ANALISIS DE RIESGOS DE SEGURIDAD LOGICA EN EL CENTRO DE COMPUTO DE LA FACULTAD DE ESTUDIOS SUPERIORES CUAUTITLAN Autor: Gonzalez Hernandez Rocio Asesor: Guardado Carlos CUAUTITLAN IZCALLI, ESTADO DE MEXICO, NOVIEMBRE DE 2010. utlvFRSl0A0 tACl0tAl AuT0t0HA 0F HFXlC0 FACulTA0 0F FSTu0l0S SuPFRl0RFS CuAuTlTlAt 2NDCE 3 ANTECEDENTESAmedidaquehaemergidodesusaosdeinfancia,lacomputadorahaido asumiendo responsabilidades de trabajo cada vez mayores hasta convertirse, hoy en da, en el caballo de batalla de nuestros negocios Hoy en da la informacin es considerada el activo ms importante para todas las empresasyaquedeella dependeengran medidalaconstitucinde lasmismas organizaciones y la pauta para poder tener un mejor manejo de la misma Las tecnologas de la informacin han tenido un gran avance en los ltimos aos generandoasoportunidadesperotambingrandesriesgosalosactivosde informacin, ya sea corporativa o hasta en el mismo hogar o negocio; uno de los bienes ms valiosos y clave para la continuidad de varias oportunidades proyectos negocios La seguridadinformtica eselreadela informtica queseenfocaenla proteccindelainfraestructuracomputacionalytodolorelacionadoconesta incluyendo la informacin contenida La tecnologa de la informacin nos est introduciendo rpidamente en una nueva era, posterior a la industria Porlaexistenciadepersonasajenasalainformacin,tambinconocidascomo piratas informticos o hackers, que buscan tener acceso a la red empresarial para modificar, sustraer o borrar datos Talespersonajespueden,incluso,formarpartedelpersonaladministrativoode sistemas, de cualquier compaa; de acuerdo con expertos en el rea, ms de 7 porcientodelasViolacioneseintrusionesalosrecursosinformticosserealiza 4porelpersonalinterno,debidoaquesteconocelosprocesos,metodologasy tiene acceso a la informacin sensible de su empresa, es decir, a todos aquellos datos cuya prdida puede afectar el buen funcionamiento de la organizacin Estasituacinsepresentagraciasalosesquemasineficientesdeseguridady porquenoexisteconocimientorelacionadoconlaplaneacindeunesquemade seguridadeficientequeprotejalosrecursosinformticosdelasactuales amenazas 3 Definicin del problema Cules son los riesgos a los cuales se encuentra expuesto el centro de computo como consecuencia de la falta de seguridad lgica en sus equipos? Variable dependiente: nstalaciones del centro de cmputo Variableindependiente:Amenazasdeseguridadalascualesestexpuestoel centro de computo 6 Justificacin Debido al auge de la computacin en los ltimos aos, y a la tendencia frecuente de automatizar los sistemas, la aparicin de las llamadas "amenazas informticas ha dado cuna al nacimiento de un nuevo concepto, la seguridad lgica, encargada deprotegernuestrainformacindeagentesexternos,siendolosprincipaleslos crackers y los virus informticos, encargados de destruir informacin importante La seguridad dentro del centro de cmputo no debe mantenerse en solo proteger lascomputadoras,sinolainformacincontenidadentrodeellas,porlotanto entenderemosqueesnecesariotenerencuantoambosaspectosparadeesta forma evitar las vulnerabilidades de este en cuestin de los usuarios 7 Hiptesis Hi La falta de seguridad tantolgica afecta el desempeo de las actividades dentro del centro de cmputo DE.. Ho La falta de seguridad tantolgica NO afecta el desempeo de las actividades dentro del centro de cmputo DE .. 8OBJETVOS GeneralAnalizarlasdiferentesamenazaslgicasalascualesseencuentra expuestoelcentrodecmputodelaFacultaddeEstudiosSuperiores Cuautitln EspecificoAnalizar los posiblesriesgosa loscualesseencuentraexpuestoelcentro de cmputo Detectarlasmedidasdelascualesseencuentracarenteelcentrode cmputo dentificar puntos clave de vulnerabilidad en los equipos de computo 4Analizar cual es el mayor riesgo al cual se encuentra expuesto el centro de computo 95. 0 Marco terico. 5.0.1Seguridad informticaLa seguridadinformtica eselreadela informtica queseenfocaenla proteccindelainfraestructuracomputacionalytodolorelacionadoconesta (incluyendo la informacin) Para ello existen una serie de estndares, protocolos, mtodos,reglas,herramientasyleyesconcebidasparaminimizarlosposibles riesgos a la infraestructura o a la informacin 5.0.2Objetivos de Ia seguridad informtica Laseguridadinformticaestconcebidaparaprotegerlosactivosinformticos, entre los que se encuentran: 5.0.3La informacin Se ha convertido en uno de los elementos ms importantes y apestosos dentro de unaorganizacinLaseguridadinformticadebeseradministradasegnlos criteriosestablecidosporlosadministradoresysupervisores,evitandoque usuarios externos y no autorizando puedan acceder a ella sin autorizacin De lo contrariolaorganizacincorreelriesgodequelainformacinseautilizada maliciosamente para obtener ventajas de ella o que sea manipulada, ocasionando lecturas erradas o incompletas de la mismaOtra funcin de la seguridad informtica en esta rea es la de asegurar el acceso alainformacinenelmomentooportuno,incluyendorespaldosdelamismaen casodequeestasufradaosoprdidaproductodeaccidentes,atentadoso desastres 5.0.4La infraestructura computacionaI Unapartefundamentalparaelalmacenamientoygestindelainformacin,asi como para el funcionamiento mismo de la organizacin La funcin de la seguridad 10informticaenestareaesvelarquelosequiposfuncionenadecuadamentey proveerencasodefallaplanesderobos, incendios,boicot,desastresnaturales, fallasenelsuministroelctricoycualquierotrofactorqueatentecontrala infraestructura informtica 5.0.5Los usuarios Son las personas que utilizan la estructura tecnolgica, zona de comunicaciones y quegestionanlainformacinLaseguridadinformticadebeestablecernormas que minimicen los riesgos a la informacin o infraestructura informtica Estas normas incluyen horarios de funcionamiento, restricciones a ciertos lugares, autorizaciones,denegaciones,perfilesdeusuario,planesdeemergencia, protocolos y todo lo necesario que permita un buen nivel de seguridad informtica minimizando el impacto en el desempeo de los funcionarios y de la organizacin engeneralycomoprincipalcontribuyentealusodeprogramasrealizadospor programadores 5.0.6PIan de contingencia y seguridad de Ia informacin. Laseguridaddelainformacintienecomometaprotegerlosrecursosdetoda organizacin y salvaguardar la misma de perdidas, as como asegurar la viabilidad de las operaciones Los recursos computacionales que se deben proteger son los llamados elementos de hardware y la informacin computarizada Pardware o equlpo compuLaclonal OascompuLadorasarandes(malnframes)delos cenLro de daLos OompuLadoras personales Oomunlcaclones v redes Olscosdurosfl[osdlscosflexlblesvoLrosmedlos de almacenamlenLo 11 Esquema de seguridad de la informacin segn el autor Luis ngel Rodrguez Para que un programa de seguridad de informacin este completo requiere de varios aspectos: a)Clasificacin de la informacin: Clasificar la informacin de acuerdo a su importancia para la empresa para saber quetantaseguridadsenecesitadecadatipoparacadatipodeinformacin, cuntotiemponecesitaserretenida,aquienseledaracceso,siserequieren duplicados de la informacin o no, etc b)Polticas y procedimientos:Mediantelaclasificacinbienestablecidadelospuestos,procedimientosde contratacin,abandonoytransferenciabiendiseados,darentrenamientoal personaldenuevoingresoacercadelasmedidasdeseguridadymantener actualizado a todo el personal c)Seguridad fsica: Controles de acceso al centro de computo por medio de tarjetas de identificacin y suministro de energa elctrica, condiciones de medio ambiente como temperatura como temperatura, humedad, equipo contra incendios, seguridad de las medio de almacenamiento de informaci nformacln compuLarlzada O9roaramas de sofLware v documenLacln OaLosalmacenadosoqueesLenslendoprocesados en cualquler Llpo de compuLadora OaLosLransmlLldosporllneasdecomunlcaclnque vean desde las compuLadoras v hacla las mlsmas OaLos en medlos LransporLables como dlscos flexlbles o clnLas 12d)Seguridad de las comunicaciones: Tantodevozcomodedatos,videoetc,porcualquiermedioAmenazasalas comunicacionessonlaintercepcin,daoenlosmediosfsicos,daoenla infraestructuraetcSepuedentomardiversasmedidasdeseguridadcomo encriptacin, enrutamiento diverso, call-back mdems, etc e)Seguridad lgica: Se refiere al acceso a los sistemas de informacin ncluye dispositivos y acciones comoasignacinycambioperidicodepasswords,encriptacindearchivos, restricciones de tiempo para entrar a los sistemas, log-off automtico, deteccin de intrusos 5.0.7Amenazas y vuInerabiIidades PorvulnerabilidadentendemoslaexposicinlatenteaunriesgoEnelreade informtica, existen varios riesgos tales como: ataque de virus, cdigos maliciosos, gusanos,caballosdetroyayhackers;noobstante,conlaadopcindenternet comoinstrumentodecomunicacinycolaboracin, losriesgoshanevolucionado y,ahora,lasempresasdebenenfrentarataquesdenegacindeservicioy