Download Protegernos de los Virus - Departamento Gallego de Informática

page
1
page
2
page
3
Document related concepts
no text concepts found
Transcript 
Nuevas generaciones de Virus
La nueva generación de virus liderada por Blaster/Lovsan ha modificado las formas de
contagio y, por tanto, las medidas de defensa. Ahora ya no nos contagiamos por lo que
hacemos sino por lo que no hacemos. Con los virus clásicos era necesario abrir un
archivo adjunto de correo electrónico, ejecutar un programa recibido por IRC, etc. En
cambio, con la nueva oleada de virus el usuario que no ha cometido (aparentemente)
ninguna imprudencia se puede infectar. ¿Por qué? por lo que no ha hecho: no tiene, o no
ha configurado correctamente, un cortafuegos.
Bien es cierto que ya existían virus que se aprovechaban de agujeros de seguridad
como, por ejemplo, de la vulnerabilidad de las extensiones MIME, que permite que un
programa se autoejecute en la vista previa de Outlook sin que el usuario abra el
mensaje. Sin embargo, en esta ocasión nos referimos a agujeros de seguridad en los
puertos de entrada de nuestra máquina. Estos virus tienen otra novedad añadida: se
reproducen no por el correo electrónico sino por barridos de direcciones IP buscando
máquinas no protegidas. ¿No es esto lo que hacen los hackers?
•
Un antivirus no es suficiente
Los nuevos virus se destacan también por sus grandes capacidades de propagación
(cuestión de minutos). Y ante todas estas características, las soluciones antivirus de
poco nos pueden proteger. Un antivirus clásico actúa cuando el usuario intenta abrir un
archivo infectado y reconoce el archivo como infectado porque tiene actualizada su base
de datos de virus. Entonces, un virus como Blaster puede modificar archivos en nuestro
ordenador sin que el antivirus lo advierta. Los antivirus no son suficiente: necesitamos
algo más.
En el caso de usuarios domésticos las medidas básicas son:
comprobar si existen nuevas actualizaciones de seguridad regularmente e instalarlas, no
abrir archivos sospechosos, instalar un cortafuegos personal y configurarlo
adecuadamente y, por último, actualizar el antivirus periódicamente. Las dos últimas
medidas constituyen una barrera de seguridad adicional ante lo que son casi siempre
errores del usuario (fallos de seguridad no subsanados y archivos infectados que se
intentan abrir).
Observemos también que un antivirus clásico sólo protege de los virus conocidos. En
cambio, un cortafuegos protege de agujeros de seguridad que todavía no se han
parchado, bien por despiste o desconocimiento del usuario o bien, porque todavía no se
ha desarrollado el correspondiente parche. Pero no sólo nos protege ante ataques
externos sino también de intentos de conexión hacia Internet procedentes de programas
instalados en nuestro ordenador. Este es el caso de los troyanos que extraen información
confidencial de nuestra máquina y la envían al equipo del atacante. Un cortafuegos
correctamente configurado es hoy en día un elemento imprescindible en cualquier
conexión a Internet. Es importante comprender todos estos conceptos para configurar
correctamente la defensa de nuestro equipo.
•
Configurar correctamente el cortafuegos
Cualquier cortafuegos es válido siempre que esté correctamente configurado. El
cortafuegos debe denegar, en principio, todos los intentos de conexión hacia nuestra
máquina desde Internet (todos los puertos cerrados).
Departamento Gallego de Informática
Sin embargo, si nuestra máquina hace tareas de servidor tendremos que abrir los puertos
requeridos. Nuestro equipo también puede realizar tareas de servidor en programas P2P
(compartiendo archivos a todo Internet) o en otro tipo de aplicaciones como Microsoft
Messenger.
El error más común cuando nos encontramos con que una aplicación no funciona es
deshabilitar por completo el firewall, en lugar de investigar su configuración correcta.
Por supuesto, aquellos puertos abiertos en el cortafuegos serán vulnerables si la
aplicación que está a la escucha tiene un agujero de seguridad no parchado o está mal
configurada.
•
Protección de redes
El caso de la protección de redes es algo más complejo. Debemos diferenciar entre los
virus que entran desde fuera de la red interna (por Internet) y los que lo hacen desde
dentro. El segundo caso a menudo se descuida y puede comprometer toda la seguridad
de la red interna.
