Protección sólida para Windows Vista

10 de julio de 2007
Resumen Las nuevas funciones de seguridad incluidas en Vista son un avance para ayudar a las empresas a defenderse contra ataques, pero no pueden considerarse una defensa completa en todos los niveles.

Introducción

No hace falta mencionar que los atacantes hacen uso de las vulnerabilidades de seguridad conocidas, ya que éstas son un requisito para su éxito. En los últimos años, estas vulnerabilidades han ascendido por la pila de aplicaciones alejándose del sistema operativo central. Las amenazas se han trasladado (y se seguirán trasladando) a otras áreas, como al nivel de aplicaciones web, donde hoy en día se encuentran gran parte de las nuevas vulnerabilidades de seguridad. Estas amenazas tienen como objetivo tecnologías más accesibles, que incluyen correo electrónico, mensajería instantánea y la Web, y aprovechan la ingeniería social y otros trucos para infectar a sus víctimas.

Dicho esto, el lanzamiento de un sistema operativo que se espera que sea adoptado por muchos usuarios, como es el caso de Windows Vista de Microsoft, ciertamente producirá un efecto importante en el panorama de la seguridad.

El año pasado, en el Informe sobre las amenazas a la seguridad en Internet de Symantec volumenX se analizaron algunas de las preocupaciones generales de seguridad que se pueden asociar con Windows Vista. En los últimos seis meses, Symantec continuó investigando posibles problemas de seguridad asociados con el nuevo sistema operativo de Microsoft. En este artículo se analizan los resultados de la investigación y se explica por qué es fundamental la implementación de una estrategia de seguridad de varios niveles además de la de Windows Vista.

Amenazas que se hacen evidentes

Los problemas de seguridad relativos a Windows Vista se clasifican en tres categorías: vulnerabilidades, código malicioso y ataques contra un protocolo específico.

En diciembre de 2006, Symantec informó de una vulnerabilidad en las versiones anteriores de Windows que también afecta a la versión de Windows Vista que se lanzó al mercado en el mes de enero. Independientemente de la solidez de los procesos de desarrollo, como el ciclo de vida del desarrollo de la seguridad de Microsoft (SDL), Vista es un sistema complejo y, tal como se demostró anteriormente, no es inmune a fallas y errores humanos.

Como se advierte en la última edición del Informe sobre las amenazas:

“Parece que la implementación por parte de Microsoft de tecnologías de mitigación como la "address space layout randomization" (ASLR), GS (una tecnología de recopilación) y la prevención de ejecución de datos (DEP) podría reducir la explotación exitosa de cualquiera de las vulnerabilidades que se detectan. No obstante, Symantec espera que las nuevas amenazas para Windows Vista utilicen técnicas de explotación más antiguas que tuvieron éxito anteriormente (como las que se desarrollaron para explotar con éxito Windows XP SP2) y, de este modo, superar las mejoras de Windows Vista. Por ejemplo, los atacantes pueden volver a los ataques que utilizan correos electrónicos, P2P y otras técnicas de ingeniería social.”

En abril, Microsoft corrigió la vulnerabilidad ya explotada del cursor animado de Windows, con una actualización de seguridad fuera del ciclo habitual. El boletín de seguridad clasificó el error como crítico (el mayor nivel de amenaza de Microsoft en su sistema de cuatro niveles) en todas las ediciones compatibles de Windows: 2000, XP SP2, Windows Server 2003 y Vista. Esta vulnerabilidad supuso el primer error crítico de Vista descubierto y corregido desde el lanzamiento del sistema operativo, y el primer error en el propio código de Vista.

En lo que se refiere al código malicioso existente, esto también puede representar un problema para Windows Vista. Según una investigación realizada por Symantec, algunos códigos maliciosos que originalmente no tenían como objetivo a Windows Vista pueden terminar afectando el nuevo sistema operativo después de todo. Esto puede ser un problema porque algunas empresas pueden actuar creyendo que sus instalaciones de Windows Vista son inmunes a las muestras de códigos maliciosos más antiguas. Como consecuencia, es posible que no implementen soluciones de seguridad apropiadas en los nuevos sistemas Windows Vista y queden vulnerables a infecciones de muestras de códigos maliciosos más antiguas.

Por ejemplo, a fines del año pasado, Symantec Advanced Threat Research realizó un análisis sobre las mejoras de seguridad realizadas en Windows Vista provistas por el control de cuentas de usuario (UAC) y sobre las nuevas barreras de seguridad resultantes. Durante el transcurso de este proyecto, se ejecutaron aproximadamente 2.000 instancias únicas de código malicioso.

En promedio, cerca del 70% del código malicioso ejecutado en Windows Vista se cargó y ejecutó con éxito sin causar ningún problema ni errores de tiempo de ejecución. Entre el 70% que se pudo ejecutar, sólo cerca del 6% de las muestras pudieron lograr un compromiso total e incluso un menor número (4%) logró sobrevivir al reinicio. El resto no se ejecutó correctamente debido a incompatibilidades, excepciones no resueltas o restricciones de seguridad.