amenazascombinadas;esdecir,laintegracindeherramientasautomticasde "hackeo",accesosnoautorizadosalossistemasycapacidaddeidentificary explotar las vulnerabilidades de los sistemas operativos o aplicaciones para daar los recursos informticos Especficamente, en los ataques de negacin de servicio, el equipo de cmputo ya no es un blanco, es el medio a travs del cual es posible afectar todo el entorno de red; es decir, anular los servicios de la red, saturar el ancho de banda o alterar el Web Site de la compaa Con ello, es evidente que los riesgos estn en la red, no en la PC Esporlaexistenciadeunnmeroimportantedeamenazasyriesgos,quela infraestructuraderedyrecursosinformticosdeunaorganizacindebenestar 13protegidosbajounesquemadeseguridadquereduzcalosnivelesde vulnerabilidad y permita una eficiente administracin del riesgo Paraello,resultaimportanteestablecerpolticasdeseguridad,lascualesvan desdeelmonitoreodelainfraestructuradered,losenlacesde telecomunicaciones, la realizacin del respaldo de datos y hasta el reconocimiento delaspropiasnecesidadesdeseguridad,paraestablecerlosnivelesde proteccin de los recursos Las polticas debern basarse en los siguientes pasos: Odentificar y seleccionar lo que se debe proteger (informacin sensible) OEstablecer niveles de prioridad e importancia sobre esta informacin OConocer las consecuencias que traera a la compaa, en lo que se refiere a costos y productividad, la prdida de datos sensibles Odentificar las amenazas, as como los niveles de vulnerabilidad de la red ORealizarunanlisisdecostosenlaprevencinyrecuperacindela informacin, en caso de sufrir un ataque y perderla Omplementarrespuestaaincidentesyrecuperacinparadisminuirel impacto Este tipo de polticas permitir desplegar una arquitectura de seguridad basada en solucionestecnolgicas,ascomoeldesarrollodeunplandeaccinparael manejodeincidentesyrecuperacinparadisminuirelimpacto,yaque previamente habremos identificado y definido los sistemas y datos a proteger Esimportantetomarenconsideracin,quelasamenazasnodisminuirnylas vulnerabilidadesnodesaparecernensutotalidad,porloquelosnivelesde inversinenelreadeseguridadencualquierempresa,debern iracordesala importancia de la informacin en riesgo As mismo, cada dispositivo que conforma la red empresarial necesita un nivel de seguridadapropiadoylaadministracindelriesgoimplicaunaproteccin 14multidimensional(firewalls,autenticacin,\antivirus,controles,polticas, procedimientos,anlisisdevulnerabilidad,entreotros),ynonicamente tecnologa Unesquemadeseguridadempresarialcontemplalaseguridadfsicaylgicade unacompaaLaprimeraserefierealaproteccincontraroboodaoal personal, equipo e instalaciones de la empresa; y la segunda est relacionada con eltemaquehoynosocupa:laproteccinalainformacin,atravsdeuna arquitectura de seguridad eficiente Estaltimadebeserproactiva,integrarunaseriedeiniciativasparaactuaren formarpidayeficazanteincidentesyrecuperacindeinformacin,ascomo elementos para generar una cultura de seguridad dentro de la organizacin 5.0.8Seguridad Lgica Es importante mencionar que la mayora de los daos que puede sufrir un centro de cmputo no ser sobre los medios fsicos sino contra informacin almacenada y procesada en ellos As, la Seguridad nformtica en un centro de informacin, se divide en seguridad fsicay lgica,sloesunapartedel amplio espectroquesedebecubrirparano vivir con una sensacin de falsa seguridad Como ya se ha mencionado, el activo msimportantequeseposeeeslainformacin,yporlotantodebenexistir tcnicas,msalldelaseguridadfsica,quelaasegurenEstastcnicaslas brinda la Seguridad Lgica La Seguridad Lgica consiste en la "aplicacin de barreras y procedimientos que resguarden el acceso a los datos y slo se permita acceder a ellos a las personas autorizadas para hacerlo" Existe un viejo dicho en la seguridad informtica que dicta que "todo lo que no est permitidodebeestarprohibido"yestoesloquedebeasegurarlaSeguridad Lgica 13Los objetivos que se plantean sern: Restringir el acceso a los programas y archivos Asegurarquelosoperadorespuedantrabajarsinunasupervisin minuciosaynopuedanmodificarlosprogramasnilosarchivosqueno correspondan Asegurarqueseestnutilizadoslosdatos,archivosyprogramas correctos en y por el procedimiento correcto 4Quelainformacintransmitidasearecibidasloporeldestinatarioal cual ha sido enviada y no a otro 5Que la informacin recibida sea la misma que ha sido transmitida 6Queexistansistemasalternativossecundariosdetransmisinentre diferentes puntos 7Quesedispongadepasosalternativosdeemergenciaparala transmisin de informacin "deriva de puntos anteriores acerca de seguridad lgica Riesgos dentro de la seguridad lgica OPerdida de informacin a causa de virus informtico Historia de los Virus LosvirustienenlamismaedadquelascomputadorasYaen4JohnVon Neumann, describi programas que se reproducen a s mismos en su libro "Teora y Organizacin de Autmatas Complicados" Es hasta mucho despus que se les comienza a llamar como virus La caracterstica de auto-reproduccin y mutacin de estos programas, que las hace parecidas a las de los virus biolgicos, parece ser el origen del nombre con que hoy los conocemos Antes de la explosin de la micro computacin se deca muy poco de ellos Por un lado,lacomputacinerasecretodeunospocosPorotrolado,lasentidades gubernamentales,cientficasomilitares,quevieronsusequiposatacadospor 16virus, se quedaron muy calladas, para no demostrar la debilidad de sus sistemas de seguridad, que costaron millones, al bolsillo de los contribuyentes LasempresasprivadascomoBancos,ograndescorporaciones,tampocopodan decirnada,paranoperder laconfianzadesusclientesoaccionistasLoquese sabe de los virus desde 4 hasta , es muy poco Sereconocecomoantecedentedelosvirusactuales,unjuegocreadopor programadoresdelaempresaAT&T,quedesarrollaronlaprimeraversindel sistemaoperativoUnixenlosaos6Paraentretenerse,ycomopartedesus investigaciones,desarrollaronunjuegollamado"CoreWars",quetenala capacidaddereproducirsecadavezqueseejecutabaEsteprogramatena instruccionesdestinadasadestruirmemoriadelrivaloimpedirsucorrecto funcionamiento Almismotiempo,desarrollaronunprogramallamado"Reeper",quedestrualas copias hechas por Core Wars Un antivirus o antibitico, como hoy se los conoce Conscientesdelopeligrosodeljuego,decidieronmantenerloensecreto,yno hablarmsdeltemaNosesabesiestadecisinfueporiniciativapropia,opor rdenes superioresEnelao,elDrKenThomson,unodelosprogramadoresdeAT&T,que trabaj en la creacin de "Core Wars", rompe el silencio acordado, y da a conocer la existencia del programa, con detalles de su estructura LaRevistaScientificAmericanacomienzosde4,publicalainformacin completa sobre esos programas, con guas para la creacin de virus Es el punto de partida de la vida pblica de estos programas, y naturalmente de su difusin sin control, en las computadoras personales Poresamismafecha,4,elDrFredCohenhaceunademostracinenla Universidad de California, presentando un virus informtico residente en una PC AlDrCohenseleconocehoyda,como"elpadredelosvirus"Paralelamente 17aparece en muchas PCs un virus, con un nombre similar a Core Wars, escrito en Small-C por un tal Kevin Bjorke, que luego lo cede a dominio pblicoElprimervirusdestructorydainoplenamenteidentificadoqueinfectamuchas PC'sapareceen6FuecreadoenlaciudaddeLahore,Paquistn,ysele conoce con el nombre de BRAN SusautoresvendancopiaspirateadasdeprogramascomercialescomoLotus, Supercalco Wordstar,porsumabajsimasLosturistasquevisitabanPaquistn, comprabanesascopiasylasllevabandevueltaalosEEUULascopias pirateadasllevabanunvirusFueas,comoinfectaronmasde, computadoras LoscdigosdelvirusBrainfueronalteradosenlosEEUU,porotros programadores, dando origen a muchas versiones de ese virus, cada una de ellas peorquelaprecedenteHastalafechanadieestabatomandoenserioel fenmeno, que comenzaba a ser bastante molesto y peligroso En7,lossistemasdeCorreoElectrnicodelaBM,fueroninvadidosporun virusqueenviabamensajesnavideos,yquesemultiplicabarpidamenteEllo ocasion que los discos duros se llenaran de archivos de origen viral, y el sistema sefuehaciendolento,hastallegaraparalizarsepormsdetresdasLacosa haballegadodemasiadolejosyelBigBluepusodeinmediatoatrabajarenlos virus su Centro de nvestigacin Thomas J Watson, de Yorktown Heights, N LasinvestigacionesdelCentroTJWatsonsobrevirus,sonpuestasenel dominio pblico por medio de Reportes de nvestigacin, editados peridicamente, para beneficio de investigadores y usuarios ElvirusJerusalem,segnsedicecreadoporlaOrganizacindeLiberacin Palestina,esdetectadoenlaUniversidadHebreadeJerusalemacomienzosde ElvirusestabadestinadoaapareceeldeMayode,fechadel4 aniversario de la existencia de Palestina como nacin Una interesante faceta del 18terrorismo, que ahora se vuelca hacia la destruccin de los sistemas de cmputo, por medio de programas que destruyen a otros programas