Anda di halaman 1dari 8

G Data

Whitepaper 2009
La seguridad del sistema Windows 7
Marc-Aurél Ester & Ralf Benzmüller
G Data Security Labs

Go safe. Go safer. G Data.


G Data Whitepaper 2009

Contenido

1. Windows 7 en la línea de salida........................................................................................................ 2


2. Control de las cuentas de usuario.................................................................................................... 2
3. Cortafuegos....................................................................................................................................... 3
4. Extensiones de archivos................................................................................................................... 3
5. AppLocker.......................................................................................................................................... 4
6. Windows Defender............................................................................................................................ 4
7. Bitlocker ............................................................................................................................................. 5
8. Bitlocker to go................................................................................................................................... 6
9. Conclusión.......................................................................................................................................... 6

Copyright © 2009 G Data Software AG 1


G Data Whitepaper 2009

1. Windows 7 en la línea de salida


Windows 7 viene directamente a relevar a Windows Vista que ha tenido una recepción más bien fría,
sobre todo por parte de los clientes corporativos. La cuota de mercado de Windows Vista se sitúa en
torno al 30%, mientras que Windows XP detenta todavía un jugoso 58% del pastel. Con Windows 7 Mi-
crosoft intenta remediar muchos puntos flojos que a los usuarios particulares y los corporativos desa-
gradaban de Windows Vista. Así, Windows 7 consume menos recursos del sistema que Vista y también
van a sacar pronto una edición especial para netbooks y dispositivos ultraligeros similares. Con Win-
dows 7 se publica también la nueva interfaz gráfica DirectX-11. El sistema ha optimizado también el
manejo de las unidades solid state, con lo que se ha conseguido abreviar el tiempo de inicialización.
También se ha modernizado la interfaz del usuario. Y en último lugar, pero no en importancia, Win-
dows 7 tiene la pretensión de ser más seguro que su predecesor. A continuación vamos a explicar las
novedades y cambios más importantes en cuestión de seguridad que nos aporta Windows 7. Vamos a
mostrar dónde los mecanismos de protección son efectivos, dónde son mejorables y lo que ha empeo-
rado en comparación con Windows Vista. Además vamos a exponer también que la más joven versión
de Windows permite utilizar una eficaz versión antivirus.

2. Control de las cuentas de usuario


Es una pena que la seguridad no sea siempre lo más
cómodo. El mejor ejemplo de esta afirmación es el con-
trol de las cuentas de usuario de Vista. Muchos usuarios
criticaban que las ventanas de diálogo del control de las
cuentas de usuario frenaban con frecuencia el flujo de
trabajo. Por eso, numerosos usuarios decidieron arreglar
el problema a su manera y suprimieron sin pensárselo
dos veces los molestos mensajes de aviso. Pero con ello
dejaron inactivo también un medio efectivo de combatir
el software dañino, porque así estaban dejando vía libre al
malware para que se apropiase ilícita y automáticamente
los derechos de orden superior necesarios para las instala-
ciones.
Para evitar este problema, en Windows 7 se puede ahora graduar en cuatro niveles la visualización de
los mensajes de aviso del UAC.

1. Avisar siempre si un programa o el usuario desean modificar el sistema.


2. Avisar solo si un programa desea efectuar cambios en el sistema.
3. Avisar solo si un programa intenta efectuar cambios en el sistema. El fondo de pantalla no se
oscurece en este modo.
4. No hay ningún aviso.

Conociendo el panorama, es de esperar que habrá muchos usuarios dejarán totalmente de lado los dos
primeros modos. Pero así se reduce también el efecto de protección.
Pero también aunque haya conectado la UAC, el malware puede entrar subrepticiamente en el sistema.
Durante la fase beta ya se consumaron ataques que pusieron en jaque al sistema y que desactivaron
por completo el sistema de mensajes del UAC.

Copyright © 2009 G Data Software AG 2


G Data Whitepaper 2009

Tareas sin verificar


A pesar de su vigilancia continua, el control de las cuentas de usuario deja fuera algunos procesos
automáticos en Windows. Por eso es posible apropiarse de los derechos de administrador al iniciar el
sistema mediante la planificación de tareas, sin que aparezca ninguna consulta al usuario. Así el progra-
ma dañino puede instalarse en el sistema sin ser notado.
Con el control de las cuentas de usuario, Microsoft ha arañado un poco de confort extra a costa de la
seguridad. Las configuraciones más débiles del programa pueden dar pie a los programas malicio-
sos a que se acomoden a sus anchas en el sistema. Estas opciones de manejo descafeinadas afectan
negativamente a la seguridad. En el área de la administración de derechos, Microsoft debería dejarse
inspirar por el mundo Mac OS X, que ofrece unos modelos mucho más efectivos y también más fáciles
de manejar.

