1.

DEFENSAS
Uno de los conceptos ms importantes es el de la defensa en
profundidad. Puesto que debemos tener varios niveles de seguridad,
de manera que si se viola uno de ellos , an quedan otros niveles de
defensa.
Las defensas no son jerrquicas pero comenzaremos por las
exteriores que son ms generales.
FIREWALLS
Una computadora conectada a internet est expuesta a dos tipos de
peligro: entrantes y salientes. Los peligros entrantes incluyen crackers
que tratan de entrar a la computadora, as como virus, spyware y
dems malware. Los peligros salientes incluyen informacin
confidencial como los nmeros de tarjeta de crdito, contraseas,
devoluciones de impuestos y todo tipo de informacin corporativa.
El firewall es una adaptacin moderna de un antiguo recurso de
seguridad medieval cavar un pozo profundo alrededor del castillo.
Este modelo obligaba a todos los que entraban y salan del castillo a
pasar por un puente levadizo en donde la polica de E/S poda
inspeccionarlos.
Hay dos variedades de firewall: de hardware y software. Por lo
general, las empresas que deben proteger sus LANs optan por
firewalls de hardware; los individuos en su hogar eligen con
frecuencia los firewalls de software.
La conexin se conecta al proveedor de red y este a su vez al firewall
de hardware genrico. No pueden entrar paquetes a la Lan ni salir de
ella sin que el firewall lo apruebe

Los firewalls se configuran con reglas descritas en

En el tipo de firewall ms simple , El firewall
inspecciona el encabezado de cada paquete que
toma la decisin de aceptar o rechazar el paquete

una interfaz web.

sin estado , se
pasa por l y se
, slo basados en

esa informacin la cual incluye direcciones Ip de origen y destino ,

puertos de origen y destino el tipo de servicio , el protocolo .
Los paquetes entrantes contienen un nmero de puerto de 16 bits ,
que especifica cul proceso en la mquina debe recibir el paquete.
Algunos puertos tienen servicios asociados. En especial el puerto 80
se utiliza para web , el puerto 25 para el correo electrnico y el puerto
21 para el servicio FTP( transferencia de archivos) , pero la mayora
de los dems puertos estn disponibles para los servicios definidos
por el usuario.

Los firewalls de estado mantienen el registro de las conexiones y el

estado en el que se encuentran. Estos firewalls con mejores para
vencer ciertos tipos de ataques en especial los relacionados con el
establecimiento de conexiones. Hay otros tipos de firewalls que
implementan un IDS (Intrusion Detection System, Sistema de
deteccin de intrusos) dnde no slo se inspecciona encabezados
sino tambin el contenido en busca de material sospechoso.
Los firewalls de software hacen lo mismo que los firewalls de
hardware pero en software. Son filtros que se conectan al cdigo del
kernel del sistema operativo y filtran los paquetes de la misma forma
en la que lo hace el firewall de hardware.
LOS ANTIVIRUS Y LAS TCNICAS ANTI-VIRUS
Los virus tratan de ocultarse una vez hayan burlado la primera
barrera de seguridad (firewall). Los virus son como los rootkits,
excepto que la mayora de sus creadores buscan esparcirlos
rpidamente en vez de jugar a las escondidas como los rootkits.
Analizaremos algunas tcnicas usadas por el software antivirus y la
forma en que Virgilio , el escritor de virus responde a ellos.
Explorador de virus
La empresas de software antivirus tienen laboratorios en los que
cientficos dedicados trabajan largas horas para rastrear y
comprender los nuevos virus.
El primer paso es hacer que el virus infecte un archivo que no hace
nada conocido como archivo seuelo (goat file),para obtener una
copia de este virus en su forma ms pura.

