Embed Size (px)
DESCRIPTION
05-Protección Contra El Malware
Citation preview
Guía básica de utilización de medios Informáticos en forma segura
Página 2 de 15
Protección contra el malware
Luego de analizar cada una de las amenazas existentes y ver el amplio espectro en el que se pueden mover las mismas y sus creadores, cabe preguntarse si existe una forma efectiva de protección.
Partiendo de la premisa de que nunca se puede estar protegido al 100%, la respuesta es: sí. Existen diversas formas de protección y las mismas, a pesar de lo que se pueda pensar viendo el panorama anterior, suelen ser muy efectivas si se las aplica concientemente.
Como se verá, muchas de las “técnicas” citadas serán similares para distintas amenazas. Esto se debe a que lo que se plantea se ha analizado partiendo desde el sentido común, y generalmente implicarán tareas sencillas que llevan a que cualquier usuario pueda aplicarlas sin mayor dificultad.
Cabe aclarar también, que este mismo sentido común también lleva a plantear las soluciones más sencillas, y casi siempre las correctas, para muchas de las amenazas consideradas.
A continuación, se analizarán las prácticas de protección más comunes para las amenazas mencionadas.
Antivirus
Este tema merece una sección exclusiva por la amplia relevancia que ha logrado el malware en el ambiente informático.
Un antivirus es una aplicación cuyo objetivo es detectar (acción fundamental) y eliminar código malicioso.
El principal método de detección es a través de las firmas, las cuales tienen un funcionamiento basado en que cada virus tiene una “huella digital” única por la cual es identificada. Esta huella no es más que un trozo de código en hexadecimal que identifica (o debería) de manera única un virus.
Así, un antivirus consiste en una gran base de datos con firma de los virus conocidos para identificarlos y también con las pautas de comportamiento más comunes en el malware.
Esta funcionalidad, si bien es altamente efectiva, tiene la limitación de que sólo se pueden identificar virus existentes en la base de datos, lo que conlleva a su desventaja fundamental: se debe actualizar el antivirus permanentemente para lograr la identificación de todos los virus nuevos que aparecen continuamente.
Además, existen técnicas, conocidas como heurísticas, que brindan una forma de “adelantarse” a los nuevos virus. Con este método el antivirus es capaz de analizar archivos y documentos, y de detectar actividades sospechosas sin la necesidad que un código en particular esté en la base de datos de firmas.
Esto permite identificar una actividad peligrosa o dañina para el sistema, aún cuando el antivirus no esté permanentemente actualizado, y además mantiene protegido el equipo contra el nuevo malware que aparece cada minuto.
Normalmente, un antivirus tiene un componente residente en memoria y permanece en ella para verificar todos los archivos abiertos, creados, modificados y ejecutados en tiempo real. Además, cuenta con un componente que analiza la navegación en Internet y los correos.
Sumado a este funcionamiento que generalmente es automático y no requiere la acción del usuario, un antivirus dispone de una funcionalidad a demanda que permite buscar códigos maliciosos en la computadora cuando se desee.
Página 3 de 15
Protección del correo electrónico
En los ambientes altamente conectados en los que se vive actualmente, no sería errado decir que un software dañino puede llegar por cualquiera de las formas por las que se está conectado a la red. Como ya se mencionó, se encuadran en esta categoría el hoax, spam, scam, phishing y otras amenazas que se propagan por este medio.
En resumen, al ser software, el malware puede transmitirse por cualquiera de los medios en que puede transmitirse datos.
A continuación, se mencionan las formas de proteger el correo electrónico:
1. No enviar mensajes en cadena, ya que los mismos generalmente son algún tipo de engaño (hoax).
2. Si aún así se deseara enviar mensajes a muchos destinatarios hacerlo siempre Con Copia Oculta (CCO), ya que esto evita que un destinatario vea (robe) el correo electrónico de los demás destinatarios.
3. No publicar una dirección privada en sitios webs, foros, conversaciones online, etc., ya que sólo facilitan la obtención de las mismas a los spammers (personas que envían spam).