EldeNoviembredel',dosimportantesredesdeEEUUsevenafectadas seriamenteporvirusintroducidosenellasMas6,equiposdeinstalaciones militares de la NASA, universidades y centros de investigacin pblicos y privados se ven atacados Porlacantidaddevirusdetectadosendiferenteslugaressobrepasanlos , y la epidemia comienza a crear situaciones gravesEntre las medidas que se toma, para tratar de detenerel avance de los virus, es llevar a los tribunales a Robert Mors Jr acusado de ser el creador de un virus que infectacomputadorasdelgobiernoyempresasprivadasAlparecer,este muchacho conoci el programa Core Wars, creado en la AT&T, y lo difundi entre sus amigos EllosseencargarondediseminarlopordiferentesmediosaredesyequiposAl juicio se le dio gran publicidad, pero no detuvo a los creadores de virusLa cantidad de virus que circula en la actualidad no puede llegar a ser precisada peroparatenerunaidealosltimosantiviruspuedenidentificaralrededorde cincuenta mil virus (claro que en este valor estn incluidos los clones de un mismo virus) "deriva de punto anteriorFuncionamiento de los virus Losvirus informticosestnhechosenAssembler,unlenguajedeprogramacin debajonivelLas instruccionescompiladas porAssemblertrabajandirectamente sobre el hardware, esto significa que no es necesario ningn software intermedio segn el esquema de capas entre usuario y hardware- para correr un programa en Assembler(opuestoalanecesidaddeVisualBasicdequeWindowsxlo secunde) No solo vamos a poder realizar las cosas tpicas de un lenguaje de alto nivel, sino que tambin vamos a tener control de cmo se hacen 19Paradarunaideadelopoderosoquepuedeserestelenguaje,elsistema operativoUnixestprogramadoenCylasrutinasquenecesitantenermayor profundidad para el control del hardware estn hechas en AssemblerPor ejemplo:"Losdriversqueseencargandemanejarlosdispositivosyalgunasrutinas referidas al control de procesos en memoria Sabiendoesto,elviruspuedetenercontroltotaldelamquina-aligualquelo haceelSO-silogracargarseantesquenadieLanecesidaddetenerque "asociarse" a una entidad ejecutable viene de que, como cualquier otro programa de computadora, necesita ser ejecutado y teniendo en cuenta que ningn usuario en su sano juicio lo har, se vale de otros mtodos furtivos Ahora que marcamos la importancia para un virus el ser ejecutado, podemos decir queunviruspuedeencontrarseenunacomputadorasinhaberinfectado realmente algo Es el caso de personas que pueden coleccionar virus en archivos comprimidos o encriptados Normalmente este tipo de programas se pega a alguna entidad ejecutable que le facilitarlasubidaamemoriaprincipalylaposteriorejecucin(mtodosde infeccin)Como entidades ejecutables podemos reconocer a los sectores de arranque de los discosdealmacenamientomagntico, pticosomagneto-pticos(MBR,BR),los archivos ejecutables de DOS (exe, com, entre otros), las libreras o mdulos de programas (dll, lib, ovl, bin, ovr) Los sectores de arranque son fundamentales paragarantizarqueelvirussercargadocadavezqueseenciendala computadora SegnlasecuenciadebooteodelasPCs,elmicroprocesadortieneseteadade fbrica la direccin de donde puede obtener la primer instruccin a ejecutar Esta direccin apunta a una celda de la memoria ROM donde se encuentra la subrutina 20POST (Power On Self Test), encargada de varias verificaciones y de comparar el registro de la memoria CMOS con el hardware instalado (funcin checksum) En este punto sera imposible que el virus logre cargarse ya que la memoria ROM viene grabada de fbrica y no puede modificarse (hoy en da las memorias Flash-ROM podran contradecir esto ltimo)Luego,elPOSTpasaelcontrolaotrasubrutinadelaROMBOSllamada "bootstrap ROM" que copia el MBR (Master Boot Record) en memoria RAM ElMBRcontienelainformacindelatabladeparticiones,paraconocerlas delimitacionesdecadaparticin,sutamaoyculeslaparticinactivadesde dondesecargarelSOVemosqueenestepuntoelprocesadorempiezaa ejecutardelamemoriaRAM,dandolaposibilidadaqueunvirustomepartida Hasta ac el SO todava no fue cargado y en consecuencia tampoco el antivirusEl accionar tpico del virus sera copiar el MBR en un sector alternativo y tomar su posicin As, cada vez que se inicie el sistema el virus lograr cargarse antes que elSOyluego,respetandosudeseoporpermanecerocultoharejecutarlas instrucciones del MBR Con la informacindelMBRsabremosqu particin es laactivayenquesector seencuentrasusectordebooteo(bootrecordoBR)ElBRcontieneuna subrutina que se ocupar de cargar los archivos de arranque del SOLos dems pasos de la carga del SO son irrelevantes, pero es importante recordar queelSOeselltimoencargarseenlasecuenciadebooteoantesdequeel usuariopuedaintroducircomandosenlashellElantivirusescargadoporlos archivos de configuracin del SO personalizables por el usuario Cuando un virus infecta un archivo ejecutableEXE, por ejemplo, intenta rastrear en el cdigo los puntos de entrada y salida del programa El primer punto sealado es en donde, dentro del archivo, se iniciar la ejecucin de instrucciones 21Elsegundopuntoresultaser loopuestoCuandounvirus localiza ambospuntos escribesupropiocdigoantesdecadaunoSegneltipodevirus,estecdigo cargarelvirusenmemoriasiesquenoloestaba-yapuntaraesazona infectada con el virus Ha partir de ah el programa virsico determinar cules son las acciones a seguir: puede continuar infectando archivos que sean cargados en memoria, ocultarse si es que detecta la presencia de un antivirus o ejecutar el contenido de su mdulo de ataqueElviruspuedeinfectartambinlascopiasdelosarchivoscargadosenmemoria que estn en la unidad de almacenamiento As se asegura que ante un eventual apagado de la computadora su cdigo igualmente se encuentra en los archivos de la unidadEsimportantecomprenderquelacomputadoranoestarinfectadahastaque ejecutemos algo parasitado previamente con el virus Veamos un ejemplo sencillo: nosotros bajamos de nternet un archivo comprimido (con la extensin P segn el uso popular) sabiendo que es un programa de prueba que nos gustara instalar LoquenosabemosesqueunodelosarchivosdentrodelPesunvirus informtico, y lo peor de todo es que viene adosado al archivo nstallexe Almomentodedescomprimirelcontenido,elvirustodavanofueejecutado(ya quelainformacindentrodelPnopuedeserreconocidacomoinstrucciones porelprocesador)Luegoidentificamoselarchivonstallexecomoelnecesario parainstalarelprogramayloejecutamosRecinenestemomentoelvirusse cargar en memoria y pasar a hacer las cosas para lo que fue programado El ejemplo anterior es un modo muy bsico de infeccin Pero existen otros tantos tiposdevirusquesonmuchomssofisticadosynopodrserreconocidasu presencia con mucha facilidadSegnsuscaractersticasunviruspuedecontenertresmdulosprincipales:el 22mdulo de ataque, el mdulo de reproduccin, y el mdulo de defensa OMdulo de reproduccin Eselencargadodemanejarlasrutinasparainfectarentidadesejecutablesque asegurarnlasubsistenciadelvirusCuandotomaelcontroldelsistemapuede infectarotrasentidadesejecutablesCuandoestasentidadesseantrasladadasa otras computadoras se asegura la dispersin del virusOMdulo de ataque EselmduloquecontienelasrutinasdedaoadicionaloimplcitoElmdulo puedeserdisparadopordistintoseventosdelsistema:unafecha,hora,el encontrarunarchivoespecfico(COMMANDCOM),elencontrarunsector especfico(MBR),unadeterminadacantidaddebooteosdesdequeingresoal sistema, o cualquier otra cosa a la que el programador quisiera atacarO Mdulo de defensaSuprincipalobjetivoesprotegerelcuerpodelvirusncluirrutinasque disminuyanlossntomasquedelatensupresenciaeintentarnqueelvirus permanezcainvisiblea losojosdelusuarioydelantivirus Lastcnicas incluidas en este mdulo hoy en da resultan ser muy sofisticadas logrando dar informacin falsaalSO-yenconsecuenciaalusuario-ylocalizndoseenlugarespoco comunes para el registro de los antivirus, como la memoria Flash-Rom"derivadepuntoanteriorchecarindicacindetipodeinfeccinyhaciaque componente se enfoca de nuestro sistema de computoMtodos principales de infeccin OAadidura o empalme Porestemtodoelcdigodelvirusseagregaalfinaldelarchivoejecutablea infectar,modificandolasestructurasdearranquedelarchivoanfitrindemanera 23queelcontroldelprogramapaseprimeroalviruscuandosequieraejecutarel archivo Este cambio de secuencia permite al virus realizar sus tareas especficas y luego pasarelcontrolalprogramaparaqueesteseejecutenormalmenteLaprincipal desventajadeestemtodoesqueeltamaodelarchivoinfectadoesmayoral original, lo que permite una fcil deteccin OnsercinLos virus que utilizan el mtodo de insercin buscan alojarse en zonas de cdigo noutilizadasoensegmentosdedatosdentrodelosarchivosquecontagian,de esta manera la longitud total del archivo infectado no varaEstemtodo,parecidoaldeempalme,exigemayorestcnicasdeprogramacin delosvirusparapoderdetectarlaszonasposiblesdecontagiodentrodeun ejecutable, por lo que generalmente no es muy utilizada por los programadores de virus