Trabajo Malware (UDC Mayo 2009)

10demayo
Malware
2009
Trabajo llevado a cabo durante el segundo cuatrimestre de la Asignatura de Seguridad de los Sistemas Informticos 2008/2009, comoprcticapropuesta.Eltrabajohasidodesarrolladoporelalumno donJosLuisMartnezLeyva.
MALWARE
10 de mayo de 2009
ndice:
1. 2. 3. 4. 4.1. 4.1.1 4.1.2 4.1.3 4.1.4 4.1.5 4.1.6 4.2. 4.3. 5. 5.1. 5.2. 5.3. 5.4. 5.5. 6. 6.1. 6.2. 6.3. 6.4. 6.5. 6.6. 6.7. 6.8. 6.9. 6.10. 6.11. 6.12. 7. 7.1. 7.2. 7.3. 7.4. 7.5. 7.6. 7.7. 8. Introduccin Conceptos generales de seguridad informtica .. Programas Maliciosos (Malware) Clasificacin del software malicioso ... Genricos . Virus Gusano Troyano Bomba lgica o de tiempo Espa . Agujeros-Trampa del software . Secundarios . Grficos resumen .. Detalles histricos acerca del software malicioso Gnesis (aos 40 y 50) .. Nace el Malware (aos 70 y 80) y los inmunizadores .. El apogeo del Malware .. El nuevo milenio: amenaza global ... La explosin global del malware (2007) . Detalles sobre los casos ms recientes de software malicioso Ataques de Phising .. Ataques de Spoofing (contra telfonos mviles) . Spam que no cesa Falso Antivirus . Herramientas de conexin inversa .. Redes sociales . Troyano Download .. Gusanos que atacan a redes sociales Redes inalmbricas maliciosas . El Freeware que sale caro Ingeniera social .. Otros detalles recientes . Cmo conseguir niveles ptimos de seguridad Anlisis de riesgos .... Puesta en marcha de una poltica de seguridad Amenazas no informticas Consideraciones sobre el software .. Consideraciones sobre la red Algunas afirmaciones falsas sobre seguridad informtica .. Nivel ptimo de seguridad y proteccin de la informacin Conclusin y sntesis .... Pgina Pgina Pgina Pgina Pgina Pgina Pgina Pgina Pgina Pgina Pgina Pgina Pgina Pgina Pgina Pgina Pgina Pgina Pgina Pgina Pgina Pgina Pgina Pgina Pgina Pgina Pgina Pgina Pgina Pgina Pgina Pgina Pgina Pgina Pgina Pgina Pgina Pgina Pgina Pgina Pgina 3 4 9 11 11 11 14 15 18 19 22 23 36 38 38 39 42 49 55 56 57 57 58 59 60 60 61 61 62 63 64 64 66 67 68 68 69 69 70 70 72
JosLuisMartnezLeyva
Pgina2
MALWARE
10 de mayo de 2009
1. Introduccin.
Sentenciado a 4 aos de crcel por distribuir software malicioso. El Rey del Spam es sentenciado a 3 aos y 11 de prisin. Cinco aos de presin a personas que vendan software ilegal. Spammer condenado a ms de dos aos de prisin.
Titulares de noticias aparecidas en prensa.
Hace slo unos pocos aos, este tipo de noticias eran simples ancdotas, sin embargo, hoy da son relativamente frecuentas y no solo eso, tambin es frecuente encontrarnos con spammers1 y hackers2 que son obligados a pagar multas millonarias. Por ejemplo, el personaje conocido por John Schiefer (botmaster), asesor de seguridad informtica en la ciudad de Los ngeles, que con tan solo 26 aos infect ms de 250.000 ordenadores para, hacindelas zombis3, robar informacin personal como identidades y cuentas bancarias, acaba de ser sentenciado a 4 aos de crcel con el cargo de distribuir software malicioso.
De acuerdo con los fiscales, Schiefer haca uso de cierto software para infectar computadoras y convertirlas en zombis. Todos estos equipos
Profesional experto en informtica situado en la cspide del conocimiento en la materia especfica de que se trate; en ste trabajo se confundir muy a menudo con el trmino cracker (el hacker malicioso). 2 Distribuidor de correo electrnico basura. 3 Zombi, ordenador que infectado por algn tipo de software malicioso ejecuta determinadas actividades dainas por un tercero que lo controla.
JosLuisMartnezLeyva
Pgina3
MALWARE
10 de mayo de 2009
formaban parte de una red de bots4 . Adems tendr que pagar la suma de $19,000 dlares a PayPal5 y otras empresas que resultaron perjudicadas.
Por otro lado, en reciente estudio la empresa Google asegura que una de cada diez pginas de Internet contiene algn tipo de software malicioso. La ubicacin de cdigo malicioso en sitios de internet representa una tendencia distinta a los mtodos ms tradicionales de infectar computadoras, como por ejemplo la utilizacin de archivos adjuntos a mensajes de correo electrnico. De acuerdo con la investigacin, el aumento del contenido generado por usuarios le ha ofrecido a los delincuentes nuevos canales para atacar, por ello los mensajes dejados en blogs y foros podran contener vnculos a imgenes y otros contenidos que podran infectar al usuario.
2. Conceptos generales de seguridad informtica.

La seguridad informtica consiste en asegurar que los recursos del sistema de informacin (hardware y software) de una organizacin sean utilizados de la manera que se decidi y que el acceso a la informacin all contenida as como su modificacin slo sea posible a las personas que se encuentren acreditadas y dentro de los lmites de su autorizacin. Un sistema informtico es seguro (aunque como veremos nunca al 100%), si se encuentra libre de peligro, dao o riesgo, que provoque malfuncionamiento del mismo o que de l se obtengan resultados no deseados. Para que un
BOT Robot en diminutivo, se trata de un programa informtico que realiza diversas actividades imitando el comportamiento humano. 5 PayPal, empresa que se dedica a ofrecer servicio de pago por internet siempre que disponga de una cuenta de correo electrnico
JosLuisMartnezLeyva
Pgina4
MALWARE
10 de mayo de 2009
sistema se pueda definirse como seguro, la informacin que contenga ha de estar sujeta a las caractersticas siguientes: Integridad: solo modificable por el que la cre. Confidencialidad: accesible solo por el que est autorizado. Disponibilidad: accesible cuando se necesite. No Repudio: que su autor no pueda negar que lo es.
Trminos relacionados con la seguridad informtica que hay que diferenciar: 2.1. Activo: Recurso del sistema de informacin o relacionado con ste, necesario para que la organizacin funcione correctamente y alcance los objetivos propuestos. Se trata del elemento a proteger dentro del sistema y puede ser de tres tipos: la informacin en s, elementos que soportan a dicha informacin (software y hardware) y los usuarios que la manejan. El activo ms importante de la organizacin, se trata sin duda de la informacin, y ms all de los obstculos fsicos que interpongamos contra los posibles atacantes, es necesario establecer una serie de medidas que garanticen tambin la seguridad lgica, resguardando los datos y hacerlos solo accesibles a aquellos que estn autorizados; estas medidas compendiadas constituyen las polticas de seguridad que son consecuencia de un oportuno anlisis de riesgos anterior. 2.2. Amenaza: Evento que podra propiciar un incidente en la organizacin, originando daos materiales o prdidas inmateriales en sus activos. Las amenazas pueden deberse a fenmenos tales como: - Interrupcin: se daa, pierde o deja de funcionar un parte del sistema, por ello su deteccin es inmediata y como ejemplo tenemos la destruccin de hardware, borrado de programas o datos, o fallos en el funcionamiento del sistema operativo. - Interceptacin: acceso a informacin por quienes no estn autorizados; difcil de detectar o imposible como hacer copia ilcita de programas o hacer una escucha en lnea.
JosLuisMartnezLeyva Pgina5
MALWARE
10 de mayo de 2009
- Modificacin: acceso sin autorizacin con objeto de cambiar algo del sistema; de difcil deteccin aunque posible como por ejemplo cambios en el hardware o modificacin de bases de datos. - Generacin: crear nuevos objetos en el sistema o falsificaciones, de difcil deteccin como por ejemplo aadir nuevos registros en una base de datos o realizar transacciones en la red sin autorizacin. Un posible escenario resumen de las amenazas podra ser el siguiente:
2.3. Impacto: Dada una determinada amenaza, la medida de las consecuencias de que se materialice, claro est dependiendo de los activos del sistema, sera el impacto. Existente una vulnerabilidad en determinado sistema (o, y valga como sinnimo, debilidad o bug6), sta pasar a ser amenaza (o posible evento daino) sobre el sistema cuando es fcil de explotar en cualquier sistema que la contenga, pasando a ser un riesgo (que veremos a continuacin), que podra producir un impacto sobre el mismo tanto ms grave conforme a la criticidad de la parte del sistema en que pueda actuar, no dependiendo, por tanto de la vulnerabilidad en s. Un ejemplo claro fue el de la comprobacin de que el algoritmo de hash MD57 (resumen de 128 bits) estaba realmente comprometido dada una
Bug del ingls polilla, proviene del error computacional que antiguamente se produca sobre los rels de las primeras computadoras cuando estos insectos se incrustaban en los circuitos aprovechando el calor que desprendan; hoy da se trata en general de debilidad o vulnerabilidad del sistema. 7 MD5 (abreviatura de Message-Digest Algorithm 5, Algoritmo de Resumen del Mensaje 5) es un algoritmo de reduccin criptogrfico de 128 bits.
6
JosLuisMartnezLeyva
Pgina6
MALWARE
10 de mayo de 2009
posible explotacin de colisiones (colisin fuerte8) para generar certificados falsos. En esencia, existe una Ley bsica en seguridad informtica que mide el impacto total sobre un sistema en razn a su coste econmico: en general un medida encaminada a desfavorecer un posible impacto sobre un activo no ha de ser de mayor coste que el activo a proteger, teniendo en cuenta la posibilidad de materializacin de la amenaza. 2.4. Riesgo: Posibilidad de que se produzca un impacto determinado en un Activo del sistema, en un Dominio o en toda la Organizacin. Como veremos, el proceso de identificacin y evaluacin del riesgo a sufrir un ataque y perder datos, tiempo y horas de trabajo, comparndolo con el costo que significara la prevencin de este suceso, es un Plan estratgico consecuencia del anlisis de riesgos pertinente, el cual nos permitir alcanzar el nivel de seguridad adecuado y de paso conocer mejor el sistema a proteger (cuestin no balad); Magerit9 o Chinchon10, aplicaciones gratuitas, constituyen buenas herramientas para llevar a cabo un buen anlisis de riesgos. Como ya se dijo en el ltimo prrafo del punto anterior, y redundando en ello, detrs del anlisis de los riesgos sobre un sistema est el factor econmico, que mide el activo en peligro. Bsicamente llevaremos una labor de proteccin sobre el activo si se cumple la siguiente ecuacin: B < P L?
- B: carga o gasto que significa la prevencin de una prdida especfica debido a una vulnerabilidad. - P: probabilidad de que se vea afectada dicha vulnerabilidad y ocurra esa prdida especfica. - L: impacto o coste total que significa la prdida especfica debido a esa vulnerabilidad que ha sido afectada por una amenaza.
Posibilidad computacional relativamente fcil de encontr un par de mensajes origen distintos con un hash igual Paradoja del cumpleaos: Para tener confianza en encontrar dos mensajes con el mismo resumen h(M) -probabilidad 50%- no habr que buscar en 2n (p.e. 2128), bastar una bsqueda en el espacio 2n/2 (264). La complejidad algortmica se reduce de forma drstica! 9 MAGERIT, metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin elaborada por el Consejo Superior de Administracin Electrnica para minimizar los riesgos de la implantacin y uso de las Tecnologas de la Informacin, enfocada a las Administraciones Pblicas. 10 CHINCHON, software consiste en una herramienta para el anlisis de riesgo bajo la metodologa Magerit 1.0. Requiere runtime de Java2 (Utiliza XML para especificar el sistema cuyos datos se desean analizar).
JosLuisMartnezLeyva
Pgina7
MALWARE
10 de mayo de 2009
2.5. Vulnerabilidad: Como ya se ha dejado entrever anteriormente, se trata de un defecto tal en el activo o sistema, resultado de un error durante el proceso de creacin o implementacin, que puede ser aprovechado por un evento daino o amenaza para producir determinado impacto. Es importante conocer las vulnerabilidades ms tpicas, como por ejemplo: - Homogeneidad del sistema, como por ejemplo la utilizacin de aplicaciones de red o sistemas operativos nicos, donde aun no siendo ms fcil llevar a cabo un ataque, su dao es mayor pues afectara al todo. - Defectos del software o bug (en un uso ms limitado que el utilizado anteriormente) del mismo que han de solucionarse con los oportunos parches. - Sper usuario: aquel que lo puede hacer todo sobre el sistema o sper privilegiado por el administrador sin serlo, realiza modificaciones internas que se traducen en inadecuadas cuando no existen controles ms estrictos, pudiendo generar fallos de seguridad aprovechables por el Malware. - Cdigo sobre privilegiado: en algunos sistemas se resumen en la permisividad de ejecucin de todo tipo de aplicaciones o programas por parte del usuario sin limitarse a su dominio, pudiendo ser aprovechado por Malware para ejecutarse si no se tiene especial cuidado en garantizar las fuentes del mismo. 2.6. Ataque: Evento daino que, con xito o sin l, atenta sobre el buen funcionamiento del sistema. Como ya se ha dicho en apartados anteriores, estos ataques pueden ser de interrupcin, de interceptacin, de modificacin y de generacin. 2.7. Desastre: Interrupcin de la capacidad de acceso a informacin y procesamiento de la misma a travs de computadoras necesarias para la operacin normal de un negocio. Considerados seguros tanto software como hardware del sistema, y abundando sobre los puntos 2.6 y 2.7 anteriores, donde se denota una intencionalidad, existe otro tipo de amenaza que podramos caracterizar
MALWARE
10 de mayo de 2009
como no informtica11, imprevisible y hasta cierto punto inevitable. Estos fenmenos pueden ser causados por: - Un usuario del sistema al que provoca un dao porque no le importa, o se descuida o lo hace. - Una mala manipulacin del sistema que provoque un robo, un incendio o una inundacin, que lo dae. - Pujas de poder entre los miembros de un mismo sistema que provoquen irregularidades o incompatibilidades que lo daen o lo pongan en peligro. - Un intruso que consigue acceder a los activos del sistema sin tener permiso para ello: cracker12, hacker13, viruxer14, script kiddie15, etctera. - Programas maliciosos o malware: programas destinados a perjudicar o a hacer un uso ilcito de los recursos del sistema. stos los veremos en el punto siguiente.
3. Programas maliciosos (Malware).

