Download Telefónica de España
Transcript
Productos Antivirus y Firewalls Telefónica de España Página 1 Agenda • Antivirus – ¿Qué es un virus? – Componentes de un virus – Otros programas erróneamente considerados como virus – Tipos de virus más comunes • Firewalls personales – Firewalls de filtrado – Firewalls de aplicaciones – Firewalls personales Telefónica de España Página 2 Antivirus Telefónica de España Página 3 ¿Qué es un virus? Se puede considerar virus a todo código con capacidad de réplica y anexo. Un virus por tanto puede o no realizar una acción dañina contra un PC. Existen muchos virus cuya actividad se basa exclusivamente en la réplica y anexo a otros máquinas y archivos. Telefónica de España Página 4 Componentes de un virus • Código de copia: Código indispensable para que el código pueda ser considerado como vírico. Es el mecanismo mediante el cual, el virus se replica a otras máquinas y se anexa a otros archivos. • Código de ocultación: Código opcional, se trata de mecanismos de ocultación utilizados por los desarrolladores de virus, para que el virus se mantenga el mayor tiempo posible oculto. • Payload (Carga): Código opcional, se trata de la acción dañina que el virus puede desarrollar contra una máquina infectada. • Triggers: Código opcional, puede ser considerado como el disparador que hace que el payload sea lanzado. Un trigger por ejemplo puede ser una determinada fecha. Telefónica de España Página 5 Otros programas erróneamente considerados como virus. Atendiendo a la descripción de virus, “Código con capacidad de réplica y anexo”, existen muchas “aplicaciones” que pueden ser englobadas como malware, consideradas erróneamente como virus cuando realmente no cumplen con la premisa que define qué es un virus. • Gusanos • Troyanos o caballos de troya • Hoaxes • y a veces ....... Bugs de aplicaciones Telefónica de España Página 6 Gusanos Un gusano es una aplicación con capacidad de réplica (de una máquina a otra), pero sin la capacidad de anexarse a otros archivos, realmente y por tanto, no puede ser considerado como un virus. Normalmente utilizan el correo electrónico como medio de propagación, siendo su principal objetivo las estaciones de trabajo, si bien es cierto que existen gusanos con capacidad de réplica vía http y cuyo objetivo son servidores de aplicaciones. Telefónica de España Página 7 Troyanos o Caballos de troya A diferencia de los virus, un troyano es una aplicación sin capacidad de réplica ni anexo, puede ser considerado como una aplicación 100 % payload. Su único objetivo es llevar a cabo un conjunto de acciones dañinas pero en ningún caso el de replicarse. Podría considerarse un troyano como un Kamikaze capaz de destruirse así mismo siempre y cuando sea capaz de lanzar la acción para la cual fue programado. Telefónica de España Página 8 Hoaxes o bulos Un hoax no dispone de código de réplica, ni anexo, ni tampoco payload. Un hoax puede ser definido como un bulo o broma, cuyo objetivo es conseguir la mayor propagación posible utilizando ingeniería social, de este modo un hoax puede ser una amenaza falsa sobre un virus o un programa de broma. Si consideramos que el objetivo de un virus es provocar la caída de los servicios de una organización, un hoax puede generar mucho más downtime en un servidor de correo que un virus verdadero. Telefónica de España Página 9 Bugs Sin duda un bug en un aplicación no puede ser considerado como un virus, si bien es cierto que el funcionamiento anómalo de una aplicación puede ser derivado de la acción de un virus. Debido a ello muchas veces un bug puede considerarse erróneamente como la acción provocada por un virus. Telefónica de España Página 10 Tipos de virus • Virus de Sector de arranque o tabla de particiones. • Virus de archivos ejecutables. • Virus para Microsoft Office. • Controles ActiveX y Applets de Java. • Nuevas tendencias, mass mailers y Network infectors. Telefónica de España Página 11 Virus de Sector de arranque Tienen la capacidad de infectar el sector de arranque de disquetes o en el caso de discos duros, el sector de arranque o/y la tabla de particiones. El simple hecho de arrancar una máquina con un disquete infectado, anexará el virus al equipo. Cualquier disquete introducido con posterioridad, será infectado. Telefónica de España Página 12 Virus de archivos ejecutables Este tipo de virus, normalmente está desarrollado en ensamblador, básicamente lo que hacen es incorporarse dentro del archivo EXE o COM infectándolo. Existen distintas metodologías de infección en función de la plataforma para la cual fue desarrollado el ejecutable en cuestión. Así pues, existen virus que atacan archivos ejecutables tipo Windows 32, EXE (DOS, W3X), COM, etc... Telefónica de España Página 13 Virus para Microsoft Office Son virus que consiguen replicarse a los documentos mediante la utilización de macros automáticas (Macros que se ejecutan en el momento de crear o abrir un archivo). Estas macros en el caso de Ms Word son almacenadas en la plantilla normal.dot, mientras que en el caso de Ms Excell se almacenan en la carpeta \XLSTART. Telefónica de España Página 14 Controles ActiveX y Applets de Java. Se tratan de aplicaciones que se ejecutan en la máquina a través del navegador. Cada día los servicios WEB son más dinámicos, este dinamismo se consigue a través de la aceptación de ejecución de aplicaciones que podrían ser nocivas. Esta apertura en el nivel de protección podría ser utilizado por un virus. Telefónica de España Página 15 Nuevas tendencias La nuevas tendencias en cuanto a virus, demuestran desarrollos con capacidad de replicarse mucho más rápido que los antiguos virus. Así pues un Network Infector, utilizará la red para replicarse a todos los hosts a los que tenga acceso, mientras que un Mass Mailer utilizará el correo para llegar en el menor tiempo posible al mayor número de máquinas posibles. Estas tendencias, fuerzan a los fabricantes antivirus al desarrollo de soluciones donde el mantenimiento y la configuración de los productos antivirus no sea un problema Telefónica de España Página 16 Firewalls Telefónica de España Página 17 Firewalls Definición de un Firewall – Sistema diseñado para prevenir accesos no autorizados desde o hacia una red privada. – Los Firewalls pueden estar diseñados en HW/SW o ambos. Firewalls de filtrado de paquetes – Comprueba la cabecera de cada paquete entrante o saliente y lo acepta o rechaza de acuerdo con reglas definidas por el usuario. – Firewalls muy efectivos y transparentes para los usuarios, aunque son difíciles de configurar. – Suceptibles a IP Spoofing Firewalls de aplicación – Examina no sólo la cabecera, sino también el contenido del paquete elevándolo a nivel de aplicación. – Ofrece visibilidad sobre cómo las aplicaciones interactúan con la red. Telefónica de España Página 18 Firewalls en pasarelas Internet Hacker Firewall Red Interna Firewalls en pasarelas - La localización tradicional de un Firewall - Normalmente implementado para proteger la red interna (trusted) de la externa (normalmente internet) - Aunque necesario, más de 60% de los ataques provienen de usuarios internos. Telefónica de España Página 19 Firewalls personales Hacker Internet Firewall Red Interna Firewalls personales - Aumentan el nivel de seguridad contra posibles ataques originados tanto por usuarios internos como externos. - Normalmente implementados para proteger el host sobre el que se instala. - Lógicamente no sustituyen a los FW de pasarelas sino que lo complementan. Telefónica de España Página 20 Resumen de conceptos • Antivirus – ¿Qué es un virus? – Componentes de un virus – Otros programas erróneamente considerados como virus – Tipos de virus más comunes • Firewalls personales – Firewalls de filtrado – Firewalls de aplicaciones – Firewalls personales Telefónica de España Página 21