Amenazas virtuales

Consecuencias Reales

Ing. Aarón Chánez GuzmánConsultor en seguridad informática ASCII S.A. de C.V. En Guadalajara Jalisco MéxicoProduct Manager Antivirus HAURI

¿Que es un Virus?

• Son programas de computadora.

• Su principal cualidad es la de poder auto replicarse.

• Intentan ocultar su presencia hasta el momento de la explosión.

• Producen efectos dañinos en el "huésped".

HISTORIA • 1949: Se da el primer indicio de definicion de virus. John

Von Neumann (considerado el Julio Verne de la informatica), expone su "Teoria y organizacion de un automata complicado".

• 1959: En los laboratorios AT&T Bell, se inventa el juego "Guerra Nuclear" (Core Wars) o guerra de nucleos de ferrita.

• 1970: El Creeper es difundido por la red ARPANET.

• 1974: El virus Rabbit hacía una copia de si mismo y lo situaba dos veces en la cola de ejecucion de ASP de IBM lo que causaba un bloqueo del sistema.

• 1980: La red ARPANET es infectada por un "gusano" y queda 72 horas fuera de servicio.

• 1983: El juego Core Wars, con adeptos en el MIT, salio a la luz publica en un discurso de Ken Thompson. Dewdney explica los terminos de este juego. Ese mismo año aparece el termino virus tal como lo entendemos hoy.

HISTORIA• 1985: Dewdney intenta enmendar su error publicando otro artículo

"Juegos de Computadora virus, gusanos y otras plagas de la Guerra Nuclear atentan contra la memoria de las pc’s".

• 1987: Se da el primer caso de contagio masivo de computadoras a través del MacMag Virus también llamado Peace Virus sobre computadoras Macintosh. Se descubre la primera versión del virus "Viernes 13" en las pc’s de la Universidad Hebrea de Jerusalén.

• 1988: El virus Brain creado por los hermanos Basit y Alvi Amjad de Pakistan aparece en Estados Unidos.

• 1990: surgio el primer virus polimórfico.

• En 1995 se creó el primer virus de lenguaje de macros, WinWord

Concept.

Top de Virus en los últimos 6 años

1999 2000 2001 2002 2003 2004 Melissa 1 - eMail Fun_love.4099 2 – Gusano de red Code-Red Family 3 – Paquete Gusano Nimda Family 1 2 3 4 – Creacion de archivos Sircam 1 2 3 4 y 5 – Fuga de informacion Klez.H/Elkern 1 2 3 4 5 6 7 – Cambios en el registro Saltos en memoria Sql Slammer Blaster 1 2 3 4 5 6 7 8 – Bases de datos y vulnerabilidades sobig, agobot sasser,netsky 1 2 3 4 5 6 7 8 9 Envios de correos masivos Abre puertos

Ciclo de Vida de un Virus• Creación.• Gestación.• Reproducción.• Infección.• Detección.• Propagación.• Activación.• Descubrimiento.• Asimilación.• Erradicación.

Años atrás, crear un virus requería del conocimiento del lenguaje de programación Assembler. Hoy en día, cualquiera con un poco de conocimiento en programación puede crear un virus más o menos dañino para las computadoras.

Cuando el virus es creado, el programador hace copias asegurándose de que se diseminen.

Los virus se reproducen naturalmente. Un virus bien diseñado se reproducirá por un largo tiempo antes de activarse, lo cual permite que se disemine por todos lados.

Para que nuestra computadora se infecte o contagie con un virus el código del virus tiene que grabarse en nuestra PC.

Las vías de infección mas comunes son:

• El correo electrónico.

• Bajar archivos de Internet por (download).

• Bajar archivos de Internet por ftp.

• Copiar disquetes, CD, etc.

• Visitar páginas web.

• Uso de grupos de discusión. (Chat).

• Uso de redes locales.

La forma más evidente de enterarnos es ver la consecuencia de los daños producidos por el virus.

•Síntomas dudosos• la computadora trabaja muy lenta. • disminuye la memoria disponible.• la computadora se apaga o bloquea frecuentemente.• hay programas que no funcionan o funcionan mal a partir de un momento dado.• mis contactos del correo reciben correos con virus

•Síntomas claros•queda menos espacio libre en el disco duro sin que nosotros grabemos archivos.• desaparecen archivos de la computadora.• aparecen mensajes o gráficos extraños en la pantalla.• al pulsar una tecla o un acento no funciona correctamente.• algunos archivos cambian de nombre o de extensión • el lector de CD se abre y cierra sólo.• Envíos de peticiones masivos a red sin un programa instalado broadcast.• Envíos excesivos de correos.

