Windows 8 Pro: Seguridad, primeras impresiones (III)

A pesar de las vulnerabilidades detectadas en Windows 8, nada más ser puesto a la venta, no me gustaría dejar de mencionar otras mejoras de seguridad, que para nada tienen que ver con las vulnerabilidades publicadas.

Indice:
- Windows 8 Pro: Seguridad, primeras impresiones (I)
- Windows 8 Pro: Seguridad, primeras impresiones (II)
- Windows 8 Pro: Seguridad, primeras impresiones (III)
- Windows 8 Pro: Seguridad, primeras impresiones (IV)

Por tanto, manteniendo me fiel al criterio utilizado para realizar esta serie de artículos, voy a seguir con  la tercera entrega de la panorámica de las medidas de Seguridad en Windows 8 Pro.

Antes de continuar vamos a recordar cuales son las principales medidas de Seguridad incluidas en la nueva versión de Windows:

• Antivirus incluido de serie: Microsoft Defender.
• Protección de arranque (BIOS), nuevo inicio Seguro: Secure Boot (UEFI).
• Navegación Segura con Internet Explorer 10 y SmartScreen.
• Protección Infantil.
• Generación de nuevas contraseñas mediante imágenes.
• Interfaz METRO que incluye un Sandbox para ejecución segura de aplicaciones.
• Mejora en el sistema ASLR (Address Space Layout Randomization) y DEP (Data Execution Prevention), protección de acceso y ejecución de procesos no autorizados.
• Mejoras en el Administrador de Tareas.

*(En negrita, las medidas que ya se han visto en la segunda entrega de la serie).

Protección Infantil

Un aspecto fundamental en la educación de un niño y cuya responsabilidad recae en los "padres" es la capacidad de transmitir y hacer que los valores que se le inculcan traspasen las fronteras y puedan ser aplicables al mundo digital. Microsoft ha querido dotar a los "padres" de una herramienta, mediante la cuál, se pueda realizar un seguimiento del comportamiento de los niños cuando se conectan a Internet, bloquear el acceso a determinado tipo de contenido, e incluso controlar el uso que se hace de ordenador, restringiendo el acceso y el tiempo, a determinados programas y juegos.

Aunque quizás este pensando en una invasión de la intimidad, hay que tener en cuenta que las nuevas generaciones acceden cada vez más pequeños a Internet, y fruto de ello, en ocasiones se hace necesario disponer de las herramientas y/o medidas técnicas adecuadas que ayuden a los "padres / tutores" en dichas  labores de educación.

Windows 8: Configuración protección infantil

Estoy de acuerdo, que a ciertas edades, el responsable es el "tutor / educador / padres" y por tanto es fundamental estar informado sobre las actividades que hacen éstos mientras están conectados a Internet, asegurarse que acceden al contenido adecuado, de forma que se puedan tomar las medidas preventivas correspondientes ante situaciones "sospechosas". 

Por ello, es de agradecer que el propio sistema operativo facilite esta tarea, sobre todo, en aquellos casos en los que se necesiten. En mi opinión, este tipo de herramientas puede ayudar y facilitar la tarea de los "padres" en cuanto, al comportamiento y uso de los niños en la red.

Después de activar la protección infantil para las cuentas de los niños, puede ajustar la configuración individual que desea controlar:

• Filtrado web. Puede asegurarse de que los niños solo visiten sitios web adecuados para su edad y decidir si permite la descarga de archivos. También puede bloquear o permitir sitios web determinados.
• Límites de tiempo. Puede elegir las horas en las que los niños pueden iniciar sesión en el equipo e, incluso, establecer límites de tiempo distintos para cada día. Si un niño tiene la sesión iniciada cuando se termina el tiempo asignado, la sesión se cierra automáticamente.
• Restricciones de juegos y la tienda de Windows. Puede controlar a qué juegos juegan los niños, establecer un nivel de clasificación por edades, elegir los tipos de contenido que desea bloquear y decidir si desea bloquear o permitir juegos específicos.
• Restricciones de aplicaciones. Puede evitar que los niños ejecuten aplicaciones que no desea que usen.

• Administración de contactos: controla con quiénes pueden comunicarse tus hijos cuando usan Windows Live Messengery Hotmail.

• Informes de actividades: consulta informes sobre el uso que tus hijos dan al equipo (los sitios web que visitaron o intentaron visitar tus hijos, el tiempo que pasaron frente al equipo y los juegos y programas que usaron).

Windows 8: Informe de actividad [2]

Una vez activado y configurado la protección infantil, desde la interfaz de administración, accediendo como administrador a la información de las cuentas, podrás acceder a un completo informe, registro de actividad, de las acciones que se han llevado a cabo desde ese tipo de cuenta, como páginas visitadas, aplicaciones ejecutadas,etc

Windows 8: Niveles de clasificación protección infantil

También podemos aplicar un nivel de clasificación según la edad del usuario, y basándose en los estándares de clasificación, como por ejemplo el sistema PEGI (Pan Eurepean Game Information) [véase imagen superior].

Si quieres esta característica en tu Windows 7, bájate la aplicación "control parental". Lo cierto, es que esta característica puede llegar a ser útil  en ciertos entornos, como una sala de informática en un colegio mayor, pues ayudará al Administrador a monitorizar los equipos y usuarios.

Generación de nuevas contraseñas mediante imágenes

En esta nueva versión de Windows la gente de Microsoft ha querido introducir un nuevo método de autenticación en el Sistema, el cuál esta basado en patrones sobre imágenes.

