Cuando las aplicaciones conectadas terminan la transferencia, realizaran otra negociación a tres bandas con segmentos FIN en vez SYN .
La técnica TCP SYN Scarming, implementa un scaneo de "media-apertura", dado que nunca se abre una sesión TCP completa.
Se envía un paquete SYN (como si se fuera a usar una conexión real) y se espera por la respuesta. Al recibir un SYN/ ACK se envía, inmediatamente, un RST para terminar la conexión y se registra este puerto como abierto.
La principal ventaja de esta técnica de escaneo es que pocos sitios están preparados para registrarlos. La desventaja es que en algunos sistemas Unix, se necesitan privilegios de administrador para construir estos paquetes SYN.
4.4.4.3.3 TCP FIN Scarming- Stealth Port Scarming
Hay veces en que incluso el scaneo SYN no es lo suficientemente "clandestino" o limpio. Algunos sistemas (Firewalls y filtros de paquetes) monitorizan la red en busca de paquetes SYN a puertos restringidos.
Para subsanar este inconveniente los paquetes FIN, en cambio, podrían ser capaces de pasar sin ser advertidos. Este tipo de Scaneo está basado en la idea de que los puertos cerrados tienden a responder a los paquetes FIN con el RST correspondiente. Los puertos abiertos, en cambio, suelen ignorar el paquete en cuestión.
Este es un comportamiento correcto del protocolo TCP, aunque algunos sistemas, entre los que se hallan los de Microsoft@, no cumplen con este requerimiento, enviando paquetes RST siempre, independientemente de si el puerto está abierto o cerrado. Como resultado, no son vulnerables a este tipo de scaneo. Sin embargo, es posible realizarlo en otros sistemas Unix.
Este último es un ejemplo en el que se puede apreciar que algunas vulnerabilidades se presentan en las aplicación de tecnologías (en este caso el protocolo TCP nacido en los años '70) y no sobre sus implementaciones. Es más, se observa que una implementación incorrecta (la de Microsoft) soluciona el problema.
"Muchos de los problemas globales de vulnerabilidades son inherentes al diseño original de algunos protocolos".
4.4.4.3.4 Fragmentation Scarming
Esta no es una nueva técnica de scaneo como tal, sino una modificación de las anteriores. En lugar de enviar paquetes completos de sondeo, los mismos se particionan en un par de pequeños fragmentos IP .Así, se logra partir una cabecera IP en distintos paquetes para hacerlo más difícil de monitorizar por los filtros que pudieran estar ejecutándose en la máquina objetivo.
Sin embargo, algunas implementaciones de estas técnicas tienen problemas con la gestión de este tipo de paquetes tan pequeños, causando una caída de rendimiento en el
Sistema del intruso o en el de la víctima. Problemas de ésta índole convierte en detectables a este tipo de ataque.
4.4.4.4 EA VESDROPPING-PACKET SNIFFING
Muchas redes son vulnerables al Eavesdropping, o a la pasiva intercepción (sin modificación) del tráfico de red.
Esto se realiza con Packet Sniffers, los cuales son programas que monitorean los paquetes que circulan por la red. Los Sniffers pueden ser colocados tanto en una estación de trabajo conectada a la red como a un equipo Router o a un Gateway de Internet, y esto puede ser realizado por un usuario con legítimo acceso, o por un intruso que ha ingresado por otras vías.
Cada maquina conectada a la red (mediante una placa con una dirección única) verifica la dirección destino de los paquetes TCP. Si estas direcciones son iguales asume que el paquete enviado es para ella, caso contrario libera el paquete para que otras placas lo analicen.
Un Sniffer consiste en colocar a la placa de red en un modo llamado promiscuo, el cual desactiva el filtro de verificación de direcciones y por lo tanto todos los paquetes enviados a la red llegan a esta placa (computadora donde está instalado el Sniffer).
Inicialmente este tipo de software, era únicamente utilizado por los administradores de redes locales, aunque con el tiempo llegó a convertirse en una herramienta muy usada por los intrusos.
Actualmente existen Sniffers para capturar cualquier tipo de información especifica. Por ejemplo passwords de un recurso compartido o de acceso a una cuenta, que generalmente viajan sin encriptar al ingresar a sistemas de acceso remoto. También son utilizados para capturar números de tarjetas de crédito y direcciones de e-mails entrantes y salientes. El análisis de tráfico puede ser utilizado también para determínar relaciones entre organizaciones e individuos.
Para realizar estas funciones se analizan las tramas de un segmento de red, y presentan al usuario sólo las que interesan.
Normalmente, los buenos SnifIers, no se pueden detectar, aunque la inmensa mayoría, y debido a que están demasiado relacionados con el protocolo TCP/IP , si pueden ser detectados con algunos trucos.
4.4.4.5 SNOOPING-DOWNLOADING
Los ataques de esta categoría tienen el mismo objetivo que el Sniffing; obtener la información sin modificarla.
Sin embargo los métodos son diferentes. Aquí, además de interceptar el tráfico de red, el atacante ingresa a los documentos, mensajes de correo electrónico y otra información guardada, realizando en la mayoría de los casos un downloading (copia de documentos) de esa información a su propia computadora, para luego hacer un análisis exhaustivo de la misma.
El Snooping puede ser realizado por simple curiosidad, pero también es realizado con fines de espionaje y robo de información o software. Los casos mas resonantes de este tipo de ataques fueron: el robo de un archivo con mas de 1700 números de tarjetas de crédito desde una compañía de música mundialmente famosa, y la difusión ilegal de reportes oficiales reservados de las Naciones Unidas, acerca de la violación de derechos humanos en algunos países europeos en estado de guerra.
4.4.5 ATAQUES DE AUTENTIFICACIÓN
Este tipo de ataque tiene como objetivo engañar al sistema de la víctima para ingresar al mismo. Generalmente este engaño se realiza tomando las sesiones ya establecidas por la víctima u obteniendo su nombre de usuario y password.
4.4.5.1 SPOOFING-LOOPING
Spoofing puede traducirse como "hacerse pasar por otro" y el objetivo de esta técnica, justamente, es actuar en nombre de otros usuarios, usualmente para realizar tareas de Snooping o Tampering (ver a continuación Ataques de Modificación y Daño ).
Una forma común de Spoofing es conseguir el nombre y el password de un usuario legítimo para, una vez ingresado al sistema, tomar acciones en nombre de él.
El intruso usualmente utiliza un sistema para obtener información e ingresar en otro, y luego utiliza este para entrar en otro, y así sucesivamente. Este proceso, llamado Looping, tiene la finalidad de "evaporar" la identificación y la ubicación del atacante.
El camino tomado desde el origen hasta el destino puede tener muchas estaciones, que exceden obviamente los límites de un país. Otra consecuencia del Looping es que una compañía o gobierno pueden suponer que están siendo atacados por un competidor o una agencia de gobierno extranjera, cuando en realidad están seguramente siendo atacado por un Insider, o por un estudiante a miles de Kilómetros de distancia, pero que ha tomado la identidad de otros.
La investigación de procedencia de un Looping es casi imposible, ya que el investigador debe contar con la colaboración de cada administrador de cada red utilizada en la ruta.
El envío de falsos e-mails es otra forma de Spoofing que las redes permiten. Aquí el atacante envía e-mails a nombre de otra persona con cualquier motivo y objetivo. Tal fue el caso de una universidad en EE. UU .que en 1998, que debió reprogramar una fecha completa de exámenes ya que alguien en nombre de la secretaría había cancelado la fecha verdadera y enviado el mensaje a toda la nómina de estudiantes.
Muchos ataques de este tipo comienzan con Ingeniería Social, y los usuarios, por falta de cultura, facilitan a extraños sus identificaciones dentro del sistema usualmente través de una simple llamada telefónica.
4.4.5.2 SPOOFING
Este tipo de ataques (sobre protolocos) suele implicar un buen conocimiento del protocolo en el que se va a basar el ataque. Los ataques tipo Spoofing bastante conocidos son el IP Spoofing, el DNS Spoofing y el Web Spoofing.
4.4.5.2.1 IP Spoofing
Con el IP Spoofing, el atacante genera paquetes de Internet con una dirección de red falsa en el campo From, pero que es aceptada por el destinatario del paquete. Su utilización más común es enviar los paquetes con la dirección de un tercero, de forma que la víctima "ve" un ataque proveniente de esa tercera red, y no la dirección real del intruso.
El esquema con dos puentes es el siguiente:
Gráfico 4.3 -Ataque Spooflng
Nótese que si la Victima descubre el ataque verá a la PC-2 como su atacante y no el verdadero origen.
