Virus Informaticos
Tabla de contenido INTRODUCCIÓN I OBJETIVOS II 1. LOS VIRUS INFORMÁTICOS 1 1.1 HISTORIA DE LOS VIRUS INFORMÁTICOS
Views 220 Downloads 6 File size 1MB
Recommend stories
- Author / Uploaded
- proteo3001
- Categories
- Virus de computadora
- Archivo de computadora
- Software antivirus
- Programa de computadora
- Memoria del ordenador
Citation preview
Tabla de contenido INTRODUCCIÓN
I
OBJETIVOS
II
1. LOS VIRUS INFORMÁTICOS
1
1.1 HISTORIA DE LOS VIRUS INFORMÁTICOS 1.2 DEFINICIÓN DE LOS VIRUS INFORMÁTICOS 1.3 CARACTERÍSTICAS DE LOS VIRUS INFORMÁTICOS 1.4 CLASIFICACIÓN DE LOS VIRUS INFORMÁTICOS 1.4.1 SEGÚN LO INFECTADO: 1.4.2 SEGÚN SU COMPORTAMIENTO: 1.4.3 SEGÚN SUS ACCIONES Y/O MODO DE ACTIVACIÓN 1.5 FUNCIONAMIENTO DE LOS VIRUS INFORMÁTICOS 1.6 ¿CÓMO SE TRANSMITEN LOS VIRUS? 1.7 MÉTODOS DE DETECCIÓN DE LOS VIRUS INFORMÁTICOS 1.8 DAÑOS QUE OCASIONAN LOS VIRUS INFORMÁTICOS DAÑOS MENORES DAÑOS MODERADOS: DAÑOS MAYORES: DAÑOS SEVEROS: DAÑOS ILIMITADOS: 1.9 LISTADO DE LOS VIRUS INFORMÁTICOS MÁS POPULARES 1.10 ¿QUÉ NO ES UN VIRUS INFORMÁTICOS? PROGRAMAS CORRUPTOS:
1 4 4 6 6 7 8 10 13 14 15 15 15 15 16 16 16 20 21
2 ANTIVIRUS
21
2.1 2.2 2.3 2.4 2.5 2.6 2.7 2.8 2.9 2.10
21 1 1 3 6 7 9 11 13 15
HISTORIA DE LOS ANTIVIRUS DEFINICIÓN DE LOS ANTIVIRUS CARACTERÍSTICAS DE LOS ANTIVIRUS ELEMENTOS QUE COMPONEN LOS ANTIVIRUS TIPOS DE ANTIVIRUS MODELO DE ANTIVIRUS ¿CÓMO FUNCIONAN LOS ANTIVIRUS? TÉCNICAS DE DETECCIÓN DE VIRUS INFORMÁTICOS? MÉTODOS DE SEGURIDAD PARA EVITAR CONTAGIOS LISTA DE ANTIVIRUS MÁS POPULARES
2.10.1 ANTIVIRUS DE ESCRITORIO 2.10.2 ANTIVIRUS EN LÍNEA
15 17
3 FIREWALL
20
3.2 DEFINICIÓN DE LOS FIREWALL 3.3 TIPOS DE FIREWALL 3.4 FUNCIONES DE LOS FIREWALL 3.4.1 LOS ATAQUES EXTERNOS 3.5 POLÍTICAS DE DISEÑO DE LOS FIREWALL 3.6 POLÍTICAS INTERNAS DE SEGURIDAD 3.7 FIREWALLS PERSONALES 3.8 BENEFICIOS DE LOS FIREWALLS 3.9 LIMITACIONES DE UN FIREWALLS 3.10 EJEMPLOS DE FIREWALLS
21 23 23 25 27 28 29 30 32 34
4 ADWARE
34
4.1 4.2 4.3 4.4 4.5 4.6
34 35 36 36 37 38
DEFINICIÓN DE LOS ADWARE TIPOS DE ADWARE FUNCIONES DE LOS ADWARE ¿CÓMO LLEGAN A NUESTRAS COMPUTADORAS LOS ADWARE? ¿CÓMO EVITAR LOS ADWARE? LISTA DE LOS ADWARE MÁS COMUNES
5 SPYWARE
39
5.1 5.2 5.3 5.4 5.5 5.6 5.7 5.8 5.9
39 40 40 40 41 41 43 44 45
DEFINICIÓN DE LOS SPYWARE CARACTERÍSTICAS DE LOS SPYWARE ¿CÓMO SE PROPAGAN LOS SPYWARE? VULNERABILIDADES QUE OCASIONA EL SPYWARE PRINCIPALES SÍNTOMAS DE INFECCIÓN ¿CÓMO EVITAR EL SPYWARE? ¿CÓMO ELIMINAR O REMOVER UN SPYWARE? LISTA DE LOS MEJORES ANTISPYWARE DIFERENCIAS ENTRE ADWARE Y SPYWARE
6 ROOTKIT
46
6.1 ORÍGENES DE LOS ROOTKIT 6.2 DEFINICIÓN DE LOS ROOTKIT 6.3 CLASIFICACIÓN DE LOS ROOTKIT
46 46 47
6.4 FUNCIONES DE LOS ROOTKIT 6.5 DETECCIONES DE LOS ROOTKIT 6.5.1 MÉTODOS DE OCULTAMIENTO DE DETECCIÓN 6.6 ¿CUÁL ES EL PELIGRO DE LOS ROOTKIT? 6.7 FORMAS DE PROTECCIÓN DE LOS ROOTKIT 6.8 DESINFECCIÓN DE LOS ROOTKIT
49 50 50 51 53 54
7 HOAX
55
7.1 7.2 7.3 7.4 7.5
55 55 57 57 58
DEFINICIÓN DE LOS HOAX CARACTERÍSTICAS DE LOS HOAX TIPO DE HOAX FUNCIONES DE LOS HOAX ACCIONES QUE SE DEBEN TOMAR CON LOS HOAX
8 FISHING
58
8.1 8.2 8.3 8.4 8.5 8.6 8.7 8.8 8.9
58 59 59 61 62 62 63 64 64
ORÍGENES DEL PHISHING DEFINICIÓN DE PHISHING CARACTERÍSTICAS DE PHISHING TÉCNICAS MÁS SOFISTICADAS DEL PHISHING ELEMENTOS DEL PHISHING FUNCIONES DEL PHISHING VÍAS DE DISTRIBUCIÓN DEL PHISHING. DAÑOS CAUSADOR POR EL PHISHING LISTA DE EJEMPLOS DE PHISHING
CONCLUSIONES
66
RECOMENDACIONES
67
BIBLIOGRAFÍA
68
ÍNDICE
69
Introducción
En nuestra moderna era cibernética, tenemos toda la información que necesitemos al alcance de un clic. La informática ha simplificado la vida de investigadores, estudiantes y trabajadores proveyendo un medio rápido, confiable efectivo y eficaz de procesar grandes cantidades de información con un costo accesible a buena parte de la población. De igual manera, la informática ha abierto una inmensa gama de oportunidades de estafar a las personas honradas y trabajadoras que la utilizan. Cada día, los amigos de lo ajeno, van innovando los métodos de invadir la privacidad de los cibernautas. Las consecuencias de dicha invasión pueden ser desde la pérdida del álbum fotográfico familiar, hasta el robo de los ahorros ó el uso abusivo de tarjetas de crédito. Se han dado casos extremos de suplantación de la información personal de un individuo, utilizando dicha información para sacar grandes cantidades de dinero en concepto de préstamos personales, dejando a la víctima, sumida en deudas. La importancia de conocer los más comunes medios de invadir nuestra privacidad, con el consecuente riesgo de ser víctimas de una estafa, es muy grande, pues es cada vez mayor la frecuencia de estos casos. El presente trabajo de investigación tiene por objetivo conocer, sobre el funcionamiento del software conocido como virus y antivirus, así como también aprender sobre otros tipos de software que se caracterizan por ser perjudiciales para nuestro ordenador, y nuestra privacidad. Además identificar los medios mayormente conocidos para prevenir la infección de nuestro ordenador, con estos tipos de malware nocivo.
i
Objetivos
Objetivos generales Dar a conocer todo acerca de los virus informáticos desde su origen hasta los virus más populares y destructivos que existen actualmente
Objetivos específicos Conocer los distintos tipos de virus que existen. Analizar el impacto de los virus en el mundo informática y como contrarrestar cada uno de ellos.
ii
1. Los Virus Informáticos
1.1 Historia de los Virus Informáticos Hacia finales de los años 60, Douglas McIlory, Víctor Vysottsky y Robert Morís idearon un juego al que llamaron Core War 1, que se convirtió en el pasatiempo de algunos de los programadores de los laboratorios Bell de AT&T. En él, cada jugador presenta cierto número de programas en leguaje ensamblador que se les dio el nombre de organismos, que conviven en la memoria del ordenador con los organismos de los demás participantes. Los programas de cada jugador tratan de aniquilar a los organismos oponentes, ganando el juego el participante que conserve más organismos al acabar el tiempo de combate. A pesar de todos estos antecedentes el verdadero origen de los virus informáticos es muy confuso, pero muy probablemente, una serie de artículos publicados en 1984 por A. K. Dewdney en la revista Scientific American. En estos artículos Dewney desarrolla un juego de ordenador llamado Core Wars o guerra de núcleos. En él dos programas hostiles se enzarzan en una lucha por el control de la memoria, atacando abiertamente al contrario. Los dos programas se ponen en marcha mediante otro programa que se encarga de ejecutar alternativamente las instrucciones de que constan los dos programas, llamado Gemini2, producía una copia de sí mismo en otra casilla de la memoria y transfería el control a la nueva copia, que así podía repetir la operación. Jamás podría haber imaginado el autor lo que iba a suceder. Algunas personas con ideas destructivas extrajeron del inocente y creativo juego de Dewdney las pautas necesarias para crear todo tipo de programas con 1
Core War
Guerra a la memoria de la computadora
2
Gemini
uno de los primeros programas de saturación de memoria
1 17/03/2013 17:27
capacidad para dañar los sistemas informáticos. En el mismo año de 1984, Fred Cohen define por primera vez el término virus de ordenador como un software maligno capaz de reproducirse a sí mismo. Se cree que los virus tienen la misma edad que las computadoras, ya que John Von Neumann describe programas que se reproducen solos en su libro "Teoría y Organización de Autómatas Complicados". Pero las primeras referencias de virus con fines intencionales surgieron en 1983 cuando Digital Equipament Corporation (DEC) empleó una subrutina para proteger su famoso procesador de textos Decmate II, que el 1 de abril de 1983 en caso de ser copia ilegal borraba todos los archivos de su unidad de disco. Uno de los primeros registros que se tienen de una infección data del año 1987, cuando en la Universidad estadounidense de Delaware notaron que tenían un virus porque comenzaron a ver "© Brain" como etiqueta de los disquetes.
La causa de ello era Brain Computer Services, una casa de computación paquistaní que, desde 1986, vendía copias ilegales de software comercial infectadas para, según los responsables de la firma, dar una lección a los piratas. Ellos habían notado que el sector de booteo de un disquete contenía código ejecutable, y que dicho código se ejecutaba cada vez que la máquina se inicializaba desde un disquete. Lograron reemplazar ese código por su propio programa, residente, y que este instalara una réplica de sí mismo en cada disquete que fuera utilizado de ahí en más.
También en 1986, un programador llamado Ralf Burger se dio cuenta de que un archivo podía ser creado para copiarse a sí mismo, adosando una copia de él a otros archivos. Escribió una demostración de este efecto a la que llamó VIRDEM, que podía infectar cualquier archivo con extensión .COM. Esto atrajo tanto interés que se le pidió que escribiera un libro, pero, puesto que él desconocía lo que estaba ocurriendo en Paquistán, no 2 17/03/2013 17:27
mencionó a los virus de sector de arranque (boot sector). Para ese entonces, ya se había empezado a diseminar el virus Vienna.
En Resumen se reconoce el Origen de los Virus de la siguiente manera:
Años 60's
Juego "Core War", se reproducía cada vez que se ejecutaba.
"Reeper", programa que destruía las copias hechas por Core War (antivirus)
1982 "Cloner" presentaba un mensaje en forma de poema
La revista Scientific America publica información completa sobre los virus y guías para la creación de los mismos. 1984 El Dr. Cohen de la Universidad de California, hace una demostración de un virus residente en una PC. Se le conoce como "El Padre de los Virus".
1986 Brain, primer virus destructor y dañino. Creado en Pakistán
1987
1988
IBM Christmas Card, enviaba mensajes navideños que se multiplicaban rápidamente
Jerusalem, aparecía el 13 de mayo de 1988. Programa que destruía otros programas.
3 17/03/2013 17:27
1.2
Definición de los Virus Informáticos
Los virus informáticos son programas diseñados expresamente para interferir en el funcionamiento de una computadora, registrar, dañar o eliminar datos, o bien para propagarse a otras computadoras y por Internet, a menudo con el propósito de hacer más lentas las operaciones y provocar otros problemas en los procesos.
Al igual que hay virus humanos con niveles de gravedad muy distintos (desde un resfriado leve hasta el virus Ébola), los efectos de los virus informáticos pueden ser desde ligeramente molestos hasta auténticamente devastadores. Además, cada día se presentan nuevas variantes. Por suerte, con precaución y algunos conocimientos, es menos probable convertirse en víctima de los virus y se puede reducir su impacto. Algunos autores definen los virus como un programa parásito porque el programa ataca a los archivos o sector es de "boteo" y se replica a sí mismo para continuar su esparcimiento. Algunos se limitan solamente a replicarse, mientras que otros pueden producir serios daños que pueden afectar a los sistemas. Se ha llegado a un punto tal, que un nuevo virus llamado W95/CIH-10xx. O también como CIH.Spacefiller (puede aparecer el 26 de cada mes, especialmente 26 de Junio y 26 de Abril) ataca al BIOS de la PC huésped y cambiar su configuración de tal forma que se requiere cambiarlo. Nunca se puede asumir que un virus es inofensivo y dejarlo "flotando" en el sistema.
1.3 Características de los Virus Informáticos
La definición más simple y completa que hay de los virus corresponde al modelo D. A. S., y se fundamenta en tres características, que se refuerzan y
4 17/03/2013 17:27
dependen mutuamente. Según ella, un virus es un programa que cumple las siguientes pautas: Es dañino Es autor reproductor Es subrepticio Según sus características un virus puede contener tres módulos principales: el módulo de ataque, el módulo de reproducción, y el módulo de defensa.
Módulo de ataque. Es el módulo que contiene las rutinas de daño adicional o implícito. El módulo puede ser disparado por distintos eventos del sistema: una fecha, hora, el encontrar un archivo específico (COMMAND.COM), el encontrar un sector específico (MBR), una determinada cantidad de booteos desde que ingreso al sistema, o cualquier otra cosa a la que el programador quisiera atacar.
Módulo de reproducción. Es el encargado de manejar las rutinas para infectar entidades ejecutables que asegurarán la subsistencia del virus. Cuando toma el control del sistema puede infectar otras entidades ejecutables. Cuando estas entidades sean trasladadas a otras computadoras se asegura la dispersión del virus.
Módulo de defensa. Su principal objetivo es proteger el cuerpo del virus. Incluirá rutinas que disminuyan los síntomas que delaten su presencia e intentarán que el virus permanezca invisible a los ojos del usuario y del antivirus. Las técnicas incluidas en este módulo hoy en día resultan ser muy sofisticadas logrando dar información falsa al Sistema Operativo -y en consecuencia al usuario- y localizándose en lugares poco comunes para el registro de los antivirus, como la memoria FlashROM.
5 17/03/2013 17:27
1.4 Clasificación de los Virus Informáticos 1.4.1 Según lo infectado: Según algunos autores, fundamentalmente existen dos tipos de virus: Aquellos que infectan archivos. A su vez, éstos se clasifican en Virus de acción directa: En el momento en el que se ejecutan, infectan a otros programas.
Virus residente: Al ser ejecutados, se instalan en la memoria de la computadora. Infectan a los demás programas a medida que se accede a ellos. Por ejemplo, al ser ejecutados. Virus de boot: Los que infectan el sector de arranque. Recordemos que el sector de arranque es lo primero que lee el ordenador cuando es encendido. Estos virus residen en la memoria. Virus multipartite: Estos corresponden a los virus que infectan archivos y al sector de arranque, por lo que se puede decir que es la suma de las dos categorías anteriores. Para otros autores, la clasificación de los virus también se divide en dos categorías, pero el método de clasificación utilizado es diferente: Virus de archivos: Son los que modifican archivos o entradas de las tablas que indican el lugar donde se guardan los directorios o los archivos. Virus de sistema operativo: Son aquellos que tienen como objetivo consiste en infectar aquellos archivos que gobiernan la computadora.