4. Si se desea navegar o registrarse en sitios de baja confianza, hacerlo con cuentas de correo destinada para ese fin. Algunos servicios de webmail disponen de esta funcionalidad: proteger la dirección de correo principal mientras se puede publicar otra cuenta y administrar ambas desde el mismo lugar.
5. Para el mismo fin también es recomendable utilizar cuentas de correo temporales y descartables.
6. Nunca responder mensajes de spam, ya que con esto se está confirmando la dirección de correo al spammer y sólo se logrará recibir más correo basura.
7. Es bueno tener más de una cuenta de correo (al menos 2 ó 3): una cuenta laboral que sólo sea utilizada para este fin, una personal y la otra para contacto público o de distribución masiva.
En lo que se refiere al último punto, se puede mencionar que su objetivo es proteger las cuentas de correo importantes pudiendo tener cuentas “descartables” para cualquier otro fin. El procedimiento es el siguiente:
Asumiendo que tiene una cuenta de correo en la organización en la que trabaja, utilizar la misma sólo con fines laborales. Esto tiene dos aplicaciones: por un lado evitar el spam (beneficiándose uno mismo y a la organización) y por el otro cumplir con una política de seguridad que "debería" establecer que el e-mail es de uso interno y no para fines personales. Esta cuenta nunca debe ser publicada en Internet, listas de correo o cualquier otro medio público como los mencionados anteriormente.
La segunda cuenta de correo es personal y sólo la tendrán las personas con las que desee comunicarse (familiares, amigos, etc). Al igual que la cuenta anterior, este correo nunca debe ser expuesto.
La tercera de la cuentas es la que se publicará cuando se solicita en cualquiera de los medios públicos mencionados. Es un hecho que esta cuenta recibirá spam inmediatamente, por lo que será común cambiarlas cada cierto tiempo. Es recomendable que la cuenta sea de algún servicio gratuito de webmail. Perder esta cuenta no es importante siempre y cuando se cumpla el objetivo de conservar las dos anteriores de la forma más privada posible.
Actualmente, muchos servicios de webmail dan la posibilidad de hacer públicas una o más cuentas de correo manteniendo en privado la original. Además, permiten la administración conjunta de ambos tipos de cuentas. Otro servicio muy recomendable para utilizar en caso en donde se solicita registración, son los servicios de correo temporales. Aquí la cuenta de correo existe por un período determinado y luego se auto-elimina.
Página 4 de 15
Servicios de este tipo son:
http://www.tempinbox.com/spanish/ http://trashmail.net/ http://www.spambob.com/ http://www.spamday.com/
Como se puede ver, son procedimientos sencillos de seguir y que ayudarán a prevenir cualquiera de las amenazas mencionadas, manteniendo la privacidad del correo.
Además, algunos filtros de correo funcionan efectivamente previniendo gran cantidad de spam, pero actualmente ninguno actúa lo suficientemente bien como para olvidarse de estos simples consejos que, utilizados correctamente, ayudarán a recibir menos correo no deseado. Otra característica negativa de los filtros es que algunos funcionan tan sensiblemente que terminan filtrando correo normal.
Protección contra el Phishing
Son válidas todas las recomendaciones dadas en el punto anterior y además las siguientes:
1. Evitar el spam, ya que es el principal medio de distribución de cualquier mensaje que intente engañarlo.
2. Tomar por regla general rechazar adjuntos y analizarlos aún cuando esté esperando recibirlos. Ver imagen 3.
3. Nunca hacer clic en un enlace incluido en un mensaje de correo. Siempre intente ingresar manualmente a cualquier sitio web. Esto se debe tener muy en cuenta cuando es el caso de entidades financieras, o en donde se pide información confidencial, como usuario, contraseña, tarjeta, PIN, etc.
4. Una entidad, empresa, organización, etc., sea cual sea, nunca le solicitará datos confidenciales por ningún medio, ni telefónicamente, ni por fax, ni por correo electrónico, ni a través de ningún otro medio existente. Es muy importante remarcar este punto y en caso de recibir un correo de este tipo, ignorarlo y/o eliminarlo.