informticosOReorientacinEstemtodoesunavarianteinteresantedelanteriorBajoesteesquemase introducencentralesvirsicas(loscdigosprincipalesdelvirus)enzonasfsicas del disco rgido marcadas como defectuosas o en archivos ocultos del sistemaEstoscdigosvirales,alejecutarse, implantanpequeostrozosdecdigo en los archivosejecutablesqueinfectan,queluegoactancomollamadoresdelas centrales virsicas La principal ventaja de este mtodo es que el cuerpo del virus, al no estar inserto enelarchivo infectadosinoenotrositiooculto, puedeteneruntamaobastante grande,aumentandoassufuncionalidadLadesventajamsfuerteesquela eliminacindeestetipodeinfeccionesesbastantesencillaBastaconborrar archivosocultossospechososoreescribirlaszonasdeldiscomarcadascomo 24defectuosasOPolimorfismo Esteeselmtodomsavanzadodecontagiologradopor losprogramadoresde virusLatcnicabsicausadaesladeinsercindelcdigoviralenunarchivo ejecutable,peroparaevitarelaumentodetamaodelarchivoinfectado,elvirus compactapartedesucdigoydelcdigodel archivo anfitrindemaneraque la suma de ambos sea igual al tamao original del archivo Alejecutarelprogramainfectadoactaprimeroelcdigodelvirus descompactandoenmemorialasporcionespreviamentecompactadasUna variante mejorada de esta tcnica permite a los virus usar mtodos de encriptacin dinmicosparadisfrazarelcdigodelvirusyevitarserdetectadosporlos antivirusOSustitucinElmtododesustitucin,usadoconvariantesporlosCaballosdeTroya,es quizs el mtodo ms primitivo Consiste en sustituir el cdigo completo del archivo original por el cdigo del virus Alejecutarelprogramainfectadoelnicoqueacta eselvirus,quecumplecon sus tareas de contagiar otros archivos y luego termina laejecucin del programa reportandoalgntipodeerrorEstatcnicatienesusventajas,yaqueencada infeccin se eliminan archivos de programas vlidos, los cuales son reemplazados por nuevas copias del virus"deriva de punto anterior Clasificacin de los virus La clasificacin correcta de los virus siempre resulta variada segn a quien se le pregunte Podemos agruparlos por la entidad que parasitan (sectores de arranque 23oarchivosejecutables),porsugradodedispersinanivelmundial,porsu comportamiento,porsuagresividad,porsustcnicasdeataqueoporcomose oculta,etcNuestraclasificacinmuestracomoactacadaunodelosdiferentes tipos segn su comportamiento En algunos casos un virus puede incluirse en ms de un tipo (un multipartito resulta ser sigiloso) OCaballos de TroyaLoscaballosdeTroyanolleganaserrealmentevirusporquenotienenla capacidaddeautoreproducirseSeescondendentrodelcdigodearchivos ejecutablesynoejecutablespasandoinadvertidosporloscontrolesdemuchos antivirusPoseesubrutinasquepermitirnqueseejecuteenelmomento oportunoExistendiferentescaballosdeTroyaquesecentrarnendistintospuntosde ataque Su objetivo ser el de robar las contraseas que el usuario tenga en sus archivos o las contraseas para el acceso a redes, incluyendo a nternet Despus dequeelvirusobtengalacontraseaquedeseaba,laenviarporcorreo electrnico a la direccin que tenga registrada como la de la persona que lo envi a realizar esa tarea Hoy en da se usan estos mtodos para el robo de contraseas para el acceso a nternetdeusuarioshogareosUncaballodeTroyaqueinfectalareddeuna empresarepresentaungranriesgoparalaseguridad,yaqueestfacilitando enormemente el acceso de los intrusos Muchos caballos de Troya utilizados para espionaje industrial estn programados para autodestruirse una vez que cumplan el objetivo para el que fueron programados, destruyendo toda la evidencia OCamaleonesSonunavariedaddesimilaralosCaballosdeTroya,peroactancomootros programascomerciales,enlosqueelusuarioconfa,mientrasqueenrealidad estn haciendo algn tipo de dao Cuando estn correctamente programados, los 26camaleones pueden realizar todas las funciones de los programas legtimos a los que sustituyen (actan como programas de demostracin de productos, los cuales son simulaciones de programas reales) Unsoftwarecamalenpodra,porejemplo,emularunprogramadeaccesoa sistemas remotos (rlogin, telnet) realizando todas las acciones que ellos realizan, perocomotareaadicional(yocultaalosusuarios)vaalmacenandoenalgn archivolosdiferentesloginsypasswordsparaqueposteriormentepuedanser recuperados y utilizados ilegalmente por el creador del virus camalenOVirus polimorfos o mutantesLos virus polimorfos poseen la capacidad de encriptar el cuerpo del virus para que nopuedaserdetectadofcilmenteporunantivirusSolodejadisponiblesunas cuantas rutinas que se encargaran de desencriptar el virus para poder propagarse Unavezdesencriptadoelvirusintentaralojarseenalgnarchivodela computadora En este punto tenemos un virus que presenta otra forma distinta a la primera, su mododesencriptado,enelquepuedeinfectaryhacerdelassuyaslibremente Peroparaqueelviruspresentesucaractersticadecambiodeformasdebe poseeralgunasrutinasespecialesSimantuvierasiempresuestructura,est encriptado o no, cualquier antivirus podra reconocer ese patrn Para eso incluye un generador de cdigos al que se conoce como engine o motor de mutacin Este engine utiliza un generador numrico aleatorio que, combinado con un algoritmo matemtico, modifica la firma del virus Gracias a este engine de mutacin el virus podr crear una rutina de desencripcin que ser diferente cada vez que se ejecute Los mtodos bsicos de deteccin no pueden dar con este tipo de virus Muchas vecesparaviruspolimorfosparticularesexistenprogramasquesededican especialmente a localizarlos y eliminarlos Algunos softwares que se pueden baja 27gratuitamentedenternetsededicansolamenteaerradicarlosltimosvirusque hanaparecidoyquetambinsonlosmspeligrososNolosfabricanempresas comercialessinogruposdehackersquequierenprotegersedeotrosgrupos opuestos Enesteambienteelpresentarestetipodesolucinesmuchasvecesunaforma dedemostrarquinessuperioroquiendominamejorlastcnicasde programacinLasltimasversionesdelosprogramasantivirusyacuentancondetectoresde este tipo de virusOVirus sigiloso o stealthEl virus sigiloso posee un mdulo de defensa bastante sofisticado Este intentar permanecer oculto tapando todas las modificaciones que haga y observando cmo elsistemaoperativotrabajaconlosarchivosyconelsectordebooteo Subvirtiendoalgunas lneas decdigoelviruslograapuntarelflujodeejecucin hacia donde se encuentra la zona que infectada Esdifcilqueunantivirussedcuentadeestasmodificacionesporloqueser imperativoqueelvirusseencuentreejecutndoseenmemoriaenelmomento justo en que el antivirus corre Los antivirus de hoy en da cuentan con la tcnica de verificacin de integridad para detectar los cambios realizados en las entidades ejecutables ElvirusBraindeMS-DOSesunejemplodeestetipodevirusSealojaenel sector de arranque de los disquetes e intercepta cualquier operacin de entrada / salida que se intente hacer a esa zona Una vez hecho esto rediriga la operacin a otra zona del disquete donde haba copiado previamente el verdadero sector de booteo Este tipo de virus tambin tiene la capacidad de engaar al sistema operativo Un 28virus se adiciona a un archivo y en consecuencia, el tamao de este aumentaEstesunaclarasealdequeunvirusloinfectLatcnicastealthde ocultamientodetamaocapturalasinterrupcionesdelsistemaoperativoque solicitanverlosatributosdelarchivoy,elvirusledevuelvelainformacinque posea el archivo antes de ser infectado y no las reales Algo similar pasa con la tcnicastealth de lecturaCuandoelSOsolicita leerunaposicin delarchivo,el virus devuelve los valores que debera tener ah y no los que tiene actualmente EstetipodevirusesmuyfcildevencerLamayoradelosprogramasantivirus estndar los detectan y eliminan OVirus lentosLos virus de tipo lento hacen honor a su nombre infectando solamente los archivos queelusuariohaceejecutarporelSO,simplementesiguenlacorrientey aprovechan cada una de las cosas que se ejecutan Por ejemplo, un virus lento nicamente podr infectar el sector de arranque de un disquete cuando se use el comando FORMAT o SYS para escribir algo en dicho sectorDelosarchivosquepretendeinfectarrealizaunacopiaqueinfecta, dejando al original intacto SueliminacinresultabastantecomplicadaCuandoelverificadordeintegridad encuentranuevosarchivosavisaalusuario,queporlogeneralnopresta demasiada atencin y decide agregarlo al registro del verificador As, esa tcnica resultara intil La mayora de las herramientas creadas para luchar contra este tipo de virus son programasresidentesenmemoriaquevigilanconstantementelacreacinde cualquier archivo yvalidancada uno de los pasosquesedanendicho proceso Otro mtodo es el que se conoce como Decoy launching Se crean varios archivos EXE y COM cuyo contenido conoce el antivirus Los ejecuta y revisa para ver si 29se han modificado sin su conocimiento ORetro-virus o Virus antivirusUnretro-virusintentacomomtododedefensaatacardirectamentealprograma antivirus incluido en la computadora Para los programadores de virus esta no es una informacin difcil de obtener ya que pueden conseguir cualquier copia de antivirus que hay en el mercado Con un pocodetiempopuedendescubrirculessonlospuntosdbilesdelprogramay buscar una buena forma de aprovecharse de ello Generalmente los retro-virus buscan el archivo de definicin de virus y lo eliminan, imposibilitandoalantiviruslaidentificacindesusenemigosSuelenhacerlo mismo con el registro del comprobador de integridad Otros retro-virus detectan al programa antivirus en memoria y tratan de ocultarse o inician una rutina destructiva antes de que el antivirus logre encontrarlos Algunos inclusomodificanelentornodetalmaneraqueterminaporafectarel funcionamiento del antivirus OVirus multipartitosLosvirusmultipartitosatacanalossectoresdearranqueyalosficheros ejecutablesSunombreestdadoporqueinfectanlascomputadorasdevarias formasNoselimitanainfectaruntipodearchivoniunazonadelaunidadde disco rgidoCuandoseejecutauna aplicacininfectadaconunodeestosvirus, ste infecta el sector de arranque La prxima vez que arranque la computadora, el virus atacar a cualquier programa que se ejecuteOVirus voracesEstosvirusalteranelcontenidodelosarchivosdeformaindiscriminada Generalmenteunodeestosvirussustituirelprogramaejecutableporsupropio 30cdigo Son muy peligrosos porque se dedican a destruir completamente los datos que puedan encontrar OBombas de tiempoSon virus convencionales y pueden tener una o ms de las caractersticas de los demstiposdeviruspero la diferenciaest dadaporeltriggerdesumdulode ataque que se disparar en una fecha determinadaNosiemprepretendencrearundaoespecficoPorlogeneralmuestran mensajesenlapantallaenalgunafechaquerepresentauneventoimportante para el programador El virus Michel Angelo s causa un dao grande eliminando toda la informacin de la tabla de particiones el da 6 de marzoOConejoCuandolosordenadoresdetipomedioestabanextendidosespecialmenteen ambientesuniversitarios,funcionabancomomultiusuario,mltiplesusuariosse conectabansimultneamenteaellosmedianteterminalesconunnivelde prioridad Elordenadorejecutabalosprogramasdecadausuariodependiendodesu prioridad y tiempo de espera Si se estaba ejecutando un programa y llegaba otro de prioridad superior, atenda al recin llegado y al acabar continuaba con lo que hacaconanterioridadComoporreglageneral,losestudiantestenanprioridad mnima, a alguno de ellos se le ocurri la idea de crear este virusElprogramasecolocabaenlacoladeesperaycuandollegabasuturnose ejecutabahaciendounacopiadesmismo,agregndolatambinenlacolade esperaLosprocesosaser ejecutados iban multiplicndose hastaconsumirtoda la memoria de la computadora central interrumpiendo todos los procesamientos 31Medidas de prevencin. El presente capitulo se desarrolla en solo las medidas que se recomendaron a los encargadosdelreadeprocesamientodeinformacindelcentrodecomputoy algunasdelasnormasquesedebenllevaracabocuandosepresentauna contingencia como el ataque de un virus informtico Programas antivirus Losriesgos que infunden losvirushoyendaobligaronaqueempresasenteras sedediquenabuscarlaformadecrearprogramasconfinescomercialesque logren combatir con cierta eficacia los virus que ataquen los sistemas informticos Este software es conocido con el nombre de programas antivirus y posee algunas caractersticas interesantes para poder cumplir su trabajo Comoyadijimosunadelascaractersticasfundamentalesdeunviruses propagarse infectando determinados objetos segn fue programado En el caso de los que parasitan archivos, el virus debe poseer algn mtodo para no infectar los archivos con su propio cdigo para evitar autodestruirse,en otras palabras-, as es que dejan una marca o firma que los identifica de los dems programas o virus Para la mayora de los virus esta marca representa una cadena de caracteres que "inyectan"enelarchivoinfectadoLosvirusmscomplejoscomolospolimorfos poseenunafirmaalgortmicaquemodificarelcuerpodelmismoconcada infeccinCadavezqueestosvirusinfectenunarchivo,mutarsuformay dificultar bastante ms las cosas para el software de deteccin de virus Ver Virus polimorfos Elsoftwareantivirusesunprogramamsdecomputadoraycomotaldebeser adecuado para nuestro sistema y debe estar correctamente configurado segn los dispositivosdehardwarequetengamosSitrabajamosenunlugarqueposee conexin a redes es necesario tener un programa antivirus que tenga la capacidad dedetectarvirusderedesLosantivirusreducensensiblementelosriesgosde 32infeccinperocabereconocerquenoserneficaceselcienporcientodelas veces y su utilizacin debera estar acompaada con otras formas de prevencin (Lafuncinprimordialdeunprogramadeestosesdetectarlapresenciadeun posible virus para luego poder tomar las medidas necesariasEl hecho de poder erradicarlo podra considerarse como una tarea secundaria ya queconelprimerpasohabremoslogradofrenarelavancedelvirus,cometido suficiente para evitar mayores daos Antesdemeternosunpocomsadentrodeloqueeselsoftwareantiviruses importante que sepamos la diferencia entre detectar un virus e identificar un virus Eldetectarunvirusesreconocerlapresenciadeunaccionarvirsicoenel sistema de acuerdo a las caractersticas de los tipos de virus dentificar un virus espoderreconocerquvirusesdeentreunmontndeotrosviruscargadosen nuestra base de datos Al identificarlo sabremos exactamente qu es lo que hace, haciendo inminente su eliminacin Deestosdosmtodoses importantequeunantivirusseamsfuerteeneltema deladeteccin,yaqueconestemtodopodremosencontrarvirustodavano conocidos(derecienteaparicin)yqueseguramentenoestarnregistradosen nuestra base de datos debido a que su tiempo de dispersin no es suficiente como paraquehayansidoanalizadosporungrupodeexpertosdelaempresadel antivirus dentificacindentificar un virus supone, primero, lograr su deteccin y luego poder determinar de qu virus se trata exactamente A esta tcnica se la conoce con el nombre de scanning o escaneo Es muy sencilla de entender 33El programa antivirus posee una base de datos con ciertas strings propias de cada virus Estas strings no son ms que las firmas que mencionamos ms atrs en el texto,oseacadenasdecaracteresqueelscannerdelantivirusutilizarcomo huella digital para identificar de qu virus se trata El scanner comienza a revisar uno por uno el cdigo de los archivos almacenados intentando encontrar alguno de estos fragmentos representativos de los virus que tiene registradosCon cada una de las verificaciones no se revisa la base de datos completa ya que resultara bastante trabajoso y en una prdida de tiempo considerable, aunque de hecho el hacer un escaneo de nuestra unidad de disco rgido lleva algn tiempoEntonces, cada antivirus utilizar diferentes tcnicas algortmicas para agilizar un poco este paso de comparar el cdigo contra su base de datos Hoyendalaproduccindevirussevemasificadaenternetcolabora enormementeenladispersindevirusdemuchostipos,incluyendolos"virus caseros"Muchosdeestosvirussoncreadosporusuariosinexpertosconpocos conocimientosdeprogramaciny,enmuchoscasos,porsimplesusuariosque bajan de nternet programas que crean virus genricos Antetantos"desarrolladores"alserviciodelaproduccindeviruslatcnicade scanning se ve altamente superadaLasempresasantivirusestnconstantementetrabajandoenlabsqueday documentacindecadanuevovirusqueapareceMuchasdeestasempresas actualizan sus bases de datos todos los meses, otras lo hacen quincenalmente, y algunas pocas llegan a hacerlo todas las semanas (cosa ms que importante para empresasquenecesitanunaaltaproteccinenestecampooparausuarios fanticos de obtener lo ltimo en seguridad y proteccin) 34Ladebilidadde latcnicadescanninges inherente almodeloEstoesdebidoa que un virus debera alcanzar una dispersin adecuada para que algn usuario lo capturey loenveaungrupodeespecialistasenvirusque luegoseencargarn de determinar que parte del cdigo ser representativa para ese virus y finalmente lo incluirn en la base de datos del antivirusTodoesteprocesopuedellevarvariassemanas,tiemposuficienteparaqueun virus eficaz haga de las suyas En la actualidad, nternet proporciona el canal de bajada de las definiciones antivirus que nos permitirn identificar decenas de miles devirusqueandanacechandoEstasdecenasdemilesdevirus,comodijimos, tambin influirn en el tamao de la base de datosComoejemploconcretopodemosmencionarquelabasededatosdeNorton Antivirus de Symantec Corp pesa alrededor de MB y es actualizada cada quince o veinte das Latcnicadescanningnoresultaserlasolucindefinitiva,nitampocolams eficiente,perocontinasiendolamsutilizadadebidoaquepermiteidentificar con cierta rapidez los virus ms conocidos, que en definitiva son los que lograron adquirir mayor dispersin %Fcnicas de deteccinTeniendoencuentalospuntosdbilesdelatcnicadescanningsurgila necesidad de incorporar otros mtodos que complementaran al primero Como ya semencionladeteccinconsisteenreconocerelaccionardeunvirusporlos