El concepto es sencillo, en esencia se trata de un programa o cdigo oculto en otro contenedor, que instalado (con intencin de y/o maldad) en el ordenador, y que abriendo una puerta a intrusos o bien modificando los datos, produce determinados daos. Estos programas pueden ser un virus, un gusano, un troyano, una bomba lgica o de tiempo, un espa, o los agujeros-trampa (estos ltimos con alguna reserva). Aunque hay ms, y tanto unos como otros los veremos a continuacin, se puede decir que son variantes o composiciones de los primeros.
11
Informtica entendida como tratamiento automatizado (por medio de ordenadores) de la informacin bajo un conjunto de mtodos, procesos, tcnicas y desarrollos con el objeto de almacenar, procesar y transmitir informacin (datos) de forma electrnica (digital); una forma de entender el tratamiento de la informacin que en principio no tiene en cuenta sus posibles usos maliciosos, aunque es muy cierto que existen tcnicas informticas que proveen usos malintencionados contra los datos almacenados o en transmisin en ordenadores o redes informticas respectivamente. Por ello, el trmino no informticas podra no considerarse del todo correcto. 12 Es cualquier persona que viola la seguridad de un sistema informtico de forma similar a como lo hara un hacker, slo que a diferencia de este ltimo, el cracker realiza la intrusin con fines de beneficio personal o para hacer dao. 13 Experto en varias o alguna rama tcnica relacionada con la informtica. 14 Gente que investiga la programacin de cdigo de autorreplicacin, intenta conseguir cierta reputacin o utilizan los virus como herramientas para hacer una declaracin personal, social o poltica 15 Cracker inexperto que usa programas, scripts, exploits, troyanos, ataques de denegacin de servicio (DoS), etctera, creados por terceros para romper la seguridad de un sistema
JosLuisMartnezLeyva
Pgina9
MALWARE
10 de mayo de 2009
Un acercamiento mayor al concepto Malware (del ingls Malicious Software), nos indica que siendo un programa instalado con el objeto de hacer algn dao (del que existe un amplio abanico de posibilidades pues puede ser tan solo un espa que no produzca daos directos sobre el sistema sino contra el propietario o usuario) contiene el matiz de desconocimiento previo por parte del usuario o administrador del sistema. Para tratar de precisar de lo que estamos hablando, hay que diferenciar el trmino Malware del de virus, pues ste ltimo comprende uno de los tipos del primero, aunque en muchos medios se confunden o simplemente por comodidad se usan indistintamente. Como veremos un virus es un programa que se infiltra en archivos del computador (sobre todo ejecutables) con el fin de propagarse a otros archivos y as esparcir su carga daina sobre el sistema objeto en general o sobre algn activo del mismo en particular, mientras que el Malware se aplica sobre aplicaciones, computadores, sistemas operativos o redes con funcionamientos. El Malware, aprovecha las vulnerabilidades del sistema de tal modo que, dependiendo de su modalidad, y aprovechndose de ellas, esparce o ejecuta su carga daina con mltiples propsitos. Para el estudio y clasificacin del Malware, lo llevaremos a cabo mediante algn grfico, al que se acompaar una definicin lo suficientemente clara, hablaremos sobre su funcionamiento bsico, se sealarn las vulnerabilidades que explota, las amenazas que representa y las posibles contramedidas contra su actividad.
JosLuisMartnezLeyva
Pgina10
MALWARE
10 de mayo de 2009
4. Clasificacin del software malicioso.

