5. seguridad lÓgica del sistema.pdf
TRANSCRIPT
-
CAPTULO 2 - SEGURIDAD LGICA DEL SISTEMA
2.1 PRINCIPIOS DE LA SEGURIDAD LGICA
El activo ms importante que se poseen las organizaciones es la informacin, y por lo tanto deben existir
tcnicas, ms all de la seguridad fsica, que la aseguren, estas tcnicas las brinda la seguridad lgica.
La seguridad lgica consiste en la aplicacin de barreras y procedimientos que resguarden el acceso a los
datos y slo se permita acceder a ellos a las personas autorizadas para hacerlo.
Algunas de las principales amenazas que tendrn que combatir los administradores de sistemas son el
acceso y modificaciones no autorizadas a datos y aplicaciones.
La seguridad lgica se basa, en gran medida, en la efectiva administracin de los permisos y el control de
acceso a los recursos informticos, basados en la identificacin, autenticacin y autorizacin de accesos.
ACTIVIDAD 1
A lo largo de este captulo vamos a comprobar la importancia de emplear contraseas fuertes y la
responsabilidad que tienen sobre el control de las mismas los desarrolladores de software y
administradores de sistemas.
Para ello se propone la lectura del artculo "Utilizando mapas como contraseas de acceso, una nueva idea
de seguridad informtica" (Ao 2010):
http://noticias.lainformacion.com/ciencia-y-tecnologia/tecnologia-general/utilizando-mapas-como-
contrasenas-de-acceso-una-nueva-idea-de-seguridad-informatica_Kt8uDQyuXZu27JJbyXmVr4/
Qu longitud de contrasea presenta este nuevo mtodo? Qu cdigo de caracteres utiliza?
Qu mecanismos y herramientas malware elude? Qu metodologa se podra emplear para obtener
la contrasea?
Qu precauciones deberamos de tomar a la hora de registrar nuestras contraseas? Y especialmente
en redes sociales?
2.2 CONTROL DE ACCESO LGICO
El control de acceso lgico es la principal lnea de defensa para la mayora de los sistemas, permitiendo
prevenir el ingreso de personas no autorizadas a la informacin de los mismos.
Para realizar la tarea de controlar el acceso se emplean 2 procesos normalmente: identificacin y
autenticacin. Se denomina identificacin al momento en que el usuario se da a conocer en el sistema; y
autenticacin a la verificacin que realiza el sistema sobre esta identificacin.
Desde el punto de vista de la eficiencia, es conveniente que los usuarios sean identificados y autenticados
solamente una vez, pudiendo acceder a partir de ah a todas las aplicaciones y datos a los que su perfil les
permita, tanto en sistemas locales como en sistemas a los que deba acceder en forma remota. Esto se
denomina single login o sincronizacin de passwords.
Una de las posibles tcnicas para implementar esta nica identificacin de usuarios sera la utilizacin de
un servidor de autenticaciones sobre el cual los usuarios se identifican, y que se encarga luego de
autenticar al usuario sobre los restantes equipos a los que ste pueda acceder. Este servidor de
autenticaciones no debe ser necesariamente un equipo independiente y puede tener sus funciones
distribuidas tanto geogrfica como lgicamente, de acuerdo con los requerimientos de carga de tareas. Es
del Active Directory sobre Windows Server.
Los sistemas de control de acceso protegidos con contrasea, suelen ser un punto crtico de la seguridad y
por ello suelen recibir distintos tipos de ataques, los ms comunes son:
-
Ataque de fuerza bruta: se intenta recuperar una clave probando todas las combinaciones posibles
hasta encontrar aquella que permite el acceso. Cuanto ms corta ms sencilla de obtener probando
combinaciones.
Ataque de diccionario: intentar averiguar una clave probando todas las palabras de un diccionario
o conjunto de palabras comunes. Este tipo de ataque suele ser ms eficiente que un ataque de
fuerza bruta, ya que muchos usuarios suelen utilizar una palabra existente en su lengua como
contrasea para que la clave sea fcil de recordar, lo cual no es una prctica recomendable.
Una forma sencilla de proteger un sistema contra los ataques de fuerza bruta o los ataques de diccionario
es establecer un nmero mximo de tentativas, de esta forma se bloquea el sistema automticamente
despus de un nmero de intentos infructuosos predeterminado. Un ejemplo de este tipo de sistema de
proteccin es el mecanismo empleado en las tarjetas telefnicas SIM que se bloquean automticamente
tras tres intentos fallidos al introducir el cdigo PIN.