6 17/03/2013 17:27
1.4.2 Según su comportamiento: En función de su comportamiento, todos los virus anteriores pueden a su vez clasificarse en otros subgrupos: Virus uniformes: Son aquellos que producen una replicación idéntica a sí mismos. Virus encriptados: Estos son aquellos que cifran parte de su código para que sea más complicado su análisis. A su vez pueden emplear: Encriptación fija, empleando la misma clave. Encriptación variable, haciendo que cada copia de sí mismo esté encriptado con una clave distinta. De esta forma reducen el tamaño del código fijo empleable para su detección. Virus oligomórficos: Son aquellos que poseen un conjunto reducido de funciones de encriptación y eligen una de ellas aleatoriamente. Requieren distintos patrones para su detección. Virus polimórficos: Que en su replicación producen una rutina de encriptación completamente variable, tanto en la fórmula como en la forma del algoritmo. Con polimorfismos fuertes se requiere de emulación, patrones múltiples y otras técnicas antivirus avanzadas.
Virus metamórficos: Son aquellos que reconstruyen todo su cuerpo en cada generación, haciendo que varíe por completo. De esta forma se llevan las técnicas avanzadas de detección al límite. Por fortuna, esta categoría es muy rara y sólo se encuentran en laboratorio. Sobrescritura:
7 17/03/2013 17:27
Es cuando el virus sobrescribe a los programas infectados con su propio cuerpo. Stealth o silencioso: Es cuando el virus oculta síntomas de la infección. Existen más clasificaciones según su comportamiento, siendo las citadas parte de las más significativas y reconocidas por la mayoría de los fabricantes de antivirus.
1.4.3 Según sus acciones y/o modo de activación Bombas: Se denominan así a los virus que ejecutan su acción dañina como si fuesen una bomba. Esto significa que se activan segundos después de verse el sistema infectado o después de un cierto tiempo (bombas de tiempo) o al comprobarse cierto tipo de condición lógica del equipo. (bombas lógicas). Ejemplos de bombas de tiempo son los virus que se activan en una determinada fecha u hora determinada. Ejemplos de bombas lógicas son los virus que se activan cuando al disco rígido solo le queda el 10% sin uso. Camaleones: Son una variedad de virus similares a los caballos de Troya que actúan como otros programas parecidos, en los que el usuario confía, mientras que en realidad están haciendo algún tipo de daño.
Cuando
están
correctamente
programados,
los
camaleones pueden realizar todas las funciones de los programas legítimos a los que sustituyen (actúan como programas de demostración de productos, los cuales son simulaciones de programas reales). Un software camaleón podría, por ejemplo, emular un programa de acceso a sistemas remotos realizando todas las acciones que 8 17/03/2013 17:27
ellos realizan, pero como tarea adicional (y oculta a los usuarios) va almacenando en algún archivo los diferentes logins y password para que posteriormente puedan ser recuperados y utilizados ilegalmente por el creador del virus camaleón. Reproductores: Los reproductores (también conocidos como conejos-rabbits) se reproducen en forma constante una vez que son ejecutados hasta agotar totalmente (con su descendencia) el espacio de disco o memoria del sistema. La única función de este tipo de virus es crear clones y lanzarlos a ejecutar para que ellos hagan lo mismo. El propósito es agotar los recursos del sistema, especialmente en un entorno multiusuario interconectado, hasta el punto que el sistema principal no puede continuar con el procesamiento normal. Gusanos (Worms): Los gusanos son programas que constantemente viajan a través de un sistema informático interconectado, de PC a PC, sin dañar necesariamente el hardware o el software de los sistemas que visitan. La función principal es viajar en secreto a través de equipos anfitriones recopilando cierto tipo de información programada (tal como los archivos de passwords) para enviarla a un equipo determinado al cual el creador del virus tiene acceso. Backdoors: Son también conocidos como herramientas de administración remotas ocultas.
Son
programas que permiten
controlar
remotamente la PC infectada. Generalmente son distribuidos como troyanos. 9 17/03/2013 17:27
Cuando un virus de estos es ejecutado, se instala dentro del sistema operativo, al cual monitorea sin ningún tipo de mensaje o consulta al usuario. Incluso no se lo vé en la lista de programas activos. Los Backdoors permiten al autor tomar total control de la PC infectada y de esta forma enviar, recibir archivos, borrar o modificarlos, mostrarle mensajes al usuario. 1.5
Funcionamiento de los Virus Informáticos
Los virus informáticos están hechos en Assembler, un lenguaje de programación de bajo nivel. Las instrucciones compiladas por Assembler trabajan directamente sobre el hardware, esto significa que no es necesario ningún software intermedio –según el esquema de capas entre usuario y hardware- para correr un programa en Assembler (opuesto a la necesidad de Visual Basic de que Windows 9x lo secunde). No solo vamos a poder realizar las cosas típicas de un lenguaje de alto nivel, sino que también vamos a tener control de cómo se hacen. Para dar una idea de lo poderoso que puede ser este lenguaje, el sistema operativo Unix está programado en C y las rutinas que necesitan tener mayor profundidad para el control del hardware están hechas en Assembler. Por ejemplo: los drivers que se encargan de manejar los dispositivos y algunas rutinas referidas al control de procesos en memoria.
10 17/03/2013 17:27
Sabiendo esto, el virus puede tener control total de la máquina -al igual que lo hace el Sistema Operativo- si logra cargarse antes que nadie. La necesidad de tener que "asociarse" a una entidad ejecutable viene de que, como cualquier otro programa de computadora, necesita ser ejecutado y teniendo en cuenta que ningún usuario en su sano juicio lo hará, se vale de otros métodos furtivos. Ahora que marcamos la importancia para un virus el ser ejecutado, podemos decir que un virus puede encontrarse en una computadora sin haber infectado realmente algo. Es el caso de personas que pueden coleccionar virus en archivos comprimidos o encriptados.
Normalmente este tipo de programas se pega a alguna entidad ejecutable que le facilitará la subida a memoria principal y la posterior ejecución (métodos de infección). Como entidades ejecutables podemos reconocer a los sectores de arranque de los discos de almacenamiento magnéticos, ópticos o magneto-ópticos (MBR, BR), las librerías o módulos de programas (.dll, .lib, .ovl, .bin, .ovr). Los sectores de arranque son fundamentales para garantizar que el virus será cargado cada vez que se encienda la computadora.
Según la secuencia de booteo de las PCs, el microprocesador tiene seteada de fábrica la dirección de donde puede obtener la primera instrucción a ejecutar. Esta dirección apunta a una celda de la memoria ROM donde se encuentra la subrutina POST (Power On Self Test), encargada de varias verificaciones y de comparar el registro de la memoria CMOS con el hardware instalado (función checksum). En este punto sería imposible que el virus logre cargarse ya que la memoria ROM viene grabada de fábrica y no puede modificarse (hoy en día las memorias FlashROM podrían contradecir esto último). Luego, el POST pasa el control a otra subrutina de la ROM BIOS llamada "bootstrap ROM" que copia el MBR3 (Master Boot Record) en memoria 3
MBR Master Boot Record
11 17/03/2013 17:27
RAM. El MBR contiene la información de la tabla de particiones, para conocer las delimitaciones de cada partición, su tamaño y cuál es la partición activa desde donde se cargará el Sistema Operativo. Vemos que en este punto el procesador empieza a ejecutar de la memoria RAM, dando la posibilidad a que un virus tome partida.
Hasta acá el Sistema Operativo todavía no fue cargado y en consecuencia tampoco el antivirus. El accionar típico del virus sería copiar el MBR en un sector alternativo y tomar su posición. Así, cada vez que se inicie el sistema el virus logrará cargarse antes que el Sistema Operativo y luego, respetando su deseo por permanecer oculto hará ejecutar las instrucciones del MBR.
Con la información del MBR sabremos qué partición es la activa y en que sector se encuentra su sector de booteo (boot record o BR). El BR contiene una subrutina que se ocupará de cargar los archivos de arranque del Sistema Operativo. Los demás pasos de la carga del Sistema Operativo son irrelevantes, pero es importante recordar que el Sistema Operativo es el último en cargarse en la secuencia de booteo antes de que el usuario pueda introducir comandos en la shell. El antivirus es cargado por los archivos de configuración del Sistema Operativo personalizables por el usuario.
Cuando un virus infecta un archivo ejecutable .EXE, por ejemplo, intenta rastrear en el código los puntos de entrada y salida del programa. El primer punto señalado es en donde, dentro del archivo, se iniciará la ejecución de instrucciones. El segundo punto resulta ser lo opuesto. Cuando un virus localiza ambos puntos escribe su propio código antes de cada uno. Según el tipo de virus, este código cargará el virus en memoria –si es que no lo estaba- y apuntará a esa zona infectada con el virus.
12 17/03/2013 17:27
A partir de ahí el programa virósico determinará cuáles son las acciones a seguir: puede continuar infectando archivos que sean cargados en memoria, ocultarse si es que detecta la presencia de un antivirus o ejecutar el contenido de su módulo de ataque. El virus puede infectar también las copias de los archivos cargados en memoria que están en la unidad de almacenamiento. Así se asegura que ante un eventual apagado de la computadora su código igualmente se encuentra en los archivos de la unidad.
Es importante comprender que la computadora no estará infectada hasta que ejecutemos algo parasitado previamente con el virus. Veamos un ejemplo sencillo: nosotros bajamos de Internet un archivo comprimido (con la extensión .ZIP según el uso popular) sabiendo que es un programa de prueba que nos gustaría instalar.
Lo que no sabemos es que uno de los archivos dentro del .ZIP es un virus informático, y lo peor de todo es que viene adosado al archivo Install.exe. Al momento de descomprimir el contenido, el virus todavía no fue ejecutado (ya que la información dentro del .ZIP no puede ser reconocida como instrucciones por el procesador). Luego identificamos el archivo Install.exe como el necesario para instalar el programa y lo ejecutamos. Recién en este momento el virus se cargará en memoria y pasará a hacer las cosas para lo que fue programado.
1.6
¿Cómo se transmiten los virus?
La forma más común en que se transmiten los virus es por transferencia de archivos, descarga o ejecución de archivos adjuntos a correos. También usted puede encontrarse con un virus simplemente visitando ciertos tipos de páginas web que utilizan un componente llamado ActiveX o Java Applet. Además, usted puede ser infectado por un virus simplemente leyendo un e-
13 17/03/2013 17:27
mail dentro de ciertos tipos de programas de e-mail como Outlook u Outlook Express.
1.7
Métodos de detección de los Virus Informáticos
El sistema operativo o un programa toma mucho tiempo en cargar sin razón aparente. El tamaño del programa cambia sin razón aparente. El disco duro se queda sin espacio o reporta falta de espacio sin que esto sea necesariamente así. Si se corre el CHKDSK no muestra "655360 bytes available". En Windows aparece "32 bit error". La luz del disco duro en la CPU continua parpadeando aunque no se esté trabajando ni haya protectores de pantalla activados. (Se debe tomar este síntoma con mucho cuidado, porque no siempre es así). No se puede "bootear" desde el Drive A, ni siquiera con los discos de rescate. Aparecen archivos de la nada o con nombres y extensiones extrañas. Suena "clicks" en el teclado (este sonido es particularmente aterrador para quien no esta advertido). Los caracteres de texto se caen literalmente a la parte inferior de la pantalla (especialmente en DOS). En la pantalla del monitor pueden aparecen mensajes absurdos tales como "Tengo hambre. Introduce un Big Mac en el Drive A". En el monitor aparece una pantalla con un fondo de cielo celeste, unas nubes blancas difuminadas, una ventana de vidrios repartidos de colores y una leyenda en negro que dice Windows ‟98 (No puedo evitarlo, es más fuerte que yo...). Una infección se soluciona con las llamadas "vacunas" (que impiden la infección) o con los remedios que desactivan y eliminan, (o tratan de hacerlo) a los virus de los archivos infectados. Hay cierto tipo de virus que
14 17/03/2013 17:27
no son desactivadles ni removibles, por lo que se debe destruir el archivo infectado
1.8 Daños que ocasionan los Virus Informáticos Definiremos daño como acción una indeseada, y los clasificaremos según la cantidad de tiempo necesaria para reparar dichos daños. Existen seis categorías de daños hechos por los virus, de acuerdo a la gravedad. Daños Triviales: Si tomamos como ejemplo la forma de trabajo del virus FORM (el más común): En el día 18 de cada mes cualquier tecla que presionemos hace sonar el bel. Deshacerse del virus implica, generalmente, segundos o minutos. Daños Menores Un buen ejemplo de este tipo de daño es el JERUSALEM. Este virus borra, los viernes 13, todos los programas que uno trate de usar después de que el virus haya infectado la memoria residente. En el peor de los casos, tendremos que reinstalar los programas perdidos. Esto nos llevará alrededor de 30 minutos. Daños Moderados: Cuando un virus formatea el disco rígido, mezcla los componentes de la FAT4, o sobrescribe el disco rígido. En este caso, sabremos inmediatamente qué es lo que está sucediendo, y podremos reinstalar el sistema operativo y utilizar el último Backus. Esto quizás nos lleve una hora. Daños Mayores: Algunos virus, dada su lenta velocidad de infección y su alta capacidad de pasar desapercibidos, pueden lograr que ni aún restaurando un 4
FAT
Tabla de Ubicación de Archivos
15 17/03/2013 17:27
Backus volvamos al último estado de los datos. Un ejemplo de esto es el virus DARK AVENGER, que infecta archivos y acumula la cantidad de infecciones que realizó. Cuando este contador llega a 16, elige un sector del disco al azar y en él escribe la frase: "Eddie lives… somewhere in time" (Eddie vive… en algún lugar del tiempo). Esto puede haber estado pasando por un largo tiempo sin que lo notemos, pero el día en que detectemos la presencia del virus y queramos restaurar el último Backus notaremos que también él contiene sectores con la frase, y también los backups anteriores a ese. Puede que lleguemos a encontrar un Backus limpio, pero será tan viejo que muy probablemente hayamos perdido una gran cantidad de archivos que fueron creados con posterioridad a ese Backus. Daños Severos: Los daños severos son hechos cuando un virus realiza cambios mínimos, graduales y progresivos. No sabemos cuándo los datos son correctos o han cambiado, pues no hay pistas obvias como en el caso del DARK AVENGER5 Daños Ilimitados: Algunos programas como CHEEBA, VACSINA.44.LOGIN y GP1 entre otros, obtienen la clave del administrador del sistema y la pasan a un tercero. Cabe aclarar que estos no son virus sino troyanos. En el caso de CHEEBA, crea un nuevo usuario con los privilegios máximos, fijando el nombre del usuario y la clave. El daño es entonces realizado por la tercera persona, quien ingresará al sistema y haría lo que quisiera.
1.9 Listado de los Virus Informáticos más populares
5
DARK AVENGER
virus altamente letal
16 17/03/2013 17:27
En
este listado figuran únicamente los virus que por sus sofisticadas
características
de
programación,
nivel
de
propagación
o
efectos
destructivos han tenido una gran trascendencia a nivel mundial.
Fecha
Últimos virus nocivos reportados en el mundo NEERIS.L gusano de la web infecta unidades de disco fijas lógicas
27/05/09 removibles y diskets descraga malware. AGENT.JZD troyano/backdoor MultiSPAM y del IRC ejecuta acciones 26/05/09 y comandos arbitrarios en forma remota. SIMOUK gusano infecta todos los archivos ejecutables descarga 25/05/09 malwares deja inoperativo al sistema. KORRON.B gusano infecta archivos, unidades de disco, deshabilita 22/05/09 funciones Explorador del sistema, etc. KIDKITI troyano MultiSPAM simula ser enviado por Symantec roba 21/05/09 información la envía a web de autor. SMALL.UY troyano de websites afecta al Adobe Flash Player, 20/05/09 desinstala programas descarga malwares. XPAntivirus familia de falsos antivirus con atractivas ventanas alteran 18/05/09 el sistema infectan archivos, etc. Microsoft emite Boletin de Seguridad de emergencia para corregir 13/05/09 vulnerabilidades en MS Office Power Point XF_HELPOPY.AW macro infector de MS Office Excel propagado en 13/05/09 webs maliciosamente acondicionadas. A1a6bc2e troyano ocasiona lentitud en sistema impide acceder a 11/05/09 webs de antivirus o actualizar sus registros.
17 17/03/2013 17:27
BLOODHOUND.236 vulnerabilidad de función de Adobe Acrobat 09/05/09 Reader que permite ejecución remota. QUABOT gusano roba información sensible y envía a una web que ha 08/05/09 sido vulnerada descarga malwares. OSCARBOT.gen
gusano/backdoor
de
IRC,
P2P
y
recursos
06/05/09 compartidos infecta almacenamientos removibles. SENS gusano de Internet infecta archivos los inutiliza roba 04/05/09 información sensible descarga malwares. BLOODHOUND.PDF.12 virus ofuscados explotan vulnerabilidad de 01/05/09 archivos PDF de Acrobat Reader. SILLYFDC.BBR gusano de Internet infecta unidades de disco 30/04/09 descarga de la web una copia de sí mismo. ENSEÑAN A DESARROLLAR VIRUS LETALES EN PORTALES DE 28/04/09 INTERNET EN AGRAVIO DE LOS USUARIOS!! BLOODHOUND.PDF.11 troyanos explotan vulnerabilidad de archivos 28/04/09 PDF de Acrobat Reader. MOCON gusano de Internet infecta unidades de disco roba 27/04/09 información la envía a web controlada por el autor. REGSUBDAT troyano/backdoor MultiSPAM deshabilita DEP de 24/04/09 Windows infecta procesos y descarga malwares. NEPRODOOR.B troyano/backdoor roba información sensible y la 21/04/09 envía al atacante remoto vía chat. SALITY.AM gusano detiene servicios y procesos borra archivos 20/04/09 deshabilita antivirus descarga malwares.