5. Otra forma de saber si realmente se está ingresando al sitio original, es que la dirección web de la página deberá comenzar con https y no http, como es la costumbre. La S final, garantiza un alto nivel de confianza que se está navegando por una página web segura.
6. Es una buena costumbre verificar el certificado digital al que se accede haciendo doble clic sobre el candado de la barra de estado en parte inferior del explorador (actualmente algunos navegadores también pueden mostrarlo en la barra de navegación superior). Este candado debe aparecer siempre que se navegue por páginas seguras (https://).
7. No responder solicitudes de información que lleguen por correo electrónico. Cuando las empresas reales necesitan contactarse tienen otras formas de hacerlo, de las cuales jamás será parte el correo electrónico debido a sus problemas inherentes a seguridad.
8. Si se tiene dudas sobre la legitimidad de un correo, se aconseja llamar por teléfono a la compañía a un número que conozca de antemano. Nunca llamar a los números que acompañan a los mensajes recibidos.
9. El correo electrónico es muy fácil de interceptar y de que caiga en manos equivocadas, por lo que jamás se debe enviar contraseñas, números de tarjetas de crédito u otro tipo de información sensible a través de este medio.
Página 5 de 15
10. Resulta recomendable tomar el hábito de examinar los cargos que se hacen a las cuentas o tarjetas de debito/crédito para detectar cualquier actividad inusual.
11. Usar antivirus y firewall. Estas aplicaciones no se hacen cargo directamente del problema, pero pueden detectar correos con troyanos o conexiones entrantes/salientes no autorizadas y sospechosas.
12. También es importante, que si se conoce algún tipo de amenaza como las citadas, denunciarlas a la unidad de delitos informáticos del país.
A continuación, se muestra un mensaje falso de un conocido banco de Argentina. Estos ejemplos abundan en cualquier país, y lamentablemente la tasa de usuarios que son engañados aún es alta.
Imagen 1-Mensaje de phishing
En esta imagen se observa el lugar donde podría aparece el candado según el explorador utilizado:
Imagen 2-Lugar de aparición del candado según cada navegador
Página 6 de 15
A continuación se ve un certificado digital de un sitio web de confianza mencionado en el punto 6.
Imagen 3-Certificado digital
En la imagen que sigue puede verse la forma en que llega un correo con un archivo adjunto. Puede apreciarse que dicho archivo tiene doble extensión y este es un motivo más que suficiente para sospechar del mismo.
Imagen 4-Adjunto con doble extensión
Página 7 de 15
Las extensiones con las que se debería prestar especial atención son: .pif, .exe, .com, .vbs, .vbe, .jpg, .gif, .doc, .xls, .bat, .htm, .zip, .rar, .scr, .hta, .lnk, .cmd1.
Pharming
Como ya se mencionó, toda computadora tiene una dirección IP. Debido a la dificultad que supondría para los usuarios tener que recordar esas direcciones IP, surgieron los Nombres de Dominio2, que van asociados a las direcciones IP, igual que los nombres de las personas van asociados a sus números de teléfono en una guía telefónica.
Los ataques mediante Pharming pueden realizarse de dos formas:
• directamente a los servidores que realizan la asociación Nombre-IP (servidores DNS)3, con lo que todos los usuarios se verían afectados.
• atacando una computadora en concreto, mediante la modificación del fichero "hosts" presente en cualquier equipo que utiliza Windows (C:\WINDOWS\system32\drivers\etc\hosts)
La técnica de pharming se utiliza normalmente para realizar ataques de Phishing, redireccionando el Nombre de Dominio de una entidad de confianza a una página web, en apariencia idéntica, pero que en realidad ha sido creada por el atacante para obtener los datos privados del usuario, generalmente datos bancarios4.
Es decir, que desvía el tráfico de Internet de un sitio web hacia otro sitio de apariencia similar, con la finalidad de engañar a los usuarios para obtener sus nombres y contraseñas de acceso.
La modificación del archivo “hosts” es normal en gusanos y troyanos, ya que así se aseguran controlar los sitios webs visitados por el usuario.
1 Más información: http://es.wikipedia.org/wiki/Extensi%C3%B3n_de_archivo
2 Más información Dominio: http://es.wikipedia.org/wiki/Dominio_de_Internet
3 Más información DNS: http://es.wikipedia.org/wiki/DNS
4 Más información: http://es.wikipedia.org/wiki/Pharming
Página 8 de 15
A continuación, se puede ver un esquema de funcionamiento de este tipo de ataque:
Imagen 5-Pharming
A continuación, se puede ver un archivo hosts modificado:
Imagen 6-Archivo host
Página 9 de 15
Banca en Línea
Como ya se pudo observar, al acceder a Internet se puede ser víctimas de innumerables amenazas y engaños. Esto toma énfasis al tratarse de la manejo de información sensible como la banca online o el e-banking.
Para prevenir este tipo de amenazas es fundamental seguir los pasos ya descriptos para evitar el Phishing, principal riesgo actual al acceder a información en línea.
Además, debe prestarse especial atención a que el protocolo utilizado sea https, verificar la existencia del candado indicando el certificado digital, y además debe verificarse la validez del mismo como ya se mencionó.
En la próxima sección podrá verse una imagen con todo lo que se debería verificar al ingresar a una entidad financiera.
Identificación de un correo falso
Los siguientes son aspectos a tener en cuenta para ayudar a identificar un correo falso que simula provenir de una entidad bancaria o financiera:
• Dirección del remitente: prestar especial atención a la dirección que aparece como remitente. Recuerde que la dirección de un e-mail falso puede parecer legítima.
• Forma de saludar: muchos mensajes falsos comienzan con saludos genéricos sin personalización hacia un usuario determinado.
• Urgencia y/o amenaza: este es uno de los elementos más importantes, ya que generalmente este tipo de correos se aprovecha del temor para lograr sus propósitos. Estos mensajes falsos suelen comunicar a necesidad urgente de actualizar y ampliar los datos del usuario. La mayoría amenazan con la discontinuidad o inhabilitación de un servicio específico.
• Recordar que las empresas nunca solicitan datos por correo electrónico. Cuando llega un correo que solicita información como nombre de usuario, clave, número de tarjeta de crédito o cuenta, es probable que sea un mensaje falso.
• Enlaces en el cuerpo del correo: en la mayoría de los casos se incluyen enlaces con apariencia legítima, pero que llevan a sitios falsos. Revisar la URL del sitio, citada en el correo y comprobar que es la empresa a la que se refiere. Para estar seguro que se ingresa a un sitio legítimo, comprobar que la URL que aparece en la barra de direcciones sea igual a la utilizada habitualmente.
Página 10 de 15
A continuación, se observa un correo en donde se destacan los detalles mencionados:
Imagen 7-Correo falso
Uso de teclados virtuales
Los teclados virtuales son mini-aplicaciones generalmente encontrados en sitios webs que requieren alta tasa de seguridad (como páginas de e-banking y financieros) y cuya funcionalidad es simular un teclado real. El uso del mismo se realiza a través del mouse, permitiendo escribir lo que generalmente se realizaría con el teclado convencional.
La seguridad de estos dispositivos radica en que permiten evitar los keyloggers, ya que al no presionar ninguna tecla se evita la grabación de lo que se escribiría.
Aún así, para elevar un grado más la seguridad, generalmente estos teclados mezclan aleatoriamente sus teclas de modo tal que un caracter no permanezca siempre en la misma posición, evitando registrar el movimiento y el clic del mouse. Para superar esta barrera de seguridad los nuevos troyanos han comenzado a tomar imágenes y videos de las acciones del usuario, pero al momento de desarrollar el presente aún no es demasiado común su utilización.
Página 11 de 15
En la siguiente imagen pueden observarse los puntos más importantes a verificar para garantizar una navegación segura en las entidades financieras:
Imagen 8-Teclado virtual y certificado de una entidad bancaria
Protección contra programas dañinos
Los programas dañinos (virus, gusanos, troyanos, backdoors, etc.) son los que peores consecuencias pueden acarrear al usuario y a cualquier organización. Las formas más comunes de prevención abarcan los siguientes puntos:
1. Evitar el spam, ya que como se ha mencionado, es el principal medio de distribución de cualquier malware.
2. No descargar adjuntos que no se han solicitado, cualquiera sea la fuente de la que provengan. Recodar que es muy fácil falsear la cabecera de un correo para que parezca que proviene de un contacto conocido. El malware utiliza estos engaños constantemente. Al no descargar adjuntos (que portan códigos maliciosos) se corta la vía más probable de infección.
