Suscríbete a nuestro RSS Feed
Para introducirnos un tanto en esta noticia, tenemos que hacernos una pregunta…
Somos dueños de una empresa, y contratamos una empresa de seguridad. Dicha empresa nos provee de sistemas más acordes a nuestra necesidad, y además, de varios guardias de seguridad. Nuestra empresa es sumamente importante, por lo cual, la seguridad es un aspecto crucial en la supervivencia de la misma.
Cierto día, nos enteramos que los guardias son ciegos y sordos; que las cámaras no siempre funcionan y que la bóveda de seguridad funciona con un sistema de autentificación única, pero … vaya que nos han presentado un informe en donde dice lo contrario.
Llamamos a la empresa de seguridad, y nos encontramos con que la culpa es nuestra. Ellos no nos venden seguridad absoluta, nos venden sensación de seguridad, con lo cual no se hacen cargo, ni cambiarán tampoco a los guardias ciegos y sordos, menos aún arreglarán las cámaras. Ni hablar del informe que hemos recibido, este ha sido declarado como falso (sin siquiera leerlo) y por lo tanto, no nos toman en cuenta que el sistema de autentificación puede no cumplir su cometido. Es decir, nuestra sensación de seguridad cae al piso.
Esta parece ser la actitud de Microsoft. Por un lado, a ritmo de bombos y platillos, sale en los medios para decir que Windows Vista es el sistema operativo más seguro … que jamás hayan desarrollado. Tengan en cuenta que con esto no dicen que su sistema es seguro, sino que a comparación de los anteriores, es el más seguro. Pero de ahí a que sea seguro…
Para ejemplificar lo anteriormente dicho es decir: en una escuela instalan una barra lateral de madera como medida de seguridad en la entrada del lugar. Luego, la reemplazan por una barra de metal, y finalmente la reemplazan por una puerta de madera que cubre toda la entrada. Esta última medida es la más segura de las ya implementadas, pero no así quiere decir que sea segura, de modo que de un hachazo… ya se acabó la medida de seguridad. Espero que se entienda el dibujo de realidad…
Ahora bien, el problema de Microsoft es que decir la palabra seguridad es alentar a que sus acciones suban, que sus clientes compren, y que sus potenciales clientes caigan en saco. Siendo así, que ni ellos mismos confían en su propia seguridad, porque por un lado desconocen muchos problemas (es decir, los conocen pero hacen caso omiso) y tampoco dan una palabra definitiva cuando les preguntan sobre dicho tema.
En Hispasec se informa hoy de un método para escalar permisos hasta nivel de administrador en Windows Vista (este método sería como para tomar control de la computadora, en el mejor de los casos… y en el peor… lo que la imaginación quiera…) por medio del UAC y un archivo llamado RunLegacyCPLElevated.exe. El método es bastante sencillo y quienes tengan Windows Vista (pobres de ustedes…) pueden probar de explotarlo bajo condiciones de laboratorio, es decir… sin que realmente rompan sus máquinas.
El resultado de dicha vulnerabilidad es confundir al usuario para que le aparezca una ventana de autorización verde (que está todo bien) en vez de la roja (que está todo mal) o amarilla (que desconoce), de modo que el mismo le de privilegios a algo que ha violado ese mismo sistema a fines de hacerse pasar como bueno.
El caso es que el sistema que supuestamente es un feature promocionado como beneficio por el propio Microsoft, queda totalmente inútil a la hora de aplicar dicho parche, y a la hora de escuchar las palabras de Microsoft, quien asegura que el sistema no supone una frontera de seguridad, sino más bien la oportunidad de verificar una acción en el sistema de manera visual antes de que ocurra.
Esto es lo mismo que decir que la puerta de madera de la escuela es segura, pero siempre y cuando no venga alguien con un hacha. O que la barra de metal es segura, siempre y cuando a nadie se le ocurra pasar por encima o abajo de ella. O, es prácticamente lo mismo que decir que no confíen en esa característica que promociona Microsoft, porque francamente no sirve de nada y puede ser saltado gracias a una herramienta provista por el propio Microsoft.
Sin duda, luego de tantos quiebres de cabeza con la seguridad de Vista, pueden asegurarse que esta es la principal puerta a tomar por desarrolladores de MalWare. Así que, bienvenida la nueva era de virus, spyware, troyanos, etc…
Y claramente, Windows Vista no es seguro, ni ningún sistema quizás nunca lo sea al 100%, pero dudo que Vista llegue al 50%…
Nota: Cuando hago mención a un sordo y/o ciego, no lo hago de forma ofensiva. La idea es demostrar una incapacidad en un aspecto crucial de su tarea. Desconozco las reglas a la hora de postularse a un puesto de estos, pero asumo que estas características son esenciales para empleos en Seguridad. Si alguien se siente ofendido, mis disculpas adelantadas.
Federico Almada
Suscríbete a nuestro RSS Feed
Deja tu comentarios sobre el artículo