Un reciente estudio muestra como las deficiencias de usabilidad
en la interfaz de usuario de Kazaa puede comprometer la seguridad
y privacidad de los usuarios, sin el conocimiento de éstos.
En los últimos años diversos investigadores han analizado la
usabilidad del software en general, identificando diversas
prácticas que tienden a dificultar la utilización de los
programas informáticos por parte de los usuarios.
Centrándonos en los productos específicos de seguridad, los
diversos estudios efectuados han puesto de relieve la existencia
de importantes carencias en todo aquello que concierne a la
usabilidad. Estos análisis habitualmente se realizan combinando
el estudio las decisiones tomadas en el desarrollo de la interfaz
de usuario con las directrices de lo que se entiende por un buen
diseño y el ‘estudio de campo’: enfrentar a un usuario con el
programa y ver como responde ante el mismo.
La existencia de las carencias en la usabilidad provocan que los
usuarios tengan dificultades en la utilización de los productos,
tengan que navegar por las diferentes opciones o sistemas de
ayuda para localizar una opción en concreto, seleccionen de forma
inadecuada una función errónea o, en la peor de las situaciones,
convencer al usuario de algo totalmente incorrecto.
El estudio concreto que comentamos en este boletín, realizado un
investigador de HP y otro de la universidad de Minnesota, se
centra en uno de los productos más populares para el intercambio
de archivos entre usuarios: Kazaa.
Si bien Kazaa no es un producto de seguridad, es obvio que su
utilización tiene importantes implicaciones en la seguridad del
ordenador. El hecho de poder compartir archivos, que serán
accesibles por el resto de los usuarios. Conociendo esto, durante
el diseño del producto deberían haberse tomado las medidas
necesarias para impedir que los usuarios compartieran, sin su
expreso conocimiento, la información privada y los datos
personales existentes en su ordenador.
El estudio analiza dos situaciones: los usuarios son conscientes
de las opciones del programa para compartir archivos y ¿existen
usuarios que utilizan Kazaa para localizar información
confidencial de otros usuarios?
Para responder a la primera situación, se enfrentó a un grupo de
doce usuarios con el programa y se les planteó que determinaran
cuales eran los archivos y carpetas del sistema que eran
accesibles por los usuarios externos. Muchos de estos usuarios
habían utilizado previamente otros productos de intercambio de
archivos (Napster, Morpheus o el propio Kazaa). Su perfil era el
de un usuario habitual de los ordenadores e Internet, con una
media de diez horas semanales ante el ordenador.
Los resultados son bien explícitos: únicamente dos usuarios
fueron capaces de determinar correctamente los archivos que se
encontraban compartidos y sólo uno indicó correctamente que
cualquier tipo de archivo en el ordenador puede ser visible por
los usuarios externos y no únicamente los archivos de música y
las películas.
En lo que se refiere a la utilización que actualmente se hace de
Kazaa para obtener datos confidenciales, los investigadores
colocaron un ordenador con diversos archivos que, por su nombre,
se identificaban como contenedores de información potencialmente
privada: «CreditCard.xls». Sólo fue necesario que transcurriera
un día para que cuatro usuarios distintos de Kazaa accedieran a
este archivo.
Los investigadores también trataron de localizar a usuarios que
estuvieran compartiendo su correo electrónico, identificando a
varios centenares de usuarios distintos que no sólo ofrecían sus
archivos de correo electrónico sino que, en muchas ocasiones,
todo el contenido de su disco.
A partir de estos hechos, se realiza un análisis de los motivos
por los cuales los usuarios de Kazaa acaban configurando el
producto para permitir un acceso completo al material
confidencial y privado de sus ordenadores. Todos estos problemas
son atribuidos directamente a problemas de usabilidad en Kazaa.
Como hemos indicado anteriormente lo peor que puede hacer un
programa es confundir a sus usuarios y hacerles creer que la
situación es una cuando en realidad sucede algo diametralmente
opuesto. Esto es lo que pasa con Kazaa: muchos de sus usuarios
desconocen que la utilización de este producto y su configuración
errónea puede poner todo el contenido de su máquina al alcance
del resto de la comunidad de usuarios de Kazaa.
xavi@hispasec.com
Más información:
Usability and privacy: a study of Kazaa P2P file-sharing
http://hpl.hp.com/shl/papers/kazaa
Report: Kazaa Insecure, Users Oblivious
http://www.newsfactor.com/perl/story/18136.html
User Interaction Design for Secure Systems
http://www.sims.berkeley.edu/~ping/sid/
Why Johnny can’t encrypt: A usability evaluation of PGP 5.0
http://www.cs.cmu.edu/~alma/johnny.pdf
Usability of Security: A Case Study
http://reports-archive.adm.cs.cmu.edu/anon/1998/abstracts/98-155.html
Deja una respuesta