Este ataque se hizo famoso al usarlo Kevin Mitnick.
4.4.5.2.2 DNS Spoofing
Este ataque se consigue mediante la manipulación de paquetes UDP pudiéndose comprometer el servidor de nombres de dominios (Domain Name Server-DNS) de Windows NT©. Si se permite el método de recursión en la resolución de "Nombres – Dirección IP" en el DNS, es posible controlar algunos aspectos del DNS remoto. La recursión consiste en la capacidad de un servidor de nombres para resolver una petición de dirección IP a partir de un nombre que no figura en su base de datos. Este es el método de funcionamiento por defecto.
4.4.5.3 Web Soofing
En este caso el atacante crea un sitio web cmpleto (falso) similar al que la víctima desea entrar. Los accesos a este sitio están dirigidos por el atacante. Permitiéndole monitorear todas las acciones de la víctima, desde sus datos hasta las passwords, números de tarjeta de créditos, etc.
El atacante también es libre de modificar cualquier dato que se esté transmitiendo entre el servidor original y la víctima o viceversa.
4.4.5.5 UTILIZACIÓN DE BACKDOORS
"Las puertas traseras son trozos de código en un programa que permiten a quien las conoce saltarse los métodos usuales de autentificación para realizar ciertas tareas.
Habitualmente son insertados por los profamadores del sistema para agilizar la tarea de probar código durante la fase de desarrollo" .
Esta situación se convierte en una falla de seguridad si se mantiene, involuntaria o intencionalmente, una vez terminado el producto ya que cualquiera que conozca el agujero o lo encuentre en su código podrá saltarse los mecanismos de control normales.
4.4.5.6 UTILIZACIÓN DE EXPLOITS
Es muy frecuente ingresar a un sistema explotando agujeros en los algoritmos de encriptación utilizados, en la administración de las claves por parte la empresa, o simplemente encontrando un error en los programas utilizados.
Los programas para explotar estos "agujeros" reciben el nomrne de Exploits y lo que realizan para aprovechar la debilidad, fallo o error hallado en el sistema (hardware o software) para ingresar al mismo.
Nuevos Exploits (explotando nuevos errores en los sistemas) se publican cada día por lo que mantenerse informado de los mismos y de las herramientas para combatirlos es de vital importancia.
4.4.5.7 OBTENCIÓN DE PASSWORDS
Este método comprende la obtención por "Fuerza Bruta.. de aquellas claves que permiten ingresar a los sistemas. aplicaciones. cuentas, etc. atacados.
Muchas passwords de acceso son obtenidas fácilmente porque involucran el nombre u otro dato familiar del usuario Y. además. esta nunca (o rara vez) se cambia. En esta caso el ataque se simplifica e involucra algún tiempo de prueba y error. Otras veces se realizan
ataques sistemáticos (incluso con varias computadoras a la vez) con la ayuda de programas especiales y ."diccionarios" que prueban millones de posibles claves hasta encontrar la password correcta.
La política de administración de password será discutida en capítulos posteriores.
4.4.5.7.1 Uso de Diccionarios
Los Diccionarios son archivos con millones de palabras, las cuales pueden ser posibles passwords de los usuarios. Este archivo es utilizado para descubrir dicha password en pruebas de fuerza bruta.
El programa encargado de probar cada una de las palabras encripta cada una de ellas.
mediante el algoritmo utilizado por el sistema atacado, y compara la palabra encriptada contra el archivo de passwords del sistema atacado (previamente obtenido). Si coinciden se ha encontrado la clave de acceso al sistema, mediante el usuario correspondiente a la clave hallada.
Actualmente es posible encontrar diccionarios de gran tamaí1o orientados, incluso. a un área específico de acuerdo al tipo de organización que se este atacando.
En la tabla 4.4 podemos observar el tiempo de búsqueda de una clave de acuerdo a su longitud y tipo de caracteres utilizados. La velocidad de búsqueda se supone en 100.000 passwords por segundo. aunque este número suele ser mucho mayor dependiendo del programa utilizado.
Cantidad de Caracteres | 26-Letras minúsculas | 36- Letras y dígitos | 52-Mayúsculas y minúsculas | 96-Todos los caracteres |
6 | 51 minutos | 6 horas | 2,3 dias | 3 meses |
7 | 22,3 horas | 9 dias | 4 meses | 24 años |
8 | 24 dias | 10,5 meses | 17 años | 2.288 años |
9 | 21 meses | 32,6 años | 890 años | 219.601 años |
10 | 45 años | 1.160 años | 45.840 años | 21.081.705 años |
Tabla 4.4 -Cantidad de claves generadas según el número de caracteres empleado
Aquí puede observarse la importancia de la utilización de passwords con al menos 8 caracteres de longitud y combinando todos los caracteres disponibles. En el siguiente Capítulo podrá estudiarse las normas de claves relativamente seguras y resistentes.
4.4.6 DENIAL OF SERVICE (DoS)
Los protocolos existentes actualmente fueron diseñados para ser empleados en una comunidad abierta y con una relación de confianza mutua. La realidad indica que es más fácil desorganizar el funcionamiento de un sistema que acceder al mismo; así los ataques de Negación de Servicio tienen como objetivo saturar los recursos de la víctima de forma tal que se inhabilita los servicios brindados por la misma.
Mas allá del simple hecho de bloquear los servicios del cliente, existen algunas rezones importantes por las cuales este tipo de ataques pueden ser útiles a un atacante:
1. Se ha instalado un troyano y se necesita que la víctima reinicie la máquina para que surta efecto.
2. Se necesita cubrir inmediatamente sus acciones o un uso abusivo de CPU. Para ello provoca un "crash" del sistema, generando así la sensación de que ha sido algo pasajero y raro.
3. El intruso cree que actúa bien al dejar fuera de servicio algún sitio web que le disgusta. Este accionar es común en sitios pornográficos, religiosos o de abuso de menores.
4. El administrador del sistema quiere comprobar que sus instalaciones no son vulnerables a este tipo de ataques.
5. El administrador del sistema tiene un proceso que no puede "matar" en su servidor y, debido a este, no puede acceder al sistema. Para ello, lanza contra sí mismo un ataque DoS deteniendo los servicios.
JAMMING O FLOODING
Este tipo de ataques desactivan o saturdll los recursos del sistema, Por ejemplo, un atacante puede consumir toda la memoria o espacio en disco disponible, así como enviar tanto tráfico a la red que nadie más pueda utilizarla.
Aquí el atacante satura el sistema de mensajes que requieren establecer conexión. Sin embargo, en vez de proveer la dirección IP del emisor, el mensaje contiene falsas direcciones IP usando spoofing y Looping. El sistema responde al mensaje, pero como no recibe respuesta, acumula buffers con información de las conexiones abiertas, no dejando lugar a las conexiones legítimas. Muchos ISPs (proveedores de Internet) han sufrido bajas temporales del servicio por ataques que explotan el protocolo TCP. Muchos Hosts de Internet han sido dados de baja por el "ping de la muerte" (una versión-trampa del comando ping).
Mientras que el ping normal simplemente verifica si un sistema esta enlazado a la red, el ping de la muerte causa el bloqueo instantáneo del equipo. Esta vulnerabilidad ha sido ampliamente utilizada en el pasado pero, aún hoy pueden encontrarse sistemas vulnerables.
Otra acción común es la de enviar millares de e-mails sin sentido a todos los usuarios posibles en forma continua, saturando los sistemas destinos.
4.4.6.9 E-Mail Bombing-Spamming
El e-mail Bombing consiste en enviar muchas veces un mensaje idéntico a una misma dirección. saturando así el mailbox del destinatario.
El Spamming, en cambio se refiere a enviar un e-mail a miles de usuarios, hayan estos solicitados el mensaje o no. Es muy utilizado por las empresas para publicitar sus productos.
El Spamming esta siendo actualmente tratado por las leyes europeas (principalmente España) como una violación de los derechos de privacidad del usuario.
4.4.7 ATAQUES DE MODIFICACIÓN-DAÑO
4.4.7.1 TAMPERING O DATA DIDDLING
Esta categoría se refiere a la modificación desautorizada de los datos o el software instalado en el sistema víctima, incluyendo borrado de archivos. Son particularmente serios cuando el que lo realiza ha obtenido derechos de administrador o Supervisor, con la capacidad de disparar cualquier comando y por ende alterar o borrar cualquier información que puede incluso terminar en la baja total del sistema.
Aún así, si no hubo intenciones de "bajar" el sistema por parte del atacante; el administrador posiblemente necesite darlo de baja por horas o días hasta chequear y tratar de recuperar aquella información que ha sido alterada o borrada.
