On 06/11/2011 08:21 PM, Mauricio López wrote:
Yo uso GNU/Linux desde hace bastante tiempo, tanto en el trabajo como
en la casa. Es cierto que los UNIX son mucho más seguros que Windows
por diseño, sin embargo no dejo de reconocer que el usuario es el
eslabón más débil de la cadena y son él se puede lidiar de dos
maneras: o le pones restricciones o lo educas.
Según Marcus Ranum en “The Six Dumbest Ideas in Computer Security”
(1), educar es en muchas ocasiones inútil. Quien haya administrado
sistemas sabrá que al usuario no le interesa saber, solamente que la
computadora haga lo que él quiere. Por mucho que nos moleste a los que
amamos trabajar con computadoras, tenemos que reconocer cuando a
alguien no le interesa en absoluto saber cómo funciona una PC y no
vale para nada el argumento "bueno, entonces que no la use". Mírese
usted mismo en otra situación, como cuando tiene que llenar una
planilla, hacer un trámite o arreglar un equipo electrodoméstico, se
verá afrontando algo de lo que no sabe ni le interesa saber.
¿Qué queda pues? Hacer los sistemas lo más seguros posible por defecto
y en el caso de las principales distros de GNU/Linux, existen ciertas
brechas de seguridad que podrían ser explotadas si el administrador de
ese sistema fuera un usuario común. Pongo como ejemplo a Ubuntu, que
es el más usado y el que más conozco.
1- Los paquetes .deb fuera del repositorio pueden ser instalados sin
esfuerzo. Es cierto que Ubuntu advierte que eso no se debe hacer, pero
Windows en sus versiones recientes también advierte cuando el software
no está firmado, pero qué caramba quien se va a poner a mirar un
cartelito mongo cuando tienes en tus manos
salvapantallas_de_shakira_bailando_encuera.deb, que se instalará con
todos los privilegios en tu sistema. Además agregar repositorios no
oficiales es muy fácil, con las mismas consecuencias.
2- En la instalación por defecto no se separa el directorio personal,
así que nos perdemos de la magnífica funcionalidad de ponerle noexec a
/home y evitar que cualquier malware se ejecute en nuestro directorio
personal. Es cierto que el impacto será limitado, pero aún así,
molesto.
3- Los sistemas de archivo como NTFS y FAT se montan dandole permiso
de ejecución a TODOS los archivos ahí dentro, así que si te pica la
curiosidad por saber cómo es
shakira_y_beyonce_restregandose_en_la_ducha.py solo recibiras una
tímida advertencia de si quieres ejecutar o no, y bueno qué sabe
Ubuntu de esas chicas, digamos que sí y a disfrutar... Oops!.
4- Los usuarios de GNU/Linux no están exentos de sufrir ataques de
phishig, XSS y otras vulnerabilidades que se encuentran en la Web.
Claro, a los cubanos no nos afecta porque ningún príncipe en Nigeria
va tener acceso a nuestra cuenta en el Banco Nacional de Cuba para
robarnos los cuatro quilos que tenemos. De hecho creo que si tuviera
acceso nos dejaría algo por lástima.
Las soluciones son sencillas:
1- No proveer una interfaz gráfica para instalar paquetes que no sean
del repositorio o repositorios no oficiales. Si quieres hacer eso,
debes estudiar y saber lo que haces de antemano.
2- Mejorar esa instalación por defecto, con la seguridad en mente. La
mayoría de las distros son bastante vagas en este aspecto.
3- De esto no tengo solución, porque parece algun viejo hack para
tener acceso a las carpetas en estos sistemas de archivo. Siempre me
ha molestado como resolvieron ese problema, es como si les hubiera
dado mucha vagancia encontrar una solución mejor.
4- Instalar NoScript. Esto siempre lo hago aunque soy usuario de
GNU/Linux. El hecho que vivamos en esta urna de cristal desconectada
no quiere decir que no debamos saber cómo protegernos.
La seguridad no es un producto, es un proceso y hay que saber cómo
preever las cosas. Estos vectores pueden ser aprovechados sin
demasiado esfuerzo por un atacante para tomar control de nuestro
equipo, así que cuidado, no basta con tener un buen sistema operativo,
también hay que saber usarlo.
(1) http://www.ranum.com/security/computer_security/editorials/dumb/index.html
Entiendo tu punto de vista, pero si te fijas pones un ejemplo que es muy
genérico. Si estamos hablando de un usuario que solo le interesa que el
ordenador, el navegador, el reproductor de audio/video, y la suite
ofimática funcione, no creo que necesite tener que instalar un .deb. De
hecho, dudo mucho que ese usuario sepa lo que es un .deb.
Todos los sistemas tienen vulnerabilidades, partiendo del punto, de que
por lo general el usuario que lo intala, es el mismo que tiene el
dominio sobre el usuario root, administrador o como se llame, así que lo
pase con esa PC corre a su cuenta.
Lo que necesitamos es educar al usuario, buscar las vías de explicarle o
enseñarle buenas prácticas informáticas. El ejemplo que pones del cartel
más cierto no puede ser. A veces un usuario con mucha experiencia los
pasa por alto, porque ya lo vió antes o porque creyó haberlo visto
antes, aunque solo haya cambiado una letra.
Pero hasta ahora, nunca he visto a un usuario que no tenga experiencia
obviar un cartel, cualquiera que sea. Aunque no sepa lo que diga, aunque
esté en inglés, como no sabe, tratará de decifrarlo para no romper nada.
¿Que puede ser? ¿Que lo cancelo o acepte sin saber? A lo mejor.
Pues nada. Seguridad + Nuevos usuarios es un tema que siempre dará de
que hablar y muy pocas formas de resolverlo..
--
Saludos: *Ernesto Acosta*
/Linux Registered User:/ *3468707*
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