conocimientossobrecomportamientoquesetienensobreellos,sinimportar demasiado su identificacin exacta Esteotromtodobuscarcdigoqueintentemodificarlainformacindereas sensibles del sistema sobre las cuales el usuario convencional no tiene control y a veces ni siquiera tiene conocimiento-, como el master boot record, el boot sector, la FAT, entre las ms conocidas 33Otra forma de deteccin que podemos mencionar adopta, ms bien, una posicin de vigilancia constante y pasiva Esta, monitorea cada una de las actividades que se realizan intentando determinar cundo una de stas intenta modificar sectores crticos de las unidades de almacenamiento (mencionados en el primer prrafo de este apartado), entre otrosA esta tcnica se la conoce como comprobar la integridad y es tratada con mayor detalle ms adelante AnIisis heursticoLatcnicadedeteccinmscomnesladeanlisisheursticoConsisteen buscarenelcdigodecadaunodelosarchivoscualquierinstruccinquesea potencialmente daina, accin tpica de los virus informticosEs una solucin interesante tanto para virus conocidos como para los que no los sonEl inconveniente es que muchas veces se nos presentarn falsas alarmas, cosas que el scanner heurstico considera peligrosas y que en realidad no lo son tanto Porejemplo:talvezelprogramareviseelcdigodelcomandoDEL(usadopara borrar archivos) de MS-DOS y determine que puede ser un virus, cosa que en la realidad resulta bastante improbableEste tipo de cosas hace que el usuario deba tener algunos conocimientos precisos sobresusistema,conelfindepoderdistinguirentreunafalsaalarmayuna deteccin real 4.3EIiminacinLa eliminacin de un virus implica extraer el cdigo del archivo infectado y reparar delamejormaneraeldaocausadoenesteApesardequelosprogramas antiviruspuedendetectarmilesdevirus,nosiemprepuedenerradicarlamisma cantidad, por lo general pueden quitar los virus conocidos y ms difundidos de los 36cuales pudo realizarse un anlisis profundo de su cdigo y de su comportamientoResulta lgico entonces que muchos antivirus tengan problemas en la deteccin y erradicacindevirusdecomportamientocomplejo,comoelcasodelos polimorfos, que utilizan mtodos de encriptacin para mantenerse indetectablesEn muchos casos el procedimiento de eliminacin puede resultar peligroso para la integridaddelosarchivosinfectados,yaquesielvirusnoestdebidamente identificadolastcnicasdeerradicacinnosernlasadecuadasparaeltipode virus Hoyendalosantivirusmspopularesestnmuyavanzadosperocabela posibilidaddequeestetipodeerroressedeenprogramasmsviejosPara muchoselprocedimientocorrectoseraeliminarcompletamenteelarchivoy restaurarlo de la copia de respaldo Si en vez de archivos la infeccin se realiz en algn sector crtico de la unidad de disco rgido la solucin es simple, aunque no menos riesgosaHaymuchaspersonasquerecomiendanreparticionarlaunidadyreformatearla paraasegurarsedeladesaparicintotaldelvirus,cosaqueresultarapoco operativa y fatal para la informacin del sistemaComo alternativa a esto existe para el sistema operativo MS-DOS / Windows una opcinnodocumentadadelcomandoFDSKqueresuelvetodoencuestinde segundosElparmetro/MBRseencargaderestaurarelregistromaestrodebooteo(lugar dondesuelensituarse losvirus) impidiendo asqueestevuelvaacargarseenel inicio del sistemaVale aclarar que cualquier dato que haya en ese sector ser sobrescrito y puede afectar mucho a sistemas que tengan la opcin de bootear con diferentes sistemas operativosMuchosdeestosprogramasquepermitenhacerlaeleccindel sistemaoperativosesitanenestareayporconsiguientesucdigoser 37eliminado cuando se usa el parmetro mencionado Paraelcasodelaeliminacindeunvirusesmuyimportantequeelantivirus cuenteconsoportetcnicolocal,quesusdefinicionesseanactualizadas peridicamenteyqueelserviciotcnicoseaaptoparapoderrespondera cualquier contingencia que nos surja en el camino omprobacin de integridadComoyahabamosanticipadoloscomprobadoresdeintegridadverificanque algunos sectores sensibles del sistema no sean alterados sin el consentimiento del usuario Estas comprobaciones pueden aplicarse tanto a archivos comoal sector de arranque de las unidades de almacenamiento Parapoderrealizarlascomprobacioneselantivirus,primero,debeteneruna imagendelcontenidodelaunidaddealmacenamientodesinfectadaconlacual poderhacerdespuslascomparacionesSecreaentoncesunregistroconlas caractersticasdelosarchivos,comopuedesersunombre,tamao,fechade creacinomodificaciny,lomsimportanteparaelcaso,elchecksum,quees aplicarunalgoritmoalcdigodelarchivoparaobtenerunvalorquesernico segnsucontenido(algomuysimilaraloquehacelafuncinhashenlos mensajes)Si un virus inyectara parte de su cdigo en el archivo la nueva comprobacin del checksum sera distinta a la que se guard en el registro y el antivirus alertara de lamodificacinEnelcasodelsectordebooteoelregistropuedeseralgo diferente Como existe un MBR por unidad fsica y un BR por cada unidad lgica, algunos antivirus pueden guardarse directamente una copia de cada uno de ellos en un archivo y luego compararlos contra los que se encuentran en las posiciones originales Unavezqueelantivirusconformaunregistrodecadaunode los archivosen la unidadpodrrealizar lascomprobacionesdeintegridadCuandoelcomprobador 38espuestoenfuncionamientocadaunodelosarchivossernescaneados Nuevamenteseaplicalafuncinchecksumyseobtieneunvalorquees comparado contra el que se guard en el registroSiambosvaloressonigualeselarchivonosufrimodificacionesduranteel perodocomprendidoentreelregistrodecheksumantiguoylacomprobacin reciente Por el otro lado, si los valores checksum no concuerdan significa que el archivofuealteradoyenciertoscasoselantiviruspreguntaalusuariosiquiere restaurar las modificaciones Lo ms indicado en estos casos sera que un usuario conconocimientossobresusistemaavalequesetratarealmentedeuna modificacin no autorizada y por lo tanto atribuible a un virus-, elimine el archivo y lo restaure desde la copia de respaldo La comprobacin de integridad en los sectores de booteo no es muy diferente El comprobadorverificarquelacopiaqueestenusoseaigualalaquefue guardadaconanterioridadSisedetectaraunamodificacinencualquierade estossectores,sepreguntaralusuarioporlaposibilidaddereconstruirlos utilizando las copias guardadasTeniendo en cuenta que este sector en especial es un punto muy vulnerable a la entrada de los virus multipartitos, los antivirus verifican constantemente que no se hagan modificacionesCuando se detecta una operacin de escritura en uno de los sectores de arranque, elprogramatomacartasenelasuntomostrandoen pantalla unmensajeparael usuarioindicndolesobrequesloqueestporsucederPorlogeneralel programa antivirus ofrece algunas opciones sobre como proceder, como evitar la modificacin,dejarlacontinuar,congelarelsistemaonotomarningunamedida (cancelar) Paraqueestatcnicaseaefectivacadaunodelosarchivosdeberposeersu entradacorrespondienteen elregistrodecomprobacionesSinuevosprogramas seestninstalandooestamosbajandoalgunosarchivosdesdenternet,oalgn 39otroarchivoingresaporcualquierotrodispositivodeentrada,despussera razonable que registremos el checksum con el comprobador del antivirus ncluso, algunosdeestosprogramasatiendenconmuchaatencinaloqueel comprobador de integridad determine y no dejarn que ningn archivo que no est registrado corra en el sistema Proteger reas sensibIesMuchosvirustienenlacapacidadde"parasitar"archivosejecutablesConesto queremos decir que el virus localizar los puntos de entrada de cualquier archivo queseaejecutable(losarchivosdedatosnoseejecutanporlotantoson inutilizables para los virus) y los desviar a su propio cdigo de ejecucinAs,elflujodeejecucincorrerprimeroelcdigodelvirusyluegoeldel programa y, como todos los virus poseen un tamao muy reducido para no llamar la atencin, el usuario seguramente no notar la diferenciaEstevistazogeneraldecmolograejecutarseunviruslepermitirsituarseen memoriayempezaraejecutarsusinstruccionesdainasAestaformade comportamientodelosvirusseloconocecomotcnicasubrepticia,enlacual prima el arte de permanecer indetectado Unavezqueelvirusseencuentraenmemoriapuedereplicarseasmismoen cualquier otro archivo ejecutable El archivo ejecutable por excelencia que atacan losviruseselCOMMANDCOM,unodelosarchivosfundamentalesparael arranqueenelsistemaoperativoMS-DOSEstearchivoeselintrpretede comandos del sistema, por lo tanto, se cargar cada vez que se necesite la shellLaprimeravezsereneliniciodelsistemay,duranteelfuncionamiento,se llamaralCOMMANDCOMcadavezquesesalgadeunprogramayvuelvaa necesitarse la intervencin de la shell Con un usuario desatento, el virus lograr replicarse varias veces antes de que empiecen a notarse sntomas extraos en la PC 40Elotro"ente"ejecutablecapazdeserinfectadoeselsectordearranquedelos discos magnticosAunqueestesectornoesunarchivoens,contienerutinasqueelsistema operativoejecutacadavezquearrancaelsistemadesdeesaunidad,resultando este un excelente