Siempre que oigo quejas cercanas sobre la inseguridad de Windows y que hay que ver con Bill Gates y sus acólitos me encuentro inevitablemente con alguna de las siguientes situaciones: el personaje descarga de redes P2P lo que no está escrito ni en Pirate Bay, instala aplicaciones que le van recomendando en páginas web e incluso en pop-ups al tun-tun, tiene un antivirus “gratis” (es decir, pirata), hace clic sin mirar siempre que aparece una ventana de advertencia de la UAC o del sistema y naturalmente accede a su PC con cuenta de administrador plenipotenciario.
Pero aparte de constatar que el problema de seguridad más importante de los sistemas operativos, navegadores y de Internet en general es el de los usuarios, hay un segundo problema casi tan importante: el de la desidia de alguna las empresas de software.
La seguridad de un sistema operativo no solamente depende de las medidas que tome el propio sistema para protegerse de las amenazas, sino también de que las aplicaciones diseñadas para dicho sistema “jueguen limpio” y utilicen las herramientas puestas a disposición por el sistema para evitar problemas de seguridad. Esto facilita el que los desarrolladores de malware aprovechen la debilidad de estas aplicaciones para atacar el sistema.
En esta línea la empresa de seguridad Secunia ha publicado un informe recientemente en el que se muestra cómo muchas de las aplicaciones más populares de Windows no hacen uso de importantes herramientas de seguridad como el DEP o el ASLR. Son funciones que Microsoft ha implementado hace ya tiempo tanto en Windows Vista como en Windows 7 pero que aún no han sido adoptadas por algunas de estas aplicaciones o no de forma completa.
Microsoft recomienda el uso de ambas técnicas en el protocolo de seguridad en el desarrollo de aplicaciones, tal y como hace para todos sus productos que funcionan sobre Windows de un tiempo a esta parte. El DEP o Data Execution Prevention impide que cualquier código sea ejecutado en la zona de memoria reservada a los datos mientras que el ASLR o Adress Space Layout Randomization cambia el espacio de direccionamiento de forma aleatoria. Todo para dificultar la ejecución sin permiso de malware.
Según los expertos ambas herramientas son muy eficaces contra el malware. En el informe de Secunia se muestra cómo aplicaciones tan utilizadas como Java, Runtime, Apple Quicktime, VLC, OpenOffice.org, Picasa, WinAmp o RealPlayer no utilizan ni DEP ni ASLR para protegerse de ataques. Por otro lado Firefox, Opera, Safari, Adobe Reader o Apple iTunes tienen soporte DEP pero no implementan ASLR de forma total.
Los expertos de Secunia explican que un solo módulo del programa que no implemente ASLR es suficiente para ejecutar código malicioso. Cabe destacar cómo algunas de las empresas sí que se han ido poniendo al día en este sentido. El mejor ejemplo es Google Chrome, que según el estudio no implementaba ni DEP ni ASLR en mayo de 2008 mientras que en los datos recogidos en junio de 2010 el navegador implementa de forma completa ambas herramientas.
En Secunia señalan que a pesar de que estas tecnologías están disponibles en los sistemas Windows desde hace tres años en todo este tiempo estas aplicaciones no se han adaptado para mejorar su seguiridad con ellas. Así es cómo, según Secunia, estas aplicaciones se han convertido en especialmente populares para los diseñadores de malware.