Malware - S.A.B.I.A.

Transcripción

10 de mayo
Malware 2009 Trabajo llevado a cabo durante el segundo cuatrimestre de la Asignatura de Seguridad de los Sistemas Informáticos 2008/2009, como práctica propuesta. El trabajo ha sido desarrollado por el alumno don José Luis Martínez Leyva. MALWARE
10 de mayo de 2009
Índice:
1.
2.
3.
4.
4.1.
4.1.1
4.1.2
4.1.3
4.1.4
4.1.5
4.1.6
4.2.
4.3.
5.
5.1.
5.2.
5.3.
5.4.
5.5.
6.
6.1.
6.2.
6.3.
6.4.
6.5.
6.6.
6.7.
6.8.
6.9.
6.10.
6.11.
6.12.
7.
7.1.
7.2.
7.3.
7.4.
7.5.
7.6.
7.7.
8.
Introducción ………………………………………………………
Conceptos generales de seguridad informática …………………..
Programas Maliciosos (Malware) …………………………………
Clasificación del software malicioso ……………………………...
Genéricos ………………………………………………………….
Virus ………………………………………………………………
Gusano ……………………………………………………………
Troyano ……………………………………………………………
Bomba lógica o de tiempo …………………………………………
Espía ……………………………………………………………….
Agujeros-Trampa del software …………………………………….
Secundarios ……………………………………………………….
Gráficos resumen …………………………………………………..
Detalles históricos acerca del software malicioso …………………
Génesis (años 40 y 50) ……………………………………………..
Nace el Malware (años 70 y 80) y los “inmunizadores” …………..
El apogeo del Malware ……………………………………………..
El nuevo milenio: amenaza global ………………………………...
La explosión global del malware (2007) ………………………….
Detalles sobre los casos más recientes de software malicioso ……
Ataques de Phising ………………………………………………..
Ataques de Spoofing (contra teléfonos móviles) ………………….
Spam que no cesa …………………………………………………
Falso Antivirus …………………………………………………….
Herramientas de conexión inversa ………………………………..
Redes sociales
…………………………………………………….
Troyano Download ………………………………………………..
Gusanos que atacan a redes sociales ………………………………
Redes inalámbricas maliciosas …………………………………….
El Freeware que sale caro …………………………………………
Ingeniería social …………………………………………………..
Otros detalles recientes …………………………………………….
Cómo conseguir niveles óptimos de seguridad ……………………
Análisis de riesgos ………………………………………………....
Puesta en marcha de una política de seguridad ……………………
Amenazas “no informáticas” ………………………………………
Consideraciones sobre el software ………………………………..
Consideraciones sobre la red ………………………………………
Algunas afirmaciones falsas sobre seguridad informática ………..
Nivel óptimo de seguridad y protección de la información ………
Conclusión y síntesis
….………………………………………...
José Luis Martínez Leyva Página
Página
Página
Página
Página
Página
Página
Página
Página
Página
Página
Página
Página
Página
Página
Página
Página
Página
Página
Página
Página
Página
Página
Página
Página
Página
Página
Página
Página
Página
Página
Página
Página
Página
Página
Página
Página
Página
Página
Página
Página
3
4
9
11
11
11
14
15
18
19
22
23
36
38
38
39
42
49
55
56
57
57
58
59
60
60
61
61
62
63
64
64
66
67
68
68
69
69
70
70
72
Página 2 MALWARE
10 de mayo de 2009
1. Introducción.
“Sentenciado a 4 años de cárcel por distribuir software malicioso”.
“El “Rey del Spam” es sentenciado a 3 años y 11 de prisión”.
“Cinco años de presión a personas que vendían software ilegal”.
“Spammer condenado a más de dos años de prisión”.
Titulares de noticias aparecidas en prensa.
Hace sólo unos pocos años, este tipo de noticias eran simples anécdotas, sin
embargo, hoy día son relativamente frecuentas y no solo eso, también es
frecuente encontrarnos con spammers1 y hackers2 que son obligados a pagar
multas millonarias. Por ejemplo, el personaje conocido por John Schiefer
(“botmaster”), asesor de seguridad informática en la ciudad de Los Ángeles,
que con tan solo 26 años infectó más de 250.000 ordenadores para,
haciéndelas zombis3, robar información personal como identidades y cuentas
bancarias, acaba de ser sentenciado a 4 años de cárcel con el cargo de
distribuir software malicioso.
De acuerdo con los fiscales, Schiefer hacía uso de cierto software para
infectar computadoras y convertirlas en zombis. Todos estos equipos
1
Profesional experto en informática situado en la cúspide del conocimiento en la materia específica de que se
trate; en éste trabajo se confundirá muy a menudo con el término cracker (el hacker malicioso).
2
Distribuidor de correo electrónico basura.
3
Zombi, ordenador que infectado por algún tipo de software malicioso ejecuta determinadas actividades dañinas
por un tercero que lo controla.
José Luis Martínez Leyva Página 3 MALWARE
10 de mayo de 2009
formaban parte de una red de bots4 . Además tendrá que pagar la suma de
$19,000 dólares a PayPal5 y otras empresas que resultaron perjudicadas.
Por otro lado, en reciente estudio la empresa Google asegura que una de cada
diez páginas de Internet contiene algún tipo de software malicioso. La
ubicación de código malicioso en sitios de internet representa una tendencia
distinta a los métodos más tradicionales de infectar computadoras, como por
ejemplo la utilización de archivos adjuntos a mensajes de correo electrónico.
De acuerdo con la investigación, el aumento del contenido generado por
usuarios le ha ofrecido a los delincuentes nuevos canales para atacar, por ello
los mensajes dejados en blogs y foros podrían contener vínculos a imágenes y
otros contenidos que podrían infectar al usuario.
2. Conceptos generales de seguridad informática.
La seguridad informática consiste en asegurar que los recursos del sistema de
información (hardware y software) de una organización sean utilizados de la
manera que se decidió y que el acceso a la información allí contenida así
como su modificación sólo sea posible a las personas que se encuentren
acreditadas y dentro de los límites de su autorización.
Un sistema informático es seguro (aunque como veremos nunca al 100%), si
se encuentra libre de peligro, daño o riesgo, que provoque malfuncionamiento
del mismo o que de él se obtengan resultados no deseados. Para que un
4
BOT Robot en diminutivo, se trata de un programa informático que realiza diversas actividades imitando el
comportamiento humano.
5
PayPal, empresa que se dedica a ofrecer servicio de pago por internet siempre que disponga de una cuenta de
correo electrónico
10 de mayo de 2009
sistema se pueda definirse como seguro, la información que contenga ha de
estar sujeta a las características siguientes:
-
Integridad: solo modificable por el que la creó.
Confidencialidad: accesible solo por el que esté autorizado.
Disponibilidad: accesible cuando se necesite.
No Repudio: que su autor no pueda negar que lo es.
Términos relacionados con la seguridad informática que hay que diferenciar:
2.1. Activo:
Recurso del sistema de información o relacionado con éste, necesario
para que la organización funcione correctamente y alcance los objetivos
propuestos.
Se trata del elemento a proteger dentro del sistema y puede ser de tres
tipos: la información en sí, elementos que soportan a dicha información
(software y hardware) y los usuarios que la manejan.
El activo más importante de la organización, se trata sin duda de la
información, y más allá de los obstáculos físicos que interpongamos
contra los posibles atacantes, es necesario establecer una serie de
medidas que garanticen también la seguridad lógica, resguardando los
datos y hacerlos solo accesibles a aquellos que estén autorizados; estas
medidas compendiadas constituyen las políticas de seguridad que son
consecuencia de un oportuno análisis de riesgos anterior.
2.2. Amenaza:
Evento que podría propiciar un incidente en la organización, originando
daños materiales o pérdidas inmateriales en sus activos.
Las amenazas pueden deberse a fenómenos tales como:
- Interrupción: se daña, pierde o deja de funcionar un parte del
sistema, por ello su detección es inmediata y como ejemplo
tenemos la destrucción de hardware, borrado de programas o datos,
o fallos en el funcionamiento del sistema operativo.
- Interceptación: acceso a información por quienes no están
autorizados; difícil de detectar o imposible como hacer copia ilícita
de programas o hacer una escucha en línea.
10 de mayo de 2009
- Modificación: acceso sin autorización con objeto de cambiar algo
del sistema; de difícil detección aunque posible como por ejemplo
cambios en el hardware o modificación de bases de datos.
- Generación: crear nuevos objetos en el sistema o falsificaciones, de
difícil detección como por ejemplo añadir nuevos registros en una
base de datos o realizar transacciones en la red sin autorización.
Un posible escenario resumen de las amenazas podría ser el siguiente:
2.3. Impacto:
Dada una determinada amenaza, la medida de las consecuencias de que
se materialice, claro está dependiendo de los activos del sistema, sería el
impacto. Existente una vulnerabilidad en determinado sistema (o, y
valga como sinónimo, debilidad o bug6), ésta pasará a ser amenaza (o
posible evento dañino) sobre el sistema cuando es fácil de explotar en
cualquier sistema que la contenga, pasando a ser un riesgo (que veremos
a continuación), que podría producir un impacto sobre el mismo tanto
más grave conforme a la criticidad de la parte del sistema en que pueda
actuar, no dependiendo, por tanto de la vulnerabilidad en sí.
Un ejemplo claro fue el de la comprobación de que el algoritmo de hash
MD57 (resumen de 128 bits) estaba realmente comprometido dada una
6
Bug del inglés polilla, proviene del error computacional que antiguamente se producía sobre los relés de las
primeras computadoras cuando estos insectos se incrustaban en los circuitos aprovechando el calor que
desprendían; hoy día se trata en general de debilidad o vulnerabilidad del sistema.
7
MD5 (abreviatura de Message-Digest Algorithm 5, Algoritmo de Resumen del Mensaje 5) es un algoritmo de
reducción criptográfico de 128 bits.
10 de mayo de 2009
posible explotación de colisiones (colisión fuerte8) para generar
certificados falsos.
En esencia, existe una Ley básica en seguridad informática que mide el
impacto total sobre un sistema en razón a su coste económico: en
general un medida encaminada a desfavorecer un posible impacto sobre
un activo no ha de ser de mayor coste que el activo a proteger, teniendo
en cuenta la posibilidad de materialización de la amenaza.
2.4. Riesgo:
Posibilidad de que se produzca un impacto determinado en un Activo
del sistema, en un Dominio o en toda la Organización.
Como veremos, el proceso de identificación y evaluación del riesgo a
sufrir un ataque y perder datos, tiempo y horas de trabajo, comparándolo
con el costo que significaría la prevención de este suceso, es un Plan
estratégico consecuencia del análisis de riesgos pertinente, el cual nos
permitirá alcanzar el nivel de seguridad adecuado y de paso conocer
mejor el sistema a proteger (cuestión no baladí); Magerit9 o Chinchon10,
aplicaciones gratuitas, constituyen buenas herramientas para llevar a
cabo un buen análisis de riesgos.
Como ya se dijo en el último párrafo del punto anterior, y redundando
en ello, detrás del análisis de los riesgos sobre un sistema está el factor
económico, que mide el activo en peligro. Básicamente llevaremos una
labor de protección sobre el activo si se cumple la siguiente ecuación:
¿B < P ∗ L?
- B: carga o gasto que significa la prevención de una pérdida específica
debido a una vulnerabilidad.
- P: probabilidad de que se vea afectada dicha vulnerabilidad y ocurra esa
pérdida específica.
- L: impacto o coste total que significa la pérdida específica debido a esa
vulnerabilidad que ha sido afectada por una amenaza.
8
Posibilidad computacional relativamente fácil de encontró un par de mensajes origen distintos con un hash
igual Æ Paradoja del cumpleaños: Para tener confianza en encontrar dos mensajes con el mismo resumen h(M)
-probabilidad ≥ 50%- no habrá que buscar en 2n (p.e. 2128), bastará una búsqueda en el espacio 2n/2 (264).
¡La complejidad algorítmica se reduce de forma drástica!
9
MAGERIT, metodología de Análisis y Gestión de Riesgos de los Sistemas de Información elaborada por el
Consejo Superior de Administración Electrónica para minimizar los riesgos de la implantación y uso de las
Tecnologías de la Información, enfocada a las Administraciones Públicas.
10
CHINCHON, software consiste en una herramienta para el análisis de riesgo bajo la metodología Magerit 1.0.
Requiere runtime de Java2 (Utiliza XML para especificar el sistema cuyos datos se desean analizar).
10 de mayo de 2009
2.5. Vulnerabilidad:
Como ya se ha dejado entrever anteriormente, se trata de un defecto tal
en el activo o sistema, resultado de un error durante el proceso de
creación o implementación, que puede ser aprovechado por un evento
dañino o amenaza para producir determinado impacto. Es importante
conocer las vulnerabilidades más típicas, como por ejemplo:
- Homogeneidad del sistema, como por ejemplo la utilización de
aplicaciones de red o sistemas operativos únicos, donde aun no
siendo más fácil llevar a cabo un ataque, su daño es mayor pues
afectaría al todo.
- Defectos del software o bug (en un uso más limitado que el
utilizado anteriormente) del mismo que han de solucionarse con los
oportunos parches.
- Súper usuario: aquel que lo puede hacer todo sobre el sistema o
súper privilegiado por el administrador sin serlo, realiza
modificaciones internas que se traducen en inadecuadas cuando no
existen controles más estrictos, pudiendo generar fallos de
seguridad aprovechables por el Malware.
- Código sobre privilegiado: en algunos sistemas se resumen en la
permisividad de ejecución de todo tipo de aplicaciones o programas
por parte del usuario sin limitarse a su dominio, pudiendo ser
aprovechado por Malware para ejecutarse si no se tiene especial
cuidado en garantizar las fuentes del mismo.
2.6. Ataque:
Evento dañino que, con éxito o sin él, atenta sobre el buen
funcionamiento del sistema. Como ya se ha dicho en apartados
anteriores, estos ataques pueden ser de interrupción, de interceptación,
de modificación y de generación.
2.7. Desastre:
Interrupción de la capacidad de acceso a información y procesamiento
de la misma a través de computadoras necesarias para la operación
normal de un negocio.
Considerados seguros tanto software como hardware del sistema, y
abundando sobre los puntos 2.6 y 2.7 anteriores, donde se denota una
intencionalidad, existe otro tipo de amenaza que podríamos caracterizar
10 de mayo de 2009
como “no informática11”, imprevisible y hasta cierto punto inevitable. Estos
fenómenos pueden ser causados por:
- Un usuario del sistema al que provoca un daño porque no le
importa, o se descuida o lo hace.
- Una mala manipulación del sistema que provoque un robo, un
incendio o una inundación, que lo dañe.
- “Pujas de poder” entre los miembros de un mismo sistema que
provoquen irregularidades o incompatibilidades que lo dañen o lo
pongan en peligro.
- Un intruso que consigue acceder a los activos del sistema sin tener
permiso para ello: cracker12, hacker13, viruxer14, script kiddie15,
etcétera.
- Programas maliciosos o malware: programas destinados a
perjudicar o a hacer un uso ilícito de los recursos del sistema. Éstos
los veremos en el punto siguiente.
3. Programas maliciosos (Malware).
El concepto es sencillo, en esencia se trata de un programa o código oculto en
otro “contenedor”, que instalado (con intención de y/o maldad) en el
ordenador, y que abriendo una puerta a intrusos o bien modificando los datos,
produce determinados daños.
Estos programas pueden ser un virus, un gusano, un troyano, una bomba
lógica o de tiempo, un espía, o los agujeros-trampa (estos últimos con
alguna reserva). Aunque hay más, y tanto unos como otros los veremos a
continuación, se puede decir que son variantes o composiciones de los
primeros.
