más le convenga. Si propaga su programa dañino bajo el logotipo estándar del formato PDF, el usuario tendrá que esforzarse mucho para discernir si este archivo que le llega pertenece realmente al tipo con el se presenta. Los usuarios que reciben un archivo así, por ejemplo por correo electrónico, pueden sucumbir al engaño y creer que pueden abrir el archivo sin riesgo. Nos parece totalmente incomprensible que Microsoft, por una parte, no le importe confrontar al usuario con diálogos con preguntas dificilísimas de responder correctamente, pero, por otro lado, siga sin estar dispuesto a ayudar al usuario a detectar los engaños más efectivos de la historia del malware. Ejemplo: 2 -3 frases 5. AppLocker Con AppLocker los administradores controlan las aplicaciones que están autorizadas a ejecutarse en la red corporativa. Esto ya se podía hacer en Windows XP y Vista con las políticas de restric- ción de software, pero esta función tuvo poca aceptación entre los administradores porque actualizar estas reglas en seguida llevaba mucho más tiempo del deseado. Por ejemplo, en cada actualización había que generar y editar un nuevo valor hash. Mediante las Reglas de editor ahora se pueden vincular programas perma- nentemente porque se utiliza como identificador la firma digital que ya usan la mayor parte de las aplicaciones. Los parámetros configurables son: el fabricante, el nombre del producto, los nom- bres de los archivos y el nombre de la versión. Con estos criterios puede también bloquearse, naturalmente, la ejecución de determinadas aplicaci- ones. AppLocker puede convertirse en un arma efectiva en la lucha contra el software dañino. Las reglas del editor facilitan la utilización de este instrumento. No obstante, también los certificados se pueden soslayar y por eso es de temer que la protección que proporciona sea solo temporal. Copyright © 2009 G Data Software AG 4
G Data Whitepaper 2009 6. Windows Defender El Windows Defender es un componente integrante del SO desde Windows Vista. Consiste en un escáner que detecta pro- gramas espía. Pero en las prue- bas comparativas, el Windows Defender no ha sabido afirmar- se. En una prueba comparativa con varios productos antivirus, realizada hace pocos meses, WD solo reconoció el 20% de los programas dañinos instala- dos. En las páginas Web que pretendían instalar spyware, este componente pudo mejorar un poco la cuota, al 37,5%. Unos de los problemas del Defender es que solo utiliza el reconoci- miento de base hash y ningún filtro URL propio. Para ser justos, en realidad Microsoft no ha previsto el Windows Defender como una protección antivi- rus de pleno derecho. Solo tiene por objetivo proteger del principal spyware y malware de Windows. El usuario poco experto podría considerar al Windows Defender un sustituto de la protección antivirus y albergar por eso una sensación de falsa seguridad. Pero Windows Defender no pretende ni puede sustituir un antivirus de cuerpo entero. 7. Bitlocker Cada vez se hace más importante desde el punto de vista de la seguridad encriptar los datos sensibles. Por eso, Microsoft ha introducido en Vista la tecnología Bitlocker. Si lo comparamos con el antiguo de Windows Vista, Microsoft ha solucionado en este nuevo BitLocker un grave problema. Hasta ahora si se deseaba utilizar el BitLocker con posterioridad y no desde el principio, era muy complicado porque había que reducir la partición, entre otras cosas. A raíz de esto, Microsoft lanzó la herramienta „Bit- Locker Drive Preparation Tool“ que simplificó todo el procedimiento. Pero lo que no ha cambiado es que solo las versiones Ultimate y Entreprise tienen las funciones de encriptación para el disco duro del BitLocker. Actualmente, Windows 7 crea directamente durante la instalación una partición de BitLocker de 200 MB o bien de 400 MB si se instala el „Entorno de recuperación de Windows“. BitLocker funciona en un entorno de trabajo con los módulos TPM instalados en numerosos portátiles. En los ordenadores de sobremesa, se encuentran sobre todo en los equipos corporativos. Aunque el dispositivo no tenga un módulo TPM, se puede guardar la clave Encryption necesaria en un lápiz USB, que luego siempre habrá que insertar cada vez que se arranque el ordenador. Este procedimiento es bastante complicado en comparación con la alternativa de código abierto „True Crypt“. Con todo, BitLocker es una opción interesante para las empresas, porque se puede guardar una clave general en el „Directorio activo“. Si ocurriese que un usuario olvida su contraseña o pierde su lápiz USB, el administrador puede restablecer el acceso a los datos. El grado potencial de uso ilícito que conlleva este sistema depende de cómo se haya asegurado el Directorio activo. Copyright © 2009 G Data Software AG 5
G Data Whitepaper 2009
8. Bitlocker to go
El Bitlocker „para llevar“ es una novedad de Windows 7. Con él se pueden encriptar soportes de datos
móviles, como lápices de memoria o tarjetas SD. La autenticación se realiza introduciendo una con-
traseña o una tarjeta inteligente También aquí es posible depositar una clave general en el „Directorio
activo“. Además los administradores pueden hacer obligatorio usar „Bitlocker to go“ en cuanto se
guardan datos en soportes móviles de datos. Los datos encriptados con „Bitlocker to go“ se pueden
también leer con Windows XP y Vista, pero es complicado. Hay que copiar los datos en el disco duro
después de introducir la contraseña. Pero después tampoco se pueden regrabar los soportes de datos.
Desde el punto de vista de la seguridad no parece una buena solución obligar al usuario a que copie
los datos en un disco duro, que, a su vez, puede estar sin encriptar.
9. Conclusión
Como síntesis final nos planteamos la cuestión de cuál es la ganancia neta de seguridad que ofrece
Windows 7. ¿Windows es ahora tan seguro que ya no se necesita software de seguridad? Con Vista
Microsoft integró en el SO muchas funciones nuevas de protección. Muchas de ellas tenían más bien
un valor fundamentalmente decorativo y en su mayoría estaban dirigidas a los clientes corporativos.
„BitLocker“,„BitLocker to go“ y „AppLocker“ solo están incluidos en la versión Ultimate y Enterprise y
por eso su campo de aplicación preferente es el entorno corporativo. Para los usuarios particulares,
Microsoft intenta hacer más manejables las tecnologías de protección establecidas con Vista.
• El control de cuentas de usuario está ahora más a merced de los ataques debido a la graduación en
niveles. Las tareas planificadas no se tienen en cuenta.
• Las extensiones de los nombres de archivos siguen sin ser visibles, con lo que los ciberpiratas pue-
den seguir camuflando sus programas dañinos con iconos de archivos inofensivos.
• El Windows Defender despierta en el usuario una ilusión de protección que es un puro espejismo.
Windows 7 ha ganado algunas funciones de protección. Pero no se ha producido un progreso real en
relación a Vista. Muchas funciones protectoras se pueden soslayar, lo que es una pena, y es solo una
cuestión de tiempo que los especialistas en malware vendan en los zocos ilícitos online a los ciberpira-
tas las tecnologías de ataque que necesitan. Para proteger los ordenadores con Windows de los abusos
es imprescindible, ahora y también en el futuro, un software de seguridad que proteja al ordenador
con fiabilidad y que además sea fácil de manejar.
Copyright © 2009 G Data Software AG 6
G Data Whitepaper 2009
Apéndice:
Disponibilidad de los mecanismos de protección en las distintas versiones de Windows 7
Versión Windows 7
Home
Starter Home Basic Professional Enterprise Ultimate
Función Premium
EFS
Bitlocker
Bitlocker to go
UAC
Windows Defender
Windows Firewall
DEP
Copyright © 2009 G Data Software AG 7También puede leer