18 17/03/2013 17:27
RANSOMLOCK destructivo troyano bloquea Escritorio de Windows 17/04/09 impide re-instalar el sistema operativo. NEERIS gusano de recursos compartidos Messenger explota 16/04/09 vulnerabilidad descarga Rootkit y malwares. DIZAN.F gusano de Internet HTTP infecta ejecutables evade Firewall 15/04/09 de Windows deshabilita sistema. PREAVI gusano de Internet y unidades de disco removibles infecta 14/04/09 ejecutables deshabilita Windows. ADGUNBE!INF destructivo troyano sobre-escribe el WS2_32.dll y 06/04/09 parcha importantes API's del sistema. MEBROOT.BD destructivo troyano sobre-escribe el MBR será 02/04/09 necesario formatear el disco y reinstalar Windows. XANIB gusano infecta archivos ejecutables y multimedia deshabilita 31/03/09 funciones del EXPLORER.EXE, etc. FIDAMEG gusano destructivo infecta archivos ejecutables y otros de 30/03/09 determinadas extensiones. BLOODHOUND.PDF.8 archivos PDF explotan vulnerabilidad de 25/03/09 software Foxit Reader PDF ejecución remota. TIDSERV.G gusano destructivo sofisticadas acciones afecta Windows 24/03/09 descarga archivos maliciosos, etc.
19 17/03/2013 17:27
1.10 ¿Qué no es un Virus Informáticos? Existen algunos programas que, sin llegar a ser virus, ocasionan problemas al usuario. Estos no-virus carecen de por lo menos una de las tres características identificatorias de un virus (dañino, autorreproductor y subrepticio). Veamos un ejemplo de estos no - virus: "Hace algunos años, la red de I. B. M., encargada de conectar más de 130 países, fue virtualmente paralizada por haberse saturado con un correo electrónico que contenía un mensaje de salutación navideña que, una vez leído por el destinatario, se enviaba a sí mismo a cada integrante de las listas de distribución de correo del usuario. Al cabo de un tiempo, fueron tantos los mensajes que esperaban ser leídos por sus destinatarios que el tráfico se volvió demasiado alto, lo que ocasionó la caída de la red". Asimismo, es necesario aclarar que no todo lo que altere el normal funcionamiento de una computadora es necesariamente un virus. Por ello, daré algunas de las pautas principales para diferenciar entre qué debe preocuparnos y qué no. BUGS . Los bugs6 no son virus, y los virus no son bugs. Todos usamos programas que tienen graves errores (bugs). Si se trabaja por un tiempo largo con un archivo muy extenso, eventualmente algo puede comenzar a ir mal dentro del programa, y este a negarse a grabar el archivo en el disco. Se pierde entonces todo lo hecho desde la última grabación. Esto, en muchos casos, se debe a ERRORES
del
programa.
Todos
los
programas
lo
suficientemente complejos tienen bugs. FALSA ALARMA: Algunas veces tenemos problemas con nuestro hardware o software y, luego de una serie de verificaciones, llegamos a la 6
Bugs errores de programa. 20
17/03/2013 17:27
conclusión de que se trata de un virus, pero nos encontramos con una FALSA ALARMA luego de correr nuestro programa antivirus. Desafortunadamente no hay una regla estricta por la cual guiarse, pero contestarse las siguientes preguntas puede ser de ayuda: ¿Es sólo un archivo el que reporta la falsa alarma (o quizás varios, pero copias del mismo)? ¿Solamente un producto antivirus reporta la alarma? (Otros productos dicen que el sistema está limpio). ¿Se indica una falsa alarma después de correr múltiples productos, pero no después de bootear, sin ejecutar ningún programa? Si al menos una de nuestras respuestas fue afirmativa, es muy factible que efectivamente se trate de una falsa alarma. PROGRAMAS CORRUPTOS: A veces algunos archivos son accidentalmente dañados, quizás por problemas de hardware. Esto quiere decir que no siempre que encontremos daños en archivos deberemos estar seguros de estar infectados.
2
Antivirus
resumen
2.1 Historia de los Antivirus
historia infectan
Desde la aparición de los virus
de
la
de
los
los
verdadera virus
archivos
que y
sistemas de las computadoras.
informáticos en 1984 y tal como se les concibe hoy en
Como bien lo mencionamos en
día, han surgido muchos mitos
la historia de los Virus (sección
y leyendas acerca de ellos.
anterior). En 1949, en los
Esta situación se agravó con el
laboratorios
advenimiento
Computer, subsidiaria de la
y
auge
de
Internet. A continuación, un
AT&T, 21
17/03/2013 17:27
de
3
la
Bell
jóvenes
programadores: Thomas
Robert
Morris,
Sin embargo durante muchos
Douglas
años
el
CoreWar
fue
McIlory y Victor Vysottsky, a
mantenido en el anonimato,
manera
de
entretenimiento
debido a que por aquellos años
crearon
un
juego
la computación era manejada
al
que
denominaron
por
CoreWar, inspirados
en
la
una
pequeña
élite
de
intelectuales
teoría de John Von Neumann, A pesar de muchos años de
escrita y publicada en 1939.
clandestinidad,
existen
Robert Thomas Morris fue el
reportes
padre
Tappan
Creeper, creado en 1972 por
Morris, quien en 1988 introdujo
Robert Thomas Morris, que
un
atacaba a las famosas IBM
de
virus
Robert
en
ArpaNet,
la
precursora de Internet.
acerca
del
virus
360, emitiendo periódicamente en la pantalla el mensaje: "I'm
Puesto en la práctica, los contendores ejecutaban
del
CoreWar
programas
iban
a creeper... catch me if you can!" (soy una enredadera,
que
agárrenme si pueden). Para
paulatinamente
eliminar este problema se creó
disminuyendo la memoria del
el primer programa antivirus
computador y el ganador era el que
finalmente
eliminarlos
denominado REAPER , ya que
conseguía
totalmente.
por
Este
importantes
centros
en
California
Massachussets
y
de
surgido una serie de antivirus que su único fin ha sido
el
combatir todos los virus y
Technology
códigos
Institute (MIT), entre otros.
malicioso
y
mal
intencionados que se han ido creado a través del tiempo. 2
17/03/2013 17:27
se
software antivirus y de ahí aun
investigación como el de la Xerox
época
desconocía el concepto de los
juego fue motivo de concursos en
aquella
2.2 Definición de los Antivirus Es un programa creado para prevenir o evitar la activación de los virus, así como su propagación y contagio. Cuenta además con rutinas de detención, eliminación y reconstrucción de los archivos y las áreas infectadas del sistema. Debemos tener claro que según en la vida humana hay virus que no tienen cura, esto también sucede en el mundo digital y hay que andar con mucha precaución. Un antivirus es una solución para minimizar los riesgos y nunca será una solución definitiva, lo principal es mantenerlo actualizado. Para mantener el sistema estable y seguro el antivirus debe estar siempre actualizado, tomando siempre medidas preventivas y correctivas y estar constantemente leyendo sobre los virus y nuevas tecnologías. 2.3 Características de los Antivirus El anti-virus debe actualizar los patrones o firmas, por lo menos una vez por semana, es decir, que yo como usuario final pueda mantener al día el anti-virus para detectar nuevos virus.
Debe contar con un equipo de soporte técnico con acceso a un laboratorio especializado en códigos maliciosos y un tiempo de respuesta no mayor a 48 horas, el cual me pueda orientar, en mi idioma, en caso de que yo contraiga una infección.
Debe contar con distintos métodos de escaneo y análisis de posibles códigos maliciosos, para que sea capaz de detectar virus desconocidos.
El producto debe ser modular y personalizable, no todos somos iguales, razón por la cual este se debe poder adaptar a las necesidades de diferentes usuarios. 1 17/03/2013 17:27
Debe permitir la instalación remota tanto en una red LAN como en una WAN,
Debe constar de una administración centralizada, en donde se puedan recibir reportes de virus, mandar actualizaciones y personalizar a distintos usuarios.
Estas son las características principales con las que debe contar un anti-virus para resolver los problemas que yo pueda tener, al enfrentar a esos bichos malignos que puedan perjudicar y alterar el funcionamiento adecuado de mi computadora.
Debemos estar conscientes que la creación de virus es exponencial y que estamos expuestos a un contagio en cualquier momento, a través del intercambio de información, ya sea vía discos, correo electrónico o Internet.
No obstante todo lo anterior: La preocupación fundamental de los usuarios es que el producto elegido sea verdaderamente efectivo para efectos de detección y eliminación correcta y exacta de los distintos virus que puedan amenazar a los sistemas. De nada sirve tener consolas que faciliten el trabajo al realizar instalaciones eficientes y rápidas en un entorno corporativo, si la calidad de la limpieza deja mucho que desear. Y en esto las certificaciones Checkmark y Virus Bulletin no constituyen ninguna garantía, ya que tradicionalmente sólo han servido para garantizar al usuario final que de una manera u otra dichos productos cumplen las normas que les permiten considerarlos como anti-virus. No hay nada mejor que ponerlos uno mismo a prueba y de acuerdo con nuestras prioridades establecer nuestras propias conclusiones.
2 17/03/2013 17:27
2.4 Elementos que componen los Antivirus Un antivirus tiene tres principales funciones y componentes: VACUNA es un programa que instalado residente en la memoria, actúa como "filtro" de los programas que son ejecutados, abiertos para ser leídos o copiados, en tiempo real. DETECTOR que es el programa que examina todos los archivos existentes en el disco o a los que se les indique en una determinada ruta o PATH. Tiene instrucciones de control y reconocimiento exacto de los códigos virales que permiten capturar sus pares, debidamente registrados y en forma sumamente rápida desarman su estructura. ELIMINADOR es el programa que una vez desactivada la estructura del virus procede a eliminarlo e inmediatamente después a reparar o reconstruir los archivos y áreas afectadas. Es importante aclarar que todo antivirus es un programa y que, como todo programa, sólo funcionará correctamente si es adecuado y está bien configurado. Además, un antivirus es una herramienta para el usuario y no sólo no será eficaz para el 100% de los casos, sino que nunca será una protección total ni definitiva. La función de un programa antivirus es detectar, de alguna manera, la presencia o el accionar de un virus informático en una computadora. Este es el aspecto más importante de un antivirus, independientemente de las prestaciones adicionales que pueda ofrecer, puesto que el hecho de detectar la posible presencia de un virus informático, detener el trabajo y tomar las medidas necesarias, es suficiente para acotar un buen porcentaje de los daños posibles. Adicionalmente, un antivirus puede dar la opción de erradicar un virus informático de una entidad infectada. El modelo más primario de las funciones de un programa antivirus es la detección de su presencia y, en lo posible, su identificación. La primera técnica que se Popularizó para la detección de virus informáticos, y que 3 17/03/2013 17:27
todavía se sigue utilizando (aunque cada vez con menos eficiencia), es la técnica de scanning. Esta técnica consiste en revisar el código de todos los
archivos
contenidos
en
la
unidad
de
almacenamiento
-
fundamentalmente los archivos ejecutables- en busca de pequeñas porciones de código que puedan pertenecer a un virus informático. Este procedimiento, denominado escaneo, se realiza a partir de una base de datos que contiene trozos de código representativos de cada virus conocido, agregando el empleo de determinados algoritmos que agilizan los procesos de búsqueda. La técnica de scanning fue bastante eficaz en los primeros tiempos de los virus informáticos, cuando había pocos y su producción era pequeña. Este relativamente pequeño volumen de virus informáticos permitía que los desarrolladores de antivirus escaneadores tuvieran tiempo de analizar el virus, extraer el pequeño trozo de código que lo iba a identificar y agregarlo a la base de datos del programa para lanzar una nueva versión. Sin embargo, la obsolescencia de este mecanismo de identificación como una solución antivirus completa se encontró en su mismo modelo. El primer punto grave de este sistema radica en que siempre brinda una solución a posteriori: es necesario que un virus informático alcance un grado de dispersión considerable para que sea enviado (por usuarios capacitados,
especialistas
o
distribuidores
del
producto)
a
los
desarrolladores de antivirus. Estos lo analizarán, extraerán el trozo de código que lo identificará, y lo incluirán en la próxima versión de su programa antivirus. Este proceso puede demorar meses a partir del momento en que el virus comienza a tener una dispersión considerable, lapso en el cual puede causar graves daños sin que pueda ser identificado. Además, este modelo consiste en una sucesión infinita de soluciones parciales y momentáneas (cuya sumatoria jamás constituirá una solución definitiva), que deben actualizarse periódicamente debido a la aparición de nuevos virus. 4 17/03/2013 17:27
En síntesis, la técnica de scanning es altamente ineficiente, pero se sigue utilizando debido a que permite identificar rápidamente la presencia de los virus más conocidos y, como son estos los de mayor dispersión, permite una importante gama de posibilidades. Un ejemplo típico de un antivirus de esta clase es el Viruscan de McAfee. En virtud del pronto agotamiento técnico de la técnica de scanning, los desarrolladores de programas antivirus han dotado a sus creaciones de métodos para búsquedas de virus informáticos (y de sus actividades), que no identifican específicamente al virus sino a algunas de sus características generales y comportamientos universalizados. Este tipo de método rastrea rutinas de alteración de información que no puedan ser controladas por el usuario, modificación de sectores críticos de las unidades De almacenamiento (master boot record, boot sector, FAT, entre otras), etc. Un ejemplo de este tipo de métodos es el que utiliza algoritmos heurísticos. De hecho, esta naturaleza de procedimientos busca, de manera bastante eficiente, códigos de instrucciones potencialmente pertenecientes a un virus informático. Resulta eficaz para la detección de virus conocidos y es una de las soluciones utilizadas por los antivirus para la detección de nuevos virus. El inconveniente que presenta este tipo de algoritmo radica en que puede llegar a sospecharse de muchisimas cosas que no son virus. Esto hace necesario que el usuario que lo utiliza conozca un poco acerca de la estructura del sistema operativo, a fin de poseer herramientas que le faciliten una discriminación de cualquier falsa alarma generada por un método heurístico. Algunos de los antivirus de esta clase son: F-Prot, Norton Anti Virus y Dr. Solomon's Toolkit. Ahora bien, otra forma de detectar la presencia de un virus informático en un sistema consiste en monitorear las actividades de la 5 17/03/2013 17:27
PC señalando si algún proceso intenta modificar los sectores críticos de los dispositivos de almacenamiento o los archivos ejecutables. Los programas que realizan esta tarea se denominan chequeadores de integridad. Sobre la base de estas consideraciones, podemos consignar que un buen sistema antivirus debe estar compuesto por un programa detector de virus, que siempre esté residente en memoria y un programa que verifique la integridad de los sectores críticos del disco rígido y sus archivos ejecutables. Existen productos antivirus que cubren los dos aspectos, o bien pueden combinarse productos diferentes configurados de forma que no se produzcan conflictos entre ellos.
2.5 Tipos de Antivirus Un antivirus es una aplicación o grupo de aplicaciones dedicadas a la prevención, búsqueda, detección y eliminación de programas malignos en los sistemas informáticos, como las computadoras. Inicialmente los antivirus se encargaban de eliminar los diferentes tipos de virus, sin mayores complicaciones en el vocabulario. A medida que fueron creándose más y más tipos de virus, cambiando las técnicas de difusión/ataque/ocultación, comenzaron a salir “antivirus especializados” en determinados tipos de virus o en determinados medios de difusión, diversificando el vocabulario. Actualmente la mejor forma de clasificar a todos los códigos malignos es con el nombre de malware o programas malignos, término que incluye virus, espías, troyanos, gusanos, dialers, etc.
También la mejor forma de llamar genéricamente a los antivirus, antiespías, antiintrusos, cortafuegos, etc. es: herramientas, aplicaciones o sistemas de seguridad informática.
Tipos o clases de antivirus 6 17/03/2013 17:27
Por lo tanto, ¿qué tipo de herramientas de seguridad informática existen?: sencillamente, todas las aplicaciones "anti", como ser: Antivirus Cortafuegos Antiespías Antipop-ups Antispam
2.6 Modelo de Antivirus La estructura de un programa antivirus, está compuesta por dos módulos principales: el primero denominado de control y el segundo denominado de respuesta. A su vez, cada uno de ellos se divide en varias partes:
Módulo de control: Posee la técnica verificación de integridad que posibilita el registro de cambios en los archivos ejecutables y las zonas críticas de un disco rígido. Se trata, en definitiva, de una herramienta preventiva para mantener y controlar los componentes de información de un disco rígido que no son modificados a menos que el usuario lo requiera. Otra opción dentro de este módulo es la identificación de virus, que incluye diversas técnicas para la detección de virus informáticos.
Las formas más comunes de detección son el scanning y los algoritmos, como por ejemplo, los heurísticos. Asimismo, la identificación de código dañino es otra de las herramientas de detección que, en este caso, busca instrucciones peligrosas incluidas en programas, para la integridad de la información del disco rígido. Esto implica descompilar (o desensamblar) en forma automática los archivos almacenados y ubicar sentencias o grupos de instrucciones peligrosas.