11
Informática entendida como tratamiento automatizado (por medio de ordenadores) de la información bajo un
conjunto de métodos, procesos, técnicas y desarrollos con el objeto de almacenar, procesar y transmitir
información (datos) de forma electrónica (digital); una forma de entender el tratamiento de la información que
en principio no tiene en cuenta sus posibles usos maliciosos, aunque es muy cierto que existen técnicas
informáticas que proveen usos malintencionados contra los datos almacenados o en transmisión en ordenadores
o redes informáticas respectivamente. Por ello, el término “no informáticas” podría no considerarse del todo
correcto.
12
Es cualquier persona que viola la seguridad de un sistema informático de forma similar a como lo haría un
hacker, sólo que a diferencia de este último, el cracker realiza la intrusión con fines de beneficio personal o para
hacer daño.
13
Experto en varias o alguna rama técnica relacionada con la informática.
14
Gente que investiga la programación de código de autorreplicación, intenta conseguir cierta reputación o
utilizan los virus como herramientas para hacer una declaración personal, social o política
15
Cracker inexperto que usa programas, scripts, exploits, troyanos, ataques de denegación de servicio (DoS),
etcétera, creados por terceros para romper la seguridad de un sistema
10 de mayo de 2009
Un acercamiento mayor al concepto Malware (del inglés Malicious
Software), nos indica que siendo un programa instalado con el objeto de
hacer algún daño (del que existe un amplio abanico de posibilidades pues
puede ser tan solo un espía que no produzca daños directos sobre el sistema
sino contra el propietario o usuario) contiene el matiz de desconocimiento
previo por parte del usuario o administrador del sistema. Para tratar de
precisar de lo que estamos hablando, hay que diferenciar el término Malware
del de virus, pues éste último comprende uno de los tipos del primero, aunque
en muchos medios se confunden o simplemente por comodidad se usan
indistintamente.
Como veremos un virus es un programa que se infiltra en archivos del
computador (sobre todo ejecutables) con el fin de propagarse a otros archivos
y así esparcir su carga dañina sobre el sistema objeto en general o sobre algún
activo del mismo en particular, mientras que el Malware se aplica sobre
aplicaciones, computadores, sistemas operativos o redes con
funcionamientos.
El Malware, aprovecha las vulnerabilidades del sistema de tal modo que,
dependiendo de su modalidad, y aprovechándose de ellas, esparce o ejecuta
su carga dañina con múltiples propósitos.
Para el estudio y clasificación del Malware, lo llevaremos a cabo mediante
algún gráfico, al que se acompañará una definición lo suficientemente clara,
hablaremos sobre su funcionamiento básico, se señalarán las vulnerabilidades
que explota, las amenazas que representa y las posibles contramedidas contra
su actividad.
10 de mayo de 2009
4. Clasificación del software malicioso.
Dado que bajo la definición de Malware o software malicioso, aparte de una
clasificación genérica que ya se ha mencionado, tenemos multitud de
variantes y/o composiciones con nombres más o menos descriptivos, veremos
dos clasificaciones para determinar de una manera más comprensiva por una
lado los tipos o modalidades principales (genéricos) y por otro, los demás o
secundarios, como se ha dicho, variantes y/o composiciones de los primeros,
además de diversa tipología de software consecuencia de los primeros.
4.1.Genéricos:
4.1.1 Virus
a) Definición:
Programa autorreplicante que careciendo del permiso o conocimiento
del usuario “legal” altera de una u otra manera el normal
funcionamiento de un sistema o parte de él, afectando a uno o más
activos del mismo. Aquí es importante tener presente que es el propio
usuario el que lo “lanza”, aunque sin saberlo.
Características fundamentales:
- Programa independiente (una vez en el sistema no depende de
agente externo alguno).
- Se reproduce (con la capacidad de autorreplicación).
b) Funcionamiento:
Es habitual que reemplacen con su código el de los archivos
ejecutables del sistema objeto. Al ejecutarse el programa donde se
encuentra “instalado” u oculto, del que depende pues no se propaga
por sí solo, se queda como residente en la memoria RAM del
10 de mayo de 2009
computador. Al término de la ejecución del programa ejecutado
inicialmente, el virus aun queda en memoria, con el objeto de infectar
los programas que se vayan “lanzando”. De esta manera puede tomar
el control del Sistema Operativo de la máquina y finalmente añadirse
al código de más programas, grabándose en disco. De esta manera, el
proceso de réplica se ha llevado a cabo por completo.
c) Vulnerabilidades que explota:
En general afecta a los sistemas que sobre privilegian al usuario,
permitiéndole llevar a cabo cantidad de tareas sin autenticación ni
permiso especial alguno; en ejemplo claro son los sistemas de
Windows (aunque últimamente están mejorándolo), que permiten la
instalación de cantidad de software sin control por parte de usuarios
con escasa formación. Igualmente, y en paralelo, afecta a sistemas
(como Windows) con gran nivel de integración entre sus aplicaciones,
permitiendo ejecutar aplicaciones anexas al correo electrónico o
“bajadas” de internet, dentro del entorno mismo del sistema,
abriéndose paso sin restricciones y hasta su último rincón. Quizás, la
popularidad del sistema mencionado ha sido también una de las causas
por las que los “fabricantes” de este tipo de software maligno (virus)
hayan centrado sus ataques en él, sin duda.
De esta manera, y por intervención de usuarios poco cuidadosos, las
contaminaciones por virus se producen por:
- Ejecución de archivos ejecutables adjuntos al correo electrónico
con el código de virus en él “instalado”.
- Ingeniería social, donde se adjuntan links o programas que sin
saberlo, y creyendo que hacen otra cosa, lanzan el virus.
- Entrada desde interfaces con el exterior: discos, USB,
bluetooth, infrarrojos …
- Instalación de software ilegal o “pirata”.
d) Amenaza que representa:
Desde una simple broma a dañar todo el sistema, provocando, según el
nivel de “infección”, pérdidas en la productividad del sistema (pues
añade tiempos para recobrar la situación inicial), cortes en los sistema
de información o daños en los mismos datos. De todas maneras, hay
que entender que cada virus plantea una situación distinta.
Según el lugar donde se alojen pueden ser de varios tipos:
10 de mayo de 2009
- Virus del sector de arranque: capaces de llevar a cabo desde bromas
pesadas hasta destrucción total del disco duro.
- Archivo virus: se replica cuando se ejecuta el archivo ejecutable sin
quedar residente en memoria, o puede también destruir el archivo
donde se ubica al sobrescribirlo, o replicar un ejecutable .exe con
extensión .com infectado.
- Virus macro: código insertado en archivos generados por
aplicaciones con capacidad para generar macros como Word o
Excel.
- Virus BAT: instalados en la fila del ejecutable por lotes para llevar a
cabo sus fines.
- Virus de internet: aprovechan la red para expandirse y replicarse.
e) Posibles contramedidas contra su actividad:
Medidas activas
- Antivirus: programas que tratan de descubrir el rastro conocido que
ha podido dejar el virus en su “infección”, basándose en una más o
menos extensa base de datos. Pueden detectar y eliminar el virus,
pero también pueden contener su propagación, notificando al usuario
la incidencia y posibles acciones a realizar.
- Filtros de ficheros o firewall: software que se utiliza en sistemas
conectados a una red y que pone a disposición del usuario solo
determinados recursos según las políticas de seguridad seguidas.
Medidas pasivas
- Limitación de conexiones de medios de almacenamiento masivo sin
control, como llaves USB, disquetes, Cd’s, etcétera.
- No instalar software que no sea original y/o sin licencia.
- Limitar descargas descontroladas de software de internet.
- Evitar abrir ficheros adjuntos en mensajes de correo electrónico de
remitente desconocido o no fiable.
- Cuidado con los archivos ejecutables con apariencia de otra cosa
sobre todo en entornos como Windows donde la extensión está
deshabilitada por defecto.
10 de mayo de 2009
- El uso de aplicaciones P2P podría ser pernicioso y fuente común de
entrada de virus, solo un uso responsable y controlado puede
permitir que el sistema permanezca limpio.
4.1.2 Gusano
f) Definición:
Programa que a diferencia del Virus tiene la capacidad de
autorreplicarse aprovechando ciertos procesos que corren de forma
transparente al usuario en los sistemas operativos, y a diferencia
también del Virus, no corrompen ficheros, sino que residen en la
memoria RAM y desde allí llevan a cabo su labor “maligna”.
- Se reproduce (con la capacidad de autorreplicación).
g) Funcionamiento:
Basan su actividad y se hacen peligrosos dentro de una red,
reproduciendo copias de sí mismos que son enviadas al resto de
terminales de la red donde se han infiltrado por medio de los procesos,
que como se ha dicho, corren de forma automática e inadvertida para
los usuarios usando internet y otras aplicaciones y protocolos como
SMTP, IRC16, P2P17, etcétera.
16
IRC (Internet Relay Chat) es un protocolo de comunicación en tiempo real basado en texto, que permite
debates en grupo o entre dos personas y que está clasificado dentro de los servicios de comunicación en tiempo
real; se caracteriza por tener que acceder de antemano a un canal para comunicarse.
10 de mayo de 2009
h) Vulnerabilidades que explota:
Atacan sobre todo las debilidades que pueden contener los Sistemas
Operativos en relación con esos procesos automáticos internos y
transparentes al usuario, o simplemente engañando al mismo
utilizando cebos diversos como archivos adjuntos a correo electrónico
o mensajes en la WEB con hipervínculos a lugares inadecuados.
i) Amenaza que representa:
Su incontrolada replicación puede originar el colapso del sistema al
ocupar todo el espacio de memoria RAM, haciendo “penosas” las
labores corrientes del sistema, volviéndolas lentas o no dejando
ejecutarlas. También puede provocar el colapso de la red, generando
tráfico basura descontrolado, volviendo lentas o imposibles las labores
de red propias del sistema.
j) Posibles contramedidas contra su actividad:
Medidas activas
Igual que para los virus, incluyendo un software anti virus que incluya
en sus oportunas bases de datos información sobre gusanos y
heurísticas bien diseñadas.
Parches de seguridad sobre vulnerabilidades del Sistema Operativo o
aplicación de red, que el fabricante va conociendo.
Medidas pasivas
Igual que para los virus.
4.1.3 Troyano
k) Definición:
Programa que se aloja en el sistema y que es capaz de “abrir puertas” a
usuarios externos de una red, con el fin de llegar a controlar el sistema
donde se aloja o recabar cierta información del mismo,
diferenciándose de un virus en que éste actúa de forma destructiva y
17
Una red peer-to-peer (o P2P) es una red de computadoras en la que todos o algunos aspectos de esta
funcionan sin clientes ni servidores fijos, sino una serie de nodos que se comportan simultáneamente como
clientes y servidores respecto a los demás nodos de la red.
10 de mayo de 2009
aquel, bajo apariencia inocua u oculto, permite el acceso desde el
exterior.
El control del sistema permite llevar a cabo la labor de destrucción del
mismo mediante la introducción de otro software malicioso utilizando
“el canal” que ha dejado abierto el troyano.
- Programa dependiente (una vez en el sistema depende de agente
externo para llevar a cabo su daño).
- No se reproduce (no tiene por tanto la capacidad de
autorreplicación).
l) Funcionamiento:
Normalmente es un software de alguna manera “escondido” en una
aplicación de uso normal, incluso del propio sistema operativo, o en
un archivo imagen, música o video, que se instala en el sistema sin ser
advertido, una vez se ejecutan éstos. Por ello, disfrazado de una
utilidad, se manejan de forma oculta para llevar a cabo su labor
maliciosa.
Consta de dos partes fundamentalmente, un lado cliente, que es quien
envía las funciones a realizar por el sistema infectado, y un lado
servidor, que es quien recibe y realiza las funciones ordenadas por el
cliente; por otro lado puede contener una librería y un editor, este
último instalado en el servidor y que lo va a permitir modificar por
parte del hacker desde el lado cliente.
El tráfico cliente-servidor puede ser directo, cuando es el cliente el que
inicia la conexión con el servidor, o inverso, cuando es al contrario,
cuyo resultado es más eficaz pues traspasa fácilmente la mayoría de
los firewall que no suelen analizar el tráfico saliente.
10 de mayo de 2009
Es típica la forma de actuar del troyano cuando el servidor infectado
se convierte en una especie de esclavo o “zombi” controlado por el
cliente hacker, y éste, teniendo bajo su control un amplio número de
ellos, los utiliza para llevar a cabo, por ejemplo, ataques de
denegación de servicio contra otros servidores (de empresas o
administraciones) para bloquearlos, o remisión de gran cantidad de
correo basura (Spam) con varios fines.
Otros usos que lleva a cabo el cliente mediante el troyano contra el
servidor son los siguientes:
-
-
Borrado o sobre escritura de datos.
Apaga o reinicia el equipo.
Toma control del hardware del equipo.
Recolecta direcciones de correo para uso ulterior (como veremos es
un uso típicamente de espía).
Introduce virus o gusanos en el equipo o red a la que pertenece.
Abre puertos del equipo para uso ulterior.
Labores de keylogger (monitorización de pulsaciones), como por
ejemplo para conocer número de tarjeta de crédito, contraseñas,
etcétera.
Mediante ingeniería social consigue datos del usuario en su
provecho (uso típico de espía).
Captura de pantallas.
Introduce software espía.
Permite acceso remoto a herramientas de administración.
Descarga o sube archivos a internet.
Degrada archivos y general el sistema, haciéndolo lento e
inoperante.
Etcétera.
m) Vulnerabilidades que explota:
Puede considerarse un virus a los efectos de las vulnerabilidades que
explota pues la manera que tiene de introducirse en los sistemas es
mediante el disfraz de la inocuidad o el engaño: ficheros adjuntos al
correo electrónico, visita a sitios web poco fiables, ficheros en
dispositivos de almacenamiento descontrolados.
También son vulnerables los equipos donde se ejecutan servicios
propios de http, ftp o smtp, así como los que usan programas de
10 de mayo de 2009
compartición de archivos (mensajería, P2P), que abren puertos que
facilitan la labor del atacante.
n) Amenaza que representa:
Un troyano en sí no es dañino, pues es el uso que de él haga el
atacante o hacker de lo que dependerá el efecto más o menos dañino al
sistema. El daño por tanto, será tanto como lo sea, por ejemplo, el
programa malicioso que se introduzca en el sistema a través de la
“puerta abierta” que ha dejado el troyano.
o) Posibles contramedidas contra su actividad:
Medidas activas
Igual que para los anteriores, incluyendo un software anti troyano con
sus oportunas bases de datos y heurísticas bien diseñadas.
Parches de seguridad sobre vulnerabilidades del Sistema Operativo o
aplicación de red, que el fabricante va conociendo.
Medidas pasivas
Igual que para los anteriores.
4.1.4 Bomba lógica o de tiempo
p) Definición:
Básicamente un troyano, pero diferenciándose de él en que no es el
lado cliente el que inicialmente toma la iniciativa de activación del
mismo bajo demanda, siendo una determinada fecha/hora o número de
ejecuciones en las bombas de tiempo, y por reunir determinados
requisitos el sistema en las lógicas.
10 de mayo de 2009
autorreplicación).
q) Funcionamiento:
De manera idéntica a la de los troyanos se inician o se activan por
ejemplo:
- Bombas lógicas: pulsación de una tecla o una combinación de las
mismas, levantamiento de un interfaz de red concreto, ejecución de
un archivo concreto del sistema operativo o una aplicación, etcétera.
- Bombas de tiempo: día de la semana, año o mes concreto, hora del
sistema, o número de ejecuciones de determinado fichero.
r) Vulnerabilidades que explota:
Las mismas que los troyanos.
s) Amenaza que representa:
Las mismas que el troyano.
t) Posibles contramedidas contra su actividad:
Las mismas que el troyano.
4.1.5 Espía
u) Definición:
Programas que sin consentimiento del usuario, sea persona u
organización, recopila información para usos diversos. Se trata de un
troyano avanzado de origen Adware o mensaje publicitario.
10 de mayo de 2009
autorreplicación).
v) Funcionamiento:
Surcando el espacio de la Web, trata de hacerse con la información de
los usuarios haciéndoles cliquear sobre determinados enlaces que, de
forma creíble parecen ser lo que no son y donde han de introducirse
datos sobre sí mismos, o simplemente llevan a cabo labores de
monitorización del sistema observando el uso que de los recursos web
efectúan los usuarios, recogiendo una serie de información de cierto
valor para el atacante.
