lunes, 9 de octubre de 2006

Adolescentes+banda ancha=porno spyware

Este es un post acerca de los métodos que pueden emplearse para librarse de esa plaga que son los malditos adolescentes spyware (incluyo los virus, lo que pasa es que cada vez se parecen más).
Esta es la situación: somos técnicos de cabecera de una familia tipo, los padres le compraron la compu a los chicos (flor de nene, 14 años, hormonas y presunciones de hacker, chica de 15 o 16, hormonas y presunciones de messenger), y les pusieron banda ancha para que no se pasen el día en el cyber (que ilusos: los chicos no van a dejar de ir al cyber, a lo sumo pasaran del cyber a su pieza para seguir chateando).

Nosotros le vendimos la máquina. Eso nos hace responsables (por la garantía) del funcionamiento de la misma. Incluso cuando los chicos apagan la compu desde el enchufe de corriente, cuando hacen clic en cuanto banner les ofrezca emoticones gratis, cuando instalan programas de dudosa procedencia sin leer de que se trata, cuando aceptan todo mensaje que se les ponga adelante de lo que quieren ver, cuando aceptan premios en efectivo de ventanas flotantes, cuando borran el archivo boot.ini porque un "amigo" en el messenger les dijo que era un virus, cuando instalan falsos antispyware ante el mensaje "su máquina es vulnerable al ataque del FSM, y un laaaaargo etcétera.

Entonces ocurre que a la semana (con suerte) de entregada, la máquina está mas lenta que una 486 con windowsME, si es que todavía arranca. Y ahí vamos, a volcar el ghost que sabiamente dejamos preparado para la ocasión. Pero eso es pan para hoy y hambre para mañana, ya que a la semana siguiente estaremos en la misma situación, y el dilema es: ¿cuantas veces podremos cobrarle el trabajo si vamos todas las semanas?. Por eso conviene aplicar algunos métodos para retrasar el momento del ghost.

1) Por supuesto, lo mejor sería educar a los usuarios. Sentar a las bestias, decirles que usen firefox (no basta con ponerlo como predeterminado, ellos buscan la e azul adonde la escondas), que no tienen que correr, que tienen que leer los mensajes de advertencia etc. En la mayor parte de los casos es inútil. Como decirles que les conviene estudiar al pricipio del año a rendir todas las materias en diciembre. Margaritas a los chanchos, que le dicen.

2) La solución más light, para usuarios que tienen un mínimo interes por aprender: Crear una cuenta de usuario limitada y ponerla como arranque por defecto (se puede hacer fácil con TweakUI), poner contraseña de administrador y enseñar a los usuarios a correr las instalaciones con "ejecutar como" (esto para que no nos llamen con cada juego que quieran poner). También hay que decirles explícitamente que no naveguen como administrador (porque algunos descubren que asi nunca te dice que no tenes los permisos para hacer tal cosa, y ya sabemos como son los adolescentes con los permisos). Este método resulta bastante efectivo, poque los usuarios limitados no pueden escribir en las carpetas de sistema, o modificar el registro (al menos algunas claves), que es lo que necesitan los virus para activarse al arranque. Tiene la desventaja de que dependemos de la buena voluntad del usuario, básicamente en lo que respecta a su acceso como administrador, y no nos libra de los popups, las barras de herramientas etc.
Repito: solo para usuarios que quieran aprender. A lo sumo se puede probar, y si a la semana siguiente tenemos que volver pasamos a la fase 3)

2b) Cuando no es posible que el usuario de la máquina trabaje en modo limitado (porque no aprende, porque usa programas que no están preparados para funcionar como multiusuario, porque no quiere etc) hay soluciones a medias, como ser programas que nos permiten correr aplicaciones sin permisos de administrador aunque estemos logueados como tales. DropMyRights es uno (download de Microsoft), pero tiene un problema: solo funciona si el programa (el navegador, el gestor de correo o el mensajero) se ejecuta desde el ícono modificado que nos crea (con la línea C:\WINDOWS\DropMyRights.exe "C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE" N, por ejemplo). Lo mismo ocurre con ReducedPermissions. Es decir que si el usuario crea otro acceso directo este puede quedar por afuera de la protección. Para los que quieran probar, aca hay una página que lista otras utilidades similares. (Curiosidad: Reduced Permissions dice funcionar solo para IE, porque Firefox "Ya es seguro")