Finalmente, el módulo de control también posee una administración de recursos para efectuar un monitoreo de las rutinas a través de las cuales se 7 17/03/2013 17:27
accede al hardware de la computadora (acceso a disco, etc.). De esta manera puede limitarse la acción de un programa restringiéndole el uso de estos recursos, como por ejemplo impedir el acceso a la escritura de zonas críticas del disco o evitar que se ejecuten funciones de formato del mismo.
Módulo de respuesta: La función alarma se encuentra incluida en todos los programas antivirus y consiste en detener la acción del sistema ante la sospecha de la presencia de un virus informático, e informar la situación a través de un aviso en pantalla. Algunos programas antivirus ofrecen, una vez detectado un virus informático, la posibilidad de erradicarlo. Por consiguiente, la función reparar se utiliza como una solución momentánea para mantener la operatividad del sistema hasta que pueda instrumentarse una solución adecuada.
Por otra parte, existen dos técnicas para evitar el contagio de entidades ejecutables: evitar que se contagie todo el programa o prevenir que la infección se expanda más allá de un ámbito fijo. Aunque la primera opción es la más adecuada, plantea grandes problemas de implementación.
La A.V.P.D.
7
es una asociación formada por las principales empresas
informáticas del sector, entre las que se cuentan: Cheyenne Software B. M. Intel McAfee Associates ON Technology Stiller Research Inc S&S International Symantec Corp. ThunderByte
7
A.V.P.D.
Desarrolladores de Productos Antivirus
8 17/03/2013 17:27
2.7 ¿Cómo funcionan los Antivirus? El antivirus normalmente escanea cada archivo en la computadora y lo compara con las tablas de virus que guarda en disco. Esto significa que la mayoría de los virus son eliminados del sistema después que atacan a éste. Por esto el antivirus siempre debe estar actualizado, es recomendable que se actualice una vez por semana para que sea capaz de combatir los virus que son creados cada día. También, los antivirus utilizan la técnica heurística que permite detectar virus que aun no están en la base de datos del antivirus. Es sumamente útil para las infecciones que todavía no han sido actualizadas en las tablas porque trata de localizar los virus de acuerdo a ciertos comportamientos ya preestablecidos. El aspecto más importante de un antivirus es detectar virus en la computadora y tratar de alguna manera de sacarlo y eliminarlo de nuestro sistema. Los antivirus, no del todo facilitan las cosas, porque ellos al estar todo el tiempo activos y tratando de encontrar un virus, al instante esto hace que consuman memoria de la computadora y tal vez la vuelvan un poco lentas o de menos desempeño. Las funciones presentes en un antivirus son: a) Detección: se debe poder afirmar la presencia y/o accionar de un VI en una
computadora.
Adicionalmente
puede
brindar
módulos
de
identificación, erradicación del virus o eliminación de la entidad infectada. b) Identificación de un virus: existen diversas técnicas para realizar esta acción: Scanning : técnica que consiste en revisar el código de los archivos (fundamentalmente archivos ejecutables y de documentos) en busca de pequeñas porciones de código que puedan pertenecer a un virus 9 17/03/2013 17:27
(sus huellas digitales). Estas porciones están almacenadas en una base de datos del antivirus. Su principal ventaja reside en la rápida y exacta que resulta la identificación del virus. En los primeros tiempos (cuando los virus no eran tantos ni su dispersión era tan rápida), esta técnica fue eficaz, luego se comenzaron a notar sus deficiencias. El primer punto desfavorable es que brinda una solución a posteriori y es necesario que el virus alcance un grado de dispersión considerable para que llegue a mano de los investigadores y estos lo incorporen a su base de datos (este proceso puede demorar desde uno a tres meses). Este modelo reactivo jamás constituirá una solución definitiva. Heurística
:
búsqueda
de
acciones
potencialmente
dañinas
perteneciente a un virus informático. Esta técnica no identifica de manera certera el virus, sino que rastrea rutinas de alteración de información y zonas generalmente no controlada por el usuario (MBR, Boot Sector, FAT, y otras). Su principal ventaja reside en que es capaz de detectar virus que no han sido agregados a las base de datos de los antivirus (técnica proactiva). Su desventaja radica en que puede "sospechar" de demasiadas cosas y el usuario debe ser medianamente capaz de identificar falsas alarmas. c)
Chequeadores de Integridad :
Consiste en monitorear las actividades de la PC señalando si algún proceso intenta modificar sectores críticos de la misma. Su ventaja reside en la prevención aunque muchas veces pueden ser vulnerados por los virus y ser desactivados por ellos, haciendo que el usuario se crea protegido, no siendo así. Es importante diferencia los términos detectar: determinación de la presencia de un virus e identificar: determinación de qué virus fue el 10 17/03/2013 17:27
detectado. Lo importante es la detección del virus y luego, si es posible, su identificación y erradicación. 2.8 Técnicas de detección de Virus Informáticos? Teniendo en cuenta los puntos débiles de la técnica de scanning surgió la necesidad de incorporar otros métodos que complementaran al primero. Como ya se mencionó la detección consiste en reconocer el accionar de un virus por los conocimientos sobre el comportamiento que se tiene sobre ellos, sin importar demasiado su identificación exacta. Este otro método buscará código que intente modificar la información de áreas sensibles del sistema sobre las cuales el usuario convencional no tiene control –y a veces ni siquiera tiene conocimiento-, como el master boot record, el boot sector, la FAT, entre las más conocidas.Otra forma de detección que podemos mencionar adopta, más bien, una posición de vigilancia constante y pasiva. Esta, monitorea cada una de las actividades que se realizan intentando determinar cuándo una de éstas intenta modificar sectores críticos de las unidades de almacenamiento, entre otros. A esta técnica se la conoce como chequear la integridad. ANÁLISIS HEURÍSTICO La técnica de detección más común es la de análisis heurístico. Consiste en buscar en el código de cada uno de los archivos cualquier instrucción que sea potencialmente dañina, acción típica de los virus informáticos. Es una solución interesante tanto para virus conocidos como para los que no los son. El inconveniente es que muchas veces se nos presentarán falsas alarmas, cosas que el scanner heurístico considera peligrosas y que en realidad no lo son tanto. Por ejemplo: tal vez el programa revise el código del comando DEL (usado para borrar archivos) de MS-DOS y determine que puede ser un virus, cosa que en la realidad resulta bastante improbable. Este tipo de cosas hace que el usuario deba tener algunos 11 17/03/2013 17:27
conocimientos precisos sobre su sistema, con el fin de poder distinguir entre una falsa alarma y una detección real. ELIMINACIÓN La eliminación de un virus implica extraer el código del archivo infectado y reparar de la mejor manera el daño causado en este. A pesar de que los programas antivirus pueden detectar miles de virus, no siempre pueden erradicar la misma cantidad, por lo general pueden quitar los virus conocidos y más difundidos de los cuales pudo realizarse un análisis profundo de su código y de su comportamiento. Resulta lógico entonces que muchos antivirus tengan problemas en la detección y erradicación de virus de comportamiento complejo, como el caso de los polimorfos, que utilizan métodos de encriptación para mantenerse indetectables. En muchos casos el procedimiento de eliminación puede resultar peligroso para la integridad de los archivos infectados, ya que si el virus no está debidamente identificado las técnicas de erradicación no serán las adecuadas para el tipo de virus. Hoy día los antivirus más populares están muy avanzados pero cabe la posibilidad de que este tipo de errores se de en programas más viejos. Para muchos el procedimiento correcto sería eliminar completamente el archivo y restaurarlo de la copia de respaldo. Si en vez de archivos la infección se realizó en algún sector crítico de la unidad de disco rígido la solución es simple,
aunque
no
menos
riesgosa.
Hay
muchas
personas
que
recomiendan reparticionar la unidad y reformatearla para asegurarse de la desaparición total del virus, cosa que resultaría poco operativa y fatal para la información del sistema. Como alternativa a esto existe para el sistema operativo MS-DOS / Windows una opción no documentada del comando FDISK que resuelve todo en cuestión de segundos. El parámetro /MBR se encarga de restaurar el registro maestro de booteo (lugar donde suelen situarse los virus) impidiendo así que este vuelva a cargarse en el inicio del 12 17/03/2013 17:27
sistema. Vale aclarar que cualquier dato que haya en ese sector será sobrescrito y puede afectar mucho a sistemas que tengan la opción de bootear con diferentes sistemas operativos. Muchos de estos programas que permiten hacer la elección del sistema operativo se sitúan en esta área y por consiguiente su código será eliminado cuando se usa el parámetro mencionado. Para el caso de la eliminación de un virus es muy importante que el antivirus cuente con soporte técnico local, que sus definiciones sean actualizadas periódicamente y que el servicio técnico sea apto para poder responder a cualquier contingencia que nos surja en el camino. 2.9 Métodos de seguridad para evitar contagios Preparación y prevención Los usuarios pueden prepararse frente a una infección viral creando regularmente copias de seguridad del software original legítimo y de los ficheros de datos, para poder recuperar el sistema informático en caso necesario. Puede copiarse en un disco flexible el software del sistema operativo y proteger el disco contra escritura, para que ningún virus pueda sobrescribir el disco. Las infecciones virales se pueden prevenir obteniendo los programas de fuentes legítimas, empleando una computadora en cuarentena para probar los nuevos programas y protegiendo contra escritura los discos flexibles siempre que sea posible. Copias de seguridad
Realice copias de seguridad de sus datos. Éstas pueden realizarlas en el soporte que desee, disquetes, unidades de cinta, etc. Mantenga esas copias en un lugar diferente del ordenador y protegido de campos magnéticos, calor, polvo y personas no autorizadas. 13 17/03/2013 17:27
Copias de programas originales
No instale los programas desde los disquetes originales. Haga copia de los discos y utilícelos para realizar las instalaciones. No acepte copias de origen dudoso Evite utilizar copias de origen dudoso, la mayoría de las infecciones provocadas por virus se deben a discos de origen desconocido. Utilice contraseñas Ponga una clave de acceso a su computadora para que sólo usted pueda acceder a ella.
Antivirus
Tenga siempre instalado un antivirus en su computadora, como medida general analice todos los discos que desee instalar. Si detecta algún virus elimine la instalación lo antes posible. Actualice periódicamente su antivirus Un antivirus que no esté actualizado puede ser completamente inútil. Todos los antivirus existentes en el mercado permanecen residentes en la computadora para controlar todas las operaciones de ejecución y transferencia de ficheros analizando cada fichero para determinar si tiene virus, mientras el usuario realiza otras tareas.
14 17/03/2013 17:27
2.10 Lista de Antivirus más populares 2.10.1 Antivirus de escritorio NOMBRE
DESCRIPCION
Plataformas
Grisoft ofrece AVG Antivirus Windows Free
edición
un
antivirus 98/2000/NT/XP/Vista.
completo para PC de escritorio, con las funciones habituales de protección
residente,
exploración electrónico
de y
correo
actualización
periódica de los patrones de virus. Es gratuito sólo para usuarios domésticos. La
empresa
GmbH
alemana
ofrece
Avira Windows
Avira
Antivir 98/2000/NT/XP/Vista.
Personal Edition, un antivirus de escritorio gratuito para fines personales.
Incluye
escudo
residente, detección de virus de macro
y
asistente
de
actualización.
Disponible
en
Inglés
en
y
15 17/03/2013 17:27
Alemán.
Clam AntiVirus es un escáner Linux,
Solaris,
anti-virus escrito desde cero. FreeBSD, OpenBSD, Se distribuye con licencia GNU NetBSD, AIX, Mac GPL2 (gratuito, código abierto). OS X, y en Windows Está escrito en C y cumple con (98/2000/NT/XP) con la norma POSIX. Funciona en Cygwin B20 múltiples Intel,
arquitecturas
Alpha,
Sparc,
como Cobalt
MIPS boxes, PowerPC, RISC 6000. En Linux se puede correr como
un
demonio,
proporcionando
protección
permante. Instalación
algo
compleja.
BitDefender Free Edition v8, Windows antivirus para ordenadores con 98/2000/NT/XP. S.O. Windows con todas las funciones habituales excepto el servicio
de
protección
residente. Esto implica que el usuario
debe
explorar
manualmente cualquier archivo sospechoso (basta con hacer clic derecho con el ratón sobre el archivo y seleccionar la opción de exploración con el antivirus).
16 17/03/2013 17:27
Alwil Software ofrece la versión Windows doméstica
de
su
antivirus, 98/2000/NT/XP/Vista
Avast Home, gratuito para uso doméstico sin ánimo de lucro. Está disponible en español, aunque en la versión analizada aquí, la ayuda en línea estaba en
inglés.
protección
Dispone residente,
de y
su
característica más relevante es que
el
filtrado
electrónico
es
de
correo
independiente
del cliente de correo, ya que implementa
un
servidor
de
correo SMTP, donde realiza la exploración
el
Simplemente
correo.
hay
que
configurar cliente de correo para que use como servidor de correo entrante y saliente el del antivirus.
Como
dispone
de
curiosidad, un
interfaz
personalizable mediante pieles (skins).
2.10.2 Antivirus en línea
17 17/03/2013 17:27
Estos antivirus no se instalan en el PC como un programa convencional, sino que se accede mediante un navegador web. El tiempo de escaneo varía en función de la velocidad de su conexión, la carga momentánea de los servidores o el volumen de datos que usted quiera rastrear. La mayoría de estos servicios descargan un subprograma (ActiveX o Java), por lo que la primera vez que se accede tardan unos minutos en arrancar. Descarga un control ActiveX y realiza el escaneo, desinfección y eliminación de virus, gusanos y troyanos por todas
las
unidades
del
sistema,
incluyendo los ficheros comprimidos y el correo electrónico y realiza la detección
de
software
actualizado
espía.
Es
diariamente.
Utiliza un applet de Java, lo que permite que sea soportado por todos los
navegadores.
Presenta
una
estructura de árbol de directorios con las
unidades
del
sistema,
para
escoger aquellas de las que se desea realizar el escaneo de virus. La página de descarga de Internet está en inglés, pero el producto está en castellano y tiene incorporada una herramienta de chequeo de puertos.
18 17/03/2013 17:27
Tras aceptar la descarga de un control ActiveX, comienza el escaneo de la parte del sistema elegida: unidad de disco duro, directorio "Mis documentos" o ficheros de Windows. Al finalizar el proceso, se muestra un listado con los ficheros infectados y el virus
que
los
afecta.
Tras la descarga de un subprograma ActiveX, se puede seleccionar las opciones de configuración del análisis del sistema, permite escanear la memoria de su sistema, todos los archivos, carpetas, discos y sectores de arranque, ofreciéndole no sólo la opción de detectar infecciones, sino también de desinfectar o, incluso, eliminar
19 17/03/2013 17:27
los
archivos
infectados.
Tras la instalación de unos ficheros, nos ofrece la posibilidad de realizar tres chequeos diferentes del sistema. Escaneo total de la máquina, escaneo rápido
(solamente
examina
los
ficheros que son objetivo frecuente de virus: sector de arranque, directorio raíz,...) o escaneo de los directorios y ficheros que se le sean especificados.
Descarga un subprograma ActiveX y realiza el escaneo de todas las unidades del sistema sin dar opción a elegir un subconjunto. La búsqueda no se realiza en ficheros comprimidos.
Descarga un subprograma ActiveX y realiza el escaneo de todo el equipo sin
ofrecer
la
posibilidad
de
seleccionar un subconjunto o unos ficheros concretos. Permite eliminar los archivos que haya detectado como maliciosos.
3
Firewall 20
17/03/2013 17:27
3.1 Historia de los firewall El concepto de firewall proviene de la mecánica automotriz, donde se lo considera una lámina protectora / separadora entre el habitáculo de un vehículo y las partes combustibles del motor, que protege a sus pasajeros en caso de incendio. Análogamente, un firewall, en un sentido más informático, es un sistema capaz de separar el habitáculo de nuestra red, o sea, el área interna de la misma, del posible incendio de crackers que se produciría en ese gran motor que es internet. La cronología de la protección se desarrollo de la siguiente manera: Fines de los 80: routers que separan redes Principios de los 90: ACLs Bastion Hosts 13 de Junio de 1991: primer “venta” 1993: FWTK Stateful Inspection 1994: Interfaces amigables
3.2 Definición de los Firewall Un firewall es software o hardware que comprueba la información procedente de Internet o de una red y, a continuación, bloquea o permite el paso de ésta al equipo, en función de la configuración del firewall.
Un firewall es un dispositivo (software o hardware), es decir, un aparatito que se conecta entre la red y el cable de la conexión a Internet, o bien un programa que se instala en la máquina que tiene el MODEM que conecta con Internet. Incluso podemos encontrar ordenadores computadores muy potentes y con software; específicos que lo único que hacen es monitorizar las comunicaciones entre redes.