Como siempre, esto puede ser realizado por Insiders o Outsiders, generalmente con el propósito de fraude o de dejar fuera de servicio a un competidor.
Son innumerables los casos de este tipo: empleados bancarios (o externos) que crean falsas cuentas para derivar fondos de otras cuentas, estudiantes que modifican calificaciones de exámenes, o contribuyentes que pagan para que se les anule una deuda impositiva.
Múltiples Web Sites han sido víctimas del cambio en sus páginas por imágenes ( o manifiestos) terroristas o humorísticos, como el ataque de The Mentor, ya visto, a la NASA; o la reciente modificación del Web Sites del CERT (mayo de 2001).
Otras veces se reemplazan versiones de software por otroS con el mismo nombre pero que incorporan código malicioso (virus, troyanos, etc.). La utilización de programas troyanos y difusión de virus esta dentro de esta categoría, y se profundizará sobre el tema en otra sección el presente capítulo.
4.4.7.2 BORRADO DE HUELLAS
El borrado de huellas es una de las tareas mas importantes que debe realizar el intruso después de ingresar en un sistema, ya que, si se detecta su ingreso, el administrador buscará como conseguir "tapar el hueco" de seguridad, evitar ataques futuros e incluso rastrear al atacante.
Las Huellas son todas las tareas que realizó el intruso en el sistema y por lo general son almacenadas en Logs (archivo que guarda la información de lo que se realiza en el sistema) por el sistema operativo.
Los archivos logs son una de las principales herramientas con las que cuenta un administrador para conocer los detalles de las tareas realizadas en el sistema y la detección de intrusos.
4.4.7.3 ATAQUES MEDIANTE JAVA APPLETS
Java es un lenguaje de programación interpretado, desarrollado inicialmente por la empresa SUN .Su mayor popularidad la merece por su alto grado de seguridad. Los más usados navegadores actuales, implementan Máquinas Virtuales Java (MVJ) para ser capacesde ejecutar programas (Applets) de lava.
Estos Applet, al fin y al cabo, no son más que código ejecutable y como tal, susceptible de ser manipulado por intrusos. Sin embargo, partiendo del diseño, lava siempre ha pensado en la seguridad del sistema. Las restricciones a las que somete a los Applets Son de tal envergadura (imposibilidad de trabajar con archivos a no ser que el usuario especifique lo contrario, imposibilidad de acceso a zonas de memoria y disco directamente, firma digital, etc. ) Que es muy difícil lanzar ataques. Sin embargo, existe un grupo de expertos especializados en descubrir fallas de seguridad en las implementaciones de las MV J .-
4.4.7.4 ATAQUES CON JAVASCRIPT y VBSCRIPT
JavaScript (de la empresa Netscape®) y VBScript (de Microsoft®) son dos lenguajes usados por los diseñadores de sitios Web para evitar el uso de lava. Los programas realizados son interpretados por el navegador .
Aunque loS fallos son mucho mas numerosos en versiones antiguas de Javascript, actualmente se utilizan para explotar vulnerabilidades específicas de navegadores y servidores de correo ya que no se realiza ninguna evaluación sobre si el código.
4.4.7.5 ATAQUES MEDIANTE ACTIVEX
ActíveX es una de las tecnologías más potentes que ha desarrollado Microsoft®.
Mediante ActiveX es posible reutilizar código, descargar código totalmente funcional de un sitio remoto, etc. Esta tecnología es considerada la respuesta de Microsoft@ a Java.
ActiveX soluciona los problemas de seguridad mediante certificaciones y firmas digitales.
Una Autoridad Certificadora (AC) expende un certificado que acompaña a los controles activos ya una firma digital del programador.
Cuando un usuario descarta una página con un control. se le preguntará si confía en la AC que expendió el certificado y/o en el control ActiveX. Si el usuario acepta el control, éste puede pasar a ejecutarse si ningún tipo de restricciones (solo las propias que tenga el usuario en el sistema operativo). Es decir, la responsabilidad de la seguridad del sistema se deja en manos de! usuario, ya sea este un experto cibernauta consciente de los riesgos que puede acarrear la acción o un perfecto novato en la materia.
Esta última característica es el mayor punto débil de los controles ActiveX ya que la mayoría de los usuarios aceptan el certificado sin siquiera leerlo, pudiendo ser esta la fuente de un ataque con un control dañino.
La filosofía de ActiveX es que las autoridades de certificación se fían de la palabra del programador del control. Es decir, el programador se compromete a firmar un documento que asegura que el control no es nocivo, evidentemente siempre hay programadores con pocos escrúpulos o con ganas de experimentar.
Así, un conocido grupo de hackers alemanes[10]desarrolló un control ActiveX maligno que modificaba el programa de Gestión Bancaria Personal Quicken95 de tal manera que si un usuario aceptaba el control, éste realizaba la tarea que supuestamente tenía que hacer y además modificaba el Quicken, para que la próxima vez que la victima se conectara a su banco, se iniciara automáticamente una transferencia a una cuenta del grupo alemán .
Otro controi ActiveX muy especialmente malévolo es aquel que manipula el código de ciertos exploradores, para que éste no solicite confinación al usuario a la hora de descargar otro control activo de la Web. Es decir, deja totalmente descubierto, el sistema de la víctima, a ataques con tecnología ActiveX.
La autentificación de usuarios mediante Certificados y las Autoridades Certificadoras será abordada con profundidad en capítulos posteriores.
4.4.7.6 VULNERABILIDADES EN LOS NAVEGADORES
Generalmente los navegadores no fallan por fallos intrínsecos, sino que fallan las tecnologías que implementan, aunque en este punto analizaremos realmente fallos intrínsecos de los navegadores, como pueden ser los "Buffer Overtfow".
los "Buffer Overtfow" consisten en explotar una debilidad relacionada con los buffers que la aplicación usa para almacenar las entradas de usuario. Por ejemplo, cuando el usuario escribe una dirección en formato URL ésta se guarda en un buffer para luego procesarla. Si no se realizan las oportunas operaciones de comprobación, un usuario podría manipular estas direcciones.
Los protocolos usadods pueden ser http, pero también otros menos conocidos, internos de cada explorador, como el "res: " o el "mk: ". Precisamente existen fallos de seguridad del tipo "Buffer Overtfow" en la implementación de estos dos protocolos.
Además la reciente aparición (octubre de 2000) de vulnerabilidades del tipo Transversal en el servidor Web Internet Infonnation Server de la empresa Microsoft), explotando fallas en la traducción de caracteres Unicode, puso de manifiesto cuan fácil puede resultar explotar una cadena no validada. Por ejemplo:
www.servidor.com/-vtin/..%CO%af../..%cO%af../..%cO%af../winnt/svstem32/cmd.exe?/c+dir+c:
devuelve el directorio de la unidad c: del servidor deseado.
Para poder lanzar este tipo de ataques hay que tener un buen conocimiento de lenguaje Assembler y de la estl11ctura interna de la memoria del sistema operativo utilizado o bien, leer la documentación de sitios web donde explican estas fallas.
Tambien se puede citar el fallo de seguridad descubierto por Cybernost Industries® relativo a los archivos "./nk" y ".url"de Windows 95c.1 y NT" respectivamente. Algunas versiones de Microsoft Internet Explorer podían ser utilizadas para ejecutar la aplicación que se deseara siempre que existiera en la computadora de la víctima (por ejemplo el tan conocido format.com).
Para más información relacionada con los ataques intrínsecos a los navegadores, se aconsejan las páginas no oficiales de seguridad tanto en Internet Explorer como en Netscape comunicator
4.4.8 ERRORES DE DISENO, IMPLEMENTACIÓN Y OPERACIÓN
Muchos sistemas están expuestos a "agujeros't de seguridad que son explotados para acceder a archivos, obtener privilegios o realizar sabotaje. Estas vulnerabilidades ocurren por variadas razones, y miles de "puertas invisibles" son descubiertas cada día en sistemas operativos, aplicaciones de software, protocolos de red, browsers de Internet, correo electrónico y todas clase de servicios informáticos disponibles.
Los Sistemas operativos abiertos (como Unix y Linux) tienen agujeros mas conocidos y controlados que aquellos que existen en sistemas operativos cerrados (como Windows). La importancia y ventaja del código abierto radica en miles de usuarios analizan dicho código en busca de posibles bugs y ayudan a obtener soluciones en forma inmediata.
Constantemente se encuentran en Internet avisos de nuevos descubrimientos de problemas de seguridad, herramientas de Hacking y Exploits que los explotan, por lo que hoy también se hace indispensable contar con productos que conocen esas debilidades, puedan diagnosticarlas y actualizar el programa afectado con el parche adecuado.