2.2.1 Poltica de contraseas
Las contraseas son las claves que se utilizan para obtener acceso a informacin personal que se ha
almacenado en el equipo y aplicaciones, como en los entornos web (mail, banca online, redes sociales,
etc.). Para que una contrasea sea segura se recomienda:
Longitud mnima: cada carcter en una contrasea aumenta exponencialmente el grado de
proteccin que sta ofrece. Las contraseas a ser posible deben contener un mnimo de 8
caracteres, lo ideal es que tenga 14 caracteres o ms.
Combinacin de caracteres (letras minsculas y maysculas, nmeros y smbolos especiales):
cuanto ms diversos sean los tipos de caracteres de la contrasea ms difcil ser adivinarla, por el
mayor nmero de combinaciones posibles.
Para un ataque de fuerza bruta que intenta encontrar contraseas generando todas las combinaciones
posibles, si empleamos una contrasea de 5 caracteres en minscula para el idioma espaol que posee 27
caracteres diferentes, tendra que probar 275 = 14.348.907 combinaciones a probar.
En caso de emplear maysculas y minsculas el nmero de combinaciones se multiplicara siendo (27 x 2) 5
= 525 = 380.204.032 combinaciones a probar.
Algunos mtodos que suelen emplearse para crear contraseas resultan fciles de adivinar, a fin de evitar
contraseas poco seguras, se recomienda:
No incluir secuencias ni caracteres repetidos. Como "12345678", "222222", "abcdefg".
No utilizar el nombre de inicio de sesin.
No utilizar palabras de diccionario de ningn idioma.
Utilizar varias contraseas para distintos entornos.
Evitar la opcin de contrasea en blanco.
No revelar la contrasea a nadie y no escribirla en equipos que no controlas.
Cambiar las contraseas con regularidad.
-
PRCTICA 4: CONFIGURACIN DE CONTRASEAS SEGURAS
Todas las recomendaciones anteriormente citadas estn muy bien cuando se conocen y se llevan a cabo,
pero no sera mejor opcin evitar que los usuarios tengan contraseas inseguras o dbiles y que no se
cambien nunca? Veamos que opciones de configuracin sobre el control de contraseas posee el sistema
operativo Windows.
Las directivas de cuentas nos permiten configurar el comportamiento que van a tener stas ante una serie
de sucesos. La importancia de una correcta configuracin de estas directivas radica en que desde ellas
vamos a poder controlar de una forma ms eficiente la forma de acceder a nuestro ordenador.
En primer lugar accedemos a la ventana de Directivas de seguridad de cuentas, mediante la ejecucin del
comando gpedit.msc o desde el Panel de control /Herramientas administrativas /Directivas de seguridad
local.
Una vez en la ventana de Configuracin del Equipo, Configuracin de Windows, Configuracin de
seguridad local nos encontramos a la izquierda con varias directivas. Trataremos la Directivas de cuentas.
Como podemos ver, en este grupo de directivas tenemos dos subgrupos, Directiva de contraseas y
Directiva de bloqueo de cuentas. Vamos a ver qu podemos hacer en cada uno de ellos:
Directiva de contraseas:
Dentro de las directivas de contrasea nos encontramos con una serie de directivas como:
Almacenar contrasea usando cifrado reversible para todos los usuarios del dominio.
- Forzar el historial de contraseas: establece el nmero de contraseas a recordar, los usuarios no
pueden utilizar la misma contrasea cuando sta caduca. Se recomienda un valor mnimo de 1.
-
- Las contraseas deben cumplir los requerimientos de complejidad: se recomienda habilitar esta
opcin, la cual obliga para nuevas contraseas:
o 6 caracteres como mnimo.
o Contener caracteres de al menos tres de las cinco clases siguientes: Maysculas,
minsculas, nmeros, caracteres no alfanumricos (por ejemplo: !, $, # o %).
o No contener tres o ms caracteres del nombre de cuenta del usuario.
Longitud mnima de la contrasea.
Vigencia mxima de la contrasea: establece el nmero de das mximo que una contrasea va a
estar activa.