21 17/03/2013 17:27
Un firewall puede ayudar a impedir que piratas informáticos o software malintencionado (como gusanos) obtengan acceso al equipo a través de una red o Internet. Un firewall también puede ayudar a impedir que el equipo envíe software malintencionado a otros equipos. Un sistema de firewall también llamado: “Corta Fuego” filtra paquetes de datos que se intercambian a través de Internet. Por lo tanto, se trata de una pasarela de filtrado que comprende al menos las siguientes interfaces de red:
Una interfaz para la red protegida (red interna)
Una interfaz para la red externa.
Dependiendo del firewall que tengamos también podremos permitir algunos accesos a la red local desde Internet si el usuario se ha autentificado como usuario de la red local.
Un sistema de firewall puede instalarse en ordenadores que utilicen cualquier sistema siempre y cuando:
La máquina tenga capacidad suficiente como para procesar el tráfico
El sistema sea seguro
No se ejecute ningún otro servicio más que el servicio de filtrado de
paquetes en el servidor 22 17/03/2013 17:27
3.3 Tipos de Firewall Filtrado de Paquetes Proxy-Gateways de Aplicaciones Dual-Homed Host Screened Host Screened Subnet Inspección de Paquetes Este tipo de Firewalls se basa en el principio de que cada paquete que circula por la red es inspeccionado, así como también su procedencia y destino. Se aplican desde la capa de Red hasta la de Aplicaciones. Generalmente son instalados cuando se requiere seguridad sensible al contexto y en aplicaciones muy complejas. Firewalls Personales Estos Firewalls son aplicaciones disponibles para usuarios finales que desean conectarse a una red externa insegura y mantener su computadora a salvo de ataques que puedan ocasionarle desde un simple "cuelgue" o infección de virus hasta la pérdida de toda su información almacenada.
3.4 Funciones de los Firewall Un firewall sirve para impedir el acceso no autorizado a Internet (u otra red) por parte de programas malignos que están instalados en nuestro equipo, o de programas o intrusos que intentan atacar nuestra computadora desde el exterior.
23 17/03/2013 17:27
En esta parte es cuando los usuarios de PC hogareñas dicen, "Pero a mí, ¿qué me pueden sacar?", "yo no tengo nada importante en mi equipo", y aquí es cuando se comete el primer error, ya que no siempre los curiosos están buscando obtener información de otros equipos, sino simplemente experimentar, o en algunos casos, causar daños por el simple hecho de que conocen como hacerlo. Los firewalls deben primero que nada crear una base de datos sobre los programas que necesitarán el acceso a Internet en nuestra computadora. Estos serían los programas “seguros” o “permitidos”. Por eso es importante que el equipo se encuentre libre de todo tipo de virus, Spyware u otros malwares. La mejor forma de garantizar esto último, es que el equipo esté recién formateado. Si bien no todos están dispuestos a realizar este trabajo (por resultar un poco tedioso), resulta muy útil para poder generar una base de datos limpia para nuestro firewall. Una vez formateado nuestro equipo, comenzaremos a instalar todos los programas que necesitemos, el antivirus que nosotros creamos más conveniente y por último el firewall. Si instalamos un firewall cuando ya existen programas malignos en el sistema, hay que tener en cuenta que estos podrían alterar el firewall (e incluso no permitir instalarlo), para evitar así ser detectados. Es por esto que siempre es conveniente tener un antivirus y un firewall luego de una instalación limpia (de cero) de Windows. En general, a medida que los distintos programas comiencen a querer "conectarse" a Internet, el firewall nos irá alertando, y así empezaremos a crear los distintos permisos para cada uno de estos. Si es un programa sospechoso, no debería permitirle conectarse.
Así que sólo nos bastará con aceptar o cancelar, para que el firewall interprete que queremos qué suceda con el programa. Muchas veces este proceso se hace de forma automática (depende del firewall), de todas maneras, siempre podremos acceder de forma "manual" a la base de datos y seleccionar qué programas permitir. 24 17/03/2013 17:27
3.4.1 Los ataques externos Los firewalls también nos informan sobre los "ataques" que recibimos desde afuera. Estos programas suelen monitorear también la entrada de datos desde Internet (u otra red), pudiendo detectar posibles intentos de ingresos no autorizados o ataques externos. También suelen crear registros o "logs", guardando toda la información importante sobre los ataques y su procedencia (la dirección IP por ejemplo).
Claro, ahora uno se pregunta, "¿Y de qué me sirve a mí tener el número IP?" Con una dirección IP, en general, podremos saber quién es el equipo atacante y su ubicación. Si los daños que generan esos ataques te perjudican de alguna manera, podrías iniciar acciones legales. En todos los países hay leyes que sancionan la violación de la privacidad, el robo de información personal, etc. Dependiendo del firewall que estemos utilizando, también podremos aprobar algunos accesos a la red local desde Internet, si el usuario se ha validado como usuario de la red local. ESQUEMA DEL FUNCIONAMIENTO DE UN FIREWALL POR HARDWARE Y POR
SOFTWARE
25 17/03/2013 17:27
Un sistema firewall contiene un conjunto de reglas predeterminadas que le permiten al sistema:
Autorizar la conexión (permitir)
Bloquear la conexión (denegar)
Rechazar el pedido de conexión sin informar al que lo envió (negar)
Todas estas reglas implementan un método de filtrado que depende de la política de seguridad adoptada por la organización. Las políticas de seguridad se dividen generalmente en dos tipos que permiten: La autorización de sólo aquellas comunicaciones que se autorizaron explícitamente: "Todo lo que no se ha autorizado explícitamente está prohibido" El rechazo de intercambios que fueron prohibidos explícitamente El primer método es sin duda el más seguro. Sin embargo, impone una definición precisa y restrictiva de las necesidades de comunicación. En caso de que el sistema de firewall venga en una caja negra (llave en mano), se aplica el término "aparato".
En la siguiente ilustración se muestra el funcionamiento de un firewall:
26 17/03/2013 17:27
3.5 Políticas de diseño de los Firewall Tan discutidamente escuchada, un firewall de Internet no esta solo - es parte de la política de seguridad total en una organización -, la cual define todos los aspectos en competentes al perímetro de defensa. Para que esta sea exitosa, la organización debe de conocer que es lo se esta protegiendo. La política de seguridad se basara en una conducción cuidadosa analizando la seguridad, la asesoría en caso riesgo, y la situación del negocio.
Si no se posee con la información detallada de la política a seguir, aun que sea un firewall cuidadosamente desarrollado y armado, estará exponiendo la red privada a un posible atentado. La Política De Seguridad Crea Un Perímetro De Defensa Esto es importante, ya que se debe de notar que un firewall de Internet no es justamente un ruteador, un servidor de defensa, o una combinación de elementos que proveen seguridad para la red.
El firewall es parte de una política de seguridad completa que crea un perímetro de defensa diseñada para proteger las fuentes de información. Esta política de seguridad podrá incluir publicaciones con las guías de ayuda donde se informe a los usuarios de sus responsabilidades, normas de acceso a la red, política de servicios en la red, política de autenticidad en acceso remoto o local a usuarios propios de la red, normas de dial-in y dial27 17/03/2013 17:27
out, reglas de encriptación de datos y discos, normas de protección de virus, y entrenamiento. Todos los puntos potenciales de ataque en la red podrán ser protegidos con el mismo nivel de seguridad. Un firewall de Internet sin una política de seguridad comprensiva es como poner una puerta de acero en una tienda. Bases para el diseño decisivo del firewall Cuando se diseña un firewall de Internet, se tiene que tomar algunas decisiones que pueden ser asignadas por el administrador de red:
Posturas sobre la política del Firewall.
La política interna propia de la organización para la seguridad total.
El costo financiero del Proyecto "Firewall".
Los componentes o la construcción de secciones del Firewall.
3.6 Políticas internas de Seguridad Las posturas del sistema firewall describen la filosofía fundamental de la seguridad en la organización. Estas son dos posturas diametralmente opuestas que la política de un firewall de Internet puede tomar:
a) "No todo lo específicamente permitido esta prohibido" llamada: Política restrictiva, es decir, Se deniega todo el tráfico excepto el que está explícitamente permitido. El cortafuegos obstruye todo el tráfico y hay que habilitar expresamente el tráfico de los servicios que se necesiten.
b) "Ni todo lo específicamente prohibido esta permitido" llamada: Política permisiva: ya que se permite todo el tráfico excepto el que esté explícitamente
denegado.
Cada
servicio
potencialmente
peligroso
necesitará ser aislado básicamente caso por caso, mientras que el resto del tráfico no será filtrado. La política restrictiva es la más segura, ya que es más difícil permitir por error tráfico potencialmente peligroso, mientras que en la política permisiva es 28 17/03/2013 17:27
posible que no se haya contemplado algún caso de tráfico peligroso y sea permitido por defecto.
La primera postura asume que un firewall puede obstruir todo el trafico y cada uno de los servicios o aplicaciones deseadas necesariamente para ser implementadas básicamente caso por caso.
Esta propuesta es recomendada únicamente a un limitado numero de servicios soportados cuidadosamente seleccionados en un servidor. La desventaja es que el punto de vista de "seguridad" es más importante que - facilitar el uso - de los servicios y estas limitantes numeran las opciones disponibles para los usuarios de la comunidad. Esta propuesta se basa en una filosofía conservadora donde se desconocen las causas acerca de los que tienen la habilidad para conocerlas.
La segunda postura asume que el firewall puede desplazar todo el tráfico y que cada servicio potencialmente peligroso necesitara ser aislado básicamente caso por caso. Esta propuesta crea ambientes más flexibles al disponer más servicios para los usuarios de la comunidad. La desventaja de esta postura se basa en la importancia de "facilitar el uso" que la propia - seguridad - del sistema. También además, el administrador de la red esta en su lugar de incrementar la seguridad en el sistema conforme crece la red. Desigual a la primer propuesta, esta postura esta basada en la generalidad de conocer las causas acerca de los que no tienen la habilidad para conocerlas
3.7 Firewalls Personales El término firewall personal se utiliza para los casos en que el área protegida se limita al ordenador en el que el firewall está instalado. Un firewall personal permite controlar el acceso a la red de aplicaciones instaladas en el ordenador y prevenir notablemente los ataques de 29 17/03/2013 17:27
programas como los troyanos, es decir, programas dañinos que penetran en el sistema para permitir que un hacker controle el ordenador en forma remota. Los firewalls personales permiten subsanar y prevenir intrusiones de aplicaciones no autorizadas a conectarse a su ordenador. Existen tres tipos de firewalls: a)
Firewalls de software: Tienen un costo pequeño y son una buena elección cuando sólo se utiliza una PC. Su instalación y actualización es sencilla, pues se trata de una aplicación de seguridad, como lo sería un antivirus; de hecho, muchos antivirus e incluso el propio Windows poseen firewalls para utilizar.
b)
Enrutadores de hardware: Su principal función es la de disfrazar la dirección y puertos de la PC a los intrusos. Suelen tener cuatro puertos de red para conexión mediante cableado.
c)
Firewalls de hardware: Son más caros y complejos de manejar en el mantenimiento y actualización. Los firewalls de hardware son más indicados en empresas y grandes corporaciones que tienen múltiples computadoras conectadas. También suelen utilizarse en aquellas empresas que prestan servicios de hosting y necesitan seguridad en los servidores. 3.8 Beneficios de los firewalls Los firewalls en Internet administran los accesos posibles del Internet a la red privada. Sin un firewall, cada uno de los servidores propios del sistema se exponen al ataque de otros servidores en el Internet. Esto significa que la seguridad en la red privada depende de la "Dureza" con que cada uno de los servidores cuenta y es únicamente seguro tanto como la seguridad en la fragilidad posible del sistema. El firewall permite al administrador de la red definir un "choke point" (envudo), manteniendo al margen los usuarios no-autorizados (tal, como., hackers, crakers, vándalos, y espías) fuera de la red, prohibiendo 30
17/03/2013 17:27
potencialmente la entrada o salida al vulnerar los servicios de la red, y proporcionar la protección para varios tipos de ataques posibles. Uno de los beneficios clave de un firewall en Internet es que ayuda a simplificar los trabajos de administración, una vez que se consolida la seguridad en el sistema firewall, es mejor que distribuirla en cada uno de los servidores que integran nuestra red privada.
El firewall ofrece un punto donde la seguridad puede ser monitoreada y si aparece alguna actividad sospechosa, este generara una alarma ante la posibilidad de que ocurra un ataque, o suceda algún problema en el transito de los datos. Esto se podrá notar al acceder la organización al Internet, la pregunta general es "si" pero "cuando" ocurrirá el ataque. Esto es extremadamente importante para que el administrador audite y lleve una bitácora del tráfico significativo a través del firewall. También, si el administrador de la red toma el tiempo para responder una alarma y examina regularmente los registros de base. Esto es innecesario para el firewall, desde que el administrador de red desconoce si ha sido exitosamente atacado! Además concentra la seguridad Centraliza los accesos, genera alarmas de seguridad Traduce direcciones (NAT), monitorea y registra el uso de Servicios de WWW y FTP.
31 17/03/2013 17:27
3.9 Limitaciones de un Firewalls Un firewall no puede protegerse contra aquellos ataques que se efectúen fuera de su punto de operación.
Por ejemplo, si existe una conexión dial-out sin restricciones que permita entrar a nuestra red protegida, el usuario puede hacer una conexión SLIP o PPP al Internet. Los usuarios con sentido común suelen "irritarse" cuando se requiere una autenticación adicional requerida por un Firewall Proxy Server (FPS) lo cual se puede ser provocado por un sistema de seguridad circunvecino que esta incluido en una conexión directa SLIP o PPP del ISP.
Este tipo de conexiones derivan la seguridad provista por firewall construido cuidadosamente, creando una puerta de ataque. Los usuarios pueden estar consientes de que este tipo de conexiones no son permitidas como parte de integral de la arquitectura de la seguridad en la organización. Ineficiente: El firewall se convierte en un cuello de botella de toda la estructura y debe poseer por lo tanto una eficiencia en la manipulación de los streams de paquetes que sea igual o superior a la del enrutador que maneja tal enlace. Normalmente la experiencia y conocimiento de los fabricantes de firewalls no se acerca siquiera a la tradición y conocimiento de los fabricantes tradicionales de enrutadores, por ello rara vez pueden cumplir el requisito anterior y lo que se consigue en la práctica es un cuello de botella, así como enrutadores sub utilizados debido a la situación anterior. Este factor también nos conduce a que los costos para maquina de firewall que cumplan tales requisitos sean bastante altos ya que su volumen de producción (numero de unidades vendidas) no se acerque a la producción típica de los enrutadores correspondientes para ese nivel de procesamiento de paquetes por segundo. 32 17/03/2013 17:27
No tan seguro: Los firewall son típicamente implementados en un sistema UNIX lo que los hace bastante vulnerables para los ataques de seguridad, ya que de tal sistema existe mayor conocimiento del público en general, y son bastante publicadas las posibles brechas de seguridad en ese sistema operativo, por ello es el blanco típico de ataque para los programas especializados de scanning de los hackers (estudian "pacientemente" múltiples opciones del sistema, hasta encontrar un punto de acceso o modificación).estos programas son en un 99% desarrollados para sistemas UNIX. Si mi seguridad esta sustentada en una maquina cuyo núcleo está apoyada en el sistema UNIX (el cual es precisamente el más conocido por los enemigos de mi seguridad), entonces mi sistema no es realmente tan seguro. Muchas veces no son transparentes a la operación del usuario: Debido a su diseño, algunos de estos modelos no son tan transparentes a la operación del sistema, complican la administración del sistema de comunicación (usualmente tienen interfaces de manejo propietarias). Algunos modelos basados en "proxies" pueden ser muy seguros, pero algunos de ellos requieren versiones modificadas de los aplicativos, llevando los a ser poco deseables para montajes masivos. Son inapropiados para montajes mixtos: Por su misma concepción el montaje solicitado por las compañías cuenta con dos niveles de VPNs (la intranet corporativa y luego las intranet de cada empresa), los cuales deben ser interrrelacionados de manera armoniosa para flujo de información y control de acceso. Este tipo de montaje seria bastante costoso, dificil de implementar y de administrar con dos niveles de firewalls.
33 17/03/2013 17:27
3.10 Ejemplos de Firewalls ZoneAlarm: Permite bloquear tráfico no deseado y restringuir el acceso no deseado de aplicaciones a Internet. Diferencia entre zona local y zona Internet a la hora de establecer restricciones de accesos. Por defecto, bloquea el acceso externo a todos los servicios del sistema (y a todos los puertos, por lo tanto) permitiendo solamente el acceso a aquellos explícitamente indicados. Outpost Firewall Free: Proporciona protección básica frente para navegar por Internet. Soporta plug-ins de modo que su funcionalidad puede ampliarse. Ofrece muchas posibilidades con sus plug-ins, pero se echa en falta el que se puedan crear reglas sobre direcciones IP exclusivamente, para definir máquinas de confianza. 4
Adware 4.1 Definición de los Adware Adware es una palabra inglesa que nace de la contracción de las palabras Advertising Software, es decir, programas que muestran anuncios. Se denomina adware al software que muestra publicidad, empleando cualquier tipo de medio: ventanas emergentes, banners, cambios en la página de inicio o de búsqueda del navegador, etc. La publicidad está asociada a productos y/o servicios ofrecidos por los propios creadores o por terceros. El adware puede ser instalado con el consentimiento del usuario y su plena conciencia, pero en ocasiones no es así. Lo mismo ocurre con el conocimiento o falta del mismo acerca de sus funciones.
