Download SEGURIDAD EN INTERNET. MALWARE

page
1
page
2
page
3
page
4
page
5
page
6
Document related concepts
no text concepts found
Transcript 
1
SEGURIDAD EN INTERNET. MALWARE
En Internet, como en casi todos los ámbitos de la vida, la seguridad,
entendida tal cual se recoge en la Real Academia de la Lengua, es prácticamente
imposible de conseguir; por lo que en Informática nos conformamos con el concepto
de fiabilidad o de sistema suficientemente seguro.
Un sistema informático será seguro si cumple las siguientes condiciones:

Integridad: la información sólo podrá ser modificada por las entidades
autorizadas.

Confidencialidad: la información debe ser accesible tan sólo por las
entidades autorizadas.

No repudio: ofrece protección de un usuario frente a otro que niegue
haberse producido una determinada comunicación. El no repudio en
origen protege al receptor de que el emisor niegue haber enviado el
mensaje; mientras que el no repudio en recepción protege al emisor de
que el destinatario niegue haber recibido el mensaje. Con este fin se
emplean las firmas digitales, que estudiaremos en capítulos posteriores.
11.1 AMENAZAS A LA SEGURIDAD
Una amenaza a la seguridad es cualquier situación que pudiera, en un
momento dado, provocar una violación de la seguridad del sistema que afecte a
cualquiera de las tres características anteriores.
Las cuatro categorías más habituales de ataques a la seguridad son las
representadas en la Figura 11.1.
154 © DAVID ARBOLEDAS
Figura 11.1. Tipos de amenazas a un sistema informático

Interrupción: cualquier recurso de un sistema deja de estar disponible o
es destruido, lo que elimina la disponibilidad del mismo. Como ejemplo
podría citarse la destrucción de un disco duro o el corte de una línea de
comunicación.

Modificación: una entidad no autorizada no sólo intercepta o accede a
un recurso, sino que es capaz de manipularlo, lo que constituye un
ataque contra la integridad.

Intercepción: una entidad no autorizada accede a un recurso, lo que
implica un ataque contra la confidencialidad. Por ejemplo, escuchar una
línea para registrar los datos.

Fabricación: una entidad no autorizada inserta recursos falsificados en
un sistema, lo que implica una violación contra la autenticidad.
Estos ataques, a su vez, pueden clasificarse en pasivos (el atacante no
altera el flujo de información) o activos (se modifica el flujo de datos).
En este capítulo estudiaremos las amenazas que provienen de lo que
denominamos malware o software malintencionado, del inglés (malicious software).
Este término es muy utilizado para referirse a aquellos programas que tienen como
objetivo infiltrarse o dañar un sistema informático sin el consentimiento de la entidad
autorizada; incluye virus, gusanos, troyanos, rootkits, spyware y otros programas
maliciosos.
11.2 VIRUS
El primer virus que atacó a una máquina se denominó Creeper e infectó a un
terminal IBM Serie 360 en 1972.
©DAVID ARBOLEDAS 155
El término virus se acuñó en 1984 y desde entonces estos han evolucionado
enormemente y son cada vez más sofisticados. Algunos son inofensivos y otros
pueden llegar a eliminar información del disco duro o incluso borrar la tabla de
particiones del mismo (Figura 11.2).
Figura 11.2. Ejemplo de un virus que nos lleva a www.youtube.com
cuando se teclea www.google.com (phishing)
El virus es un malware que infecta generalmente ficheros ejecutables,
aunque existen para imágenes y videos. Este malware cambia el punto de entrada de
la aplicación para que en primer lugar se ejecute el virus y luego la aplicación. Una
vez que el virus se carga en memoria RAM, permanece en ella aun cuando el
programa infectado haya finalizado de ejecutarse. En este punto el virus toma el
control del ordenador e infectará a todos aquellos archivos que se ejecuten a
posteriori, con lo que el proceso de replicación queda completado.
Un virus afecta al sistema operativo para el que ha sido diseñado y en mayor
o menor medida pueden atacar a todos: Windows, GNU/Linux, Mac Os X, etc.
Existen dos grandes clases de contagio. En la primera, el usuario, en un
momento dado, ejecuta o acepta de forma inadvertida la instalación del virus. En la
segunda, el programa malicioso actúa replicándose a través de las redes. En este
caso se habla de gusanos.
Los métodos para disminuir los riesgos asociados a los virus se clasifican en
activos o pasivos.

