Google Dejando a un lado los Privilegios | EL TIPO DE INFORMATICA

miércoles, 26 de agosto de 2009

Dejando a un lado los Privilegios

Hoy en día, navegar y estar conectado a Internet puede representa un gran riesgo de seguridad, ya que por el simple hecho de visitar un sitio Web podemos quedar infectados con algún Maleware y sin darnos cuenta acabamos siendo parte de una Botnet. Y esto no se queda en la navegación en Internet, podemos también recibir un correo con algún archivo PDF, especialmente manipulado, que explote alguna vulnerabilidad en nuestro lector de PDF y es el mismo caso. Pero también podría ser un documento Power Point, Word, o cualquier otro tipo de archivo, incluso un archivo MP3.

Las vulnerabilidades que se descubren en estas aplicaciones (que últimamente son el mayor vector de ataque) generalmente permiten “ejecución de código”, o sea, que el atacante puede manipular un documento o sitio web e insertar en él código que será ejecutado en el computador del usuario si el programa con el que este lo abre es vulnerable. Existe un principio de seguridad que nos dice que debemos utilizar cuentas de usuarios con el menor privilegio posible, es decir, cuentas "limitadas" o "sin privilegios administrativos". Utilizar nuestro equipo con una cuenta de usuario limitada nos ayuda a disminuir considerablemente el riesgo de infección de virus y Maleware ya que, al abrir algún archivo el contenido del mismo se ejecuta bajo el contexto de seguridad del usuario logeado, es decir, con los privilegios del usuario que lo invoca. Por esto, si nuestro usuario tiene privilegios administrativos en el equipo, el atacante podría ejecutar o instalar cualquier programa en nuestro sistema. Y peor aun si nuestro usuario tiene privilegios de “Administrador de Dominio”.

Utilizar cuentas con privilegios administrativos, sumado a no mantener los sistemas operativos y aplicaciones actualizadas son, a mi entender, las principales razones del porque las Botnet y el Spam (ya que a veces utilizan las botnet para envío masivo de SPAM) continúan creciendo. En los ambientes Unix y Linux esto no es nada nuevo, el usuario “root” es el “todopoderoso” y las demás cuantas que se crean son simples usuarios. Si se quiere se puede elevar el privilegio de un usuario creado al nivel de root, pero por defecto se crea sin privilegios. El caso de Windows es algo diferente: Al instalar el sistema operativo la cuenta “Administrador” se crea por defecto y se nos pide un password para esta, luego se nos pide un nombre para una cuenta de usuario, pero esta es creada, por defecto, con privilegios administrativos.


Cuentas limitadas en Windows XP (utilizando “runas”)

Aunque es lo recomendable, a veces resulta un poco tedioso utilizar en el día a día una cuenta limitada y alejarnos de nuestro privilegio de Administrador, sobre todo cuando en nuestro trabajo necesitamos con frecuencia instalar/desinstalar programas, hacer modificaciones en el registro, etc., en algunos casos para realizar algunas de estas tareas tendríamos que cerrar nuestra sesión y entrar con un usuario Administrador. Para evitar esto podemos utilizar el comando “runas”, este comando nos permite ejecutar comandos o programas en el contexto del usuario que especifiquemos, por ejemplo, Administrator. También podemos utilizar runas en el entorno grafico haciendo clic derecho sobre un programa o aplicación y moviéndonos en el menú hacia “Run As”, el cual nos permitirá indicar el usuario con el cual queremos ejecutar la tarea. Por ejemplo, si queremos abrir una consola de comandos para ejecutar desde ella comandos o aplicaciones con privilegios de administrador, ejecutamos el siguiente comando:
runas /user:DOMINIO\USUARIO cmd.exe

Donde “DOMINIO” corresponde al nombre del dominio al que pertenece la cuenta y “USUARIO-ADMIN” es el usuario con privilegios con el cual invocaremos la consola, por ejemplo, Administrador. Cualquier comando o aplicación que llamemos desde esta consola se ejecutara con los privilegios del usuario que especificamos, de esto forma podemos ejecutar desde aquí, por ejemplo, regedit.exe (editor del registro), netsh, etc. En caso de que, por ejemplo, necesitemos ejecutar alguna utilidad del Panel de Control (Control Panel) como “Add/Remove Software” y alguna Política de Grupo (GPO) nos prohíbe el acceso a esta utilidad. Podemos ejecutar de forma grafica “runas” haciendo clic derecho encima del archivo “appwiz.cpl” y luego moviéndonos hacia “Run As” e indicando un usuario con privilegios para ejecutar esta utilidad (el archivo “appwiz.cpl” se encuentra en “c:\windows\system32\”, mayormente las utilidades del Control Panel se encuentran en esta carpeta con extensión “.cpl”).

· Usuario Limitado en Windows Vista (User Account Control)

Como vimos anteriormente, aun con “runas” puede resultar un poco tedioso trabajar con una cuenta limitada. En Windows Vista, Microsoft intentó mejorar esto con el (odiado por muchos) “User Account Control”. La idea de UAC es precisamente controlar las actividades del usuario y programas en el sistema requiriendo la debida autorización antes de realizar alguna tarea que necesite la elevación de privilegios. UAC resulto molesto por los constantes mensajes requiriendo al usuario elevación de privilegio. El problema es que aunque el usuario tuviera privilegios de Administrador (todavía en Windows Vista cuando se instala el sistema el usuario que se crea tiene privilegios administrativos) UAC de todas formas informaba al usuario que para realizar tal o cual tarea necesitaba elevar sus privilegios, a lo que el usuario solo tenía que hacer clic en “Aceptar” y eso era todo. Por eso muchos optaban por desactivarlo y en algunos casos hasta desinstalar Vista y volver a XP.

Estos problemas con UAC se han disminuido considerablemente a partir del SP2 de Windows Vista. Ahora si nuestro usuario tiene privilegios administrativos en el equipo podemos realizar cualquier tarea sin que UAC nos solicite elevación de privilegios (porque ya lo tenemos). Ahora con UAC es más fácil dejar a un lado los privilegios administrativos y vestirnos de usuarios comunes y simples. UAC nos permite utilizar nuestra cuenta limitada y en caso de que necesitemos realizar alguna tarea como instalar/o desinstalar un programa, utilizar alguna utilidad del “Administrative Tools” o cualquier otra tarea que requiera privilegios elevados, el sistema nos pedirá las credenciales correspondientes, evitándonos la fatiga de tener que utilizar “runas” para llamar dicha utilidad. Si utilizan Windows Vista, les recomiendo que (si no lo han hecho) descarguen e instalen el Service Pack 2 desde este enlace y habiliten nuevamente UAC (que me imagino lo tienen desactivado) para que comprueben ustedes mismos las mejorías. Y también claro, que dejen a un lado los privilegios administrativos y se vistan del más simple y “des-privilegiado” de los usuarios y solo utilicen las cuantas administrativas para ciertas tareas. Al principio puede resultar un poco incomodo, pero valdrá la pena acostumbrarse. Bueno, como siempre espero no haberles hecho malgastar su tiempo con este post y que esta información les haya sido de provecho.

1 comentario:

  1. Hello, me parecio una recomendacion muy acertada, inmediatamente lo lei me cree una cuenta limitada, solo entro con la de administrador para instalar o desisntalar algun programa.
    Gracias...

    ResponderEliminar