34 17/03/2013 17:27
Es todo aquel software que incluye publicidad, como banners, mientras se está ejecutando. Normalmente se confunde este término con el de Spyware; la diferencia es que el Adware no recolecta información del equipo donde está instalado, sino que se limita a mostrar publicidad mientras que el usuario está utilizando una aplicación.
Como siempre, y en todos los casos, hay que tener cuidado de toda la información y archivos que bajemos a la computadora, de los links a los que ingresemos y por supuesto, mantener la actualización constante de los antivirus y las herramientas que tengamos para prevenir estas irrupciones maliciosas. Adware es un pariente cercano de software espía. Adware es un software que está instalado en su ordenador para mostrar publicidad. 4.2 Tipos de Adware Existen muchos y diversos tipos de Adware, claro, con el mismo objetivo. aquí pondré diferentes tipos de Adware y sus desusos a) De esos que vienen con los programas P2P >>>> LimeWire, Shareaza, etc... los cuales no son tan usados sin embargo los Hack si. b) Los de las ventanas Emergentes (Pop-up) Estos son loa mas comunes puesto que son los que salen con anuncios de buscar pareja o cosas similares. Los que se pueden catalogar en el grupo de los Adware, son aquellos que generan un torrente de publicidad no deseada, en forma de banners, popUPS, y todo tipo de ventana emergente. También existen los que se conocen como Scumware, que son los que agregan enlaces a páginas web comerciales, por las que el verdadero autor de la página no cobra nada, literalmente asaltando a quienes de buena fe
35 17/03/2013 17:27
creen estar inscribiéndose en dichos sitios. Scum en inglés significa canalla, o gente de muy baja calaña.
Y finalmente los llamados Spyware, son aquellos que controlan todo lo que el usuario hace en línea, los sitios que visita, los enlaces que prefiere, etc., y transmite esa información a compañías especializadas en marketing u otros interesados en esta información para beneficio personal. Podría decirse que es una especie de "estudio de mercado" para saber que prefiere el usuario y ofrecerle la mejor opción, solo que lo hace sin que el usuario sepa que está siendo vigilado.
Muchos de estos spywares, están construidos explotando conocidos agujeros en los programas, lo que implica un grave problema para el usuario, que muchas veces sufre una notoria degradación en el rendimiento de su computadora o de su navegación por Internet, e inclusive bloqueos y cuelgues
inesperados,
sin
sospechar
la
verdadera
causa,
pero
provocándole grandes molestias y muchas veces pérdidas económicas, por culpa, por ejemplo, de una navegación más lenta. 4.3 Funciones de los Adware La función de ellos es robar información y tener acceso por ejemplo a cuentas de correo electrónico y el password, dirección IP y DNS, teléfono, país, paginas que visitas y de que temas te interesan, que tiempos estas en ellas y con que frecuencia regresas, que software tienes y cuales descargas, que compras haces por Internet y datos mas importantes como tu tarjeta de crédito y cuentas de banco.
4.4 ¿Cómo llegan a nuestras Computadoras los Adware? Estando ocultos en un programa gratuitos (Freeware) los cuales al aceptar sus condiciones de uso (casi siempre en ingles y que no solemos leer) estamos aceptando que cumplan sus funciones de mostrarnos su publicidad. 36 17/03/2013 17:27
4.5 ¿Cómo evitar los Adware? Una de las razones por las que les denomina parásitos, es porque viven del trabajo de otros. Pero la otra razón, es porque llegan a nuestra computadora como "parásitos" a su vez de otro software, a menudo instalado intencionalmente, ya que puede ser un programa que realmente se piensa pueda ser útil.
Los "parásitos", son aplicaciones comerciales que se instalan en nuestra computadora, sin nuestro consentimiento, y sin ser solicitadas. Este tipo de código, es muchas veces catalogado dentro de lo que se conoce como Spyware (software que recoge información de nuestros hábitos de navegación, por ejemplo), o Adware (agrega publicidad a los programas, generalmente como forma de pago por el uso del software).
Los parásitos trabajan a través de nuestro navegador, asaltándonos con publicidad no pedida, espiando nuestros hábitos de navegación, y comprometiendo la seguridad y estabilidad de nuestro sistema. Muchas veces, también modifica el contenido y los enlaces al visitar otras páginas web.
Para quien posea una página web comercial de cualquier tipo, esto también implica una pérdida importante en sus legítimas ganancias, que generalmente son a través de banners publicitarios. Existen parásitos que una vez instalados en el equipo del usuario, capturan todos los enlaces a estos banners, o a máquinas de búsqueda, para redirigirlos a otros sitios controlados por quienes enviaron el parásito.
Muy pocos de estos parásitos proporcionan algún "beneficio" al propio usuario, porque además la mayoría de los usuarios ignoran que tienen instalado ese software en su sistema. 37 17/03/2013 17:27
Detección de los Adware Los Adwares se dedican a mostrarnos publicidades en los programas que estos vienen incluidos por medios de banners en estos, pero ya los mas peligrosos nos van a abrir ventanitas pop-ups por todas partes, van a agregar direcciones en los favoritos del IE y van a instalarnos barras de herramientas con el único objetivo de que naveguemos siempre dentro de sus redes de publicidad.
4.6 Lista de los Adware más comunes
Algunas
aplicaciones
adware
ClipGenie
populares son: TopMoxie
180 Solutions
Comet Cursor
180SearchAssistant
Cydoor
Zango
Daemon
Bonzi Buddy
Tools
ErrorSafe
Gator Hotbar
PornDigger!
Smiley Central
WeatherBug
WhenU
WinFixer
KaZaa
Muchas de estas consideradas también espías como Gator Hotbar. 38 17/03/2013 17:27
El adware puede ser instalado con el consentimiento del usuario y su plena conciencia, pero en ocasiones no es así. Lo mismo ocurre con el conocimiento o falta del mismo acerca de sus funciones.
5
Spyware 5.1 Definición de los Spyware Spyware es software de ordenador que se instala subrepticiamente en un ordenador personal para interceptar o tomar control parcial sobre la interacción del usuario con el ordenador, sin el consentimiento informado del usuario. Si bien el término software espía sugiere que secretamente controla el comportamiento del usuario, las funciones de ampliar los programas espía y más allá de la simple supervisión. Programas de software espía puede recoger diversos tipos de información personal, tales como hábitos de navegación de Internet, los sitios que se han visitado, sino que también pueden interferir con el control de usuario de la computadora de otras maneras, tales como la instalación de software adicional, la reorientación de la actividad del navegador Web, el acceso a sitios web a ciegas que hará que los virus más dañinos, o el desvío de los ingresos por publicidad a un tercero. El software espía puede incluso cambiar la configuración del equipo, lo que resulta en velocidades de conexión lenta, diferentes páginas, y la pérdida de Internet u otros programas. En un intento de aumentar la comprensión de los programas espía, más una clasificación formal de sus tipos de software incluido es capturado en el término de privacidad software invasivo. En respuesta a la aparición de spyware, una pequeña industria ha surgido ocupan en la lucha contra el software espía. Atletismo antisoftware espía se ha convertido en un elemento ampliamente reconocido de las mejores prácticas de seguridad de Microsoft Windows para computadoras de escritorio. Una serie de jurisdicciones han pasado antispyware leyes, que suelen ser objetivo de cualquier software que se instala subrepticiamente para controlar la computadora de un usuario. 39
17/03/2013 17:27
Los EE.UU. Comisión Federal de Comercio ha puesto en Internet una página de asesoramiento a los consumidores acerca de cómo reducir el riesgo de infección de spyware, incluida una lista de "dos" y "no hacer".
5.2 Características de los Spyware Los Spyware pueden recolectar varios tipos de información personal, pero también pueden interferir con el control que tiene el usuario sobre su computadora, como lo es la instalación de programas adicionales, redireccionando las páginas Web del navegador de Internet e ingresando a páginas secretamente, que descargaran Virus más dañinos, o mostrando ventanas emergentes con Anuncios engañosos. También pueden cambiar la configuración de su computadora, resultando en conexiones a Internet más lentas.
5.3 ¿Cómo se propagan los Spyware? Cuando se accesa a una página Web y esta ejecuta comandos mediante un control ActiveX. Se añade a la instalación de un programa al ejecutarse. Cuando se descargan e instalan por otros programas maliciosos. Se propaga por boletines, Blogs y programas P2P.
5.4 Vulnerabilidades que ocasiona el Spyware Está claro que algunas clases de spyware representan algo más que una molestia. Sin embargo, eso no significa que sus parientes más benignos no representen también un problema grave. Los programas que emiten ventanas emergentes en forma permanente son molestos. Asimismo, algunos programas de spyware y adware que funcionan activamente en segundo plano pueden dominar los recursos del sistema y, a veces, reducir la capacidad de todo el sistema.
Si bien a cualquier persona le resulta molesto un equipo lento, es especialmente difícil para los usuarios de algunas oficinas, ya que se 40 17/03/2013 17:27
generan problemas de rendimiento que las pequeñas empresas no pueden afrontar. Por lo tanto, ya sea que presenten riesgos a la seguridad
o
dolores de
cabeza
a
causa
del rendimiento,
es
imprescindible mantener estos programas no deseados alejados de su equipo.
5.5 Principales Síntomas de infección Cuando se re-direcciona a una página Web particular. Cambia la página de inicio de Internet. En ocasiones se abren ventanas emergentes. Cambia la configuración del usuario sin su consentimiento. Auto-ejecución de un programa desconocido. Recopila información personal, del sistema y la envía. En ocasiones hace lento el sistema. Engaña a los usuarios y los induce a realizar pagos o comprar Software. Pide realizar un falso registro de usuario. Los usuarios eliminan o finalizan el programa y este sigue apareciendo. Oculta archivos ejecutables o crea procesos imborrables.
5.6 ¿Cómo evitar el Spyware? Las recomendaciones para evitar la instalación de este tipo de software son las siguientes: a) Verifique cuidadosamente los sitios por los que navega, ya que es muy común que estas aplicaciones auto-ofrezcan su instalación o que la misma sea ofrecida por empresas de dudosa reputación. b) Si es posible, lea atentamente las políticas de privacidad de estas aplicaciones. Generalmente incluyen puntos como "recolectamos la siguiente información del usuario" o "los daños que causa la
41 17/03/2013 17:27
aplicación no es nuestra responsabilidad" o "al instalar esta aplicación ud. autoriza que entreguemos sus datos a...". c) Estas
aplicaciones
normalmente
prometen
ser
barras
con
funcionalidades extras que se instalan sobre el explorador. d) Actualmente, se nota una importante aparición de aplicaciones que simulan ser software anti-Spyware que en realidad contiene Spyware. Una lista de los mismos puede ser encontrada en la dirección que se detalla al pie del presente. e) Cuando una aplicación intente instalarse sin que ud. lo haya solicitado, desconfíe y verifique la lista anterior. f) Es común que los sitios dedicados al underground o pornográficos, contengan un alto contenido de programas dañinos que explotando diversas vulnerabilidades del sistema operativo o del explorador, le permiten instalarse. g) Verificar los privilegios de usuarios. Es común que todos los usuarios que hacen uso de la computadora lo hagan con permisos administrativos. Esto no necesariamente debe ser así, es recomendable que cada usuario tenga su propio perfil, sólo con los permisos necesarios para realizar sus tareas. Ya que esto disminuye el campo de acción de un posible intruso (virus, backdoor, usuario no autorizado, etc.). h) Estas aplicaciones evolucionan continuamente por lo que contar con un antivirus actualizado y con capacidades proactivas es fundamental para detectar estas aplicaciones y evitar su instalación. Los programas espías son aplicaciones informáticas que recopilan datos sobre los hábitos de navegación, preferencias y gustos del usuario. Los datos recogidos son transmitidos a los propios fabricantes o a terceros, bien directamente, bien después de ser almacenados en el ordenador.
42 17/03/2013 17:27
El Spyware puede ser instalado en el sistema a través de numerosas vías, entre las que se encuentran: troyano, que los instalan sin consentimiento del usuario; visitas a páginas web que contienen determinados controles ActiveX o código que explota una determinada vulnerabilidad; aplicaciones con licencia de tipo shareware o freeware descargadas de Internet, etc. 5.7 ¿Cómo eliminar o remover un Spyware? Los spyware son aplicaciones que recopilan de tu computadora información sin tu conocimiento o consentimiento con la intención de pasarla al fabricante del spyware o a terceras personas, estos archivos espías recopilan información sobre tus hábitos de navegación en la internet ,gustos, preferencias, datos personales y de esta manera el espía que por lo general es una empresa publicitaria tiene el conocimiento para enviarte publicidad que se adapten a tus preferencias y gustos. Sin darnos cuenta nosotros mismo somos los responsables de que estos spyware se instalen en nuestra computadora , ya que estos normalmente vienen en algunos programas que son gratuitos o shareware y de los cuales hay miles en la internet . También pueden ser instalados por troyanos o páginas web que piden instalar controles ActiveX. El spyware ya instalado desestabiliza nuestra computadora a tal grado que puede controlar fácilmente nuestra navegación por internet nos redirige a páginas de internet, cambia tu página principal de inicio y no puedes cambiarla, puede controlar tu teclado, bombardean tu computadora de anuncios de productos mayormente pornográficos, te pone lenta tu computadora evitando que puedas procesar algún programa de tu preferencia. Para eliminar el spyware existen herramientas muchas de ellas gratis y muy buenas que puedes descargar de internet algunas de estas son: a) SpyBot Search & Destroy 1.4 43 17/03/2013 17:27
b) Spy Sweeper 5.0 c) Ad-Aware 1.06 SE Personal Después de descargar las aplicaciones mencionadas o la de tu preferencia. Ejecútala para que comience a eliminar los intrusos que se encuentren en tu computadora. Cuando el programa termine, comprueba que el spyware fue eliminado, te recomiendo volver a correr el programa antyspyware para mayor seguridad y siempre mantener tu programa antivirus actualizado.
5.8 Lista de los Mejores Antispyware NOMBRE DEL ANTISPYWARE
DESCRIPCIÓN Una excelente utilidad gratuita para que busca, detecta y eliminar todo tipo de Malware, desarrollado por la gente de
Malwarebytes’ Anti-malware
MalwareBytes (creadores de about: Buster, FileASSASSIN
y
otros
tantos
buenos
programas). Detecta y elimina más de un millar de spywares y malwares, incluye protección en tiempo SpyBot Search & Destroy 1.6
real
(TeaTimer)
para
prevenir
infecciones. SuperAntiSpyware analiza tu sistema en busca de cualquier tipo de amenaza que pueda
44 17/03/2013 17:27
colarse
en
tu
PC.:
Spyware,
troyanos,
dialers,
rootkits,
gusanos,
adware, malware y cualquier otro tipo de SUPERAntiSpyware Free edition
elemento de software malintencionado. Una
herramienta
fundamental
para
la
prevención de ataques de spywares. No los elimina SpywareBlaster 4.1
simplemente
deshabilita
los
controles ActiveX de los más conocidos spywares. Lo recomienda Spybot para inmunizar el sistema. Nueva
versión
indispensable
de
esta
poderosa
herramienta,
de
e
fácil
utilización, diseñada para eliminar todo tipo Ad-Aware 2008 Free
de Spywares/Adwares, con total seguridad y garantía. Se actualiza casi semanalmente añadiendo
remedio
a
cuanto
nuevo
Spyware es detectado. Uno de los mas completos Antispyware que si bien es de pago permite su uso gratuito Spy
Sweeper
5 por 14 días y vale la pena invertir en el por la seguridad del PC. Es una pequeña herramienta que nos permite detectar y, eventualmente, eliminar
HijackThis 2.0.2
las modificaciones hechas por programas de terceros en nuestro navegador Explorer. (Toolbars, Paginas de Inicio, Paginas de búsqueda, etc) Hay que tener mucho cuidado con los cambios en el Registro. Úselo bajo su responsabilidad.
5.9 Diferencias entre Adware y Spyware 45 17/03/2013 17:27
La diferencia está en que suelen venir incluido en programas Shareware y por tanto, al aceptar los términos legales durante la instalación de dichos programas, estamos consintiendo su ejecución en nuestros equipos y afirmando que estamos informados de ello. Un ejemplo de esto pueden ser los banners publicitarios que aparecen en software diverso y que, en parte, suponen una forma de pago por emplear dichos programas de manera pseudo gratuita.
6
Rootkit 6.1 Orígenes de los Rootkit El término "rootkit" (también se puede escribir "root kit") en sus orígenes hacía referencia a un grupo de herramientas recompiladas de Unix como ps, netstat, w o passwd que habiendo sido debidamente modificadas, ocultaban cualquier actividad del cracker. De este modo, el intruso podría mantener el control del sistema con privilegios de supe usuario, pero quedando oculto a los ojos de los usuarios y administradores. Actualmente, el término no está restringido a los sistemas operativos basados en Unix, ya que existen herramientas similares para otros sistemas como Windows (incluso para los sistemas operativos que no utilizan cuentas de root.