También puede ser usado de forma legal por parte de las autoridades
para monitorizar el uso de las máquinas de ciertos usuarios en busca
de delitos de toda índole.
Hay varios tipos, principalmente tres, los benignos (recogen ciertos
datos personales de forma más o menos legal y se supone para usos
inocuos), los neutros (ciertas empresas como google o yahoo los
utilizan para conocer los hábitos de sus navegantes; no producen daño
al usuario pero pueden ser molestos por la exigencia de recursos del
sistema que requieren) y los malignos (los generados por hackers para
sus fines interesados y en ocasiones ilegales).
Señalar que el uso de cookies en el sistema podría tener que ver con
los usos del típico software espía pues al fin y al cabo recopila
información de sesión de los usuarios que aprovecha para futuras
conexiones e incluso aprovecha su contenido para seleccionar perfiles
publicitarios.
10 de mayo de 2009
w) Vulnerabilidades que explota:
Las propias de virus y troyanos, aunque es común en equipos con
sistemas operativos “piratas”.
x) Amenaza que representa:
El recoger información personal sin autorización es en sí un daño que
se produce al usuario pues contraviene su derecho a la protección e
intimidad por ley protegidos, pero aparte produce efectos perniciosos
no deseados por el tráfico que genera en ocasiones y por la molestias
que provocan al llevar a cabo acciones no deseadas, como la aparición
repentina de pop-ups de publicidad no deseada.
y) Posibles contramedidas contra su actividad:
Medidas activas
- Igual que para los anteriores, incluyendo un software anti espía con
sus oportunas bases de datos y heurísticas bien diseñadas.
- Parches de seguridad sobre vulnerabilidades del Sistema Operativo
o aplicación de red, que el fabricante va conociendo.
- Utilización de Sistemas Operativos genuinos.
- Mantenimiento y control de las cookies, historial de navegación y
archivos temporales, borrándolos de vez en cuando.
Medidas pasivas
- Limitar descargas descontroladas de software de internet.
- Evitar abrir ficheros adjuntos en mensajes de correo electrónico de
remitente desconocido o no fiable.
- Cuidado con los archivos ejecutables con apariencia de otra cosa
sobre todo en entornos como Windows donde la extensión está
deshabilitada por defecto.
10 de mayo de 2009
- El uso de aplicaciones P2P podría ser pernicioso y fuente común de
entrada de virus, solo un uso responsable y controlado puede
permitir que el sistema permanezca limpio.
4.1.6 Agujeros-Trampa del Software
z) Definición:
Código de alguna manera oculto sobre todo en los Sistemas
Operativos, aunque también en otras aplicaciones, que sus creadores
han dejado de tal manera que en determinadas condiciones o a
demanda podría ser una puerta de acceso “sin la autenticación” debida
en los sistemas donde trabaja, y lo que es peor, sin restricciones y con
total impunidad, con el fin de llevar a cabo tareas malignas en su
beneficio, aprovechando tal vulnerabilidad por ejemplo “cargando”
otro malware.
Aunque no se trata de un software preparado expresamente para hacer
daño, puede considerarse un malware de forma estricta pues es una
puerta abierta al control del sistema.
autorreplicación).
aa) Funcionamiento:
Se trata de hacer uso por ejemplo de una determinada combinación de
teclas que en determinadas configuraciones de los sistemas dan acceso
sin restricción y sin la autenticación debida al atacante que ha dejado
el agujero-trampa preparado.
10 de mayo de 2009
bb) Vulnerabilidades que explota:
“Errores” que el programador ha dejado en el software sin revisar, o
pirateado.
cc) Amenaza que representa:
La de cualquier software malicioso que introduzca en el sistema
aprovechando la “trampa” dejada.
dd) Posibles contramedidas contra su actividad:
Medidas activas
- Parches de seguridad sobre vulnerabilidades del Sistema Operativo
o aplicación de red, que el fabricante va conociendo.
- Utilización de Sistemas Operativos genuinos.
Medidas pasivas
4.2.Secundarios:
Aquí los mencionaremos de forma genérica relacionándolos con uno o
más de los genéricos. Los señalados como trampa se refieren a más o
menos complicados engaños llevados a cabo por el atacante
aprovechando lo incauto del usuario o su escasez de conocimientos.
4.2.1 Adware o anuncio
Software publicitario que aparece sin previo aviso y que suele acompañar
a determinado software, pirata o shareware, o que puede ser el resultado
de una labor de espía, pero que en esencia es un troyano primitivo. En sí
no tendría que ser ilegal o pernicioso si el usuario tiene conocimiento, no
lo sería sin él, aunque hay gran controversia sobre el tema.
10 de mayo de 2009
Para limitar su aparición es oportuno manejarse cautamente con el
software gratuito, shareware o pirata.
4.2.2 Backdoor o puerta trasera
Software que permite el acceso al sistema sin la debida autentificación o
facilitando la entrada de información no deseada desde fuera, pues han
abierto algún puerto en el equipo. Se trata de un agujero-trampa y su
funcionamiento en el primer caso se asemeja al de un troyano, en el
segundo caso al de un gusano.
Se limita cuando se toman las medidas señaladas contra malware troyano
y/o gusano.
4.2.3 Badware alcalino
Software que insertado en las ventanas del sistema en internet se lanza
sobre un usuario “despistado” esparciendo su carga maliciosa de forma
similar a una mezcla de espía y puerta trasera.
Se limita cuando se toman las medidas señaladas contra malware de
puerta trasera, es decir troyano y/o gusano, y/o contra espía.
4.2.5 Bomba fork
Software que de manera muy rápida y simultánea, se auto replica como
un virus y genera tráfico intenso de procesos en el equipo al modo de un
ataque de denegación de servicio (DoS, Denial of Service) como un
gusano. Por ello no se puede considerar un gusano pues no aprovecha la
red de computadoras para propagarse, ni tampoco un virus pues no
infecta programas o documentos; se podría decir que es una composición
de características de ambos.
Para prevenir un ataque, o que éste pueda contrarrestarse
satisfactoriamente una vez ejecutado, es una buena solución limitar el
número de procesos máximo que un usuario puede hacer “correr· en el
sistema de forma simultánea, dejando espacio suficiente para restaurarlo
en caso de aparición de este tipo de malware.
4.2.6 Bot
Software robot encargado de realizar labores rutinarias del sistema que
puede ser utilizado para generar algún tipo de daño cuando se ha tenido
10 de mayo de 2009
acceso a él de forma indebida. También puede tratarse de un programa
que actuando como humano se hace pasar por él ante incautos usuarios,
engañándole para obtener datos del usuario para beneficio del atacante.
Puede lograr mediante engaño tomar el control del equipo para
convertirlo en zombi. Se habla de las redes de bots zombi o simplemente
botnet, como una colección de bots, que se ejecutan de manera
autónoma (normalmente es un gusano que corre en un servidor infectado
con la capacidad de infectar a otros servidores). El artífice de la botnet
puede controlar todos los ordenadores/servidores infectados de forma
remota y normalmente lo hace a través del IRC.
1. El operador de la botnet manda
virus/gusanos/etc. a los usuarios.
2. Los PC entran en el IRC o se usa otro
medio de comunicación.
3. El Spammer le compra acceso al operador
de la Botnet.
4. El Spammer manda instrucciones vía un
servidor de IRC u otro canal a los PC
infectados...
5... causando que éstos envíen Spam al los
servidores de correo.
Se trata de una especie de troyano-espía, por ello su prevención se basa
en la mencionada para ellos.
4.2.7 Bug
Error del software que provoca un mal funcionamiento del equipo donde
se encuentra instalado, o que, convirtiéndose en una puerta franca para el
acceso de intrusos sin autorización, permite la entrada de software
malicioso de todo tipo. Se puede considerar como un agujero-trampa,
pero éste no tiene por qué haber sido provocado de manera consciente por
el programador, pudiéndose considerar un error que no ha sido
debidamente depurado.
Su prevención consiste precisamente en llevar a cabo una buena labor de
depurado pos codificado y pruebas; pero es un hecho, que estos errores no
son siempre localizables en estos procesos, “para ello están los hacker”
10 de mayo de 2009
que de alguna u otra manera conseguirán localizarlos en su provecho. De
esta manera, los progresivos parches de los fabricantes se convierten en la
solución, por ello es necesario mantener el software actualizado.
4.2.8 Cookies
Almacenes de información del usuario en su navegación por la red que
puede ser aprovechada por un hacker para, teniendo acceso a ellas,
conseguir datos personales o historiales de navegación.
El acceso a estas por parte de intrusos, cuando están activas en el
navegador, es una forma de espía, siendo una posible solución la
desactivación de las mismas en la web o su borrado al finalizar sesión.
4.2.9 Crackers
Programa que monitorea las contraseñas de la máquina, de las que hace
uso un hacker para su aprovechamiento; por ello es un uso típico de los
troyanos o espías.
Se denomina cracker también a aquel hacker con malas intenciones.
Se prevención es la necesaria tanto para troyanos como para espías.
4.2.10 Secuestrador de archivos o Ransomware
Programa típicamente introducido por hacker mediante troyano que cifra
ficheros del sistema objeto (de cierta importancia); dicho archivo cifrado
al ser accedió por el usuario lícito lanza un mensaje anunciando que para
la obtención de la clave para descifrarlo ha de transferir cierta cantidad a
determinada cuenta bancaria en paraíso fiscal.
Para evitarlos es necesario tomar las medidas contra troyanos. Aunque de
tratarse de usuarios con ciertos conocimientos de Criptología, se podría
resolver el problema descifrando el archivo por sus propios medios pues
se trata de un tipo de cifra, la simétrica (misma clave para cifrar y
descifrar), de fácil criptoanálisis.
4.2.11 Dialers o marcadores de números de teléfono
Programa que ejecutados temerariamente por algún usuario incauto en su
navegación por internet, siempre y cuando utilice modem (en desuso),
marca de manera oculta determinado número de teléfono de tarificación
10 de mayo de 2009
especial, que incluidos en virus (por lo que aumenta su poder dañino al
ser propagados rápidamente) repercuten en beneficio económico del que
los explota.
La utilización de banda ancha ha eliminado este problema. Se tratan de un
software trampa.
4.2.12 Exploit
Componente software de algún gusano que ataca vulnerabilidades de los
sistemas operativos para demostrar precisamente eso, que son
vulnerables, por ello no son necesariamente maliciosos.
4.2.13 Falso antivirus
Programa que con la apariencia de antivirus gratuito se instala en el
sistema y hace creer al incauto usuario que tiene algún tipo de infección
(en eso no miente), y que para limpiar el sistema debe comprar la
licencia. Tratar de desinstalarlo genera errores y molestias, e incluso
informa de la necesidad de compra de un código al efecto.
En muchas ocasiones la gente se descarga programas de Internet
sin ninguna garantía, tan sólo porque se trata de programas gratuitos
(freeware). Esta circunstancia es aprovechada por los desarrolladores de
software malicioso para infectar a sus víctimas. Uno de los tipos de
software más descargado es precisamente el que se dedica a la limpieza
del malware y, por ello, un firme candidato para su suplantación.
Se trata de la consecuencia de una navegación inapropiada y podría
clasificarse como un software trampa.
4.2.14 Hijacking o secuestro
Diferentes técnica de software que roban o se adueñan de información
que pertenece al usuario; se introduce en el sistema mediante troyanos
aprovechándose de la labor de programas espía, modificando aspectos del
sistema como por ejemplo:
- Secuestro de conexiones TCP/IP en sesiones Telnet para permitir
ataques Dos.
- Modificación de una página Web desfigurando su aspecto.
- Hacerse con el dominio ajeno.
10 de mayo de 2009
- Lanzamiento de pop-ups publicitarios, modificación del motor de
búsqueda o de la página de inicio, redirigiendo la navegación al
lugar que le interesa al atacante.
- Cambio en la configuración del acceso a internet por modem (se une
al Dialer).
- Re direccionamiento de temas en determinados foros o blogs a
lugares que nada tienen que ver.
El evitarlos supone tomar las medidas oportunas contra troyano y/o espía.
4.2.15 Keyloggers o registro de teclas pulsadas
Programa espía que monitorean y analizan el sistema en busca de claves
y otros datos que el usuario ponga a disposición del atacante y a éste le
interese, mediante las pulsaciones del teclado.
Aquí pueden interesar desde claves de sesión de Windows, pasando por
las claves de acceso a determinadas aplicaciones, hasta el rastreo de
claves en páginas de banca electrónica u otros similares, incluso el rastreo
de conversaciones comprometidas o íntimas.
Es trivial ponerlo a funcionar mediante un troyano, como parte de un
virus o un gusano, pero su funcionamiento es típico de un software
espía. Si en un principio puede evitarse el rastreo utilizando interfaces
mediante ratón, actualmente los keyloggers también las monitorizan.
Las medidas contra éstos, además de las señaladas contra troyano y/o
espía, podrían pasar por localizarlos y eliminarlos exprofeso:
10 de mayo de 2009
- Si observamos especial lentitud en el manejo del teclado podría ser
síntoma de un proceso oculto de keylogging.
- Eliminable mediante el análisis del monitor de procesos, por
ejemplo.
- O se le puede engañar utilizando técnicas de despiste entre teclado o
ratón, o utilizando “el corta y pega”.
4.2.16 Hoaxes o bulos
Programa que se asemejan a virus pero que no lo es y que el precursor
solo utiliza para preocupar al usuario e incluso hacer borrar, a los
incautos, algún archivo importante para el sistema.
Puede considerarse una trampa y su prevención no pasa de ser la de un
mantenimiento de ciertos niveles de conocimiento del sistema que se está
usando.
4.2.17 Ladilla virtual
Programa maligno en general que se introducen en el sistema, pero que
tienen la particularidad de infectarlo cuando el usuario hace uso de
páginas de pornografía.
Llevar a cabo una navegación controlada y mantener las medidas
oportunas contra todo software maligno es lo que se debe hacer para
evitar infecciones de estas características.
4.2.18 Ranas o leapfrog
Programa espía que tratan de hacerse con la información de claves de
acceso y cuentas de correo almacenadas en la libreta de direcciones para
distribuir mediante correos masivos una carga maligna como por ejemplo
un gusano.
El evitarlas suma las características anti espía y anti gusano.
4.2.19 Parásito informático
Programa maligno que unido a una aplicación (ejecutable), la utiliza
para propagarse. Si se ejecuta, el parásito lo hace antes, llevando a cabo
su labor dañina concreta.
10 de mayo de 2009
En la protección del software contra estas infecciones se ha avanzado
bastante, y son las propias aplicaciones que se ejecutan quienes lo
advierten. Pero, como ya podemos imaginarnos, no sería suficiente y es
necesario mantener una política general anti software maligno.
4.2.20 Pharming o acceso a la “granja” de servidores (lista de DNS)
Software que explota vulnerabilidades del DNS en el propio equipo,
pudiendo redirigir la explotación de determinada página web a otra que
ha puesto el atacante en su lugar, uniéndose al phising en su actuación
(del que se habla en el siguiente punto). Es una forma de espía pues su
objetivo es captar información de interés, por ejemplo la necesaria para el
acceso a la página de un banco (banca electrónica) mediante la creación
de una interfaz muy parecida que engaña al usuario.
Aunque el término pharming más bien hace referencia al de fármaco, se
quiere hacer derivar de farming o farm (granja), relacionándolo con el
archivo host del sistema donde se especifica la tabla DNS que es
suplantada.
Existen dos modos de defensa ante este malware que dependen del
sistema a proteger:
- Si se trata de un gran servidor se utilizará un software especializado
para proteger el DNS.
- Para navegadores es posible la instalación de software de ayuda que
puede detectarlo, por ejemplo las barras de navegación que proveen
buscadores como google o yahoo (toolbars).
