Primer fallo de seguridad en Windows 7
En realidad se trata de un fallo que existe en varias versiones de Windows (NT, 200, XP y Vista) y que no ha sido resuelto para esta nueva versión; permite esconder la verdadera extensión de un archivo para así poder engañar a los usuarios e infectarlos con virus, malware, spyware.
La raíz del problema es que Windows esconde las extensiones de los archivos de tipo conocido (.exe, .txt, etc) permitiendo que al renombrar el archivo VIRUS.EXE a VIRUS.TXT.EXE el Explorador de Windows sólo muestre VIRUS.TXT. Este problema más que de Seguridad Informática como tal, es un problema de Ingenieria Social y phishing pero no por eso deja de ser serio.
Si a esto le sumamos que los atacantes pueden cambiar el ícono de la aplicación y poner el ícono de un archivo de texto o fotos (o en realidad el que quieran), nos podemos dar cuenta que sólo un ojo bien entrenado en Windows detectaría que está frente a un posible ataque.
La solución a este problema es no permitir que Windows esconda las extensiones de los archivos (Herramientas -> Opciones de Carpeta->View y deseleccionar “Esconder extensiones para tipos de archivo conocidos”).
Y bueno, aunque no es un fallo de seguridad de altísimo riesgo, sí es algo que hay que tomar en cuenta no sólo para Windows 7 sino para las versiones arriba mencionadas.
Una oportunidad para engañar al usuario no es necesariamente un “fallo de seguridad”. Si alguien me llama por teléfono y te dice “Soy Juan”, ¿es un fallo de seguridad en la telefonía que yo lo crea de inmediato? ¿O será culpa del usuario (yo) no corroborar esa información?
Estoy de acuerdo que el usuario no puede saberlo todo, pero no por eso es culpa del fabricante o del equipo de diseño del sistema operativo. No me veo culpando a Ford porque un usuario se sube a un Mustang sin saber manejar y choca por un mal diseño de la interfaz o un defecto en la usabilidad.
Paola, creo que escribes con arrogante ignorancia sobre el tema.
Crees que no le invertimos a la “usabilidad y control de calidad”? Quien es tu fuente? Bill Veghte, Mike Nash, Rich Reynolds ??? antes de soltarte a decir sandeces, deberias de informarte más, o al menos no “desinformar” a tus lectores.
Ese titulo de “la primera falla de Windows Seven” aparte de falso y estupido, me parece sensacionalista, buscas popularidad en base a tirar solo choros?
no es que promueva la pirateria ni nada por estilo, de hecho cuando salga precargado en las laptops cambiaria mi toshiba por otra mas nueva
mientras , saben si podre evitar se se apgue mi maquina cada dos horas cuando llegue el momento con algun parche o programita
No se, como que este post no tiene chiste!!
Deberia ser eliminado de matuk.com y borrado del cache de Google.
En serio, no hay notas??
@thinkgeek cuando dices “invertimos” a quiénes te refieres? digo, porque si trabajas en MS pues supongo que sabrás más que yo sobre si se hacen pruebas de usabilidad o qué tan riguroso es el control de calidad.
Porque no me puedes decir que son muy intuitivos los mensajes de error de las aplicaciones, o tampoco puedes decir que con pocos clicks puedes complicarte la vida completamente (intenta poner todos los toolbars de word, a ver si puedes escribir).
Mi punto es que si el SO no puede asumir que eres experto en su uso y que si la configuración por default te hace vulnerable a ataques de ingeniería social o abre la puerta a otras vulnerabilidades entonces es culpa 100% del SO y de su equipo de control de calidad.
Recuerdo una anécdota en la que a una persona que trabajaba en Palm le preguntaron cuál era su puesto y él contestó que era Tap Counter; contaba cuantos “taps” se necesitaban para hacer X o Y acción, y el SEO de Palm estaba siempre al pendiente de los resultados de sus pruebas y si alguna aplicación necesitaba más de 3 taps en promedio para realizar su función entonces había que diseñarla y programarla de nuevo.
Microsoft tiene tap counters??
A ver, vamos por puntos.
1.- Si, trabajo en MSFT y si, tambien se mejor que tu todo lo que esta detras del desarrollo de nuestras tecnologias. Y no intento decirlo de forma pedante ni nada por el estilo, pero es que en verdad es sorprendente como te tomas una libertad enorme al declarar que Apple invierte lo que nosotros no en cuanto al control de calidad y estudios en cuanto a la facilidad de uso.