3)Si el problema es internet, podemos instalar algún programa que funcione aislando el navegador del resto del sistema, como puede ser Sandboxie o Greenborder (comerciales. Sandboxie tiene una funcionalidad limitada en su versión gratuita. Los que lo necesiten ya saben que hacer. No, eso no. Comprarlo, esteee... digo). Sandboxie instala un driver en la máquina, que intercepta cualquier tipo de escritura al disco de la aplicación que corre "sandboxed", es decir que ésta no puede guardar ficheros, escribir el registro ni nada. Es más, si guardamos una página no se guarda más que en el temporal del programa, y al cerrarlo desaparece. Lo mismo si bajamos un programa. La versión registrada puede interceptar las aplicaciones que le indiquemos cuando se ejecuten y correrlas en modo protegido. Me ha servido para poner en caja (de arena) al explorer, dejando al firefox libre.

4)Artillería pesada: los congeladores. Cuando una máquina se usa para trabajar, no es muy frecuente que se necesite instalar programas nuevos, ni cambiar la configuración de nada. Solo se agregan documentos personales. En estos casos los hijos adolescentes (o niños) son un problema, porque no podemos darnos el lujo de tener la máquina inútil.



Para estos casos se usan los congeladores. estos son programas que detienen la máquina en un determinado estado, impidiendo los cambios de cualquier tipo en el disco congelado, de modo que con cada reinicio se vuelve a la configuración anterior.

Yo conozco dos: El más popular es el Deep Freeze. Este nos permite elegir una partición para freezar, y evita los cambios en la partición entera. Tenemos que tener otra partición para los datos (lo que de todos modos es recomenadble) sin congelar, y con algo de configuración adicional es posible poner en esa partición los favoritos, el historial, la libreta de direcciones, los mensajes de outlook etc (aunque también se pueden instalar el portable Firefox y el portable Thunderbird y nos ahorramos el problema). Para instalar un programa nuevo hay que descongelar la unidad, reiniciar, instalar y volver a reiniciar para congelar. Es incómodo, pero una vez que funciona todo, la única posibilidad de que se rompa es una falla física en el disco (cuidado, es solo para casos extremos: el cliente no nos llama más. Una posibilidad es poner la versión demo, que dura tres meses, y esperar que se termine...).
El otro programa (que yo estoy usando en mi casa) es el ShadowUser: este funciona de manera similar a l deep freeze, pero nos da la posibilidad de elegir qué carpetas queremos dejar "descongeladas". La ventaja es que no necesita particionar el disco (que puede ser un trabajo bastante arduo si el disco tiene mucho contenido). Otra ventaja es que podemos "cometer" cambios sobre el sistema congelado sin reiniciar (por ejemplo, cambiar la skin del winamp y "cometer" solo el archivo .ini para conservar el cambio, o agregar un ícono al escritorio si no está en la "exclusion list"). La principal desventaja que le encuentro (aparte de no tener una demo funcional) se refiere al espacio de disco. Es posible que trabajando en las carpetas liberadas del disco congelado (que puede ser el único del sistema) éste quede al borde de su capacidad. Esto nos traera problemas con el archivo swap, y hara la máquina más lenta. Es más; por debajo de cierto porcentaje de disco el programa deja de funcionar directamente, poque no tiene espacio para sus temporales. Fuera de estos casos particulares es programaes de lo más recomendable (Se aplican las mismas consideraciones comerciales que con el Deep Freeze. El cliente satisfecho puede ser una inversión a futuro, pero a veces uno necesita comer en presente).

Y basta

Actualización: En el sitio de Faronics veo una utilidad llamada Mapping Tool, que parece funcionar como la "exclusion list" del Shadow User, dejando carpetas sin congelar. Habra que probarlo (siendo el Deepfreeze más popular también es más fácil de "conseguir", y esto acerca mucho las funcionalidades de los dos).

Nota aclaratoria para clientes con windows98/ME: Parece que yo también me deje llevar por el progreso (a pesar de llamarme 486), y escribi el artículo pensando solo en XP, así que aclaro: lo de los permisos por usuario NO FUNCIONA en windows98/ME, sistemas en los que las cuentas de usuario son un chiste. Tampoco funciona sandboxie ni ShadowUser, con lo cual DeepFreeze pasa a ser la mejor opción (circula una versión 3 por el Emule. Y funciona bien)

Y ahora si basta. Y me fuí al carajo con la extensión del post.

No hay comentarios.: