Saturday, May 9, 2009

Comentarios sobre Windows7 RC



Ayer instale la versión RC ( Release Candidate Build 7100 ) de 64bits en una máquina virtual para ver las funcionalidades y aspectos de seguridad, estas son notas que tome al respecto.

Las recomendaciones de hardware minimos que pide esta versión :
  • 1 GHz or faster 32-bit (x86) or 64-bit (x64) processor

  • 1 GB RAM (32-bit) / 2 GB RAM (64-bit)

  • 16 GB available disk space (32-bit) / 20 GB (64-bit)

  • DirectX 9 graphics processor with WDDM 1.0 or higher driver


Lo primero que me sorprendió es que haciendo una búsqueda en google con la licencia que recibi por email se pueden encontrar unas 800 entradas, y viendo algunas entradas, se deduce que hay 15 licencias que se repiten.

Por supuesto que hay muchos sitios de torrents y tambien hay dando vueltas versiones con troyanos.

Luego de la instalación que fue bastante rápida, me pidio nombrar el usuario administrador.

Luego de nombrarlo, encuentro un detalle que realmente me sorprende, como es posible que al ingresar la password no verifique la "fortaleza" de la misma?

Es decir, ingrese una secuencia del 1 al 6 y lo acepto sin ningún problema.

Mínimamente debiera tener un indicador que muestre al usuario que la clave no es segura. Mas si esta orientado a usuarios hogareños.

Otro punto también importante, luego de crear el usuario administrador, no pide crear un usuario standard, por supuesto que esto se puede hacer luego, pero estamos hablando de productos que terminaran en manos de personas que no son expertas en seguridad y si no se las guia, lo mas probable es que terminen utilizando el usuario administrador.

En este post ya habiamos hablado que "Removiendo los derechos de administración, nos encontraríamos mas seguros ante el 94% de los exploits de MS Office, 89% de Internet Explorer y 53% de Windows."

Luego de terminada la configuración, no detecto la placa de red, con lo cual tuve que reiniciar Windows y cambiar el driver en VirtualBox. El que funciono bien es el Intel PRO/1000 MT Desktop.

Por alguna razon al reiniciar me indico que hubo un error y que debe hacer un recovery, abre una ventana y comienza una serie de chequeos.

El resultado es que el recovery no funciono y que podía haber perdido datos.

Reinicie nuevamente y el arranque fue muy rápido, sorprendentemente rápido.

Una vez reiniciado, algo que no debería venir por defecto, es que el nombre del usuario aparezca en la pantalla. Si bien el nombre de un usuario no es secreto, tampoco encuentro la necesidad de publicarlo.


El primer mensaje que nos da el Action Center ( una especie de tablero de mensajes importantes ) es que tenemos que instalar un antivirus.

Si vamos al link que nos propone Microsoft encontramos 7 posibles candidatos :

Norton
AVG
F-Secure
Panda
McAfee
TrendMicro
KasPersky



Dado que estoy verificando la seguridad por default, no instale ninguno de ellos. Se cuenta con la solucion Windows Defender para la protección de Malware.


Un punto importante es que el Firewall esta activado por default.

Un punto que deberia verse, es que esta permitida la salida de todo tipo de conexion cuando no hace match con una regla, facilitando a los worms a propagarse. Nosotros en DENYALL tenemos eso expresamente prohibido, fuera de broma, cuando una conexion no hace match con una regla debe ser prohibida.( al menos en el contexto de una conexion externa )

El manejo de reglas de Firewall esta mucho mejor que las versiones anteriores, trabajando por medio de profiles.

Pasando por Windows Update, un punto que mejoraron es que uno puede ver el historial de los updates en una Consola dedicada a este fin.

BitLocker y la Herramienta de Backup son dos items muy importantes que ayudan a mejorar la seguridad del sistema.

Por ultimo, la inclusión de PowerShell permite realizar tareas de administración de forma mas sencilla.

Veamos cuantos servicios ejecuta por default Windows 7 y cuantos aparecen sin iniciar, mediante PowerShell:




Para realizar un hardening del sistema uno de los pasos es ver cual de esos 50 servicios es importante y cual podemos detener. De esta manera minimizamos el campo de ataque al cual podemos quedar expuestos.



Algo que falta y que dado los reclamos constantes de Microsoft al respecto, en cuanto a que la mayoría de los bugs que afectan a Microsoft provienen de terceras partes o programas de terceros no actualizados, es la inclusión de un sistema de control de actualización de programas instalados.
Microsoft debería distribuir una API y obligar a las empresas a utilizar un sistema que se adapte a un software genérico de control de actualizaciones.


Por ultimo realice una serie de pruebas en el sitio PC Flank, del cual ya hablamos aquí.

LeakTest, el cual verifica como el firewall controla la salida de datos desde nuestra PC hacia el exterior.

El Firewall no paso la prueba, ya que permitió la salida de datos desde nuestra máquina por medio de un programa no autorizado.

Stealth Test verifica que tan expuesta esta nuestra máquina hacia internet, en este caso cuento con un firewall entre el modem y la máquina por lo tanto los resultados no son significativos.

Browser Test

En este caso, la configuración por default del Explorer 8 no paso los tests.


Trojan Test verifica si hay abiertos puertos utilizados regularmente por algunos troyanos, nuevamente estamos detras de un Firewall por lo tanto el test fue pasado.


Entonces haciendo un resumen hasta aqui :


Pros :

  • Firewall Activo por default
  • Interfaz de Firewall Mejorada
  • Interfaz de Windows Update Mejorada
  • Programas que ayudan a la seguridad : PowerScripting,Bitlocker, Backup.

Contras :

  • Siendo que el 80% de los ataques se mitigarían con el uso de un usuario con bajos privilegios, es increíble que Microsoft no imponga esto y que quede a criterio del usuario la creación de un perfil con menores privilegios.
  • La verificación de la dureza de la password inexistente, dejando que el usuario pueda ingresar por ejemplo una secuencia numerica.
  • Regla de Firewall permitiendo todo tipo de paquetes salientes.
  • Se debe adquirir un Antivirus o instalar alguno Freeware
  • Control de updates de terceras partes descentralizado.

Lo bueno de los puntos en contra de este análisis es que tienen solucion, en el primer caso aplicando una política local de seguridad de passwords y de cuentas.

Password Policy original en Windows 7


Password policy mínima recomendada para una pc hogareña, no habilite la opcion de historia y edad porque se supone que si somos usuarios responsables no vamos a engañarnos a nosotros mismos, si la máquina es compartida estas opciones deberían habilitarse.



En el caso del firewall, realizando un tunning de las reglas mediante la interfaz de Administración.



y por ultimo el antivirus, se puede elegir una solucion comercial o una freeware.

Respecto al navegador recomiendo instalar Firefox + NoScripts y dejar IE para tareas administrativas.

Estos son solo comentarios de una versión candidata, tal vez la release final tenga solucionado esto y otros problemas como este que detecto la gente de F-Secure.

También queda verificar el tema del uso de librerías con problemas como se vio en este post, que afectan a SP de versiones anteriores de Windows.

O el caso del muy argentino Churrasco que permite elevacion de privilegios hasta las ultimas versiones de Windows ( Vista y 2003 ).

No comments: