Virus Informáticos

• En los últimos meses todas las redes del País y

del Mundo han sido vulneradas por una gran

cantidad de virus informáticas que se propagan

vía Internet y Correo Electrónico.

• Se ha tomado diversas medidas para la

infección de estos virus obteniéndose como

resultado un conjunto de normas que dieron

cuenta del problema antes mencionado.

El comienzo de la gran epidemia

• 1986 En ese año se difundieron los virus (c) Brain, Bouncing Ball y Marihuana y que fueron las primeras especies representativas de difusión masiva. Estas 3 especies virales tan sólo infectaban el sector de arranque de los diskettes. Posteriormente aparecieron los virus que infectaban los archivos con extensión EXE y COM.

• El 2 de Noviembre de 1988 Robert Tappan Morris, hijo de uno de los precursores de los virus y recién graduado en Computer Science en la Universidad de Cornell, difundió un virus a través de ArpaNet, (precursora de Internet) logrando infectar 6,000 servidores conectados a la red. La propagación la realizó desde uno de los terminales del MIT (Instituto Tecnológico de Massashussets).

Los Virus Peruanos

• Al igual que la corriente búlgara, en 1991

apareció en el Perú el primer virus local,

autodenominado Mensaje y que no era otra

cosa que una simple mutación del virus

Jerusalem-B y al que su autor le agregó una

ventana con su nombre y número telefónico.

Los virus con apellidos como Espejo, Martínez

y Aguilar fueron variantes del Jerusalem-B y

prácticamente se difundieron a nivel nacional.

• En 1993 empezaron a crearse y diseminarse especies nacionales desarrolladas con creatividad propia, siendo alguno de ellos sumamente originales, como los virus Katia, Rogue o F03241 y los polimórficos Rogue II y Please Wait (que formateaba el disco duro). La creación de los virus locales ocurre en cualquier país y el Perú no podía ser la excepción.

Tecnicas y estrategias de

programación de virus

• INFECTOR RÁPIDO INFECTOR LENTO ESTRATEGIA PARSE MODALIDAD COMPANION (acompañante) ESTILO ARMORED TECNICA STEALTH VIRUS POLIMÓRFICOS (mutantes) FUNCION DESACTIVADORA o TUNNELING PROGRAMADORES DEL PPI MACRO VIRUS VIRUS ANEXADO VIRUS EN JAVA VIRUS EN VBS VIRUS EN .SHS

Gusanos (Worms)

• La palabra "worm" en inglés, significa gusano. en 1984 el Dr. Fred Cohen clasificó a los emergentes virus de computadoras en 3 categorías: caballos de troya, gusanos y virus. Empleó el término "gusano" simplemente porque los consideraba programas "despreciables". según algunos estudiosos de los virus, "los gusanos de computadoras son aquellos programas malignos que se propagan a través de Internet, en la modalidad de virus "companions", que no alteran archivos o sectores del disco. Estos programas toman control de la memoria, calculan las direcciones de las otras computadoras conectadas a la red y envían copias de sí mismo".

• "Los gusanos no son virus en el sentido estricto de la palabra", afirma este concepto. Sin embargo no aclara que daños ocasionan los gusanos.

Caballos De Troya

• La palabra "Troyan Horse" en inglés, significa Caballo de Troya. Los caballos de troya, o simplemente troyanos, por la forma subrepticia de ingresar a los sistemas. Son programas que ejecutan acciones destructivas, bajo ciertas condiciones, borrando la información de los discos duros, colgando sistemas, etc."

• Los troyanos requieren que su "víctima" abra o ejecute un archivo anexado a un mensaje de correo electrónico para que de este modo el virus instale una copia de sí mismo y a partir de ello, empiece su proceso de infección.

Ansi Boms O Bombas Ansi

• Las Bombas Ansi no son exactamente virus, pero sí una modalidad de ocasionar molestias y hasta daños a las computadoras, al enviar mensajes que pueden ser difundidos a través de Internet, Intranets o Extranets en sistemas operativos D.O.S. o en versiones antiguas de Novell.

• Estas llamadas "bombas ansi", son una secuencia de simples comandos, bajo la modalidad de texto, que al ser cargados por el driver ANSI modifican la respuesta a las digitaciones en el teclado, consecuentemente alterando lo mostrado en la pantalla.