medio para que el virus se propaguede una computadora a la otraComodijimosantesunadelasclavesdeunviruseslograrpermaneceroculto dejandoquelaentidadejecutablequefuesolicitadaporelusuariocorra libremente despus de que l mismo se halla ejecutado Cuando un virus intenta replicarseaundisquete,primerodebercopiarelsectordearranqueaotra porcindeldiscoyrecinentoncescopiarsucdigoenellugardondedebera estar el sector de arranque Durante el arranque de la computadora con el disquete inserto en la disquetera, el sistema operativo MS-DOS intentar ejecutar el cdigo contenido en el sector de booteo del disqueteElproblemaesqueenesaposicinseencontrarelcdigodelvirus,quese ejecutaprimeroyluegoapuntarelpunterodeejecucina lanuevaposicinen donde se encuentran los archivos para el arranque El virus no levanta sospechas de su existencia ms all de que existan o no archivos de arranque en el sector de booteo Nuestro virus se encuentra ahora en memoria y no tendr problemas en replicarse alaunidaddediscorgidocuandoseintentebooteardesdeestaHastaquesu mdulo de ataque se ejecute segn fue programado, el virus intentar permanecer indetectadoycontinuarreplicndose enarchivosysectoresdebooteodeotros disquetesquesevayanutilizando,aumentandopotencialmenteladispersindel virus cuando los disquetes sean llevados a otras mquinas 41emonios de proteccinEstosprogramasresidentesenmemoriasonmdulosdelantivirusquese encargandeimpedirlaentradadelcualquiervirusyverificanconstantemente operaciones que intenten realizar modificaciones por mtodos poco frecuentesEstos,seactivanalarrancarelordenadoryporlogenerales importantequese carguen al comienzo y antes que cualquier otro programa para darle poco tiempo de ejecucin a los virus y detectarlos antes que alteren algn datoSegn como est configurado el antivirus, el demonio (como se los conoce en el ambiente Unix) o TSR (en la jerga MS-DOS / Windows), estar pendiente de cada operacin de copiado, pegado o cuando se abran archivos, verificar cada archivo nuevoqueescreadoytodoslosdownloadsdenternet,tambinharlomismo conlasoperacionesque intenten realizarunformateodebajonivelenlaunidad dediscorgidoy,porsupuesto,protegerlossectoresdearranquede modificaciones ApIicar cuarentenaEsmuyposiblequeunprogramaantivirusmuchasvecesquededescolocado frente al ataque de virus nuevos Para esto incluye esta opcin que no consiste en ningn mtodo de avanzada sino simplemente en aislar el archivo infectado Antes que esto el antivirus reconoce el accionar de un posible virus y presenta un cuadro de dilogo informndonosAdems de las opciones clsicas de eliminar el virus, aparece ahora la opcin de ponerlo en cuarentena Este procedimiento encripta el archivo y lo almacena en un directorio hijo del directorio donde se encuentra el antivirusDe esta manera se est impidiendo que ese archivo pueda volver a ser utilizado y quecontineladispersindelvirusComoaccionesadicionaleselantivirusnos permitirrestaurarestearchivoasuposicinoriginalcomosinadahubiese pasadoonospermitirenviarloa uncentro deinvestigacindondeespecialistas 42eneltemapodrnanalizarloydeterminarsisetratadeunvirusnuevo, encuyo caso su cdigo distintivo ser incluido en las definiciones de virus efiniciones antivirusLosarchivosdedefinicionesantivirussonfundamentalesparaqueelmtodode identificacin sea efectivoLosvirusquealcanzaronunaconsiderabledispersinpuedenllegaraser analizados por los ingenieros especialistas en virus de algunas de las compaas antivirus,quemantendrnactualizadaslasdefinicionespermitiendoasquelas medidas de proteccin avancen casi al mismo paso en que lo hacen los virus Unantivirusqueestdesactualizadopuederesultarpocotilensistemasque correnelriesgoderecibirataquesdevirusnuevos(comoorganismos gubernamentalesoempresasdetecnologa depunta),yestn reduciendo enun porcentajebastantealtolaposibilidaddeproteccinLaactualizacintambin puedevenirpordoslados:actualizarelprogramacompletooactualizarlas definiciones antivirusSicontamosconunantivirusqueposeatcnicasdedeteccinavanzadas, posibilidaddeanlisisheurstico,proteccinresidenteenmemoriadecualquiera delaspartessensiblesdeunaunidaddealmacenamiento,verificadorde integridad, etc, estaremos bien protegidos para empezarUnaactualizacindelprogramaserarealmentejustificableencasodeque incorpore algn nuevo mtodo que realmente influye en la erradicacin contra los virusSeraimportantetambinanalizarelimpactoeconmicoqueconllevarparala empresa, ya que sera totalmente intil tener el mejor antivirus y preocuparse por actualizar sus definiciones da por medio si nuestra red ni siquiera tiene acceso a nternet,tampocoaccesoremotodeusuariosyelnicointercambiode informacinesentreempleadosquetrabajanconun paquetedeaplicaciones de 43oficinasinningncontenidodemacrosoprogramacinquedelugaraposibles infecciones Todas estas posibilidades para la proteccin sern tratadas con ms detalle en la siguiente seccinEsetotaldevirusidentificablesincluyelosmscomunesylosquesonderara aparicin Estrategia de seguridad contra Ios virus En la problemtica que nos ocupa, poseer un antivirus y saber cmo utilizarlo es la primermedidaquedeberatomarsePeronosertotalmenteefectivasinova acompaadaporconductasqueelusuariodeberespetarLaeducacinyla informacin son el mejor mtodo para protegerse Elusuariodebesaberqueunvirusinformticoesunprogramadecomputadora que posee ciertas caractersticas que lo diferencian de unprograma comn, y se infiltra en las computadoras de forma furtiva y sin ninguna autorizacinComocualquierotroprogramanecesitarunmediofsicoparatransmitirse,de ninguna manera puede volar por el aire como un virus biolgico, por lo tanto lo que nosotros hagamos para el transporte de nuestra informacin debemos saber que resulta un excelente medio aprovechable por los virusCualquier puerta que nosotros utilicemos para comunicarnos es una posible va de ingreso de virus, ya sea una disquetera, una lectora de CD-ROM, un mdem con conexin a nternet, la placa que nos conecta a la red de la empresa, los nuevos puertos ultrarrpidos (USB y FireWire) que nos permiten conectar dispositivos de almacenamiento externos como unidades ip, Jazz, HDDs, etc Viendoqueunviruspuedeatacarnuestrosistemadesdecualquierngulo,no podramos dejar de utilizar estos dispositivos solo porque sean una va de entrada virsica(yaquedeberamosdejardeutilizarlosatodos),cualquieradelas solucionesqueplanteemosnosercienporcientoefectivaperocontribuir enormemente en la proteccin y estando bien informados evitaremos crear pnico 44en una situacin de infeccin Una forma bastante buena de comprobar la infeccin en un archivo ejecutable es mediante la verificacin de integridadConestatcnicaestaremossegurosquecualquierintentodemodificacindel cdigodeunarchivoserevitadoo,enltimainstancia,sabremosquefue modificado y podremos tomar alguna medida al respecto (como eliminar el archivo y restaurarlo desde la copia de respaldo)Es importante la frecuencia con la que se revise la integridad de los archivos Para un sistema grande con acceso a redes externas sera conveniente una verificacin semanalotalvezmenor-porpartedecadaunodelosusuariosensus computadorasUn ruteador no tiene manera de determinar si un virus est ingresando a la red de la empresa porque los paquetes individuales no son suficiente cmo para detectar a un virusEnelcasodeunarchivoquesebajadenternet,stedeberaalmacenarseen algndirectoriodeunservidoryverificarseconlatcnicadescanning,recin entonces habra que determinar si es un archivo apto para enviar a una estacin de trabajo Lamayoradelosfirewallquesevendenenelmercadoincorporansistemas antivirusTambinincluyensistemasdemonitorizacindeintegridadquele permiten visualizar los cambios de los archivos y sistema todo en tiempo realLainformacinentiemporeallepuedeayudaradetenerunvirusqueest intentando infectar el sistema Encuantoalosvirusmultipartitosestaremoscubiertossitomamosespecial cuidado del uso de los disquetes Estos no deben dejarse jams en la disquetera cuando no se los est usando y menos an durante el arranque de la mquina 43UnamedidaacertadaesmodificarlasecuenciadebooteomodificandoelBOS desde el programa Set-up para que se intente arrancar primero desde la unidad de discorgidoyensudefectodesdeladisqueteraLosdiscosdearranquedel sistema deben crearse en mquinas en las que sabemos que estn libres de virus y deben estar protegidos por la muesca de slo lectura Hay que tener siempre en cuenta que el sistema antivirus debe ser adecuado para el sistema, es decir debe poder escanear unidades de red si es que contamos con una,proveeranlisisheursticoydebetenerlacapacidaddechequearla integridad de sus propios archivos como mtodo de defensa contra los retro-virusEsmuyimportantecmoelantivirusguardaelarchivodedefinicionesdevirus Debe estar protegido contra sobre escrituras, encriptado para que no se conozca su contenido y oculto en el directorio (o en su defecto