Windows 8 Pro: Autenticación mediante imágenes

Esta opción de autenticación, fue introducida en Android con el desbloqueo mediante patrones, que, sin embargo, presenta un sistema de autenticación bastante limitado; en esta ocasión Microsoft analiza en su blog, la novedad de añadir estos patrones a una fotografía de modo que las probabilidades que existen en la combinación de los mismos aumente exponencialmente. 

En la siguiente imagen, se observa como con un simple gesto, sea este lineal, circular o "un click", incrementa la seguridad de la contraseña considerablemente, con respecto al número de combinaciones posibles:

Windows 8 Pro: Password vs Gestures

Si además permitimos los "multigestos", es decir concatenar diferentes gestos para crear una única contraseña, las combinaciones posibles se disparan incluso para una cantidad de "gestos" relativamente bajos. Véase la siguiente imágenes, donde se compara el espacio probabilistico de las contraseñas alfanuméricas con las basada en los patrones:

Si embargo, a pesar de todo, el experto en Seguridad Kenneth Weiss, el padre de la autenticación de "doble-factor" y actualmente trabaja en el método de autenticación de "tres-factores", hace unas declaraciones donde afirma que la autenticación propuesta por Microsoft es un "juego de niños", pues para romper la seguridad bastaría con observar detenidamente la pantalla y ver los movimientos que se hacen con los dedos, al cabo de un rato probando esos movimiento, asegura, que es muy fácil descubrir el patrón correspondiente.

En el caso de las pantallas táctiles, es muy posible, que efectivamente, el método sea vulnerable y débil  pero en el caso de un equipo de escritorio que no tiene pantalla táctil, seguiría siendo un método de autenticación robusto,. seguro y fácil de recordar ¿no?.

Protección de arranque (BIOS)
Nuevo inicio Seguro: Secure Boot (UEFI)

Los intentos por proteger el sistema de arranque en los equipos de escritorio y/o pórtatiles, no es una novedad. Bien es sabido que existen multitud de agentes Malware que aprovechan ésta debilidad para ocultarse en la memoria de la BIOS, y replicarse cada vez que son eliminados. En los últimos años, está técnica ha sido utilizada principalmente por agentes malware especializados en suplantar elementos esenciales del sistema operativo, en particular el "boot loader" o sistema de arranque, son lo que llamamos "rootkits / bootkits".

El proceso normal de arranque del equipo es:

Source: ESET Laboratorio.

Si embargo, éste proceso tiene una debilidad de no verificar quién modifica el "boot loader" (Programa de arranque), es aquí donde algunos Malware actuán, modificando el sistema de arranque para su objetivos "maliciosos".

El sistema de protección propuesto por Microsoft, Secure Boot, funciona de la siguiente forma:

Source: ESET Laboratorio.

Secure Boot impide que la computadora inicie el sistema operativo si el boot loader no posee un certificado digital válido evitando la modificación arbitraria de un agente malicioso, sin embargo, como se requiere de un certificado válido para que se pueda modificar, una vez activado el sistema de arranque seguro, no podríamos instalar otro sistema operativo (ejemplo Linux) y utilizar un arranque dual, pues el proceso habitual al intentar instalar Linux, sería reemplazar el "boot loader" por otro, para realizar el arranque Dual, y el sistema "Secure Boot" lo impedirá al no estar firmado con un certificado válido.

Algunas distribuciones de Linux como son Ubuntu y Fedora, implementan mecanismos para poder instalar en equipos compartidos con Windows 8 y Secure Boot activo. No obstante, no todos los equipos son compatibles con el sistema de arranque: secure boot, hay que comprobar que nuestra "placa base" es compatible con éste tipo de inicio, una vez comprobado, será necesario activar la funcionalidad en el menú  de la misma placa base.

Ejemplo de configuración.

Algunas consideraciones si se desea instalar Windows 8 con el sistema Secure Boot activado. Se recomienda crear un disco de instalación compatible y preparado para el nuevo sistema de inicio. En el siguiente enlace, se explica como conseguir una instalación de Windows 8 desde un USB preparado para Secure Boot. [NTFS formatted USB sticks do NOT work with UEFI]

Por supuesto, este sistema de Micrsoft no esta exento de polémica, no solo por no permitir la instalación de otros sistema operativos, sino porque evita la instalación de cualquier Drivers, que no este firmado por los certificados de Microsoft. Es por ello, que hay quienes aseguran que es una estrategia de Microsoft para monopolizar los equipos, en mi opinión, la activación o no de "secure boot" dependerá del perfil del usuario, por tanto, dejo a vuestra elección la activación o no de este sistema de arranque. En mi caso, no lo voy a activar, pero ! es solo mi decisión personal ¡. [Más información]

NEXT ...

En la siguiente entrega hablaremos sobre:

 - La Interfaz METRO y sus medidas de seguridad.
 - Las mejoras introducidas por Microsoft en las técnicas ASL y DEP.
 - Nuevas características del Monitor de Procesos (Administrador de Tareas) de Windows.

Referencias:

[1] Windows 8: Protección infantil.

[2] Windows 8: Protege a tu familia.
[3] Signing in with a picture password.
[4] Bitelia: Contraseñas mediante imágenes en Windows 8.
[5] Protección para Niños - Contraseñas mediante imágenes.
[6] Laboratorio ESET: Secure Boot.
[7] How to Configure Windows 8 UEFI.