Cuidadito con Kazaa DALTON
Hispasec - una-al-d�a 13/06/2002 Todos los d�as una noticia de seguridad www.hispasec.com ------------------------------------------------------------------- Usabilidad y seguridad. Kazaa como ejemplo a no seguir ------------------------------------------------------ Un reciente estudio muestra como las deficiencias de usabilidad en la interfaz de usuario de Kazaa puede comprometer la seguridad y privacidad de los usuarios, sin el conocimiento de �stos. En los �ltimos a�os diversos investigadores han analizado la usabilidad del software en general, identificando diversas pr�cticas que tienden a dificultar la utilizaci�n de los programas inform�ticos por parte de los usuarios. Centr�ndonos en los productos espec�ficos de seguridad, los diversos estudios efectuados han puesto de relieve la existencia de importantes carencias en todo aquello que concierne a la usabilidad. Estos an�lisis habitualmente se realizan combinando el estudio las decisiones tomadas en el desarrollo de la interfaz de usuario con las directrices de lo que se entiende por un buen dise�o y el 'estudio de campo': enfrentar a un usuario con el programa y ver como responde ante el mismo. La existencia de las carencias en la usabilidad provocan que los usuarios tengan dificultades en la utilizaci�n de los productos, tengan que navegar por las diferentes opciones o sistemas de ayuda para localizar una opci�n en concreto, seleccionen de forma inadecuada una funci�n err�nea o, en la peor de las situaciones, convencer al usuario de algo totalmente incorrecto. El estudio concreto que comentamos en este bolet�n, realizado un investigador de HP y otro de la universidad de Minnesota, se centra en uno de los productos m�s populares para el intercambio de archivos entre usuarios: Kazaa. Si bien Kazaa no es un producto de seguridad, es obvio que su utilizaci�n tiene importantes implicaciones en la seguridad del ordenador. El hecho de poder compartir archivos, que ser�n accesibles por el resto de los usuarios. Conociendo esto, durante el dise�o del producto deber�an haberse tomado las medidas necesarias para impedir que los usuarios compartieran, sin su expreso conocimiento, la informaci�n privada y los datos personales existentes en su ordenador. El estudio analiza dos situaciones: los usuarios son conscientes de las opciones del programa para compartir archivos y �existen usuarios que utilizan Kazaa para localizar informaci�n confidencial de otros usuarios? Para responder a la primera situaci�n, se enfrent� a un grupo de doce usuarios con el programa y se les plante� que determinaran cuales eran los archivos y carpetas del sistema que eran accesibles por los usuarios externos. Muchos de estos usuarios hab�an utilizado previamente otros productos de intercambio de archivos (Napster, Morpheus o el propio Kazaa). Su perfil era el de un usuario habitual de los ordenadores e Internet, con una media de diez horas semanales ante el ordenador. Los resultados son bien expl�citos: �nicamente dos usuarios fueron capaces de determinar correctamente los archivos que se encontraban compartidos y s�lo uno indic� correctamente que cualquier tipo de archivo en el ordenador puede ser visible por los usuarios externos y no �nicamente los archivos de m�sica y las pel�culas. En lo que se refiere a la utilizaci�n que actualmente se hace de Kazaa para obtener datos confidenciales, los investigadores colocaron un ordenador con diversos archivos que, por su nombre, se identificaban como contenedores de informaci�n potencialmente privada: "CreditCard.xls". S�lo fue necesario que transcurriera un d�a para que cuatro usuarios distintos de Kazaa accedieran a este archivo. Los investigadores tambi�n trataron de localizar a usuarios que estuvieran compartiendo su correo electr�nico, identificando a varios centenares de usuarios distintos que no s�lo ofrec�an sus archivos de correo electr�nico sino que, en muchas ocasiones, todo el contenido de su disco. A partir de estos hechos, se realiza un an�lisis de los motivos por los cuales los usuarios de Kazaa acaban configurando el producto para permitir un acceso completo al material confidencial y privado de sus ordenadores. Todos estos problemas son atribuidos directamente a problemas de usabilidad en Kazaa. Como hemos indicado anteriormente lo peor que puede hacer un programa es confundir a sus usuarios y hacerles creer que la situaci�n es una cuando en realidad sucede algo diametralmente opuesto. Esto es lo que pasa con Kazaa: muchos de sus usuarios desconocen que la utilizaci�n de este producto y su configuraci�n err�nea puede poner todo el contenido de su m�quina al alcance del resto de la comunidad de usuarios de Kazaa. Opina sobre esta noticia: http://www.hispasec.com/unaaldiacom.asp?id=1327 M�s informaci�n Usability and privacy: a study of Kazaa P2P file-sharing http://hpl.hp.com/shl/papers/kazaa Report: Kazaa Insecure, Users Oblivious http://www.newsfactor.com/perl/story/18136.html User Interaction Design for Secure Systems http://www.sims.berkeley.edu/~ping/sid/ Why Johnny can't encrypt: A usability evaluation of PGP 5.0 http://www.cs.cmu.edu/~alma/johnny.pdf Usability of Security: A Case Study http://reports-archive.adm.cs.cmu.edu/anon/1998/abstracts/98-155.html Cybermani@ C/ Cronista Vte. Beguer Esteve, 8 - B 46900 Torrent (Valencia) SPAIN Tel. 96 108 18 56 E-mail: [EMAIL PROTECTED] http://www.cybermania-torrent.com Canal #cybermani@-torrent de IRC-HISPANO ----- Original Message ----- From: "Pere Castells" <[EMAIL PROTECTED]> To: <[EMAIL PROTECTED]> Sent: Tuesday, June 18, 2002 8:24 PM Subject: Re: [Internauta] Audiogalaxy Josep: Faig servir KaZaa des de que hi va haver problemes amb Morpheus. Un any. Va for�a be almenys per mi. Si he notat que el numero d'usuaris connectats ha augmentat quasi amb 500.000 amb unes setmanes. Ara hi son uns 1,900.000. Per� pel que veig toquen a morts al campanar de l'iglesia del poble. Aix� que ......... Sort. Pere ----- Original Message ----- From: <[EMAIL PROTECTED]> To: <[EMAIL PROTECTED]> Sent: Tuesday, June 18, 2002 7:21 PM Subject: [Internauta] Audiogalaxy Hola llistaires; Ara que sembla que l'Audiogalaxy ha petat, � alg� de la llista te experi�ncia amb algun programa similar? (per mi anava molt be l'Audiogalaxy). Ho dic per no tenir que baixar multitud de programes i estalviar-me de fer masses proves. Moltes merc�s a tothom. Josep. _______________________________________________ llista de correu de l'Internauta [EMAIL PROTECTED] http://zeus.internauta.net/mailman/listinfo/internauta _______________________________________________ llista de correu de l'Internauta [EMAIL PROTECTED] http://zeus.internauta.net/mailman/listinfo/internauta
