Fallo de seguridad en la configuración por defecto de Windows 7 Beta
Una vez más se ha manifestado el difícil equilibrio entre seguridad y comodidad, esta vez en la forma de un fallo de seguridad en la configuración por defecto de la beta de Windows 7.
El fallo permite desactivar el famoso UAC (esa pesadilla que debutó con Windows Vista y que impedía hacer nada sin pedir antes autorización)...
En Windows 7, Microsoft ha intentado disminuir el grado de molestias que provoca el UAC a los usuarios a base de permitir a éstos configurar el nivel de avisos. El problema es que lo ha resuelto mal, y en su opción por defecto ("Avisarme sólo cuando los programas intenten realizar cambios en mi ordenador" + "No avisarme cuando haga cambios en la configuración de Windows") ha olvidado contemplar un "pequeño" detalle: si mediante un script un atacante logra deshabilitar la propia UAC, al considerarse ésta un aspecto de la configuración de Windows el usuario no recibe ningún aviso. El sistema se queda sin UAC y susceptible por tanto a cualquier ataque, al más puro estilo de los anteriores Windows:
La solución es sencilla, aunque molesta: basta modificar el nivel de paranoia de la UAC a los niveles de Windows Vista:
Comentarios
Lo más gracioso es que dicen que ese es su comportamiento por defecto, está diseñado para comportarse así, por lo que no tienen pensado modificarlo. Creo que o lo cambian o van a empezar a caerle palos como al Vista. Manda narices que o te "jodes" con los avisos del dichoso Vista o dejas el sistema abierto a todo.
Estos tios no cambian. Las pocas ilusiones que tenía con Windows 7 se me acaban de esfumar.
Un saludo.
Realmente el tema de seguridad es peliagudo pero es que puestos a protestar se protesta por todo.
¿No es verdad que en un sistema *nix (Linux, Solaris, AIX, HP-UX, etc) si quieres instalar algo que altera el sistema lo tienes que hacer como root y cambiarte de trabajar como un usuario mortal a root con el su -o solicitar al "todopoderoso" administrador del servidor de tu empresa que te instale una aplicación?
Quizás las preguntas sean excesivas, no lo se, pero me imagino que serán para que se le proporcione la contraseña de root/administrador; para autorizar la instalación.
No he utilizado mucho Vista, y ahora sí estoy probando un poco Windows 7 pero tampoco demasiado a fondo, simplemente viendo que nuestros nuevos desarrollos y el software base que necesito funciona sin problemas.
¿que ahora se han olvidado algo en la beta? pues bueno, veremos cual es la solución que encuentran pero seguro que no será del gusto de todos.
No se si sabéis que, creo desde Windows 2003 Server, cualquier administración de un servidor Windows se puede hacer por scripting. Esto era un tema ya recurrente que siempre se le achacaba a Windows y que en *nix ya lo tenía resuelto hace décadas.
Pues eso veremos como lo resuelven; porque yo soy de los, creo que pocos locos, que intentó utilizar lo de runas... como administrador para cuando tenía que administrar y un usuario normalito cuando trabajaba o navegaba pero vaya pesadilla.
Luego tenemos a una infinidad de usuarios finales desconocedores de informática, atrevidos por naturaleza, que se compran su PC o portátil que ya sabemos viene con Vista instalado con privilegios de administrador total de la máquina o sino nada. Por España no recuerdo haber visto en grandes superficies comerciales un ordenador con Linux instalado y que la gente lo compre y se lo lleve a casa. Algo que si he visto hace un par de años que estuve viviendo por una temporada en Brasil.
Pues bien, es toda esa infinidad de gente "temeraria" que usa los PC para "descargar sus rollitos gratis de internet" que luego copian también en sus PDA o los nuevos teléfonos con Windows mobile, si, he mencionado al maligno "Windows" y que van infectando PC, teléfonos, etc, etc, etc con tanta infinidad de virus, malaware, y muchos PC que además de descargar sus "rollitos" estarán sirviendo de zombies de los spammer para bombardearnos a todos.