4.4.9 IMPLEMENTACIÓN DE ESTAS TÉCNICAS
A lo largo de mi investigación he recopilando distinto tipos de programas que son la aplicación de las distintas técnicas enumeradas anteriormente. La mayoría de las mismos son encontrados fácilmente en Internet en versiones ejecutables, y de otros se encuentra el código fuente. generalmente en lenguaje C, Java y Perl.
Cada una de las técnicas explicadas pueden ser utilizadas por un intruso en un ataque.
A continuación se intentarán establecer el orden de utilización de las mismas, pero siempre remarcando que un ataque insume mucha paciencia, imaginación acumulación de conocimientos y experiencia dada, en la mayoría de los casos por prueba y error.
1. Identificación del problema (víctima): en esta etapa se recopila toda la información posible de la víctima. Cuanta más información se acumule, más exacto y preciso será el ataque, más fácil será eliminar las evidencias y más dificil será su rastreo.
2. Exploración del sistema víctima elegido: en esta etapa se recopila información sobre los sistemas activos de la víctima, cuales son los más vulnerables y cuales seencuentran disponibles. Es importante remarcar que si la victima parece apropiada en la etapa de Identificación, no significa que esto resulte así en esta segunda etapa.
3. Enumeración: en esta etapa se identificaran las cuentas activas y los recursos compartidos mal protegidos. La diferencia con las etapas anteriores es que aquí se establece una conexión activa a los sistemas y la realización de consultas dirigidas. Estas intrusiones pueden (y deberían) ser registradas, por el administrador del sistema, o al menos detectadas para luego ser bloqueadas.
4. Intrusión propiamente dicha: en esta etapa el intruso conoce perfectamente el sistema y sus debilidades y comienza a realizar las tareas que lo llevaron a trabajar, en muchas ocasiones, durante meses.
Contrariamente a lo que se piensa, los sistemas son difíciles de penetrar si están bien administrados y configurados. Ocasionalmente los defectos propios de la arquitectura de los sistemas proporciona un fácil acceso, pero esto puede ser, en la mayoría de los casos, subsanado aplicando las soluciones halladas.
El anexo m se brinda una lista de herramientas disponibles, las cuales son la implementación de las técnicas estudiadas.
4.4.10 ¿CÓMO DEFENDERSE DE ESTOS ATAQUES?
La mayoría de los ataques mencionados se basan en fallos de diseño inherentes a Internet (y sus protocolos) ya los sistemas operativos utilizados, por lo que no son "solucionables" en un plazo breve de tiempo.
La solución inmediata en cada caso es mantenerse informado sobre todos los tipos de ataques existentes y las actualizaciones que permanentemente lanzan las empresas desarrolladoras de software, principalmente de sistemas operativos.
Las siguientes son medidas preventivas. Medidas que toda red y administrador deben conocer y desplegar cuanto antes:
1. Mantener las máquinas actualizadas y seguras físicamente.
2. Mantener personal especializado en cuestiones de seguridad (o subcontratarlo ).
3. Aunque una máquina no contenga información valiosa, hay que tener en cuenta que puede resultar útil para un atacante, a la hora de ser empleada en un DOS coordinado o para ocultar su verdadera dirección.
4. No permitir el tráfico "broadcast" desde fuera de nuestra red. De esta forma evitamos ser empleados como "multiplicadores" durante un ataque Smurf.
5. Filtrar el tráfico IP Spoof.
6. Auditorias de seguridad y sistemas de detección.
7. Mantenerse informado constantemente sobre cada unas de las vulnerabilidades encontradas y parches lanzados. Para esto es recomendable estar suscripto a listas que brinden este servicio de información.
8. Por último, pero quizás lo más importante, la capacitación continua del usuario.
4.5 CREACIÓN y DIFUSIÓN DE VIRUS
Quizás uno de los temas más famosos y sobre los que más mitos e historias fantásticas se corren en el ámbito informático sean los Virus.
Pero como siempre en esta obscura realidad existe una parte que es cierta y otra que no
lo es tanto. Para aclarar este enigma veamos porque se eligió la palabra Virus (del latín
Veneno) y que son realmente estos "parásitos".
4.5.1 VIRUS INFORMÁTICOS VS. VIRUS BIOLÓGICOS
Un análisis comparativo de analogías y diferencias entre las dos "especies" , muestra que las similitudes entre ambos son poco menos que asombrosas. Para notarlas ante todo debemos saber con exactitud que es un Virus Informático y que es un Virus Biológico.
Virus informático: (VI): Pequeño programa , invisible para el usuario (no detectable por el sistema operativo) y de actuar específico y subrepticio, cuyo código incluye información suficiente y necesaria para que, utilizando los mecanismos de ejecución que le ofrecen otros programas a través del microprocesador, puedan reproducirse formando réplicas de sí mismos (completas, en forma discreta, en un archivo, disco o computadora distinta a la que ocupa), susceptibles de mutar; resultando de dicho proceso la modificación, alteración y/o destrucción de los programas, información y/o hardware afectados (en forma lógica).
"Un virus responde al modelo DAS: Dañino, autorreplicante y subrepticio"
Virus Biológico (VB): Fragmentos de ADN o ARN cubiertos de una capa proteica. Se reproducen solo en el interior de células vivas, para lo cual toman el control de sus enzimas y metabolismo. Sin esto son tan inertes como cualquier otra macromolécula.18
Algunas analogías entre ambos son:
1. Los VB están compuestos por ácidos nucleicos que contienen información (programa dañino o V1) suficiente y necesaria para que utilizando los ácidos de la célula huésped (programa infectado por los VI) puedan reproducirse a sí mismos.
2. Los VB no poseen metabolismo propio. por lo tanto no manifiestan actividad fuera del huésped. Esto también sucede en los VI, por ejemplo, si se apaga la máquina o si el virus se encuientra en un disquete que está dentro de un cajón.
3. El tamaño de un VB es relativamente pequedo en comparación con las células que infectan. Con los VI sucede lo mismo. Tanto los VB como los VI causan un daño sobre el huésped.
4. Ambos Virus Inician su actividad en forma oculta y sin conocimiento de su huésped, y suelen hacerse evidentes luego de que el daño ya es demasiado alto como para corregirse.
La finalidad de un VB (según la ciencia) es la reproducción y eventual destrucción del huésped como consecuencia. La de los VI pueden ser muchos los motivos de su creación (por parte de su autor), pero también terminan destruyendo o modificando de alguna manera a su huésped. Ambos virus contienen la información necesaria para su replicación y eventual destrucción. La diferencia radica en la forma de contener esta información: en los VB es un código gen ético y en los VI es código binario.
El soporte de la información también es compartida por ambos "organismos". En los VB el soporte lo brinda el ADN 0 ARN (soporte orgánico). En los VI el soporte es un medio magnético (inorgánico)
Ambos tipos de virus son propagados de diversa formas (y raramente en todas ellas). En el caso de los VB su medio de propagación es el aire, agua, contacto directo, etc. Los VI pueden propagarse introduciendo un disquete infectado en una computadora sana (y ejecutando la zona infectada, ) o viceversa: de RAM infectada a un disquete sano; o directamente aprovechando un flujo de electrones: MODEM, red, etc.
En ambos casos sucede que la reproducción es de tipo replicativo del original y cuya exactitud dependerá de la existencia de mutaciones o no.
Ambas entidades cumplen con el patrón de epidemiología médica.
El origen de una entidad generalmente es desconocido, pero lo que se sabe con exactitud es que los VI son producidos por seres humanos y que los VB son entidades de origen biológico y últimamente de origen humano (armas biológicas).
Son, sin dudas, muchas más analogías que pueden encontrarse haciendo un análisis más exhaustivo de ambas entidades, pero que trascenderían los límites de este informe. La idea solamente dejar bien en claro que no existe ningún extraño, oscuro o sobrenatural motivo que dé explicación a un VI. Simplemente es un programa más, que cualquiera de nosotros sería capaz de concebir… con las herramientas e intenciones apropiadas del caso.
4.5.4 DESCRIPCIÓN DE UN VIRUS
Si bien un VI es un ataque de tipo Tampering, difiere de este porque puede ser ingresado al sistema por un dispositivo externo (diskettes) o a través de la red (e-mails u otros protocolos) sin intervención directa del atacante. Dado que el virus tiene como característica propia su autorreproducción, no necesita de mucha ayuda para propagarse rápidamente.
Existen distintos tipos de virus, como aquellos que infectan archivos ejecutables (.EXE, .COM, .DLL, etc), los sectores de Boot y la Tabla de Partición de los discos.