Mail bombers

• Los Mail Bombers no son virus. Son programas que pueden ser configurados para enviar decenas, cientos o hasta miles de mensajes de correo a un destinatario, saturando su buzón de correos. A menos que éste tenga configurado su software de correo para limitar el número de mensajes a ser recepcionados, no estará libre de los Mail Bombers. Varios sitios en Internet permiten descargar gratuitamente estos programas, los cuales han sido desarrollados por profesionales que interactúan en grupos de hackers, crackers y phreakers.

• Uno de los más simples y populares es KABOM!3, desarrollado por un miembro del grupo The Alliance y que se autodenomina Mesiah (el Mesías). Este pequeño programa contiene una base de datos de servidores anónimos, sin embargo tiene una opción para agregarle más servidores o hasta suplantar aquellos que operan legalmente.

Hoaxes • La palabra hoax, en inglés, significa broma o engaño.

Los denominados virus hoaxes, en realidad no son virus.

• Los Hoaxes son mensajes tremendistas de alerta o advertencia relacionada con virus desconocidos de diversos tipos. Estos mensajes informan que ha aparecido una nueve especie viral, la misma que "se está propagando a través de los canales de Internet para destruir la información o afectar a los sistemas de las computadoras".

• Estos mensajes deliberadamente falsos, son creados con la grave intención de provocar pánico. Los usuarios ingenuos, caen en la trampa y siguiendo las instrucciones, empiezan a re-transmitirlos, pensando que de este modo van a ayudar a otros usuarios. Estos hechos provocan una reacción en cadena que además del amedrentamiento, ocasionan la saturación de los buzones de correo y la consiguiente congestión de las conexiones en Internet.

Los Macro Virus

• A mediados de 1995 se reportaron en diversas ciudades del mundo la aparición de una nueva familia de virus que no solamente infectaban documentos, sino que a su vez, sin ser archivos ejecutables podían auto-copiarse infectando a otros documentos. Los llamados macro virus tan sólo infectaban a los archivos de MS-Word, posteriormente apareció una especie que atacaba al Ami Pro, ambos procesadores de textos. En 1997 se disemina a través de Internet el primer macro virus que infecta hojas de cálculo de MS-Excel, denominado Laroux, y en 1998 surge otra especie de esta misma familia de virus que ataca a los archivos de bases ede datos de MS-Access. Para mayor información sírvanse revisar la opción Macro Virus, en este mismo módulo.

Los virus anexados (adjuntos)

• A principios de 1999 se empezaron a propagar masivamente en Internet los virus anexados (adjuntos) a mensajes de correo, como el Melisa o el macro virus Papa. Ese mismo año fue difundido a través de Internet el peligroso CIH y el ExploreZip, entre otros muchos más.

• A fines de Noviembre de este mismo año apareció el BubbleBoy, primer virus que infecta los sistemas con tan sólo leer el mensaje de correo, el mismo que se muestra en formato HTML. En Junio del 2000 se reportó el VBS/Stages.SHS, primer virus oculto dentro del shell de la extensión .SHS.

• Resultará imposible impedir que se sigan desarrollando virus en todo el mundo,

Características De Una Pc Infectada

• En primer lugar se debe de identificar que PC se encuentran contaminadas, y una vez detectada esta, sacarla de la red; se debe de recordar que un virus informàtico es un pequeño programa con instrucciones creadas exprofesamente para provocar daños o alteraciones en los archivos o áreas vitales de un sistema: sector de arranque, MBR o Master Boot Record, Tabla de Particiones.

• Dentro de los más comunes síntomas de una infección tenemos:

• A) La velocidad de procesamiento y el rendimiento del equipo se vuelve lento

• B) Algunos programas no pueden ser ejecutados, principalmente los archivos COM o los EXE de menor extensión.

• C) Al iniciar el equipo no se puede acceder al disco duro, debido a que el virus malogró el COMMAND.COM y se muestra este mensaje: "bad or missing command interpreter".

• D) Al iniciar el equipo no se puede acceder al disco duro, ya que el virus malogró la Tabla de Particiones o el Master Boot Record y se muestra este mensaje: "invalid drive especification".

