• Registrarse
  • Iniciar sesión


  • Resultados 1 al 5 de 5

    Como evitar el 92% de las vulnerabilidades en Windows!

    Por qué el 92% de las vulnerabilidades críticas en Windows minimizarían su impacto si no se usase la cuenta de administrador BeyondTrust ha emitido un escueto informe en el que afirma que el impacto del ...

          
    1. #1
      Usuario Avatar de kontainer
      Registrado
      jul 2005
      Ubicación
      V
      Mensajes
      1.374

      Atención Como evitar el 92% de las vulnerabilidades en Windows!

      Por qué el 92% de las vulnerabilidades críticas en Windows minimizarían su impacto si no se usase la cuenta de administrador



      BeyondTrust ha emitido un escueto informe en el que afirma que el impacto del 92% de las vulnerabilidades críticas en Windows se minimizaría si no se usasen los privilegios de administrador. El uso de la cuenta de administrador, como ya hemos defendido desde aquí en otras ocasiones, es uno de los más graves problemas con los que se enfrenta Microsoft y que el propio Windows ha ayudado a alimentar con versiones anteriores. Veremos contra qué tipo de vulnerabilidades protege el principio de mínimo privilegio y por qué, en realidad, el informe no descubre nada nuevo: el principio de mínimos privilegios es una regla que siempre ha estado ahí para todos los sistemas operativos... menos para los de Microsoft.

      BeyondTrust ha publicado un estudio pormenorizado de todas las vulnerabilidades publicadas por Microsoft en 2008. Ha concluido que el 92% de las vulnerabilidades críticas y el 69% de todas (críticas o no) serían menos graves, o tendrían un impacto mucho menor, si fuesen aprovechadas por un atacante pero la víctima no fuese administrador. Cuando un atacante aprovecha una vulnerabilidad de ejecución de código en un programa que está siendo usado por un administrador, éste código hereda sus permisos y el atacante podrá campar a sus anchas (como el usuario) en el sistema una vez explotado el fallo. En un 92% de los casos, según el informe, se hubiese limitado considerablemente la gravedad del asunto.

      Evitar la cuenta administrador, es el principal consejo para los usuarios de sistemas operativos en general y los de Windows en particular. Esta es la primera capa de seguridad con la que se debe proteger un usuario. Un "administrador" está precisamente para "administrar", y son muy pocas veces las que un usuario utiliza su sistema para realizar modificaciones importantes. La mayor parte del tiempo lee correo o navega, actividad esta última que conlleva un importante riesgo, sea con el navegador que sea. Esta irresponsable actitud de usuario administrador perpetuo está heredada de los tiempos de Windows 9x. No tenía sistema de usuarios local real, ni soportaba NTFS, con lo que no se podían establecer permisos por usuarios. Con XP, por fin, Microsoft permitía la creación de un usuario inicial distinto al administrador para el uso del sistema, pero lo incluía por defecto al grupo administradores y por tanto no lo protegía ni limitaba en absoluto.

      El otro 8%

      El informe no explica por qué el impacto de tantas vulnerabilidades es susceptible a la cuenta bajo la que se exploten. ¿Por qué no nos protege del 100% de las vulnerabilidades críticas el hecho de trabajar como usuario sin privilegios? Pues porque el resto, el 8% de vulnerabilidades se pueden clasificar básicamente en tres:

      * Las que permiten revelación de información. Estas suelen ser independientes del usuario bajo el que se explota la vulnerabilidad.

      * Las que afectan a servicios de sistema que corren siempre bajo cuentas privilegiadas. Los servicios especiales de sistema corren normalmente bajo la cuenta SYSTEM. Si un atacante aprovecha un fallo en estos servicios desde el exterior, no hay nada que el usuario pueda hacer para evitarlo excepto intentar precisamente que el servicio no esté accesible para cualquiera. Hay que recordar que ya hicieron un trabajo importante de limitación de cuentas de servicio cuando apareció XP. En 2000 todos los servicios trabajaban con los máximos privilegios. En XP y 2003, no.

