General Sparda
General_Sparda
Todos conocemos y hemos sufrido en algunos casos el UAC, el famoso User Access Control que en Windows Vista funcionaba como centinela y pedía confirmación de cualquier cambio sospechoso en el sistema, cualquier movimiento que pudiera pertenecer a software malvado y alevoso para tomar el control del ordenador o cambiar su comportamiento. A todas luces fue una solución drástica tomada por los programadores de Microsoft ante el aluvión de malware que inundaba los apacibles valles de Windows Vista. En Windows 7 la cosa ha cambiado y el UAC es menos quisquilloso con los programas que hacen modificaciones en el sistema, aunque es posible aumentar el nivel de control hasta establecerlo como en Windows Vista (o rebajarlo aún más).
Esta permisividad del nuevo UAC ha dado mucho que hablar, e incluso ha provocado cambios en el sistema por parte de los programadores de Windows 7. La primera queja consistía en que al cambiar el nivel de sensibilidad del UAC el usuario no recibía ningún mensaje pidiendo confirmación. Eso provocaba que ciertas aplicaciones pudieran hacer que el UAC rebajara el nivel de avisos sin que lo supiera el usuario. Ya en la versión beta, y con la intervención personal de Steven Sinofsky en el asunto, se zanjó la cuestión: el UAC avisaría y pediría confirmación cada vez que se modificara su nivel de sensibilidad.
Pero ha surgido un nuevo problema con el UAC que intentaré resumir lo más breve y claramente posible. Uno de los mayores gurús de Windows, Mark Russinovich, ha publicado un interesantísimo artículo en TechNet en el que describe con pelos y señales el funcionamiento de la nueva UAC, poniendo especial énfasis en asuntos como la autoelevación de ejecutables. En la conclusión del artículo Mark reconoce que la autoelevación puede ser utilizada por código malicioso para realizar la llamada “DLL injection” y que el ejecutable gane privilegios de administrador sin que el UAC requiera autorización.
Una pequeña paréntesis explicativa. La auto elevación consiste en que una aplicación que tiene privilegios estándar consiga privilegios de administrador y pueda modificar elementos del sistema. Es una petición que se realiza desde la existencia de la beta de Windows Vista (según dice Russinovich) pues algunas aplicaciones como herramientas de mantenimiento de terceros requerían autorizaciones contínuas por parte del usuario por causa de la UAC. La autoelevación “silenciosa” hace que la UAC no diga ni mu cuando una aplicación eleva sus privilegios.
Esto ha levantado la liebre y ha hecho que algunos bloggers, como Long Zheng pongan el grito en el cielo. No entienden cómo el UAC permite tales desmanes sin pestañear y consideran que Microsoft debería solucionar el problema antes de que salga al mercado la versión definitiva de Windows 7. Otros han realizado demostraciones con aplicaciones que obtienen auto elevación sin que el UAC se de cuenta. Curiosa la actitud de otros como Rafael Rivera, que piden simplemente olvidarse del tema del UAC porque Microsoft les tiene mareados…
La trifulca está servida una vez más.
Aclarando conceptos (De que leches va todo esto)
A pesar de lo que pueda decir Microsoft en sus mensajes de márketing o los epítetos de los que quieren arrojar el nuevo UAC de Windows 7 a la hoguera, el UAC es un complemento de seguridad, una herramienta que sirve para que el usuario siempre que tenga privilegios de administrador conozca si una aplicación está modificando el sistema o no. Dos cuestiones importantes: la primera NO es una herramienta de seguridad que analice e impida amenazas, es un cepo lobero muy simple destinado a cazar a los ejemplares más patosos. La segunda, el UAC NO sustituye al sentido común, y eso vale para las herramientas de seguridad más sofisticadas.
¿Por qué digo esto del sentido común? Bien, como dice bien claro Mark Russinovich la autoelevación puede producirse con o sin mensajes de por medio. Es decir, para entendernos, imaginemos que descargamos un software de Internet y lo ejecutamos. En el caso de que contenga malware de andar por casa, el UAC nos advertirá de que se van a realizar cambios de sistema mediante un mensaje. Pero es que como nosotros hemos descargado el programa y queremos que se ejecute diremos que adelante. La única diferencia con un malware que impida a la UAC emitir ese mensaje es que en el segundo caso no hemos sido informados, pero en la práctica el malware actuará en cualquier caso.
Por eso menciono al sentido común, si somos lo suficientemente imprudentes para ejecutar un programa que descargamos de Internet sin estar absolutamente seguros de su legitimidad con una cuenta de administrador ¿qué diferencia hay entre que la UAC nos informe o no? Los bloggers a favor de que se solucione este problema, en cualquier caso, tampoco están equivocados del todo.
Si asumimos que el usuario es imprudente ¿de qué sirve entonces el UAC? Pues a cuento de eso he mencionado la primera cuestión, que se trata simplemente de un complemento. Es decir, la UAC es solamente una de las barreras, no podemos delegar la seguridad de nuestro sistema a la UAC. Como dijo Sinofsky en su momento, Microsoft no quiere crear una falsa sensación de seguridad con el UAC. El usuario tiene la última palabra en términos de seguridad, no debe instalar ni ejecutar aplicaciones desconocidas o en las que no se confíe.
Hay que dejar claro que desde que se inventó la informática personal, el sistema operativo absolutamente seguro no existe. Cuando se entregaron al usuario los privilegios de administración de su sistema, éste puede instalar lo que quiera y destruir si le apetece por completo el mismo. Y si el usuario con privilegios de administrador puede hacerlo, cualquier aplicación que logre ganar su confianza o engañarle y pasar desapercibida puede hacerlo. Ni Linux, ni Mac OS X, ni Windows, todos tienen sus parches y herramientas que permiten estar informados y proteger contra cambios no deseados del sistema, pero tienen un límite.
¿Queréis un sistema a prueba de bombas? Pues es sencillo, instalad vuestro sistema operativo y cread una cuenta de usuario corriente y moliente. Luego olvidad la cuenta de administrador y usad la SIEMPRE la cuenta sin privilegios que habéis creado, sobre todo para navegar por Internet. Si tenéis que instalar algo que precise de privilegios de administrador primero comprobad concienzudamente que no va a pasar nada y luego entrad en el sistema como administradores y desconectaros como alma que lleva el diablo. Os quitaréis muchos dolores de cabeza y hasta os podréis olvidar de qué significa UAC.
También me ha parecido interesantísima una observación de Mark Russinovich, en el sentido que estaban intentando “educar” a los programadores para que diseñaran sus aplicaciones de forma que pudieran funcionar sin problemas con privilegios estándar. Los programadores suelen tener la manía (lógica, por otro lado) de coger atajos para realizar ciertas funciones. Si se consiguiera sería menos engorroso trabajar con una cuenta de usuario estándar, ya que no necesitaríamos casi nunca acudir a la cuenta de administrador. Y no necesitaríamos la UAC.
Fuente: artículo en TechNet
Siento una vez más el rollo, pero el tema del UAC es apasionante. :cunao::cunao:
