jueves, febrero 22, 2007

¿De verdad no quieres probarlo?

*********************************************
Publicado en Windows TI Magazine Febrero 2007
*********************************************

Durante el lanzamiento de Windows XP, allá por el año 2001, con mi traje y mi corbata y, sin calcetines en Barcelona que me los olvidé, realizamos presentaciones sobre lo que serían las novedades de aquel sistema operativo. Las críticas que escuché en aquel entonces respecto al sistema me vienen a la memoria en estos tiempos por lo similares que son. “Consume demasiados recursos”, “Luna no aporta nada” (ese es el nombre que recibió el Interfaz gráfico que muchos en su origen cambiaban a la vista clásica).

Con el lanzamiento de Windows Vista las críticas están siendo muy parecidas y se están centrando en aspectos como el interfaz gráfico o los equipos antiguos. Lo cierto es que Windows Vista no es un sistema operativo para poner las ventanas en tres dimensiones o poder controlarlo con la voz únicamente. Las principales tecnologías que aporta Windows Vista están pensadas en materia de seguridad y es importante centrarse en ellas y analizarlas.

User Acount Control (UAC) (I, II)

Uno de los principios de la fortificación de sistemas es que todo se ejecute con el menor privilegio posible, así que, UAC nos permite, aunque estemos ejecutando nuestra sesión como Administradores de la máquina, que todas nuestras acciones se ejecuten como un usuario no privilegiado. Cada vez que se requiera el uso de privilegios se recibirá un aviso que nos informará de que esto se va a producir. Algunos lo tildan de “pesado” pero es mejor eso a que no diga nada, ¿no? Para los amantes del riesgo se puede deshabilitar (usando privilegios, claro)

Firmado de Drivers

El firmado de los drivers que se exige en las plataformas de 64 bits tiene como principal objetivo garantizar la no inclusión de rootkits o troyanos no deseados en modo kernel en el sistema operativo, pero al mismo tiempo busca obtener una garantía de calidad de aquellos que sí deben ser instalados y así mejorar la fiabilidad del sistema.

Fortificación de Servicios

Para los servicios se han realizado tres acciones, una primera en la que se han reducido los permisos necesarios de los mismos para evitar que corran de manera privilegiada en el sistema. En segundo lugar se les ha identificado a cada uno con un SID del sistema que permite la gestión de sus permisos de forma individual y en tercer lugar, son acompañados de un manifiesto que les restringe los objetos a los que tiene acceso cada servicio, para, en caso de un eventual compromiso, esté limitada la supervicie vulnerada.

Mandatory Integrity Control

Windows Vista ha dividido en cuatro niveles de integridad las características de todos los procesos y objetos del sistema, con lo que ningún objeto o proceso de nivel de integridad inferior podrá acceder a ningún otro objeto que tenga un nivel de integridad superior. Esto lleva a que por ejemplo, ningún programa que esté corriendo con nivel de Integridad Medio, ejecutado por un administrador, podrá acceder a un objeto de nivel de Integridad Alto de Sistema. Para ello se tendría que hacer correr el proceso con el nivel de Integridad Alto de Sistema. Esto tiene su expresión más visible en el Modo Protegido de Internet Explorer 7, que corre dos procesos, uno con nivel de integridad bajo, que es el expuesto a Internet y otro con nivel de integridad medio que es el que controla al primero.

User Interface Privilege Isolation

UIPI, que así se luce acrónimo esta tecnología, realiza una protección utilizando los niveles de integridad para los procesos. En este caso, niega que un proceso de nivel de integridad inferior realice una llamada o envíe un mensaje de ventana o se ponga en la lista de eventos de un proceso que se ejecuta en un nivel de integridad superior. Con esto se intentan evitar los ataques de inyección de código para realizar elevaciones de privilegios tan utilizados en muchas de las herramientas d de ataque.

Protecciones contra desbordamiento de buffer(I, II, III, IV)

Siempre han sido un punto fuerte de los ataques aprovechar los desbordamientos de buffer en los parámetros de llamadas a procedimiento. En Windows XP ya contamos con la protección DEP (Data Execution Prevention), ofrecida por los microprocesadores, para evitar que se inyecten códigos ejecutables en los parámetros. Esto evita que se inyecte un programa como parámetro, pero siempre se puede ejecutar un programa ya cargado en memoria, para evitar esto, los programas ya no se cargan en las mismas direcciones de memoria. En cada ejecución se cambia la dirección. A esta tecnología se llama Address Space Layout Randomization (ASLR).

Es uso de Bitloker (I, II, III), para cifrar los discos, el uso de los chips TPM (Trusted Platform Module) para garantizar la integridad en arranque del sistema, el firmado de dlls del sistema, la integración de IPSec con LDAP, el firewall de doble dirección, la integración del sistema con NAP (Network Address Protection) el monitor de fiabilidad y las herramientas de diagnostico son algunas otras características que acompañan las novedades de Windows Vista en Seguridad.

Si a estas tecnologías le unimos las ya existentes de Windows XP SP2, los filtros Antiphising de IE7, el acompañamiento de Windows Defender para proteger el sistema contra Spyware, el sistema de actualizaciones automáticas, etc… podremos decir que el sistema tiene un buen aspecto. ¿Invulnerable? No lo creo, pero… ¿Hay algo invulnerable?

Y aun nos quedarían las otras tecnologías, el Superfetch de memoria (I, II, III) para conseguir un uso más aprovechado de la memoria y mejorar la experiencia del usuario, el Readyboot para conseguir el arranque eficiente, el ReadyBoost para añadir memorias caché flash en caliente y aumentar la velocidad de acceso a disco en accesos aleatorios y… ¿Cómo se llama eso de las ventanas en 3D? Ah sí, el Aero.

Y yo me pregunto ¿De verdad no quieres probarlo?

22 comentarios:

  1. yo lo que pienso no es que windows vista sea una mierda lo que yo digo es que piede muxa maquina, que no puede ser que pro ejmplo un equipo neuvo valoraqdo en 1300€ con su conroe, su hd de 320 sus 2 gb de ram su 7600, que te de de puntuacion un 4, no se si lo que hace es para deprimirte o que pretenden, proque no creo que haga falta tanta maquina para un sistema operativo nada mas, con esto no quiero decir que el windows vista se auna mierda, porque ami em gsuta nada, mas pienso que se han pasado muxo con los requisitos del sistema, y las puntuaciones

    ResponderEliminar
  2. Equipo: 599 €
    Pentium D a 2.8
    1 GB de RAM
    Gráfica nVidia 7300 (Gama baja)
    Vista Home Basic
    Grabar CD´s, escuchar música, ver películas, trabajar con la suite ofimática, chatear con alguna warra por el msn, etc (No he mencionado jugar). Todo perfecto, pero que casualidad, que es lo que hace la mayoría de la gente.
    Lo ha pagado indirectamente, pero tendrá actualizaciones seguro, y la puntuación es de 3.

    A mi me pareció... lo mejor que ha sacado hasta ahora MS, y quien diga lo contrario es que solo se ha fijado en recursos y Aero.

    ResponderEliminar
  3. No, no es lo mismo. Por mucho que queráis pintar la situación como si fuera calcada al lanzamiento de XP no lo es.

    La mayor innovación según tú gira en torno a la seguridad, esto ni lo niego ni lo afirmo (no lo he probado lo suficiente ni he leído lo necesario para formarme una opinión de esto).

    Pero me choca mucho la denostación que haces tú y alguno más de MS de la experiencia gráfica. Pues los de arriba no piensan lo mismo, el 99 % de la estrategia publicitaria gira en torno exclusivamente a la "nueva" interfaz, y lo encierran en el palabro "wow", y da la casualidad que esta característica es menos eficiente y menos innovadora que otras alternativas usables meses antes, y la mayoría de ellas libres y gratuitas.

    Tampoco es lo mismo cuando el creador del himno developers developers developers se postra en el confesionario y suelta una perlita como esta (y te enlazo la redacción más suave que he encontrado acerca del tema), y a continuación vuelve a atacar soltando la misma chorrada de hace unos meses.

    No creo que sea lo mismo. Saludos.

    ResponderEliminar
  4. PD: Ah, era el PC del vecino :)

    ResponderEliminar
  5. gura ahora metele a esto un juego que no pida muxo y nos cuentas que tal el pc, lo que sigo diciendo, es que pide muxa maquina y no creo que le haga falta tanto.

    ResponderEliminar
  6. aparte aqui andie dice tambien su elevado precio version mediamarkt ultimate vista 600€ porfavor 600€ euros por un vista, pero si aun lo quieres original , pero siendo mas varato por 200€ tienes la version oem, no se yo veo un escandolo lso precios del vista, los equipos tan caros que necesita el vista para que funcione decente con juegos, no digo que sea un mal s.o. pero se han pasado pidiendo cosas, y ya no digo anda del precio siempre nos quedara nuestro querido xp que ya por fin va bastante bien con todo.

    ResponderEliminar
  7. a ver caballeros hay que leer.

    Vista en evaluacion de la experiencia
    en:
    ¿que significan estos numeros?