Vigencia mnima de la contrasea: establece el nmero de das mnimos que una contrasea va a
estar activa. Si es mayor que O, los usuarios no pueden cambiar repetidamente las contraseas
para eludir la configuracin de directiva Forzar el historial de contraseas con el fin de utilizar su
contrasea original.
Directiva de bloqueo de cuentas:
Duracin del bloqueo de cuentas: establece, en minutos, el tiempo que una cuenta debe
permanecer bloqueada.
Restablecer la cuenta de bloqueos despus de: establece, en minutos, el tiempo que ha de pasar
para restablecer la cuenta de bloqueos.
Umbral de bloqueos de la cuenta: establece el nmero de intentos fallidos para bloquear el acceso
a una cuenta.
Recomendaciones:
Se recomienda por ejemplo, configurar la poltica de contraseas para que la longitud mnima sea de 14
caracteres, tenga las caractersticas de complejidad requeridas y haya que modificarlas cada mes. En caso
de ms de 3 intentos fallidos bloquear la cuenta 15 minutos, para evitar ataques de fuerza bruta.
-
PRCTICA 5: PELIGROS DE DISTRIBUCIONES LIVE!
Son innumerables los sistemas operativos arrancables desde unidades extrables USB, CD o DVD en modo
Live sin necesidad de formatear e instalarlos en disco duro. Incluyen gran cantidad de aplicaciones de
recuperacin de datos y contraseas de usuario.
Desde las opciones de SETUP o configuracin de la BIOS, podemos hacer que arranque en primer lugar
desde cualquiera de las mencionadas unidades.
A modo de ejemplo mencionaremos algunas distribuciones arrancables en modo Live:
Ultimate Boot CD (UBCD): posee en un entorno simulado Windows aplicaciones como antivirus,
recuperacin de datos, aplicaciones de recuperacin y borrado de contraseas de la BIOS (cmos
pwd), borrado y restitucin de nuevas contraseas de usuarios de sistemas Windows instalados en
disco, incluso creacin de nuevas cuentas de usuario administrador.
Backtrack: distribucin especfica con un conjunto de herramientas de auditoras de seguridad,
entre otras algunas que permiten escalada de privilegios en sistemas Windows (ophcrack) y
GNU/Linux (John the ripper).
Como descifrar cualquier clave WPA/WPA2
http://www.youtube.com/watch?v=S303JUMhxqg
Ophcrack: distribucin especfica que contiene la aplicacin de mismo nombre con capacidad de
extraer contraseas de usuarios en sistemas Windows. Slax: distribucin basada en Slackware, muy
ligera y arrancable desde USB. Permite el montaje y acceso a los sistemas de ficheros instalados en
disco.
Recuperar contrasea de Windows
http://www.youtube.com/watch?v=Vt-k24XiQ4I
http://www.youtube.com/watch?v=Z_F-1Gnax1A
Wifiway y Wifislax: distribuciones orientadas a realizar auditoras wireless, como recuperacin de
contraseas.
En la mayora de las ocasiones desde estas distribuciones es posible acceder a las particiones y sistemas de
ficheros de forma transparente, es decir, sin restricciones del sistema operativo, por lo que puede
comprometer la seguridad de los datos y ficheros.
2.2.2 Control de acceso en BIOS y gestor de arranque
La BIOS es el nivel ms bajo de software que configura o manipula el hardware de un ordenador de manera
que cada vez que iniciamos el ordenador se encarga de reconocer todo el hardware que contiene el
ordenador y controlar el estado de los mismos.
En la BIOS podemos configurar cualquier parmetro referente al hardware, de qu dispositivo arrancar en
primer lugar o parmetros ms comprometidos como el voltaje que le suministra al ncleo del
microprocesador.
Por este motivo tendremos que proteger nuestra BIOS de manera que solo un administrador o un usuario
responsable puedan cambiar los valores de la configuracin.
Segn la versin y la marca de la BIOS podemos configurar la seguridad del mismo de disstintas formas.
Estableceremos una clasificacin sobre los niveles de seguridad que suele tener:
Seguridad del sistema (system): en cada arranque de la mquina nos pedir que introduzcamos
una contrasea que previamente se ha configurado en el BIOS. En caso de no introducirla o
introducirla incorrectamente, el sistema no arrancar.
-
Seguridad de configuracin de la BIOS (setup): en este apartado se suelen distinguir dos roles
aplicables: Usuario (slo lectura) y Administrador (lectura/modificaciones).