      * Las elevaciones de privilegios. Evidentemente, este tipo de vulnerabilidades permiten precisamente saltar de una cuenta sin privilegios a otra con mayor capacidad de actuación sobre el sistema. Si se trabaja con cuenta limitada, es una de las mayores preocupaciones. Si se trabaja como administrador, estas vulnerabilidades no suelen tienen impacto (excepto si logran privilegios de SYSTEM, ligeramente superiores a los del propio Administrador). Hoy en día, las vulnerabilidades de elevación de privilegios son poco valoradas por los atacantes (en especial los creadores de malware) porque presuponen (y presuponen bien) que su víctima será administrador.

      ¿Windows un 92% más seguro?

      Significa que el trabajar con cuentas con privilegios menos elevados ayudaría a que el sistema fuese un 92% más seguro? Desgraciadamente no, pero sin duda ayudaría.

      Trabajar como usuario con pocos privilegios no es la panacea. Trabajar como usuario raso en XP o 2000 con cierto software puede llegar a ser incómodo, incluso para usuarios experimentados (y casi siempre esto es responsabilidad de los propios programadores, que no suelen tenerlo en cuenta). Es necesario tener conocimientos sobre permisos, privilegios, NTFS, derechos, herencias, grupos... Por si fuera poco, con ánimo de no complicar al usuario, Windows XP Home Edition esconde deliberadamente la pestaña de seguridad para poder cambiar los permisos, a no ser que se trabajara en modo a prueba de fallos. En otros sistemas operativos resulta más sencillo, porque los programadores siempre han supuesto que su usuario no iba a gozar de todos los permisos.

      El problema es, como de costumbre, la educación del usuario ante una estructura tan compleja como hoy en día es un sistema operativo. Estamos tan mal acostumbrados que si un usuario de cualquier sistema operativo (distinto a Windows) se convierte en víctima del exploit de una vulnerabilidad, y por ello el sistema queda totalmente comprometido, lo primero que preguntamos es si estaba trabajando como root. Si es así, inmediatamente la mayor parte de la responsabilidad cae del lado del usuario (abstrayéndonos de la responsabilidad del software). Se entiende como una especie de castigo justo por no conocer y limitar convenientemente su entorno de trabajo, o por despiste. En Windows, si un usuario es víctima de un malware que se le ha colado a través del navegador, y esta víctima trabaja como administrador (lo más habitual) el problema se achaca directamente al sistema operativo o al navegador y sus continuos fallos. No solemos pararnos a pensar en que el usuario, tampoco en este caso, conoce realmente su entorno de trabajo o no se le han proporcionado la facilidades para hacerlo, y por eso no lo ha limitado convenientemente. Limitándolo, si bien no se reduciría el número de fallos, sí se degradará considerablemente su impacto, como bien recuerda el informe.



      Más Información:

      Reducing the Threat from Microsoft Vulnerabilities: 92% of Critical
      Vulnerabilities can be Mitigated by Removing Admin Rights
      http://www.beyondtrust.com/documenta...lityReport.pdf

      Fuente

    2. #2
      Usuario Avatar de orionw2k
      Registrado
      nov 2005
      Ubicación
      Catia
      Mensajes
      8

      Re: Como evitar el 92% de las vulnerabilidades en Windows!

      Hago mías las afirmaciones de este post.
      Realmente si se usaran cuentas con restricciones seria menor el impacto.
      si en linux usamos la cuenta root para un usuario común se vería destruido en poco tiempo.

      Así que un poco mas de control sobre las actividades de cuentas seria una buena barrera para impedir fallas que de otra manera nunca llegarían a sus objetivos.-

    3. #3
      Usuario Avatar de 123enter
      Registrado
      ene 2006
      Ubicación
      Peru
      Mensajes
      2.041

      Re: Como evitar el 92% de las vulnerabilidades en Windows!

      Lo que dices es cierto, la mayoría trabaja con cuenta de administrador a su propio riesgo (nunca mejor dicho). Pero cuando hay problemas inmediatamente culpamos a todos menos a nosotros mismos por hacerlo así.

      En esto Microsoft tiene una gran responsabilidad en este tema y por partida doble:

      Primero, a costa de facilitarle las cosas al usuario, le deja instalar cuentas de administrador desde el principio, no lanza ninguna advertencia en ese sentido. Pero aquí no están solos, otro tanto tiene los divulgadores de tecnología que muy poco han recomendado a los usuarios configurar sus sistemas con cuentas limitadas. Es que la seguridad en general hace unos años no era prioridad para Microsoft pero tampoco para los supuestos conocedores del tema ni los divulgadores tecnológicos.