Es muy sencillo criticar cuando se esta viendo todo desde afuera, y no lo tomo como algo malo, finalmente los usuarios son quienes disfrutan u odian nuestros productos al final del dia,
Ya escucharon chicos de Microsoft, todavía tienen trabajo por hacer y como lo mencionaban con anterioridad este problema ya es un poco viejo ya que se presentaba desde Windows NT, esperemos que se pueda reparar lo más rápido posible y ojalá no afecte mucho a la publicidad de esta nueva y esperada versión, saludos.
publique antes de tiempo torpemente, pero continuo…
2.- Los mensajes de error son en estos tiempos, un estereotipo que ganamos con tonterias como “si no funciona su teclado, oprima una tecla” o cosas del estilo, hace años que no he visto ese tipo de mensajes por que se ha tratado mas que de hacerlos “intuitivos” erradicar la probabilidad de que el error que genera la aparición de estos, suceda.
Tu punto desde mi perspectiva no es valido, estas haciendo muchas suposiciones que practicamente nadie como empresa o individuo puede saber, el nivel o skill de los usuarios obviamente no es el mismo, asi que culparnos por no mostrar las extensiones de los archivos creeme que me parece una tonteria, como ya otros usuarios te lo dijeron, la opción ahi esta! usala si lo crees necesario, si no, solo se prudente y si tu conocimiento no te da como para saber distinguir entre un archivo o contenido seguro y el no seguro, pues…. no hay mucho que podamos hacer.
Tocas terminos como la ingenieria social, que para nada va de la mano con el concepto de vulnerabilidades del sistema, el sistema no va y entrega sus passwords o usuarios a alguien mas, (al menos no asi como estas tratando de hacerlo ver) estas achacandonos a nosotros como empresa, la torpeza del usuario en cuestion.
Es un cuento de nunca acabar, si por default se mostraran las extensiones de todos los archivos, seguro habria quien tambien se quejaria, culpandonos de poner frente a sus manos y su “inteligencia” la opcion de cambiar archivos del sistema y joderlo por completo, igual el regedit! como pudimos poner una arma tan letal al alcance de todos !!!!
El concepto de “taps” que mencionas, segun recuerdo, aplica mas a paginas web, en donde se maneja el principio de que si no llegas a la informacion que necesitas dentro de X pagina en menos de 3 clicks, tienes problemas en la estructura del mismo, ahora bien aqui tratamos de hacer todo mas facil para el usuario, pero basarnos en cuantos “taps” son necesarios para realizar una gama enorme de acciones… tampoco es algo valido, es como comparar la accion de crear un documento en word con la creacion de un cluster HA de 8 nodos, ambas cosas son sencillas, pero no se realizan con el mismo numero de acciones.
Tiendo a darle la razón a Paola en cuanto a que es un _problema_ de seguridad. Si queremos ser más explícitos, no será una “falla”, más si una “vulnerabilidad”.
Lo que pasa es que la acción de culpar al usuario o asumir que el usuario tiene el mismo “sentido común” que el admin, no le resulta muy favorable al administrador (en puestos de menos responsabilidad, ejemplo, un “clerk” en una tienda o mostrador, antes que otra cosa, tambien le cae gordo al cliente o usuario que al que le dice: “Es que usted lo hizo mal”).
No soy un experto en el área, mucho menos en los términos, pero al igual que la gente de Calidad Total ya no habla de “fallas”, sino de “inconsistencias”, “incompatibilidades”, “inconformidades”, etc, debe de haber un término apropiado para este tipo de exposición de seguridad.
Yo observo un divorcio “conceptual” entre quien quiere ver el archivo, casi casi la entrada de directorio en la FAT/tabla de archivos/etc, o sea, lo quiere ver desnudo byte por byte, y el usuario que no le interesa saber de las cosas internas del sistema operativo, y solo quiere ver el archivo volando bien bonito cuando lo copia de aquí para allá.
¿Como satisfacer a ambos perfiles?
Thinkgeek:
Ya que hablas de controles de calidad, hace unos minutos termine de instalar Windows 7 RC mas OpenOffice.org, Avira Antivir y 7Zip, lo primero que veo es la redundancia de carpetas (fig. 1) lo cual es confuso para mi; El menú a medio traducir (fig. 2), se que es una versión RC y tiene algunas fallas, pero ya debería estar pulido por lo menos en menú, no crees???
Saludos