Actualmente los que causan mayores problemas son los macro-virus y script-virus, que están ocultos en simples documentos, planillas de cálculo, correo electrónico y aplicaciones que utiliza cualquier usuario de PC. La difusión se potencia con la posibilidad de su transmisión de un continente a otro a través de cualquier red o Internet. Y además son multiplataforma, es decir, no dependen de un sistema operativo en particular, ya que un documento puede ser procesado tanto en Windows 95/98/NT/2000, como en una Macintosh u otras.
4.5.4.1 TÉCNICAS DE PROPAGACIÓN
Actualmente las técnicas utilizadas por los virus para logra su propagación y subsistencia son muy variadas y existen aquellos que utilizan varias de ellas para lograrlo.
1. Disquetes y otros medios removibles. A la posibilidad de que un disquete contenga un archivo infectado se une el peligro de que integre un virus de sector de arranque {Boot). En este segundo caso, y si el usuario lo deja en la disquetera, infectará el ordenador cuando lo encienda, ya que el sistema' intentará arrancar desde el disquete.
2. Correo electrónico: el usuario no necesita hacer nada para recibir mensajes que en muchos casos ni siquiera ha solicitado y que pueden llegar de cualquier lugar del mundo. Los mensajes de correo electrónico pueden incluir archivos, documentos o cualquier objeto ActiveX-Java infectado que, al ejecutarse, contagian la computadora del usuario. En las últimas generaciones de virus se envían e-mails sin mensajes pero con archivos adjuntos (virus) que al abrirlos proceden a su ejecución y posterior infección del sistema atacado. Estos virus poseen una gran velocidad de propagación ya que se envían automáticamente a los contactos de la libreta de direcciones del sistema infectado.
3. IRC o Chat: las aplicaciones de mensajería instantánea (ICQ, AOL Instant Messenger, etc.) o Internet Relay Chat (IRC), proporcionan un medio de comunicación anónimo, rápido, eficiente, cómodo y barato. Sin embargo, también son peligrosas, ya que los entornos de chat ofrecen, por regla general, facilidades para la transmisión de archivos, que conllevan un gran riesgo en un entorno de red.
4. Páginas web y transferencia de archivos vía FTP: los archivos que se descargan de Internet pueden estar infectados, y pueden provocar acciones dañinas en el sistema en el que se ejecutan.
5. Grupos de noticias: sus mensajes e información (archivos) pueden estar infectados y, por lo tanto, contagiar al equipo del usuario que participe en ellos.
4.5.4.2 TIPOS DE VIRUS
Un virus puede causar daño lógico (generalmente) o físico (bajo ciertas circunstancias y por repetición) de la computadora infectada y nadie en su sano juicio deseará ejecutarlo.
Para evitar la intervención del usuario los creadores de virus debieron inventar técnicas de las cuales valerse para que su "programa" pudiera ejecutarse. Estas son diversas y algunas de lo mas ingeniosas.
4.5.4.2.1 Archivos Ejecutable (virus ExeVir)
El virus se adosa a un archivo ejecutable y desvía el flujo de ejecución a su código, para luego retomar al huésped y ejecutar las acciones esperadas por el usuario. Al realizarse esta acción el usuario no se percata de lo sucedido. Una vez que el virus es ejecutado se aloja en memoria y puede infectar otros archivos ejecutables que sean abiertos en esa máquina.
En este momento su dispersión se realiza en sistema de 16 bits (DOS) y de 32 bits (Windows) indistintamente, atacando programas .COM, .EXE, .DLL, .SVS, .PIF, etc, según el sistema infectado.
Ejemplos: Chemovil, Darth Vader, PHX
Gráfico 4.5 -Técnicas de Infección en Archivos Ejecutables
4.5.4.2.2 Virus en el Sector de Arranque (Virus ACSO Anterior a la Carga del SO)
En los primeros 512 bytes de un disquete formateado se encuentran las rutinas necesarias para la carga y reconocimiento de dicho disquete. Entre ellas se encuentra la función invocada si no se encuentra el Sistema Operativo. Es decir que estos 512 bytes se ejecutan cada vez que se intenta arrancar (bootear) desde un disquete (o si se dejó olvidado uno en la unidad y el orden de booteo de la PC es A: y luego C:). Luego, esta área es el objetivo de un virus de booteo.
Se guarda la zona de booteo original en otro sector del disco (generalmente uno muy cercano o los más altos ). Luego el virus carga la antigua zona de booteo. Al arrancar el disquete se ejecuta el virus (que obligatoriamente debe tener 512 bytes o menos) quedando residente en memoria; luego ejecuta la zona de booteo original, salvada anteriormente. Una vez más el usuario no se percata de lo sucedido ya que la zona de booteo se ejecuta iniciando el sistema operativo (si existiera) o informando la falta del mismo.
Ejemplo: 512, Stoned, Michelangelo, Diablo.
4.5.4.2.3 Virus Residente
Como ya se mencionó, un virus puede residir en memoria. El objetivo de esta acción es controlar los accesos a disco realizados por el usuario y el Sistema Operativo. Cada vez que se produce un acceso, el virus verifica si el disco o archivo objetivo al que se accede, está infectado y si no lo está procede a almacenar su propio código en el mismo. Este código se almacenará en un archivo, tabla de partición, o en el sector de booteo, dependiendo del tipo de virus que se trate.
Ejemplos: 512, Avispa, Michelangelo, DIR II.
4.5.4.2.4 Macrovirus
Estos virus infectan archivos de información generados por aplicaciones de oficina que cuentan con lenguajes de programación de macros. Últimamente son los más expandidos ya que todos los usuarios necesitan hacer intercambio de documentos para realizar su trabajo. Los primeros antecedentes de ellos fueron con las macros de Lotus 123®) que ya eran lo suficientemente poderosas como permitir este tipo de implementación. Pero los primeros de difusión masiva fueron desarrollados a principios de los '90 para el procesador de texto Microsoft WORD®), ya que este cuenta con el lenguaje de programación Word Basic®).
Su principal punto fuerte fue que terminaron con un paradigma de la seguridad informática: "los únicos archivos que pueden infectarse son los ejecutables" y todas las tecnologías antivirus sucumbieron ante este nuevo ataque.
Su funcionamiento consiste en que si una aplicación abre un archivo infectado, la aplicación (o parte de ella) se infecta y cada vez que se genera un nuevo archivo o se modifique uno existente contendrá el macrovirus.
Ejemplos:
De Microsoft Word: CAP I, CAP n, Concept, Wazzu.
De Microsoft Excel: Laroux.
De Lotus Amipro: GreenStripe
4.5.4.2.5 Virus de Mail
El "último grito de la tecnología" en cuestión de virus. Su modo de actuar, al igual que los anteriores, se basa en la confianza excesiva por parte del usuario: a este le llega vía mail un mensaje con un archivo comprimido (.ZIP por ejemplo), el usuario lo descomprime y al
terminar esta acción, el contenido (virus ejecutable) del archivo se ejecuta y comienza el daño.
Este tipo de virus tomó relevancia estos últimos años con al explosión masiva de Internet y últimamente con el virus Melissa y I Love You. Generalmente estos virus se auto envían a algunas de las direcciones de la libreta. Cada vez que uno de estos usuarios recibe el supuesto mensaje no sospecha y lo abre, ocurriendo el mismo reenvío y la posterior saturación de los servidores al existir millones de mensajes enviados.
4.5.4.2.6 Virus de Sabotaje
Son virus construidos para sabotear un sistema o entorno específico. Requieren de conocimientos de programación pero también una acción de inteligencia que provea información sobre el objetivo y sus sistemas.
4.5.4.2.7 Hoax, los Virus Fantasmas
El auge del correo electrónico generó la posibilidad de transmitir mensajes de alerta de seguridad. Así comenzaron a circular mensajes de distinta índole (virus, cadenas solidarias, beneficios, catástrofes, etc.) de casos inexistentes. Los objetivo de estas alertas pueden causar alarma, la pérdida de tiempo, el robo de direcciones de correo y la saturación de los servidores con las consecuentes pérdidas de dinero que esto ocasiona.
4.5.4.2.8 Virus de Applets lava y Controles ActiveX
Si bien, como ya se comentó, estas dos tecnologías han sido desarrolladas teniendo como meta principal la seguridad, la práctica demuestra que es posible programar virus sobre ellas. Este tipo de virus se copian y se ejecutan a sí mismos mientras el usuario mantiene una conexión a Internet.