Por otro lado, cuando tenemos instalado varios sistemas operativos en disco duro, para seleccionar con qu
sistema arrancaremos se emplea un gestor de arranque.
2.3 HERRAMIENTAS PARA LA GESTIN DE USUARIOS
La definicin de cuentas de usuario y su asignacin a perfiles determinados, grupos o roles, as como la
asignacin de privilegios sobre los objetos del sistema es uno de los aspectos fundamentales de la
seguridad, y una de las tareas fundamentales del administrador de sistemas. Este proceso lleva
generalmente cuatro pasos:
Definicin de puestos: separacin de funciones posibles y el otorgamiento de los mnimos
permisos de acceso requeridos por cada puesto para la ejecucin de las tareas asignadas.
Determinacin de la sensibilidad del puesto: determinar si una funcin requiere permisos crticos
que le permitan alterar procesos, visualizar informacin confidencial, etc.
Eleccin de la persona para cada puesto: requiere considerar los requerimientos de experiencia y
conocimientos tcnicos necesarios para cada puesto.
Formacin inicial y continua de los usuarios: deben conocer las pautas organizacionales, su
responsabilidad en cuanto a la seguridad informtica y lo que se espera de l. Debe estar orientada
a incrementar la conciencia de la necesidad de proteger los recursos informticos.
La definicin de los permisos de acceso requiere determinar cul ser el nivel de seguridad necesario sobre
los datos, por lo que es imprescindible clasificar la informacin, determinando el riesgo que producira una
eventual exposicin de la misma a usuarios no autorizados. As los diversos niveles de la informacin
requerirn diferentes medidas y niveles de seguridad.
Para empezar la implementacin, es conveniente comenzar definiendo las medidas de seguridad sobre la
informacin ms sensible o las aplicaciones ms crticas, y avanzar de acuerdo a un orden de prioridad
descendiente, establecido alrededor de las aplicaciones. Una vez clasificados los datos, debern
establecerse las medidas de seguridad para cada uno de los niveles.
PRCTICA 6: CONTROL DE ACCESO A DATOS Y APLICACIONES EN WINDOWS
En la siguiente actividad vamos a configurar algunos aspectos de seguridad y asignacin de permisos a
usuarios locales, en sistemas Windows.
Para modificar la configuracin de seguridad local iremos a Panel de control /Herramientas
administrativas /Directiva de seguridad local.
Podremos modificar las Directiva de auditora, Asignacin de derechos de usuario u Opciones de
seguridad, en el rbol de la consola haz clic en Directivas locales, estas directivas se aplican a un equipo y
contienen tres subconjuntos:
Directiva de auditora: determina si los sucesos de seguridad se registran en el registro de
seguridad del equipo. El registro de seguridad forma parte del Visor de sucesos.
Asignacin de derechos de usuario: determina qu usuarios o grupos tienen derechos de inicio de
sesin o privilegios en el equipo, entre otros:
Ajustar cuotas de memoria para un proceso, permitir el inicio de sesin local, hacer copias de
seguridad y restaurar archivos y directorios, generar auditoras de seguridad, o tomar posesin
de archivos y otros objetos.
-
Opciones de seguridad: habilita o deshabilita la configuracin de seguridad del equipo, como la
firma digital de datos, nombres de las cuentas Administrador e Invitado, acceso a CD-ROM y
unidades de disco, instalacin de controladores y solicitudes de inicio de sesin.
2.4 SOFTWARE MALICIOSO
Con el nombre de software malicioso o malware agrupamos clsicamente a los virus, gusanos, troyanos y
en general todos los tipos de programas que han sido desarrollados para acceder a ordenadores sin
autorizacin, y producir efectos no deseados. Estos efectos se producen algunas veces sin que nos demos
cuenta en el acto.
En sus comienzos, la motivacin principal para los creadores de virus era la del reconocimiento pblico.
Cuanta ms relevancia tuviera el virus, ms reconocimiento obtena su creador. Por este motivo, las
acciones a realizar por el virus deban ser visibles por el usuario y suficientemente dainas como para tener
relevancia, por ejemplo, eliminar ficheros importantes, modificar los caracteres de escritura, formatear el
disco duro, etc.
