CornerCircleTop
CornerCircleBottom
VButtonBarBottom
Pàgina Inicial
Una per Dia
Articles
Directori
Biblioteca
Alertes
VButtonBarBottom
Una per Dia

Última Modificació del Document
15 de juny de 2002


Una per Dia - Tornar a l'índex
Versió en català de "Una al día" d'Hispasec

13 de juny de 2002 - Usabilitat i seguretat. Kazaa com a exemple a no seguir

Un recent estudi mostra com les deficiències d'usabilitat a la interfície d'usuari de Kazaa pot comprometre la seguretat i privacitat dels usuaris, sense el coneixement d'aquests.

En els últims anys diversos investigadors han analitzat la usabilitat del software en general, identificant diverses pràctiques que tendeixen a dificultar la utilització dels programes informàtics per part dels usuaris.

Si ens centrem als productes específics de seguretat, els diversos estudis efectuats han identificat l'existència d'importants mancances en tot allò que té relació amb la usabilitat. Aquestes anàlisis habitualment es fan combinant l'estudi de les decisions preses en el desenvolupament de la interfície de l'usuari amb les directrius d'allò que s'entén per un bon disseny i l'"estudi de camp": enfrontar a un usuari amb el programa per tal de veure com respondre davant el mateix.

Aquestes carències d'usabilitat provoquen que els usuaris tinguin dificultats per a la utilització dels productes, hagin de navegar per les diferents opcions o sistemes d'ajut per tal de localitzar una opció en concret, seleccionant de forma inadequada una funció errònia o, en la pitjor de les situacions, convèncer a l'usuari d'alguna cosa totalment errònia.

A l'estudi concret que comentem en aquest butlletí, realitzat per un investigador d'HP i un altre de la universitat de Minnesota, es centra en un dels productes més populars per a l'intercanvi de fitxers entre usuaris: Kazaa.

Si bé Kazaa no és un producte de seguretat és prou obvi que la seva utilització té importants implicacions a la seguretat de l'ordinador. El fet de poder compartir fitxers, que seran accessibles per la resta d'usuaris té molta importància per a la seguretat. Coneixent aquest fet, durant la fase de disseny del producte s'haurien d'haver pres les mesures necessàries per tal d'impedir que els usuaris comparteixin, sense el seu coneixement exprés, la informació privada i les dades personals existents al seu ordinador.

L'estudi analitza dues situacions: els usuaris són conscients de les opcions del programa alhora de compartir fitxers i hi han usuaris que fan servir Kazaa per tal de localitzar informació confidencial d'altres usuaris?

Per tal de respondre a la primera situació, es va posar a un grup de dotze usuaris amb el programa i se'ls va demanar que diguessin quins fitxers i carpetes del sistema eren accessibles pels usuaris externs. Molts d'aquests usuaris havien utilitzat prèviament altres productes d'intercanvi de fitxers (Napster, Morpheus o el propi Kazaa). El seu perfil era el d'un usuari habituals dels ordinadors i Internet, amb una mitjana de deu hores setmanals davant l'ordinador.

Els resultats són força concloents: únicament dos usuaris van ser capaços de determinar correctament els fitxers que estaven compartits i només un van indicar correctament que qualsevol tipus de fitxer a l'ordinador pot ser visible pels usuaris externs i no únicament els fitxers de música i les pel·lícules.

Pel que fa referència a la utilització que es fa actualment de Kazaa per tal d'obtenir informació confidencial, els investigadors van posar un ordinador amb diversos fitxers que, pel seu nom, s'identificaven com a contenidors d'informació potencialment privada: "CreditCard.xls". Només va caler un dia per tal que quatre usuaris diferents es baixessin aquest fitxers.

Els investigadors també van tractar de localitzar a usuaris que estiguessin compartint el seu correu electrònic, identificant-ne a diversos centenars que no només oferien els seus fitxers de correu electrònic sinó que també, en moltes ocasions, la totalitat del seu disc dur.

A partir d'aquests fets es fa una anàlisi dels motius pels quals els usuaris de Kazaa configuren el producte per tal de permetre un accés complet al material confidencial i privat dels seus ordinadors. Tots aquests problemes són directament atribuïbles a problemes d'usabilitat a Kazaa.

Tal com hem indicat anteriorment, el pitjor que pot fer un programa es confondre als seus usuaris i fer-los creure que la situació és una quan en realitat passa una cosa totalment oposada. Això és justament el que passa amb Kazaa: molts dels seus usuaris desconeixen que la utilització d'aquest producte i la seva configuració errònia pot posar tot el contingut de la seva màquina a l'abast de la resta de comunitat d'usuaris de Kazaa.

Més informació

Usability and privacy: a study of Kazaa P2P file-sharing
http://hpl.hp.com/shl/papers/kazaa

Report: Kazaa Insecure, Users Oblivious
http://www.newsfactor.com/perl/story/18136.html

User Interaction Design for Secure Systems
http://www.sims.berkeley.edu/~ping/sid/

Why Johnny can't encrypt: A usability evaluation of PGP 5.0
http://www.cs.cmu.edu/~alma/johnny.pdf

Usability of Security: A Case Study
http://reports-archive.adm.cs.cmu.edu/anon/1998/abstracts/98-155.html

Xavier Caballé
xcaballe@quands.com
Contacte: info@quands.com