    Explican para que valen, ni mas ni memos que para ver donde andan los tiros a la hora de comprar software o ejecutar ciertas aplicaiones.


    Kamaleons, en tu equipo, Vista debe volar!!!!!!. La experiencia que obtengas al usarlo sera la que valga sobre un tema de puntos que en principio en la puntuacion total siempre cogera el mas bajo.

    saludos

    ResponderEliminar
  8. y hay que tener en cuenta que la nota máxima es un 5, así que un 4 no está nada mal (ya que esa nota no procede de la media, sino del mínimo de todas)

    saludos

    ResponderEliminar
  9. em eso de que al nota maxima es un 5 no lo creo proque por ejemplo hay cosas de mi equipo ke em da un 5,4, osease que tiene que ser sobre 10

    ResponderEliminar
  10. Sobre la puntuación, echadle un vistazo a este link (Desplegar toda la info de la página).

    El 5 corresponde con la nota más alta de los mejores componentes que habían cuando salió Vista, por lo que con el tiempo, es normal que los nuevos componentes obtengan puntuaciones más altas.

    Por tanto, no nos engañemos: En este caso, un 5 es una nota excelente, no un aprobado por pelos!

    Saludos

    ResponderEliminar
  11. Hola Holita desde Palma de Mallorca.

    Anónimo, creo que no has mirado bien los precios, los Vista para casa tienen precios bastante más económicos.

    En cuanto al tema de los gráficos, a mi no me llaman, pero entiendo que la experiencia de usuario sí que es una caña y a mucha gente le llama, velocidad,(tengo un XP y un Vista en dos portatiles DEL Inspiron 6400 igualicos) y va más rápido el Vista, molón, etc...

    Bueno, menos acritud, haced como yo con ubuntu. Instaladlo y jugad con él.

    Bies!

    ResponderEliminar
  12. Bueno bueno... windows vista pide, al igual que pedia el XP cuando salio.

    Pues yo en Virtual PC 2005 he conseguido virtualizar windows vista beta 2 y he de decir que el ordenador se moria, pero me dio lo suficiente como para testear un par de cositas. El ordenador, Amd barton 2500+@3400+ con un 1gb de ram ocz 433 mhz.

    Me han comentado que el visual studio 2005 no tira muy bien en Vista, ¿alguien me lo puede confirmar?

    Estoy pensando en pillarme un Dell sepron para programar en vista y jugar un poco con el, paso de gastarme una pasta en un pc solo para programar...

    ResponderEliminar
  13. hola maligno, jo si que viajas ayer cuando estabas dandonos la xarla en barcelona y hoy en plama, bueno eso del precio te lo e comentado porque en mediamarkt barcelona propaganda de la tienda pone windows vista ultimate 600€ por eso me parece caro al oem aqui las venden a 180 o 200 depende el sitio, yo supongo que vista pasar como xp hasta dentro de un añito, no creo que meresca la pena ponerlo de momento, ya que el xp ahora es cuando va mejor

    ResponderEliminar
  14. Que bonito que es hablar de las cosas buenas, pero las cosas malas no se dicen nada del DRM ni de las capadas brutales.

    A mi personalmente lo de la firma de drivers me parece de maravilla para evitar que un programa se coloque en modo kernel por la cara, pero no me parece bien que los fabricantes tengan que pagar una pasta por ello porque al final los fabricantes grandes si que los firman pero los pequeños pasan y deshabilitan momentaneamente el asunto y ya estamos con lo mismo. Yo hubiera puesto un sistema de firmas y certificados tal como está Verisign y que M$ diese certificados a los fabricantes reales y que ellos ya se encarguen de que esos certificados no caigan en malas manos y que solo se usen para firmar drivers, sean buenos o malos y peten el sistema ya no entro ahí, pero sería algo más abierto y no algo tan $$$$$. Si quieres que monten dos tipos de firma, una que sea que M$ ha verificado el código del driver y que está ok y otra que sea la del fabricante para evitar que nos la cuelen por la puerta grande.

    ResponderEliminar
  15. Hola Netvicious!!

    que placer leerte, como siempre. Lo del DRM ya os pondré un post que estoy acabando para que debatamos a gustito.

    En cuanto a lo de la firma de drivers, ¿un negocio? Yo conozco lo que se hace con ISVs en Micro... digo... Spectra y te garantizo que lo último que se les considera es clientes. Son partners, y como tal se les ayuda y se les ofertan más recursos que otra cosa. No se si tienen que pagar algo por la firma de un driver, pero si lo tienen que hacer será solo las horas de los ingenieros, nunca precios, pero... ya te digo, es hablar por hablar, me informo a ver cual es el canon.