Activos: fundamentalmente el empleo de los programas llamados
antivirus, cuyo objetivo primordial es detectar la mayor cantidad de
amenazas informáticas que puedan afectar a un ordenador (virus,
spyware, rootkits y otras) y bloquearlas antes de que la misma pueda
infectar un equipo, o poder eliminarla tras la infección. Resulta evidente
que para que nos mantenga suficientemente protegidos tendremos que
disponer de una licencia que permita actualizaciones periódicas.

Pasivos: entre estos métodos los más importantes son: no abrir
mensajes provenientes de una dirección electrónica desconocida, no
descargar software de direcciones que no sean de confianza y mantener
una política de copias de seguridad, para garantizar la recuperación de
datos y particiones si no ha llegado a funcionar ninguna otra medida.
156 © DAVID ARBOLEDAS
11.3 GUSANOS
Un gusano es un software malicioso que posee la propiedad de duplicarse a
sí mismo. Los gusanos utilizan las partes automáticas de un sistema operativo que
generalmente transcurren en un segundo plano y resultan invisibles al usuario. El
primer gusano informático de la historia data de 1988, cuando Morris infectó a una
gran parte de los servidores existentes.
A diferencia de un virus, un gusano no precisa alterar los archivos de
programas, sino que reside en la memoria y se duplica a sí mismo. Los gusanos se
apoyan en una red para enviar copias suyas a otros nodos y son capaces de
realizarlo sin intervención del usuario. Casi siempre causan problemas en la red,
aunque sólo se trate de ocupar ancho de banda, mientras que los virus siempre
infectan o corrompen los archivos del ordenador que atacan.
Es algo usual detectar la presencia de este tipo de malware en un sistema
cuando, debido a su incontrolada replicación, los recursos se consumen hasta el
punto de que las tareas ordinarias del mismo se hacen excesivamente lentas o
simplemente no pueden ejecutarse.
Los métodos más eficaces para protegerse de los gusanos son el empleo de
suites completas de seguridad, el uso de cortafuegos y el mantenimiento de las
actualizaciones del sistema operativo.
11.4 TROYANOS
Se denomina troyano a un programa malicioso capaz de alojarse en una
máquina y permitir el acceso remoto no autorizado, a través de una red, con el fin de
recabar información confidencial y sensible o controlar el ordenador anfitrión.
Un troyano no es un virus, aunque se distribuya y funcione como tal. La
principal diferencia es su finalidad. Al contrario que un virus, que es un huésped
destructivo, un troyano actúa de forma normalmente inocua para permitir el control
remoto del ordenador anfitrión sin que se advierta al legítimo usuario. Suele ser un
programa de pequeño tamaño que se aloja dentro de un ejecutable, un archivo de
sonido, una imagen o una canción.
Habitualmente se emplean para espiar lo que el propietario realiza con la
máquina, como por ejemplo capturar las pulsaciones del teclado para obtener
contraseñas. Funciona, en este caso, como un spyware.
Los troyanos están compuestos principalmente por tres programas: un
cliente, que envía las órdenes que se deben ejecutar en la computadora infectada,
un servidor, situado en la computadora infectada y que recibe las órdenes del cliente
y las ejecuta y, por último, un editor del servidor, que permite modificar el servidor
para que haga en el ordenador de la víctima lo que el pirata desee.
Atendiendo a la forma en la que se realiza la conexión entre el cliente y el
servidor se pueden clasificar en:
© DAVID ARBOLEDAS 157

Troyanos de conexión directa: el cliente se conecta al servidor.

Troyanos de conexión inversa: el servidor se conecta al cliente. La
conexión inversa tiene claras ventajas sobre la conexión directa, puesto
que traspasa la mayoría de los cortafuegos al no analizar los paquetes
que salen de la máquina.
Las medidas básicas para evitar infectarse por troyanos son las mismas que
para el caso de virus y gusanos.
11.5 ROOTKITS
Un rootkit es una herramienta, o un grupo de ellas, que se emplean una vez
que se ha conseguido entrar en un sistema; es decir, cuando ya se ha obtenido una
cuenta de root (superusuario), de ahí su nombre. Existen rootkits para una amplia
variedad de sistemas operativos: Microsoft Windows,GNU/Linux, Solaris, etc.
Los objetivos que persigue son fundamentalmente tres:

Ocultación: ellas mismas como herramientas pretenden hacerse
indetectables, al igual que las acciones que el intruso lleve a cabo sobre
la máquina atacada.

