¡Vd. usa un navegador obsoleto!

Es posible que la página no se visualice correctamente.

Aguafiestas

Незваные гости

Otras ediciones de este tema (76)
  • añadir a favoritos
    Añadir a marcadores

Derecho de firma – ¿a quién confiar?

Consultas: 646 Comentarios: 7 Ranking: 8

miércoles, 25 de noviembre de 2020

Normalmente muchos managers pueden redactar documentos en las empresas (si no todos), pero no todos suelen tener derecho de firma, sino solo los que se responsabilizan de las decisiones de los documentos. Y es lógico. Se observa la situación similar si se trata sobre el software.

Cualquiera puede crear un programa, así mismo, un malware. Hasta existen algunos cursos cuyos autores prometer enseñar a crear malware. El usuario no puede estar seguro de que el programa recibido no tenga funcionalidad maliciosa. Pero sería mejor tener garantías.

En caso de software, las firmas digitales pueden ofrecer esta garantía. Confirman la autenticidad del software, al igual que la firma de un notario en un documento. Estas firmas confirman, por ejemplo, que el programa no ha sido modificado a partir del momento de la firma, mantiene su integridad, ningún código (posiblemente, malicioso) ha sido implementado en la misma. Los requisitos de firma de software suponen determinadas responsabilidades por parte de sus desarrolladores y requieren determinados gastos, pero todo esto se compensa con la seguridad extra de usuarios.

La firma digital puede ser comprobada tanto por el sistema operativo al iniciar el programa, como otro software, en particular, el antivirus Dr.Web.

También hay un detalle bastante particular. El que verifica la firma, decide qué hacer luego con el archivo firmado.

Por ejemplo, MS Windows comprueba si los controladores cargados tienen firma. Es una tarea útil sin ninguna duda, porque, al descargar un controlador, un malintencionado o un malware potencialmente pueden hacer cualquier cosa en el sistema.

Pero no basta con entender si el archivo ha sido modificado a partir del momento de la firma, es importante saber si se puede confiar al que lo firma. Por ejemplo, la empresa Microsoft actuó de forma radical y canceló el soporte de todos los certificados raíz terceros con posibilidad de firmar en modo de núcleo. Los certificados existentes con posibilidades de firma del código del modo de núcleo funcionarán hasta su propia expiración, y luego no serán válidos. Ahora para firmar un controlador es necesario registrarse en el programa Windows Hardware Dev Center.

Por una parte, es correcto: la empresa se asume la responsabilidad. Por otra parte, la misma empresa puede regular el acceso al sistema de firma. Y en cualquier momento decidir (o lo decidirán por la misma, al aplicar algunas sanciones con las cuales la empresa tendrá que cumplir) quién tiene permiso de trabajar en el sistema y quien no. Eso da miedo.

«Todos los desarrolladores que desean que sus controladores del modo de núcleo formen parte de Windows, deben cumplir con los procedimientos explicados por un grupo de desarrolladores de Microsoft»

Fuente

En caso a los archivos ejecutables ordinarios, para la mayor parte del software comercial los archivos ejecutables tienen firmas digitales. Podemos ver un ejemplo. Si un usuario busca algún programa en Internet, no siempre enseguida encontrará el sitio web de su desarrollador. Y no siempre el programa ofrecido para descargar resulta ser original y no modificado por los malintencionados. Y en este caso es mejor que el sistema operativo lo controle.

De forma predeterminada, el SO Windows en la etapa de lanzamiento de las aplicaciones que requieren permisos avanzados, comprueba la autenticidad de la firma a través de UAC (control de cuentas). Así mismo, en caso de firma no válido el sistema no restringe el inicio de ninguna forma, solamente menciona que el editor del programa iniciado es desconocido.

Si modificamos el archivo ejecutable iniciado sin UAC (por ejemplo, Chrome.exe), el sistema configurado de forma predeterminada no dará ninguna respuesta a este cambio, a pesar de la firma digital ya no válida. Para comprobar manualmente la autenticidad de la firma digital del archivo, es necesario entrar en la pestaña de sus propiedades y ver el certificado.

De esta forma, el SO no restringe de ninguna forma el inicio de los archivos ejecutables modificados (así mismo, por los malintencionados o por un malware) y es el usuario quien toma la decisión.

¿Qué es lo que suele hacer el usuario al ver un intento de inicio de un archivo que no tiene firma, si el mismo acaba de ser descargado? Correcto, hará clic sobre Aceptar, en caso de no haber desactivado el control de las cuentas.

#Windows #Android #antivirus #responsabilidad #firma_digital

El mundo de antivirus recomienda

¿Un sistema ideal debe informar sobre un archivo ejecutable modificado, y de esta forma informar al usuario y estimular a los desarrolladores a crear firmas? ¿O será que el SO de forma predeterminada debe ofrecerle libertad máxima al usuario y permitirle decidir si necesita seguridad a través de configuraciones y advertencias?

En caso de Windows, los usuarios se responsabilizan de la seguridad. Como hemos mencionado más arriba, el sistema operativo casi no impide el inicio de los archivos que tiene firma digital no válida, y la única advertencia es UAC, que tampoco prohíbe directamente iniciar los archivos modificados.

Y surge otro problema. ¿Se puede confiar solo en la presencia de la firma válida? Es probable que no. El usuario no sabe quién y cómo firmó el archivo.

Vamos a ver un ejemplo – Trojan.ShadowHammer. Un grupo criminal robó la firma y la uso para firmar el archivo ejecutable infectado de un vendedor muy famoso. El archivo se descargaba desde el sitio web oficial y contenía un código malicioso. La firma se consideraba válida hasta detectarlo. Luego el vendedor revocó el certificado.

Las firmas son un factor importante para proporcionar la seguridad, pero aun así no ofrecen ninguna garantía de 100%. En determinadas circunstancias la modificación del archivo (por ejemplo, la infección por un virus) no afectará a la integridad de la firma. Por ejemplo, pueden usarse las vulnerabilidades de los componentes de SO o software que controla la integridad de la firma. Otro ejemplo es una vulnerabilidad bastante reciente Windows CVE-2020-16922 (el parche fue lanzado en octubre), cuando los malintencionados podían firmar el archivo instalador firmado válido MSI y «pegarlo» al archivo malicioso, al mantener, así mismo, la firma digital válida. La firma existe, pero se refiere a una parte del archivo (más información).

Otro ejemplo en Android. Para este SO una de estas vulnerabilidades que permiten modificar los archivos y no afectan a la firma, detectaron nuestros expertos.

Por lo tanto, recomendamos usar el antivirus. Cualquier archivo debe ser escaneado tanto al descargarlo como al iniciarlo. No se puede confiar en que el sistema operativo no permita el inicio del archivo modificado por los malintencionados.

[Twitter]

Nos importa su opinión

Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.

Comentarios de usuarios

Comentarios a otras ediciones | Mis comentarios