Rutkowska aprecia "un agujero muy severo" en el UAC de Windows Vista

Enviado por admin el 13. Febrero 2007 - 23:40.

Joanna RutkowskaY sigue la fiesta. La hacker Joanna Rutkowska (que tantos admiradores parece tener entre los lectores de Kriptópolis, no sé si debido a sus brillantes trabajos o a razones más... mundanas) ha señalado lo que en su opinión representa un "agujero muy severo" en UAC, el célebre Control de Acceso de Usuarios en el que descansa gran de la política de seguridad de Windows Vista.

Y no sé qué es peor, si que tenga razón (que en mi opinión la tiene), o la dolorosa certeza de que algo tan evidente nos haya pasado desapercibido a todos hasta hoy...

Dice Rutkowska:

Algo que encuentro particularmente molesto sin embargo, es que Vista asume automáticamente que todos los programas que instalan aplicaciones deberían ejecutarse con privilegios de administrador. Así que cuando intentas ejecutar uno de esos programas, salta una ventana de UAC y sólo tienes dos opciones: o aceptas ejecutar esa aplicación como admnistrador o no permites que se ejecute en absoluto. Eso significa que si te descargaste un Tetris gratuito tendrás que ejecutar su instalador como administrador, concediéndole no sólo acceso total a tu sistema de ficheros y tu registro, sino permitiéndole también ¡cargar drivers en el kernel! ¿Por qué al instalador de un Tetris debería permitírsele cargar drivers en el kernel?

Como luego continúa señalando Rutkowska en su propio blog, la situación es mucho mejor en Windows XP, ya que puedes autorizar a una cuenta normal a que realice ese tipo de operaciones o, si eres muy paranoico, incluso crear una nueva cuenta llamada por ejemplo "Instalador".

No sé a vosotros, pero a mí me parece uno de los vapuleos más fuertes que ha recibido Windows Vista en sus escasos días de vida, ya que se trata de un fallo fundamental de diseño que afecta a algo que siempre se nos ha presentado como uno de sus pilares principales.

Habrá que ver cómo evoluciona este episodio en los próximos días.

»

Comentarios

Selecciona arriba tu forma preferida de visualizar
los comentarios y pulsa el botón para guardar tus
preferencias. Éstas sólo se recordarán para tus
próximas visitas si eres usuario registrado.

No entiendo el problema...

Enviado por Shevek el 13. Febrero 2007 - 23:54.

...de hecho en los *nix o eres administrador o no puedes instalar casi nada (salvo trucos "sudo"). Y, una vez que eres administrador, puedes tocar el kernel y hasta los mismísmos del sistema, si es que la aplicación que estás instalando lo requiere.

Lo que sí es cierto, es que los programas para *nix no suelen mezclar el acceso al kernel con el espacio de aplicaciones; y si alguno lo requiere, entonces el instalador te advierte (pero no te impone) que necesita tal módulo o tal versión del módulo para poder instalarse.

Por eso los manejadores de paquetes se ponen tan pesados con garantizar que el binario o los fuentes provienen de un repositorio de confianza (esto lo hacen con firmas digitales). Si te descargas un Tetris gratuito, allá tú de dónde lo has sacado, pero si lo instalas tienes que hacerlo como administrador hasta sus últimas consecuencias.

Igual que en Vista, según lo que reporta Rutkowska. A no ser que me haya perdido algo...

SKS, criptografía de curva elíptica de bolsillo
http://sks.merseine.nu

En parte tienes razón

Enviado por martesy13 el 14. Febrero 2007 - 0:08.

Todos los sistemas operativos (no sólo Windows) deberían disponer de mejores mecanismos de instalación.

Sin embargo en Linux tú no instalas como administrador (o no deberías) un paquete binario de origen desconocido. O los descargas desde el repositorio de tu distribución o los compilas.

No existe tal cosa en Windows. Si decides instalarte un Tetris (y millones de usuarios instalarán eso y cosas peores) has de confiar a ciegas en un programa de origen desconocido... o te quedas sin jugar.