• E) Los archivos ejecutables de los gestores de bases de datos como: dBASE, Clipper, FoxPro, etc. están operativos, sin embargo las estructuras de sus archivos DBF están averiadas. Lo mismo puede ocurrir con las hojas de cálculo como: Lotus 1-2-3, Q-Pro, Excel, etc., o con MS-Word, hojas de cálculo de MS-Excel o base de datos de MS-Access (macro virus).

• F) La configuración (set-up) del sistema ha sido alterado y es imposible reprogramarlo. Virus como: ExeBug, CMOS-Killer o Anti-CMOS producen un bloqueo en la memoria conexa de 64 bytes del CMOS.

• G) El sistema empieza a "colgarse". Puede tratarse de un virus con instrucciones de provocar "reseteos" aleatorios a los archivos del sistema.

• H) Ciertos periféricos tales como: la impresora, módem, tarjeta de sonido, etc., no funcionan o tienen un raro comportamiento.

• I) La pantalla muestra símbolos ASCII muy raros comúnmente conocidos como "basura", se escuchan sonidos intermitentes, se producen bloqueos de ciertas teclas o se activan los leds de los drives.

• J) La memoria RAM decrece. El sistema se

vuelve muy lento.

• K) Los archivos de documento .DOC o las

macros empiezan a corromperse y no

funcionan.

Como Se Contagian Los Virus

• Intercambio indiscriminado de diskettes

provenientes de fuentes sospechosas o

desconocidas.

• Internet.- Actualmente se transportan cientos

de miles de archivos infectados con virus a

través de Internet

• Correos Electrónicos, dentro de los archivos anexados (attached), ya sean documentos, hojas de cálculo, bases de datos, archivos empaquetados, Visual Basic Scripts, etc.

• Vía Red; se ha convertido en el principal medio de propagación masiva de virus. Al tener carpetas compartidas o copiarse archivos a través de la misma.

• En cada país del mundo se crean virus locales,

y para que éstos sean detectados por los

antivirus foráneos, los desarrolladores de estos

software deberán contar en forma oportuna con

las muestras respectivas para investigarlas y

muy rápidamente poder incluirlas en sus

vacunas y rutinas de detección y eliminación.

• Mientras eso no ocurra, los productos

extranjeros estarán imposibilitados de detectar,

y mucho menos eliminar a los virus nacionales.

Únicamente cuando un virus local traspasa las

fronteras aumenta su posibilidad de ser

investigado, convirtiéndose de este modo en un

virus internacional.

Normas Preventivas Contra Los

Virus

• A) Mantener el antivirus, con vacunas residentes en la

memoria RAM y actualizarlo periódicamente en forma

obligatoria. Ya que el no actualizarlo es un descuido

grave por cuanto los autores de virus no descansan

jamás y crean virus todos los días del año.

• B) Evitar o restringir el intercambio de diskettes de

origen desconocido o si esto fuere necesario, someter

esos diskettes a la revisión del antivirus instalado en el

disco.

• C) Restringir al máximo el uso de los equipos, por parte de personas ajenas a las actividades propias de la institución; vale decir el mal uso que se le puede dar a la Internet cuando se ingresa a páginas inapropiadas.

• D) Contar con un diskette "buteable" y libre de virus, que además de los archivos ocultos, el COMMAND.COM y CONFIG.SYS incluya el SYS.COM para transferir el sistema en caso de borrarse o alterarse los archivos de sistema del disco.

• E) Tener un backup de toda la data de la red.

• F) Los diskettes originales y las copias de respaldo

deberán tener cerrado el seguro de protección contra

escritura.

• G) Los archivos comprimidos ( ZIP), descargados por

Internet, deberán ser revisados inmediatamente

después de haber sido desempaquetados y antes de ser

ejecutados..

• H) El mismo tratamiento se deberá dar a los

archivos anexados (atachados), enviados por

correo electrónico, cuidándose de no abrir

mensajes de origen desconocido o sospechoso.

• I) Mantener a los usuarios informados de los

nuevos virus aparecidos y como poder evitar la

infección de su ordenador.

•Por definición no existe ningún medio de

comunicación completamente seguro.

•El problema de la seguridad no es ajeno a

medios de comunicación tradicionales: correo

ordinario y comunicaciones telefónicas.