3. Cortafuegos
Microsoft se ha tomado muy a pecho la críti-
cas que cosechó el cortafuegos de Windows
y en Windows 7 ha pulido mucho el confort
de manejo del cortafuegos. Se crean reglas
automáticas para ciertas aplicaciones. Los
asistentes de reglas hacen también más senci-
llo administrar los conjuntos de reglas. Ahora,
con los asistentes se pueden crear con toda
facilidad nuevos conjuntos de reglas. Además
se puede configurar que el cortafuegos actúe
de modo acorde con distintos entornos: por
ejemplo, para las WLANs públicas se pueden
definir reglas más estrictas que para la red
corporativa. En el nuevo SO también se pueden
asignar perfiles distintos a cada tarjeta de red.
Casi nadie pone en duda que es necesario utilizar el cortafuegos, pero casi todos sabemos que no es
buena idea transferir luego a los usuarios la tarea de crear y actualizar los conjuntos de reglas. La mayor
parte de los usuarios particulares no tienen los conocimientos necesarios y lo hacen al albur. Pero
un clic equivocado puede llevarles a bloquearse el acceso a Internet o a que ya no puedan utilizar la
impresora de la red. Ahora, como siempre, no es una buena solución preguntar al usuario en caso de
duda. Lo mejor aquí es un cortafuegos que decida por sí mismo los datos que pueden pasar y los que
no. Esta función solo la ofrecen los productos especializados en seguridad en Internet.
No ha desaparecido, por cierto, la opción de desactivar el cortafuegos completamente, posibilidad de
la que pueden aprovecharse también los programas dañinos. El cortafuegos de Windows no tiene una
característica de autoprotección como los cortafuegos de los productos más corrientes de seguridad
informática. Aquí los cortafuegos comerciales son más efectivos y tienen un alcance mucho mayor.

Copyright © 2009 G Data Software AG 3


G Data Whitepaper 2009

4. Extensiones de archivos
Ya desde Windows 9x lleva siendo blanco de las críticas la forma que tienen de gestionar las exten-
siones de los nombres de los archivos. Microsoft sigue con su idea fija de que un usuario no tiene
porqué ver la abreviatura al final del nombre de un archivo cuando se trate de un tipo de archivo co-
nocido. Los ciberdelincuentes llevan décadas sacando partido de esta „peculiaridad“. La estrategia que
usan es el siguiente: En la configuración estándar, en los nombres de los archivos se ocultan las exten-
siones conocidas, como por ej. „.exe“, „.scr“ o también „.doc“ Solo se muestra el nombre del archivo y el
icono correspondiente. Pero el problema es que un atacante puede asignar a los archivos ejecutables
el icono que más le convenga. Si propaga su programa dañino bajo el logotipo estándar del formato
PDF, el usuario tendrá que esforzarse mucho para discernir si este archivo que le llega pertenece
realmente al tipo con el se presenta. Los usuarios que reciben un archivo así, por ejemplo por correo
electrónico, pueden sucumbir al engaño y creer que pueden abrir el archivo sin riesgo.

Nos parece totalmente incomprensible que Microsoft, por una parte, no le importe confrontar al
usuario con diálogos con preguntas dificilísimas de responder correctamente, pero, por otro lado, siga
sin estar dispuesto a ayudar al usuario a detectar los engaños más efectivos de la historia del malware.
Ejemplo: 2 -3 frases

5. AppLocker
Con AppLocker los administradores controlan las
aplicaciones que están autorizadas a ejecutarse
en la red corporativa. Esto ya se podía hacer en
Windows XP y Vista con las políticas de restric-
ción de software, pero esta función tuvo poca
aceptación entre los administradores porque
actualizar estas reglas en seguida llevaba mucho
más tiempo del deseado. Por ejemplo, en cada
actualización había que generar y editar un
nuevo valor hash. Mediante las Reglas de editor
ahora se pueden vincular programas perma-
nentemente porque se utiliza como identificador
la firma digital que ya usan la mayor parte de las
aplicaciones. Los parámetros configurables son:
el fabricante, el nombre del producto, los nom-
bres de los archivos y el nombre de la versión.
Con estos criterios puede también bloquearse, naturalmente, la ejecución de determinadas aplicaci-
ones.
AppLocker puede convertirse en un arma efectiva en la lucha contra el software dañino. Las reglas
del editor facilitan la utilización de este instrumento. No obstante, también los certificados se pueden
soslayar y por eso es de temer que la protección que proporciona sea solo temporal.

Copyright © 2009 G Data Software AG 4


G Data Whitepaper 2009

6. Windows Defender
El Windows Defender es un
componente integrante del SO
desde Windows Vista. Consiste
en un escáner que detecta pro-
gramas espía. Pero en las prue-
bas comparativas, el Windows
Defender no ha sabido afirmar-
se. En una prueba comparativa
con varios productos antivirus,
realizada hace pocos meses,
WD solo reconoció el 20% de
los programas dañinos instala-
dos. En las páginas Web que
pretendían instalar spyware,
este componente pudo mejorar
un poco la cuota, al 37,5%. Unos
de los problemas del Defender
es que solo utiliza el reconoci-
miento de base hash y ningún filtro URL propio.
Para ser justos, en realidad Microsoft no ha previsto el Windows Defender como una protección antivi-
rus de pleno derecho. Solo tiene por objetivo proteger del principal spyware y malware de Windows.
El usuario poco experto podría considerar al Windows Defender un sustituto de la protección antivirus
y albergar por eso una sensación de falsa seguridad. Pero Windows Defender no pretende ni puede
sustituir un antivirus de cuerpo entero.