10 de mayo de 2009
4.2.21 Phising o pescando
Programas que fraudulentamente se hacen con información confidencial
de los usuarios mediante el correo electrónico o una página web
aparentemente “legales”; su funcionamiento, típicamente producto de una
labor de espía, se basa en el engaño o la trampa, lanzando interfaces
similares a las de por ejemplo un banco para robar contraseñas y vaciar
las cuentas. Estás interfaces engañosas pueden presentarse a través de un
correo electrónico o de una página web, pero también puede hacerse con
una simple carta postal, una llamada telefónica o un sms que advierte de
la necesidad de remitir de alguna manera los datos personales del incauto.
En su lucha se advierten dos métodos básicos: el de la concienciación
social y el de la técnica. Así, por un lado precisamos de la:
- Concienciación necesaria a los usuarios para que no caigan en el
engaño, sabiendo reconocer estas formas de fraude. ¿Cómo? Por
ejemplo, su banco nunca le pedirá datos personales a través de
medios inseguros como lo es el correo electrónico o un formulario
web, o dándose cuenta que los correos de servicios reconocidos
siempre harán uso de su nombre de usuario para realizar alguna
tarea.
- Utilización de técnicas por parte de los prestadores de servicio en la
Web (legales) de autenticación y de canalización segura de sesiones
a través de protocolos SSL y https, basadas en infraestructuras de
clave pública. Existen aplicaciones concretas que reconocen
contenido phising en correos electrónicos recibidos o en las páginas
Web visitada, dando a conocer su dominio real.
10 de mayo de 2009
Para evitar caer en este tipo de estafas se recomienda tomar las siguientes
medidas:
- Nunca responda a solicitudes de información personal a través de
correo electrónico. Si tiene alguna duda, póngase en contacto con
la entidad que supuestamente le ha enviado el mensaje. Nunca
llame a los teléfonos de contacto notificados en los mensajes
recibidos.
- Para visitar sitios Web, introduzca la dirección Web directamente
en la barra de direcciones. No siga los enlaces proporcionados en
un correo electrónico.
- Asegúrese de que el sitio Web utiliza cifrado. En Internet
Explorer puede comprobarlo con el icono con forma de candado
de color amarillo situado en la barra de estado. Haga doble clic
sobre el icono del candado para ver el certificado de seguridad del
sitio. El nombre que aparece a continuación de "Enviado a" debe
coincidir con el del sitio en el que se encuentra. Si no
está seguro de la legitimidad de un certificado, no introduzca
ninguna información personal. Sea prudente y abandone el sitio
Web.
- Consulte frecuentemente los saldos de sus cuentas y tarjetas de
crédito.
- Comunique los posibles delitos relacionados con su información
personal a las autoridades competentes.
4.2.22 Rabbits o conejos
Gusanos que se caracterizan por replicarse de forma muy rápida para
llenar el disco duro del equipo y colapsarlo, o por ejemplo, enviar
infinitas copias a la cola de impresión para colapsarla también; en ambos
casos se puede lograr saturar la red rápidamente.
Su defensa es la usual contra el gusano.
4.2.23 Rootkit o caja de herramientas administrativas
Conjunto de herramientas que se introducen en un sistema una vez se
tiene controlado mediante un troyano, y que permite la ejecución a
discreción del atacante de multitud de procesos en su beneficio y sin dejar
rastro.
Los métodos anti troyano son los que han de utilizarse contra ellos.
10 de mayo de 2009
4.2.24 Scumware o escoria
Software que realiza cambios significativos en una página web para
mostrar otras publicidades o anuncios en vez de las que debían ser o para
redirigir los enlaces por ejemplo a lugares no deseables o para ejecutar
acciones impropias del servicio “legal”, provocando mal funcionamiento
y mala reputación, en ocasiones llevado a cabo por la competencia. Su
funcionamiento básico podría asemejarse al de un troyano pues esconde
un código que es iniciado por un usuario, resultando no realizar la función
deseada o esperada, por ello también puede considerarse un software
trampa.
Los métodos anti troyano son los que han de utilizarse contra ellos.
4.2.25 Spam o correo basura
Correos electrónicos enviados de forma masiva a direcciones electrónica
que determinada empresa ha adquirido legal o ilegalmente con el fin de
hacer publicidad de sus productos. Aunque se relaciona más con el correo
electrónico, es una realidad que este tipo de mensajes no solicitados
empiezan a abrirse camino en blogs, foros, noticias, motores de búsqueda,
diccionarios, pop-ups, imágenes y texto en muchas páginas web, e incluso
en el teléfono móvil. Producto de una labor de espía previa de las
direcciones de correo electrónico e incluso de los historiales de
navegación del equipo o usuario.
Existen muchas técnicas, pero básicamente se trata de ocultar de alguna
manera las direcciones de correo electrónico para que no sean accesibles
de forma fácil por parte del Spammer:
10 de mayo de 2009
- En principio un software anti espía no viene mal.
- Un específico anti Spam es más eficaz.
- ¡Cuidado! El insertar la dirección de correo electrónico de manera
indiscriminada en la WEB como por ejemplo en las páginas
personales, foros, blogs, etcétera, permite al Spammer disponer de
ellas con facilidad, por eso es necesario ocultarlas de alguna manera:
insertarlas como imagen y no como texto, no insertar la “@” .
- Los administradores de foros y blogs deben llevar una
administración que permita llevar a cabo filtros mediante listas
autorizadas de acceso.
- No contribuir a las cadenas.
- El envío de correos masivos es poco aconsejable y si se hace, mejor
utilizando la opción de copia oculta.
- No reenviar correos sin borrar contenidos con información de correo
electrónico del anterior.
- Llevar a cabo las actualizaciones de seguridad del sistema operativo.
- Firewall y antivirus activados.
- Llevar a cabo una buena política de filtrado de correos para no
autorizar su entrada.
- Y otras.
4.2.26 Pup-ups o ventanas emergentes
Programas que generan ventanas que aparecen durante la navegación y
que de alguna manera molestan al usuario, y que suelen mostrar
publicidad o enlaces diversos. Son típicas las ventanas que se generan
durante la navegación y que solo parecen intentar abrirse para colocarse
en segundo plano, haciéndose visibles al término del la sesión con el
navegador, impidiendo que el usuario conozca el lugar donde se originó.
Se trata de una funcionalidad escondida bajo una página web, por tanto
podría considerarse un troyano, lo cual no deja de ser una afirmación
demasiado atrevida, aunque también es producto de una labor espía de la
navegación del usuario por la web en ocasiones incauta. Al tratarse de
aplicaciones en ocasiones molestas e indeseables podríamos considerarlas
como software trampa.
Es posible utilizar un software para bloquear ventanas emergentes, que
podría no ser del todo útil, pues no siempre son perniciosas. Para ello
existen bloqueadores integrados en los navegadores que realizan un
filtrado de pop-ups por contenido o a demanda.
10 de mayo de 2009
4.2.27 Spoofing
Técnica desarrollada desde 1997 para llevar a cabo suplantación de
identidad en la red para usos maliciosos, aunque también existe para la
investigación.
Se trata en fin de una trampa que puede ser de diferentes tipos:
- Suplantación de IP para llevar cabo ataques por inundación como los
de Denegación de Servicio Æ los routers actuales están protegidos
de este ataque.
- Suplantación de la tabla ARP (IP-MAC), y así, a nivel de datos de
Ethernet es posible desviar el tráfico hacia el atacante (sinffer) Æ se
pueden usar tablas ARP estáticas lo que equivale a usar IP estáticas
también (engorroso en redes grandes) o utilizar herramientas que
detecten cambios en la tabla ARP.
- Suplantación de Nombre de Dominio (falsear la relación Nombre de
dominio-IP al tratar de resolverla en un determinado servidor DNS),
provocando un envenenamiento o infección Æ cuidado con los
servidores poco fiables.
- Suplantación de una Página WEB que a modo de proxy intercepta y
modifica la información que emite la víctima hacia las WEB´s reales
que visita, saltándose incluso el protocolo SSL (no estamos
hablando aquí de Phising) Æ es difícil de detectar, por eso hay que
desconfiar si ocurre que durante la navegación la dirección IP de las
visitas, no cambia (existen plugin que permiten verlas en todo
momento).
- Suplantación de correo electrónico de otras personas o entidades
para, por ejemplo, emitir Spam o como suplemento de phising; solo
hay que configurar un servidor SMTP “pirata” al efecto Æ se
debería comprobar la IP del remitente y la del servidor SMTP, o
incluso, usar firmas digitales.
4.2.28. Troyano download
Caso específico de troyanos muy usual, que descarga otros malware
desde la Red (normalmente Internet) sin el consentimiento del usuario
para luego instalarlos en el ordenador.
Es típica la aparición de este troyano bajo la apariencia de un códec
necesario para por ejemplo, reproducir música en el Windows Media
Player.
10 de mayo de 2009
4.3.Gráficos resumen:
4.3.1. En el siguiente gráfico se muestran el porcentaje de cada una de las
amenazas actuales, y se puede apreciar que los virus (como tales) tienden
a desaparecer.
4.3.2. Gráfico donde se muestra un mapamundi con los principales
emisores de malware.
10 de mayo de 2009
4.3.3. Tabla resumen donde se especifican los seis tipos genéricos
relacionados con los veintisiete secundarios. Con una “V” si se identifica
claramente como tal (en cursiva si no está muy claro) y con una “C” si
son consecuencia de…
Virus
Adware
Backdoor
Backware Alcalino
Bomba Fork
Bot
Bug
Coockies
Crackers
Secuestrador
Dialers
Exploit
Falso Antivirus
Hijacking
Keyloggers
Hoaxes
Ladilla
Rana
Parásito
Pharming
Phising
Rabbit
Rootkit
Escoria
Spam
Pop-ups
Spoofing
Troyano Download
Gusano
C
Troyano
V
C
Bomba
Espía
C
Agujero-Trampa
V
V
V
V
Trampa
V
V
V
V
V
V
V
V
V
V
V
C
V
C
V
C
C
C/V
C/V
C
C/V
C/V
V
C
V
C
V
V
C/V
C/V
C/V
C/V
C/V
V
C/V
V
C
C/V
V
C/V
C/V
C/V
V
V
C
C
C
V
C
C
C
V
V
V
V
V
C
C
C
V
4.3.4 Tabla donde se indica para los genéricos un resumen relativo a su
carácter independiente y de autorreplicación.
Autorreplicante
Virus
Gusano
Independiente
Dependiente
No se replica
Bomba
Espía
Troyano
Agujero
4.3.5 Tabla donde se señala la relación de los genéricos respecto a su
necesidad de transmisión mediante la red.
Precisa la Red
No Precisa la Red
Ambos según caso
José Luis Martínez Leyva Gusano/Espía/Troyano
Virus
Agujero-Trampa/Bomba
Página 37 MALWARE
10 de mayo de 2009
5. Detalles históricos del software malicioso.
No se trata de hacer aquí una extensa exposición sobre la historia del
software malicioso desde sus inicios hasta la actualidad, ni tampoco
mencionar a todos y cada uno de las variantes aparecidas. Simplemente se
darán ciertas pinceladas sobre las claves históricas de mayor repercusión.
5.1. Génesis (años 40 y 50).
5.1.1. Nace el concepto de la máquina autorreplicante: virus.
Se puede considerar a John von Neumann18 como el padre del concepto
de virus. Así, en su Teoría sobre los Autómatas Autorreplicantes, como
una visión, observó que el programa escrito y persistente en el
computador con la capacidad de ejecutarse una y otra vez en su
memoria, podría de alguna manera reproducirse, llevándole a la
definición de su Máquina de von Neumann que nos conduce ya en el año
1949 al concepto de virus informático: “una máquina que extrae un
mineral hace un trabajo n en un tipo t, si esta máquina se dedica además
a construir con dicho mineral una máquina igual será más lenta en la
extracción del mineral pero poco después habrá dos máquinas realizando
el mismo trabajo, que se autorreplicarán a su vez, generando una mejora
exponencial en el trabajo”.
18
Matemático estadounidense de origen húngaro (1903-1957) que hizo contribuciones importantes en diversas
áreas del conocimiento, entre ellas la ciencia computacional o informática.
10 de mayo de 2009
5.1.2. Primeros experimentos.
A finales de los años 50 los laboratorios AT&T Bell llevaron a cabo
experimentos de lucha entre programadores que debían generar
programas que captasen la mayor parte de memoria mediante la técnica
de autorreplicación.
5.2. Nace el Malware (años 70 y 80) y los “inmunizadores”.
5.2.1. El primer virus y el primer gusano.
Se puede considerar al Creeper como el primer virus. Aparece en los 70
en ARPANET y solo mostraba un mensaje desafiando al usuario a
atraparle. Poco después aparece un antídoto contra el mismo.
También en los 70 aparece un tipo de gusano, el Dubbed Rabbit, que se
multiplicaba de manera vertiginosa una y otra vez hasta bloquear los
sistemas.
5.2.2. Primeros troyanos.
El primero de los troyanos aparece en el año 1975 (aunque no ha
podido demostrarse que lo fuese pues su autor atestiguaba que era solo
un error cometido en el código), el Pervading Animal, escondido en un
juego desarrollado para Univac 1108, que en determinadas
circunstancias (generación de respuestas encadenadas), se autocopiaba
una y otra vez. Se podía considerar también como un bug o un agujerotrampa diseñado por el creador. Se solucionó cambiando el sistema de
archivos por el nuevo Exec 8.
5.2.3. Redes distribuidas abiertas y la popularización del ordenador.
A partir de los años 80 con el avance en las tecnologías, así en las
telecomunicaciones (aparición de las BBS – Servidores de acceso
abierto donde se compartían programas y bases de datos –), como en los
propios equipos (popularidad de los ordenadores personales), fueron
apareciendo multitud de creadores de software que iban escribiendo sus
propios programas para compartirlos con los demás.
Aparecieron entonces troyanos de indudable malignidad, que aunque no
tenían la capacidad de autorreplicarse como los virus o los gusanos, sí
ponían en riesgo los equipos donde se descargaban y se instalaban.
10 de mayo de 2009
En el año 1981 aparece el virus ELK KLONER, para el sistema
operativo Apple II, en el que se propagaba mediante disquetes de inicio.
Sus efectos iban desde mensajes de broma como “se le pegará como la
goma de pegar”, hasta imágenes en rotación, pasando por textos
borrosos y otros.
En el año 1985 fue el año del virus BRAIN que insertado en los
sectores de arranque, infectó ordenadores compatibles IBM
extendiéndose por todo el mundo. Aunque no llevaba a cabo labores
destructoras, era realmente molesto pues modificaba el nombre de los
disquetes por @Brain y, haciendo visible una línea de texto donde
incluía la referencia al autor, dirección y teléfono, daba una gran
publicidad a su creador.
5.2.4. Virus para DOS y los primeros inmunizadores y antivirus.
Aparece en el año 1986 el primer programa que podía copiarse a sí
mismo en entornos DOS, añadiendo su código a los ejecutables .COM.
Se trataba del programa VIRDEM.
En el año 1987 aparece el virus VIENA y entre debate y debate sobre
sus posibles autores, lo más destacado estriba en que un tal Berna Fix
logró neutralizarlo. Se puede decir que es el comienzo de las modernas
técnicas antivirus. Pero 1987 fue un año en que aparecieron muchos más
virus: el Lehigh (Universidad de Pensilvania) destruía datos, la familia
de virus Suriv (Israel) de virus al revés que tenían como blanco los
ejecutables del sistema operativo DOS, luego algunos que infectaban el
sector de arranque de los discos como el Yale (EEUU), el Stoned
(Nueva Zelanda), y el Ping Pong (Italia), y también el primer virus autocifrado, el Cascade, que destacaba porque al iniciarse presentaba un
caída de los caracteres de la pantalla como una cascada.
10 de mayo de 2009
También en el año 1987 aparece el gusano Christmas Tree desde una
Universidad de Alemania que al activarse presentaba en pantalla un
árbol de navidad y luego enviaba copias a todos los usuarios de la red.