Dado que bajo la definicin de Malware o software malicioso, aparte de una clasificacin genrica que ya se ha mencionado, tenemos multitud de variantes y/o composiciones con nombres ms o menos descriptivos, veremos dos clasificaciones para determinar de una manera ms comprensiva por una lado los tipos o modalidades principales (genricos) y por otro, los dems o secundarios, como se ha dicho, variantes y/o composiciones de los primeros, adems de diversa tipologa de software consecuencia de los primeros. 4.1.Genricos: 4.1.1 Virus a) Definicin: Programa autorreplicante que careciendo del permiso o conocimiento del usuario legal altera de una u otra manera el normal funcionamiento de un sistema o parte de l, afectando a uno o ms activos del mismo. Aqu es importante tener presente que es el propio usuario el que lo lanza, aunque sin saberlo.
Caractersticas fundamentales: - Programa independiente (una vez en el sistema no depende de agente externo alguno). - Se reproduce (con la capacidad de autorreplicacin). b) Funcionamiento: Es habitual que reemplacen con su cdigo el de los archivos ejecutables del sistema objeto. Al ejecutarse el programa donde se encuentra instalado u oculto, del que depende pues no se propaga por s solo, se queda como residente en la memoria RAM del
MALWARE
10 de mayo de 2009
computador. Al trmino de la ejecucin del programa ejecutado inicialmente, el virus aun queda en memoria, con el objeto de infectar los programas que se vayan lanzando. De esta manera puede tomar el control del Sistema Operativo de la mquina y finalmente aadirse al cdigo de ms programas, grabndose en disco. De esta manera, el proceso de rplica se ha llevado a cabo por completo. c) Vulnerabilidades que explota: En general afecta a los sistemas que sobre privilegian al usuario, permitindole llevar a cabo cantidad de tareas sin autenticacin ni permiso especial alguno; en ejemplo claro son los sistemas de Windows (aunque ltimamente estn mejorndolo), que permiten la instalacin de cantidad de software sin control por parte de usuarios con escasa formacin. Igualmente, y en paralelo, afecta a sistemas (como Windows) con gran nivel de integracin entre sus aplicaciones, permitiendo ejecutar aplicaciones anexas al correo electrnico o bajadas de internet, dentro del entorno mismo del sistema, abrindose paso sin restricciones y hasta su ltimo rincn. Quizs, la popularidad del sistema mencionado ha sido tambin una de las causas por las que los fabricantes de este tipo de software maligno (virus) hayan centrado sus ataques en l, sin duda. De esta manera, y por intervencin de usuarios poco cuidadosos, las contaminaciones por virus se producen por: - Ejecucin de archivos ejecutables adjuntos al correo electrnico con el cdigo de virus en l instalado. - Ingeniera social, donde se adjuntan links o programas que sin saberlo, y creyendo que hacen otra cosa, lanzan el virus. - Entrada desde interfaces con el exterior: discos, USB, bluetooth, infrarrojos - Instalacin de software ilegal o pirata. d) Amenaza que representa: Desde una simple broma a daar todo el sistema, provocando, segn el nivel de infeccin, prdidas en la productividad del sistema (pues aade tiempos para recobrar la situacin inicial), cortes en los sistema de informacin o daos en los mismos datos. De todas maneras, hay que entender que cada virus plantea una situacin distinta. Segn el lugar donde se alojen pueden ser de varios tipos:
MALWARE
10 de mayo de 2009
- Virus del sector de arranque: capaces de llevar a cabo desde bromas pesadas hasta destruccin total del disco duro. - Archivo virus: se replica cuando se ejecuta el archivo ejecutable sin quedar residente en memoria, o puede tambin destruir el archivo donde se ubica al sobrescribirlo, o replicar un ejecutable .exe con extensin .com infectado. - Virus macro: cdigo insertado en archivos generados por aplicaciones con capacidad para generar macros como Word o Excel. - Virus BAT: instalados en la fila del ejecutable por lotes para llevar a cabo sus fines. - Virus de internet: aprovechan la red para expandirse y replicarse. e) Posibles contramedidas contra su actividad: Medidas activas - Antivirus: programas que tratan de descubrir el rastro conocido que ha podido dejar el virus en su infeccin, basndose en una ms o menos extensa base de datos. Pueden detectar y eliminar el virus, pero tambin pueden contener su propagacin, notificando al usuario la incidencia y posibles acciones a realizar. - Filtros de ficheros o firewall: software que se utiliza en sistemas conectados a una red y que pone a disposicin del usuario solo determinados recursos segn las polticas de seguridad seguidas. Medidas pasivas - Limitacin de conexiones de medios de almacenamiento masivo sin control, como llaves USB, disquetes, Cds, etctera. - No instalar software que no sea original y/o sin licencia. - Limitar descargas descontroladas de software de internet. - Evitar abrir ficheros adjuntos en mensajes de correo electrnico de remitente desconocido o no fiable. - Cuidado con los archivos ejecutables con apariencia de otra cosa sobre todo en entornos como Windows donde la extensin est deshabilitada por defecto.
MALWARE
10 de mayo de 2009
- El uso de aplicaciones P2P podra ser pernicioso y fuente comn de entrada de virus, solo un uso responsable y controlado puede permitir que el sistema permanezca limpio. 4.1.2 Gusano f) Definicin: Programa que a diferencia del Virus tiene la capacidad de autorreplicarse aprovechando ciertos procesos que corren de forma transparente al usuario en los sistemas operativos, y a diferencia tambin del Virus, no corrompen ficheros, sino que residen en la memoria RAM y desde all llevan a cabo su labor maligna.
Caractersticas fundamentales: - Programa independiente (una vez en el sistema no depende de agente externo alguno). - Se reproduce (con la capacidad de autorreplicacin). g) Funcionamiento: Basan su actividad y se hacen peligrosos dentro de una red, reproduciendo copias de s mismos que son enviadas al resto de terminales de la red donde se han infiltrado por medio de los procesos, que como se ha dicho, corren de forma automtica e inadvertida para los usuarios usando internet y otras aplicaciones y protocolos como SMTP, IRC16, P2P17, etctera.
IRC (Internet Relay Chat) es un protocolo de comunicacin en tiempo real basado en texto, que permite debates en grupo o entre dos personas y que est clasificado dentro de los servicios de comunicacin en tiempo real; se caracteriza por tener que acceder de antemano a un canal para comunicarse.
16
JosLuisMartnezLeyva
Pgina14
MALWARE
10 de mayo de 2009
h) Vulnerabilidades que explota: Atacan sobre todo las debilidades que pueden contener los Sistemas Operativos en relacin con esos procesos automticos internos y transparentes al usuario, o simplemente engaando al mismo utilizando cebos diversos como archivos adjuntos a correo electrnico o mensajes en la WEB con hipervnculos a lugares inadecuados. i) Amenaza que representa: Su incontrolada replicacin puede originar el colapso del sistema al ocupar todo el espacio de memoria RAM, haciendo penosas las labores corrientes del sistema, volvindolas lentas o no dejando ejecutarlas. Tambin puede provocar el colapso de la red, generando trfico basura descontrolado, volviendo lentas o imposibles las labores de red propias del sistema. j) Posibles contramedidas contra su actividad: Medidas activas Igual que para los virus, incluyendo un software anti virus que incluya en sus oportunas bases de datos informacin sobre gusanos y heursticas bien diseadas. Parches de seguridad sobre vulnerabilidades del Sistema Operativo o aplicacin de red, que el fabricante va conociendo. Medidas pasivas Igual que para los virus. 4.1.3 Troyano k) Definicin: Programa que se aloja en el sistema y que es capaz de abrir puertas a usuarios externos de una red, con el fin de llegar a controlar el sistema donde se aloja o recabar cierta informacin del mismo, diferencindose de un virus en que ste acta de forma destructiva y
17
Una red peer-to-peer (o P2P) es una red de computadoras en la que todos o algunos aspectos de esta funcionan sin clientes ni servidores fijos, sino una serie de nodos que se comportan simultneamente como clientes y servidores respecto a los dems nodos de la red.
JosLuisMartnezLeyva
Pgina15
MALWARE
10 de mayo de 2009
aquel, bajo apariencia inocua u oculto, permite el acceso desde el exterior. El control del sistema permite llevar a cabo la labor de destruccin del mismo mediante la introduccin de otro software malicioso utilizando el canal que ha dejado abierto el troyano.
Caractersticas fundamentales: - Programa dependiente (una vez en el sistema depende de agente externo para llevar a cabo su dao). - No se reproduce (no tiene por tanto la capacidad de autorreplicacin). l) Funcionamiento: Normalmente es un software de alguna manera escondido en una aplicacin de uso normal, incluso del propio sistema operativo, o en un archivo imagen, msica o video, que se instala en el sistema sin ser advertido, una vez se ejecutan stos. Por ello, disfrazado de una utilidad, se manejan de forma oculta para llevar a cabo su labor maliciosa. Consta de dos partes fundamentalmente, un lado cliente, que es quien enva las funciones a realizar por el sistema infectado, y un lado servidor, que es quien recibe y realiza las funciones ordenadas por el cliente; por otro lado puede contener una librera y un editor, este ltimo instalado en el servidor y que lo va a permitir modificar por parte del hacker desde el lado cliente. El trfico cliente-servidor puede ser directo, cuando es el cliente el que inicia la conexin con el servidor, o inverso, cuando es al contrario, cuyo resultado es ms eficaz pues traspasa fcilmente la mayora de los firewall que no suelen analizar el trfico saliente.
MALWARE
10 de mayo de 2009
Es tpica la forma de actuar del troyano cuando el servidor infectado se convierte en una especie de esclavo o zombi controlado por el cliente hacker, y ste, teniendo bajo su control un amplio nmero de ellos, los utiliza para llevar a cabo, por ejemplo, ataques de denegacin de servicio contra otros servidores (de empresas o administraciones) para bloquearlos, o remisin de gran cantidad de correo basura (Spam) con varios fines. Otros usos que lleva a cabo el cliente mediante el troyano contra el servidor son los siguientes: Borrado o sobre escritura de datos. Apaga o reinicia el equipo. Toma control del hardware del equipo. Recolecta direcciones de correo para uso ulterior (como veremos es un uso tpicamente de espa). Introduce virus o gusanos en el equipo o red a la que pertenece. Abre puertos del equipo para uso ulterior. Labores de keylogger (monitorizacin de pulsaciones), como por ejemplo para conocer nmero de tarjeta de crdito, contraseas, etctera. Mediante ingeniera social consigue datos del usuario en su provecho (uso tpico de espa). Captura de pantallas. Introduce software espa. Permite acceso remoto a herramientas de administracin. Descarga o sube archivos a internet. Degrada archivos y general el sistema, hacindolo lento e inoperante. Etctera.
m) Vulnerabilidades que explota: Puede considerarse un virus a los efectos de las vulnerabilidades que explota pues la manera que tiene de introducirse en los sistemas es mediante el disfraz de la inocuidad o el engao: ficheros adjuntos al correo electrnico, visita a sitios web poco fiables, ficheros en dispositivos de almacenamiento descontrolados. Tambin son vulnerables los equipos donde se ejecutan servicios propios de http, ftp o smtp, as como los que usan programas de
MALWARE
10 de mayo de 2009
comparticin de archivos (mensajera, P2P), que abren puertos que facilitan la labor del atacante. n) Amenaza que representa: Un troyano en s no es daino, pues es el uso que de l haga el atacante o hacker de lo que depender el efecto ms o menos daino al sistema. El dao por tanto, ser tanto como lo sea, por ejemplo, el programa malicioso que se introduzca en el sistema a travs de la puerta abierta que ha dejado el troyano. o) Posibles contramedidas contra su actividad: Medidas activas Igual que para los anteriores, incluyendo un software anti troyano con sus oportunas bases de datos y heursticas bien diseadas. Parches de seguridad sobre vulnerabilidades del Sistema Operativo o aplicacin de red, que el fabricante va conociendo. Medidas pasivas Igual que para los anteriores. 4.1.4 Bomba lgica o de tiempo p) Definicin: Bsicamente un troyano, pero diferencindose de l en que no es el lado cliente el que inicialmente toma la iniciativa de activacin del mismo bajo demanda, siendo una determinada fecha/hora o nmero de ejecuciones en las bombas de tiempo, y por reunir determinados requisitos el sistema en las lgicas.
JosLuisMartnezLeyva
Pgina18
MALWARE
10 de mayo de 2009
Caractersticas fundamentales: - Programa independiente (una vez en el sistema no depende de agente externo alguno). - No se reproduce (no tiene por tanto la capacidad de autorreplicacin). q) Funcionamiento: De manera idntica a la de los troyanos se inician o se activan por ejemplo: - Bombas lgicas: pulsacin de una tecla o una combinacin de las mismas, levantamiento de un interfaz de red concreto, ejecucin de un archivo concreto del sistema operativo o una aplicacin, etctera. - Bombas de tiempo: da de la semana, ao o mes concreto, hora del sistema, o nmero de ejecuciones de determinado fichero. r) Vulnerabilidades que explota: Las mismas que los troyanos. s) Amenaza que representa: Las mismas que el troyano. t) Posibles contramedidas contra su actividad: Las mismas que el troyano. 4.1.5 Espa u) Definicin: Programas que sin consentimiento del usuario, sea persona u organizacin, recopila informacin para usos diversos. Se trata de un troyano avanzado de origen Adware o mensaje publicitario.
JosLuisMartnezLeyva
Pgina19
MALWARE
10 de mayo de 2009
Caractersticas fundamentales: - Programa dependiente (una vez en el sistema depende de agente externo para llevar a cabo su dao). - No se reproduce (no tiene por tanto la capacidad de autorreplicacin). v) Funcionamiento: Surcando el espacio de la Web, trata de hacerse con la informacin de los usuarios hacindoles cliquear sobre determinados enlaces que, de forma creble parecen ser lo que no son y donde han de introducirse datos sobre s mismos, o simplemente llevan a cabo labores de monitorizacin del sistema observando el uso que de los recursos web efectan los usuarios, recogiendo una serie de informacin de cierto valor para el atacante. Tambin puede ser usado de forma legal por parte de las autoridades para monitorizar el uso de las mquinas de ciertos usuarios en busca de delitos de toda ndole. Hay varios tipos, principalmente tres, los benignos (recogen ciertos datos personales de forma ms o menos legal y se supone para usos inocuos), los neutros (ciertas empresas como google o yahoo los utilizan para conocer los hbitos de sus navegantes; no producen dao al usuario pero pueden ser molestos por la exigencia de recursos del sistema que requieren) y los malignos (los generados por hackers para sus fines interesados y en ocasiones ilegales). Sealar que el uso de cookies en el sistema podra tener que ver con los usos del tpico software espa pues al fin y al cabo recopila informacin de sesin de los usuarios que aprovecha para futuras conexiones e incluso aprovecha su contenido para seleccionar perfiles publicitarios.
JosLuisMartnezLeyva
Pgina20
MALWARE
10 de mayo de 2009
w) Vulnerabilidades que explota: Las propias de virus y troyanos, aunque es comn en equipos con sistemas operativos piratas. x) Amenaza que representa: El recoger informacin personal sin autorizacin es en s un dao que se produce al usuario pues contraviene su derecho a la proteccin e intimidad por ley protegidos, pero aparte produce efectos perniciosos no deseados por el trfico que genera en ocasiones y por la molestias que provocan al llevar a cabo acciones no deseadas, como la aparicin repentina de pop-ups de publicidad no deseada. y) Posibles contramedidas contra su actividad: Medidas activas - Igual que para los anteriores, incluyendo un software anti espa con sus oportunas bases de datos y heursticas bien diseadas. - Parches de seguridad sobre vulnerabilidades del Sistema Operativo o aplicacin de red, que el fabricante va conociendo. - Utilizacin de Sistemas Operativos genuinos. - Mantenimiento y control de las cookies, historial de navegacin y archivos temporales, borrndolos de vez en cuando. Medidas pasivas - No instalar software que no sea original y/o sin licencia. - Limitar descargas descontroladas de software de internet. - Evitar abrir ficheros adjuntos en mensajes de correo electrnico de remitente desconocido o no fiable. - Cuidado con los archivos ejecutables con apariencia de otra cosa sobre todo en entornos como Windows donde la extensin est deshabilitada por defecto.
JosLuisMartnezLeyva
Pgina21
MALWARE
10 de mayo de 2009
- El uso de aplicaciones P2P podra ser pernicioso y fuente comn de entrada de virus, solo un uso responsable y controlado puede permitir que el sistema permanezca limpio. 4.1.6 Agujeros-Trampa del Software z) Definicin: Cdigo de alguna manera oculto sobre todo en los Sistemas Operativos, aunque tambin en otras aplicaciones, que sus creadores han dejado de tal manera que en determinadas condiciones o a demanda podra ser una puerta de acceso sin la autenticacin debida en los sistemas donde trabaja, y lo que es peor, sin restricciones y con total impunidad, con el fin de llevar a cabo tareas malignas en su beneficio, aprovechando tal vulnerabilidad por ejemplo cargando otro malware. Aunque no se trata de un software preparado expresamente para hacer dao, puede considerarse un malware de forma estricta pues es una puerta abierta al control del sistema.
Caractersticas fundamentales: - Programa dependiente (una vez en el sistema depende de agente externo para llevar a cabo su dao). - No se reproduce (no tiene por tanto la capacidad de autorreplicacin). aa) Funcionamiento: Se trata de hacer uso por ejemplo de una determinada combinacin de teclas que en determinadas configuraciones de los sistemas dan acceso sin restriccin y sin la autenticacin debida al atacante que ha dejado el agujero-trampa preparado.
MALWARE
10 de mayo de 2009
bb) Vulnerabilidades que explota: Errores que el programador ha dejado en el software sin revisar, o pirateado. cc) Amenaza que representa: La de cualquier software malicioso que introduzca en el sistema aprovechando la trampa dejada. dd) Posibles contramedidas contra su actividad: Medidas activas - Parches de seguridad sobre vulnerabilidades del Sistema Operativo o aplicacin de red, que el fabricante va conociendo. - Utilizacin de Sistemas Operativos genuinos. Medidas pasivas - No instalar software que no sea original y/o sin licencia. 4.2.Secundarios: Aqu los mencionaremos de forma genrica relacionndolos con uno o ms de los genricos. Los sealados como trampa se refieren a ms o menos complicados engaos llevados a cabo por el atacante aprovechando lo incauto del usuario o su escasez de conocimientos. 4.2.1 Adware o anuncio Software publicitario que aparece sin previo aviso y que suele acompaar a determinado software, pirata o shareware, o que puede ser el resultado de una labor de espa, pero que en esencia es un troyano primitivo. En s no tendra que ser ilegal o pernicioso si el usuario tiene conocimiento, no lo sera sin l, aunque hay gran controversia sobre el tema.
JosLuisMartnezLeyva
Pgina23
MALWARE
10 de mayo de 2009
Para limitar su aparicin es oportuno manejarse cautamente con el software gratuito, shareware o pirata. 4.2.2 Backdoor o puerta trasera Software que permite el acceso al sistema sin la debida autentificacin o facilitando la entrada de informacin no deseada desde fuera, pues han abierto algn puerto en el equipo. Se trata de un agujero-trampa y su funcionamiento en el primer caso se asemeja al de un troyano, en el segundo caso al de un gusano. Se limita cuando se toman las medidas sealadas contra malware troyano y/o gusano. 4.2.3 Badware alcalino Software que insertado en las ventanas del sistema en internet se lanza sobre un usuario despistado esparciendo su carga maliciosa de forma similar a una mezcla de espa y puerta trasera. Se limita cuando se toman las medidas sealadas contra malware de puerta trasera, es decir troyano y/o gusano, y/o contra espa. 4.2.5 Bomba fork Software que de manera muy rpida y simultnea, se auto replica como un virus y genera trfico intenso de procesos en el equipo al modo de un ataque de denegacin de servicio (DoS, Denial of Service) como un gusano. Por ello no se puede considerar un gusano pues no aprovecha la red de computadoras para propagarse, ni tampoco un virus pues no infecta programas o documentos; se podra decir que es una composicin de caractersticas de ambos. Para prevenir un ataque, o que ste pueda contrarrestarse satisfactoriamente una vez ejecutado, es una buena solucin limitar el nmero de procesos mximo que un usuario puede hacer correr en el sistema de forma simultnea, dejando espacio suficiente para restaurarlo en caso de aparicin de este tipo de malware. 4.2.6 Bot Software robot encargado de realizar labores rutinarias del sistema que puede ser utilizado para generar algn tipo de dao cuando se ha tenido
