La seguridad del nuevo Windows Vista

l acontecimiento se llevó a cabo esta semana (última de enero), en la ciudad de Nueva York. Junto a Windows Vista, fue lanzada la nueva suite Office 2007.

Esperado desde hace mucho tiempo, Windows Vista reúne un número importante de características de seguridad, algunas dirigidas a hacer más fuerte al sistema operativo contra ataques informáticos, y otras diseñadas para incentivar a los usuarios a que hagan de la seguridad una prioridad al usar sus PC.

Según afirma Microsoft, "ninguna de las características implementadas en Windows Vista, lo harán a prueba de balas," pero si aumentarán el nivel de la seguridad, a un nivel mucho mayor que el de Windows XP.

El lanzamiento de este sistema operativo ha sido anunciado desde hace cinco años atrás, cuando la compañía reestructuró su acercamiento a la seguridad del software, mediante su "Iniciativa de computación confiable".

La estrategia mejorada fue un cambio de táctica en los desarrolladores, incitado por ataques de gusanos como Code Red y Nimda en el verano de 2001. Esto llevó en 2004 a la aparición del Service Pack 2 de Windows XP, una actualización casi totalmente enfocada en la seguridad.

Aplicaciones como Internet Explorer 7 y Office 2007, han sido beneficiados por la adopción de esta política de seguridad de Microsoft. Windows Vista es el primer diseño del gigante del software que tiene como prioridad en su realización la seguridad. Por ejemplo, Vista mantiene reglas de mínimos privilegios y requiere contraseña para ejecutar aquellos procesos que necesitan privilegios mayores.

El gigante del software también ha mejorado el cortafuego incorporado al sistema operativo, y su Centro de seguridad, el cuál brinda mayor información a los usuarios. El Internet Explorer 7 cuenta con ventajas adicionales de seguridad, como la limitación impuesta a la acción de los controles ActiveX y un sistema antiphishing.

Básicamente, tres grandes ventajas harán que Windows Vista sea más difícil de atacar cuando alguna vulnerabilidad sea descubierta: Kernel Patch Protection (PatchGuard), Data Execution Prevention (Prevención de ejecución de datos) y Address Space Layout Randomization (ASLR). Esta última, una nueva funcionalidad destinada a prevenir la ejecución de código no deseado en el sistema a través de la escritura de datos en la memoria no asignada para esto (los típicos desbordamientos de búfer).

El Kernel Patch Protection, también conocido como PatchGuard, ha levantado gran controversia porque limita la práctica de algunos diseñadores de software, de crear herramientas adicionales para el sistema operativo, por medio de "parches" al kernel (el núcleo o corazón del sistema operativo). Por esa misma razón, esto ha sido criticado por algunos fabricantes de software de seguridad.

Productos antivirus como ESET NOD32 en cambio, han mejorado sus características para seguir los lineamientos de Microsoft, implementándose de forma transparente al nuevo sistema operativo. No todos los fabricantes han respetado esto, e incluso critican esta implementación.

Pero PatchGuard no está pensado para detener el código malicioso (de eso se encargan los antivirus y programas de seguridad), sino para evitar que programas mal diseñados desestabilicen el sistema, e irónicamente introduzcan agujeros de seguridad cuando se suponen deben proteger al usuario contra ellos.

No obstante esto, algunos comentarios publicados recientemente en Internet sobre deficiencias en la implementación de PatchGuard, están siendo estudiados por Microsoft.

Las otras tecnologías de seguridad incluidas en Windows Vista, no han sido tan criticadas. Y aunque no se traten de las barreras infranqueables que algunos quisieran ver, sin dudas entorpecerán la acción de muchos tipos de ataques.

La prevención de ejecución de datos (DEP) es un conjunto de tecnologías de hardware y software que realizan verificaciones adicionales en la memoria para ayudar a proteger contra la explotación en base a códigos maliciosos. La misma ya había sido incluida en el Service Pack 2 de Windows XP, y se aplica tanto a nivel de hardware como de software.

Pero mientras que en Windows XP, el servicio es activado por defecto solamente en sistemas con procesadores de 64-bit, en Vista, esta tecnología supervisa automáticamente todos los servicios esenciales de Windows.

Microsoft enfatiza que Windows Vista no es el fin de su lucha contra las amenazas que afectan a la protección de sus clientes, pero no se puede negar que se trata de un gran paso en esa dirección.