Control del sistema: facilitan posteriores entradas al sistema con
privilegios de root o administrador, modificando comandos o dejando
puertas traseras abiertas. Éstas son un código con el que se pretende
saltarse los procedimientos normales de autenticación en el sistema, con
lo que el acceso remoto futuro a la máquina será mucho más fácil.

Obtención de datos: pueden incluir herramientas para interceptar datos
de los ordenadores o de la red.
Asimismo, dependiendo de la parte del sistema que modifican, podemos
tener rootkits de:

Aplicaciones: sustituyen determinados ficheros,
directamente o empleando parches o código inyectado.

Librerías: emplean las librerías del sistema operativo para contener los
troyanos.

Núcleo o kernel: son los más peligrosos, ya que actúan desde el núcleo
del sistema operativo añadiendo o modificando alguna parte del mismo.
sustituyéndolos
La detección de rootkits puede llegar a ser bastante compleja, ya que
precisamente se diseñan para ocultarse. El mejor método para hacerlo es apagar el
sistema que se considere infectado y arrancarlo desde un CD o DVD. Un rootkit
inactivo no puede ocultar su presencia. Los fabricantes de aplicaciones de seguridad
158 © DAVID ARBOLEDAS
han ido integrando los detectores de rootkits en los productos tradicionales de
detección de virus. Hay, sin embargo, varios programas disponibles para detectar
específicamente rootkits. En los sistemas basados en Unix, Chkrootkit
(http://www.chkrootkit.org/);
y
para
Windows,
Blacklight,
de
F-Secure
(ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe).
11.6 SPYWARE
Un programa espía es un software que se instala furtivamente en un
ordenador para recopilar información sobre las actividades realizadas en éste. La
función más común que tienen estos programas es la de recopilar información sobre
el usuario y distribuirlo a empresas publicitarias u otras organizaciones interesadas.
Entre la información usualmente recabada por este software se encuentran:
los mensajes, contactos y la clave del correo electrónico; direcciones web visitadas,
tiempo durante el cual el usuario se mantiene en dichas web y número de veces que
las visitan; así como cualquier tipo de información intercambiada.
Los programas espía pueden ser instalados en un ordenador mediante un
virus, un troyano que se distribuye por correo electrónico, o bien puede estar oculto
en la instalación de un programa aparentemente inocuo. Algunos programas
descargados de sitios no confiables pueden tener instaladores con spyware y otro tipo
de malware.
Las cookies son archivos en los que se almacena información sobre un
usuario de Internet en su propio ordenador, y se suelen emplear para asignar a los
visitantes de un sitio de Internet un número de identificación individual para su
reconocimiento posterior. Así que el software que transmite información de las
cookies, sin que el usuario consienta la respectiva transferencia, puede considerarse
una forma de spyware.
Entre los síntomas más claros de infección por Spyware, podemos citar:

Cambio de la página de inicio con la imposibilidad de modificarla.

Aparición de ventanas emergentes, incluso sin estar conectados y sin
tener el navegador abierto.

Barras de búsquedas de sitios como la de Alexa o Hotbar, que no se
pueden eliminar.

La navegación por la red se hace cada día más lenta y con más
problemas.

Denegación de servicios de correo y mensajería instantánea.
El empleo de una buena suite de seguridad para Internet es la mejor medida
de protección frente al software espía.
Related documents
spyware - adpagoro1227
spyware - adpagoro1227
Tipos de Virus informáticos clase 5
Tipos de Virus informáticos clase 5
Material necesario - Departamento de Informática y Sistemas
Material necesario - Departamento de Informática y Sistemas
Malware
Malware
Que no es malware
Que no es malware
Diapositiva 1 - CRA LOS GIRASOLES
Diapositiva 1 - CRA LOS GIRASOLES
ES_WP_The wild world of malware
ES_WP_The wild world of malware
Malware - Hacker Highschool
Malware - Hacker Highschool
Amplía 1. Establecer un plan de seguridad
Amplía 1. Establecer un plan de seguridad
Virus informáticos
Virus informáticos
virus informatico
virus informatico
Ataques y contramedidas en sistemas personales
Ataques y contramedidas en sistemas personales
LiveCall Suite Manual de Referencia
LiveCall Suite Manual de Referencia
Descargalo aquí
Descargalo aquí
Seguridad en Windows Vista
Seguridad en Windows Vista