Cualquier acción extraña que no podamos asociar a ninguna otra causa puede ser causada por un virus. La mejor forma conocida de detectar un virus para los usuarios sin conocimientos de informática es ejecutar un programa antivirus.

La rapidez de propagación es el aspecto que determina que un virus tenga más o menos éxito.

Los lugares donde se pueden esconder los virus y su forma de activarse son:•Archivos adjuntos en los correos. •En la memoria de la computadora. Desde la memoria puede ejecutarse en cualquier momento y copiarse a otro archivo.•En archivos ejecutables. •En los sectores de arranque de los discos.•En registro del sistema operativo.

Los virus que contienen rutinas dañinas, se activarán bajo ciertas condiciones, por ejemplo, en determinada fecha o cuando el usuario haga algo determinado. Los virus sin rutina dañina no se activan, pero causan daño al robar espacio en el disco.

Esta fase por lo general viene después de la activación. Cuando se detecta y se aísla un virus, se envía al International Security Association en Washington D.C, para ser documentado y distribuido a los encargados de desarrollar los productos antivirus. El descubrimiento, normalmente ocurre por lo menos un año antes de que el virus se convierta en una amenaza para la comunidad informática.

En este punto, quienes desarrollan los productos antivirus, modifican su programa para que éste pueda detectar los nuevos virus. Esto puede tomar de un día a seis meses, dependiendo de quien lo desarrolle y el tipo de virus.

Hasta ahora, ningún virus ha desaparecido completamente, pero algunos han dejado de ser una amenaza.

Tipos de Virus por destino de infección

• De archivos ejecutables– Afectan archivos de extensión EXE, COM,

BAT, SYS, PIF, DLL, DRV.

• Residentes en memoria– El virus se aloja en la memoria y permanece

residente infectando cada nuevo programa ejecutado y ejecutando su rutina de destrucción.

• De sector de arranque– Tanto los discos rígidos como los disquetes

contienen un Sector de Arranque, el cual contiene información específica relativa al formato del disco y los datos almacenados en él.

• MacrovirusNo se transmiten a través de archivos ejecutables, sino a través de los documentos, de las aplicaciones que poseen algún tipo de lenguaje de macros.

• De Actives Agents y Java Applets – Los virus desarrollados con Java applets y

Actives controls acceden al disco rígido a través de una conexión www de manera que el usuario no los detecta. Se pueden programar para que borren o corrompan archivos, controlen la memoria, envíen información a un sitio web, etc.

• De HTML – Con solo conectarse a Internet, cualquier

archivo HTML de una página web puede contener y ejecutar un virus. Este tipo de virus se desarrollan en Visual Basic Script.

• Trojanos/Worms – Los troyanos son programas que imitan

programas útiles o ejecutan algún tipo de acción aparentemente inofensiva, pero que de forma oculta al usuario ejecutan el código dañino.

Tipos de Virus por sus acciones y/o modo de activación

• Bombas – Se denominan así a los virus que ejecutan su acción

dañina como si fuesen una bomba. Esto significa que se activan segundos después de verse el sistema infectado o después de un cierto tiempo (bombas de tiempo) o al comprobarse cierto tipo de condición lógica del equipo.

• Camaleones – Son una variedad de virus similares a los caballos de Troya

que actúan como otros programas parecidos, en los que el usuario confía, mientras que en realidad están haciendo algún tipo de daño. Cuando están correctamente programados, los camaleones pueden realizar todas las funciones de los programas legítimos a los que sustituyen .

• Reproductores – Los reproductores (también conocidos como conejos-

rabbits) se reproducen en forma constante una vez que son ejecutados hasta agotar totalmente (con su descendencia) el espacio de disco o memoria del sistema.

• Gusanos (Worms)– Los gusanos son programas que constantemente

viajan a través de un sistema informático interconectado, de PC a PC, sin dañar necesariamente el hardware o el software de los sistemas que visitan.

– La función principal es viajar en secreto a través de equipos anfitriones recopilando cierto tipo de información programada (tal como los archivos de passwords) para enviarla a un equipo determinado al cual el creador del virus tiene acceso. .

• Backdoors – Son también conocidos como herramientas de

administración remotas ocultas. Son programas que permiten controlar remotamente la PC infectada. Generalmente son distribuidos como troyanos.

Los Hoax • Sin ser realmente virus, los Hoax son parte de los

ataques a los que esté expuesto Internet. Se trata de mensajes que hacen alusión a virus fantasmas o inexistentes, cuya difusión se realiza a través de cadenas de correo electrónico y dan la "falsa alarma" acerca de un virus.