3. Nunca hacer clic en enlaces que llegan en mensajes de correo electrónico o mensajería. En este último caso más vale confirmar que la otra persona envió el link mencionado, ya que es común que sistemas infectados ofrezcan estos enlaces para auto-descargar el malware y continuar su propagación.
4. Ser cuidadoso de los sitios por los que se navega. Es muy común que los sitios dedicados al underground o pornográficos contengan un alto contenido de programas dañinos y que explotando diversas vulnerabilidades del sistema operativo o del explorador, puedan instalarse.
Página 12 de 15
5. Controlar el tráfico entrante y saliente de la red mediante un firewall personal o corporativo. Estos sistemas indican el tráfico sospechoso y facilitarán la detección de una infección, porque el tráfico desde y hacia Internet aumentará considerablemente.
6. Verificar los privilegios de usuarios. Es común que todos los usuarios que hacen uso de la computadora lo hagan con permisos administrativos. Esto no necesariamente debe ser así, es recomendable que cada uno tenga su propio perfil sólo con los permisos necesarios para realizar sus tareas. Esto disminuye el campo de acción de un posible intruso (virus, backdoor, usuario no autorizado, etc.).
7. No descargar archivos de sitios de dudosa reputación.
8. Descargar actualizaciones de programas sólo de sitios de confianza. En el caso de las actualizaciones de productos de Microsoft, por ejemplo, las mismas son informadas sólo el segundo martes de cada mes (con muy raras excepciones en caso de urgencia). Esto último facilita las actualizaciones que a realizar. Cuando se pueda es recomendable dejar actuar a las actualizaciones automáticas de cada producto.
9. No confiar en correos con programas adjuntos y mucho menos, si la misma dice ser una actualización de un producto determinado. Las empresas nunca envían adjuntos con actualizaciones, sólo informan de la misma.
10. Evitar los programas ilegales (como los warez), ya que los mismos suelen contener troyanos, keyloggers, etc. Si se desea utilizar programas libres o gratuitos se puede recurrir a soluciones OpenSource.
11. Ya no es suficiente eliminar correos de personas desconocidas o que no hayan solicitado, ya que esta forma de prevención es fácilmente burlada por cualquier virus/spammer actual. Se debe recurrir a estar protegidos con un antivirus con capacidades proactivas que permita detectar un programa dañino si el mismo es descargado desde un correo electrónico. Esto también aplica para cualquier otro tipo de descarga.
12. Cuando se reciben adjuntos, hay que prestar especial atención a las extensiones de los mismos. Si algún archivo posee doble extensión, es recomendable eliminarlo directamente, ya que existe una alta probabilidad de que el mismo sea dañino. Ver imagen 3.
13. En caso de descargar archivos de redes P2P (Kazza, Emule, etc.) es indispensable hacerlo con un antivirus actualizado, ya que nada asegura que lo que se está descargando sea lo que dice ser. A esto se debe sumar que si se tiene la costumbre de descargar archivos con frecuencia, sería conveniente hacerlo en una computadora que sólo se tiene para este fin y que ningún dato sensible sea almacenado en la misma.
14. Se debe prestar atención cuando se navega para evitar ingresar a sitios peligrosos y evitar ejecutar programas que “auto-ofrecen” descargarse. Es común ver programas dañinos que simulan ser soluciones de seguridad o antivirus.
15. Es recomendable utilizar un antivirus que garantice una alta detección de spyware. En caso contrario, se podría utilizar un software anti-spyware.