En 1988 aparece el virus Jerusalem, de la familia Suriv, que en muchas
empresas e instituciones del mundo operó de forma destructiva sobre los
archivos de las máquinas infectadas.
Aparecen los primeros inmunizadores que instalados en las máquinas
hacían creer a los virus conocidos que ya estaban infectados, y por tanto
no se propagaban en ellas. La aparición de más tipología los invalidó
pues no era factible crear un inmunizador para cada uno de ellos.
5.2.5. Primeros antivirus y aparición de las bromas.
Fue un año, el 1988, de amplia difusión de virus, sobre todo por culpa
del factor humano, no concienciado e incrédulo ante la amenaza. Pero
también fue un año en el que aparecen los primeros sistemas antivirus
modernos como el Norton Antivirus de Symantec. También aparece el
primero foro dedicado al tema.
En el año 1988 aparecen las primeras bromas o hoaxes, difundiendo
rumores que fueron ampliamente comentados y debatidos, llevando a los
“crédulos” al mayor de los descréditos. También aparece el gusano
Morris que provocó daños en más de 600 sistemas en EEUU, incluso en
la NASA, aprovechando vulnerabilidades del sistema operativo UNIX.
Aparece el antivirus Dr. Salomon en este mismo año.
5.2.6. Ataques a la FAT, secuestradores y Kaspersky.
En el año 1989 aparecen variantes del Jerusalem como los virus
Datacrime que formateaba a bajo nivel el cilindro 0 del disco duro con
la pérdida consiguiente de la FAT y con ella la de los datos, y el
FuManchu una variante del mismo. También aparecen los de la familia
Vacsima y Yankee, y el gusano WANK.
En ese año también aparece el primer secuestrador que al instalarse
hacía invisibles todos los archivos del sistema excepto uno que
aconsejaba pagar cierta cantidad de dinero para recuperar el sistema; fue
distribuido por medio de un disquete que ofrecía información sobre el
SIDA.
10 de mayo de 2009
Eugenio Kaspersky lanza su antivirus, y también otras compañías.
IBM desclasifica su investigación antivirus y lanza su Viruscan para
MS-DOS por 35 dólares.
5.2.7. Primeras publicaciones antivirus, y primeras comunidades de
hackers.
Es un año, el 1989, en el que se fundan las primeras publicaciones sobre
antivirus predecesoras de Secure Computing y Virus Bulletin de
Sophos.
5.3. El apogeo del Malware.
En el año 1990 los creadores de virus se afanan en darles nuevas
características y en organizarse en comunidades. Aparece el virus
polimórfico Chamaleon, que evolucionó del Viena y del Cascade,
añadiéndole mutaciones con cada infección con lo que complicaba el
uso de contramedidas que hasta esa fecha se limitaban a la búsqueda de
fragmentos de código conocido. Kaspersky fue quien halló soluciones
contra estos virus que mutaban.
Tuvo también repercusión en la década de los 90 la fábrica búlgara de
producción de virus, destacando por incorporar nuevas formas de
infección y de camuflaje. Solían atacar a las BBS y su creador más
destacado fue Dark Avenger, quien no tuvo empacho para crear su
propia BBS donde ofrecía un foro para intercambio de virus y otra
información de interés para sus creadores.
Nacen los primeros “phising”, aunque no se denominaban todavía así; se
trataba de conseguir números de tarjeta de crédito válidos para el acceso
a los servicios AOL19. Los hackers obtenían así accesos legítimos a este
servicio de modo fraudulento.
5.3.1 El apogeo del Malware, la comunidad internacional reacciona.
Fue curiosa e histórica la infección que tuvo lugar durante el año 1990
provocada por el virus Diskkiller por haber sido distribuido en un
disquete gratuito con la revista PC Today.
19
American Online Inc., compañía de EEUU que proveía servicios y medios de acceso a Internet.
10 de mayo de 2009
Otros virus de aquel año fueron el Frodo y el Whale, de complicado
algoritmo, también los primeros virus rusos Petrburg, Voronezh y
LoveChild.
A finales del año 1990 se funda el Instituto Europeo de Investigación
Antivirus, el EICAR, en Alemania.
A partir del año 1991 se alcanza los 300 virus por lo que, dado los
problemas que ocasionan, obligan a la aparición de productos
innovadores antivirus como las evoluciones de Norton Antivirus de
Symantec.
Comunidades de Crackers aparecen por todo el mundo: Jack en Italia,
Gonorrhea en Alemania, Demoralized en Suiza, Hellpit en EEUU, Dead
on Arrival y Sernaj en Inglaterra, etcétera.
Aparece en el año 91 el virus de sector de arranque Tequila, de origen
suizo que en principio surgió con fines de estudio, pero que fue robado
para hacer daño. En general, fue un año tranquilo.
5.3.2. Ataques masivos sobre compatibles IBM y MS-DOS.
En el año 1992 los sistemas IBM o MS-DOS empezaron a sufrir los
ataques más despiadados, las vulnerabilidades de los sistemas distintos
no son caldo de cultivo para nuevos virus y por tanto, no surgen para
ellos.
Los ataques se centraban sobre los sectores de arranque de los discos del
sistema operativo MS-DOS. Auspiciado por Dark Avenger, aparece un
generador de virus polimórficos, el MTE, que los programas antivirus
tenían dificultad para detener.
Surgen iniciativas por parte de las fuerzas de seguridad para detener a
los hacker, y así en Gran Bretaña se neutralizó la comunidad clandestina
que allí existía.
En marzo de 1992 aparece Michelangelo, que causó histeria en la
prensa, aunque realmente no dañó a tantos equipos como se suponía. En
julio del mismo año surgen constructores de virus, el VLC y el PSMPC, que ¡permitía crear y personalizar tus propios virus!, de forma
similar a MTE.
10 de mayo de 2009
5.3.3. Primer virus para Windows e Intel 386.
El primer virus para Windows fue el Win.Vir 1.4 que infectaba los
ejecutables del sistema (ventanas sobre el MS-DOS antiguo).
En el año 1993 surgen nuevos virus polimórficos con mayor
funcionalidad: infección, penetración mayor en los sistemas, destrucción
de datos y camuflaje respecto a los antivirus: PMBS para sistemas 386
de Intel, el Strange (único virus “invisible” en ese momento) que
actuaba sobre ciertas interrupciones del procesador 386, el virus
Carbunclo que inicia una generación de virus “de compañía”, Emmie,
Bomber, Uruguay y Cruncher se camuflaban bien.
Windows lanza su antivirus propio para sus sistema MS-DOS que
demostró ser efectivo al principio, posteriormente fue desechado.
5.3.4. El soporte CD y correo electrónico; también Kaspersky.
En 1994 los virus reconocen la importancia del soporte CD para
propagarse.
Aparece en Reino Unido el SMEG.Pathogen y el MEG.Queeg, que
dieron durante muchos años dolores de cabeza. También aparece el
GoodTimes que causó pánico pues vía internet infectaba los equipos
mediante los correos electrónicos.
Aparecen muchos otros como el Shifter, el ScrVir (de código fuente en
C y Pascal), el OneHalf y el Zaraza, pero también nuevos productos
antivirus, donde Kaspersky gana adeptos, colocándose en el primer
lugar de los productos antivirus.
5.3.5. Windows 95, primeros macros, publicaciones infecciosas y
Scotland Yard.
En el año 1995 no aparecen significativos virus para MS-DOS, solo los
complejos Nightfall, Nostradamus y Nutcracker, y otros interesantes
como el virus “bisexual” RMNS.
Microsoft distribuyó grandes cantidades de su Windows 95 en versión
beta con el virus Form. Windows fue golpeado con dureza por el virus
Concept que en solo un mes dio la vuelta al globo.
Amipro, popular procesador de textos de los años 90 fue infectado por el
Green Stripe.
10 de mayo de 2009
Aparecen los primeros virus de macro que golpean con fuerza las
aplicaciones office, obligando a los fabricantes antivirus a revisar
conceptos para extender sus vacunas contra la nueva tipología.
En dos ocasiones la prensa fue precursora de infecciones, al ofrecer en
sus publicaciones informáticas suplementos de software gratuito en
disquetes que resultan estar infectados, así lo hace Houses PC con el
virus Sampoo y Computer Life con el virus Parity Boot.
Scotland Yard en su lucha contra el crimen cibernético da caza al autor
del virus Queeg y Pathogen, un tal Christopher Pile que finalmente fue
condenado a 18 meses de prisión.
En el año 1996 surgen virus interesantes para Windows 95, el Zhengxi,
polimórfico de origen ruso. En el mes de marzo se produce una terrible
epidemia que afectó a la plataforma Windows 3.x producida por el virus
Win.Tentacle, el primer virus creado de forma específica contra
Windows.
Aparece también en este año el primer virus para Excel, el Loroux,
similar al mismo para Word, basado en macros de Visual Basic, que
infectaba las tablas.
Varios hacker crean potentes constructores para virus de macro,
NaghtMare Joker y Wild Worker, inglés y alemán respectivamente.
Windows se ve afectado en sus productos software en CD por el virus
Wazzu. También se ve afectado por el primer virus residente en
memoria, como un driver VxD.
Se trata de un año en el que los productos de Microsoft son duramente
atacados, Windows 95, Windows NT y Microsoft Office, alcanzando
mayores cotas de evolución al ser capaces de mantenerse imperceptibles
y polimórficos, incubándose en plataformas de 32 bits.
También las compañías antivirus evolucionan, ya sí lo hace Computer
Associates al comprar Cheyenne Software y lanzar el antivirus
InocuLAN.
Se realiza la primera mención al término Phising en un grupo de
noticias de hackers.
10 de mayo de 2009
5.3.6. Virus para Linux y macros para MS Office 97.
En el año 1997 aparece el primer virus para Linux, el Bliss, pero no son
comunes dada la popularidad de Windows.
También en este año, el de la aparición del Office 97 supuso la
migración de los virus de macro para la misma, alcanzando notoriedad
el ShareFun, el primer en expandirse mediante el correo electrónico de
MS Mail.
5.3.7. Infección por FTP y miRC.
En el mes de abril de 1997 aparece el gusano Hommer que utilizó FTP
para propagarse.
Con la aparición de miRC (el chat de Internet), y que tuvo un gran éxito,
captó la atención de los hacker para difundir “sus productos”, gusanos
en su mayor parte.
5.3.8. McAfee y Dr. Salomon.
Aparece también en el año 97 Secure Corporation que utilizaba el
motor antivirus Kaspersky, pero es McAfee la mayor ahora.
Hubo durante aquel año disputas judiciales entre McAfee y Dr.
Salomon, pues la una denunciaba trucos engañosos en el funcionamiento
del otro. Pero también Kaspersky y otras se enzarzaron entre sí, y contra
McAfee con acusaciones de robo de patentes.
Surgen los primeros ataques por spoofing.
5.3.9. Troyanos evolucionan a espía, Chernobil, Corel y nuevos macros.
En el año 1998, los ataques de virus a los productos Microsoft se
acrecentaron y a la vez evolucionaron al usar nuevos modos de
infección. Así aparecen troyanos diseñados para robar contraseñas y
programas maliciosos tipo puerta trasera para lograr administración
remota sin autorización.
PC Game contribuyó sin saberlo a distribuir en sus discos infecciones
para Windows con el CIH (también conocido como Chernobil), que fue
realmente global y dañino (podía borrar la Flash BIOS y con ello obligar
al reemplazo de la placa madre) y el Mrburg.
10 de mayo de 2009
El Corel DRAW 8.1 para Mac OS se encargó de difundir el virus
AutoStart.
Surgieron nuevos virus macro para Excel y el primero para Acces,
incluso para todas las aplicaciones office a la vez, como el virus Cross
o Triplicate, que también invadía al PowerPoint. Los usuarios de
aplicaciones Microsoft empezaban a aceptar la vulnerabilidad consabida
de los productos de dicha compañía.
5.3.10. Java y scripts VBS.
En Agosto de 1998 aparece el primer módulo maligno Java ejecutable,
el Java.StrengeBrew, demostrando la vulnerabilidad de las aplicaciones
activas en Internet.
Los programas maliciosos que infectaban los scripts de VBS fueron
evolucionando y Kaspersky trató de concienciar al mundo antivirus de
dicha amenaza potencial. La acusaron a su vez de incitadora al pánico, y
poco después un tipo de virus de esta modalidad causó estragos, el
LoveLetter, con lo que tuvieron que darle la razón.
Finalmente los virus para VBS terminar escritos totalmente en HTML;
así fue el HTML.Internal focalizado contra la red.
Los creadores de virus tenían claro que un tipo de software malicioso
gusano que atacara la red y que dañara las aplicaciones office de
Microsoft tendrían marcada resonancia, y así lo hicieron, por ejemplo el
Attach que atacó Power Point y que dio grandes dolores de cabeza a las
empresas antivirus.
Proyectos como el VB 100% fueron diseñados para dar confianza a los
sistemas sobre el análisis antivirus completo. Por otro lado IBM y
Symantec realizarían esfuerzos conjuntos uniendo sus soluciones
antivirus bajo el nombre de la segunda. Mientras, la norteamericana NAI
compró Dr. Salomon, que desapareció definitivamente.
5.3.11. Las compañías antivirus se unen: CA.
CA (Computer Associates) adquiere nuevos antivirus para unirlos a los
suyos, creando CA Vet Antivirus y CA Innoculatelt. Eso fue lo más
sonoro de 1999.
10 de mayo de 2009
5.3.12. MS Outlook y la explosión global del software maligno.
También aparece el gusano Happy99 que se convirtió en epidemia
global pues permitía su reproducción a través de MS Outlook, de uso
extendió en EEUU y Europa, se trató del primer gusano moderno.
5.3.13. Más macros, y reacciones gubernamentales y Corel.
Aparece en 1998 el virus macro Calígula que atacaba MS Word y que
en busca de llaves de cifrado PGP encontraba las bases de datos que
protegía para enviarlas FTP bajo sesión remota secreta. También el
Melissa (virus macro contra MS Word) actuó para llevar a cabo su
replicación enviando correos con él adjuntos a las 50 primeras
direcciones de MS Outlook, forzando a cerrar temporalmente los
servidores de Microsoft, Intel y Lookheed Martin, produciendo pérdidas
notables.
Las fuerzas anti crimen cibernético de los EEUU “cazaron” al autor del
Melissa, un tal David Smith, que fue sentenciado a 10 años de prisión y
a una multa de 400 mil dólares. Mientras, en Taiwan “cazaron” al autor
del CIH (Chen Ing Hao).
También en este año, el virus Gala puso en peligro las aplicaciones
Corel pues infectaba todos los archivos de sus aplicaciones.
5.3.14. Gusanos y troyanos: ¡que viene el año 2000!
A finales del verano de 1999 el gusano ZippedFiles (o ExploreZip) hizo
su aparición en forma de ejecutable EXE, con la capacidad de destruir
las aplicaciones más populares del sistema. Otro gusano, el Termita,
infectaba los archivos DOS o Windows y se difundía mediante correos
enviados por la aplicación Pegasus o canales IRC.
En octubre aparece un virus específico para el Sistema Operativo Infis.
También aparece el primer virus contra MS Project y un predecesor del
LoveLetter, el Freelinks.
En noviembre surge una nueva generación de gusanos propagados vía
correo electrónico que se esparcía al leer los mensajes, se trataba del
BubleBoy, seguido del KakWorm, explotando vulnerabilidades de
Internet Explorer. Microsoft distribuyó ese mismo mes los oportunos
parches.
10 de mayo de 2009
A finales de año, tras una larga lista de troyanos brasileños, aparece el
más peligroso, el Vecna. También aparece el primer gusano-troyano
capaz de renovarse remotamente, descargándose versiones de virus
nuevas en cada conexión, se trataba del Babilonia. La misma técnica
aplicaría Sonic e Hybris.
Fue un año, el 1999, donde las empresas antivirus se plantearían dos
posiciones frente al efecto 2000:
- Los ordenadores estaban preparados para ejecutar por sorpresa
cientos de virus para destruir la civilización humana Æ mensaje:
“Instale un antivirus o aténgase a las consecuencias”.