- Pásate a Linux y todo solucionado, sin antivirus ni nada.
- Vamos a ver, un virus es un programa, nada más. Ejecuta las instrucciones para las que ha sido programado. Que hay más ingenuos con Windows que con *nix, pues se programa para windows porque hay más posibilidades de contagio y dispersión. Si hubiera más ingenuos que se vayan pasando a Linux todo se andará y ya veremos si hay más proliferación de virus o no. Les pedirá que intoduzcan la contraseña de root o su cuenta del banco e el NIF pero si se es ingenio se escribe, se pulsa a enter y a instalar; que total no sabe ni por qué se lo pregunta.
Si les dejas las llaves de tu casa a una comunidad okupa, no te quejes si un dia al llegar te encuentras a unos "amigos no deseables". Pero si mantienes las llaves bajo buen recaudo no te quejes por tener que utilizarla para abrir la puerta de tu casa. Ah! y como podrás entender esto no quita que un día un caco se aproveche de un descuido, ingenuidad, etc; que se sigue pudiendo dar.
Pues yo vengo administrando a Windows con scripting desde NT 4 por lo menos. De hecho, no hay casi nada que no se pueda hacer en remoto y obviamente sin necesidad de conectarte por remote desktop...
Lo que pasa es que la peña no conoce Windows y luego hablan por hablar.
Aceptaras que tampoco es fácil de conocer a no ser que tengas algun don divino o un curso especifico. Por contra, hay miles de manuales jautus y lo que quieres para administracion *nix.
en MSDN tienes acceso a infinidad de recursos de programacon con VBS y JS para windows, ademas de powershell que tambien permite scripting y acceso a las librerias del .net framework
Es cierto que las betas están para arreglar estas cosas, pero, francamente, ¿cómo no han caído en ese detalle, siendo una parte tan esencial de Windows?
Siempre he tenido curiosidad por conocer los procesos de diseño y prueba que se siguen en Microsoft y que dejan colar minucias como ésa. Son capaces de diseñar sistemas complicadísimos y luego caer en un fallo de concepto como ése. A veces pienso que tienen a un 95% de la plantilla encargada del marketing y a un 5% encargada del resto...
O a lo mejor la mayoría de los fallos de seguridad en programas son de la misma guisa y ocurre que yo, usuario del montón, simplemente, lo ignoro (qué feliz).
Tengo la beta descargada, a ver si me animo a instalarla hoy.
Saludos
No estoy muy seguro pero creo que el UAC en realidad es una herramienta de pega. Me parece que se pueden hacer cambios en la configuración desde consola sin que te avise el UAC, ¿o no es así? Creo que lo único que hacen es aparentar que poseen una herramienta de defensa ante ciertos ataques pero que en realidad no sirve para nada, bueno si, para molestar al usuario... Podría hacer bien bien el mismo comentario para Windows Firewall o Windows Defender...
Si hay alguien que crea que sirve para algo la UAC que me lo explique porque yo todavía no lo entiendo...
ademas uno no sabe como mismo ha configurado la maquina, entonces si un script se ejecuto y si alguien lo reconfigura desde alguna de esas aplicaciones no ha hecho nada porque lo que se ha hecho desde consola nada absolutamente nada se puede reconfigurar desde esas otras aplicaciones.
Pero vamos a ver... uno de los errores de Vista es ser tan "tocapelotas" como un Linux, o Mac... por eso es tan impopular... ahora que han bajado el nivel y han hecho lo que les pedian sus usuarios, la gente usará W7...
Es que esto es así... si la gente quiere comodidad, no se puede pedir también seguridad...
Me pregunto, a una anormalidad de este tamaño, ¿se les puede llamar fallo de seguridad, y ponerlo en la misma bolsa que los errores accidentales?
Realmente les importa un bledo el tema seguridad a estos señores.