MALWARE
10 de mayo de 2009
acceso a l de forma indebida. Tambin puede tratarse de un programa que actuando como humano se hace pasar por l ante incautos usuarios, engandole para obtener datos del usuario para beneficio del atacante. Puede lograr mediante engao tomar el control del equipo para convertirlo en zombi. Se habla de las redes de bots zombi o simplemente botnet, como una coleccin de bots, que se ejecutan de manera autnoma (normalmente es un gusano que corre en un servidor infectado con la capacidad de infectar a otros servidores). El artfice de la botnet puede controlar todos los ordenadores/servidores infectados de forma remota y normalmente lo hace a travs del IRC.
1. El operador de la botnet manda virus/gusanos/etc. a los usuarios. 2. Los PC entran en el IRC o se usa otro medio de comunicacin. 3. El Spammer le compra acceso al operador de la Botnet. 4. El Spammer manda instrucciones va un servidor de IRC u otro canal a los PC infectados... 5... causando que stos enven Spam al los servidores de correo.
Se trata de una especie de troyano-espa, por ello su prevencin se basa en la mencionada para ellos. 4.2.7 Bug Error del software que provoca un mal funcionamiento del equipo donde se encuentra instalado, o que, convirtindose en una puerta franca para el acceso de intrusos sin autorizacin, permite la entrada de software malicioso de todo tipo. Se puede considerar como un agujero-trampa, pero ste no tiene por qu haber sido provocado de manera consciente por el programador, pudindose considerar un error que no ha sido debidamente depurado. Su prevencin consiste precisamente en llevar a cabo una buena labor de depurado pos codificado y pruebas; pero es un hecho, que estos errores no son siempre localizables en estos procesos, para ello estn los hacker
MALWARE
10 de mayo de 2009
que de alguna u otra manera conseguirn localizarlos en su provecho. De esta manera, los progresivos parches de los fabricantes se convierten en la solucin, por ello es necesario mantener el software actualizado. 4.2.8 Cookies Almacenes de informacin del usuario en su navegacin por la red que puede ser aprovechada por un hacker para, teniendo acceso a ellas, conseguir datos personales o historiales de navegacin. El acceso a estas por parte de intrusos, cuando estn activas en el navegador, es una forma de espa, siendo una posible solucin la desactivacin de las mismas en la web o su borrado al finalizar sesin. 4.2.9 Crackers Programa que monitorea las contraseas de la mquina, de las que hace uso un hacker para su aprovechamiento; por ello es un uso tpico de los troyanos o espas. Se denomina cracker tambin a aquel hacker con malas intenciones. Se prevencin es la necesaria tanto para troyanos como para espas. 4.2.10 Secuestrador de archivos o Ransomware Programa tpicamente introducido por hacker mediante troyano que cifra ficheros del sistema objeto (de cierta importancia); dicho archivo cifrado al ser accedi por el usuario lcito lanza un mensaje anunciando que para la obtencin de la clave para descifrarlo ha de transferir cierta cantidad a determinada cuenta bancaria en paraso fiscal. Para evitarlos es necesario tomar las medidas contra troyanos. Aunque de tratarse de usuarios con ciertos conocimientos de Criptologa, se podra resolver el problema descifrando el archivo por sus propios medios pues se trata de un tipo de cifra, la simtrica (misma clave para cifrar y descifrar), de fcil criptoanlisis. 4.2.11 Dialers o marcadores de nmeros de telfono Programa que ejecutados temerariamente por algn usuario incauto en su navegacin por internet, siempre y cuando utilice modem (en desuso), marca de manera oculta determinado nmero de telfono de tarificacin
MALWARE
10 de mayo de 2009
especial, que incluidos en virus (por lo que aumenta su poder daino al ser propagados rpidamente) repercuten en beneficio econmico del que los explota. La utilizacin de banda ancha ha eliminado este problema. Se tratan de un software trampa. 4.2.12 Exploit Componente software de algn gusano que ataca vulnerabilidades de los sistemas operativos para demostrar precisamente eso, que son vulnerables, por ello no son necesariamente maliciosos. 4.2.13 Falso antivirus Programa que con la apariencia de antivirus gratuito se instala en el sistema y hace creer al incauto usuario que tiene algn tipo de infeccin (en eso no miente), y que para limpiar el sistema debe comprar la licencia. Tratar de desinstalarlo genera errores y molestias, e incluso informa de la necesidad de compra de un cdigo al efecto. En muchas ocasiones la gente se descarga programas de Internet sin ninguna garanta, tan slo porque se trata de programas gratuitos (freeware). Esta circunstancia es aprovechada por los desarrolladores de software malicioso para infectar a sus vctimas. Uno de los tipos de software ms descargado es precisamente el que se dedica a la limpieza del malware y, por ello, un firme candidato para su suplantacin. Se trata de la consecuencia de una navegacin inapropiada y podra clasificarse como un software trampa. 4.2.14 Hijacking o secuestro Diferentes tcnica de software que roban o se aduean de informacin que pertenece al usuario; se introduce en el sistema mediante troyanos aprovechndose de la labor de programas espa, modificando aspectos del sistema como por ejemplo: - Secuestro de conexiones TCP/IP en sesiones Telnet para permitir ataques Dos. - Modificacin de una pgina Web desfigurando su aspecto. - Hacerse con el dominio ajeno.
MALWARE
10 de mayo de 2009
- Lanzamiento de pop-ups publicitarios, modificacin del motor de bsqueda o de la pgina de inicio, redirigiendo la navegacin al lugar que le interesa al atacante. - Cambio en la configuracin del acceso a internet por modem (se une al Dialer). - Re direccionamiento de temas en determinados foros o blogs a lugares que nada tienen que ver.
El evitarlos supone tomar las medidas oportunas contra troyano y/o espa. 4.2.15 Keyloggers o registro de teclas pulsadas Programa espa que monitorean y analizan el sistema en busca de claves y otros datos que el usuario ponga a disposicin del atacante y a ste le interese, mediante las pulsaciones del teclado. Aqu pueden interesar desde claves de sesin de Windows, pasando por las claves de acceso a determinadas aplicaciones, hasta el rastreo de claves en pginas de banca electrnica u otros similares, incluso el rastreo de conversaciones comprometidas o ntimas. Es trivial ponerlo a funcionar mediante un troyano, como parte de un virus o un gusano, pero su funcionamiento es tpico de un software espa. Si en un principio puede evitarse el rastreo utilizando interfaces mediante ratn, actualmente los keyloggers tambin las monitorizan. Las medidas contra stos, adems de las sealadas contra troyano y/o espa, podran pasar por localizarlos y eliminarlos exprofeso:
MALWARE
10 de mayo de 2009
- Si observamos especial lentitud en el manejo del teclado podra ser sntoma de un proceso oculto de keylogging. - Eliminable mediante el anlisis del monitor de procesos, por ejemplo. - O se le puede engaar utilizando tcnicas de despiste entre teclado o ratn, o utilizando el corta y pega. 4.2.16 Hoaxes o bulos Programa que se asemejan a virus pero que no lo es y que el precursor solo utiliza para preocupar al usuario e incluso hacer borrar, a los incautos, algn archivo importante para el sistema. Puede considerarse una trampa y su prevencin no pasa de ser la de un mantenimiento de ciertos niveles de conocimiento del sistema que se est usando. 4.2.17 Ladilla virtual Programa maligno en general que se introducen en el sistema, pero que tienen la particularidad de infectarlo cuando el usuario hace uso de pginas de pornografa. Llevar a cabo una navegacin controlada y mantener las medidas oportunas contra todo software maligno es lo que se debe hacer para evitar infecciones de estas caractersticas. 4.2.18 Ranas o leapfrog Programa espa que tratan de hacerse con la informacin de claves de acceso y cuentas de correo almacenadas en la libreta de direcciones para distribuir mediante correos masivos una carga maligna como por ejemplo un gusano. El evitarlas suma las caractersticas anti espa y anti gusano. 4.2.19 Parsito informtico Programa maligno que unido a una aplicacin (ejecutable), la utiliza para propagarse. Si se ejecuta, el parsito lo hace antes, llevando a cabo su labor daina concreta.
JosLuisMartnezLeyva
Pgina29
MALWARE
10 de mayo de 2009
En la proteccin del software contra estas infecciones se ha avanzado bastante, y son las propias aplicaciones que se ejecutan quienes lo advierten. Pero, como ya podemos imaginarnos, no sera suficiente y es necesario mantener una poltica general anti software maligno. 4.2.20 Pharming o acceso a la granja de servidores (lista de DNS) Software que explota vulnerabilidades del DNS en el propio equipo, pudiendo redirigir la explotacin de determinada pgina web a otra que ha puesto el atacante en su lugar, unindose al phising en su actuacin (del que se habla en el siguiente punto). Es una forma de espa pues su objetivo es captar informacin de inters, por ejemplo la necesaria para el acceso a la pgina de un banco (banca electrnica) mediante la creacin de una interfaz muy parecida que engaa al usuario. Aunque el trmino pharming ms bien hace referencia al de frmaco, se quiere hacer derivar de farming o farm (granja), relacionndolo con el archivo host del sistema donde se especifica la tabla DNS que es suplantada. Existen dos modos de defensa ante este malware que dependen del sistema a proteger: - Si se trata de un gran servidor se utilizar un software especializado para proteger el DNS. - Para navegadores es posible la instalacin de software de ayuda que puede detectarlo, por ejemplo las barras de navegacin que proveen buscadores como google o yahoo (toolbars).
JosLuisMartnezLeyva
Pgina30
MALWARE
10 de mayo de 2009
4.2.21 Phising o pescando Programas que fraudulentamente se hacen con informacin confidencial de los usuarios mediante el correo electrnico o una pgina web aparentemente legales; su funcionamiento, tpicamente producto de una labor de espa, se basa en el engao o la trampa, lanzando interfaces similares a las de por ejemplo un banco para robar contraseas y vaciar las cuentas. Ests interfaces engaosas pueden presentarse a travs de un correo electrnico o de una pgina web, pero tambin puede hacerse con una simple carta postal, una llamada telefnica o un sms que advierte de la necesidad de remitir de alguna manera los datos personales del incauto. En su lucha se advierten dos mtodos bsicos: el de la concienciacin social y el de la tcnica. As, por un lado precisamos de la: - Concienciacin necesaria a los usuarios para que no caigan en el engao, sabiendo reconocer estas formas de fraude. Cmo? Por ejemplo, su banco nunca le pedir datos personales a travs de medios inseguros como lo es el correo electrnico o un formulario web, o dndose cuenta que los correos de servicios reconocidos siempre harn uso de su nombre de usuario para realizar alguna tarea. - Utilizacin de tcnicas por parte de los prestadores de servicio en la Web (legales) de autenticacin y de canalizacin segura de sesiones a travs de protocolos SSL y https, basadas en infraestructuras de clave pblica. Existen aplicaciones concretas que reconocen contenido phising en correos electrnicos recibidos o en las pginas Web visitada, dando a conocer su dominio real.
JosLuisMartnezLeyva
Pgina31
MALWARE
10 de mayo de 2009
Para evitar caer en este tipo de estafas se recomienda tomar las siguientes medidas: - Nunca responda a solicitudes de informacin personal a travs de correo electrnico. Si tiene alguna duda, pngase en contacto con la entidad que supuestamente le ha enviado el mensaje. Nunca llame a los telfonos de contacto notificados en los mensajes recibidos. - Para visitar sitios Web, introduzca la direccin Web directamente en la barra de direcciones. No siga los enlaces proporcionados en un correo electrnico. - Asegrese de que el sitio Web utiliza cifrado. En Internet Explorer puede comprobarlo con el icono con forma de candado de color amarillo situado en la barra de estado. Haga doble clic sobre el icono del candado para ver el certificado de seguridad del sitio. El nombre que aparece a continuacin de "Enviado a" debe coincidir con el del sitio en el que se encuentra. Si no est seguro de la legitimidad de un certificado, no introduzca ninguna informacin personal. Sea prudente y abandone el sitio Web. - Consulte frecuentemente los saldos de sus cuentas y tarjetas de crdito. - Comunique los posibles delitos relacionados con su informacin personal a las autoridades competentes. 4.2.22 Rabbits o conejos Gusanos que se caracterizan por replicarse de forma muy rpida para llenar el disco duro del equipo y colapsarlo, o por ejemplo, enviar infinitas copias a la cola de impresin para colapsarla tambin; en ambos casos se puede lograr saturar la red rpidamente. Su defensa es la usual contra el gusano. 4.2.23 Rootkit o caja de herramientas administrativas Conjunto de herramientas que se introducen en un sistema una vez se tiene controlado mediante un troyano, y que permite la ejecucin a discrecin del atacante de multitud de procesos en su beneficio y sin dejar rastro. Los mtodos anti troyano son los que han de utilizarse contra ellos.
MALWARE
10 de mayo de 2009
4.2.24 Scumware o escoria Software que realiza cambios significativos en una pgina web para mostrar otras publicidades o anuncios en vez de las que deban ser o para redirigir los enlaces por ejemplo a lugares no deseables o para ejecutar acciones impropias del servicio legal, provocando mal funcionamiento y mala reputacin, en ocasiones llevado a cabo por la competencia. Su funcionamiento bsico podra asemejarse al de un troyano pues esconde un cdigo que es iniciado por un usuario, resultando no realizar la funcin deseada o esperada, por ello tambin puede considerarse un software trampa. Los mtodos anti troyano son los que han de utilizarse contra ellos. 4.2.25 Spam o correo basura Correos electrnicos enviados de forma masiva a direcciones electrnica que determinada empresa ha adquirido legal o ilegalmente con el fin de hacer publicidad de sus productos. Aunque se relaciona ms con el correo electrnico, es una realidad que este tipo de mensajes no solicitados empiezan a abrirse camino en blogs, foros, noticias, motores de bsqueda, diccionarios, pop-ups, imgenes y texto en muchas pginas web, e incluso en el telfono mvil. Producto de una labor de espa previa de las direcciones de correo electrnico e incluso de los historiales de navegacin del equipo o usuario.
Existen muchas tcnicas, pero bsicamente se trata de ocultar de alguna manera las direcciones de correo electrnico para que no sean accesibles de forma fcil por parte del Spammer:
MALWARE
10 de mayo de 2009
- En principio un software anti espa no viene mal. - Un especfico anti Spam es ms eficaz. - Cuidado! El insertar la direccin de correo electrnico de manera indiscriminada en la WEB como por ejemplo en las pginas personales, foros, blogs, etctera, permite al Spammer disponer de ellas con facilidad, por eso es necesario ocultarlas de alguna manera: insertarlas como imagen y no como texto, no insertar la @ . - Los administradores de foros y blogs deben llevar una administracin que permita llevar a cabo filtros mediante listas autorizadas de acceso. - No contribuir a las cadenas. - El envo de correos masivos es poco aconsejable y si se hace, mejor utilizando la opcin de copia oculta. - No reenviar correos sin borrar contenidos con informacin de correo electrnico del anterior. - Llevar a cabo las actualizaciones de seguridad del sistema operativo. - Firewall y antivirus activados. - Llevar a cabo una buena poltica de filtrado de correos para no autorizar su entrada. - Y otras. 4.2.26 Pup-ups o ventanas emergentes Programas que generan ventanas que aparecen durante la navegacin y que de alguna manera molestan al usuario, y que suelen mostrar publicidad o enlaces diversos. Son tpicas las ventanas que se generan durante la navegacin y que solo parecen intentar abrirse para colocarse en segundo plano, hacindose visibles al trmino del la sesin con el navegador, impidiendo que el usuario conozca el lugar donde se origin. Se trata de una funcionalidad escondida bajo una pgina web, por tanto podra considerarse un troyano, lo cual no deja de ser una afirmacin demasiado atrevida, aunque tambin es producto de una labor espa de la navegacin del usuario por la web en ocasiones incauta. Al tratarse de aplicaciones en ocasiones molestas e indeseables podramos considerarlas como software trampa. Es posible utilizar un software para bloquear ventanas emergentes, que podra no ser del todo til, pues no siempre son perniciosas. Para ello existen bloqueadores integrados en los navegadores que realizan un filtrado de pop-ups por contenido o a demanda.
JosLuisMartnezLeyva
Pgina34
MALWARE
10 de mayo de 2009
4.2.27 Spoofing Tcnica desarrollada desde 1997 para llevar a cabo suplantacin de identidad en la red para usos maliciosos, aunque tambin existe para la investigacin. Se trata en fin de una trampa que puede ser de diferentes tipos: - Suplantacin de IP para llevar cabo ataques por inundacin como los de Denegacin de Servicio los routers actuales estn protegidos de este ataque. - Suplantacin de la tabla ARP (IP-MAC), y as, a nivel de datos de Ethernet es posible desviar el trfico hacia el atacante (sinffer) se pueden usar tablas ARP estticas lo que equivale a usar IP estticas tambin (engorroso en redes grandes) o utilizar herramientas que detecten cambios en la tabla ARP. - Suplantacin de Nombre de Dominio (falsear la relacin Nombre de dominio-IP al tratar de resolverla en un determinado servidor DNS), provocando un envenenamiento o infeccin cuidado con los servidores poco fiables. - Suplantacin de una Pgina WEB que a modo de proxy intercepta y modifica la informacin que emite la vctima hacia las WEBs reales que visita, saltndose incluso el protocolo SSL (no estamos hablando aqu de Phising) es difcil de detectar, por eso hay que desconfiar si ocurre que durante la navegacin la direccin IP de las visitas, no cambia (existen plugin que permiten verlas en todo momento). - Suplantacin de correo electrnico de otras personas o entidades para, por ejemplo, emitir Spam o como suplemento de phising; solo hay que configurar un servidor SMTP pirata al efecto se debera comprobar la IP del remitente y la del servidor SMTP, o incluso, usar firmas digitales. 4.2.28. Troyano download Caso especfico de troyanos muy usual, que descarga otros malware desde la Red (normalmente Internet) sin el consentimiento del usuario para luego instalarlos en el ordenador. Es tpica la aparicin de este troyano bajo la apariencia de un cdec necesario para por ejemplo, reproducir msica en el Windows Media Player.
JosLuisMartnezLeyva
Pgina35
MALWARE
10 de mayo de 2009
4.3.Grficos resumen: 4.3.1. En el siguiente grfico se muestran el porcentaje de cada una de las amenazas actuales, y se puede apreciar que los virus (como tales) tienden a desaparecer.
4.3.2. Grfico donde se muestra un mapamundi con los principales emisores de malware.
JosLuisMartnezLeyva
Pgina36
MALWARE
10 de mayo de 2009
4.3.3. Tabla resumen donde se especifican los seis tipos genricos relacionados con los veintisiete secundarios. Con una V si se identifica claramente como tal (en cursiva si no est muy claro) y con una C si son consecuencia de
Virus Adware Backdoor Backware Alcalino Bomba Fork Bot Bug Coockies Crackers Secuestrador Dialers Exploit Falso Antivirus Hijacking Keyloggers Hoaxes Ladilla Rana Parsito Pharming Phising Rabbit Rootkit Escoria Spam Pop-ups Spoofing Troyano Download Gusano C V V V V V V V V C C V C C/V C/V C C/V C C/V V C C/V C/V V C C/V C/V V V C/V V C/V V C C/V C/V V C/V C/V V V V V V V Troyano V C Bomba Espa C V Agujero-Trampa V V Trampa
V C C C V V C C C V V V V V
C C C
4.3.4 Tabla donde se indica para los genricos un resumen relativo a su carcter independiente y de autorreplicacin.
Independiente Dependiente Autorreplicante Virus Gusano Bomba No se replica Espa Troyano Agujero
4.3.5 Tabla donde se seala la relacin de los genricos respecto a su necesidad de transmisin mediante la red.
Precisa la Red No Precisa la Red Ambos segn caso Gusano/Espa/Troyano Virus Agujero-Trampa/Bomba
JosLuisMartnezLeyva
Pgina37
MALWARE
10 de mayo de 2009
5. Detalles histricos del software malicioso.