El siguiente paso es hacer un listado exacto del cdigo del virus e

introducirlo a la base de datos de virus conocidos. La empresas
compiten por el tamao de su base de datos e inventan nuevos virus
para aumentar su tamao lo cual no es considerada una buena
prctica.
Una vez instalado el programa de antivirus lo primero que hace es
explorar todos los archivos ejecutables en busca de cualquier virus de
la base de datos .
Entre ms virus haya en la base de datos y ms amplio sea el criterio
de declarar una ocurrencia , habr ms falsas alarmas. Obtener una
deteccin acertada implica un balance delicado de heurstica.
Otra forma en el que el programa antivirus detecte la infeccin de
archivos es registrar y almacenar en el disco las longitudes de todos
los archivos. Si un archivo creci de tamao desde la ltima
comprobacin , podra estar infectado

Ventajas
Gran deteccin de virus
polimrficos o desconocidos.
Gran
Proteccin
Garantizada.
Gran facilidad de uso.
Buena Apariencia.

Proteccin en tiempo real

contra los virus.
Fcil de actualizar la base
de virus para una mejor
proteccin.
Elimina todo fcilmente.
Es Fcil de instalar.

Desventajas
Utiliza muchos recursos y
pone lento el CPU.
Es lento a la hora de
escanear.
Es
apto
para
computadores
que
tengan
como mnimo en 512 de
Memoria RAM.

Las opciones de conexin,

bsqueda y proteccin son muy
reducidas
y
limitadas,
obligando a tener que soportar
muchas
ejecuciones
secundarias no deseadas del
programa.
No es software libre.

Algunos mtodos de infeccin

Aadidura o empalme. Por este mtodo el cdigo del virus se agrega
al
final
del
archivo
ejecutable
a
infectar,
modificando
las estructuras de arranque del archivo anfitrin de manera que el
control del programa pase primero al virus cuando se quiera ejecutar
el archivo. Este cambio de secuencia permite al virus realizar sus
tareas especficas y luego pasar el control al programa para que este
se ejecute normalmente. La principal desventaja de este mtodo es
que el tamao del archivo infectado es mayor al original, lo que
permite una fcil deteccin.
Insercin. Los virus que utilizan el mtodo de insercin buscan
alojarse en zonas de cdigo no utilizadas o en segmentos
de datos dentro de los archivos que contagian, de esta manera la
longitud total del archivo infectado no vara. Este mtodo, parecido al
de empalme, exige mayores tcnicas de programacin de los virus
para poder detectar las zonas posibles de contagio dentro de un
ejecutable, por lo que generalmente no es muy utilizada por los
programadores de virus informticos.
Reorientacin. Este mtodo es una variante interesante del anterior.
Bajo este esquema se introducen centrales virsicas (los cdigos
principales del virus) en zonas fsicas del disco rgido marcadas como
defectuosas o en archivos ocultos del sistema. Estos cdigos virales,
al ejecutarse, implantan pequeos trozos de cdigo en los archivos
ejecutables que infectan, que luego actan como llamadores de las
centrales virsicas. La principal ventaja de este mtodo es que el
cuerpo del virus, al no estar inserto en el archivo infectado sino en
otro sitio oculto, puede tener un tamao bastante grande,
aumentando as su funcionalidad. La desventaja ms fuerte es que la
eliminacin de este tipo de infecciones es bastante sencilla. Basta con
borrar archivos ocultos sospechosos o reescribir las zonas del disco
marcadas como defectuosas.
Polimorfismo. Este es el mtodo ms avanzado de contagio logrado
por los programadores de virus. La tcnica bsica usada es la de
insercin del cdigo viral en un archivo ejecutable, pero para evitar el
aumento de tamao del archivo infectado, el virus compacta parte de
su cdigo y del cdigo del archivo anfitrin de manera que la suma de
ambos sea igual al tamao original del archivo. Al ejecutar el
programa
infectado
acta
primero
el
cdigo
del
virus
descompactando
en
memoria
las
porciones
previamente
compactadas. Una variante mejorada de esta tcnica permite a los
virus usar mtodos de encriptacin dinmicos para disfrazar el cdigo
del virus y evitar ser detectados por los antivirus.
Sustitucin. El mtodo de sustitucin, usado con variantes por los
Caballos de Troya, es quizs el mtodo ms primitivo. Consiste en
sustituir el cdigo completo del archivo original por el cdigo del
virus. Al ejecutar el programa infectado el nico que acta es el virus,
que cumple con sus tareas de contagiar otros archivos y luego
termina la ejecucin del programa reportando algn tipo de error.

Esta tcnica tiene sus ventajas, ya que en cada infeccin se eliminan

archivos de programas vlidos, los cuales son reemplazados por
nuevas copias del virus.
Tunneling. Es una tcnica usada por programadores de virus y
antivirus para evitar todas las rutinas al servicio de una interrupcin y
tener as un control directo sobre esta. Requiere una programacin
compleja, hay que colocar el procesador en modo kernel. En este
modo de funcionamiento, tras ejecutarse cada instruccin se produce
la INT 1. Se coloca una ISR (Interrupt Service Routine) para dicha
interrupcin y se ejecutan instrucciones comprobando cada vez si se
ha llegado a donde se quera hasta recorrer toda la cadena de ISRs
que halla colocando el parche al final de la cadena.
Los virus utilizan el tunneling para protegerse de los mdulos
residentes de los antivirus que monitorean todo lo que sucede en la
mquina para interceptar todas las actividades "tpicas" de los virus.

COMPROBADORES DE IDENTIDAD
Es un mtodo completamente distinto
para detectar virus. Un
programa antivirus que funciona de esta manera explora primero el
disco duro .Una vez de que est convencido que el disco duro est
limpio calcula la suma de la comprobacin para cada archivo
ejecutable .Despus escribe en un archivo llamado sumacomp la lista
de sumas de comprobacin .
La prxima vez que se ejecuta vuelve a calcular todas las sumas de
comprobacin y verifica que coincidan con lo que hay en dicho
archivo. Un archivo infectado en la lista se podr identificar de
inmediato,
Sim embargo es posible crear un virus que elimine el archivo de
comprobacin. O peor an que calcule la suma de comprobacin del
archivo infectado y reemplace la entrada anterior en el archivo de
sumas de comprobacin. El programa antivirus puede tratar de
ocultar el archivo de sumas de comprobacin pero no es probable que
funcione si es que el creador del virus realiza un estudio minucioso
.Una mejor idea sera firmarlo digitalmente para que sea ms fcil
detectar su alteracin .
Comprobacin de integridad
Como ya habamos anticipado los comprobadores de integridad
verifican que algunos sectores sensibles del sistema no sean
alterados sin el consentimiento del usuario. Estas comprobaciones
pueden aplicarse tanto a archivos como al sector de arranque de las
unidades de almacenamiento.

Para poder realizar las comprobaciones el antivirus, primero, debe

tener una imagen del contenido de la unidad de almacenamiento
desinfectada con la cual poder hacer despus las comparaciones. Se
crea entonces un registro con las caractersticas de los archivos,
como puede ser su nombre, tamao, fecha de creacin o modificacin
y, lo ms importante para el caso, el checksum, que es aplicar un
algoritmo al cdigo del archivo para obtener un valor que ser nico
segn su contenido (algo muy similar a lo que hace la funcin hash en
los mensajes). Si un virus inyectara parte de su cdigo en el archivo la
nueva comprobacin del checksum sera distinta a la que se guard
en el registro y el antivirus alertara de la modificacin. En el caso del
sector de booteo el registro puede ser algo diferente. Como existe un
MBR por unidad fsica y un BR por cada unidad lgica, algunos
antivirus pueden guardarse directamente una copia de cada uno de
ellos en un archivo y luego compararlos contra los que se encuentran
en las posiciones originales.
Una vez que el antivirus conforma un registro de cada uno de los
archivos en la unidad podr realizar las comprobaciones de
integridad. Cuando el comprobador es puesto en funcionamiento cada
uno de los archivos sern escaneados. Nuevamente se aplica la
funcin checksum y se obtiene un valor que es comparado contra el
que se guard en el registro. Si ambos valores son iguales el archivo
no sufri modificaciones durante el perodo comprendido entre el
registro de cheksum antiguo y la comprobacin reciente. Por el otro
lado, si los valores checksum no concuerdan significa que el archivo
fue alterado y en ciertos casos el antivirus pregunta al usuario si
quiere restaurar las modificaciones. Lo ms indicado en estos casos
sera que un usuario con conocimientos sobre su sistema avale que se
trata realmente de una modificacin no autorizada y por lo tanto
atribuible a un virus-, elimine el archivo y lo restaure desde la copia
de respaldo.
La comprobacin de integridad en los sectores de booteo no es muy
diferente. El comprobador verificar que la copia que est en uso sea
igual a la que fue guardada con anterioridad. Si se detectara una
modificacin en cualquiera de estos sectores, se preguntar al
usuario por la posibilidad de reconstruirlos utilizando las copias
guardadas. Teniendo en cuenta que este sector en especial es un
punto muy vulnerable a la entrada de los virus multipartidos, los
antivirus verifican constantemente que no se hagan modificaciones.
Cuando se detecta una operacin de escritura en uno de los sectores
de arranque, el programa toma cartas en el asunto mostrando en
pantalla un mensaje para el usuario indicndole sobre qu es lo que
est por suceder. Por lo general el programa antivirus ofrece algunas
opciones sobre como proceder, como evitar la modificacin, dejarla
continuar, congelar el sistema o no tomar ninguna medida (cancelar).
Para que esta tcnica sea efectiva cada uno de los archivos deber
poseer su entrada correspondiente en el registro de comprobaciones.
Si nuevos programas se estn instalando o estamos bajando algunos
archivos desde Internet, o algn otro archivo ingresa por cualquier
otro dispositivo de entrada, despus sera razonable que registremos

el checksum con el comprobador del antivirus. Incluso, algunos de

estos programas atienden con mucha atencin a lo que el
comprobador de integridad determine y no dejarn que ningn
archivo que no est registrado corra en el sistema.
COMPROBADORES DEL COMPORTAMIENTO

Es la tercera estrategia que utiliza el software antivirus. Con ese

mtodo el programa antivirus vive en memoria mientras que la
computadora est funcionando y atrapa por s slo las llamadas al
sistema, de esta manera monitorea toda la actividad tratando de
detectar algo sospechoso.
COMO EVITAR LOS VIRUS
Mejor seguro que arrepentido
Es mucho ms fcil evitar los virus que tratar de rastrearlos por ello
mostraremos unos cuantos lineamientos para usuarios individuales .
1. Elegir un sistema operativo que ofrezca un alto nivel de
seguridad con un lmite slido entre el modo kernel y el
modo usuario y contraseas separadas para cada
usuario .
2. Instalar slo software legal.
3. Comprar software antivirus y usarlo segn las
indicaciones .
4. No hacer click en archivos adjuntos de correo electrnico.
5. Puede realizarse copias frecuentes de archivos clave en
un medio externo como disco flexible, Cd con el fin de
tener la oportunidad de restaurar los archivos antes de
ser infectados.
6. Resistir la tentacin de descargar y ejecutar el nuevo
software ostentoso y gratuito de una fuente desconocida
Adems algunos fabricantes deberan tener en cuenta lo siguiente:

Los sistemas operativos deben ser simples.

Hay que olvidarse del contenido activo
Debe haber una forma de proteger contra escritura
ciertos cilindros del disco.
La memoria flash slo debera modificarse al activar un
interruptor externo, algo que slo ocurrira cuando el
usuario instale una actualizacin del BIOS.

FIRMA DE CDIGO
Otra manera de impedir que el malware entre en la computadora es
ejecutar solo el software de distribuidores confiables. Esta basado en

la criptografa de clave pblica. Un distribuidor de software genera un

par (clave pblica y clave privada) la segunda clave la guarda con
recelo

Las pginas web pueden contener cdigo como los controles activeX,
pero tambin cdigo en diversos lenguajes de secuencias de
comandos. A menudo este cdigo est firmado en cuyo caso el
navegador examina la firma de manera automtica.

ENCARCELAMIENTO
Confiar pero verificar Aunque una pieza de software est firmada es
conveniente verificar que su comportamiento sea correcto.

El programa recin adquirido se ejecuta como un proceso que en la

figura se denomina prisionero. El carcelero es un proceso confiable
que monitorea el comportamiento del prisionero.
DETECCIN DE INTRUSOS BASADOS EN MODELOS
Otro mtodo para defender una maquina es instalar un IDS Intrusion
Detection System .Hay dos tipos: uno se concentra en inspeccionar
los paquetes de redes entrantes y el otro se enfoca en buscar
anomalas del CPU.
IDS basado en host se le conoce como deteccin de intrusos basada
en modelos estticos y se puede implementar mediante el uso de la
tcnica de encarcelamiento. La forma ms simple para aprender esto
es hacer que el compilador lo genere, que el autor del programa lo
firme y adjunte su certificado.
ENCAPSULAMIENTO DE CODIGO MOVIL
PostScript es un Lenguaje de Descripcin de Pgina, empleado en
impresoras lser y como formato de transporte de archivos grficos.
PostScript fue desarrollado por John Warnock y Chuck Geschke,
actualmente de Adobe Systems y fue introducido en 1982. PostScript
utiliza un lenguaje de programacin OO completo para describir una
imagen para que pueda ser impresa. Esto lo diferenci de otros
lenguajes que slo usaban secuencias de escapes de bajo nivel.
PostScript trata a las imgenes (incluso las fuentes) como colecciones
de objetos geomtricos en lugar de mapas de bits.
Cuando hablamos de trminos informticos, los cuales no son pocos,
debemos tener en cuenta uno muy importante, el cual se refiere a la
seguridad de nuestros equipos y que probablemente salga en muchos
temas o conversaciones entre informticos y/o usuarios avanzados.
Es lo que se denomina Sandbox o Caja de arena, un mecanismo
de seguridad que nos permite el aislamiento de los programas para

ser analizados en cuanto a comportamiento malintencionado, tal

como el malware, spyware, etc
En realidad, el objetivo de los programas de tipo Sandbox, permiten
ejecutar cualquier programa en una porcin enjaulada de nuestro
disco duro, evitando la propagacin del software malintencionado a
otras partes del mismo.
Algunos ejemplos de programas que cumplen este objetivo son los
siguientes:
Mquina virtual: Emula un ordenador completo, en el que un sistema
operativo convencional se puede iniciar y ejecutar como lo hara en
hardware real. El sistema operativo "invitado" es un recinto de
seguridad, al no ejecutarse de forma nativa en la mquina, y slo
poder acceder a los recursos fsicos mediante el programa emulador
(algunos
ejemplos
son VMware
Workstation, Windows
Virtual
PC o Virtual Box, entre otros).
Uno de los usos domsticos ms extendidos es ejecutar sistemas
operativos para probarlos. De esta forma podemos ejecutar un
sistema operativo que queramos testear (Linux, por ejemplo) desde
nuestro sistema operativo actual (Windows, por ejemplo) sin
necesidad de instalarlo directamente en nuestro ordenador y sin
miedo a que se desconfigure el sistema operativo primario.
Jaula: Conjunto de recursos limitados e impuestos a los programas por
el ncleo del sistema operativo. Puede incluir restricciones de ancho
de banda, cuotas de disco, acceso a la red, as como un listado de
nombres de archivos restringidos, como los de sistema.
Estas jaulas se generan desde el propio sistema operativo o bien con
la instalacin de programas, como Sandboxie , que ejecutan las
aplicaciones en un espacio aislado, que les impide realizar cambios
permanentes en otros programas y datos en el ordenador.

SE
GURIDAD DE JAVA

Introduciremos la seguridad desde un punto de vista terico, segn

los siguientes puntos:

Criptologa. En este apartado daremos una breve introduccin a

los campos de la criptografa y el criptoanlisis, presentando su
terminologa, las herramientas disponibles y sus aplicaciones.

Tcnicas criptogrficas. En este punto estudiaremos con ms

detalle algunas de las herramientas presentadas anteriormente,
indicando sus caractersticas principales: grado de seguridad,
implementaciones, disponibilidad, etc.

Certificados digitales. Descripcin de qu son los certificados

digitales, las entidades certificadoras y las infraestructuras de
clave pblica.

Protocolos de red seguros. En este apartado describiremos los

protocolo SSL y TLS.