Sin embargo, la evolucin de las tecnologas de la comunicacin y su penetracin en casi todos los aspectos
de la vida diaria ha sido vista por los ciberdelincuentes como un negocio muy lucrativo. Los creadores de
virus han pasado a tener una motivacin econmica, por lo que actualmente son grupos mucho ms
organizados que desarrollan los cdigos maliciosos con la intencin de que pasen lo ms desapercibidos
posible, y dispongan de ms tiempo para desarrollar sus actividades maliciosas.
Hay varias formas en las que el creador del programa malicioso puede obtener un beneficio econmico, las
ms comunes son:
Robar informacin sensible del ordenador infectado, como datos personales, contraseas,
credenciales de acceso a diferentes entidades, mail, banca online, etc.
Crear una red de ordenadores infectados, generalmente llamada red zombi o botnet, para que
el atacante pueda manipularlos todos simultneamente y vender estos servicios a entidades
que puedan realizar acciones poco legtimas como el envo de spam, de mensajes de phishing,
acceder a cuentas bancarias, realizar ataques de denegacin de servicio, etc.
Vender falsas soluciones de seguridad que no realizan las acciones que afirman hacer, por
ejemplo, falsos antivirus que muestran mensajes con publicidad informando de que el
ordenador est infectado cuando en realidad no es as, la infeccin que tiene el usuario es el
falso antivirus.
Cifrar el contenido de los ficheros del ordenador y solicitar un rescate econmico al usuario
del equipo para recuperar la informacin, como hacen los crptovirus.
-
ACTIVIDAD
Descubre alguno de los peligros de la red, como son las redes botnet leyendo y analizando la siguiente
noticia:
http://prensa.pandasecurity.com/2010/07/panda-security-y-defence-intelligence-ayudan-al-fbi-a-arrestar-
a-cibercriminales-%E2%80%93-hacker-arrestado-en-eslovenia/
Cul era la finalidad del ataque descrito?
Cules son los peligros derivados del uso de Internet, como las denominadas redes zombi? Qu tipo
de precauciones y revisiones realizaras en tu equipo para evitar formar parte de estas redes?
Crees que Internet es una red segura? Por qu?
2.5 CLASIFICACIN DEL MALWARE
Los distintos cdigos maliciosos que existen pueden clasificarse en funcin de diferentes criterios, los ms
comunes son:
Virus: de su analoga con los virus reales ya que infectan otros archivos, es decir, solo pueden
existir en un equipo dentro de otro fichero, generalmente son ejecutables: .exe, .src, o en versiones
antiguas .com, .bat. Tambin pueden infectar otros archivos, por ejemplo un virus de macro
infectar programas que utilicen macros, como los productos Office. Los virus infectan a un sistema
cuando se ejecuta el fichero infectado.
Gusano: caracterstica principal es realizar el mximo nmero de copias posible de s mismos para
facilitar su propagacin. Se suelen propagar por los siguientes mtodos: correo electrnico,
archivos falsos descargados de redes de comparticin de ficheros (P2P), mensajera instantnea,
etc.
Troyano: cdigo malicioso con capacidad de crear una puerta trasera o backdoor, que permita la
administracin remota a un usuario no autorizado. Pueden llegar al sistema de diferentes formas,
las ms comunes son: descargado por otro programa malicioso, al visitar una pgina web maliciosa,
dentro de otro programa que simula ser inofensivo, etc.
Debido a la gran cantidad y diversidad de cdigos maliciosos que existen, que muchos de ellos realizan
varias acciones y se pueden agrupar en varios apartados a la vez, existen varias clasificaciones genricas
que engloban varios tipos de cdigos maliciosos, son las siguientes:
Ladrones de informacin (infostealers). Agrupa todos los tipos de cdigos maliciosos que roban
informacin del equipo infectado, son los capturadores de pulsaciones de teclado (keyloggers),
espas de hbitos de uso e informacin de usuario (spyware), y ms especficos, los ladrones de
contraseas (PWstealer).
Cdigo delictivo (crmeware). Hace referencia a todos los programas que realizan una accin
delictiva en el equipo, bsicamente con fines lucrativos. Engloba a los ladrones de informacin de
contraseas bancarias (phishing) que mediante mensajes de correo electrnico no deseado o spam
con clickers redireccionan al usuario a falsas pginas bancarias. Dentro de este mbito
encontramos otro tipo de estafas electrnicas (scam) como la venta de falsas herramientas de
seguridad (rogueware).