¿No te parece un peligro tener que instalar cualquier chorrada como administrador? Pues a mí sí. Y a la señorita Ruckowska también.

Vista, tocado. 

Yo pensaba que se podía

Enviado por Zaraka el 14. Febrero 2007 - 0:14.

Yo pensaba que se podía instalar aplicaciones en tu carpeta personal sin problemas... ¿Que habré estado haciendo yo durante todo este tiempo? ¿Mi binario de Azureus estará instalado con permisos de root a pesar de estar en la carpeta ~/programas ? Me parece que sí que te has perdido algo ;-)

Instalar en UNIX

Enviado por felipe_alfaro el 14. Febrero 2007 - 0:59.

De hecho, al contrario que en Windows, en UNIX es bastante sencillo instalar cualquier programa (siempre que éste no precise de la instalación de módulo del núcleo) aunque no se disponga de permisos de administración.

Para ello, basta con instalar el programa en tu directorio HOME, por ejemplo, o en cualquier otro sitio donde tengas permisos de escritura. Ejemplo:

% ./configure --prefix=$HOME/mipgrama
% make
% make install

Después, para ejecutar el programa, basta con ejecutar

% $HOME/miprograma/miprograma

Programas como Firefox permiten hacer esto, por ejemplo.

En UNIX

Enviado por Cracky el 14. Febrero 2007 - 21:35.

en UNIX es bastante sencillo instalar cualquier programa

% ./configure --prefix=$HOME/mipgrama
% make
% make install

Si!! Sencillisimo... Un 99% de los usuarios de un ordenador no tienen ni idea de lo que acabas de decir, y es posible que me quede corto.

Sinceramente, mientras sigan pudiendose decir cosas como esta linux NUNCA será fácil para el usuario de a pie ...

Lo que explicas de sistemas Unix es erroneo.

Enviado por vejeta el 14. Febrero 2007 - 4:21.

En los sistemas Unix hay una politica de seguridad muy bien definida sobre usuarios y privilegios.

Puedes instalar cualquier cosa como usuario, siempre que lo hagas sobre tus directorios. Y por supuesto, cualquier usuario puede definir que cosas deja ver o ejecutar a los demas.

Y lo que quiero decir, es que el punto central de la cuestion es:

¿Necesita este nuevo Windows permisos de Administrador para instalar aplicaciones que son para uso de un usuario normal?

Es que es muy diferente instalar algo para un usuario (que no deberia requerir permisos de administrador de sistema) de instalar algo para TODOS los usuarios en una carpeta del sistema que si puede requerir permisos de administracion.

 

Aparte de todo lo que has dicho

Enviado por DarwinSoft el 14. Febrero 2007 - 8:29.

Aparte de todo lo que has dicho (que tienes toda la razon) te pasa por alto una cosa.

NO SIEMPRE se requieren permisos de administrador (root) para instalar segun que programas, los puedes instalar perfectamente en tu espacio de usuario (home).

Un Saludo.

 

P.D. - Si, tener un repositorio de confianza es una gran ayuda pero en los repositorios te puedes encontrar que no esta el aplicativo que necesitas y entoncers has de recurrir a medios mas "estandarizados", otra cosa es que lo saques de www.spywareiincorporated.sl

si se puede

Enviado por anv el 14. Febrero 2007 - 12:05.

Te equivocas, en unix los usuarios pueden instalar y ejecutar sus propios programas sin problemas y sin necesitar permisos de root. Lo que no pueden hacer es ponerlos en directorios del sistema. Basta con que creen un directorio en su home, por ejemplo /home/Shevek/bin, y ahi pongan lo que les de la gana.

No olvidemos que hablamos de usuarios finales.

Enviado por Mr_Marshall el 14. Febrero 2007 - 13:50.

Sin Conocer demasiado de Vista y suponiendo que a nivel de usuarios se comporte como XP, es razonable pensar que todos los usuarios domésticos tengan acceso como administrador en la cuenta que usan habitualmente, es decir, que el aceptar ponerse en modo administrador será cosa de un click. Los usuarios asumirán ese click como parte del proceso previsto de instalación de cualquier producto, ya que como afirma la autora no hay otro modo de hacerlo.