estar fragmentado y cambiar peridicamente su nombre) Esto es para que los virus no reconozcan con certeza culeselarchivodedefinicionesydejenimposibilitadoalprogramaantivirusde identificar con quien est tratando Regularmentedeberemosiniciarlamquinaconnuestrodisquetelimpiode arranque del sistema operativo y escanear las unidades de disco rgido con unos disquetes que contengan el programa antivirusSi este programa es demasiado extenso podemos correrlo desde la lectora de CD-ROM, siempre y cuando la hayamos configurado previamente Este ltimo mtodo puedecomplicaramsdeunadelasantiguascomputadorasLasnuevas mquinasdefactorATXinclusonospermitenbooteardesdeuna lectoradeCD-ROM, que no tendrn problemas en reconocer ya que la mayora traen sus drivers en firmware El mdulo residente en memoria del antivirus es fundamental para la proteccin de virus que estn intentando entrar en nuestro sistema Debe ser apto para nuestro tipodesistemaoperativoytambindebeestarcorrectamenteconfiguradoLos antivirus actuales poseen muchas opciones configurables en las que deber fijarse 46elresidenteCaberecordarquemientrasmsdeestasseleccionemosla performance del sistema se ver mayormente afectadaAdoptarunapolticadeseguridadnoimplicavelocidadenlostrabajosque realicemos Elusuariodebeacostumbrarsearealizarcopiasderespaldodesusistema Existenaplicacionesquenospermitirnconmuchafacilidadrealizarcopiasde seguridad de nuestros datos (tambin podemos optar por hacer sencillos archivos zipeados de nuestros datos y copiarlos en un disquete)Estosdiscosipsonigualmentetilesparalasempresas,aunquequizsestas prefieranoptarporunaregrabadoradeCD-Rs,queofrecemayorcapacidadde almacenamiento,velocidaddegrabacin,confiabilidadylosdiscospodrnser ledos en cualquier lectora de CD-ROM actual Unapersonaresponsabledelaseguridadinformticadelaempresadebera documentarunplandecontingenciaenelqueseexpliqueenpasos perfectamente entendibles para el usuario cmo debera actuar ante un problema de estosLas normas que all figuren pueden apuntar a mantener la operatividad del sistema y,encasodequeelproblemapaseamayores,deberaprivilegiarsela recuperacin de la informacin por un experto en el tema No se deberan instalar programas que no sean originales o que no cuenten con su correspondiente licencia de uso Enelsistemadereddelaempresapodraresultaradecuadoquitarlas disqueteras de las computadoras de los usuarios As se estara removiendo una importantefuentedeingresodevirusLosarchivosconlosquetrabajenlos empleadospodranentrar,porejemplo,vacorreoelectrnico,indicndolea nuestro proveedor de correo electrnico que verifique todos los archivos en busca devirusmientrasanseencuentranensuservidoryloseliminesifuera 47necesario Losprogramasfreeware,shareware,trial,o decualquier otrotipodedistribucin quesean bajadosdenternetdebernserescaneados antesdesuejecucinEl download deber ser slo de sitios en los que se confaLaautorizacindeinstalacindeprogramasdeberdeterminarseporel administradorsiempreycuando estequiera mantenerunsistemalibrede"entes extraos" sobre los que no tiene control Es una medida adecuada para sistemas grandes en donde los administradores ni siquiera conocen la cara de los usuarios Cualquier programa de fuente desconocida que el usuario quiera instalar debe ser correctamente revisadoSiungrupodeusuariostrabajaconunautilidadquenoestinstaladaenla oficina, el administrador deber determinar si instala esa aplicacin en el servidor ylesdaaccesoaesegrupodeusuarios,siempreycuandoelprogramano signifique un riesgo para la seguridad del sistemaNuncadeberapriorizarseloqueelusuarioquierefrentealoqueelsistema necesita para mantenerse seguro Ningn usuario no autorizado debera acercarse a las estaciones de trabajo Esto puede significar que el intruso porte un disquete infectado que deje en cualquiera delasdisqueterasdeunusuariodescuidadoTodaslascomputadorasdeben tener el par D de usuario y contrasea Nuncadejardisquetesenladisqueteraduranteelencendidode lacomputadora Tampoco utilizar disquetes de fuentes no confiables o los que no haya creado uno mismo Cada disquete que se valla a utilizar debe pasar primero por un detector de virus ConescanearlosarchivosejecutablessersuficienteEscaneartodoslos archivos, por lo general, resulta en una prdida de tiempo 48Sieldisquetenolousaremosparagrabarinformacin,sinomsqueparaleer, deberamosprotegerlocontraescrituraactivandolamuescadeproteccinLa proteccindeescrituraestaractivadacuandoalintentarvereldiscoatrasluz veamos dos pequeos orificios cuadrados en la parte inferior 4.9 mo proceder ante una infeccin Cuando el antivirus logra confirmar la presencia de un virus, lo primero que siente el usuario es pnico Luego pensar qu hacer y se dar cuenta que no tiene idea cmoenfrentarseaunvirusinformticoEducaralosusuariossobreestas cuestiones es tan importante comomantenerlos actualizados de los ltimos virus que aparecen Nointentaremosdescribirpasoapasolasolucincuandosetieneunantivirus actualizadoqueposiblementehagatodopornosotrosysolonossolicitaque tomemos una decisinEnsulugar,nosposicionaremosdesdelaperspectivadelantiviruspara determinarqudebemoshacercontraunvirusunavezquereconocemosun accionar virsico en el sistema Enalgunasoportunidadesnotendremosotrasalidamsqueutilizaruna extraccinmanualrealizadapornosotrosmismosEsmuycomnestetipode cosas con los virus de ltima horneada que no les dan tiempo a los fabricantes de antivirusaactualizarsusdefinicionesdevirusLapginadeViruScanpresenta informacinsobrelosltimosvirusaparecidosylaformadeextraerlos manualmente Cuandounomismosevaahacercargodelaeliminacindeunviruses importantecontarconeldisquetedeiniciodelsistemaoperativolimpiodevirus para poder arrancar la computadora 4.9.1 Sntomas ms comunes de virus 49nclusoelmejorsoftwareantiviruspuedefallara lahorade detectarunvirus La educacin delpersonalsobreculessonposiblessntomasdevirus informticos puedeserladiferenciaentreunsimpledolordecabezayungranproblema Veamos algunos sntomas: Los programas comienzan a ocupar ms espacio de lo habitualAparecen o desaparecen archivosCambia el tamao de un programa o un objetoAparecen mensajes u objetos extraos en la pantallaEl disco trabaja ms de lo necesarioLosobjetosqueseencuentranenlapantallaaparecenligeramente distorsionadosLacantidaddeespaciolibredeldiscodisminuyesinningntipode explicacin,Se modifican sin razn aparente el nombre de los ficherosNo se puede acceder al disco duro 5 Anlisis de riesgosElactivomsimportantequeseposeeeslainformaciny,porlotanto,deben existir tcnicas que la aseguren, ms all de la seguridad fsica que se establezca sobrelosequiposenloscualessealmacenaEstastcnicaslasbrindala seguridadlgicaqueconsisteenlaaplicacindebarrerasyprocedimientosque resguardanelaccesoa los datosyslopermitenaccederaellosa laspersonas autorizadas para hacerlo 30Existeunviejodichoenlaseguridadinformticaquedicta:"loquenoest permitido debe estar prohibido" y sta debe ser la meta perseguida Los medios para conseguirlo son: Restringir el acceso (de personas de la organizacin y de las que no lo son) a los programas y archivos Asegurar que los operadores puedan trabajar pero que no puedan modificar losprogramasnilosarchivosquenocorrespondan(sinunasupervisin minuciosa) Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el procedimiento elegido 4Asegurarquelainformacintransmitidasealamismaquerecibael destinatarioalcualsehaenviadoyquenolellegueaotro 5Asegurarqueexistansistemasypasosdeemergenciaalternativosde transmisin entre diferentes puntos 6Organizaracadaunodelosempleadosporjerarquainformtica,con clavesdistintasypermisosbienestablecidos,entodosycadaunodelos sistemasoaplicacionesempleadas 7Actualizarconstantementelascontraseasdeaccesosalossistemasde cmputo 5ELEMENTOS DE UN ANLSS DE RESGO Cuandosepretendedisearunatcnicaparaimplementarunanlisisderiesgo informtico se pueden tomar los siguientes puntos como referencia a seguir: 31Construirunperfildelasamenazasqueestbasadoenlosactivosdela organizacin dentificacin de los activos de la organizacin dentificarlasamenazasdecadaunodelosactivoslistados 4Conocer las prcticas actuales de seguridad 5dentificar las vulnerabilidades de la organizacin 6dentificar los requerimientos de seguridad de la organizacin 7dentificacindelasvulnerabilidadesdentrodelainfraestructura tecnolgica Deteccin de los componentes claves Desarrollarplanesyestrategiasdeseguridadquecontenganlossiguientes puntos: Riesgo para los activos crticos Medidas de riesgos Estrategias de proteccin Planes para reducir los riesgos 32 Referencias Seguridad de la nformacin en Sistemas de Cmputo Luis ngel Rodrguez Ventura ediciones SA de CV http://wwwsegu-infocomar/fisica/seguridadfisicahtm 33 Portada ndice Antecedentes Definicin del problema Justificacin Objetivos Marco referencial Tipo de investigacin Hiptesis Diseo de investigacin Poblacin o muestra Referencias Difusin