7. Bitlocker
Cada vez se hace más importante desde el punto de vista de la seguridad encriptar los datos sensibles.
Por eso, Microsoft ha introducido en Vista la tecnología Bitlocker. Si lo comparamos con el antiguo de
Windows Vista, Microsoft ha solucionado en este nuevo BitLocker un grave problema. Hasta ahora si
se deseaba utilizar el BitLocker con posterioridad y no desde el principio, era muy complicado porque
había que reducir la partición, entre otras cosas. A raíz de esto, Microsoft lanzó la herramienta „Bit-
Locker Drive Preparation Tool“ que simplificó todo el procedimiento. Pero lo que no ha cambiado es
que solo las versiones Ultimate y Entreprise tienen las funciones de encriptación para el disco duro del
BitLocker. Actualmente, Windows 7 crea directamente durante la instalación una partición de BitLocker
de 200 MB o bien de 400 MB si se instala el „Entorno de recuperación de Windows“. BitLocker funciona
en un entorno de trabajo con los módulos TPM instalados en numerosos portátiles. En los ordenadores
de sobremesa, se encuentran sobre todo en los equipos corporativos. Aunque el dispositivo no tenga
un módulo TPM, se puede guardar la clave Encryption necesaria en un lápiz USB, que luego siempre
habrá que insertar cada vez que se arranque el ordenador.
Este procedimiento es bastante complicado en comparación con la alternativa de código abierto „True
Crypt“. Con todo, BitLocker es una opción interesante para las empresas, porque se puede guardar
una clave general en el „Directorio activo“. Si ocurriese que un usuario olvida su contraseña o pierde su
lápiz USB, el administrador puede restablecer el acceso a los datos. El grado potencial de uso ilícito que
conlleva este sistema depende de cómo se haya asegurado el Directorio activo.

Copyright © 2009 G Data Software AG 5


G Data Whitepaper 2009

8. Bitlocker to go
El Bitlocker „para llevar“ es una novedad de Windows 7. Con él se pueden encriptar soportes de datos
móviles, como lápices de memoria o tarjetas SD. La autenticación se realiza introduciendo una con-
traseña o una tarjeta inteligente También aquí es posible depositar una clave general en el „Directorio
activo“. Además los administradores pueden hacer obligatorio usar „Bitlocker to go“ en cuanto se
guardan datos en soportes móviles de datos. Los datos encriptados con „Bitlocker to go“ se pueden
también leer con Windows XP y Vista, pero es complicado. Hay que copiar los datos en el disco duro
después de introducir la contraseña. Pero después tampoco se pueden regrabar los soportes de datos.
Desde el punto de vista de la seguridad no parece una buena solución obligar al usuario a que copie
los datos en un disco duro, que, a su vez, puede estar sin encriptar.

9. Conclusión
Como síntesis final nos planteamos la cuestión de cuál es la ganancia neta de seguridad que ofrece
Windows 7. ¿Windows es ahora tan seguro que ya no se necesita software de seguridad? Con Vista
Microsoft integró en el SO muchas funciones nuevas de protección. Muchas de ellas tenían más bien
un valor fundamentalmente decorativo y en su mayoría estaban dirigidas a los clientes corporativos.
„BitLocker“,„BitLocker to go“ y „AppLocker“ solo están incluidos en la versión Ultimate y Enterprise y
por eso su campo de aplicación preferente es el entorno corporativo. Para los usuarios particulares,
Microsoft intenta hacer más manejables las tecnologías de protección establecidas con Vista.

• El control de cuentas de usuario está ahora más a merced de los ataques debido a la graduación en
niveles. Las tareas planificadas no se tienen en cuenta.
• Las extensiones de los nombres de archivos siguen sin ser visibles, con lo que los ciberpiratas pue-
den seguir camuflando sus programas dañinos con iconos de archivos inofensivos.
• El Windows Defender despierta en el usuario una ilusión de protección que es un puro espejismo.

Windows 7 ha ganado algunas funciones de protección. Pero no se ha producido un progreso real en


relación a Vista. Muchas funciones protectoras se pueden soslayar, lo que es una pena, y es solo una
cuestión de tiempo que los especialistas en malware vendan en los zocos ilícitos online a los ciberpira-
tas las tecnologías de ataque que necesitan. Para proteger los ordenadores con Windows de los abusos
es imprescindible, ahora y también en el futuro, un software de seguridad que proteja al ordenador
con fiabilidad y que además sea fácil de manejar.

Copyright © 2009 G Data Software AG 6


G Data Whitepaper 2009

Apéndice:
Disponibilidad de los mecanismos de protección en las distintas versiones de Windows 7

Versión Windows 7
Home
Starter Home Basic Professional Enterprise Ultimate
Función Premium
EFS   
Bitlocker  
Bitlocker to go  
UAC      
Windows Defender      
Windows Firewall      
DEP      

Copyright © 2009 G Data Software AG 7