- Mantener la calma pues dichas advertencias no tenían fundamento.
Al final llegó el año 2000 como cualquier otro.
5.4. El nuevo milenio: amenaza global.
5.4.1. Año 2000.
Los usuarios de Windows 2000 esperaban el comienzo del año con
cierto desasosiego y antes incluso del lanzamiento de la nueva versión
definitiva ya habían surgido virus contra el mismo.
10 de mayo de 2009
Proverbio, virus macro de origen ruso contra MS Word, hizo su
aparición en el 10 de Downing Street.
El virus LoveLetter rompió records, tal y como predijo, Kaspersky en
1998, contaminado archivos VBS y TXT, destruyendo las tablas de
archivos y transmitiéndose a su vez por MS Outlook.
En el mes de junio de 2000 aparece el primer virus que se contagiaba vía
teléfono móvil, se trataba del Timofónica, que aprovechaba el operador
de móvil de Telefónica, Movistar.
En verano aparecen troyanos y puertas traseras, como el BO2K. Otro
contra los archivos de AutoCAD, el Dilber que contenía a su vez una
batería con el CIH, el SK y el Bolzano que dependiendo de la fecha
activaba uno u otro, un gusano, el Jer, caracterizado por estar alojado
en páginas Web disponible para los incautos que ejecutaban su HTML.
Aparece también el Liberty, el primer troyano en afectar al Sistema
Operativo PalmOS.
En septiembre se descubre un virus, el Stream, capaz de manipular y
dañar los ADS (información asociada a los ficheros, por ejemplo iconos)
del sistema de fichero NTFS, con él cundió el pánico.
En octubre se produjeron ataques sobre los sistemas internos de
Microsoft por parte de hackers rusos, mediante el gusano QAZ. En
noviembre, la empresa Kaspersky se convierte en la mayor antivirus del
mercado.
El año 2000 fue en el que los correos electrónicos fueron la mayor
herramienta de infección (se estimaba que el 85% de las infecciones se
producía por dicha vía). También fue un año de notable actividad de los
creadores de virus contra sistemas Linux. Al final de año los virus
basados en script sustituyeron a los macro como más comunes. Éstos,
escritos en lenguajes como VBS, javascript, PHP, etcétera, infectaban
otros scripts “buenos” así como otros formatos de archivo, por ejemplo
loa HTML.
5.4.2. Internet y redes locales, también Linux (año 2001 y 2002).
Año 2001
10 de mayo de 2009
El año 2001 fue de gran actividad para las empresas antivirus, sin
embargo los ataques maliciosos no cesaron. Los virus clásicos dieron
paso a los gusanos conforme se desarrollaba Internet y las redes locales.
Software que explotaba diferentes vulnerabilidades de los sistemas se
esparcía en forma de gusano provocando serias epidemias. Así lo
hicieron el CodeRed, el Nimda, el Aliz o el Badtrasil.
Aparecen variantes del LoveLetter, el ILoveYou, el magistr y el Sircam.
Sube al 90% el número de infecciones como consecuencia del uso del
correo electrónico.
Las bajadas de archivos de internet se convierten cada vez más en
fuente de infección; aquí los hacker sustituían por su código malicioso el
insertado en páginas web de diversa índole, explotando vulnerabilidades
del Internet Explorer de Microsoft.
También, ICQ o Messenger fueron convirtiéndose en canales de
infección. Así, el gusano Mandragore se aprovechaba de las
características especiales de estas aplicaciones.
Aparecen programas maliciosos contra Linux, el gusano Ramen es buen
ejemplo. Éste penetró en numerosas corporaciones, incluso la NASA.
Aparece un nuevo reto para las empresas antivirus con la aparición de
gusanos que actuando desde la RAM, no usaban ningún archivo para
transmitirse o actuar.
Contra Windows ahora se ceban varios tipos de gusanos, no ya los
clásicos virus macro o script de anteriores años, sobre los que las
protecciones eran ya bastante eficaces.
Finalmente, el año 2001, fue el año de las bromas u hoaxes, destaca la
amenaza para el día de San Valentín de una variante del virus
ILoveYou que fue bastante efectiva.
Año 2002
El año 2002 tuvo nada menos que 12 epidemias serias y 34 menores,
además de continuar activos los de anteriores años. Los hacker fueron
adaptando sus ataques a las nuevas tecnologías y plataformas que iban
apareciendo.
10 de mayo de 2009
LFM y Donet fueron los gusanos más destacados, propagándose ex
profeso por las redes .NET para demostrar su vulnerabilidad, no para
causar daño. También el gusano Spida apareció atacando servidores
SQL. Benjamin se reprodujo en el caldo de cultivo ideal de la red
Kazaa, para su perdición.
El gusano Slapper hizo su aparición contra Linux demostrando su
vulnerabilidad.
Los escritores profesionales de virus se vieron superados por los más
sencillos programas para robo de información confidencial por parte
de los hacker deseoso de vaciar cuentas bancarias.
Aparecen nuevos gusanos que se propagaban al conectarse directamente
a servidores SMTP. Técnica que se desarrolla debido a las mejoras en
seguridad de las aplicaciones cliente de correo electrónico como MS
Outlook. Desaparecen casi por completo los gusanos de LAN, P2P e
IRC.
Klez, gusano de internet que causó un grave daño a finales del año 2002,
permaneció activo durante más de 2 años.
Fue curiosa la aparición nuevamente de virus macro, variantes de los de
los 90s, debido a que los usuarios pensaron que ya estaban superados,
bajando la guardia ante ellos y propiciando su renacimiento en MS
Word. Así aparecen el Elkern, CIH, FunLove y Spaces.
Continuaron los hoaxes como Virtual Card for You, California IBM o
Girl Thing.
Fue en definitiva un año realmente activo en cuanto a virus, aunque no
muy dañinos, juntos formaron un verdadero “batallón”.
5.4.3. El ataque global y los espías en busca de cuentas bancarias,
primeros ataques contra teléfonos móviles (2003-2006).
Año 2003
El año 2003 propició dos ataques globales contra Internet, los más
grandes de su historia:
10 de mayo de 2009
- El gusano Slammer atacó vulnerabilidades de los servidores MS
SQL propiciando en el mes de enero un aumento de tráfico en la red
que hizo caer segmentos importantes.
- El gusano Lovesan (o Blaster) aparece en agosto para demostrar
nuevamente las debilidades de Windows, aprovechando las
vulnerabilidades del servicio RPC DCOM del 2000 y el XP Æ
pocos usuarios de internet con esto sistemas se salvaron de sus
efectos.
El resto del año fue tranquilo en cuanto a novedades aunque no cesaron
las epidemias de gusanos esparcidas por el correo electrónico. Así lo
hicieron Ganda en los países escandinavos y Avron, primer gusano
ruso de efectos globales.
El gusano Sobig.f se convirtió en el más distribuido de la historia en
internet; así, uno de cada veinte mensajes de correo electrónico lo
contenían. También, el gusano Tanatos tuvo repercusión.
Aparecen más gusanos, esta vez de origen indio y pakistaní, que se
reproducían en forma de archivos ZIP adjuntos a mensajes infectados.
El gusano ruso Mimail provocó una epidemia global usando una
vulnerabilidad de internet Explorer de Microsoft que permitía extraer
código binario de los archivos HTML y ejecutarlo. Esta técnica fue
aprovechada por troyanos como el Win32.StarPage1, también ruso.
En setiembre aparece el Swen.I-worm-Swen, uno de los gusanos más
distribuidos.
Ya en 2002, pero sobre todo en 2003 empiezan a proliferar troyanos y
backdoor para realizar labores espía. Ejemplo de los mismos son el
Agobot y Afcore. Producto de estos, surgen las primeras redes zombi.
Aparece a finales de año, los troyano proxy, señal de que los escritores
de virus y sus propagadores se habían unido. Los propagadores de virus
utilizaban las “puertas abiertas” de los equipos infectados de troyanos.
También los spammers comenzaron a proliferar usando la tecnología de
correo no solicitado.
Por último señalar que los virus macro siguieron actuando, como el
Macro.Word97.Saver, que tuvo especial relevancia.
10 de mayo de 2009
Ya hacia finales de año, los troyanos sobrepasaron a los virus.
Año 2004
En el año 2004 se produjeron grandes epidemias y estuvo marcado por
el combate entre desarrolladores de distintas tendencias.
El gusano Mydoom aparece propagándose por el correo electrónico y la
red, para aprovechándose de las redes Kazaa inundar los servidores
UNIX y Microsoft, mediante la técnica zombi.
Bagle o Beagle demuestra ser un virus tipo gusano realmente
“inteligente” por su persistencia en Internet a lo largo de los años.
El gusano Nesky aparece en febrero de 2004 con su propio motor SMTP
para propagarse.
En mayo aparece el gusano llamado Sasser a la caza de sistemas
Windows 2000, 2003 y XP sin parchear.
Varias recompensas ofrecidas por Microsoft dieron sus frutos, dando
con los autores, primero del Blaster, y después del Sasser y Netsky (de
éstos últimos un alemán de 18 años, Sven Jaschan).
Poco después se detuvo a otro joven de 21 años en Alemania, como
autor del Agobot.
Para MAC aparecen troyanos como el MP3Concept que hacían parecer
ficheros MP3 los ejecutables maliciosos.
El riesgo de propagación por tecnología móvil se hace ahora más
patente. De esta manera aparece el Cabir, capaz de propagarse por
tecnología móvil bluetooth con Sistemas Operativos EPOC o Symbian.
Para la tecnología Pocket PC aparece el Brador, troyano ruso que
infectaba estos aparatos con Sistema Operativo Windows CE, con el
objeto de tomar el control de los mismos.
Año 2005
En el 2005 se confirma la tendencia de los últimos años. La red se
inunda de gusanos y troyanos capaces de armar redes de bots con el
10 de mayo de 2009
objeto de obtener dinero. ¡Ya no es un entrenamiento para sus creadores,
se trata de un negocio realmente rentable!
Prueba de ellos son los espías bankers distribuidos mediante Spam y/o
troyanos. Son básicamente troyanos a la caza de transacciones bancarias
y comerciales para usar la información en su provecho. Permanecen en
memoria y monitorean la navegación del usuario, y una vez ingresa
datos sensibles (contraseñas, nombres de usuario, números de tarjetas de
crédito, cuentas bancarias, etcétera), son robados.
El gusano Sober se expandió y logró repercusión desde el mes de agosto
hasta finales de año.
A finales de año aparece un misterioso rootkit de Sony para proteger
sus discos musicales. Su código fue aprovechado por hacker de toda
índole para sus propios fines.
Aparecen virus como el CommWarrior que se propagó mediante los
mensajes multimedia en terminales móviles con el sistema operativo
Symbian.
Año 2006
En el año 2006 aparece el Leap, virus que afectaba al sistema operativo
MAC OS X propagándose por el programa de mensajería instantánea
iChat.
Aparecen nuevos virus de macro, cuando ya se creían desaparecidos,
como el Stardust para los paquetes OpenOffice y Staroffice.
Aparecen en este año nuevas familias de gusanos y troyanos como el
Brontok, HaxDoor, IRCBot, ExploitVML y Stration (o Spamta).
En Marruecos se condenó a dos jóvenes por la creación y propagación
del gusano Zotob.
5.5. La explosión global del malware (2007).
El malware aparecido en este año multiplica por diez al anterior, un
800% más que el 2006 y casi un 200% más que en 2005. Se trata en este
año de una epidemia silenciosa, pues no se da excesiva publicidad a los
casos que se conocen, pero realmente peligrosa.
10 de mayo de 2009
Allá afuera hay muchos listillos que se las ingenian para ganar dinero a
base de la venta de software ilegal… en ese mismo año ha salido a la
luz ha sido el de un matrimonio que ha sido condenado a cinco años de
prisión por vender software ilegal de Microsoft.
Estas personas junto con un socio, invirtieron 30 millones de dólares
comprando software de Microsoft. El truco estaba en que se las
ingeniaban para obtener importantes descuentos comprando este
software a través del programa de Microsoft que ofrece descuentos a
estudiantes. Una vez ya hechos con el producto, lo vendían a personas
que no eran estudiantes.
Con esta práctica obtuvieron en ganancias más de 5 millones de dólares,
afortunadamente el FBI logró arrestarlos y ahora pasarán cinco años en
prisión.
El envío de Spam poco a poco está siendo más castigado por la vía legal
y cada vez podemos ver más noticias de spammers que paran en la
cárcel por inundar nuestra correo de mensajes basura. Recientemente,
Tod Moeller, un Estadounidense de New Jersey, fue condenado a dos
años y tres meses de prisión por ser responsable en el envío de Spam a
1.2 millones de cliente de AOL.
Moeller, quien fuera detenido mientras negociaba una aplicación de
envío de Spam a un informante del Gobierno, se declaró culpable por el
delito de envío de mensajes Spam y de modificar el filtro antispam de
AOL. Junto con otra persona de nombre Adam Vitale, Tod Moeller
obtenía ganancias de hasta 40.000 dólares por mensajes a través de la
estafa por Spam.
6. Detalles sobre los casos más recientes de software malicioso.
En este punto se detallarán ciertos aspectos relativos al software malicioso
que haya destacado recientemente, años 2008 y 2009. Solo en 2008, los
internautas tuvieron que "enfrentarse" a 2.000 nuevos virus o mutaciones de
anteriores, ¡diarios!, cerca de 50.000 intentos de phishing y más de 1 millón
de equipos infectados. Por países, Francia encabeza la lista con más de un
20 por ciento de amenazas de infección, seguido de China con un 16,25 por
ciento, Estados Unidos con algo más de un 7 por ciento, y España, con
un 4,14 por ciento. Se prevé que durante el presente año la tendencia de
propagación de virus por e-mail siga creciendo y que aumenten las
aplicaciones maliciosas que aprovechan vulnerabilidades para robar datos
confidenciales y las amenazas a las redes sociales.
10 de mayo de 2009
6.1. Ataques de Phising.
Como ya se mencionó en el punto anterior aparece de forma primitiva
en los años 90, y se le conoce con el término actual desde el año 1996,
hoy en día está más vigente que nunca.
Millones de mensajes falsos circulan por la Web y al parecer provienen
de lugares conocidos y confiables. El usuario incauto responde y facilita
números de tarjeta de crédito, contraseñas, información de cuentas
corrientes u otros datos personales Æ ¡Ha caído en el engaño!
Pero también cae engañado cuando el estafador incluye un vínculo que
parece llevar al lugar legítimo cuando realmente se trata de uno falso
que pretende robarle.
Así se cree que en los astilleros sudcoreanos de Hyundai Havey
Industries, donde se fabrican buques con el radar AEGIS, tuvo lugar un
ataque de este tipo para el robo de información.
Trascendió a mediados de 2008 que cinco miembros de un equipo de
crackers llamado D.O.M. (Dark OwneD Mafia) fueron arrestados en
distintas ciudades de España acusados de haber atacado a unas 20.000
páginas en Internet desde Julio del 2005, incluyendo algunos sitios
gubernamentales.
Los cinco arrestados de diversas edades que van desde los 16 a 20 años
fueron detenidos en Barcelona, Buros, Málaga y Valencia tras una
investigación de varios meses por parte de la policía. Los responsables
aparentemente nunca se habían conocido en personas, únicamente se
comunicaban a través de Internet junto con otros miembros del grupo.
Una buena noticia, ahora esperemos que los atacantes sean juzgados de
manera adecuada por todos los delitos cometidos.
6.2. Ataques de Spoofing (contra teléfonos móviles).
En los últimos años, los teléfonos móviles han ido conquistando
mayores prestaciones, hasta convertirse en diminutos ordenadores
capaces de realizar las tareas cotidianas que podría necesitar
cualquier usuario: paquetes de ofimática, lector de archivos en
diferentes formatos, multimedia (audio y video), agendas, correo
electrónico, aplicaciones, juego, etc. Sin embargo, estas prestaciones
los hace susceptibles de ser objeto de ataques similares a los sufridos
10 de mayo de 2009
por los ordenadores. Su capacidad para establecer una comunicación
con cualquier recurso en red u otro dispositivo a su alcance (bluetothh,
wireless, etcétera), facilita la manipulación desde ellos de
documentación sensible.