Orlando Padilla, de Symantec Security Response, sacó estas conclusiones:

“La implementación del código malicioso en Windows Vista se modificará. Los autores de código malicioso ya no tomarán como objetivo el sistema en su totalidad, sino que tendrán que apuntar al entorno del usuario para lograr lo que desean. Sin duda, las posibilidades de infección siguen siendo infinitas. Hemos visto que el código malicioso puede seguir sobreviviendo en Windows Vista con cambios relativamente pequeños. Una gran parte de nuestra muestra falló, simplemente por condiciones no resueltas sin ninguna ruta de código alternativa y la imposibilidad de ejecutarse correctamente dentro de los límites del nuevo entorno de seguridad de Windows Vista. Con cambios relativamente menores (que no realizamos nosotros mismos), estos defectos pueden resolverse y gran parte del porcentaje de código malicioso logrará sobrevivir en Windows Vista. La posibilidad de una amenaza existente que se ejecute, infecte y logre sobrevivir con éxito en Vista, sigue siendo una preocupación.”

El tercer problema de seguridad potencial de Windows Vista identificado por Symantec es el protocolo Teredo. Microsoft desarrolló Teredo para permitir la transición entre las versiones del protocolo de Internet (IP), uno de los protocolos subyacentes a todas las comunicaciones basadas en Internet. Teredo está habilitado de forma predeterminada en Windows Vista, y los equipos con Windows Vista pueden identificarse fácilmente a través de Teredo. Los ataques enviados a través de Teredo muchas veces lograrán traspasar los controles de seguridad de la red de las organizaciones. Numerosos productos de seguridad no son compatibles con Teredo y, por lo tanto, no lo inspeccionan. Esto puede hacer que Windows Vista quede expuesto a ataques a través de Teredo.

Los atacantes cambian su foco de atención

Como saben todos los profesionales de TI, los atacantes rastrean las vulnerabilidades de seguridad, ya que son un requisito para su éxito. En los últimos años, estas vulnerabilidades se han alejado cada vez más del sistema operativo central. Según el último informe sobre las amenazas de Symantec, las amenazas se han trasladado (y se seguirán trasladando) a otras áreas, como al nivel de aplicaciones web, donde hoy en día se encuentra el 66% de todas las nuevas vulnerabilidades de seguridad. Windows Vista no ofrece una mejor seguridad en este sentido, ya que la mayoría de las vulnerabilidades actuales se presentan dentro de PHP, Python, Perl, ASP y otros idiomas. Además, las nuevas tecnologías Web 2.0 como AJAX ofrecen un nivel totalmente nuevo en el que se propagarán las amenazas futuras.

Una defensa en varios niveles

Para las organizaciones que están considerando una migración a Vista, la integración es un aspecto fundamental de cualquier solución de seguridad para el cliente. La protección antivirus y antispyware, la protección basada en vulnerabilidades, la prevención de intrusos basada en archivos y los componentes de control de tráfico de firewall de una solución de seguridad deben poder comunicarse entre sí y funcionar en conjunto para proteger el sistema del cliente.La falta de integración entre las soluciones muchas veces requiere la intervención manual, lo que debilita la capacidad de combatir correctamente las amenazas. Sólo mediante una defensa coordinada y en varios niveles, las organizaciones pueden protegerse eficazmente a sí mismas contra el creciente aluvión de software de actividades ilegales y amenazas para Windows Vista.

Además de proporcionar una defensa coordinada, una solución de seguridad integrada para clientes se puede administrar más fácilmente que los productos puntuales individuales. La integración permite una administración centralizada desde una única consola en lugar de utilizar varias consolas. Los administradores de TI sólo deben aprender a utilizar una consola en vez de cuatro. Asimismo, en lugar de tener informes fragmentados que presentan brechas en el panorama de seguridad de los clientes, pueden ejecutar un solo informe para obtener una vista instantánea o integral del estado total de la seguridad de los clientes, que les permite ver fácilmente sus puntos débiles y fuertes. La facilidad de administración que ofrece una solución de seguridad integrada para clientes simplifica notablemente los esfuerzos de administración y libera al personal de TI para que se pueda encargar de organizar actividades que impulsen el crecimiento comercial y mejoren el balance final de la organización.

Conclusión

Como con cualquier sistema operativo nuevo, el lanzamiento de Windows Vista traerá consigo problemas de seguridad nunca antes vistos que los responsables de TI deberán solucionar. Como se advierte en la última edición del Informe sobre las amenazas a la seguridad en Internet, “las nuevas funciones y los cambios en la base del código de Windows Vista, junto con avances en el los análisis llevados a cabo por investigadores en seguridad y autores de código malicioso, tendrán como resultado ataques nunca antes vistos.”

Sin duda, Vista será de gran ayuda para las empresas y los usuarios, pero su llegada también implica que habrá un sistema operativo nuevo que los responsables de TI deberán administrar y proteger. Las nuevas funciones de seguridad incluidas en Vista son un gran paso para ayudar a las empresas a defenderse contra ataques, pero no pueden considerarse una defensa completa en todos los niveles.

El avanzado estado de desarrollo de programas maliciosos seguirá requiriendo medidas preventivas específicas, y las organizaciones necesitarán formas de administrar y proteger varias plataformas. En resumen, Vista es un avance importante, pero el nuevo sistema operativo es sólo el primer paso para garantizar la seguridad de los recursos informáticos de una organización.