6.2 Definición de los Rootkit Los rootkits son una amenaza de Internet de la que últimamente viene hablándose mucho, fundamentalmente desde que se ha hecho público que una gran empresa ha distribuido un rootkit con sus productos. Pero, ¿qué es exactamente un rootkit? ¿Por qué es tan peligroso? ¿Es cierto que no pueden eliminarse de los sistemas? Vamos a intentar responder a estas preguntas y aclarar algunos mitos.
46 17/03/2013 17:27
Los rootkits, en la práctica, son programas que una vez instalados en un sistema, efectúan las modificaciones necesarias para poder llevar a cabo las tareas que tiene programadas sin que su presencia pueda ser detectada. Fundamentalmente, los rootkits tratan de encubrir a otros procesos que están llevando a cabo acciones maliciosas en el sistema. Por ejemplo, si en el sistema hay una puerta trasera para llevar a cabo tareas de espionaje, el rootkit ocultará los puertos abiertos que delaten la comunicación; o si hay un sistema para enviar spam, ocultará la actividad del sistema de correo. La única limitación es la imaginación del creador. Los temibles Rootkit, además de terribles amenazas son armas de "doble filo". Los Rootkit ocultan los inicios de sesión (logins), procesos, archivos, creación o modificación de llaves de registro, etc. Pueden interceptar datos contenidos en un sistema, conexiones de red y hasta digitaciones del teclado (Keyloggers). Los rootkits, al estar diseñados para pasar desapercibidos, no pueden ser detectados. Si un usuario (o incluso el usuario root) intenta analizar el sistema para ver qué procesos están ejecutándose, el rootkit mostrará información falsa, mostrando todos los procesos excepto él mismo y los que está ocultando. O si se intenta ver un listado de los ficheros de un sistema, el rootkit hará que se muestre esa información pero ocultando la existencia del propio fichero del rootkit y de los procesos que esconde. 6.3 Clasificación de los Rootkit Existen varias clasificaciones de rootkits que dependen de si el código mal intencionado sobrevive el reinicio o si se ejecutan de modo de usuario o modo núcleo. RootkitRevealer v1.71 RootkitRevealer es una utilidad avanzada de detección de rootkits. Se ejecuta en Windows NT 4 y versiones posteriores y su salida incluye una 47 17/03/2013 17:27
lista de discrepancias entre el Registro y la API del sistema de archivos que puede indicar la presencia de un rootkit de modo de usuario o de modo núcleo. RootkitRevealer detecta correctamente todos los rootkits persistentes publicados en www.rootkit.com, que incluyen AFX, Vence y HackerDefender (Nota: RootkitRevealer no está destinado a detectar rootkits como Fu que no intentan ocultar sus archivos ni sus claves del registro). Si lo usa para identificar la presencia de un rootkit, comuníquenoslo. a) Rootkits persistentes Un rootkit persistente está asociado con código mal intencionado que se activa cada vez que se inicia el sistema. Debido a que dicho código mal intencionado contiene código que se debe ejecutar automáticamente en cada inicio del sistema o cuando un usuario inicia sesión, debe almacenar código en un almacenamiento persistente. b) Rootkits basados en memoria
Los rootkits basados en memoria son código mal intencionado que no contienen código persistente y por tanto no sobreviven un reinicio.
c) Rootkits de modo de usuario
Existen muchos métodos por los cuales los rootkits intentan evadir la detección. Por ejemplo, es posible que un rootkit de modo de usuario intercepte
todas
las
llamadas
a
las
API
de
Windows
FindFirstFile/FindNextFile, usadas por utilidades de exploración del sistema de archivos, que incluyen Explorador y el símbolo del sistema, para enumerar el contenido de los directorios del sistema de archivos. Cuando una aplicación realiza una lista de directorios que normalmente devolvería resultados que contienen entradas identificando archivos
48 17/03/2013 17:27
asociados con el rootkit, el rootkit intercepta y modifica la salida para eliminar las entradas. La API nativa de Windows sirve como interfaz entre clientes de modo de usuario y servicios de modo núcleo y los rootkits más sofisticados de modo de usuario interceptan funciones de enumeración del sistema de archivos, Registro y procesos de la API nativa. Esto evita su detección por parte de analizadores, que comparan los resultados de la enumeración de una API de Windows con los devueltos por la enumeración de una API nativa.
d) Rootkits de modo núcleo
Los rootkits de modo núcleo pueden ser aún más eficaces, debido a que no sólo pueden interceptar la API nativa de modo núcleo, sino que también pueden manipular directamente estructuras de datos de modo núcleo. Una técnica frecuente para ocultar la presencia de un proceso de código mal intencionado es quitar el proceso de la lista de procesos activos del núcleo. Dado que las API de administración de procesos dependen del contenido de la lista, el proceso de código mal intencionado no se mostrará en herramientas de administración de procesos como el administrador de tareas o el explorador de procesos.
6.4 Funciones de los Rootkit Dado que los rootkits persistentes funcionan cambiando los resultados de la API para que la vista de sistema que usan las API difiera de la vista real en almacenamiento, RootkitRevealer compara los resultados de un análisis de sistema en el nivel más alto con los del nivel más bajo. El nivel más alto es la API de Windows y el nivel más bajo son los contenidos sin procesar de un volumen del sistema de archivos o de un subárbol del Registro (un archivo de subárbol es el formato de almacenamiento del 49 17/03/2013 17:27
registro en disco). Así, los rootkits, sean de modo de usuario o de modo núcleo, que manipulan la API de Windows o la API nativa para eliminar su presencia de una lista de directorios, serán vistos por ejemplo por RootkitRevealer como una discrepancia entre la información devuelta por la API de Windows y la obtenida por el análisis de nivel bajo de las estructuras del sistema de archivos del volumen FAT o NTFS. 6.5 Detecciones de los Rootkit
6.5.1 Métodos de ocultamiento de Detección Existen muchas metodologías para que los Rootkit logren evadir su detección u ocultar su presencia y accionar. Un ejemplo simple, consiste en interceptar todas las llamadas a las API FindFirstFile/FindNextFile, las cuales son usadas por las herramientas de exploración de los sistemas de archivos, incluyendo el Windows Explorer y el comando prompt, para listar el contenido de carpetas de archivos de sistema. API8 son librerías de vínculos dinámicos .DLL, que forman parte del sistema operativo Windows. Cuando un programa ejecuta un listado de una carpeta o directorio que podrían devolver resultados con entradas que identifiquen a los archivos asociados al Rootkit, es cuando éste intercepta y modifica la salida para remover
sus
entradas.
Las API nativas de Windows actúan como interfaz entre el modo-usuario de cliente y los servicios del modo-kernel y es en ese proceso cuando los más sofisticados Rootkit del modo-usuario interceptan los archivos de
8
API
Interfaz de Aplicaciones de Programación
50 17/03/2013 17:27
sistema, registros y los procesos de enumeración de las funciones de las API nativas. Lo cual evita su detección por scanners que comparan el resultado de la enumeración de las API de Windows con la devolución de enumeración de de las API nativas invocadas.
6.6 ¿Cuál es el peligro de los Rootkit? De este modo, y contrariamente a lo que suele ser una creencia popular, los rootkits no son herramientas mediante las cuales se consigue comprometer un ordenador. En sistemas UNIX, los rootkits son empleados con objeto de garantizar la continuidad del acceso a un ordenador remoto previamente comprometido, entre otros: Instalar puertas traseras mediante las cuales acceder al ordenador. Esconder las modificaciones realizadas en la configuración. Ocultar los registros dejados como consecuencia de la intrusión en el sistema. Para sistemas Windows el objetivo sigue siendo similar: ocultar la existencia de otros elementos dentro del ordenador, de modo que tanto su presencia como su ejecución pasen inadvertidos a los ojos del usuario e incluso del software de seguridad. Si dichos elementos son de naturaleza vírica, nos encontraremos ante un verdadero problema. Ya durante el año 2005, se empezaron a detectar las primeras variantes de malware que utilizaban rootkits (herramientas externas, o incluso técnicas propias incluidas en su código) para evitar ser detectados. Bots, 51 17/03/2013 17:27
adware y spyware han añadido estas características a las suyas propias, y esta tendencia no ha hecho más que aumentar en períodos sucesivos. Este hecho se alinea a la perfección con la dinámica actual del malware. Si el objetivo es la realización de delitos informáticos mediante los cuales conseguir beneficios económicos, está claro que será de vital importancia pasar lo más inadvertido posible. De esta forma, se maximizará la cantidad de tiempo que el crimeware consiga estar activo dentro del ordenador, y sin poder ser detectado. Por otra parte, también se perciben beneficios potenciales de la utilización de rootkits, aplicada legítimamente en las siguientes áreas:
Monitorización de empleados.
Protección de derechos intelectuales.
Protección de programas de las acciones del malware o de acciones erróneas del usuario (borrado accidental, por ejemplo).
Al hilo de esta posible utilización beneficiosa, hubo un caso que obtuvo una gran cobertura en los medio de comunicación a finales de 2005, cuando el experto Mark Russinovich descubrió que el sistema de protección anti-copia que Sony había incluido en varios de sus productos incluía un rootkit denominado XCP, con el fin de evitar la desactivación de dicha protección. Después de que fuera publicado un análisis detallado del mismo, no tardaron en aparecer ejemplares de malware (por ejemplo, el backdoor Ryknos.A) que hacían un uso malicioso de dicho rootkit para ocultarse en los sistemas en los que estuviera instalado el sistema anti-copia. Finalmente, Sony se vio obligado a proporcionar una herramienta para eliminar el componente rootkit y desinstalar el sistema anti-copia.
52 17/03/2013 17:27
Como se puede comprobar a la luz de este ejemplo, incluso en el caso de utilización legítima de un rootkit, hay implicaciones que deben ser cuidadosamente tenidas en cuenta. 6.7 Formas de protección de los Rootkit La lucha contra los rootkits es una carrera armamentística, en la cual sus creadores desarrollan medidas que tratan de evitar la detección, al mismo tiempo que las compañías de seguridad despliegan contramedidas que protejan a sus clientes. Las técnicas que se emplean para detectar la existencia de rootkits dentro de un sistema son las siguientes:
Detección basada en firmas: tecnología madura, empleada con éxito por las compañías antivirus desde hace bastantes años. Se basa en analizar los archivos y compararlos con un conjunto de firmas de malware conocido.
Detección heurística o basada en el comportamiento: identifica los rootkits reconociendo desviaciones en la actividad normal de un ordenador.
Detección por comparación: compara los resultados devueltos por el sistema operativo y los obtenidos mediante llamadas a muy bajo nivel; si existen diferencias, se habrá reconocido la presencia de un rootkit.
Detección basada en integridad: demuestra la existencia de un rootkit mediante la comparación de los archivos y memoria con un estado de pruebas que se sabía confiable.
Cada una de estas técnicas tiene sus propias limitaciones, por lo que es recomendable una aproximación que integre varias tecnologías distintas. A esto se suma el hecho de que algunos rootkits son desarrollados ex profeso para evadir su detección por las compañías antivirus con mayor cuota de mercado. 53 17/03/2013 17:27
La primera línea de defensa contra los rootkits consiste en prevenir que entren en su ordenador. Para ello, tenga en cuenta los consejos básicos de protección frente al malware:
Instale una buena solución antimalware en su ordenador, y manténgala permanentemente activa y actualizada.
Instale un cortafuego que le proteja de accesos no autorizados a su ordenador.
Mantenga las aplicaciones instaladas en su ordenador siempre actualizadas, instalando los parches de seguridad proporcionados por los fabricantes.
Sin embargo, la labor de protegerse contra los rootkits no es trivial y no puede encomendarse únicamente a una serie de pautas de protección genéricas. 6.8 Desinfección de los Rootkit A pesar de lo que viene diciéndose, los rootkits pueden eliminarse, aunque no tan fácilmente como un “Viernes 13”. Tal y como hemos dicho, los rootkits se autoprotegen escondiéndose y evitando que ningún otro proceso (como un antivirus) pueda detectarlos. Pero para que ese proceso pueda ocultarse, debe estar en funcionamiento y activado en memoria. La mejor manera de evitar que el proceso entre en acción es evitar el arranque del sistema operativo en el disco en el que se encuentra el rootkit, utilizando un disco diferente al del sistema infectado; como puede ser un CD. Así, si el rootkit es conocido, podrá eliminarse. Sin embargo, si el rootkit no es conocido (es decir, si ha sido desarrollado específicamente para un sistema concreto), cualquier antivirus fracasará. Entonces, el problema informático es casi el menos importante: hay una persona que, intencionadamente, quiere hacer daño a su empresa y se ha molestado
en
entrar
en
el
sistema
para
perjudicarle.
En este caso es necesario, además de una investigación policial, poder 54 17/03/2013 17:27
contar con un proveedor de seguridad que disponga de medios suficientes como para llevar a cabo una investigación forense sobre un disco y poder detectar y eliminar el rootkit.
7
Hoax 7.1 Definición de los Hoax Los hoax9 (mistificación, broma o engaño), son mensajes con falsas advertencias de virus, o de cualquier otro tipo de alerta o de cadena (incluso solidaria, o que involucra a nuestra propia salud), o de algún tipo de denuncia, distribuida por correo electrónico.Su común denominador, es pedirle los distribuya "a la mayor cantidad posible de conocidos".Jamás reenvíe un mensaje de este tipo que llegue a su casilla. Esta clase de alarmas, suelen ser TOTALMENTE FALSAS, o basadas en hechos erróneos, pero lo que es peor activan un tipo de "contaminación" muy diferente, propagar cientos y hasta miles de mensajes de advertencia sobre los mismos. Y aún en el caso de denuncias basadas en hecho reales, esta forma de hacerlo desvirtúa totalmente su verdadero objetivo. Esta es una descripción de los hoaxes más comunes que circulan por la red. Nunca reenvíe ninguno de estos mensajes. Si alguien de buena fe le envía una de estas alarmas, avísele de páginas como esta para que salga de su engaño y obtenga más detalles.
7.2 Características de los Hoax Presenta una serie de características comunes, que hace diferenciarlos con facilidad como las siguientes:
El remitente del mensaje es alguien conocido.
La mayoría no están firmados aunque hay algunos que tienen falsas firmas.
9
mistificación, broma o engaño
55 17/03/2013 17:27
Suelen llegar en correos con asuntos que tienen un tono catastrófico del estilo de „ALERTA‟, „CUIDADO‟, „PELIGRO‟,… y similares.
Aunque existen excepciones, la mayoría de los hoaxes están bastante mal redactados.Tienen errores gramaticales, de ortografía, mezclan modismos de distintos países, algunos son obviamente malas traducciones del inglés, hechas por programas de traducción y ni siquiera corregidas.
Es común el uso de MAYÚSCULAS para enfatizar su mensaje y hacer más urgente si cabe la necesidad de informar a todo el mundo.
En muchas ocasiones, citan como fuentes de información a autoridades competentes y/o expertos en la materia en cuestión para intentar dar consistencia y veracidad al mensaje. Eso sí, ninguno enlaza al sitio donde la fuente veraz da la noticia.
Ruegan encarecidamente que el correo sea remitido a tantas personas como sea posible para informar a la población y poder evitar „desgracias‟ de diversa índole.
Como curiosidad suelen darnos las gracias a pesar de que son ellos los que teóricamente alertan de un terrible peligro que te acecha.
Si recibe algún correo electrónico que presente dichas características, la mejor manera de proceder es siguiendo los pasos que se le indican a continuación:
Ignorar el contenido del mensaje y no seguir sus instrucciones.
No reenviar el correo electrónico.
Convencernos de la veracidad / falsedad del mensaje. Para ello, consultar
si
fuentes
fiables
(autoridades
sanitarias,
policiales,
tecnológicas, etc.) se hacen eco del caso.
Si se confirma la falsedad del comunicado, contactar con quien nos lo envió (normalmente alguien conocido), informarle de las consecuencias de su acción e invitarle a no formar parte de este tipo de mentiras en cadena. 56
17/03/2013 17:27
. 7.3 Tipo de Hoax Alertas sobre virus incurables Mensajes de temática religiosa Cadenas de solidaridad Cadenas de la suerte Leyendas urbanas Métodos para hacerse millonario Regalos de grandes compañías También he recibido mensajes tomando el pelo a la gente que envía hoaxes Finalmente, reproducimos algunos mensajes que no son hoaxes sino que son mensajes reales. Hay otros mensajes que no nacen como hoaxes pero pueden ser considerados como tales: Poemas y mensajes de amor y esperanza (éstos suelen venir en un archivo de Power Point pesadísimo). Mensajes para unirte a programas de afiliados. Chistes y fotos que circulan en cadena (ejemplo: la foto de Motumbo). 7.4 Funciones de los Hoax Hay un buen número de razones por las que determinada gente decide liberar estas mentiras. Lo más común es que el creador quiera comprobar hasta qué punto están verdes muchos internautas y que alcance puede tener un aviso de virus, recolectar direcciones de correo electrónico a las que bombardear en el futuro con todo tipo de información no solicitada o spam, molestar a alguien incluyendo su nombre, mail o número de teléfono o difamar a una empresa u organización.
