seguridad informática
DESCRIPTION
Seguridad informática. Virus y otras amenazas. Alejandro Silvestri 2008. Presentación basada en el libro de W. Stallings, Cryptography and Network Security, 4º ed. Terminología de programas maliciosos. Fases del virus. Fase dormida - PowerPoint PPT PresentationTRANSCRIPT
![Page 1: Seguridad informática](https://reader036.vdocumento.com/reader036/viewer/2022062518/56814924550346895db65e43/html5/thumbnails/1.jpg)
Seguridad informáticaSeguridad informática
Virus y otras amenazasVirus y otras amenazas
Alejandro Silvestri2008
Presentación basada en el libro de W. Stallings, Cryptography and Network Security, 4º ed.
![Page 2: Seguridad informática](https://reader036.vdocumento.com/reader036/viewer/2022062518/56814924550346895db65e43/html5/thumbnails/2.jpg)
Terminología deprogramas maliciosos
![Page 3: Seguridad informática](https://reader036.vdocumento.com/reader036/viewer/2022062518/56814924550346895db65e43/html5/thumbnails/3.jpg)
Fases del virus• Fase dormida
– El virus está inactivo, a la espera de un evento que lo despierte. No todos los virus pasan por esta fase
• Fase de propagación– El virus realiza copias de sí mismo en otros
programas• Fase de disparo
– Un evento activa el virus para realizar su propósito
• Fase de ejecución– Lleva a cabo su propósito, que puede ser
inofensivo o dañino
![Page 4: Seguridad informática](https://reader036.vdocumento.com/reader036/viewer/2022062518/56814924550346895db65e43/html5/thumbnails/4.jpg)
Estructura• Un virus se inserta en un programa
– Normalmente al final del archivo ejecutable• El virus puede comprimir el programa para no
aumentar la longitud del archivo infectado
– Altera la primera instrucción del ejecutable para que salte al código del virus
• Ejecución– El virus se activa en un thread o se cuelga de
un evento– Luego ejecutva el programa anfitrión
![Page 5: Seguridad informática](https://reader036.vdocumento.com/reader036/viewer/2022062518/56814924550346895db65e43/html5/thumbnails/5.jpg)
Tipos de virus• Parasitario
– En el momento de ejecutar el programa infectado, el virus se activa, se replica, verifica si debe dispararse y si no se desactiva
• Residente en memoria– Al activarse el virus se cuelga de algún evento para
ejecutarse cada vez que ocurre el evento• Eventos de reloj: el virus se ejecuta periódicamente• Eventos de disco: el virus intenta infectar medios de
almacenamiento removibles• Eventos de mail
• Virus de boot– El virus desplaza el código del sector de boot– Se activa solamente cuando se bootea de un disco
infectado
![Page 6: Seguridad informática](https://reader036.vdocumento.com/reader036/viewer/2022062518/56814924550346895db65e43/html5/thumbnails/6.jpg)
Adaptación de los virus• Virus camuflado
– Diseñado para pasar desapercibido y no detectado por los antivirus
• Virus polimórfico– Muta con cada infección
• Suele encriptarse con distinta clave para evitar patrones
• Virus metamórfico– Muta reescribiendo su código, y a veces
alterando su comportamiento
![Page 7: Seguridad informática](https://reader036.vdocumento.com/reader036/viewer/2022062518/56814924550346895db65e43/html5/thumbnails/7.jpg)
Virus de alto nivel• Virus de macro
– No infectan programas, sino documentos– Son independientes de la plataforma
• Pero dependiente de la máquina virtual
– Office ofrece protección contra estos virus, restando funcionalidad a las macros
• Virus de e-mail– Son un tipo de virus de macro, que se disparan
con eventos de mail– No requieren infectar otros mails, sino que
propagan automáticamente el “mail virus” original
![Page 8: Seguridad informática](https://reader036.vdocumento.com/reader036/viewer/2022062518/56814924550346895db65e43/html5/thumbnails/8.jpg)
Worms• Son un tipo de virus que se propagan
por la red en vez de infectar programas
• Logran hacerse ejecutar de forma remota, a través de– Capacidades de ejecución remota– Login remoto– Facilidades de mail
![Page 9: Seguridad informática](https://reader036.vdocumento.com/reader036/viewer/2022062518/56814924550346895db65e43/html5/thumbnails/9.jpg)
Worms: Estado del arte• Multiplataforma• Vulnerabilidades múltiples
(multiexploits)• Diseminación ultrarrápida• Polimorfismo• Metamorfismo
• Vehículo de transporte• Vulnerabilidad del día cero
![Page 10: Seguridad informática](https://reader036.vdocumento.com/reader036/viewer/2022062518/56814924550346895db65e43/html5/thumbnails/10.jpg)
Antivirus• Detección• Identificación• Remoción
![Page 11: Seguridad informática](https://reader036.vdocumento.com/reader036/viewer/2022062518/56814924550346895db65e43/html5/thumbnails/11.jpg)
Generaciones de antivirus• 1ª generación
– Scanners: barrido simple buscando patrones
• 2ª generación– Scanners heurísticos
• Chequeo de integridad• Desencripción de virus• Patrones de comportamiento generales
![Page 12: Seguridad informática](https://reader036.vdocumento.com/reader036/viewer/2022062518/56814924550346895db65e43/html5/thumbnails/12.jpg)
Generaciones de antivirus• 3ª generación
– Trampas de virus• Programas residentes en memoria que
interceptan acciones comunes de los virus, e incluso pueden detener la infección
• 4ª generación– Paquetes de software que combinan
todas las modalidades anteriores
![Page 13: Seguridad informática](https://reader036.vdocumento.com/reader036/viewer/2022062518/56814924550346895db65e43/html5/thumbnails/13.jpg)
Técnicas avanzadas de antivirus
• Descripción genérica (GD)– Busca comportamientos genéricos
• Emulador de CPU• Scanner de firmas
• Sistema digital inmune– Expande la emulación anterior, emulando el
mundo entero alrededor del virus, para poder analizarlo sin riesgo
– El analizador automáticamente reconoce las capacidades del virus y propone (e implementa) contramedidas
![Page 14: Seguridad informática](https://reader036.vdocumento.com/reader036/viewer/2022062518/56814924550346895db65e43/html5/thumbnails/14.jpg)
DDOS• Distributed Denial of Servie Attacks
– Muchas máquinas simultáneamente atacan a través de Internet a un servidor
• Ataque de recursos internos– Colmar el servidor con requerimientos que
rebasan su capacidad
• Ataque de recursos externos– Consume los recursos de transmisión de datos,
inundando el acceso de paquetes
![Page 15: Seguridad informática](https://reader036.vdocumento.com/reader036/viewer/2022062518/56814924550346895db65e43/html5/thumbnails/15.jpg)
DDOS• Ataque directo
– Una máquina zombie es una máquina de terceros controlada por el atacante de forma remota vía Internet
• El atacante puede usar máquinas zombies que controlen otras máquinas zombies, complicando el rastreo
– Todas las máquinas zombies envían peticiones al servidor atacado
• Ataque reflector– Se envía una enorme cantidad de peticiones falaces a
una gran cantidad de máquinas, falsificando la dirección IP origen, reemplazándola por la IP del servidor atacado
– La gran cantidad de máquinas responderá al servidor que el pedido no puede ser cursado