miércoles, 25 de noviembre de 2009

Mitos y leyendas: UAC, ese gran incomprendido III (UAC y la ley del mínimo privilegio)

UAC se puede entender como una forma de llevar la ley del mínimo privilegio al extremo. Aunque técnicamente es un gran avance, esta radicalización del concepto ha podido ser mal entendida por los usuarios.

La ley del mínimo privilegio

Es una de las piedras angulares de la seguridad: realiza las tareas que necesites con los mínimos privilegios, así cualquier fallo, accidente o vulnerabilidad tendrán también un impacto mínimo. UAC consiste en respetar esta ley al máximo. Cuando un administrador inicia sesión, para el sistema será en realidad un usuario estándar (mínimo privilegio) hasta que necesite su "poder". Cuando esto ocurra, se interpone el UAC. Un error común es entender el UAC como recordatorio innecesario de una acción que el administrador (ya sabe que) desea realizar (las ilustradas con un escudo). No es un recordatorio banal. Se trata de un aviso de que se están usando unos privilegios elevados y que cualquier acción derivada de ese uso podrá tener un impacto considerable en el sistema. Lo que en realidad se le recuerda al administrador es que sus acciones pueden tener consecuencias graves.

Ningún otro sistema operativo funciona de esta forma. En sistemas basados en el kernel de Linux, cuando alguien se presenta en el sistema como "root", es "root" con todas las consecuencias desde el momento en el que se presenta como tal. Con UAC en Windows, se evita que se usen los privilegios elevados si no son absolutamente necesarios y cuando lo son, lo advierte. Respeta al máximo la ley de mínimo privilegio.

UAC es la tecnología que consigue que los privilegios elevados estén en segundo plano listos para ser usados cuando se necesiten. Permite que un usuario administrador trabaje como usuario raso sin tener que cambiar de cuenta, al alcance de un clic. Pero esto, a veces y según el usuario, no es buena idea. Técnicamente, UAC funciona. Según la percepción de usuario no concienciado con la seguridad, probablemente no. Lo que ha perjudicado al UAC es la mala interpretación de este concepto.

¿Es lo mismo ser usuario estándar que pertenecer al grupo de
administradores?

Sí, prácticamente. Pero Microsoft encontró así en el UAC una forma de evitar un cambio radical de la filosofía que históricamente venía arrastrando (incentivar el uso de todos los privilegios) y a la vez intentar proteger al usuario. Con UAC, el usuario pertenece al grupo de administradores (como siempre) pero internamente se usan los permisos de usuario raso (como debería ser).

UAC o no UAC

Siempre es recomendable el uso de los mínimos privilegios. Ya sea con un uso "responsable" de UAC o con la utilización de un usuario que pertenezca al grupo de usuarios estándar. La elección quizás dependa de cómo se esté acostumbrado a interactuar con el sistema. Usuarios que históricamente han utilizado XP y 2000 en modo administrador, encontrarán toda recomendación sobre seguridad como una traba y quizás acepten mejor UAC como método para estar protegidos... o no, y terminen desactivándolo. Microsoft nunca pensó que alguien querría desactivar el UAC, y no incluyó herramienta gráfica para llevarlo a cabo en Vista (en Windows 7, sin embargo, ha facilitado la tarea de desactivarlo). Los usuarios que han usado siempre cuentas limitadas, se sentirán más cómodos si sus usuarios pertenecen al grupo de usuarios estándar, y UAC no les aportará mucho.

Lo que está claro, es que los problemas de seguridad han llegado a un punto en el que la protección clásica no es suficiente. Se impone el uso del mínimo privilegio. Windows, que llevaba años de retraso en este aspecto, ha encontrado en UAC una buena solución.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Mitos y leyendas: UAC, ese gran incomprendido I (Introducción)
http://www.hispasec.com/unaaldia/4040

Mitos y leyendas: UAC, ese gran incomprendido II (UAC de forma útil)
http://www.hispasec.com/unaaldia/4041

No hay comentarios:

Publicar un comentario en la entrada