4.5.4.2.9 Reproductores-Gusanos
Son programas que se reproducen constantemente hasta agotar totalmente los recursos del sistema huésped y/o recopilar información relevante para enviarla a un equipo al cual su creador tiene acceso.
4.5.4.2.10 Caballos de Troya
De la misma forma que el antiguo caballo de Troya de la mitología griega escondía en su interior algo que los troyanos desconocía, y que tenía una función muy diferente a la que ellos podían imaginar; un Caballo de Troya es un programa que aparentemente realiza una función útil pero además realiza una operación que el usuario desconoce y que generalmente beneficia al autor del troyano o daña el sistema huésped.
Si bien este tipo de programas NO cumplen con las condiciones de autorreproducción de los virus, encuadran perfectamente en la características de programa dañino.
Consisten en introducir dentro de un programa una rutina o conjunto de instrucciones, no autorizadas y que la persona que la e.jecuta no conoce, para que dicho programa actúe de una forma diferente a como estaba previsto.
Los ejemplos más conocidos de troyanos son el back Oriffice y el Net Bus que, si bien no fueron desarrollados con ese fin, son una poderosa arma para tomar el control de la computadora infectada. Estos programas pueden ser utilizados para la administración total del sistema atacado por parte de un tercero, con los mismos permisos y restricciones que el usuario de la misma.
4.5.4.2.11 Bombas Lógicas
Este suele ser el procedimiento de sabotaje mas comúnmente utilizado por empleados descontentos. Consiste en introducir un programa o rutina que en una fecha determinada o dado algún evento particular en el sistema, bien destruye y modifica la información o provoca la baja del sistema.
4.5.4.3 MODELO DE VIRUS INFORMATICO
Un virus está compuesto por su propio entorno, dentro del cual pueden distinguirse tres módulos principales:
1. Módulo de Reproducción: es el encargado de manejar las rutinas de parasitación de entidades ejecutables con el fin de que el virus pueda ejecutarse subrepticiamente, permitiendo su transferencia a otras computadoras.
2. Módulo de Ataque: Es el que maneja las rutinas de daño adicional al virus. Esta rutina puede existir o no y generalmente se activa cuando el sistema cumple alguna condición. Por ejemplo el virus Chernovil se activa cada vez que el reloj del sistema alcanza el 26 de cada mes.
3. Módulo de Defensa: Este módulo, también optativo, tiene la misión de proteger al virus. Sus rutinas tienden a evitar acciones que faciliten o provoquen la detección o remoción del virus.
4.5.5 TIPOS DE DAÑOS OCASIONADOS POR LOS VIRUS
Los virus informáticos no afectan (en su gran mayoría) directamente el hardware sino a través de los programas que lo controlan; en ocasiones no contienen código nocivo, o bien, únicamente causan daño al reproducirse y utilizar recursos escasos como el espacio en el disco rígido, tiempo de procesamiento, memoria, etc. En general los daños que pueden causar los virus se refieren a hacer que el sistema se detenga, borrado de archivos, comportamiento erróneo de la pantalla, despliegue de mensajes, desorden en los datos del disco, aumento del tamaño de los archivos ejecutables o reducción de la memoria total.
Para realizar la siguiente clasificación se ha tenido en cuenta que el daño es una acción de la computadora, no deseada por el usuario:
1. Daño Implícito: es el conjunto de todas las acciones dañinas para el sistema que el virus realiza para asegurar su accionar y propagación. Aquí se debe considerar el entorno en el que se desenvuelve el virus ya que el consumo de ciclos de reloj en un medio delicado (como un aparato biomédico) puede causar un gran daño.
2. Daño Explicito: es el que produce la rutina de daño del virus.
Con respecto al modo y cantidad de daño del virus.
a. Daños triviales: daños que no ocasionan ninguna pérdida grave de funcionalidad del sistema y que originan una pequeña molestia al usuario. Deshacerse del virus implica, generalmente, muy poco tiempo.
b. Daños menores: daños que ocasionan una pérdida de la funcionalidad de las aplicaciones que poseemos. En el peor de los casos se tendrá que reinstalar las aplicaciones afectadas.
c. Daños moderados: los daños que el virus provoca son formatear el disco rígido o sobrescribir parte del mismo. Para solucionar esto se deberá utilizar la última copia de seguridad que se ha hecho y reinstalar el sistema operativo.
d. Daños mayores: algunos virus pueden, dada su alta velocidad de infección y su alta capacidad de pasar desapercibidos, lograr que el dia que se detecta su presencia tenerlas copias de seguridad también infectadas. Puede que se llegue a encontrar una copia de seguridad no infectada, pero será tan antigua que se haya perdido una gran cantidad de archivos que fueron creados con posterioridad.
e. Daños severos: los danos severos son hechos cuando un virus realiza cambios mínimos, graduales y progresivos. No se sabe cuando los datos son correctos o han cambiado, pues no hay unos indicios claros de cuando se ha infectado el sistema.
f. Daños ilimitados: el virus "abre puertas" del sistema a personas no autorizadas. El daño no 10 ocasiona el virus, sino esa tercera persona que, gracias a él, puede entrar en el sistema.
4.5.6 LOS AUTORES
Tras su alias (nic), los creadores de virus sostienen que persiguen un fin educacional para ilustrar las flaquezas de los sistemas a los que atacan. Pero… ¿es necesario crear un problema para mostrar otro?
La creación de virus no es ilegal, y probablemente no debería serlo: cualquiera es dueño de crear un virus siempre y cuando lo guarde para si. Infectar a otras computadoras sin el consentimiento de sus usarios es inaceptable, esto si es un delito y deberia ser penado, como ya lo es un algunos países.
Inglaterra pudo condenar a 18 meses de prisión al autor de SMEG. Sin embargo, el autor del virus Loverletter no fue sentenciado porque la legislación vigente en Filipinas (su país de origen) no era adecuada en el momento del arresto.
Existen otros casos en que el creador es recompensado con una ofrçerta de trabajo millonaria por parte de multinacionales. Este, y no las condenas, es el mensaje que reciben miles de jóvenes para empezar o continuar desarrollando virus y esto se transforma en una "actividad de moda", lejos de la informática ética sobre la cual deberían ser educados.
4.5.7 PROGRAMA ANTIVIRUS
Un antivirus es una gran base de datos con la huella digital de todos los virus conocidos para identificarlos y también con las pautas que más contienen los virus. Los fabricantes de antivirus avanzan tecnológicamente casi en la misma medida que lo hacen los creadores de virus. Esto sirve para combatirlos, aunque no para prevenir la creación e infección de otros nuevos.
Actualmente existen técnicas, conocidas como heurísticas, que brindan una forma de "adelantarse.' a los nuevos virus. Con esta técnica el antivirus es capaz de analizar archivos y documentos y detectar actividades sospechosas. Esta posibilidad puede ser explotada gracias a que de los 6-20 nuevos virus diarios, sólo aparecen unos cinco totalmente novedosos al año.
Debe tenerse en cuenta que;
Un programa antivirus forma parte del sistema y por lo tanto funcionará correctamente si es adecuado y está bien configurado.
No será eficaz en el 100% de los casos. no existe la protección total y definitiva.
Las funciones presentes en un antivirus son:
1. Detección: se debe poder afirmar la presencia y/o accionar de un VI en una computadora. Adicionalmente puede brindar módulos de identificación, erradicación del virus o eliminación de la entidad infectada.
2. Identificación de un virus: existen diversas técnicas para realizar esta acción:
a. Scanning: técnica que consiste en revisar el código de los archivos (fundamentalmente archivos ejecutables y de documentos) en busca de pequeñas porciones de código que pueden pertenecer a un virus (sus huellas digitales ). Estas porciones están almacenadas en una base de datos del antivirus. Su principal ventaja reside en !a rápida y exacta. Que resulta. La identificación del virus. En los primeros tiempos (cuando los virus no eran tantos ni su dispersión era tan rápida), esta técnica fue eficaz, luego se comenzaron a notar sus deficiencias. El primer punto desfavorable es que brinda una solución a a y es necesario que el virus alcance un grado de dispersión considerable para que llegue a mano de los investigadores y estos lo incorporen a su base de datos. (este proceso puede demorar desde uno a tres meses). Este modelo reactivo jamás constituirá una solución definitiva.
b. Heurtstica: búsqueda de acciones potencialmente dañinas perteneciente a un virus informático. Esta técnica no identifica de manera certera el virus, sino que rastrea rutinas de alteración de información y zonas generalmente no controlada por el usuario (MBR, Boot Sector, FAT, y otras). Su principal ventaja reside en que es capaz de detectar virus que no han sido agregados a las base de datos de los antivirus (técnica proactiva). Su desventaja radicl1 en que puede "sospechar" de demasiadas cosas y el usuario debe ser medianamente capaz de identificar falsas alarmas.