Desde el punto de vista de seguridad, el teléfono móvil también puede
ser un medio para mejorar la seguridad de nuestro ordenador. Hay
soluciones informáticas que lo utilizan para bloquear y desbloquear
el ordenador cuando el usuario se aleja o acerca, de forma
automática. Una de estas herramientas es LockItNow.
Actualmente, los ataques de spoofing podrían llevar a afectar nuestro
propio teléfono móvil mediante el ataque Blue MAC Spoofing.
¿En qué consiste?
La mayoría de usuarios de teléfonos móviles Bluetooth ha tenido la
necesidad alguna vez de emparejar su teléfono con otro dispositivo con
el fin de transferir archivos vía Bluetooth o conectarse a equipos manos
libres o receptores GPS. La conducta habitual suele ser mantener esos
enlaces activos aun cuando estos se encuentren en desuso o la conexión
haya sido esporádica. ¿Qué ocurriría si cada uno de esos enlaces activos
pudiera convertirse en una puerta trasera a nuestro teléfono, con acceso
transparente al control total de las funciones del teléfono y los archivos
almacenados? Dado que todos los mecanismos de seguridad empleados
por Bluetooth se realizan a nivel de dispositivo, y no de usuario,
suplantar la identidad de un dispositivo emparejado y utilizar sus
credenciales de confianza para acceder a un teléfono sin que el usuario
se percate resulta una acción trivial.
6.3. Spam que no cesa.
Robert Alan Soloway, el conocido “rey del Spam”, fue sentenciado a
47 meses de prisión luego de que fuera arrestado en 2007 y se declarara
culpable por los cargos de fraude electrónico, fraude postal y evasión de
impuestos.
Aunque el rey del spam se enfrentaba a 26 años de cárcel por 40 cargos,
la fiscalía decidió retirar los demás cargos por haberse declarado
culpable de tres de ellos. Además la juez tomó en cuenta la inmadurez
de Soloway cuando para realizar su sentencia.
Así pues, con esto termina el caso de Robert Soloway, quien fuera
demandado por Microsoft en el 2005 y posteriormente por otras
10 de mayo de 2009
compañías por el envío masivo de correos electrónicos. Soloway ha sido
sentenciado a 46 meses de prisión, 3 años de libertad condicional una
vez que salga de prisión, 200 horas de servicio social y el pago de
$704.000 dólares.
El volumen de correo electrónico no deseado (Spam) enviado en todo el
mundo se desplomó a finales del año 2008 después que una empresa
dedicada al hosting, de renombre en las comunidades de seguridad por
vincularse la actividad Spam, fuese puesta fuera de línea.
El ejército americano está tomando medidas contra el uso de memorias
USB tras la infección de redes de defensa con el gusano SillyFDC.
Este malware descarga código de Internet para lanzar ataques de
denegación de servicio o envío de correo no deseado (Spam).
El Ministerio de Defensa español estima que el 95% del tráfico de
correo electrónico en sus servidores se trata de spam o correo basura
que de alguna manera es filtrado para no llenar los buzones de correo de
los usuarios. Se trata de aplicaciones del modelo I*Net o de “ventana
hacia el exterior” que ejecutan de modo transparente a la navegación
una serie de procesos de protección y de análisis del tráfico.
6.4. Falso Antivirus.
7.5.1 Año 2008.
Nuevas amenazas se ciernen sobre los sistemas. Incluso por parte de
herramientas que supuestamente nos vienen a proteger.
Destaca el Antivirus XP 2008, muy molesto, pues una vez instalado se
conducía de tal manera que no permitía su desinstalación mientras no se
pagara cierta cantidad por su licencia.
7.5.2 Año 2009.
Un ejemplo reciente de un falso antivirus es el denominado Antivirus
2009 Antivirus 2010 o Antimalware 2010, que son una evolución
del conocido Antivirus
XP
2008 y detectado por ESET
NOD32 como Win32/Adware.Antivirus2009. En este caso, al abrir el
sitio web de promoción del producto se despliega también una
publicidad para adquirir viagra.
10 de mayo de 2009
6.5. Herramientas de conexión inversa.
Utilizando herramientas para conexión remota cifrada se puede
conseguir el acceso sin autorización a sistemas. Esto preocupa
sobremanera a organizaciones empresariales y administraciones pues es
posible mediante procedimientos de puerta trasera “saltarse” todas las
políticas de seguridad perimetral. Ejemplos de estas herramientas las
tenemos con Webex (la utilizan grandes proveedores en momentos
críticos para acceso inmediato a los sistemas), LogMeIn (conexión
remota del usuario a su propio equipo), Zeebede Server (tunelización IP
mediante http para redireccionamiento a cualquier puerto).
6.6. Redes sociales.
Fuente de negocio para multitud de empresas y lugar de reunión
cibernética para millones de personas, las redes sociales, como sistemas
abiertos de intercambio de información, han alcanzado una popularidad
notable (casi la mitad de los internautas las utilizan, y 7 de cada 10 son
menores de 35 años).
¿Para qué las utilizan?
-
Subir y compartir fotos un 70 por ciento.
Envío de mensajes privados un 62 por ciento.
Comentar fotos y eventos un 55 por ciento.
Cotilleo casi un 50 por ciento.
¿Están exentas de peligro? NO
El principal problema es la pérdida de privacidad; por ello las
Autoridades de protección de datos de muchos países, entre ellos la
Agencia Española para la Protección de Datos, han adoptado medidas
desde el año 2008 alertando de los peligros potenciales (privacidad) en
redes como FaceBook, MySpace, Tuenti o Hi5.
Señalan puntos críticos en:
- El mismo momento del registro a través de los datos personales que
se facilitan.
- Actividades desarrolladas en la red.
- El darse de baja en dichas Webs es un arduo camino de obstáculos.
¿Riesgos?
10 de mayo de 2009
- Una inadecuada configuración del perfil puede dar lugar a una
suplantación de identidad.
- La instalación de cookies sin conocimiento del usuario permite
almacenar información a veces sensible (personal y de
navegación).
- La recopilación de direcciones de correo electrónico en los perfiles
permite la generación de Spam a las mismas.
- La mayoría de estas páginas no permiten confiabilidad a la hora de
verificar la edad de sus usuarios.
- Ataques a la privacidad mediante la introducción de nuevos
gusanos y virus a partir del correo electrónico.
- ¿Prevención?
- Utilizar pseudónimo en vez de nombre real.
- Sobre todos a los menores Æ no facilitar datos de teléfono ni
dirección.
Dos chicas de 14 años han sido puestas a disposición judicial por un
delito contra la intimidad. Las jóvenes usurparon la identidad en el
programa de mensajería instantánea "Messenger" de una joven
mayor de edad, para insultar y ofrecer favores sexuales. El acceso a
la cuenta de correo fue posible mediante la pregunta "secreta" que
debe responder para que le recuerden su clave.
6.7. Troyanos Download que infectan ficheros multimedia.
Un ejemplo es el GetCode, bastante usual en las redes P2P donde
existen archivos de música y video (MP3, WMA, WMV o ASF), que
aprovecha la vulnerabilidad que representa la, a su vez la facilidad, el
reproductor de Microsoft (Windows Media Player), para la descarga de
un ejecutable (el troyano) haciendo creer al usuario que se trata de un
códec necesario para reproducir el contenido del archivo infectado.
6.8. Gusanos que atacan a redes sociales.
6.4.1 Año 2008.
En 2008 el Koobface se propaga enviando mensajes a usuarios de
FaceBook y MySpace con enlaces maliciosos que le permiten infectar
los sistemas de las víctimas y robar sus datos personales. Tras ello, se
reenvía a los usuarios de la red de la víctima.
10 de mayo de 2009
Un problema que afecta a usuarios de Microsoft que no tienen
actualizado el Sistema Operativo o no cuentan con un buen software
antivirus.
6.4.1 Año 2009.
Una variante del mismo gusano aparece de nuevo y con más virulencia
que en el 2008. Se trata de un mensaje que invita a ver un inocente video
pero que al hacer clic sobre él redirige la navegación a lo que parece
YouTube donde se indica la necesidad de descargar un plugin de Adobe
Flash Player Æ ¡la perdición!
Si se lleva a cabo la descarga, damos entrada a un troyano, el
Worm_KoobFace.Az que conectándose al sitio con las credenciales de
la víctima (las almacenadas en las cookies), envía menajes a los
componentes de su red.
Un gusano que utilizando técnicas de Phising, introduce un troyano que
realiza labores de espía y control del equipo de la víctima.
De esta manera se han hallado datos técnicos del helicóptero del
presidente Obama en redes P2P.
6.9. Redes inalámbricas maliciosas.
El ataque a dichas redes es sencillo desde hace años, permitiendo a
usuarios con pocos conocimientos tener acceso ilícito a las mismas para
ocupar su ancho de banda y “navegar gratis”. Es un esquema en el que el
atacante es el usuario final.
¿Qué ocurre si el propio punto de acceso es “el malo”?
Es una nueva técnica que ha surgido recientemente y que permite a un
atacante poner a disposición de los incautos un acceso libre y legítimo.
Una vez establecida la conexión el atacante dispone de varias
alternativas para obtener información sensible de la víctima:
- Configuración del DHCP del usuario para redirección el tráfico a la
máquina del atacante (credenciales, cookies, etcétera).
- Redireccionamiento a un portal de malicioso que con técnicas de
ingeniería social consigue que el usuario se descargue todo tipo de
software malicioso.
10 de mayo de 2009
- Acceso al equipo del incauto mediante técnicas de explotación de
vulnerabilidades tradicional.
¿Qué hacer?
No conectarse a punto inalámbricos en los que no se confíe. Ni mantener
conexión automática a redes no favoritas. Vigilar que la lista de redes
contenga solo redes confiables y si con identificador no genérico SSID.
En China se ha localizado una red, la Chostnet que espiaba ordenadores
de seguidores del Dalai Lama, acusándose al propio gobierno chino.
Por otra parte, herramientas como Prev para Linux o Adeona para
Windows permiten recoger información sobre el ordenador para enviarla
a cierto buzón previamente configurado. La idea es que si llega el día en
que nuestro portátil desaparece, la información recogida por estas
herramientas, permita su rastreo IP o red WiFi, incluso la foto del
ladrón.
6.10. El Freeware que sale caro.
Ya se habló anteriormente de este tipo de software cuando se trata de un
falso antivirus, pero hay más:
Uno de los casos más recientes es el que utilizando como cebo la
Semana Santa y mediante el correo electrónico, se remitía un video que
mientras visionábamos de forma gratuita enlazaba realmente y de forma
transparente con un servidor que instala un troyano bancario, el
Banker.LSL. De esta manera, los datos del incauto iban a parar a las
mafias.
Esto es posible, y como se dijo anteriormente, en los falsos antivirus, las
mafias también pueden redirigirnos a páginas similares a YouTube, pero
que realmente son nidos de malware.
Otro video utilizado bajo este sistema es el que se colaba en las redes
sociales, el Dancing Girl, que obligaba para su visionado un plugin que
realmente era un gusano.
¿Defensas?
- Actualizaciones y parches del Sistema Operativo.
- Antivirus bueno y actualizado.
10 de mayo de 2009
-
Firewall o cortafuegos.
Realizar copias de seguridad.
Instalar herramientas de recuperación de archivos borrados.
Crear puntos de restauración del sistema.
No acceder a páginas no confiables y si aun así lo hacemos… no
descargarnos nada de ellas.
- Desconfiar de archivos anexos a correos electrónicos procedentes
de fuentes no confiables.
- Leer mucho sobre seguridad informática.
6.11. Ingeniería social.
Es un tipo de espionaje que condensa todo artilugio, treta y técnica
basada en el engaño a las personas con el objeto de que revelen sus
datos sensibles para “robarles” y/o obtener beneficio económico. Las
mafias ahorran esfuerzos pues ya no tienen que acceder a los sistemas,
asunto cada vez más complicado, son los propios usuarios quienes
incautamente les dan todo hecho.
¿Cómo lo consiguen?
- Demanda directa, donde se le demanda a un individuo completar
una serie de tareas Æ de menor éxito pero muy fácil.
- De forma indirecta, cuando se persuade a la víctima haciéndole
creer lo que se le dice aprovechando medias verdades y gran
cantidad de incoherencias que confunden al usuario incauto.
- Una nueva estrategia es convencer al usuario para que se descargue
determinado video sin que haga falta plugin alguno; solo se le
solicita un código de acceso. Aquí comienza la segunda parte: la
ventana ofrece la posibilidad de generar un código de acceso
haciendo clic sobre un botón y… un troyano entra en el sistema, el
TrojanDropper.Agent.
6.12. Otros detalle recientes.
6.12.1 Obama y su Blackberry.
Obama ha tenido que apagar su Blackberry 8700c, un dispositivo del
que rara vez se separa. Durante la campaña era fácil sorprender al
nuevo presidente de EE.UU contestando correos o con el teléfono
colgado del cinturón. De acuerdo con la información aportada por el
New York Times, todas las comunicaciones del presidente deben
estar recogidas de forma oficial y ser puestas a disposición del público
10 de mayo de 2009
al cabo de unos años. Los presidentes, por tanto, deben abandonar sus
cuentas de correo personales. Además, hay preocupación sobre la
seguridad que se puede garantizar a los correos utilizando cualquier
dispositivo electrónico y miedo a que los mensajes puedan ser
interceptados. Por lo general, el presidente permanece comunicado
gracias a los colaboradores y ayudantes.
6.12.2 Espías, Spam y DDoS.
Un virus informático bloqueó durante el mes de enero de 2009 la red
informática interna de la flota inglesa, dejando inoperativos el correo
electrónico y el acceso a Internet. Aunque los sistemas de armas y de
navegación no se han visto afectados, si ha supuesto un duro golpe para
las dotaciones de los buques.
Heartland Payment Systems, una empresa dedicada a tramitar las
transacciones que pequeños negocios realizan con tarjetas de crédito,
ha reconocido que la infección por virus de uno de sus ordenadores ha
dejado en manos de piratas informáticos los datos de millones de
movimientos. El problema en los sistemas de seguridad de Heartland
se produjo el año pasado (2008), pero la causa última, la infección
por malware de uno de sus sistemas informáticos, no se conoció hasta
el mes de enero de 2009. Y se ha hecho público coincidiendo con el
momento de toma de posesión de Barack Obama. Heartland, que
gestiona las transacciones con tarjeta de crédito de 250.000
negocios en todo el territorio de EE UU, dice desconocer qué cantidad
de movimientos de su red han sido capturados por el malware que se
instaló en sus ordenadores, pero podrían ser millones.
El pequeño país de Kyrgyzstan ha recibido una serie de ataques
DDoS (Distributed Denial of Service) por parte de hackers rusos,
similar al sufrido por Georgia el año anterior. En un ataque DoS
(Denial of Service) se coordinan cientos, miles o incluso millones de
ordenadores para “derribar” un servidor víctima. La característica
distintiva que tiene un ataque DDOS es el hecho de que participan
ordenadores de diferentes regiones del mundo, haciendo imposible
cerrar la ruta de donde proviene, dejando como única opción
desconectar el servidor de la red y esperar a que el ataque cese. En el
caso del ataque a Kyrgyzstan, los expertos de seguridad han
determinado que participaron entre 150 y 180 millones de
ordenadores esclavos, denominados "Zombis".
10 de mayo de 2009
Descubren una red de malware de 1.9 millones de ordenadores. El
servidor que controla estos ordenadores se encuentra en Ucrania y
está gestionado por seis personas. Esta red está funcionando desde
febrero de 2009. Los países más afectados son: Estados Unidos con
el 45% de los ordenadores infectados, Reino Unido con el 6%, Canadá
y Alemania con el 4% y Francia con el 3%. El malware instalado en los
ordenadores se controlaba de forma remota. Parte de estos ordenadores
eran alquilados a mafias y la información que obtenían la ponían en
venta al mejor postor.