Seguridad en Internet

Que es Seguridad

•Seguridad es una característica de todo sistema (informático o no), que nos indica que esta libre de todo peligro, daño y riesgo.

•Orientándonos al sistema informático, en los Sistemas Operativos y Redes de Computadoras es difícil conseguir esta seguridad.

•El termino de seguridad se suaviza y se pasa a hablar de fiabilidad (probabilidad de que un sistema se comporte tal y como se espera de el).

Visión Global de la Seguridad

SEGURIDAD

FIABILIDAD

ASPECTOS ELEMENTOS AMENAZAS MECANISMOS

• Confidencialidad • Integridad • Disponibilidad

• Hardware • Software • Datos • Fungibles

Origen • Personas • Amenazas

lógicas • Catástrofes

• Prevención • Detección • Recuperación

Tipos • Por el efecto causado • Por el modo de operación

Aspectos de la Seguridad

•Confidencialidad

Debe permitir el acceso a los objetos del sistema, solo elementos autorizados.

•Integridad

Debe modificar los objetos de forma controlada y autorizada.

•Disponibilidad

Deben estar disponible los objetos, para los usuarios autorizados.

Elementos de la Seguridad

•Hardware

Todo equipo físico, como cpu, cableado, dispositivos de comunicación, etc..

•Software

Toda aplicación lógica que administra nuestro hardware, como sistemas operativos.

•Datos

Toda información lógica, que fluye a través de nuestro Software y Hardware.

Amenazas a la Seguridad

Personas La mayoría de ataques a nuestro sistema van a provenir en última instancia de personas. Podemos citar algunas:

• Personal activo • Ex-empleados • Curiosos • Cracker’s • Terroristas • Intrusos remunerados

Amenazas a la Seguridad

Amenazas Lógicas Todo tipo de programas que de una forma u otra pueden dañar a nuestro sistema:

• Software incorrecto • Herramientas de Seguridad • Puertas traseras • Bombas Lógicas • Virus • Gusanos • Troyanos • Programas conejos o bacterias

Tipos de amenazas a la Seguridad

Según su modo de operación

•Ataques de modificación daño

Consiste en una modificación no autorizada de objetos en el sistema víctima (incluyendo eliminación de estos).

•Explotación de errores

Las vulnerabilidades normalmente en sistemas grandes (como sistemas operativos o aplicaciones de envergadura) denominadas "puertas traseras“, normalmente permiten a un atacante obtener privilegios no autorizados en el sistema. Los programas que explotan estos agujeros se denominan “exploits”.

Mecanismos de Seguridad

Se denomina así a los mecanismos utilizados en la implementación de políticas de seguridad, que definan responsabilidades y reglas a seguir para evitar las amenazas habituales o minimizar sus efectos en caso de que se produzcan. Podemos distinguir entre ellos:

• Mecanismos de Prevención

• Mecanismos de Detección

• Mecanismos de Recuperación

Mecanismos de Prevención

Los mecanismos de prevención son aquellos que aumentan la seguridad de un sistema durante el funcionamiento normal de éste, previniendo la ocurrencia de violaciones a la seguridad. Entre ellos:

• Mecanismos de Autentificación

• Mecanismos de Control de Acceso

• Mecanismos de Separación

• Mecanismos de Seguridad en las Comunicaciones

Cortafuegos

• Mecanismo de protección que consiste en establecer

una barrera entre la red de una organización

(Intranet) y el exterior (Internet).

• Existen varias arquitecturas de cortafuego posibles,

con diversos grados de protección y de dificultad de

implementación.

Mecanismos de Prevención Mecanismos de Seguridad en las Comunicaciones

Internet

Un router puede filtrar paquetes de acuerdo

con unas reglas definidas de antemano,

actuando como cortafuegos sencillo Red interna

Router actuando como cortafuego

Router filtro

Mecanismos de Prevención Mecanismos de Seguridad en las Comunicaciones

Internet

Esta arquitectura permite mantener la conectividad

transparente cuando esté justificado, obligando a

pasar por el ‘bastion host’ el resto Red interna

Router y servidor proxy combinados

Servidor Proxy

(Bastion host)

Router filtro

Mecanismos de Prevención Mecanismos de Seguridad en las Comunicaciones