Greyware (o grayware). Engloba todas las aplicaciones que realizan alguna accin que no es, al
menos de forma directa, daina, tan solo molesta o no deseable. Agrupa software de visualizacin
de publicidad no deseada (adware), espas (spyware) que solo roban informacin de costumbres
del usuario para realizar campaas publicitarias (pginas por las que navegan, tiempo que navegan
por Internet...), bromas (joke) y bulos (hoax).
-
2.5.1 Mtodos de infeccin
Pero Cmo llega al ordenador el malware y cmo prevenirlos? Existen gran variedad de formas por las que
todo tipo de malware puede llegar a un ordenador; en la mayora de los casos prevenir la infeccin resulta
relativamente fcil conocindolas:
Explotando una vulnerabilidad: cualquier sistema operativo o programa de un sistema puede
tener una vulnerabilidad que puede ser aprovechada para tomar el control, ejecutar comandos no
deseados o introducir programas maliciosos en el ordenador.
Ingeniera social: apoyado en tcnicas de abuso de confianza para apremiar al usuario a que realice
determinada accin, que en realidad es fraudulenta o busca un beneficio econmico.
Por un archivo malicioso: esta es la forma que tienen gran cantidad de malware de llegar al equipo:
archivos adjuntos a travs de correo no deseado o spam, ejecucin de aplicaciones web, archivos
de descargas P2P, generadores de claves y cracks de software pirata, etc.
Dispositivos extrables: muchos gusanos suelen dejar copias de s mismos en dispositivos extrables
para que, mediante la ejecucin automtica que se realiza en la mayora de los sistemas cuando el
dispositivo se conecta a un ordenador, pueda ejecutarse e infectar el nuevo equipo, y a su vez
nuevos dispositivos que se conecten.
Cookies maliciosas: las cookies son pequeos ficheros de texto que se crean en carpetas
temporales del navegador al visitar pginas web; almacenan diversa informacin que, por lo
general, facilitan la navegacin del usuario. Las denominadas cookies maliciosas monitorizan y
registran las actividades del usuario en Internet con fines maliciosos, por ejemplo capturar los
datos de usuario y contrasea de acceso a determinadas pginas web o vender los hbitos de
navegacin a empresas de publicidad.
PRCTICA 7: KEYLOGGER
En la prctica que realizaremos a continuacin instalaremos un software de recuperacin de pulsaciones de
teclado denominado Revealer Keylogger que, se ejecuta al inicio y se encuentra oculto, pudiendo enviar
remotamente por FTP o mail, el archivo que registra, en el cul se encontrarn tras un periodo de tiempo
credenciales de usuario por ejemplo de sitios web como correo, banca electrnica, o redes sociales.
http://www.youtube.com/watch?v=mFVz35haxhE
En el equipo local que lo tenemos instalado si pulsamos Ctrl + Alt + F9 podemos ver el estado de registro,
observando en qu momentos ha entrado en determinadas pginas web y qu ha tecleado.
Recomendacin
La manera de prevenir estos
ataques es realizar escaneos
peridicos antimalware con
una o varias herramientas
fiables y actualizadas,
controlar los accesos fsicos y
limitar los privilegios de las
cuentas de usuario, para
evitar instalaciones no
deseadas.
-
2.6 TCNICAS DE RECUPERACIN Y DESINFECCIN DE DATOS INFECTADOS
Aunque, como se ha visto, existen gran cantidad de cdigos maliciosos, es muy fcil prevenir el quedarse
infectado por la mayora de ellos y as poder utilizar el ordenador de forma segura, basta con seguir las
recomendaciones de seguridad:
Mantente informado sobre las novedades y alertas de seguridad.
Accede a servicios de Internet que ofrezcan seguridad (acceso de credenciales en web HTTPS) y
slo en ordenadores totalmente de confianza y seguros. En caso de duda o de utilizacin en un
equipo compartido o pblico, mejor evitar accesos a servicios privados y confidenciales como mail
o banca on-line
Mantn actualizado tu equipo, tanto el sistema operativo como cualquier aplicacin que tengas
instalada, sobre todo las herramientas antimalware ya que su base de datos de malware se
actualiza en funcin del nuevo malware que se conoce diariamente.
Haz copias de seguridad con cierta frecuencia, gurdalas en lugar y soporte seguro, para evitar la
prdida de datos importantes.
Utiliza software legal que suele ofrecer mayor garanta y soporte.