3. Chequeadores de Integridad; Consiste en monitorear las actividades de la PC señalando si algún proceso intenta modificar sectores críticos de la misma. Su ventaja reside en la prevención aunque muchas veces pueden ser vulnerados por los virus y ser desactivados por ellos, haciendo que el usuario se crea protegido, no siendo así.
Es importante diferencia los términos detectar: determinación de la presencia de un virus e identificar: determinación de qué virus fue el detectado. Lo importante es la detección del virus y luego, si es posible, su identificación y erradicación.
4.5.7.1 MODELO DE UN ANTIVIRUS
Un antivirus puede estar constituido por dos módulos principales y cada uno de ellos contener otros módulos.
Gráfico 4.9 -Modelo de un Antivirus
Módulo de Control: Este módulo posee la técnica de Verificación de Integridad que posibilita el registro de posibles cambios en los zonas y archivos considerados de riesgo.
Módulo de Respuesta: La función de "Alarma" se encuentra en todos los antivirus y consiste en detener la ejecución de todos lo programas e informar al usuario de la posible existencia de un virus. La mayoría ofrecen la posibilidad de su erradicación si la identificación a sido positiva.
4.5.7.2 UTILIZACIÓN DE LOS ANTIVIRUS
Como ya se ha descrito un VI es un programa y, como tal se ejecuta, ocupa un espacio en memoria y realiza las tareas para las que ha sido programado. En el caso de instalarse un antivirus en una computadora infectada, es probable que este también sea infectado y su funcionamiento deje de ser confiable. Por lo tanto si se sospecha de la infección de una computadora, nunca deben realizarse operaciones de instalación o desinfección desde la misma. El procedimiento adecuado sería reiniciar el sistema y proceder a la limpieza desde un sistema limpio y seguro.
La mayoría de los antivirus ofrecen la opción de reparación de los archivos dañados.
Puede considerarse este procedimiento o la de recuperar el/los archivos perdidos desde una copia de seguridad segura.
CAPITULO 5
Políticas de Seguridad
Hoy es imposible hablar de un sistema cien por cien seguro, sencillamente porque el Costo de la seguridad total es muy alto. Por eso las empresas, en general, asumen riesgos:
deben optar entre perder un negocio o arriesgarse a ser hackeadas.
La cuestión es que , en algunas organizaciones puntuales, tener un sistema de seguridad muy acotado les impediría hacer más negocios. "Si un Hacker quiere gastar cien mil dólares en equipos para descifrar una encriptación, lo puede hacer porque es imposible de controlarlo y en tratar de evitarlo se podrían gastar millones de dólares".
La solución a medias, entonces, sería acotar todo el espectro de seguridad, en lo que hace a plataformas, procedimientos y estrategias. De esta manera se puede controlar todo un conjunto de vulnerabilidades.. aunque no se logre la seguridad total y esto significa ni más ni menos que un gran avance Con respecto a unos años atrás.
Algunas organizaciones gubernamentales y no gubernamentales internacionales han desarrollado documentos, directrices y recomendaciones que orientan en el uso adecuado de las nuevas tecnologías para obtener el mayor provecho y evitar el uso indebido de la mismas, lo cual puede ocasionar serios problemas en los bienes y servicios de las empresas en el mundo.
En este sentido, las políticas de seguridad informáticas (PSI), surgen como una herramienta organizacional para concientizar a cada uno de los miembros de una organización sobre la importancia y sensibilidad de la información y servicios críticos. Estos permiten a la compañía desarrollarse y mantenerse en su sector de negocios.
5.1 POLÍTICAS DE SEGURIDAD INFORMÁTICA
De acuerdo Con lo anterior, el proponer o identificar una política de seguridad requiere un alto compromiso con la organización, agudeza técnica para establecer fallas y debilidades, y constancia para renovar y actualizar dicha política en función del dinámico ambiente que rodea las organizaciones modernas.
Está lejos de mi intención (y del alcance del presente) proponer un documento estableciendo lo que debe hacer un usuario o una organización para lograr la mayor Seguridad Informática posible. Sí está dentro de mis objetivos proponer loS lineamientos generales que se deben seguir para lograr (si así se pretendiese) un documento con estas características.
El presente es el resultado de la investigación, pero sobre todo de mi experiencia viendo como muchos documentos son ignorados por contener planes y políticas difíciles de lograr, o peor aún, de entender.
Esto adquiere mayor importancia aún cuando el tema abordado por estas políticas es la Seguridad Informática. Extensos manuales explicando como debe protegerse una computadora o una red con un simple firewall, un programa antivirus o un monitor de sucesos. Falacias altamente remuneradas que ofrecen la mayor "Protección" = " Aceite de Serpiente" del mundo.
He intentado dejar en claro que la Seguridad Informática no tiene una solución definitiva aquí y ahora, sino que es y será (a mi entender) el resultado de la innovación tecnológica, a la par del avance tecnológico, por parte de aquellos que son los responsables de nuestros sistemas.
En palabras de Julio C. Ardita: "Una política de seguridad funciona muy bien en EE.UU. pero cuando estos manuales se trajeron a América Latina fue un fiasco… Armar una política de procedimientos de seguridad en una empresa está costando entre 150-350 mil
dólares y el resultado es ninguno… Es un manual que llevado a la implementación nunca se realiza… Es muy difícil armar algo global, por lo que siempre se trabaja en un plan de seguridad real: las políticas y procedimientos por un lado y la parte física por otra."
Para continuar, hará falta definir algunos conceptos aplicados en la definición de una PSI:
Decisión: elección de un curso de acción determinado entre varios posibles.
Plan: conjunto de decisiones que definen cursos de acción futuros y los medios para conseguirlos. Consiste en diseñar un futuro deseado y la búsqueda del modo de conseguirlo.
Estrategia: conjunto de decisiones establecidas por la dirección, que determinan criterios generales a adoptar en distintas funciones y actividades donde se conocen las alternativas ante circunstancias repetidas.
Meta: objetivo cuantificado a valores predeterminados.
Procedimiento: Definición detallada de pasos a ejecutar para desarrollar una actividad determinada.
Norma: forma en que realiza un procedimiento o proceso.
Programa: Secuencia de acciones interrelacionadas y ordenadas en el tiempo que se utilizan para coordinar y controlar operaciones.
Proyección: predicción del comportamiento futuro, basándose en el pasado sin el agregado de apreciaciones subjetivas.
Pronóstico: predicción del comportamiento futuro, con el agregado de hechos concretos y conocidos que se prevé influirán en los acontecimientos futuros.
Control: capacidad de ejercer o dirigir una influencia sobre una situación dada o hecho. Es una acción tomada para hacer un hecho conforme a un plan.
Riesgo: proximidad o posibilidad de un daño, peligro. Cada uno de los imprevistos, hechos desafortunados, etc., que puede tener un efecto adverso.
Sinónimos: amenaza, contingencia, emergencia, urgencia, apuro.
Ahora, "una política de seguridad es un conjunto de requisitos definidos por los responsables de un sistema, que indica en términos generales que está y que no está permitido en el área de seguridad durante la operación general del sistema.
La RFC 1244 define Política de Seguridad como: "una declaración de intenciones de alto nivel que cubre la seguridad de los sistemas informáticos y que proporciona las bases para definir y delimitar responsabilidades para las diversas actuaciones técnicas y organizativas que se requerirán."
La política se refleja en una serie de normas, reglamentos y protocolos a seguir, donde se definen las medidas a tomar para proteger la seguridad del sistema; pero… ante todo; "(…) una política de seguridad es una forma de comunicarse con los usuarios… Siempre hay que tener en cuenta que la seguridad comienza y termina con personas."s y debe:
Ser holística (cubrir todos los aspectos relacionados con la misma). No tiene sentido proteger el acceso con una puerta blindada si a esta no se la ha cerrado con llave.
Adecuada a las necesidades y recursos. No tiene sentido adquirir una caja fuerte para proteger un lápiz.
Ser atemporal. El tiempo en el que se aplica no debe influir en su eficacia y eficiencia.
Definir estrategias y criterios generales a adoptar en distintas funciones y actividades, donde se conocen las alternativas ante circunstancias repetidas.
Cualquier política de seguridad ha de contemplar los elementos claves de seguridad ya mencionados: la Integridad, Disponibilidad, Privacidad y, adicionalmente, Control, Autenticidad y Utilidad.
