Seguridad en Windows 7: Windows Filtering Platform

Por Redacción; 11 Dec, 2009.

0,1425,sz=1&i=211020,00

Las utilerías de cortafuegos deben conectarse con Windows 7 a un nivel muy bajo, y los programadores de Microsoft detestan eso. A algunas tecnologías de Microsoft les gusta PatchGuard, presentes en las ediciones de 64 bits de Windows (la versión de Windows 7 de 64 bits tiene algunas ventajas de seguridad sobre la de 32 bits), impiden el acceso tanto de malhechores como de bienhechores potenciales al kernel. Pero ni el propio Microsoft ha ofrecido el nivel de seguridad que ofrece el software de seguridad de terceros. ¿Qué se debe hacer?

La intención de Windows Filtering Program (WFP) es que sea una solución a este problema. De acuerdo con el documento Windows 7 At A Glance, “los productos cortafuegos de terceros pueden basarse en las capacidades esenciales de Windows Firewall para añadir características personalizadas, y pueden habilitar o deshabilitar selectivamente partes de Windows Firewall, permitiendo así elegir qué cortafuegos software se desea ocupar y hacer que coexista con Windows Firewall.”

Pero ¿de veras les sirve esto a las empresas que venden productos de seguridad? ¿Lo van a usar? Me puse a preguntar y obtuve una colección fascinante de contestaciones, listadas aquí alfabéticamente.

BitDefender LLC
Iulian Costache, director de desarrollo de productos: “En este momento lo usamos en las instalaciones de Windows 7; sin embargo, encontramos fugas de memoria importantes. Resultó que el fallo venía de parte de Microsoft (ellos lo confirmaron). Por lo tanto no sabemos cuándo arreglarán el problema. Debido a éste, sustituimos temporalmente el nuevo driver WFP por el TDI viejo, hasta que Microsoft lo solucione.”

Check Point Software Technologies Ltd
Mirka Janus, director de relaciones públicas: “Empezamos a usar Windows Filtering Platform con Vista. Lo usamos también con Windows 7. Es una interfaz soportada, cosa que es buena; pero cualquier malware o driver incompatible podría poner en riego un producto de seguridad que cuenta sólo con esta capa para las cuestiones de seguridad. ZoneAlarm siempre ha filtrado en dos niveles, la conexión de red y el nivel de los paquetes. A partir de Vista, Microsoft ofreció WFP como manera soportada de filtrar las conexiones de red. A partir de Windows 7 SP1, Microsoft expandirá WFP para incluir el filtrado de paquetes.

“Usar una API soportada conlleva mejor estabilidad y menos pantallas azules de la muerte. Se pueden registrar muchos drivers y no hay que preocuparse por su compatibilidad con otros. Si un driver bloquea, nada más puede contrarrestar esa decisión. Por otro lado, un driver que no coopere podría desbaratar el diseño cooperativo, evitando todo lo demás. No confiamos únicamente en WFP para fines de seguridad.”

F-Secure Corporation
Mikko Hypponen, experto en seguridad: “Por alguna razón, WFP jamás ha sido muy popular entre las empresas de seguridad; pero desde hace un rato lo hemos usado, y nos hemos sentido satisfechos con él.”

McAfee, Inc.
Ahmed Sallam, arquitecto de software, Software Architecture & Strategy: “Windows Filtering Platform es una interfaz de filtrado de red más poderosa y flexible que la interfaz previa NDIS. McAfee está comprometido a utilizar Windows Filtering Platform en sus productos de seguridad. Las empresas de seguridad como McAfee no participaron en el desarrollo de los primitivos y las definiciones de la interfaz.”

“Aunque Windows Filtering Platform tiene cosas positivas, los cibercriminales también pueden aprovecharlo. Los drivers de la versión de 64 bits se tienen que firmar digitalmente para impedir que el malware se cargue en el kernel; pero la firma digital no es obligatoria en las versiones de 32 bits. La firma digital es un mecanismo razonable en teoría; pero, en realidad, los autores de malware de todos modos pueden conseguir un certificado digital para firmar su malware.”

Panda Security
Pedro Bustamante, asesor de investigación senior: “Aunque le echamos el ojo, por ahora no utilizamos la plataforma WFP. Los inconvenientes principales que vemos con WFP son los siguientes: 1. WFP carece de la habilidad de crear una tecnología que combine diversas técnicas para maximizar la protección. La tecnología no es de uso si no podemos fijarnos en los paquetes que entran y salen de la máquina. Además debería funcionar como sensor de otras tecnologías de protección. WFP no ofrece ninguna de estas habilidades. 2. Sólo Vista y superiores soportan WFP. No hay retrocompatibilidad y, por lo tanto, tendrías que mantener dos tecnologías diferentes con escaso o nulo beneficio. 3. Y por último –pero no por eso menos importante-, WFP es una plataforma muy reciente y preferimos contar con una tecnología más madura y más probada.”

Symantec Corp.
Dan Nadir, director de la división de consumo del grupo de gestión de productos: “Debido al carácter reciente de WFP, nuestros productos actualmente no lo usan. Sin embargo, con el tiempo, esperamos que después tenga sentido migrar a él cuando las interfaces más antiguas que usamos no ofrezcan la funcionalidad plena que requerimos, incluida Microsoft Logo Certification. WFP es bueno porque lo diseñaron específicamente para dar cabida a la interoperabilidad entre múltiples vendedores de terceros. En principio, debería haber menos problemas de interoperabilidad en el futuro. WFP también es positivo porque se integra en Microsoft Network Diagnostico Framework. Esto es de gran utilidad porque facilita muchísimo que los usuarios descubran si cierto software interfiere con el tráfico en red. Por último, WFP debería generar mejor desempeño y confiabilidad porque impide la emulación y los problemas con conflictos o estabilidad de los drivers.”

“Por otro lado, WFP puede introducir el mismo tipo de problemas que existen en cualquier framework: las empresas que dependen de WFP no pueden atender las vulnerabilidades del interior de WFP ni pueden expandirse más allá de los servicios específicos que ofrece WFP. Como compañía de seguridad, también existe la inquietud de que como muchos productos confíen en WFP, teóricamente los autores de malware podrían intentar atacar el propio WFP.”

Trend Micro Inc.
Dale Liao, director de investigación: “La mayor ventaja es la compatibilidad con el SO. Además, el cortafuegos estándar se ha vuelto la materia prima. Podemos concentrarnos más en características adicionales al cortafuegos estándar para beneficiar a los consumidores. Lo malo es que, si WFP tiene un defecto o error de seguridad, debemos depender de MS para que lo resuelva.”

WFP: la conclusión
Una buena mayoría de empresas a las que interrogué usa WFP en este momento, algunas en paralelo con otras tecnologías. Les gusta la interoperabilidad, el hecho de que sea documentado y oficial, y su supuesta estabilidad. Por el lado negativo, si todos dependen de WFP, se convierte en un solo punto de falla, y todos dependerían de Microsoft para que lo resolviera. Y todavía no ofrece filtrado de paquetes.

El gran obstáculo es que WFP no es Windows XP, así que cualquier empresa que quiera soportar XP tendrá que recurrir a dos pistas de desarrollo paralelas. A medida que XP se desvanezca y WFP evolucione, espero que más empresas confíen en él. –Neil J. Rubenking