      Segundo, el tema del desarrollo de aplicaciones. Por todos es sabido que la clave del éxito de Microsoft en los años 90, cuando se impuso todos los sistemas operativos que le hacían competencia, no pasa por venir preinstalado en las PCs sino porque alcanzó una abrumadora ventaja de aplicaciones convirtiéndose en la plataforma con más aplicaciones en el mundo. El precio que tuvo que pagar excesivamente permisivo con los programadores. Cualquier aplicación requería derechos de administrador para lo que sea, sea para instalar un servicio esencial como para copiar un par de archivos del menú de ayuda en una carpeta. Microsoft atrajo muchos programadores que crearon infinidad de aplicaciones para Windows pero a la larga alimento malos hábitos en el desarrollo del software asociado y se creó un círculo vicioso del que hasta ahora no podemos salir. Parece un mal endémico.

      Y cuando intentan dar pasos en la dirección correcta, como el UAC de Vista, encuentran resistencia porque en el entorno Windows no estamos acostumbrados a eso y ajustar una herramienta de este tipo a la plataforma no es tarea fácil y se cometieron errores que esperamos se superen en Windows 7.

      Buen artículo.

      saludos.

    4. #4
      Usuario Avatar de Wattsa02
      Registrado
      mar 2008
      Ubicación
      España
      Mensajes
      117

      Re: Como evitar el 92% de las vulnerabilidades en Windows!

      Fantástico trabajo una vez más, Kontainer!!
      Como explicas, todo comienza por un problema de educación, de conocimientos sobre el uso del sistema operativo. Quizá la abundantísima información que existe hace que encontrar información sobre lo más básico, elemental y esencial sea difícil para muchos usuarios (como encontrar una aguja en un pajar..). Esto mismo se podría aplicar a las páginas de soporte de determinados fabricantes de sistemas..
      También estoy de acuerdo con lo dicho sobre privilegios, permisos, NTFS, derechos, herencias, grupos, políticas, directivas, dominios.. ¿por dónde empezar?
      Por otro lado, está claro que 123enter también tiene razón en lo que comenta sobre los programadores para las aplicaciones: aún hoy día muchas de ellas siguen exigiendo ejecutarse en cuenta de administrador..
      Espero que el trabajo del foro siga ayudando a los usuarios a adquirir al menos los conocimientos más básicos e imprescindibles sobre este tema, tal y como hace lo escrito por Kontainer.
      Respecto a este hilo, también quería decir que este tema plantea la duda razonable sobre las versiones "professional" y "home": desde mi punto de vista todas las versiones, ya sean "home" o "professional", debían facilitar al máximo al usuario el cambio sobre las políticas de seguridad, directivas, etc.. Por desgracia, parece que hoy en día sin embargo esto es mucho más sencillo en la "professional" que en la "home". Creo que no será así, pero ojalá Microsoft lo tenga en cuenta para las próximas versiones de Windows 7 (según se dice, al parecer habrá al menos ed. starter, home, professional y ultimate.. lo cual por desgracia quizá influya a la hora de configurar la seguridad en cada una de ellas).
      Última edición por Wattsa02 fecha: 17/02/09 a las 08:16:23

    5. #5
      Usuario Avatar de alexer15
      Registrado
      mar 2007
      Ubicación
      Mexico
      Mensajes
      863

      Re: Como evitar el 92% de las vulnerabilidades en Windows!

      Asi es, usando la uenta Limitada de Windows XP y Vista se reducen significativamente bastantes problemas, he montado muchos cibercafes y oficinas, y en todos creo cuentas limitadas, los problemas por virus, bichos y desconfiguraciones son menos frecuentes, aunque claro esta que los programas de seguridad como el antivirus, antispyware y firewall son importantes.

      En los cibercafes tambien queda contrastada esta situacion, ya que el administrador del negocio debe usar una cuenta administrador, y es ahi donde veo mas fallos que en las maquinas de los clientes.