Los administradores de redes conocen su obligación de estar permanentemente
informados sobre las nuevas vulnerabilidades de seguridad, mediante boletines diarios
de seguridad, y aplicar aquellos parches que correspondan a sus sistemas. Sin embargo,
esta tarea frecuentemente se deja para cuando no hay algo urgente que hacer en la
empresa. Los motivos principales son la escasez de personal en el departamento técnico
y el desconocimiento de los superiores que no valoran las acciones cuyos resultados “no
se ven” inmediatamente.
Hasta ahora el riesgo que corría nuestro sistema era que un atacante aprovechara el
lapso de tiempo entre que se descubre un agujero y se aplica el parche para ganar
privilegios en nuestra máquina, ejecutar códigos, obtener información o provocar
ataques de denegación de servicio. Es decir, se requería una persona detrás dirigiendo el
ataque.
•
Medidas básicas
Con la nueva generación de virus esto ya no es así: el propio virus busca máquinas
vulnerables y se extiende a velocidades crecientes. El riesgo de que nuestra máquina
sea afectada es ahora mucho mayor. Ante esto, la tarea de mantener las máquinas
actualizadas es más prioritaria que nunca. Podemos afirmar con seguridad que
aparecerán nuevos virus que se aprovecharán de agujeros de seguridad distintos al
descrito. Lo que buscamos no son medidas para defendernos de un virus concreto, sino
de todos los virus con funcionamiento similar a los ya conocidos.
Los cortafuegos son una pieza clave para frenar la propagación de la nueva generación
de virus. Una correcta configuración filtrará los ataques automatizados de los virus
desde Internet a las máquinas de la red interna Pero no podemos confiarnos y olvidarnos
de proteger las máquinas internas de la red. Es tan importante una correcta
configuración de la seguridad perimetral como de los servidores y estaciones de trabajo
de la red interna. Veamos ahora qué pasaría si el ataque se produce desde el interior.
•
Ataques desde la red interna
Los ataques desde el interior de la red son más frecuentes de lo que podemos suponer.
La mayor parte de las redes disponen de una buena seguridad perimetral basada en
cortafuegos, sistemas de detección de intrusos (IDS), antivirus en servidores de correo,
Departamento Gallego de Informática
etc. Pero, ¿qué pasaría si introducimos en la red interna una máquina infectada? El virus
se propagaría entre todas aquellas máquinas no configuradas adecuadamente. Esta idea
no es tan descabellada: pensemos en un portátil que se infecta en el domicilio del
usuario y, posteriormente, es introducido en la red corporativa; o bien, un usuario
infectado que se conecta a la red interna mediante una conexión de acceso telefónico o
por líneas privadas.
Llegados a este punto, tenemos que buscar medidas que frenen la propagación de virus
dentro de la red interna. Algunos virus, como Bugbear, tienen la capacidad de infectar
los recursos compartidos de la red. Los puestos de trabajo no deberían tener compartido
ningún directorio y, muchos menos, una unidad completa. En su lugar, se debe habilitar
un servidor de archivos con los permisos y medidas de seguridad correspondientes.
No olvidemos tampoco actualizar todas las máquinas con las últimas revisiones de
seguridad, deshabilitar los servicios innecesarios, disponer de antivirus actualizados,
utilizar contraseñas fuertes, formar a los usuarios, etc. Por supuesto, una posible
máquina infectada debe ser desconectada inmediatamente de la red para prevenir males
mayores.
•
“Hackers” automáticos
Según hemos visto, las productos antivirus ya no son suficientes para enfrentarse a la
nueva generación de virus, que utiliza las mismas técnicas que los hackers pero
ejecutadas de forma masiva y automatizada. Cada máquina infectada actúa como un
atacante más buscando nuevas máquinas vulnerables. Además de los consejos
habituales para prevenir infecciones de virus, debemos ahora mantener nuestra máquina
siempre actualizada y protegida mediante un cortafuegos correctamente configurado.
Esta información fue recopilada de www.vsantivirus.com
Departamento Gallego de Informática
Related documents
Virus y Gusanos, la mejor Defensa:toma de conciencia SAFE
Virus y Gusanos, la mejor Defensa:toma de conciencia SAFE
Tipos de Virus informáticos clase 5
Tipos de Virus informáticos clase 5
los sistemas informaticos
los sistemas informaticos
Protecciones complementarias contra infecciones de virus
Protecciones complementarias contra infecciones de virus
virus informaticos - IHMC Public Cmaps (2)
virus informaticos - IHMC Public Cmaps (2)