• El fenómeno de estos virus apócrifos es ocasional, y suele coincidir con hechos cotidianos de los cuales la mayor parte de la población internauta esta enterada. Mucho más inofensivos que los virus, los Hoax tienen el mismo objetivo que la demás fauna nociva de Internet; partiendo del principio que la Red es, en esencia, información, incluidos los Hoax, afectan el flujo de la información; es decir, atacan las bases mismas de la World Wide Web, reduciendo su propia actividad.

Spyware• Spyware se denomina a los archivos o

aplicaciones de software que son instalados en los sistemas, algunas veces sin conocimiento u autorización de los usuarios o después que los mismos acepten las "Condiciones de Uso" (detalladas en inglés), Estos archivos se ejecutan en el "background" (en segundo plano), cuando los usuarios se encuentran conectados a Internet. 

• Los Spyware monitorean y capturan información de las actividades de los usuarios, hacia servidores donde almacenarán los datos recolectados para fines, por lo general comerciales y esta información es vendida a ciertos proveedores de productos o servicios que posteriormente bombardearán los buzones de correo ofreciendo equipos de cómputo, periféricos, consumibles, viajes turísticos, pornografía, etc.

Adware• El Adware, al igual que el

Spyware son aplicaciones que instaladas del mismo modo explicado anteriormente, permiten visualizar los banners publicitarios de muchos productos o servicios.

• Este tipo de publicidad en línea es la que  subvenciona económicamente a muchas aplicaciones o servicios. Sin embargo, es importante mencionar que NO todos los programas gratuitos contienen archivos "espías" o publicitarios.

Creador de virus Blast•Jeffrey Lee Parson

•18 años

•Hopkins, Minnesota

•1.92ms

•135 kilogramos

•Tímido genio de la computadora

•Variación del virus Blaster.B.

•7,000 computadoras en 500,000 sistemas durante la primer semana

•29 de agosto de 2003 arrestado por el FBI

Scanner de Vulnerabilidades

Analizadorde Trafico

Firewall para Aplicaciones

Detectores de Intrusos (IDS)

FIREWALL

Antivirus

SuSuRedRed

Reactivo

Proactivo

Políticas

QUE DEBEMOS PROTEGER

Survey by Computer Security InstituteSurvey by Computer Security Institute

Firewalls, Antivirus e IDS son escenciales

86% registraron minimo 2 ataques por semana

70% de los ataques son internos

75% involucra personal de alto nivel

US$ 2,1 MillonesUS$ 2,1 Millones

US$ 57.000

Ratio 36:1

Precauciones• Hoy en día los virus se propagan de múltiples formas,

sobre todo el envío de virus por correo se ha convertido en algo común y hay que tomar precauciones, cuantas más mejor.– No hay que abrir correos de desconocidos o que

nos merezcan poca confianza.– No abrir archivos adjuntos si no se tiene la certeza

de su contenido.• Los programas antivirus pueden trabajar de dos formas

básicas. De forma permanente y bajo petición. • Es conveniente tener activado el antivirus de forma

permanente.

• Hay que actualizar frecuentemente el programa antivirus, ya que cada poco tiempo aparecen virus nuevos que un antivirus no puede detectar hasta que no es actualizado.

• Si sólo utilizamos software legal es más difícil que nos contagiemos.

• Por muchas precauciones que tomemos no está garantizado al 100% que no nos podamos infectar, por lo tanto conviene realizar copias de seguridad de nuestros datos en CD u otros medios. Si se estropea la computadora por otras causas ajenas a los virus también agradeceremos tener una copia de seguridad.

• Todas las precauciones se resumen en tres, utilizar un buen programa antivirus actualizado, no grabar archivos sin garantía y no abrir correos de remitente desconocido.

Precauciones

Medidas antivirus• Nadie que usa computadoras es inmune a los virus de computación.

Obtener un programa antivirus que vaya a la par de la tecnologia de los virus nuevos.• Desactivar arranque desde disquete en el setup para que no se ejecuten virus de boot. • Desactivar compartir archivos e impresoras. • Analizar con el antivirus todo archivo recibido por e-mail antes de abrirlo. • Actualizar antivirus. • Activar la protección contra macrovirus del Word y el Excel. • Sea cuidadoso al bajar archivos de Internet (Analice si vale el riesgo y si el sitio es

seguro) • No envíe su información personal ni financiera a menos que sepa quien se la solicita y

que sea necesaria para la transacción. • No comparta discos con otros usuarios. • No entregue a nadie sus claves, incluso si lo llaman del servicio de Internet u otro. • Enseñe a sus niños las practicas de seguridad, sobre todo la entrega de información. • Cuando realice una transacción asegúrese de utilizar una conexión bajo SSL • Proteja contra escritura el archivo Normal.dot • Distribuya archivos RTF en vez de DOCs • Realice backups