57 17/03/2013 17:27
7.5 Acciones que se deben tomar con los Hoax Siempre que llegue un aviso de virus la primero que hay que hacer es entrar en una biblioteca vírica, como http://www.alerta-antivirus.es, y comprobar sí efectivamente es un virus o en cambio es una tomadura de pelo. Si es un virus se puede avisar, pero abandonando todo tono alarmista e incluyendo información sobre el virus y a ser posible el antídoto. Normalmente basta con copiar el contenido de la enciclopedia vírica que hayamos consultado. Si, por el contrario, resulta que lo que ha llegado es un hoax, lo que hay que hacer de entrada es ignorarlo y borrarlo. Desde luego, jamás reenviarlo a toda la libreta de direcciones. Y si alguien quiere de verdad comportarse como un internauta cívico y contribuir a que se difunda la manera correcta de actuar, debería enviar un mensaje de respuesta a quien le ha enviado el falso virus explicándole que lo que ha enviado es mentira, y lo que debe hacer con los avisos de virus en el futuro antes de enviarlos. 8
Fishing 8.1 Orígenes del Phishing El término phishing proviene de la palabra en inglés "fishing" (pesca) haciendo alusión al acto de pescar usuarios mediante señuelos cada vez más sofisticados, y de este modo obtener información financiera y contraseñas. Quien lo practica es conocido con el nombre de phisher. También se dice que el término "phishing" es la contracción de "password harvesting fishing" (cosecha y pesca de contraseñas), aunque esto probablemente es un acrónimo retroactivo. Son posibles traducciones apropiadas en español los términos anzuelo o estafa electrónica. La primera mención del término phishing data de enero de 1996 en grupo de noticias de hackers alt.2600, aunque el término apareció tempranamente 58
17/03/2013 17:27
en la edición impresa del boletín de noticias hacker "2600 Magazine". El término phishing fue adoptado por crackers que intentaban "pescar" cuentas de miembros de AOL; ph es comúnmente utilizado por hackers para sustituir la f, como raíz de la antigua forma de hacking conocida como "phone phreaking". 8.2 Definición de Phishing El "phishing" es una modalidad de estafa diseñada con la finalidad de robarle la identidad. El delito consiste en obtener información tal como números de tarjetas de crédito, contraseñas, información de cuentas u otros datos personales por medio de engaños. Este tipo de fraude se recibe habitualmente a través de mensajes de correo electrónico o de ventanas emergentes
8.3 Características de Phishing Uso de nombres de compañías ya existentes. En lugar de crear desde cero el sitio web de una compañía ficticia, los emisores de correos con intenciones fraudulentas adoptan la imagen corporativa y funcionalidad del sitio de web de una empresa existente, con el fin de confundir aún más al receptor del mensaje. Utilizar el nombre de un empleado real de una empresa como remitente del correo falso. De esta manera, si el receptor intenta confirmar la veracidad del correo llamando a la compañía, desde ésta le podrán confirmar que la persona que dice hablar en nombre de la empresa trabaja en la misma. Direcciones web con la apariencia correcta. El correo fraudulento suele conducir al lector hacia sitios web que replican el aspecto de la empresa que está siendo utilizada para robar la información. En realidad, tanto los contenidos como la dirección web son falsos e imitan
59 17/03/2013 17:27
los contenidos reales. Incluso la información legal y otros enlaces no vitales pueden redirigir al confiado usuario a la página web real. Factor miedo. La ventana de oportunidad de los defraudadores es muy breve, ya que una vez se informa a la compañía de que sus clientes están siendo objeto de este tipo de prácticas, el servidor que aloja al sitio web fraudulento y sirve para la recogida de información se cierra en el intervalo de unos pocos días. Por lo tanto, es fundamental para el defraudador el conseguir una respuesta inmediata por parte del usuario. En muchos casos, el mejor incentivo es amenazar con una pérdida, ya sea económica o de la propia cuenta existente, si no se siguen las instrucciones indicadas en el correo recibido. Man-in-the-middle (hombre en el medio). En esta técnica, el atacante se sitúa entre el usuario y el sitio web real, actuando a modo de proxy. De esta manera, es capaz de escuchar toda la comunicación entre ambos. Para que tenga éxito, debe ser capaz de redirigir al cliente hacia su proxy en vez de hacia el servidor real. Existen diversas técnicas para conseguirlo, como por ejemplo los proxies transparentes, el DNS Cache Poisoning10 y la ofuscación del URL. Aprovechamiento de vulnerabilidades de tipo Cross-Site Scripting en un sitio web, que permiten simular una página web segura de una entidad bancaria, sin que el usuario pueda detectar anomalías en la dirección ni en el certificado de seguridad que aparece en el navegador. Aprovechamiento de vulnerabilidades de Internet Explorer en el cliente, que permiten mediante el uso de exploits falsear la dirección que aparece en el navegador. De esta manera, se podría redirigir el navegador a un sitio fraudulento, mientras que en la barra de direcciones del navegador se mostraría la URL del sitio de confianza. Mediante esta técnica, también es posible falsear las ventanas pop-up abiertas desde una página web auténtica. Algunos ataques de este tipo también hacen uso de exploits en sitios web fraudulentos que, aprovechando alguna vulnerabilidad de Internet Explorer o del 10
Poisoning
Envenenamiento de Caché DNS
60 17/03/2013 17:27
sistema operativo del cliente, permiten descargar troyanos de tipo keylogger que robarán información confidencial del usuario. Otra técnica más sofisticada es la denominada Pharming. Se trata de una táctica fraudulenta que consiste en cambiar los contenidos del DNS (Domain Name Server, Servidor de Nombres de Dominio) ya sea a través de la configuración del protocolo TCP/IP o del archivo lmhost (que actúa como una caché local de nombres de servidores), para redirigir los navegadores a páginas falsas en lugar de las auténticas cuando el usuario accede a las mismas a través de su navegador. Además, en caso de que el usuario afectado por el pharming navegue a través de un proxy para garantizar su anonimato, la resolución de nombres del DNS del proxy puede verse afectada de forma que todos los usuarios que lo utilicen sean conducidos al servidor falso en lugar del legítimo.
8.4 Técnicas más sofisticadas del Phishing La mayoría de métodos de phishing usan por lo general métodos técnicos de engaño, tales como una liga en un email que simula provenir de una empresa confiable. Direcciones (URLs) muy similares o el uso de subdominios son trucos comunes usados por los phishers. Por ejemplo http://www.tubanco.com.ejemplo.com/ . Otro truco es simplemente hacer aparecer una liga como verdadera cuando en realidad te conduce al sitio fraudulento. Una vez la víctima visita el sitio, no todo está aún terminado. El phisher puede usar comandos de javascript para alterar la dirección en la barra de direcciones. Esto puede realizarse con facilidad por medio de colocar una imagen encima de la dirección verdadera, o cerrando la barra de direcciones original y abriendo una con la dirección falsa. Otro método utilizado y mucho más difícil de detectar es cuando el phisher utiliza los agujeros de seguridad en la programación o scripts del mismo 61 17/03/2013 17:27
sitio en contra de la posible víctima. Esto es conocido como cross-site scripting. Este es un punto problemático ya que el usuario es direccionado a la misma página, la real, del banco por ejemplo, donde todo luce correcto y sin rastro de estar alterado. Este tipo de ataques es muy difícil de detectar y generalmente lo deben verificar especialistas en seguridad informática.
8.5 Elementos del Phishing El campo DE (FROM) parece ser real. Sin embargo, es importante mencionar que es fácil cambiar el campo DE en cualquier cliente de email para personal con el conocimiento técnico necesario. El email generalmente incluirá logos o imágenes que se han tomado del sitio real de la empresa. El email tendrá una liga para hacer clic, sugiriendo que es necesario darle clic y verificar la información, actualizarla, etc. Otros puntos a tomar en cuenta para identificar email phishing son: los logos pueden no ser exactamente los mismos, errores de escritura, signos de porcentaje % seguidos de números o un signo de arroba @ dentro de la liga, o incluso encabezados que no tienen nada que ver con la empresa a la cual suplantan. 8.6 Funciones del Phishing En esta modalidad de fraude, el usuario malintencionado envía millones de mensajes falsos que parecen provenir de sitios Web reconocidos o de su confianza, como su banco o la empresa de su tarjeta de crédito. Dado que los mensajes y los sitios Web que envían estos usuarios parecen oficiales, logran engañar a muchas personas haciéndoles creer que son legítimos. La gente confiada normalmente responde a estas solicitudes de correo electrónico con sus números de tarjeta de crédito, contraseñas, información de cuentas u otros datos personales.
62 17/03/2013 17:27
Para que estos mensajes parezcan aun más reales, el estafador suele incluir un vínculo falso que parece dirigir al sitio Web legítimo, pero en realidad lleva a un sitio falso o incluso a una ventana emergente que tiene exactamente el mismo aspecto que el sitio Web oficial. Estas copias se denominan "sitios Web piratas". Una vez que el usuario está en uno de estos sitios Web, introduce información personal sin saber que se transmitirá directamente al delincuente, que la utilizará para realizar compras, solicitar una nueva tarjeta de crédito o robar su identidad. 8.7 Vías de distribución del Phishing. En cuanto a su distribución, también presentan características comunes: De la misma manera que el spam, es enviado masiva e indiscriminadamente por correo electrónico o sistemas de mensajería instantánea: El mensaje insta al usuario a pulsar sobre un enlace, que le llevará a una página en la que deberá introducir sus datos confidenciales, con la excusa de confirmarlos, reactivar su cuenta, etc. Se envía como una alerta de una entidad financiera advirtiendo de un ataque. Incluye un enlace que se insta a pulsar y en el que se solicitan datos personales. Dado que el mensaje se distribuye masivamente, alguno de los receptores será efectivamente cliente de la entidad. En el mensaje se indica que, debido a algún problema de seguridad es necesario acceder a una dirección web donde debe reconfirmar sus datos: nombre de usuario, contraseña, número de tarjeta de crédito, PIN, número de seguridad social, etc. Por supuesto, el enlace no dirige a ninguna página de la compañía, sino más bien a un sitio web (similar al original) desarrollado a propósito por los estafadores y que reproduce la imagen corporativa de la entidad financiera en cuestión. Normalmente la dirección web contiene el
63 17/03/2013 17:27
nombre de la institución legítima por lo que el cliente no sospecha de la falsedad de la misma. Cuando el usuario introduce sus datos confidenciales, éstos se almacenan en una base de datos y lo que ocurre a continuación no necesita de un gran esfuerzo de imaginación: los estafadores utilizan esta información para conectarse a su cuenta y disponer libremente de los fondos. 8.8 Daños causador por el Phishing Los daños causados por el phishing oscilan entre la pérdida del acceso al correo electrónico a pérdidas económicas sustanciales. Este tipo de robo de identidad se está haciendo cada vez más popular por la facilidad con que personas confiadas normalmente revelan información personal a los phishers, incluyendo números de tarjetas de crédito y números de seguridad social. Una vez esta información es adquirida, los phishers pueden usar datos personales para crear cuentas falsas utilizando el nombre de la víctima, gastar el crédito de la víctima, o incluso impedir a las víctimas acceder a sus propias cuentas. 8.9 Lista de ejemplos de Phishing El phishing puede producirse de varias formas, desde un simple mensaje a su teléfono móvil, una llamada telefónica, una web que simula una entidad, una ventana emergente, y la más usada y conocida por los internautas, la recepción de un correo electrónico. Pueden existir más formatos pero en estos momentos solo mencionamos los más comunes; SMS (mensaje corto); La recepción de un mensaje donde le solicitan sus datos personales. Llamada telefónica; Pueden recibir una llamada telefónica en la que el emisor suplanta a una entidad privada o pública para que usted le facilite datos privados. Un ejemplo claro es el producido estos días con la Agencia Tributaria, ésta advirtió de que algunas personas están llamando en su 64 17/03/2013 17:27
nombre a los contribuyentes para pedirles datos, como su cuenta corriente, que luego utilizan para hacerles cargos monetarios. Página web o ventana emergente; es muy clásica y bastante usada. En ella se simula suplantando visualmente la imagen de una entidad oficial, empresas, etc. pareciendo ser las oficiales. El objeto principal es que el usuario facilite sus datos privados. La más empleada es la "imitación" de páginas web de bancos, siendo el parecido casi idéntico pero no oficial. Tampoco olvidamos sitios web falsos con señuelos llamativos, en los cuales se ofrecen ofertas irreales y donde el usuario novel facilita todos sus datos, un ejemplo fue el descubierto por la Asociación de Internautas y denunciado a las fuerzas del Estado: Web-Trampa de recargas de móviles creada para robar datos bancarios. El Correo electrónico, el más usado y más conocido por los internautas. El procedimiento es la recepción de un correo electrónico donde SIMULAN a la entidad o organismo que quieren suplantar para obtener datos del usuario novel. Los datos son solicitados supuestamente por motivos de seguridad, mantenimiento de la entidad, mejorar su servicio, encuestas, confirmación de su identidad o cualquier excusa, para que usted facilite cualquier dato. El correo puede contener formularios, enlaces falsos, textos originales, imágenes oficiales, etc., todo para que visualmente sea idéntica al sitio web original. También aprovechan vulnerabilidades de navegadores y gestores de correos, todo con el único objetivo de que el usuario introduzca su información personal y sin saberlo lo envía directamente al estafador, para que luego pueda utilizarlos de forma fraudulenta: robo de su dinero, realizar compras, etc.
65 17/03/2013 17:27
Conclusiones
Que el estudio de temas como el asignado en este caso, los virus, anti-virus y sus derivados son de gran importancia, ya que es un tema que nos permite conocer que la conexión a Internet puede tener amenazas de esta índole y; que si estas amenazas no son controladas pueden llegar a provocar un desastre en nuestra PC. Que con este trabajo hemos obtenido información sobre: Que son los virus, sus objetivos, sus características, como llegan a nuestra PC, ejemplos de ellos y como pueden ser detectados o eliminados cada uno de ellos con los anti-virus. Así como también el conocimiento de anti-virus, cuales se utilizan dependiendo del virus, cuales son los más populares y cuáles son los más eficaces. Además obtuvimos conocimiento sobre Firewall, Adware, Spyware, Rootkit, Hoax y Phishing, Conocimiento que no hubiera sido posible sin la investigación del trabajo expuesto. Que realizar de forma grupal las tareas asignadas por el catedrático es de gran importancia ya que, por medio de estas investigamos, estudiamos y obtenemos el mayor conocimiento posible.
66 17/03/2013 17:27
Recomendaciones
Después de estudiar algunos de los más comunes tipos de “estafas” informáticas, recomendamos tomar medidas extremas para la prevención y difusión accidental de ellas. El uso de software para prevenir las infecciones no es suficiente, pues, al igual que las vacunas para prevenir enfermedades causadas por virus en los seres vivos, los antivirus necesitan tener una muestra del virus informático para poder neutralizarlo, por esta razón, los antivirus están constantemente actualizando su firma de bases de datos, para obtener muestras de las nuevas amenazas que hay en el ciberespacio. Mientras consiguen dicha muestra, el virus continuará dañando a todas las personas que por ignorancia, displicencia ó curiosidad, continúen abriendo archivos de fuentes desconocidas. Recomendamos enfáticamente, no abrir coreos de personas que no conocemos ni reclamar premios instantáneos por ser un visitante numero “x” de una página electrónica. De igual modo dejamos a discreción del usuario el visitar páginas donde muestren fotografías ó videos con contenido lleno de pornografía.
67 17/03/2013 17:27
Bibliografía
http://www.perantivirus.com/sosvirus/virufamo/ http://www.hormiga.org/antivirus/ http://foros.softonic.com/seguridad/informacion-antivirus-5742 http://www.oarval.org/avalencia/VirInfsp.htm
68 17/03/2013 17:27
Índice
A
L
Adware · 35, 36, 37, 38, 39, 47, 68 alarmas · 57 alerta · 56 antivirus · 5 Antivirus · 22, 2, 3, 6, 7, 9, 15, 16, 18 AOL · 60 AT&T · 1, 22
logins · 9, 48
O Outpost · 35
B
P
Bombas · 8 BUGS · 20
Pharming · 62 Phishing · 60, 61, 63, 64, 65, 66, 68 programas · 1
C
R
Core War · 1, 3 Ralf Burger · 2 REAPER · 2 Rootkit · 19, 47, 48, 49, 51, 52, 54, 56, 68 RootkitRevealer · 49
D DEC · 2 detectar virus · 10 DNS · 37, 62
S
F
software · 2, 22 Spyware · 24, 36, 37, 38, 40, 41, 42, 43, 44, 46, 47, 68
firewall · 21, 22, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34
T TeaTimer · 46
H V
Heurística · 11 Hoax · 56, 57, 58, 59, 68
Virus · 1, 3, 4, 6, 7, 10, 14, 15, 17, 20, 22, 3, 6, 11, 41
I
W
Identificación de un virus · 10 infección · i, 2, 8, 11, 15, 16, 2, 9, 13, 14, 41, 42
Windows Explorer · 52 Worms · 9
69 17/03/2013 17:27