Pese a los fallos que va encontrando, Joanna Rutkowska sique considerando que la implementación de UAC (Control de Acceso de Usuarios) en Windows Vista "es un paso en la dirección acertada".
Lo que Rutkowska no entiende es que alguien tan significativo en Microsoft como Mark Russinovich diga ahora que los fallos encontrados en UAC, y los que puedan existir en el Modo Protegido de Explorer, no son fallos de seguridad...
Dice Russinovich (Microsoft):
Debería quedar claro que ni las elevaciones en UAC ni el Modo Protegido de IE definen nuevos límites en la seguridad de Windows. Microsoft ha estado comunicando eso, pero quiero asegurarme de que se entiende correctamente. (...) Vista tiene que lograr equilibrios entre seguridad y comodidad, y tanto UAC como el Modo Protegido de IE son decisiones de diseño que necesitaron que se abrieran caminos en la muralla de los niveles de integridad (IL), de cara a la compatibilidad de las aplicaciones y la facilidad de uso (...) Puesto que las elevaciones y los IL no definen un límite de seguridad, los potenciales ataques, con independencia de su facilidad o alcance, no son bugs de seguridad.
A lo que Rutkowska, indignada, responde:
Oh, perdónenme, ¿se supone que esto es una broma? Todos recordamos todas esas afirmaciones de Microsoft sobre lo en serio que se toma Microsoft la seguridad en Vista y sobre cómo todas esas fantásticas funcionalidades de seguridad, como UAC o el Modo Protegido de IE, mejorarán la seguridad mundial. ¿Y ahora nos dicen qué? Que su emblemática tecnología de seguridad (UAC) de hecho... ¡no es una tecnología de seguridad! (...) Entonces diré esto: Si Microsoft no cambia pronto de actitud, en un par de meses la seguridad de Vista (desde el punto de vista del típico malware) será la misma que la seguridad de los actuales sistemas XP (es decir, no demasiado impresionante).
Fuentes:
- Vista Security Model – A Big Joke? [Joanna Rutkowska].
No hay comentarios.:
Publicar un comentario