No se trata de hacer aqu una extensa exposicin sobre la historia del software malicioso desde sus inicios hasta la actualidad, ni tampoco mencionar a todos y cada uno de las variantes aparecidas. Simplemente se darn ciertas pinceladas sobre las claves histricas de mayor repercusin.
5.1. Gnesis (aos 40 y 50). 5.1.1. Nace el concepto de la mquina autorreplicante: virus. Se puede considerar a John von Neumann18 como el padre del concepto de virus. As, en su Teora sobre los Autmatas Autorreplicantes, como una visin, observ que el programa escrito y persistente en el computador con la capacidad de ejecutarse una y otra vez en su memoria, podra de alguna manera reproducirse, llevndole a la definicin de su Mquina de von Neumann que nos conduce ya en el ao 1949 al concepto de virus informtico: una mquina que extrae un mineral hace un trabajo n en un tipo t, si esta mquina se dedica adems a construir con dicho mineral una mquina igual ser ms lenta en la extraccin del mineral pero poco despus habr dos mquinas realizando el mismo trabajo, que se autorreplicarn a su vez, generando una mejora exponencial en el trabajo.
18
Matemtico estadounidense de origen hngaro (1903-1957) que hizo contribuciones importantes en diversas reas del conocimiento, entre ellas la ciencia computacional o informtica.
JosLuisMartnezLeyva
Pgina38
MALWARE
10 de mayo de 2009
5.1.2. Primeros experimentos. A finales de los aos 50 los laboratorios AT&T Bell llevaron a cabo experimentos de lucha entre programadores que deban generar programas que captasen la mayor parte de memoria mediante la tcnica de autorreplicacin. 5.2. Nace el Malware (aos 70 y 80) y los inmunizadores. 5.2.1. El primer virus y el primer gusano. Se puede considerar al Creeper como el primer virus. Aparece en los 70 en ARPANET y solo mostraba un mensaje desafiando al usuario a atraparle. Poco despus aparece un antdoto contra el mismo. Tambin en los 70 aparece un tipo de gusano, el Dubbed Rabbit, que se multiplicaba de manera vertiginosa una y otra vez hasta bloquear los sistemas. 5.2.2. Primeros troyanos. El primero de los troyanos aparece en el ao 1975 (aunque no ha podido demostrarse que lo fuese pues su autor atestiguaba que era solo un error cometido en el cdigo), el Pervading Animal, escondido en un juego desarrollado para Univac 1108, que en determinadas circunstancias (generacin de respuestas encadenadas), se autocopiaba una y otra vez. Se poda considerar tambin como un bug o un agujerotrampa diseado por el creador. Se solucion cambiando el sistema de archivos por el nuevo Exec 8. 5.2.3. Redes distribuidas abiertas y la popularizacin del ordenador. A partir de los aos 80 con el avance en las tecnologas, as en las telecomunicaciones (aparicin de las BBS Servidores de acceso abierto donde se compartan programas y bases de datos ), como en los propios equipos (popularidad de los ordenadores personales), fueron apareciendo multitud de creadores de software que iban escribiendo sus propios programas para compartirlos con los dems. Aparecieron entonces troyanos de indudable malignidad, que aunque no tenan la capacidad de autorreplicarse como los virus o los gusanos, s ponan en riesgo los equipos donde se descargaban y se instalaban.
MALWARE
10 de mayo de 2009
En el ao 1981 aparece el virus ELK KLONER, para el sistema operativo Apple II, en el que se propagaba mediante disquetes de inicio. Sus efectos iban desde mensajes de broma como se le pegar como la goma de pegar, hasta imgenes en rotacin, pasando por textos borrosos y otros. En el ao 1985 fue el ao del virus BRAIN que insertado en los sectores de arranque, infect ordenadores compatibles IBM extendindose por todo el mundo. Aunque no llevaba a cabo labores destructoras, era realmente molesto pues modificaba el nombre de los disquetes por @Brain y, haciendo visible una lnea de texto donde inclua la referencia al autor, direccin y telfono, daba una gran publicidad a su creador.
5.2.4. Virus para DOS y los primeros inmunizadores y antivirus. Aparece en el ao 1986 el primer programa que poda copiarse a s mismo en entornos DOS, aadiendo su cdigo a los ejecutables .COM. Se trataba del programa VIRDEM. En el ao 1987 aparece el virus VIENA y entre debate y debate sobre sus posibles autores, lo ms destacado estriba en que un tal Berna Fix logr neutralizarlo. Se puede decir que es el comienzo de las modernas tcnicas antivirus. Pero 1987 fue un ao en que aparecieron muchos ms virus: el Lehigh (Universidad de Pensilvania) destrua datos, la familia de virus Suriv (Israel) de virus al revs que tenan como blanco los ejecutables del sistema operativo DOS, luego algunos que infectaban el sector de arranque de los discos como el Yale (EEUU), el Stoned (Nueva Zelanda), y el Ping Pong (Italia), y tambin el primer virus autocifrado, el Cascade, que destacaba porque al iniciarse presentaba un cada de los caracteres de la pantalla como una cascada.
MALWARE
10 de mayo de 2009
Tambin en el ao 1987 aparece el gusano Christmas Tree desde una Universidad de Alemania que al activarse presentaba en pantalla un rbol de navidad y luego enviaba copias a todos los usuarios de la red. En 1988 aparece el virus Jerusalem, de la familia Suriv, que en muchas empresas e instituciones del mundo oper de forma destructiva sobre los archivos de las mquinas infectadas. Aparecen los primeros inmunizadores que instalados en las mquinas hacan creer a los virus conocidos que ya estaban infectados, y por tanto no se propagaban en ellas. La aparicin de ms tipologa los invalid pues no era factible crear un inmunizador para cada uno de ellos. 5.2.5. Primeros antivirus y aparicin de las bromas. Fue un ao, el 1988, de amplia difusin de virus, sobre todo por culpa del factor humano, no concienciado e incrdulo ante la amenaza. Pero tambin fue un ao en el que aparecen los primeros sistemas antivirus modernos como el Norton Antivirus de Symantec. Tambin aparece el primero foro dedicado al tema. En el ao 1988 aparecen las primeras bromas o hoaxes, difundiendo rumores que fueron ampliamente comentados y debatidos, llevando a los crdulos al mayor de los descrditos. Tambin aparece el gusano Morris que provoc daos en ms de 600 sistemas en EEUU, incluso en la NASA, aprovechando vulnerabilidades del sistema operativo UNIX. Aparece el antivirus Dr. Salomon en este mismo ao. 5.2.6. Ataques a la FAT, secuestradores y Kaspersky. En el ao 1989 aparecen variantes del Jerusalem como los virus Datacrime que formateaba a bajo nivel el cilindro 0 del disco duro con la prdida consiguiente de la FAT y con ella la de los datos, y el FuManchu una variante del mismo. Tambin aparecen los de la familia Vacsima y Yankee, y el gusano WANK. En ese ao tambin aparece el primer secuestrador que al instalarse haca invisibles todos los archivos del sistema excepto uno que aconsejaba pagar cierta cantidad de dinero para recuperar el sistema; fue distribuido por medio de un disquete que ofreca informacin sobre el SIDA.
MALWARE
10 de mayo de 2009
Eugenio Kaspersky lanza su antivirus, y tambin otras compaas. IBM desclasifica su investigacin antivirus y lanza su Viruscan para MS-DOS por 35 dlares. 5.2.7. Primeras publicaciones antivirus, y primeras comunidades de hackers. Es un ao, el 1989, en el que se fundan las primeras publicaciones sobre antivirus predecesoras de Secure Computing y Virus Bulletin de Sophos. 5.3. El apogeo del Malware. En el ao 1990 los creadores de virus se afanan en darles nuevas caractersticas y en organizarse en comunidades. Aparece el virus polimrfico Chamaleon, que evolucion del Viena y del Cascade, aadindole mutaciones con cada infeccin con lo que complicaba el uso de contramedidas que hasta esa fecha se limitaban a la bsqueda de fragmentos de cdigo conocido. Kaspersky fue quien hall soluciones contra estos virus que mutaban. Tuvo tambin repercusin en la dcada de los 90 la fbrica blgara de produccin de virus, destacando por incorporar nuevas formas de infeccin y de camuflaje. Solan atacar a las BBS y su creador ms destacado fue Dark Avenger, quien no tuvo empacho para crear su propia BBS donde ofreca un foro para intercambio de virus y otra informacin de inters para sus creadores. Nacen los primeros phising, aunque no se denominaban todava as; se trataba de conseguir nmeros de tarjeta de crdito vlidos para el acceso a los servicios AOL19. Los hackers obtenan as accesos legtimos a este servicio de modo fraudulento. 5.3.1 El apogeo del Malware, la comunidad internacional reacciona. Fue curiosa e histrica la infeccin que tuvo lugar durante el ao 1990 provocada por el virus Diskkiller por haber sido distribuido en un disquete gratuito con la revista PC Today.
19
American Online Inc., compaa de EEUU que provea servicios y medios de acceso a Internet.
JosLuisMartnezLeyva
Pgina42
MALWARE
10 de mayo de 2009
Otros virus de aquel ao fueron el Frodo y el Whale, de complicado algoritmo, tambin los primeros virus rusos Petrburg, Voronezh y LoveChild. A finales del ao 1990 se funda el Instituto Europeo de Investigacin Antivirus, el EICAR, en Alemania. A partir del ao 1991 se alcanza los 300 virus por lo que, dado los problemas que ocasionan, obligan a la aparicin de productos innovadores antivirus como las evoluciones de Norton Antivirus de Symantec. Comunidades de Crackers aparecen por todo el mundo: Jack en Italia, Gonorrhea en Alemania, Demoralized en Suiza, Hellpit en EEUU, Dead on Arrival y Sernaj en Inglaterra, etctera. Aparece en el ao 91 el virus de sector de arranque Tequila, de origen suizo que en principio surgi con fines de estudio, pero que fue robado para hacer dao. En general, fue un ao tranquilo. 5.3.2. Ataques masivos sobre compatibles IBM y MS-DOS. En el ao 1992 los sistemas IBM o MS-DOS empezaron a sufrir los ataques ms despiadados, las vulnerabilidades de los sistemas distintos no son caldo de cultivo para nuevos virus y por tanto, no surgen para ellos. Los ataques se centraban sobre los sectores de arranque de los discos del sistema operativo MS-DOS. Auspiciado por Dark Avenger, aparece un generador de virus polimrficos, el MTE, que los programas antivirus tenan dificultad para detener. Surgen iniciativas por parte de las fuerzas de seguridad para detener a los hacker, y as en Gran Bretaa se neutraliz la comunidad clandestina que all exista. En marzo de 1992 aparece Michelangelo, que caus histeria en la prensa, aunque realmente no da a tantos equipos como se supona. En julio del mismo ao surgen constructores de virus, el VLC y el PSMPC, que permita crear y personalizar tus propios virus!, de forma similar a MTE.
JosLuisMartnezLeyva
Pgina43
MALWARE
10 de mayo de 2009
5.3.3. Primer virus para Windows e Intel 386. El primer virus para Windows fue el Win.Vir 1.4 que infectaba los ejecutables del sistema (ventanas sobre el MS-DOS antiguo). En el ao 1993 surgen nuevos virus polimrficos con mayor funcionalidad: infeccin, penetracin mayor en los sistemas, destruccin de datos y camuflaje respecto a los antivirus: PMBS para sistemas 386 de Intel, el Strange (nico virus invisible en ese momento) que actuaba sobre ciertas interrupciones del procesador 386, el virus Carbunclo que inicia una generacin de virus de compaa, Emmie, Bomber, Uruguay y Cruncher se camuflaban bien. Windows lanza su antivirus propio para sus sistema MS-DOS que demostr ser efectivo al principio, posteriormente fue desechado. 5.3.4. El soporte CD y correo electrnico; tambin Kaspersky. En 1994 los virus reconocen la importancia del soporte CD para propagarse. Aparece en Reino Unido el SMEG.Pathogen y el MEG.Queeg, que dieron durante muchos aos dolores de cabeza. Tambin aparece el GoodTimes que caus pnico pues va internet infectaba los equipos mediante los correos electrnicos. Aparecen muchos otros como el Shifter, el ScrVir (de cdigo fuente en C y Pascal), el OneHalf y el Zaraza, pero tambin nuevos productos antivirus, donde Kaspersky gana adeptos, colocndose en el primer lugar de los productos antivirus. 5.3.5. Windows 95, primeros macros, publicaciones infecciosas y Scotland Yard. En el ao 1995 no aparecen significativos virus para MS-DOS, solo los complejos Nightfall, Nostradamus y Nutcracker, y otros interesantes como el virus bisexual RMNS. Microsoft distribuy grandes cantidades de su Windows 95 en versin beta con el virus Form. Windows fue golpeado con dureza por el virus Concept que en solo un mes dio la vuelta al globo. Amipro, popular procesador de textos de los aos 90 fue infectado por el Green Stripe.
MALWARE
10 de mayo de 2009
Aparecen los primeros virus de macro que golpean con fuerza las aplicaciones office, obligando a los fabricantes antivirus a revisar conceptos para extender sus vacunas contra la nueva tipologa. En dos ocasiones la prensa fue precursora de infecciones, al ofrecer en sus publicaciones informticas suplementos de software gratuito en disquetes que resultan estar infectados, as lo hace Houses PC con el virus Sampoo y Computer Life con el virus Parity Boot. Scotland Yard en su lucha contra el crimen ciberntico da caza al autor del virus Queeg y Pathogen, un tal Christopher Pile que finalmente fue condenado a 18 meses de prisin. En el ao 1996 surgen virus interesantes para Windows 95, el Zhengxi, polimrfico de origen ruso. En el mes de marzo se produce una terrible epidemia que afect a la plataforma Windows 3.x producida por el virus Win.Tentacle, el primer virus creado de forma especfica contra Windows. Aparece tambin en este ao el primer virus para Excel, el Loroux, similar al mismo para Word, basado en macros de Visual Basic, que infectaba las tablas. Varios hacker crean potentes constructores para virus de macro, NaghtMare Joker y Wild Worker, ingls y alemn respectivamente. Windows se ve afectado en sus productos software en CD por el virus Wazzu. Tambin se ve afectado por el primer virus residente en memoria, como un driver VxD. Se trata de un ao en el que los productos de Microsoft son duramente atacados, Windows 95, Windows NT y Microsoft Office, alcanzando mayores cotas de evolucin al ser capaces de mantenerse imperceptibles y polimrficos, incubndose en plataformas de 32 bits. Tambin las compaas antivirus evolucionan, ya s lo hace Computer Associates al comprar Cheyenne Software y lanzar el antivirus InocuLAN. Se realiza la primera mencin al trmino Phising en un grupo de noticias de hackers.
JosLuisMartnezLeyva
Pgina45
MALWARE
10 de mayo de 2009
5.3.6. Virus para Linux y macros para MS Office 97. En el ao 1997 aparece el primer virus para Linux, el Bliss, pero no son comunes dada la popularidad de Windows. Tambin en este ao, el de la aparicin del Office 97 supuso la migracin de los virus de macro para la misma, alcanzando notoriedad el ShareFun, el primer en expandirse mediante el correo electrnico de MS Mail. 5.3.7. Infeccin por FTP y miRC. En el mes de abril de 1997 aparece el gusano Hommer que utiliz FTP para propagarse. Con la aparicin de miRC (el chat de Internet), y que tuvo un gran xito, capt la atencin de los hacker para difundir sus productos, gusanos en su mayor parte. 5.3.8. McAfee y Dr. Salomon. Aparece tambin en el ao 97 Secure Corporation que utilizaba el motor antivirus Kaspersky, pero es McAfee la mayor ahora. Hubo durante aquel ao disputas judiciales entre McAfee y Dr. Salomon, pues la una denunciaba trucos engaosos en el funcionamiento del otro. Pero tambin Kaspersky y otras se enzarzaron entre s, y contra McAfee con acusaciones de robo de patentes. Surgen los primeros ataques por spoofing. 5.3.9. Troyanos evolucionan a espa, Chernobil, Corel y nuevos macros. En el ao 1998, los ataques de virus a los productos Microsoft se acrecentaron y a la vez evolucionaron al usar nuevos modos de infeccin. As aparecen troyanos diseados para robar contraseas y programas maliciosos tipo puerta trasera para lograr administracin remota sin autorizacin. PC Game contribuy sin saberlo a distribuir en sus discos infecciones para Windows con el CIH (tambin conocido como Chernobil), que fue realmente global y daino (poda borrar la Flash BIOS y con ello obligar al reemplazo de la placa madre) y el Mrburg.
MALWARE
10 de mayo de 2009
El Corel DRAW 8.1 para Mac OS se encarg de difundir el virus AutoStart. Surgieron nuevos virus macro para Excel y el primero para Acces, incluso para todas las aplicaciones office a la vez, como el virus Cross o Triplicate, que tambin invada al PowerPoint. Los usuarios de aplicaciones Microsoft empezaban a aceptar la vulnerabilidad consabida de los productos de dicha compaa. 5.3.10. Java y scripts VBS. En Agosto de 1998 aparece el primer mdulo maligno Java ejecutable, el Java.StrengeBrew, demostrando la vulnerabilidad de las aplicaciones activas en Internet. Los programas maliciosos que infectaban los scripts de VBS fueron evolucionando y Kaspersky trat de concienciar al mundo antivirus de dicha amenaza potencial. La acusaron a su vez de incitadora al pnico, y poco despus un tipo de virus de esta modalidad caus estragos, el LoveLetter, con lo que tuvieron que darle la razn. Finalmente los virus para VBS terminar escritos totalmente en HTML; as fue el HTML.Internal focalizado contra la red. Los creadores de virus tenan claro que un tipo de software malicioso gusano que atacara la red y que daara las aplicaciones office de Microsoft tendran marcada resonancia, y as lo hicieron, por ejemplo el Attach que atac Power Point y que dio grandes dolores de cabeza a las empresas antivirus. Proyectos como el VB 100% fueron diseados para dar confianza a los sistemas sobre el anlisis antivirus completo. Por otro lado IBM y Symantec realizaran esfuerzos conjuntos uniendo sus soluciones antivirus bajo el nombre de la segunda. Mientras, la norteamericana NAI compr Dr. Salomon, que desapareci definitivamente. 5.3.11. Las compaas antivirus se unen: CA. CA (Computer Associates) adquiere nuevos antivirus para unirlos a los suyos, creando CA Vet Antivirus y CA Innoculatelt. Eso fue lo ms sonoro de 1999.
MALWARE
10 de mayo de 2009
5.3.12. MS Outlook y la explosin global del software maligno. Tambin aparece el gusano Happy99 que se convirti en epidemia global pues permita su reproduccin a travs de MS Outlook, de uso extendi en EEUU y Europa, se trat del primer gusano moderno. 5.3.13. Ms macros, y reacciones gubernamentales y Corel. Aparece en 1998 el virus macro Calgula que atacaba MS Word y que en busca de llaves de cifrado PGP encontraba las bases de datos que protega para enviarlas FTP bajo sesin remota secreta. Tambin el Melissa (virus macro contra MS Word) actu para llevar a cabo su replicacin enviando correos con l adjuntos a las 50 primeras direcciones de MS Outlook, forzando a cerrar temporalmente los servidores de Microsoft, Intel y Lookheed Martin, produciendo prdidas notables. Las fuerzas anti crimen ciberntico de los EEUU cazaron al autor del Melissa, un tal David Smith, que fue sentenciado a 10 aos de prisin y a una multa de 400 mil dlares. Mientras, en Taiwan cazaron al autor del CIH (Chen Ing Hao). Tambin en este ao, el virus Gala puso en peligro las aplicaciones Corel pues infectaba todos los archivos de sus aplicaciones. 5.3.14. Gusanos y troyanos: que viene el ao 2000! A finales del verano de 1999 el gusano ZippedFiles (o ExploreZip) hizo su aparicin en forma de ejecutable EXE, con la capacidad de destruir las aplicaciones ms populares del sistema. Otro gusano, el Termita, infectaba los archivos DOS o Windows y se difunda mediante correos enviados por la aplicacin Pegasus o canales IRC. En octubre aparece un virus especfico para el Sistema Operativo Infis. Tambin aparece el primer virus contra MS Project y un predecesor del LoveLetter, el Freelinks. En noviembre surge una nueva generacin de gusanos propagados va correo electrnico que se esparca al leer los mensajes, se trataba del BubleBoy, seguido del KakWorm, explotando vulnerabilidades de Internet Explorer. Microsoft distribuy ese mismo mes los oportunos parches.
MALWARE
10 de mayo de 2009
A finales de ao, tras una larga lista de troyanos brasileos, aparece el ms peligroso, el Vecna. Tambin aparece el primer gusano-troyano capaz de renovarse remotamente, descargndose versiones de virus nuevas en cada conexin, se trataba del Babilonia. La misma tcnica aplicara Sonic e Hybris. Fue un ao, el 1999, donde las empresas antivirus se plantearan dos posiciones frente al efecto 2000: - Los ordenadores estaban preparados para ejecutar por sorpresa cientos de virus para destruir la civilizacin humana mensaje: Instale un antivirus o atngase a las consecuencias. - Mantener la calma pues dichas advertencias no tenan fundamento. Al final lleg el ao 2000 como cualquier otro.
5.4. El nuevo milenio: amenaza global. 5.4.1. Ao 2000. Los usuarios de Windows 2000 esperaban el comienzo del ao con cierto desasosiego y antes incluso del lanzamiento de la nueva versin definitiva ya haban surgido virus contra el mismo.
JosLuisMartnezLeyva
Pgina49
MALWARE
10 de mayo de 2009
Proverbio, virus macro de origen ruso contra MS Word, hizo su aparicin en el 10 de Downing Street. El virus LoveLetter rompi records, tal y como predijo, Kaspersky en 1998, contaminado archivos VBS y TXT, destruyendo las tablas de archivos y transmitindose a su vez por MS Outlook. En el mes de junio de 2000 aparece el primer virus que se contagiaba va telfono mvil, se trataba del Timofnica, que aprovechaba el operador de mvil de Telefnica, Movistar. En verano aparecen troyanos y puertas traseras, como el BO2K. Otro contra los archivos de AutoCAD, el Dilber que contena a su vez una batera con el CIH, el SK y el Bolzano que dependiendo de la fecha activaba uno u otro, un gusano, el Jer, caracterizado por estar alojado en pginas Web disponible para los incautos que ejecutaban su HTML. Aparece tambin el Liberty, el primer troyano en afectar al Sistema Operativo PalmOS. En septiembre se descubre un virus, el Stream, capaz de manipular y daar los ADS (informacin asociada a los ficheros, por ejemplo iconos) del sistema de fichero NTFS, con l cundi el pnico. En octubre se produjeron ataques sobre los sistemas internos de Microsoft por parte de hackers rusos, mediante el gusano QAZ. En noviembre, la empresa Kaspersky se convierte en la mayor antivirus del mercado. El ao 2000 fue en el que los correos electrnicos fueron la mayor herramienta de infeccin (se estimaba que el 85% de las infecciones se produca por dicha va). Tambin fue un ao de notable actividad de los creadores de virus contra sistemas Linux. Al final de ao los virus basados en script sustituyeron a los macro como ms comunes. stos, escritos en lenguajes como VBS, javascript, PHP, etctera, infectaban otros scripts buenos as como otros formatos de archivo, por ejemplo loa HTML. 5.4.2. Internet y redes locales, tambin Linux (ao 2001 y 2002). Ao 2001
JosLuisMartnezLeyva
Pgina50
MALWARE
10 de mayo de 2009
El ao 2001 fue de gran actividad para las empresas antivirus, sin embargo los ataques maliciosos no cesaron. Los virus clsicos dieron paso a los gusanos conforme se desarrollaba Internet y las redes locales. Software que explotaba diferentes vulnerabilidades de los sistemas se esparca en forma de gusano provocando serias epidemias. As lo hicieron el CodeRed, el Nimda, el Aliz o el Badtrasil. Aparecen variantes del LoveLetter, el ILoveYou, el magistr y el Sircam. Sube al 90% el nmero de infecciones como consecuencia del uso del correo electrnico. Las bajadas de archivos de internet se convierten cada vez ms en fuente de infeccin; aqu los hacker sustituan por su cdigo malicioso el insertado en pginas web de diversa ndole, explotando vulnerabilidades del Internet Explorer de Microsoft. Tambin, ICQ o Messenger fueron convirtindose en canales de infeccin. As, el gusano Mandragore se aprovechaba de las caractersticas especiales de estas aplicaciones. Aparecen programas maliciosos contra Linux, el gusano Ramen es buen ejemplo. ste penetr en numerosas corporaciones, incluso la NASA. Aparece un nuevo reto para las empresas antivirus con la aparicin de gusanos que actuando desde la RAM, no usaban ningn archivo para transmitirse o actuar. Contra Windows ahora se ceban varios tipos de gusanos, no ya los clsicos virus macro o script de anteriores aos, sobre los que las protecciones eran ya bastante eficaces. Finalmente, el ao 2001, fue el ao de las bromas u hoaxes, destaca la amenaza para el da de San Valentn de una variante del virus ILoveYou que fue bastante efectiva. Ao 2002 El ao 2002 tuvo nada menos que 12 epidemias serias y 34 menores, adems de continuar activos los de anteriores aos. Los hacker fueron adaptando sus ataques a las nuevas tecnologas y plataformas que iban apareciendo.
MALWARE
10 de mayo de 2009
LFM y Donet fueron los gusanos ms destacados, propagndose ex profeso por las redes .NET para demostrar su vulnerabilidad, no para causar dao. Tambin el gusano Spida apareci atacando servidores SQL. Benjamin se reprodujo en el caldo de cultivo ideal de la red Kazaa, para su perdicin. El gusano Slapper hizo su aparicin contra Linux demostrando su vulnerabilidad. Los escritores profesionales de virus se vieron superados por los ms sencillos programas para robo de informacin confidencial por parte de los hacker deseoso de vaciar cuentas bancarias. Aparecen nuevos gusanos que se propagaban al conectarse directamente a servidores SMTP. Tcnica que se desarrolla debido a las mejoras en seguridad de las aplicaciones cliente de correo electrnico como MS Outlook. Desaparecen casi por completo los gusanos de LAN, P2P e IRC. Klez, gusano de internet que caus un grave dao a finales del ao 2002, permaneci activo durante ms de 2 aos. Fue curiosa la aparicin nuevamente de virus macro, variantes de los de los 90s, debido a que los usuarios pensaron que ya estaban superados, bajando la guardia ante ellos y propiciando su renacimiento en MS Word. As aparecen el Elkern, CIH, FunLove y Spaces. Continuaron los hoaxes como Virtual Card for You, California IBM o Girl Thing. Fue en definitiva un ao realmente activo en cuanto a virus, aunque no muy dainos, juntos formaron un verdadero batalln. 5.4.3. El ataque global y los espas en busca de cuentas bancarias, primeros ataques contra telfonos mviles (2003-2006). Ao 2003 El ao 2003 propici dos ataques globales contra Internet, los ms grandes de su historia:
JosLuisMartnezLeyva
Pgina52
MALWARE
10 de mayo de 2009
- El gusano Slammer atac vulnerabilidades de los servidores MS SQL propiciando en el mes de enero un aumento de trfico en la red que hizo caer segmentos importantes. - El gusano Lovesan (o Blaster) aparece en agosto para demostrar nuevamente las debilidades de Windows, aprovechando las vulnerabilidades del servicio RPC DCOM del 2000 y el XP pocos usuarios de internet con esto sistemas se salvaron de sus efectos. El resto del ao fue tranquilo en cuanto a novedades aunque no cesaron las epidemias de gusanos esparcidas por el correo electrnico. As lo hicieron Ganda en los pases escandinavos y Avron, primer gusano ruso de efectos globales. El gusano Sobig.f se convirti en el ms distribuido de la historia en internet; as, uno de cada veinte mensajes de correo electrnico lo contenan. Tambin, el gusano Tanatos tuvo repercusin. Aparecen ms gusanos, esta vez de origen indio y pakistan, que se reproducan en forma de archivos ZIP adjuntos a mensajes infectados. El gusano ruso Mimail provoc una epidemia global usando una vulnerabilidad de internet Explorer de Microsoft que permita extraer cdigo binario de los archivos HTML y ejecutarlo. Esta tcnica fue aprovechada por troyanos como el Win32.StarPage1, tambin ruso. En setiembre aparece el Swen.I-worm-Swen, uno de los gusanos ms distribuidos. Ya en 2002, pero sobre todo en 2003 empiezan a proliferar troyanos y backdoor para realizar labores espa. Ejemplo de los mismos son el Agobot y Afcore. Producto de estos, surgen las primeras redes zombi. Aparece a finales de ao, los troyano proxy, seal de que los escritores de virus y sus propagadores se haban unido. Los propagadores de virus utilizaban las puertas abiertas de los equipos infectados de troyanos. Tambin los spammers comenzaron a proliferar usando la tecnologa de correo no solicitado. Por ltimo sealar que los virus macro siguieron actuando, como el Macro.Word97.Saver, que tuvo especial relevancia.
MALWARE
10 de mayo de 2009
Ya hacia finales de ao, los troyanos sobrepasaron a los virus. Ao 2004 En el ao 2004 se produjeron grandes epidemias y estuvo marcado por el combate entre desarrolladores de distintas tendencias. El gusano Mydoom aparece propagndose por el correo electrnico y la red, para aprovechndose de las redes Kazaa inundar los servidores UNIX y Microsoft, mediante la tcnica zombi. Bagle o Beagle demuestra ser un virus tipo gusano realmente inteligente por su persistencia en Internet a lo largo de los aos. El gusano Nesky aparece en febrero de 2004 con su propio motor SMTP para propagarse. En mayo aparece el gusano llamado Sasser a la caza de sistemas Windows 2000, 2003 y XP sin parchear. Varias recompensas ofrecidas por Microsoft dieron sus frutos, dando con los autores, primero del Blaster, y despus del Sasser y Netsky (de stos ltimos un alemn de 18 aos, Sven Jaschan). Poco despus se detuvo a otro joven de 21 aos en Alemania, como autor del Agobot. Para MAC aparecen troyanos como el MP3Concept que hacan parecer ficheros MP3 los ejecutables maliciosos. El riesgo de propagacin por tecnologa mvil se hace ahora ms patente. De esta manera aparece el Cabir, capaz de propagarse por tecnologa mvil bluetooth con Sistemas Operativos EPOC o Symbian. Para la tecnologa Pocket PC aparece el Brador, troyano ruso que infectaba estos aparatos con Sistema Operativo Windows CE, con el objeto de tomar el control de los mismos. Ao 2005 En el 2005 se confirma la tendencia de los ltimos aos. La red se inunda de gusanos y troyanos capaces de armar redes de bots con el
MALWARE
10 de mayo de 2009
objeto de obtener dinero. Ya no es un entrenamiento para sus creadores, se trata de un negocio realmente rentable! Prueba de ellos son los espas bankers distribuidos mediante Spam y/o troyanos. Son bsicamente troyanos a la caza de transacciones bancarias y comerciales para usar la informacin en su provecho. Permanecen en memoria y monitorean la navegacin del usuario, y una vez ingresa datos sensibles (contraseas, nombres de usuario, nmeros de tarjetas de crdito, cuentas bancarias, etctera), son robados. El gusano Sober se expandi y logr repercusin desde el mes de agosto hasta finales de ao. A finales de ao aparece un misterioso rootkit de Sony para proteger sus discos musicales. Su cdigo fue aprovechado por hacker de toda ndole para sus propios fines. Aparecen virus como el CommWarrior que se propag mediante los mensajes multimedia en terminales mviles con el sistema operativo Symbian. Ao 2006 En el ao 2006 aparece el Leap, virus que afectaba al sistema operativo MAC OS X propagndose por el programa de mensajera instantnea iChat. Aparecen nuevos virus de macro, cuando ya se crean desaparecidos, como el Stardust para los paquetes OpenOffice y Staroffice. Aparecen en este ao nuevas familias de gusanos y troyanos como el Brontok, HaxDoor, IRCBot, ExploitVML y Stration (o Spamta). En Marruecos se conden a dos jvenes por la creacin y propagacin del gusano Zotob. 5.5. La explosin global del malware (2007). El malware aparecido en este ao multiplica por diez al anterior, un 800% ms que el 2006 y casi un 200% ms que en 2005. Se trata en este ao de una epidemia silenciosa, pues no se da excesiva publicidad a los casos que se conocen, pero realmente peligrosa.
MALWARE
10 de mayo de 2009
All afuera hay muchos listillos que se las ingenian para ganar dinero a base de la venta de software ilegal en ese mismo ao ha salido a la luz ha sido el de un matrimonio que ha sido condenado a cinco aos de prisin por vender software ilegal de Microsoft. Estas personas junto con un socio, invirtieron 30 millones de dlares comprando software de Microsoft. El truco estaba en que se las ingeniaban para obtener importantes descuentos comprando este software a travs del programa de Microsoft que ofrece descuentos a estudiantes. Una vez ya hechos con el producto, lo vendan a personas que no eran estudiantes. Con esta prctica obtuvieron en ganancias ms de 5 millones de dlares, afortunadamente el FBI logr arrestarlos y ahora pasarn cinco aos en prisin. El envo de Spam poco a poco est siendo ms castigado por la va legal y cada vez podemos ver ms noticias de spammers que paran en la crcel por inundar nuestra correo de mensajes basura. Recientemente, Tod Moeller, un Estadounidense de New Jersey, fue condenado a dos aos y tres meses de prisin por ser responsable en el envo de Spam a 1.2 millones de cliente de AOL. Moeller, quien fuera detenido mientras negociaba una aplicacin de envo de Spam a un informante del Gobierno, se declar culpable por el delito de envo de mensajes Spam y de modificar el filtro antispam de AOL. Junto con otra persona de nombre Adam Vitale, Tod Moeller obtena ganancias de hasta 40.000 dlares por mensajes a travs de la estafa por Spam.
6. Detalles sobre los casos ms recientes de software malicioso.

En este punto se detallarn ciertos aspectos relativos al software malicioso que haya destacado recientemente, aos 2008 y 2009. Solo en 2008, los internautas tuvieron que "enfrentarse" a 2.000 nuevos virus o mutaciones de anteriores, diarios!, cerca de 50.000 intentos de phishing y ms de 1 milln de equipos infectados. Por pases, Francia encabeza la lista con ms de un 20 por ciento de amenazas de infeccin, seguido de China con un 16,25 por ciento, Estados Unidos con algo ms de un 7 por ciento, y Espaa, con un 4,14 por ciento. Se prev que durante el presente ao la tendencia de propagacin de virus por e-mail siga creciendo y que aumenten las aplicaciones maliciosas que aprovechan vulnerabilidades para robar datos confidenciales y las amenazas a las redes sociales.
MALWARE
10 de mayo de 2009
6.1. Ataques de Phising. Como ya se mencion en el punto anterior aparece de forma primitiva en los aos 90, y se le conoce con el trmino actual desde el ao 1996, hoy en da est ms vigente que nunca. Millones de mensajes falsos circulan por la Web y al parecer provienen de lugares conocidos y confiables. El usuario incauto responde y facilita nmeros de tarjeta de crdito, contraseas, informacin de cuentas corrientes u otros datos personales Ha cado en el engao! Pero tambin cae engaado cuando el estafador incluye un vnculo que parece llevar al lugar legtimo cuando realmente se trata de uno falso que pretende robarle. As se cree que en los astilleros sudcoreanos de Hyundai Havey Industries, donde se fabrican buques con el radar AEGIS, tuvo lugar un ataque de este tipo para el robo de informacin. Trascendi a mediados de 2008 que cinco miembros de un equipo de crackers llamado D.O.M. (Dark OwneD Mafia) fueron arrestados en distintas ciudades de Espaa acusados de haber atacado a unas 20.000 pginas en Internet desde Julio del 2005, incluyendo algunos sitios gubernamentales. Los cinco arrestados de diversas edades que van desde los 16 a 20 aos fueron detenidos en Barcelona, Buros, Mlaga y Valencia tras una investigacin de varios meses por parte de la polica. Los responsables aparentemente nunca se haban conocido en personas, nicamente se comunicaban a travs de Internet junto con otros miembros del grupo. Una buena noticia, ahora esperemos que los atacantes sean juzgados de manera adecuada por todos los delitos cometidos. 6.2. Ataques de Spoofing (contra telfonos mviles). En los ltimos aos, los telfonos mviles han ido conquistando mayores prestaciones, hasta convertirse en diminutos ordenadores capaces de realizar las tareas cotidianas que podra necesitar cualquier usuario: paquetes de ofimtica, lector de archivos en diferentes formatos, multimedia (audio y video), agendas, correo electrnico, aplicaciones, juego, etc. Sin embargo, estas prestaciones los hace susceptibles de ser objeto de ataques similares a los sufridos
MALWARE
10 de mayo de 2009
por los ordenadores. Su capacidad para establecer una comunicacin con cualquier recurso en red u otro dispositivo a su alcance (bluetothh, wireless, etctera), facilita la manipulacin desde ellos de documentacin sensible. Desde el punto de vista de seguridad, el telfono mvil tambin puede ser un medio para mejorar la seguridad de nuestro ordenador. Hay soluciones informticas que lo utilizan para bloquear y desbloquear el ordenador cuando el usuario se aleja o acerca, de forma automtica. Una de estas herramientas es LockItNow. Actualmente, los ataques de spoofing podran llevar a afectar nuestro propio telfono mvil mediante el ataque Blue MAC Spoofing. En qu consiste? La mayora de usuarios de telfonos mviles Bluetooth ha tenido la necesidad alguna vez de emparejar su telfono con otro dispositivo con el fin de transferir archivos va Bluetooth o conectarse a equipos manos libres o receptores GPS. La conducta habitual suele ser mantener esos enlaces activos aun cuando estos se encuentren en desuso o la conexin haya sido espordica. Qu ocurrira si cada uno de esos enlaces activos pudiera convertirse en una puerta trasera a nuestro telfono, con acceso transparente al control total de las funciones del telfono y los archivos almacenados? Dado que todos los mecanismos de seguridad empleados por Bluetooth se realizan a nivel de dispositivo, y no de usuario, suplantar la identidad de un dispositivo emparejado y utilizar sus credenciales de confianza para acceder a un telfono sin que el usuario se percate resulta una accin trivial. 6.3. Spam que no cesa. Robert Alan Soloway, el conocido rey del Spam, fue sentenciado a 47 meses de prisin luego de que fuera arrestado en 2007 y se declarara culpable por los cargos de fraude electrnico, fraude postal y evasin de impuestos. Aunque el rey del spam se enfrentaba a 26 aos de crcel por 40 cargos, la fiscala decidi retirar los dems cargos por haberse declarado culpable de tres de ellos. Adems la juez tom en cuenta la inmadurez de Soloway cuando para realizar su sentencia. As pues, con esto termina el caso de Robert Soloway, quien fuera demandado por Microsoft en el 2005 y posteriormente por otras
MALWARE
10 de mayo de 2009
compaas por el envo masivo de correos electrnicos. Soloway ha sido sentenciado a 46 meses de prisin, 3 aos de libertad condicional una vez que salga de prisin, 200 horas de servicio social y el pago de $704.000 dlares. El volumen de correo electrnico no deseado (Spam) enviado en todo el mundo se desplom a finales del ao 2008 despus que una empresa dedicada al hosting, de renombre en las comunidades de seguridad por vincularse la actividad Spam, fuese puesta fuera de lnea. El ejrcito americano est tomando medidas contra el uso de memorias USB tras la infeccin de redes de defensa con el gusano SillyFDC. Este malware descarga cdigo de Internet para lanzar ataques de denegacin de servicio o envo de correo no deseado (Spam). El Ministerio de Defensa espaol estima que el 95% del trfico de correo electrnico en sus servidores se trata de spam o correo basura que de alguna manera es filtrado para no llenar los buzones de correo de los usuarios. Se trata de aplicaciones del modelo I*Net o de ventana hacia el exterior que ejecutan de modo transparente a la navegacin una serie de procesos de proteccin y de anlisis del trfico. 6.4. Falso Antivirus. 7.5.1 Ao 2008. Nuevas amenazas se ciernen sobre los sistemas. Incluso por parte de herramientas que supuestamente nos vienen a proteger. Destaca el Antivirus XP 2008, muy molesto, pues una vez instalado se conduca de tal manera que no permita su desinstalacin mientras no se pagara cierta cantidad por su licencia. 7.5.2 Ao 2009. Un ejemplo reciente de un falso antivirus es el denominado Antivirus 2009 Antivirus 2010 o Antimalware 2010, que son una evolucin del conocido Antivirus XP 2008 y detectado por ESET NOD32 como Win32/Adware.Antivirus2009. En este caso, al abrir el sitio web de promocin del producto se despliega tambin una publicidad para adquirir viagra.
JosLuisMartnezLeyva
Pgina59
MALWARE
10 de mayo de 2009
6.5. Herramientas de conexin inversa. Utilizando herramientas para conexin remota cifrada se puede conseguir el acceso sin autorizacin a sistemas. Esto preocupa sobremanera a organizaciones empresariales y administraciones pues es posible mediante procedimientos de puerta trasera saltarse todas las polticas de seguridad perimetral. Ejemplos de estas herramientas las tenemos con Webex (la utilizan grandes proveedores en momentos crticos para acceso inmediato a los sistemas), LogMeIn (conexin remota del usuario a su propio equipo), Zeebede Server (tunelizacin IP mediante http para redireccionamiento a cualquier puerto). 6.6. Redes sociales. Fuente de negocio para multitud de empresas y lugar de reunin ciberntica para millones de personas, las redes sociales, como sistemas abiertos de intercambio de informacin, han alcanzado una popularidad notable (casi la mitad de los internautas las utilizan, y 7 de cada 10 son menores de 35 aos). Para qu las utilizan? Subir y compartir fotos un 70 por ciento. Envo de mensajes privados un 62 por ciento. Comentar fotos y eventos un 55 por ciento. Cotilleo casi un 50 por ciento.
Estn exentas de peligro? NO El principal problema es la prdida de privacidad; por ello las Autoridades de proteccin de datos de muchos pases, entre ellos la Agencia Espaola para la Proteccin de Datos, han adoptado medidas desde el ao 2008 alertando de los peligros potenciales (privacidad) en redes como FaceBook, MySpace, Tuenti o Hi5. Sealan puntos crticos en: - El mismo momento del registro a travs de los datos personales que se facilitan. - Actividades desarrolladas en la red. - El darse de baja en dichas Webs es un arduo camino de obstculos. Riesgos?
MALWARE
10 de mayo de 2009
- Una inadecuada configuracin del perfil puede dar lugar a una suplantacin de identidad. - La instalacin de cookies sin conocimiento del usuario permite almacenar informacin a veces sensible (personal y de navegacin). - La recopilacin de direcciones de correo electrnico en los perfiles permite la generacin de Spam a las mismas. - La mayora de estas pginas no permiten confiabilidad a la hora de verificar la edad de sus usuarios. - Ataques a la privacidad mediante la introduccin de nuevos gusanos y virus a partir del correo electrnico. - Prevencin? - Utilizar pseudnimo en vez de nombre real. - Sobre todos a los menores no facilitar datos de telfono ni direccin. Dos chicas de 14 aos han sido puestas a disposicin judicial por un delito contra la intimidad. Las jvenes usurparon la identidad en el programa de mensajera instantnea "Messenger" de una joven mayor de edad, para insultar y ofrecer favores sexuales. El acceso a la cuenta de correo fue posible mediante la pregunta "secreta" que debe responder para que le recuerden su clave. 6.7. Troyanos Download que infectan ficheros multimedia. Un ejemplo es el GetCode, bastante usual en las redes P2P donde existen archivos de msica y video (MP3, WMA, WMV o ASF), que aprovecha la vulnerabilidad que representa la, a su vez la facilidad, el reproductor de Microsoft (Windows Media Player), para la descarga de un ejecutable (el troyano) haciendo creer al usuario que se trata de un cdec necesario para reproducir el contenido del archivo infectado. 6.8. Gusanos que atacan a redes sociales. 6.4.1 Ao 2008. En 2008 el Koobface se propaga enviando mensajes a usuarios de FaceBook y MySpace con enlaces maliciosos que le permiten infectar los sistemas de las vctimas y robar sus datos personales. Tras ello, se reenva a los usuarios de la red de la vctima.
MALWARE
10 de mayo de 2009
Un problema que afecta a usuarios de Microsoft que no tienen actualizado el Sistema Operativo o no cuentan con un buen software antivirus. 6.4.1 Ao 2009. Una variante del mismo gusano aparece de nuevo y con ms virulencia que en el 2008. Se trata de un mensaje que invita a ver un inocente video pero que al hacer clic sobre l redirige la navegacin a lo que parece YouTube donde se indica la necesidad de descargar un plugin de Adobe Flash Player la perdicin! Si se lleva a cabo la descarga, damos entrada a un troyano, el Worm_KoobFace.Az que conectndose al sitio con las credenciales de la vctima (las almacenadas en las cookies), enva menajes a los componentes de su red. Un gusano que utilizando tcnicas de Phising, introduce un troyano que realiza labores de espa y control del equipo de la vctima. De esta manera se han hallado datos tcnicos del helicptero del presidente Obama en redes P2P. 6.9. Redes inalmbricas maliciosas. El ataque a dichas redes es sencillo desde hace aos, permitiendo a usuarios con pocos conocimientos tener acceso ilcito a las mismas para ocupar su ancho de banda y navegar gratis. Es un esquema en el que el atacante es el usuario final. Qu ocurre si el propio punto de acceso es el malo? Es una nueva tcnica que ha surgido recientemente y que permite a un atacante poner a disposicin de los incautos un acceso libre y legtimo. Una vez establecida la conexin el atacante dispone de varias alternativas para obtener informacin sensible de la vctima: - Configuracin del DHCP del usuario para redireccin el trfico a la mquina del atacante (credenciales, cookies, etctera). - Redireccionamiento a un portal de malicioso que con tcnicas de ingeniera social consigue que el usuario se descargue todo tipo de software malicioso.
MALWARE
10 de mayo de 2009
- Acceso al equipo del incauto mediante tcnicas de explotacin de vulnerabilidades tradicional. Qu hacer? No conectarse a punto inalmbricos en los que no se confe. Ni mantener conexin automtica a redes no favoritas. Vigilar que la lista de redes contenga solo redes confiables y si con identificador no genrico SSID. En China se ha localizado una red, la Chostnet que espiaba ordenadores de seguidores del Dalai Lama, acusndose al propio gobierno chino. Por otra parte, herramientas como Prev para Linux o Adeona para Windows permiten recoger informacin sobre el ordenador para enviarla a cierto buzn previamente configurado. La idea es que si llega el da en que nuestro porttil desaparece, la informacin recogida por estas herramientas, permita su rastreo IP o red WiFi, incluso la foto del ladrn. 6.10. El Freeware que sale caro. Ya se habl anteriormente de este tipo de software cuando se trata de un falso antivirus, pero hay ms: Uno de los casos ms recientes es el que utilizando como cebo la Semana Santa y mediante el correo electrnico, se remita un video que mientras visionbamos de forma gratuita enlazaba realmente y de forma transparente con un servidor que instala un troyano bancario, el Banker.LSL. De esta manera, los datos del incauto iban a parar a las mafias. Esto es posible, y como se dijo anteriormente, en los falsos antivirus, las mafias tambin pueden redirigirnos a pginas similares a YouTube, pero que realmente son nidos de malware. Otro video utilizado bajo este sistema es el que se colaba en las redes sociales, el Dancing Girl, que obligaba para su visionado un plugin que realmente era un gusano. Defensas? - Actualizaciones y parches del Sistema Operativo. - Antivirus bueno y actualizado.
MALWARE
10 de mayo de 2009
Firewall o cortafuegos. Realizar copias de seguridad. Instalar herramientas de recuperacin de archivos borrados. Crear puntos de restauracin del sistema. No acceder a pginas no confiables y si aun as lo hacemos no descargarnos nada de ellas. - Desconfiar de archivos anexos a correos electrnicos procedentes de fuentes no confiables. - Leer mucho sobre seguridad informtica. 6.11. Ingeniera social. Es un tipo de espionaje que condensa todo artilugio, treta y tcnica basada en el engao a las personas con el objeto de que revelen sus datos sensibles para robarles y/o obtener beneficio econmico. Las mafias ahorran esfuerzos pues ya no tienen que acceder a los sistemas, asunto cada vez ms complicado, son los propios usuarios quienes incautamente les dan todo hecho. Cmo lo consiguen? - Demanda directa, donde se le demanda a un individuo completar una serie de tareas de menor xito pero muy fcil. - De forma indirecta, cuando se persuade a la vctima hacindole creer lo que se le dice aprovechando medias verdades y gran cantidad de incoherencias que confunden al usuario incauto. - Una nueva estrategia es convencer al usuario para que se descargue determinado video sin que haga falta plugin alguno; solo se le solicita un cdigo de acceso. Aqu comienza la segunda parte: la ventana ofrece la posibilidad de generar un cdigo de acceso haciendo clic sobre un botn y un troyano entra en el sistema, el TrojanDropper.Agent. 6.12. Otros detalle recientes. 6.12.1 Obama y su Blackberry. Obama ha tenido que apagar su Blackberry 8700c, un dispositivo del que rara vez se separa. Durante la campaa era fcil sorprender al nuevo presidente de EE.UU contestando correos o con el telfono colgado del cinturn. De acuerdo con la informacin aportada por el New York Times, todas las comunicaciones del presidente deben estar recogidas de forma oficial y ser puestas a disposicin del pblico
MALWARE
10 de mayo de 2009
al cabo de unos aos. Los presidentes, por tanto, deben abandonar sus cuentas de correo personales. Adems, hay preocupacin sobre la seguridad que se puede garantizar a los correos utilizando cualquier dispositivo electrnico y miedo a que los mensajes puedan ser interceptados. Por lo general, el presidente permanece comunicado gracias a los colaboradores y ayudantes. 6.12.2 Espas, Spam y DDoS. Un virus informtico bloque durante el mes de enero de 2009 la red informtica interna de la flota inglesa, dejando inoperativos el correo electrnico y el acceso a Internet. Aunque los sistemas de armas y de navegacin no se han visto afectados, si ha supuesto un duro golpe para las dotaciones de los buques. Heartland Payment Systems, una empresa dedicada a tramitar las transacciones que pequeos negocios realizan con tarjetas de crdito, ha reconocido que la infeccin por virus de uno de sus ordenadores ha dejado en manos de piratas informticos los datos de millones de movimientos. El problema en los sistemas de seguridad de Heartland se produjo el ao pasado (2008), pero la causa ltima, la infeccin por malware de uno de sus sistemas informticos, no se conoci hasta el mes de enero de 2009. Y se ha hecho pblico coincidiendo con el momento de toma de posesin de Barack Obama. Heartland, que gestiona las transacciones con tarjeta de crdito de 250.000 negocios en todo el territorio de EE UU, dice desconocer qu cantidad de movimientos de su red han sido capturados por el malware que se instal en sus ordenadores, pero podran ser millones. El pequeo pas de Kyrgyzstan ha recibido una serie de ataques DDoS (Distributed Denial of Service) por parte de hackers rusos, similar al sufrido por Georgia el ao anterior. En un ataque DoS (Denial of Service) se coordinan cientos, miles o incluso millones de ordenadores para derribar un servidor vctima. La caracterstica distintiva que tiene un ataque DDOS es el hecho de que participan ordenadores de diferentes regiones del mundo, haciendo imposible cerrar la ruta de donde proviene, dejando como nica opcin desconectar el servidor de la red y esperar a que el ataque cese. En el caso del ataque a Kyrgyzstan, los expertos de seguridad han determinado que participaron entre 150 y 180 millones de ordenadores esclavos, denominados "Zombis".
JosLuisMartnezLeyva
Pgina65
MALWARE
10 de mayo de 2009
Descubren una red de malware de 1.9 millones de ordenadores. El servidor que controla estos ordenadores se encuentra en Ucrania y est gestionado por seis personas. Esta red est funcionando desde febrero de 2009. Los pases ms afectados son: Estados Unidos con el 45% de los ordenadores infectados, Reino Unido con el 6%, Canad y Alemania con el 4% y Francia con el 3%. El malware instalado en los ordenadores se controlaba de forma remota. Parte de estos ordenadores eran alquilados a mafias y la informacin que obtenan la ponan en venta al mejor postor. 6.12.3 ltimos malware. - Virus: CoreGuard2009 y AVAntispyware. - Gusanos: Boface.BJ, PckPatcher.C, IRCBot.CNE, EggDrop.AA, SillyBat.A, Waledac.AX, y Rimecub.B. - Troyano: EvilHot.A, Kobck.A y SMSolck.A. - Agujero-Trampa: MS09-017.
7. Cmo conseguir niveles ptimos de seguridad.