Conociendo a los usuarios como los conozco, si se quieren instalar un tetris lo harán. Les diga el sistema operativo lo que les diga. Su objetivo es jugar al tetris y los avisos son como mensajes de error que deben ir sorteando para llegar a ese fin. Llegarán al punto de ignorar esos avisos por sistema y el click famoso será como un paso más en la cadena de "siguiente > siguiente".

Cuando un usuario de Linux entra como root sabe que está haciendo algo especial. No es parte del proceso estándard de trabajo ni de instalación. Incluso es algo que se puede impedir hacer a un usuario básico ya que no lo va a requerir habitualmente. Esa es para mi la diferencia.

En Linux (supongo que en todos los Unix

Enviado por guannais el 14. Febrero 2007 - 1:29.

En Linux (supongo que en todos los Unix aunque no los he probado) puedes instalar cualquier programa sin ser administrador en tu directorio personal. Si el programa no funciona correctamente es culpa del programador que no tuvo en cuenta la posibilidad de que los ficheros no estuviesen en los lugares comunes (/usr, /usr/local ...), pero muchos permiten configurarlo.

Muchos programas de Windows, cuanto más modernos más posible, pretenden dejar constancia de su presencia creando entradas en el <> (se oye un grito aterrador). Esto resulta incomodísimo para mover el directorio de instalación o migrar el programa a otra instalación de Windows: los programas se empeñan en que no estan instalados y no quieren funcionar; si además el acceso al registro está restringido al administrador... sin embargo no es así, cada usuario tiene un trozo propio de registro en un fichero que antiguamente se llamaba "user.dat".

Y en Linux tambien tenemos un registro, pero no es una base de datos en un fichero apelotonado, es el directorio "etc", y también los usuarios tienen su trocito del registro, los ficheros o directorios de configuración para cada usuario que se suelen llamar ".xxxxrc".

Creo que con esto se ve un instalador casi nunca debería requerir privilegios de administrador, puesto que normalmente no va a tocarle las entrañas al sistema operativo, y esto es posible de implementar tanto en Linux como en Windows. Así que le echo la culpa a los distribuidores de software.

Pero aún voy más allá, si queremos instalar un programa para todos los usuarios, debería ser evitable aún usar privilegios de administrador, y eso es posible al menos en Linux, haciendo un usuario especial para este menester (¿por qué ninguna distribución lo implementará?). En Windows no lo sé...

123siguientefinal

Opinar

Salvo circunstancias especiales LOS COMENTARIOS DE ESTE SITIO SERÁN MODERADOS.

Como norma general, en este sitio NO SE PUBLICARÁN aquellos comentarios que incluyan datos personales, ni direcciones de correo, ni ninguna otra forma de establecer contactos privados o comerciales. Tampoco los que no se ajusten al tema, a la netiqueta, la ortografía o la educación, así como los comentarios ofensivos o claramente publicitarios, los que no aporten nada a la discusión o los que pretendan suplantar a terceras personas.

En cualquier caso los comentarios publicados en este sitio expresan sólo la opinión de su autor, quien será el único responsable -incluso ante la Ley- de los mismos. La publicación de cualquier comentario no supone en absoluto la conformidad del responsable de este sitio con su contenido.

Para poder enviar tus comentarios no necesitas ningún registro, pero has de permitir las cookies del sitio. Sólo si deseas disponer de un alias permanente has de registrarte.

Si no aceptas estas condiciones, por favor, absténte de participar en los debates. Muchas gracias

Kriptópolis, 21 de noviembre de 2008.

  • Etiquetas HTML permitidas: <a> <em> <strong> <ul> <ol> <li> <p> <u> <br><strike> <blockquote> <div>

Más información sobre las opciones de formato...

CAPTCHA
Esta prueba busca evitar la entrada de mensajes basura automatizados. Muchas gracias por tu colaboración.
2 + 3 =
Resuelve esta sencilla operación e introduce el resultado.