Download Protegernos de los Virus - Departamento Gallego de Informática
Document related concepts
no text concepts found
Transcript
Nuevas generaciones de Virus La nueva generación de virus liderada por Blaster/Lovsan ha modificado las formas de contagio y, por tanto, las medidas de defensa. Ahora ya no nos contagiamos por lo que hacemos sino por lo que no hacemos. Con los virus clásicos era necesario abrir un archivo adjunto de correo electrónico, ejecutar un programa recibido por IRC, etc. En cambio, con la nueva oleada de virus el usuario que no ha cometido (aparentemente) ninguna imprudencia se puede infectar. ¿Por qué? por lo que no ha hecho: no tiene, o no ha configurado correctamente, un cortafuegos. Bien es cierto que ya existían virus que se aprovechaban de agujeros de seguridad como, por ejemplo, de la vulnerabilidad de las extensiones MIME, que permite que un programa se autoejecute en la vista previa de Outlook sin que el usuario abra el mensaje. Sin embargo, en esta ocasión nos referimos a agujeros de seguridad en los puertos de entrada de nuestra máquina. Estos virus tienen otra novedad añadida: se reproducen no por el correo electrónico sino por barridos de direcciones IP buscando máquinas no protegidas. ¿No es esto lo que hacen los hackers? • Un antivirus no es suficiente Los nuevos virus se destacan también por sus grandes capacidades de propagación (cuestión de minutos). Y ante todas estas características, las soluciones antivirus de poco nos pueden proteger. Un antivirus clásico actúa cuando el usuario intenta abrir un archivo infectado y reconoce el archivo como infectado porque tiene actualizada su base de datos de virus. Entonces, un virus como Blaster puede modificar archivos en nuestro ordenador sin que el antivirus lo advierta. Los antivirus no son suficiente: necesitamos algo más. En el caso de usuarios domésticos las medidas básicas son: comprobar si existen nuevas actualizaciones de seguridad regularmente e instalarlas, no abrir archivos sospechosos, instalar un cortafuegos personal y configurarlo adecuadamente y, por último, actualizar el antivirus periódicamente. Las dos últimas medidas constituyen una barrera de seguridad adicional ante lo que son casi siempre errores del usuario (fallos de seguridad no subsanados y archivos infectados que se intentan abrir). Observemos también que un antivirus clásico sólo protege de los virus conocidos. En cambio, un cortafuegos protege de agujeros de seguridad que todavía no se han parchado, bien por despiste o desconocimiento del usuario o bien, porque todavía no se ha desarrollado el correspondiente parche. Pero no sólo nos protege ante ataques externos sino también de intentos de conexión hacia Internet procedentes de programas instalados en nuestro ordenador. Este es el caso de los troyanos que extraen información confidencial de nuestra máquina y la envían al equipo del atacante. Un cortafuegos correctamente configurado es hoy en día un elemento imprescindible en cualquier conexión a Internet. Es importante comprender todos estos conceptos para configurar correctamente la defensa de nuestro equipo. • Configurar correctamente el cortafuegos Cualquier cortafuegos es válido siempre que esté correctamente configurado. El cortafuegos debe denegar, en principio, todos los intentos de conexión hacia nuestra máquina desde Internet (todos los puertos cerrados). Departamento Gallego de Informática Sin embargo, si nuestra máquina hace tareas de servidor tendremos que abrir los puertos requeridos. Nuestro equipo también puede realizar tareas de servidor en programas P2P (compartiendo archivos a todo Internet) o en otro tipo de aplicaciones como Microsoft Messenger. El error más común cuando nos encontramos con que una aplicación no funciona es deshabilitar por completo el firewall, en lugar de investigar su configuración correcta. Por supuesto, aquellos puertos abiertos en el cortafuegos serán vulnerables si la aplicación que está a la escucha tiene un agujero de seguridad no parchado o está mal configurada. • Protección de redes El caso de la protección de redes es algo más complejo. Debemos diferenciar entre los virus que entran desde fuera de la red interna (por Internet) y los que lo