El activo ms importante que se posee es la informacin y, por lo tanto, deben existir tcnicas que la aseguren, ms all de la seguridad fsica que se establezca sobre los equipos en los cuales se almacena. Estas tcnicas las brinda la seguridad lgica que consiste en la aplicacin de barreras y procedimientos que resguardan el acceso a los datos y slo permiten acceder a ellos a las personas autorizadas para hacerlo. Existe un viejo dicho en la seguridad informtica que dicta: "lo que no est permitido debe estar prohibido" y sta debe ser la meta perseguida. En general, los medios que podemos utilizar para asegurar un sistema son los siguientes: 1. 2. Restringir el acceso (de personas de la organizacin y de las que no lo son) a los programas y archivos. Asegurar que los operadores puedan trabajar pero que no puedan modificar los programas ni los archivos que no correspondan (sin una supervisin minuciosa). Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el procedimiento elegido. Asegurar que la informacin transmitida sea la misma que reciba el destinatario al cual se ha enviado y que no le llegue a otro.
Pgina66
3. 4.
JosLuisMartnezLeyva
MALWARE
10 de mayo de 2009
5. 6.
7.
Asegurar que existan sistemas y pasos de emergencia alternativos de transmisin entre diferentes puntos. Organizar a cada uno de los empleados por jerarqua informtica, con claves distintas y permisos bien establecidos, en todos y cada uno de los sistemas o aplicaciones empleadas. Actualizar constantemente las contraseas de accesos a los sistemas de cmputo.
Veremos a continuacin una serie de aspectos, como el anlisis de riesgos, las polticas de seguridad, las amenazas no informticas, aspectos sobre el software y la red, adems de ciertos aspectos a tener en cuenta para no equivocarnos, que unidas, contextualizadas y condensadas respecto a las organizaciones a proteger, nos llevarn a los que se denominan los Sistemas de Gestin de la Seguridad Informtica o SGSI, materializados actualmente en profusa normativa y estandarizacin. 7.1. Anlisis de riesgos. Informacin que se obtiene en un anlisis de riesgo: Determinacin precisa de los recursos sensibles de la organizacin. Identificacin de las amenazas del sistema. Identificacin de las vulnerabilidades especficas del sistema. Identificacin de posibles prdidas. Identificacin de la probabilidad de ocurrencia de una prdida. Derivacin de contramedidas efectivas. Identificacin de herramientas de seguridad. Implementacin de un sistema de seguridad eficiente en costes y tiempo.
El esquema bsico seguido en un anlisis de riesgos es el siguiente:
JosLuisMartnezLeyva
Pgina67
MALWARE
10 de mayo de 2009
Y como anteriormente se mencion, si la pregunta es cierta, habra que establecer la medida necesaria. 7.2. Puesta en marcha de una poltica de seguridad. Generalmente se ocupa exclusivamente a asegurar los derechos de acceso a los datos y recursos con las herramientas de control y mecanismos de identificacin. Estos mecanismos permiten saber que los operadores tienen slo los permisos que se les dieron. La seguridad informtica debe ser estudiada para que no impida el trabajo de los operadores en lo que les es necesario y que puedan utilizar el sistema informtico con toda confianza. Por eso en lo referente a elaborar una poltica de seguridad, conviene: - Elaborar reglas y procedimientos para cada servicio de la organizacin. - Definir las acciones a emprender y elegir las personas a contactar en caso de detectar una posible intrusin - Sensibilizar a los operadores con los problemas ligados con la seguridad de los sistemas informticos. Los derechos de acceso de los operadores deben ser definidos por los responsables jerrquicos y no por los administradores informticos, los cuales tienen que conseguir que los recursos y derechos de acceso sean coherentes con la poltica de seguridad definida. Adems, como el administrador suele ser el nico en conocer perfectamente el sistema, tiene que derivar a la directiva cualquier problema e informacin relevante sobre la seguridad, y eventualmente aconsejar estrategias a poner en marcha, as como ser el punto de entrada de la comunicacin a los trabajadores sobre problemas y recomendaciones en trmino de seguridad. 7.3. Amenazas no informticas. Una vez que la programacin y el funcionamiento de un dispositivo de almacenamiento (o transmisin) de la informacin se consideran seguras, todava deben ser tenidos en cuenta las circunstancias "no informticas" que pueden afectar a los datos, las cuales son a menudo imprevisibles o inevitables, de modo que la nica proteccin posible es la redundancia (en el caso de los datos) y la descentralizacin (por ejemplo mediante estructura de redes, en el caso de las comunicaciones).
MALWARE
10 de mayo de 2009
Tcnicas de aseguramiento del sistema: Codificar la informacin: Criptologa, Criptografa y Criptociencia, contraseas difciles de averiguar a partir de datos personales del individuo. Vigilancia de red (forma remota de observar y/o tomar el control de las computadoras que administra) utilizando las herramientas oportunas, por ejemplo Network LookOut Administrator. Tecnologas protectoras: cortafuegos, sistema de deteccin de intrusos - anti-spyware, antivirus, llaves para proteccin de software, etc. Mantener los sistemas de informacin con las oportunas actualizaciones de seguridad.
7.4. Consideraciones sobre el software. Tener instalado en la mquina nicamente el software necesario reduce riesgos. As mismo tener controlado el software asegura la calidad de la procedencia del mismo (el software pirata o sin garantas aumenta los riesgos). En todo caso un inventario de software proporciona un mtodo correcto de asegurar la reinstalacin en caso de desastre. El software con mtodos de instalacin rpidos facilita tambin la reinstalacin en caso de contingencia. Existe software que es conocido por la cantidad de agujeros de seguridad que introduce. Se pueden buscar alternativas que proporcionen iguales funcionalidades pero permitiendo una seguridad extra. 7.5. Consideraciones sobre la red. Los puntos de entrada en la red son generalmente el correo, las pginas web y la entrada de ficheros desde discos, o de ordenadores ajenos, como porttiles. Mantener al mximo el nmero de recursos de red slo en modo lectura, impide que ordenadores infectados propaguen virus. En el mismo sentido se pueden reducir los permisos de los usuarios al mnimo. Se pueden centralizar los datos de forma que detectores de virus en modo batch puedan trabajar durante el tiempo inactivo de las mquinas. Controlar y monitorizar el acceso a Internet puede detectar, en fases de recuperacin, cmo se ha introducido el virus.
MALWARE
10 de mayo de 2009
7.6. Algunas afirmaciones falsas sobre seguridad informtica: - Mi sistema no es importante para un cracker. Esta afirmacin se basa en la idea de que no introducir contraseas seguras no entraa riesgos pues quin va a querer obtener informacin ma? Sin embargo, dado que los mtodos de contagio se realizan por medio de programas automticos, desde unas mquinas a otras, estos no distinguen. Por tanto abrir sistemas y dejarlos sin claves es facilitar la vida a los atacantes. - Estoy protegido pues no abro archivos que no conozco. Esto es falso, pues existen mltiples formas de contagio como vimos, adems los programas realizan acciones sin la supervisin del usuario poniendo en riesgo los sistemas. - Como tengo antivirus estoy protegido. En general estos programas no son capaces de detectar todas las posibles formas de contagio existentes, adems son programas vulnerables a desbordamientos de bfer20 que hacen que la seguridad del sistema operativo se vea ms afectada an. - Como dispongo de un firewall no me contagio. Esto nicamente proporciona una limitada capacidad de respuesta. Las formas de infectarse en una red son mltiples. Unas provienen directamente de accesos al sistema (de lo que protege un firewall) y otras de conexiones que se realizan (de las que no me protege). Emplear usuarios con altos privilegios para realizar conexiones puede entraar riesgos, adems los firewalls de aplicacin (los ms usados) no brindan proteccin suficiente contra el spoofing. - Tengo un servidor web cuyo sistema operativo es un unix actualizado a la fecha: Puede que este protegido contra ataques directamente hacia el ncleo, pero si alguna de las aplicaciones web (PHP, Perl, Cpanel, etc.) est desactualizada, un ataque sobre algn script de dicha aplicacin puede permitir que el atacante abra una Shell, mediante su troyano oportuno, y por ende ejecutar comandos en el Unix. 7.7. Nivel ptimo de seguridad y proteccin de la informacin: Las redes de trabajo de las distintas organizaciones, y en consecuencia, la informacin almacenada en ellas, se ven continuamente perturbada por amenazas de seguridad, ataques y fraudes informticos, y as, sabotajes y malware de todo tipo, e incluso imprevistos y catstrofes,
20
Error del software que se produce cuando se copian ms datos que los que caben en la parte de memoria asignada, producindose sobre escritura en otras zonas de memoria, con resultados imprevisibles y que un atacante puede aprovechar.
JosLuisMartnezLeyva
Pgina70
MALWARE
10 de mayo de 2009
hacen menoscabo importante sobre las posibilidades de continuidad del negocio cuando no se tienen previstas medidas que permitan la recuperacin o reparacin de la informacin afectada, es decir, un buen Sistema de Gestin de Seguridad de la Informacin o SGSI. Para conseguir un nivel ptimo de proteccin de la informacin en la empresa, no basta con instalar un firewall o la contratacin de empresas especializadas en seguridad de la informacin, es necesaria la integracin de los distintos factores respecto a las tecnologas de la informacin, la seguridad de las instalaciones, la formacin e informacin del personal, el know how y los procesos de negocio y administrativos. La integracin de todos estos factores se consigue a travs de un SGSI (Sistema de Gestin de Seguridad de la Informacin), que deber incluir un mtodo de evaluacin, medidas de proteccin, proceso de documentacin y de revisin. Las fases de implantacin de un completo SGSI son las siguientes: - Planificacin: etapa dedicada a la identificacin y evaluacin de los riesgos y seleccin de los objetivos de control, y que incluye: a. b. c. d. e. Anlisis del entorno de actividad. Dimensionado. Tipo de informacin que trata. Directivas corporativas. Requisitos legales.
Etapa que se configura como la de un anlisis de riesgos, mencionado anteriormente en el punto 7.1. - Implementar: etapa dedicada al desarrollo e implementacin de un plan efectivo a medio y largo plazo en evitacin de los riesgos para la seguridad de la informacin. Es una etapa en la que la formacin del personal es imprescindible. - Revisin: Seguimiento y revisin de los controles y medidas implantadas previamente. Aqu se trata de llevar a cabo auditoras tanto internas como externas que evalen la eficacia y la eficiencia del SGSI para identificar riesgos y vulnerabilidades del sistema. - Actuacin: implantar el SGSI pero no de manera esttica, ste ha de estar en constante evolucin, en la media que las revisiones de la etapa anterior hayan detectado problemas en el sistema han de llevarse a cabo medidas correctivas y preventivas adecuadas.
MALWARE
10 de mayo de 2009
Como vemos se asemeja mucho a lo que es el Ciclo de Vida del Software: anlisis, diseo, pruebas y mantenimiento. Existe profusa normativa respecto a la implantacin de SGSI en las organizaciones. Normativas nacionales e internaciones sobre proteccin de datos. ISO 27001 Tecnologas de la Informacin. Tcnicas de Seguridad. Sistemas de Gestin de Seguridad de la Informacin. Requisitos. ISO 27002 o Cdigo de Prctica de Sistemas de Gestin de Seguridad de la Informacin ISO 27004 de Mtricas y Medidas del Sistema de Gestin de Seguridad de la Informacin.
8. Conclusin y sntesis.
Que las tecnologas en la era computacional no sean compatibles, en muchos casos entre s, ha impedido de alguna manera la mayor propagacin del malware. Es un hecho rotundo y triste que esto solo es un pequeo obstculo para los hackers. La proliferacin del software malicioso, su cantidad, su diversidad, y sobre todo, el aprovechamiento econmico que de l puede realizar las mafias, lo ha convertido en una amenaza global que concierne no solo a las usuarios y organizaciones empresariales, tambin a los Estados. Como se ha dicho, cada vez hay ms conciencia sobre el problema, por lo que las penas y multas sobre los productores y propagadores de software malicioso son cada vez mayores, pero esto no los ha frenado, y como estadsticas se muestra ao a ao, aumenta y aumenta. Las labores de espa en la red de redes, Internet, utilizando las tcnicas de datamining, ofrecen ingentes cantidades de datos a las mafias en su provecho y en detrimento de los usuarios ms o menos incautos. Los troyanos tipo banker son un verdadero boom, pues sus creadores logran pingues beneficios; todo indica que seguirn teniendo xito en el futuro. Es un hecho notable tambin que los hackers son cada vez ms eficientes. Hoy en da consiguen un malware especfico sobre determinada vulnerabilidad en tiempo record, uno o dos das, cuando en el ao 2001 era casi de un mes.
MALWARE
10 de mayo de 2009
Por otra parte decir que la plataforma ms atacada es Windows sobre procesadores de 32 bits. El paso a los 64 bits no ha sido gran problema para los hackers, aunque es cierto que han debido superar el cdigo binario diferente para Intel y AMD. Pero tampoco se han librado MAC OS, Linux o BSD, y si no lo han sido ms ha sido porque no han cobrado tanta relevancia pblica como Windows. Pero sobre todo porque estas plataformas, a diferencia de Windows, no son utilizadas en redes sociales, impidiendo el desarrollo de la ingeniera social en stas, mtodo principal de propagacin del malware actual. Un malware multiplataforma est seguramente desarrollndose hoy, y el lmite solo est en la imaginacin del hacker: PDAs, Wi-Fi, SMS, MMS, etctera, en mltiples sistemas operativos. Las empresas dedicadas a la seguridad informtica emplean cada vez ms recursos e ingenio en busca de frenar esta lacra, y esto es bueno, pero son solo pequeos obstculos en el camino para los hackers. Es preciso darse cuenta que el intercambio de informacin en la red es responsabilidad nuestra, adems, sabiendo que nuestro dinero est guardado en el banco, el malware actual no tiene por objeto a los sistemas, no, su objetivo somos nosotros, los usuarios y su dinero, aprovechndose de la imposibilidad humana por lograr la perfeccin y mucho menos en sus obras de software. Por ello, sabiendo que no somos perfectos, y que nuestras obras tampoco, no debemos cejar en el empeo de mantener la seguridad de nuestros sistemas, aprendiendo que en general la seguridad es un camino que no tiene fin, adems un camino en el que no cabe pararse.
JosLuisMartnezLeyva
Pgina73
MALWARE
10 de mayo de 2009
Detalle sntesis: - Sistemas de informacin activos.
- Vulnerabilidades a explotar (software y hardware imperfectos) riesgos que se convierten en amenaza. - Ataques mediante software malicioso sobre los activos - Clasificacin del software malicioso. Segn se trate de software independiente o dependa de un activador externo. Segn se pueda autorreplicar o no. Segn acte sobre una red o sobre un sistema concreto. Varan las vulnerabilidades que explota, las amenazas que representa y las contramedidas contra su actividad. - Histricamente van desde bromas y demostraciones de sabidura de sus creadores y/o propagadores en el pasado, hasta los mafias organizadas de los ltimos aos, pasando por los simples saboteadores y ladronzuelos de poca monta. - Implantacin de SGSIs. impactos
FIN.
JosLuisMartnezLeyva
Pgina74

Trabajo Malware (UDC Mayo 2009)

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Trabajo Malware (UDC Mayo 2009)

Uploaded by

Copyright:

Available Formats

10demayo

2. Conceptos generales de seguridad informtica.

3. Programas maliciosos (Malware).

4. Clasificacin del software malicioso.

5. Detalles histricos del software malicioso.

6. Detalles sobre los casos ms recientes de software malicioso.

7. Cmo conseguir niveles ptimos de seguridad.

El esquema bsico seguido en un anlisis de riesgos es el siguiente:

Detalle sntesis: - Sistemas de informacin activos.

You might also like