16. Instalar un antivirus y actualizarlo. Se dejó esta recomendación para el final, porque aunque parece evidente este consejo, existen casos en los que no es tomado en cuenta. Muchos usuarios consideran que un programa de este tipo no es efectivo y que sólo sirve para ralentizar la computadora. Es aquí donde es importante evaluar cada antivirus considerando sus ventajas y desventajas. Algunos de los puntos a tener en cuenta son:
Página 13 de 15
a. Peso en memoria del monitor residente. Algunos antivirus consumen gran cantidad de recursos lo que lleva al usuario a deshabilitarlo para lograr utilizar su computadora.
b. Velocidad de exploración. Algunos antivirus demoran mucho tiempo en la búsqueda de malware en los discos, lo que lleva al usuario a no ejecutarlo.
c. Capacidades proactivas. Es poco común que los antivirus incorporen esta técnica de detección y muchos sólo lo utilizan como campaña publicitaria. Esta capacidad será tratada en profundidad en la sección de antivirus, ya que es fundamental que el mismo pueda detectar nuevos códigos maliciosos mediante técnicas “inteligentes”.
Instalación de un Antivirus
La instalación de un antivirus es fundamental para preservar la seguridad en un sistema.
La variedad de antivirus actuales es amplia, pero en su gran mayoría la forma de instalación y actualización no varía demasiado. A continuación, se muestra una instalación y configuración típica de ESET NOD32 Antivirus.
Luego de descargarlo, se ejecuta el instalador y se deberá seguir una serie de sencillos pasos que permitirán tener un antivirus funcionando en menos de 5 minutos. Es muy importante contar con una licencia valida que permita instalar y actualizar posteriormente.
Imagen 9-Instalación de ESET NOD32 Antivirus v3.0
Página 14 de 15
Al finalizar el procedimiento de instalación, generalmente es necesario reiniciar el equipo para completar la configuración de la aplicación y la correcta instalación de componentes críticos.
Luego de reiniciar, será necesario actualizar la base de datos de firmas, tarea que generalmente se realiza automáticamente cada vez que sea necesario. En la siguiente imagen, ya se dispone del antivirus actualizado y el Centro de Seguridad de Windows confirmando este dato.
Imagen 10-ESET NOD32 Antivirus funcionando normalmente
Como se puede apreciar la instalación es sumamente sencilla y dejará el equipo protegido contra cualquier amenaza conocida o desconocida.
Página 15 de 15
Copyright © 2008 por ESET, LLC y ESET, spol. s.r.o. Todos los derechos reservados.
Las marcas registradas, logos y servicios distintos de ESET, LLC y ESET, spol. s.r.o., mencionados en este curso, son marcas registradas de sus respectivos propietarios y no guardan relación con ESET, LLC y ESET, spol. s.r.o.
© ESET, 2008
Acerca de ESET
Fundada en 1992 y con oficinas centrales en San Diego, California, Estados Unidos, ESET es una compañía global de soluciones de software de seguridad que provee protección de última generación contra virus informáticos.
El premiado producto antivirus ESET NOD32, asegura el máximo rendimiento de su red, detección mediante Heurística Avanzada, y soporte mundial gratuito. Además, ESET lanzó al mercado su nueva solución unificada ESET Smart Security, la cual incorpora a ESET NOD32 las funcionalidades de Antispam y Firewall Personal.
ESET NOD32 les da a los clientes corporativos el mayor retorno de la inversión (ROI) de la industria como resultado de una mayor productividad, bajo tiempo ocupado, y un uso mínimo de los recursos.
ESET NOD32 logra más premios Virus Bulletin 100% que ningún otro producto antivirus disponible, detectando consistentemente todos los virus activos (in-the-wild) sin falsos positivos.
El trabajo de ESET con grandes corporaciones como Canon, Dell, Bridgestone y Microsoft le ha permitido entrar en el Fast 50 de Deloitte Technology por tres años consecutivos, además de estar entre las 10 empresas de mayor crecimiento en San Diego, de acuerdo al San Diego FAST 100.
ESET es una compañía privada con oficinas en San Diego (Estados Unidos), Londres (Reino Unido), Praga (República Checa), Bratislava (Eslovaquia) y Buenos Aires (Argentina).
Para más información, visite www.eset-la.com