    Al final, si no queremos morrallitas en el kernel con los drivers (y te recomiendo que veas el mes de los fallos del kernel hay que hacer un buen análisis del código y eso lleva trabajo.

    Vistas, los hay desde 99 €, ya lo sabéis.

    Anónimo, yo siempre suelo estar en ruta, lo que pasa es que muchas son cosas de curro privadas. Mañana estoy en Mallorca (por primera vez en mi vida) con el equipo de seguridad de.... ;)

    Bona nit!

    ResponderEliminar
  16. Hola Maligno y compañia. Queria que comentases algo sobre la noticia de Hispasec y el articulo de colores que utiliza UAC que puede ser modificado para que fijandonos en el color bueno, haya un escalado de privilegios aceptando como bueno dicha advertencia que nos hace UAC.

    Nos vemos el Lunes en Getafe

    El forense

    ResponderEliminar
  17. Hola Forense!

    bueno, si te lees la noticia del amigo Sergio de los Santos, lo que nos está invitando es a usar Virus Total, ya que tenemos que bajarnos un malware, que correrá sin privilegios, sí, pero malware, y hacer un doble click sobre algo malo. Esto no es un problema para gente como Ssantos, que antes de bajarse cualquier cosa lo pasa por virustotal (como yo). Luego saldría la ventanita de UAC del programa en concreto , realmente el que se ejecuta es RunLegacyCPLElevated.exe. Vamos, que si ejecuto paco y me dice que se va a ejecutar Ramón, como que me mosqueo. En fin, curiosa forma de intentar engañar al usuario, pero si funciona lo de "Envieme su tarjeta de claves del banco por fax" seguro que esto también cuela.

    ResponderEliminar
  18. hola maligno, mira queria ahcerte una pregunta que ayer se me olvido, ahecrte en la xarla que distes en mi colegio, era sobre un antivirus el nod32 haver que te pareceia y si es tan bueno como lo pintan, gracia spor tu tiempo

    ResponderEliminar
  19. Yo con los antivirus soy bastante poco exigente, se lo que pueden hacer y lo que no, así que no me lio mucho. Nod32 está bien, yo uso Bitdefender, pq me gusta, pq he estado en Rumanía con ellos y he visto a los ingenieros y son muy majetes y porque pesa poco. NOD32, Karspersky, Bitdefender, ... me parecen bien.

    ResponderEliminar
  20. Muy buenas. Un pequeño comentario acerca de la seguridad que he leido en unaaldia. El tema de las ventanas de colores. Asi resumiendo, que un malintencionado villano puede hacer que te salte una ventanita verde de como que no pasa nada... weno, el resumen:
    * Un usuario sin privilegios se infecta por código dañino que es
    ejecutado también sin privilegios.

    * Este código descarga un fichero CPL especialmente manipulado en
    cualquier parte del disco donde este usuario pueda escribir.

    * El código llama a RunLegacyCPLElevated.exe con el archivo CPL
    especialmente manipulado como parámetro.

    * Se le presenta al usuario la advertencia (verde) de que intenta
    ejecutar código firmado por Microsoft. Lo admite y el código dañino
    obtiene privilegios de administrador.


    Bueno, no es catastrófico pero ya empiezan a tocar los huevos.

    Y yo me pregunto...¿que infancia ha tenido alguien para que de mayor pueda descubir estas cosas? Stewy Mode on>No, en serio, ¿cual es esa maravillosa protenia que hace a la gente pensar asi? La necesito para conquistar el mundo!!/Stewy>

    ResponderEliminar
  21. Tengo entendido que las firmas seran obligatorias en x64. De momento en x32 no.

    Esto es normal pues la evolucion natural de los sistemas operativos será hacia codigo de 64bits, por lo que tengamos kenels firmados es lo ideal. En el mundo de los 32Bits que hereda codigo desde que reinó Carolo no hay mucho que hacer....

    ResponderEliminar
  22. Hola
    xpyxt, VS 2005 no es que de problemas, es que se escoña. Lo instalé y avisa de que no es totalmente compatible, le aplique el SP al VS y dejó de funcionar... SQL 2005 también da problemillas en Vista x64.. Es curioso que herramientas de MS no sean totalmente compatibles con un SO de ellos mismos, cuanto menos, curioso es.

    Yo tengo un AMD x64 3200, 2 Gb ram, 2 HD de 250 Gb, una X700 pro... y me da un 4. Lo que mas me extraña es la cantidad de uso que hace del HD, no estás haciendo nada y no para de usarlo, he parado antivirus, he parado de todo y sigue.

    Por cierto, mu chula la sesion de Getafe :)

    ResponderEliminar