No debe tratarse de una descripción técnica de mecanismos de seguridad, ni de una expresión legal que involucre sanciones a conductas de los empleados. Es más bien una descripción de los. que deseamos proteger y el porque de ello.
5.2 EVALUACIÓN DE RIESGOS
El análisis de riesgos supone más que el hecho de calcular la posibilidad de que ocurran cosas negativas.
Se debe poder obtener una evaluación económica del impacto de estos sucesos.Este valor se podrá utilizar para contrastar el costo de la protección de la información en análisis, versus el costo de volverla a producir (reproducir).
Se debe tener en cuenta la probabilidad que sucedan cada uno de los problemas posibles. De esta forma se pueden priorizar los problemas y su coste potencial desarrollando un plan de acción adecuado.
Se debe conocer qué se quiere proteger , dónde y cómo, asegurando que con los costos en los que se incurren se obtengan beneficios efectivos. Para esto se deberá identificar los recursos (hardware, software, información, personal, accesorios, etc.) con que se cuenta y las amenazas a las que se esta expuesto.
La evaluación de riesgos y presentación de respuestas debe prepararse de forma personalizada para cada organización; pero se puede presupone algunas preguntas que ayudan en la identificación de lo anteriormente expuesto.
a. ¿Qué puede ir mal?
b. ¿Con qué frecuencia puede ocurrir?
c. ¿Cuáles son las consecuencias?
d. ¿Qué fiabilidad tienen las respuestas a las tres primeras preguntas?"
e. ¿Se está preparado para abrir las puertas del negocio sin sistemas, por un día, una semana, cuanto tiempo?"
f. ¿Cuál es el costo de una hora sin procesar, un día, una semana… ?"
g. ¿Se tiene control sobre las operaciones de los distintos sistemas?"
h. ¿Cuantas personas dentro de la empresa, (sin considerar su honestidad), están en condiciones de inhibir el procesamiento de datos?"
i. ¿A que se llama información confidencial y/o sensitiva?"
j. ¿La seguridad actual cubre los tipos de ataques existentes y está preparada para adecuarse a los avances tecnológicos?
k. ¿A quien se le permite usar que recurso?"
l. ¿Quién es el propietario del recurso? y ¿quién es el usuario con mayores privilegios sobre ese recurso?"
m. ¿Cuáles serán los privilegios y responsabilidades del Administrador vs. la del usuario?"
n. ¿Cómo se actuará si la seguridad es violada?"
Una vez obtenida la lista de cada uno de los riesgos se efectuará un resumen del tipo:
Tipo de riesgo | Factor |
Robo de hardware | Alto |
Robo de Información | Alto |
Vandalismo | Medio |
Fallas de equipos | Medio |
Virus informáticos | Medio |
Equivocaciones | Medio |
Accesos no autorizados | Medio |
Fraude | Bajo |
Fuego | Muy Bajo |
Terremotos | Muy Bajo |
Tabla 5.1 -Tipo de Riesgo-Factor
Según la tabla habrá que tomar las medidas pertinentes de seguridad Para cada caso en particular, cuidando incurrir en los costos necesarios según el factor de riesgo representado.
5.2.1 EVALUACIÓN DE COSTOS
Desde un punto de vista oficial. el desafío de responder la pregunta del valor de la información ha sido siempre difícil. y más difícil aún hacer estos costos justificables, siguiendo el principio que "si desea justificarlo, debe darle un valor".
Establecer el valor de los datos es algo totalmente relativo, pues la información constituye un recurso que, en muchos casos, no se valora adecuadamente debido a su intangibilidad, cosa que no ocurre Con loS equipos, la documentación o las aplicaciones.
Además, las medidas de seguridad no influyen en la productividad del sistema por lo que las organizaciones son reticentes a dedicar recursos a esta tarea. Por eso es importante entender que los esfuerzos invertidos en la seguridad son costeables.
La evaluación de Costos más ampliamente aceptada consiste en cuantificar los daños que cada posible vulnerabilidad puede causar teniendo en cuenta las posibilidades. Un planteamiento posible para desarrollar esta política es el análisis de lo siguiente:
¿Qué recursos se quieren proteger?
¿De que personas necesita proteger los recursos?
¿Qué tan reales son las amenazas?
¿Qué tan importante es ei recurso'?
¿Qué medidas se pueden implantar para proteger sus bienes de una manera económica y oportuna?
Con esas sencillas preguntas (mas la evaluación de riesgo) se deberia conocer cuales recursos vale la pena (y justifican su costo) proteger, y entender que algunos son más importantes que otros.
El objetivo que se persigue es lograr que un ataque a los bienes sea más costoso que su valor invirtiendo menos de lo que vale. Para esto se define tres costos fundamentales:
CP: Valor de los bienes y recursos protegidos.
CR: Costo de los medios necesarios para romper las medidas de seguridad establecidas.
CS: Costo de las medidas de seguridad.
Para que la política de seguridad sea lógica y consistente se debe cumplir que:
CR > CP: o sea que un ataque para obtener los bienes debe ser más Costosos que el valor de los mismos. Los beneficios obtenidos de romper las medidas de seguridad no deben compensar el costo de desarrollo del ataque.
CP >CS: O sea que el costo de los bienes protegidos debe ser mayor que el costo de la protección.
Luego, CR > CP > CS y io que se busca es:
Minimnizar el costo de la protección manteniéndolo por debajo del de los bienes protegidos". Si proteger los bienes es más caro de lo que valen (el lápiz dentro de la caja fuerte), entonces resulta más conveniente obtenerlos de nuevo en vez de protegerlo.
"Maximizar el costo de íos ataques manteniéndolo por encima del de los bienes protegidos'. Si atacar el bien es más caro de lo que valen, al atacante le conviene más obtenerlo de otra forma menos costosa.
Se debe tratar de valorar los costos en que se puede incurrir en el peor de los casos contrastando con el costo de las medidas de seguridad adoptadas. Se debe poner especial énfasis en esta etapa para no incurrir en el error de no considerar costos, muchas veces, ocultos y no obvios (costos derivados).
5.1.3.2 COSTOS DERIVADOS DE LA PERDIDA
Una vez más deben abarcarse todas las posibilidades, intentando descubrir todos los valores derivados de la pérdida de algún componente del sistema. Muchas veces se trata del valor añadido que gana un atacante y la repercusión de esa ganancia para el entorno, además del costo del elemento perdido. Deben considerarse elementos como:
Información aparentemente inocua como datos personales, que pueden permitir a alguien suplantar identidades.
Datos confidenciales de acuerdos y contratos que un atacante podría usar para su beneficio.
Tiempos necesarios para obtener ciertos bienes. Un atacante podría acceder a ellos para ahorrarse el costo (y tiempo) necesario para su desarrollo.
5.3 ESTRATEGIA DE SEGURIDAD
Para establecer una estrategia adecuada es conveniente pensar una política de protección en loS distintos niveles que esta debe abarcar y que no son ni mas ni menos que los estudiados hasta aquí: Física, Lógica, Humana y la interacción que existe entre estos factores.
En cada caso considerado, el plan de seguridad debe incluir una estrategia Proactiva y otra Reactiva.
La Estrategia Proactiva (proteger y proceder) o de previsión de ataques es un conjunto de pasos que ayuda a reducir al mínimo la cantidad de puntos vulnerables existentes en las directivas de seguridad ya desarrollar planes de contingencia. La determinación del dado que un ataque va a provocar en un sistema y las debilidades y puntos vulnerables explotados durante este ataque ayudará a desarrollar esta estrategia.
La estrategia reactiva (Perseguir y procesar) o estrategia posterior al ataque ayuda al personal de seguridad a evaluar el daño que ha causado el ataque, a repararlo o a implementar el plan de contingencia desarrollado en la estrategia Proactiva, a documentar y aprender de la experiencia, ya conseguir que las funciones comerciales se normalicen lo antes posible.
Con respecto a la postura que puede adoptarse ante los recursos compartidos:
Lo que no se permite expresamente está prohibido: significa que la organización proporciona una serie de servicios bien determinados y documentados, y cualquier otra cosa está prohibida.
Lo que no se prohíbe expresamente está permitido: significa que, a menos que se indique expresamente que cierto servicio no está disponible, todos los demás sí lo estarán.
Estas posturas constituyen la base de todas las demás políticas de seguridad y regulan los procedimientos puestos en marcha para implementarlas. Se dirigen a describir qué acciones se toleran y cuáles no.
Actualmente, y "gracias" a las, cada dia mas repetitivas y eficaces , acciones que atentan contra los sistemas informáticos los expertos se inclinan por recomendar la primera política mencionada.
5.3.1 IMPLEMENTACIÓN
| Página siguiente |