Utiliza contraseas fuertes en todos los servicios, para dificultar la suplantacin de tu usuario (evita
nombres, fechas, datos conocidos o deducibles, etc.).
Crea diferentes usuarios en tu sistema, cada uno de ellos con los permisos mnimos necesarios para
poder realizar las acciones permitidas. Utilizar la mayor parte del tiempo usuarios limitados que no
puedan modificar la configuracin del sistema operativo ni instalar aplicaciones.
Utiliza herramientas de seguridad que te ayudan a proteger y reparar tu equipo frente a las
amenazas de la red. Actualizar la base de datos de malware de nuestra herramienta antes de
realizar cualquier anlisis, ya que el malware muta y se transforma constantemente.
Analiza el sistema de ficheros con varias herramientas, ya que el hecho de que una herramienta no
encuentre malware no significa que no nos encontremos infectados. Es bueno el contraste entre
herramientas antimalware.
Realiza peridicamente escaneo de puertos, test de velocidad y de las conexiones de red para
analizar si las aplicaciones que las emplean son autorizadas. Estos aspectos son tratados en
materias relativas a redes.
No te fes de todas las herramientas antimalware que puedes descargarte a travs de Internet de
forma gratuita o las que te alertan que tu sistema est infectado, ya que algunas de ellas pueden
contener cdigo malicioso, publicidad engaosa, no ofrecer la proteccin prometida e incluso dar
como resultado falsos positivos (FakeAV). Es el denominado rogueware.
2.6.1 Clasificacin del software antimalware
Antivirus: programa informtico especficamente diseado para detectar, bloquear y eliminar cdigos
maliciosos. Es una herramienta clsica que pretende ser un escudo de defensa en tiempo real para evitar
ejecuciones de archivos o accesos a web maliciosas. Existen versiones de pago y gratuitas, los fabricantes
suelen tener distintas versiones para que se puedan probar sus productos de forma gratuita, y en ocasiones
para poder desinfectar malware encontrado ser necesario comprar sus licencias.
Algunas de las variantes actuales que podemos encontrar son:
Antivirus de escritorio: instalado como una aplicacin, permite el control antivirus en tiempo real o
del sistema de archivos.
Antivirus en lnea: cada vez se estn desarrollando ms aplicaciones web que permiten, mediante
la instalacin de plugins en el navegador, analizar nuestro sistema de archivos completo.
-
Anlisis de ficheros en lnea: servicio gratuito para anlisis de ficheros sospechosos mediante el
uso de mltiples motores antivirus, como complemento a tu herramienta antivirus. De esta manera
podrs comprobar si algn fichero sospechoso contiene o no algn tipo de cdigo malicioso.
Antivirus portable: no requieren instalacin en nuestro sistema y consumen una pequea cantidad
de recursos.
Antivirus vive: arrancable y ejecutable desde una unidad extrabie USB, CD o DVD. Permite analizar
nuestro disco duro en caso de no poder arrancar nuestro sistema operativo tras haber quedado
inutilizable por algn efecto de malware o no querer que arranque el sistema operativo por estar
ya infectado y no poder desinfectarlo desde el mismo.
Entre otras herramientas especficas destacamos:
Antispyware: el spyware, o programas espa, son aplicaciones que se dedican a recopilar
informacin del sistema en el que se encuentran instaladas para luego enviarla a travs de Internet,
generalmente a alguna empresa de publicidad. Existen herramientas de escritorio y en lnea, que
analizan nuestras conexiones de red y aplicaciones que las emplean, en busca de conexiones no
autorizadas.
Herramientas de bloqueo web: nos informan de la peligrosidad de los sitios web que visitamos, en
algunos casos, nos informan de forma detallada, qu enlaces de esas pginas se consideran
peligrosos y cul es el motivo. Existen varios tipos de analizadores en funcin de cmo se accede al
servicio: los que realizan un anlisis en lnea, los que se descargan como una extensin/plugin de la
barra del navegador y los que se instalan como una herramienta de escritorio.
PRCTICA 10: ANLISIS ANTIMALWARE LIVE!
A modo de ejemplo de herramienta especfica que podemos
emplear para rescatar archivos y analizar el malware de un sistema,
presentaremos AVG Rescue CD. Es un conjunto independiente de
herramientas que se puede iniciar desde un CD o un disco flash
USB. Puede utilizarse para recuperar equipos que no permitan el
reinicio o que estn infectados y no puedan funcionar con
normalidad. Tanto el CD como la unidad flash USB.