6.12.3 Últimos malware.
- Virus: CoreGuard2009 y AVAntispyware.
- Gusanos: Boface.BJ, PckPatcher.C, IRCBot.CNE, EggDrop.AA,
SillyBat.A, Waledac.AX, y Rimecub.B.
- Troyano: EvilHot.A, Kobck.A y SMSolck.A.
- Agujero-Trampa: MS09-017.
7. Cómo conseguir niveles óptimos de seguridad.
El activo más importante que se posee es la información y, por lo tanto,
deben existir técnicas que la aseguren, más allá de la seguridad física que se
establezca sobre los equipos en los cuales se almacena. Estas técnicas las
brinda la seguridad lógica que consiste en la aplicación de barreras y
procedimientos que resguardan el acceso a los datos y sólo permiten acceder
a ellos a las personas autorizadas para hacerlo.
Existe un viejo dicho en la seguridad informática que dicta: "lo que no está
permitido debe estar prohibido" y ésta debe ser la meta perseguida.
En general, los medios que podemos utilizar para asegurar un sistema son los
siguientes:
1.
2.
3.
4.
Restringir el acceso (de personas de la organización y de las que
no lo son) a los programas y archivos.
Asegurar que los operadores puedan trabajar pero que no puedan
modificar los programas ni los archivos que no correspondan
(sin una supervisión minuciosa).
Asegurar que se utilicen los datos, archivos y programas
correctos en/y/por el procedimiento elegido.
Asegurar que la información transmitida sea la misma que reciba
el destinatario al cual se ha enviado y que no le llegue a otro.
5.
6.
7.
10 de mayo de 2009
Asegurar que existan sistemas y pasos de emergencia
alternativos de transmisión entre diferentes puntos.
Organizar a cada uno de los empleados por jerarquía informática,
con claves distintas y permisos bien establecidos, en todos y
cada uno de los sistemas o aplicaciones empleadas.
Actualizar constantemente las contraseñas de accesos a los
sistemas de cómputo.
Veremos a continuación una serie de aspectos, como el análisis de riesgos,
las políticas de seguridad, las amenazas “no informáticas”, aspectos sobre
el software y la red, además de ciertos aspectos a tener en cuenta para “no
equivocarnos”, que unidas, contextualizadas y condensadas respecto a las
organizaciones a proteger, nos llevarán a los que se denominan los Sistemas
de Gestión de la Seguridad Informática o SGSI, materializados actualmente
en profusa normativa y estandarización.
7.1. Análisis de riesgos.
Información que se obtiene en un análisis de riesgo:
-
Determinación precisa de los recursos sensibles de la organización.
Identificación de las amenazas del sistema.
Identificación de las vulnerabilidades específicas del sistema.
Identificación de posibles pérdidas.
Identificación de la probabilidad de ocurrencia de una pérdida.
Derivación de contramedidas efectivas.
Identificación de herramientas de seguridad.
Implementación de un sistema de seguridad eficiente en costes y
tiempo.
El esquema básico seguido en un análisis de riesgos es el siguiente:
10 de mayo de 2009
Y como anteriormente se mencionó, si la pregunta es cierta, habría que
establecer la medida necesaria.
7.2. Puesta en marcha de una política de seguridad.
Generalmente se ocupa exclusivamente a asegurar los derechos de
acceso a los datos y recursos con las herramientas de control y
mecanismos de identificación. Estos mecanismos permiten saber que los
operadores tienen sólo los permisos que se les dieron.
La seguridad informática debe ser estudiada para que no impida el
trabajo de los operadores en lo que les es necesario y que puedan utilizar
el sistema informático con toda confianza. Por eso en lo referente a
elaborar una política de seguridad, conviene:
- Elaborar reglas y procedimientos para cada servicio de la
organización.
- Definir las acciones a emprender y elegir las personas a contactar en
caso de detectar una posible intrusión
- Sensibilizar a los operadores con los problemas ligados con la
seguridad de los sistemas informáticos.
Los derechos de acceso de los operadores deben ser definidos por los
responsables jerárquicos y no por los administradores informáticos, los
cuales tienen que conseguir que los recursos y derechos de acceso sean
coherentes con la política de seguridad definida. Además, como el
administrador suele ser el único en conocer perfectamente el sistema,
tiene que derivar a la directiva cualquier problema e información
relevante sobre la seguridad, y eventualmente aconsejar estrategias a
poner en marcha, así como ser el punto de entrada de la comunicación a
los trabajadores sobre problemas y recomendaciones en término de
seguridad.
7.3. Amenazas “no informáticas”.
Una vez que la programación y el funcionamiento de un dispositivo de
almacenamiento (o transmisión) de la información se consideran
seguras, todavía deben ser tenidos en cuenta las circunstancias "no
informáticas" que pueden afectar a los datos, las cuales son a menudo
imprevisibles o inevitables, de modo que la única protección posible es
la redundancia (en el caso de los datos) y la descentralización (por
ejemplo mediante estructura de redes, en el caso de las comunicaciones).
10 de mayo de 2009
Técnicas de aseguramiento del sistema:
-
-
-
Codificar la información: Criptología, Criptografía y
Criptociencia, contraseñas difíciles de averiguar a partir de datos
personales del individuo.
Vigilancia de red (forma remota de observar y/o tomar el control
de las computadoras que administra) utilizando las herramientas
oportunas, por ejemplo Network LookOut Administrator.
Tecnologías protectoras: cortafuegos, sistema de detección de
intrusos - anti-spyware, antivirus, llaves para protección de
software, etc. Mantener los sistemas de información con las
oportunas actualizaciones de seguridad.
7.4. Consideraciones sobre el software.
Tener instalado en la máquina únicamente el software necesario reduce
riesgos. Así mismo tener controlado el software asegura la calidad de la
procedencia del mismo (el software pirata o sin garantías aumenta los
riesgos). En todo caso un inventario de software proporciona un método
correcto de asegurar la reinstalación en caso de desastre. El software con
métodos de instalación rápidos facilita también la reinstalación en caso
de contingencia.
Existe software que es conocido por la cantidad de agujeros de
seguridad que introduce. Se pueden buscar alternativas que
proporcionen iguales funcionalidades pero permitiendo una seguridad
extra.
7.5. Consideraciones sobre la red.
Los puntos de entrada en la red son generalmente el correo, las páginas
web y la entrada de ficheros desde discos, o de ordenadores ajenos,
como portátiles.
Mantener al máximo el número de recursos de red sólo en modo lectura,
impide que ordenadores infectados propaguen virus. En el mismo
sentido se pueden reducir los permisos de los usuarios al mínimo.
Se pueden centralizar los datos de forma que detectores de virus en
modo batch puedan trabajar durante el tiempo inactivo de las máquinas.
Controlar y monitorizar el acceso a Internet puede detectar, en fases de
recuperación, cómo se ha introducido el virus.
10 de mayo de 2009
7.6. Algunas afirmaciones falsas sobre seguridad informática:
- Mi sistema no es importante para un cracker. Esta afirmación se
basa en la idea de que no introducir contraseñas seguras no entraña
riesgos pues ¿quién va a querer obtener información mía? Sin
embargo, dado que los métodos de contagio se realizan por medio de
programas automáticos, desde unas máquinas a otras, estos no
distinguen. Por tanto abrir sistemas y dejarlos sin claves es facilitar la
vida a los atacantes.
- Estoy protegido pues no abro archivos que no conozco. Esto es
falso, pues existen múltiples formas de contagio como vimos, además
los programas realizan acciones sin la supervisión del usuario
poniendo en riesgo los sistemas.
- Como tengo antivirus estoy protegido. En general estos programas
no son capaces de detectar todas las posibles formas de contagio
existentes, además son programas vulnerables a desbordamientos de
búfer20 que hacen que la seguridad del sistema operativo se vea más
afectada aún.
- Como dispongo de un firewall no me contagio. Esto únicamente
proporciona una limitada capacidad de respuesta. Las formas de
infectarse en una red son múltiples. Unas provienen directamente de
accesos al sistema (de lo que protege un firewall) y otras de
conexiones que se realizan (de las que no me protege). Emplear
usuarios con altos privilegios para realizar conexiones puede entrañar
riesgos, además los firewalls de aplicación (los más usados) no
brindan protección suficiente contra el spoofing.
- Tengo un servidor web cuyo sistema operativo es un unix
actualizado a la fecha: Puede que este protegido contra ataques
directamente hacia el núcleo, pero si alguna de las aplicaciones web
(PHP, Perl, Cpanel, etc.) está desactualizada, un ataque sobre algún
script de dicha aplicación puede permitir que el atacante abra una
Shell, mediante su troyano oportuno, y por ende ejecutar comandos en
el Unix.
7.7. Nivel óptimo de seguridad y protección de la información:
Las redes de trabajo de las distintas organizaciones, y en consecuencia,
la información almacenada en ellas, se ven continuamente perturbada
por amenazas de seguridad, ataques y fraudes informáticos, y así,
sabotajes y malware de todo tipo, e incluso imprevistos y catástrofes,
20
Error del software que se produce cuando se copian más datos que los que “caben” en la parte de memoria
asignada, produciéndose sobre escritura en otras zonas de memoria, con resultados imprevisibles y que un
atacante puede aprovechar.
10 de mayo de 2009
hacen menoscabo importante sobre las posibilidades de continuidad del
negocio cuando no se tienen previstas medidas que permitan la
recuperación o reparación de la información afectada, es decir, un buen
Sistema de Gestión de Seguridad de la Información o SGSI.
Para conseguir un nivel óptimo de protección de la información en la
empresa, no basta con instalar un firewall o la contratación de empresas
especializadas en seguridad de la información, es necesaria la
integración de los distintos factores respecto a las tecnologías de la
información, la seguridad de las instalaciones, la formación e
información del personal, el know how y los procesos de negocio y
administrativos.
La integración de todos estos factores se consigue a través de un SGSI
(Sistema de Gestión de Seguridad de la Información), que deberá incluir
un método de evaluación, medidas de protección, proceso de
documentación y de revisión.
Las fases de implantación de un completo SGSI son las siguientes:
- Planificación: etapa dedicada a la identificación y evaluación de los
riesgos y selección de los objetivos de control, y que incluye:
a.
b.
c.
d.
e.
Análisis del entorno de actividad.
Dimensionado.
Tipo de información que trata.
Directivas corporativas.
Requisitos legales.
Etapa que se configura como la de un análisis de riesgos,
mencionado anteriormente en el punto 7.1.
- Implementar: etapa dedicada al desarrollo e implementación de un
plan efectivo a medio y largo plazo en evitación de los riesgos para
la seguridad de la información. Es una etapa en la que la formación
del personal es imprescindible.
- Revisión: Seguimiento y revisión de los controles y medidas
implantadas previamente. Aquí se trata de llevar a cabo auditorías
tanto internas como externas que evalúen la eficacia y la eficiencia
del SGSI para identificar riesgos y vulnerabilidades del sistema.
- Actuación: implantar el SGSI pero no de manera estática, éste ha de
estar en constante evolución, en la media que las revisiones de la
etapa anterior hayan detectado problemas en el sistema han de
llevarse a cabo medidas correctivas y preventivas adecuadas.
10 de mayo de 2009
Como vemos se asemeja mucho a lo que es el Ciclo de Vida del
Software: análisis, diseño, pruebas y mantenimiento.
Existe profusa normativa respecto a la implantación de SGSI en las
organizaciones.
-
-
Normativas nacionales e internaciones sobre protección de datos.
ISO 27001 “Tecnologías de la Información. Técnicas de
Seguridad. Sistemas de Gestión de Seguridad de la Información.
Requisitos.”
ISO 27002 o “Código de Práctica de Sistemas de Gestión de
Seguridad de la Información”
ISO 27004 de “Métricas y Medidas del Sistema de Gestión de
Seguridad de la Información”.
8. Conclusión y síntesis.
Que las tecnologías en la era computacional no sean compatibles, en muchos
casos entre sí, ha impedido de alguna manera la mayor propagación del
malware. Es un hecho rotundo y triste que esto solo es un pequeño obstáculo
para los hackers.
La proliferación del software malicioso, su cantidad, su diversidad, y sobre
todo, el aprovechamiento económico que de él puede realizar las mafias, lo
ha convertido en una amenaza global que concierne no solo a las usuarios y
organizaciones empresariales, también a los Estados.
Como se ha dicho, cada vez hay más conciencia sobre el problema, por lo que
las penas y multas sobre los productores y propagadores de software
malicioso son cada vez mayores, pero esto no los ha frenado, y como
estadísticas se muestra año a año, aumenta y aumenta.
Las labores de espía en la red de redes, Internet, utilizando las técnicas de
datamining, ofrecen ingentes cantidades de datos a las mafias en su provecho
y en detrimento de los usuarios más o menos incautos.
Los troyanos tipo banker son un verdadero boom, pues sus creadores logran
pingues beneficios; todo indica que seguirán teniendo éxito en el futuro.
Es un hecho notable también que los hackers son cada vez más eficientes.
Hoy en día consiguen un malware específico sobre determinada
vulnerabilidad en tiempo record, uno o dos días, cuando en el año 2001 era
casi de un mes.
10 de mayo de 2009
Por otra parte decir que la plataforma más atacada es Windows sobre
procesadores de 32 bits. El paso a los 64 bits no ha sido gran problema para
los hackers, aunque es cierto que han debido superar el código binario
diferente para Intel y AMD.
Pero tampoco se han librado MAC OS, Linux o BSD, y si no lo han sido más
ha sido porque no han cobrado tanta relevancia pública como Windows. Pero
sobre todo porque estas plataformas, a diferencia de Windows, no son
utilizadas en redes sociales, impidiendo el desarrollo de la ingeniería social
en éstas, método principal de propagación del malware actual.
Un malware multiplataforma está seguramente desarrollándose hoy, y el
límite solo está en la imaginación del hacker: PDAs, Wi-Fi, SMS, MMS,
etcétera, en múltiples sistemas operativos.
Las empresas dedicadas a la seguridad informática emplean cada vez más
recursos e ingenio en busca de frenar esta “lacra”, y esto es bueno, pero son
solo pequeños obstáculos en el camino para los hackers.
Es preciso darse cuenta que el intercambio de información en la red es
responsabilidad nuestra, además, sabiendo que nuestro dinero está guardado
en el banco, el malware actual no tiene por objeto a los sistemas, no, su
objetivo somos nosotros, los usuarios y su dinero, aprovechándose de la
imposibilidad humana por lograr la perfección y mucho menos en sus obras
de software.
Por ello, sabiendo que no somos perfectos, y que nuestras obras tampoco, no
debemos cejar en el empeño de mantener la seguridad de nuestros sistemas,
aprendiendo que en general la seguridad es un camino que no tiene fin,
además un camino en el que no cabe pararse.
10 de mayo de 2009
Detalle síntesis:
- Sistemas de información Æ activos.
- Vulnerabilidades a explotar (software y hardware imperfectos) Æ
riesgos que se convierten en amenaza.
- Ataques mediante software malicioso sobre los activos Æ impactos
- Clasificación del software malicioso.
• Según se trate de software independiente o dependa de un
“activador” externo.
• Según se pueda autorreplicar o no.
• Según actúe sobre una red o sobre un sistema concreto.
• Varían las vulnerabilidades que explota, las amenazas que
representa y las contramedidas contra su actividad.
- Históricamente van desde bromas y demostraciones de sabiduría de
sus creadores y/o propagadores en el pasado, hasta los mafias
organizadas de los últimos años, pasando por los simples
saboteadores y ladronzuelos de poca monta.
- Implantación de SGSI´s.
FIN.
José Luis Martínez Leyva Página 74

Malware - S.A.B.I.A.

Transcripción

Documentos relacionados

beneficios principales