hacen desde dentro. El segundo caso a menudo se descuida y puede comprometer toda la seguridad de la red interna. Los administradores de redes conocen su obligación de estar permanentemente informados sobre las nuevas vulnerabilidades de seguridad, mediante boletines diarios de seguridad, y aplicar aquellos parches que correspondan a sus sistemas. Sin embargo, esta tarea frecuentemente se deja para cuando no hay algo urgente que hacer en la empresa. Los motivos principales son la escasez de personal en el departamento técnico y el desconocimiento de los superiores que no valoran las acciones cuyos resultados “no se ven” inmediatamente. Hasta ahora el riesgo que corría nuestro sistema era que un atacante aprovechara el lapso de tiempo entre que se descubre un agujero y se aplica el parche para ganar privilegios en nuestra máquina, ejecutar códigos, obtener información o provocar ataques de denegación de servicio. Es decir, se requería una persona detrás dirigiendo el ataque. • Medidas básicas Con la nueva generación de virus esto ya no es así: el propio virus busca máquinas vulnerables y se extiende a velocidades crecientes. El riesgo de que nuestra máquina sea afectada es ahora mucho mayor. Ante esto, la tarea de mantener las máquinas actualizadas es más prioritaria que nunca. Podemos afirmar con seguridad que aparecerán nuevos virus que se aprovecharán de agujeros de seguridad distintos al descrito. Lo que buscamos no son medidas para defendernos de un virus concreto, sino de todos los virus con funcionamiento similar a los ya conocidos. Los cortafuegos son una pieza clave para frenar la propagación de la nueva generación de virus. Una correcta configuración filtrará los ataques automatizados de los virus desde Internet a las máquinas de la red interna Pero no podemos confiarnos y olvidarnos de proteger las máquinas internas de la red. Es tan importante una correcta configuración de la seguridad perimetral como de los servidores y estaciones de trabajo de la red interna. Veamos ahora qué pasaría si el ataque se produce desde el interior. • Ataques desde la red interna Los ataques desde el interior de la red son más frecuentes de lo que podemos suponer. La mayor parte de las redes disponen de una buena seguridad perimetral basada en cortafuegos, sistemas de detección de intrusos (IDS), antivirus en servidores de correo, Departamento Gallego de Informática etc. Pero, ¿qué pasaría si introducimos en la red interna una máquina infectada? El virus se propagaría entre todas aquellas máquinas no configuradas adecuadamente. Esta idea no es tan descabellada: pensemos en un portátil que se infecta en el domicilio del usuario y, posteriormente, es introducido en la red corporativa; o bien, un usuario infectado que se conecta a la red interna mediante una conexión de acceso telefónico o por líneas privadas. Llegados a este punto, tenemos que buscar medidas que frenen la propagación de virus dentro de la red interna. Algunos virus, como Bugbear, tienen la capacidad de infectar los recursos compartidos de la red. Los puestos de trabajo no deberían tener compartido ningún directorio y, muchos menos, una unidad completa. En su lugar, se debe habilitar un servidor de archivos con los permisos y medidas de seguridad correspondientes. No olvidemos tampoco actualizar todas las máquinas con las últimas revisiones de seguridad, deshabilitar los servicios innecesarios, disponer de antivirus actualizados, utilizar contraseñas fuertes, formar a los usuarios, etc. Por supuesto, una posible máquina infectada debe ser desconectada inmediatamente de la red para prevenir males mayores. • “Hackers” automáticos Según hemos visto, las productos antivirus ya no son suficientes para enfrentarse a la nueva generación de virus, que utiliza las mismas técnicas que los hackers pero ejecutadas de forma masiva y automatizada. Cada máquina infectada actúa como un atacante más buscando nuevas máquinas vulnerables. Además de los consejos habituales para prevenir infecciones de virus, debemos ahora mantener nuestra máquina siempre actualizada y protegida mediante un cortafuegos correctamente configurado. Esta información fue recopilada de www.vsantivirus.com Departamento Gallego de Informática