Una vez finalizado el procedimiento de arranque, se abrir una
sencilla interfaz de usuario, como la que se muestra a continuacin.
PRCTICA 8: ANTIMALWARE
Una de las herramientas ms utilizadas por su grado de actualizacin de base de datos de malware y su
eficacia es el software Malwarebytes para Windows. Su descarga e instalacin es sencilla. Podremos
obtener una versin gratuita en http://www.malwarebytes.org/.
En primer lugar realizaremos una actualizacin de la aplicacin, mediante su pestaa Actualizar. A
continuacin podemos realizar un anlisis completo del sistema desde su pestaa Escner.
-
Tras realizar el escner podremos analizar cada una de las entradas, y eliminar las que deseemos.
Esta herramienta es muy til frente a rootkits que hayan modificado el registro de Windows y no permita
su edicin, o la ejecucin de comandos mediante la consola.
De un anlisis concreto podemos ver cmo ha sido capaz de detectar: cdigo malware (malware.trace),
puerta trasera (backdoor), troyanos (trojan), etc.
Se recomienda realizar un anlisis antimalware arrancando el sistema operativo en modo prueba de fallos
con opciones de red, para poder actualizar la aplicacin antimalware. De este modo no se iniciarn los
procesos maliciosos que imposibiliten una limpieza eficaz.
2.6.2 La mejor herramienta antimalware
Conocer qu herramienta se ajusta mejor a mis necesidades en cuanto a consumo de recursos, opciones de
escaneo, y cantidad de malware encontrado en test de prueba, no es fcil.
Muchas de las empresas desarrolladoras de software antimalware, muestran estudios en sus propias web
demostrando que son mejor que la competencia, pero estos estudios pierden validez al ser conducidos por
la propia empresa.
Tambin tenemos que tener en cuenta que la tasa de deteccin puede variar de mes a mes, debido al gran
nmero de malware que se crea, y aunque la tasa de variaciones suele ser pequea lo mejor es comparar
un estudio con otro un poco ms antiguo (meses, no aos). Hay que recordar que ningn antivirus es
perfecto (no existe el 100% de deteccin), y adems, puede que un antivirus detecte un virus que otro
antivirus no detectara y viceversa.
Los estudios con ms validez son los que son hechos por empresas o laboratorios independientes, entre las
empresas ms importantes y ms precisas que realizan los estudios tenemos:
AV-Test.org (http://www.av-test.org).
En ocasiones las herramientas antimalware no suponen una solucin a una infeccin, ya que detectan
posibles amenazas pero no corrigen el problema. En estos casos es ms efectivo un control a fondo de los
procesos de arranque, los que se encuentran en ejecucin y otros archivos del sistema que hagan uso por
ejemplo de las conexiones de red establecidas.
-
2.7 GESTIN REMOTA DE INCIDENCIAS
Muy utilizados en las grandes compaas, los servicios de acceso remoto son programas que siempre han
permitido resolver incidencias en los equipos de forma remota y tomar el completo control del sistema por
parte del administrador. Ahora, incorporan nuevas funcionalidades y potencian las herramientas de
comunicacin y transmisin de ficheros, y funciones como copiar y pegar remotamente.
Los servicios de acceso remoto comienzan a ser reconocidos por su potencial para la continuidad de
cualquier negocio, ya que utilizan tecnologa de captura de pantalla para brindar la posibilidad de gestionar
otros ordenadores de forma remota mediante cualquier conexin a internet o estructura de red.
VNC es una aplicacin muy empleada para realizar gestin remota, basada en un modelo cliente-servidor.
Existen versiones para distintos sistemas operativos. En el siguiente ejemplo conectaremos dos mquinas
en una red local, pero podra funcionar igual a travs de internet (debernos abrir el puerto pertinente en el
modem-router para la mquina servidor).
Nos centraremos en la aplicacin en su versin de Windows, en primer lugar debemos configurar el
servidor, la cual vamos a utilizar remotamente: la contrasea, as como el puerto que utilizaremos. Es
recomendable emplear una contrasea que incluya maysculas, nmeros y algn que otro smbolo. Otra
medida de seguridad es no emplear el puerto por defecto 5900, usando cualquier otro disponible.