ACCESO-USO-AUTORIZACIÓN
La identificación de estas palabras es muy importante ya que el uso de
algunas implica un uso desapropiado de las otras.
Cuando un usuario tiene acceso autorizado,
tiene autorizado el uso de un recurso.
Cuando un atacante tiene acceso desautorizado está haciendo uso desautorizado del sistema.
Cuando un atacante hace uso desautorizado de un sistema ,esto implica que el acceso fue autorizado. (Simulación de usuario).
ATAQUE. Intento de acceso o uso desautorizado de un recurso.
INCIDENTE. Conjunto de ataques que pueden ser distinguidos de otros.
Cuando un atacante tiene acceso desautorizado está haciendo uso desautorizado del sistema.
Cuando un atacante hace uso desautorizado de un sistema ,esto implica que el acceso fue autorizado. (Simulación de usuario).
ATAQUE. Intento de acceso o uso desautorizado de un recurso.
INCIDENTE. Conjunto de ataques que pueden ser distinguidos de otros.
DETECCIÓN DE INTRUSOS
A finales de 1996, Dan Farmer (creador de una de las herramientas más útiles en la detección de intrusos: SATAN) realizó un estudio sobre seguridad analizando 2.203 sistemas de sitios en Internet. El estudio se realizó empleando técnicas sencillas y no intrusivas. Los problemas del grupo rojo son los más serios y suponen que el sistema está abierto a un atacante potencial, es decir, posee problemas de seguridad conocidos en disposición de ser explotados. Los problemas de seguridad del grupo amarillo son menos serios ,implican que el problema detectado no compromete inmediatamente al sistema pero puede causarle serios daños.
A finales de 1996, Dan Farmer (creador de una de las herramientas más útiles en la detección de intrusos: SATAN) realizó un estudio sobre seguridad analizando 2.203 sistemas de sitios en Internet. El estudio se realizó empleando técnicas sencillas y no intrusivas. Los problemas del grupo rojo son los más serios y suponen que el sistema está abierto a un atacante potencial, es decir, posee problemas de seguridad conocidos en disposición de ser explotados. Los problemas de seguridad del grupo amarillo son menos serios ,implican que el problema detectado no compromete inmediatamente al sistema pero puede causarle serios daños.
IDENTIFICACIÓN DE LAS AMENAZAS
La identificación de amenazas requiere conocer los tipos de ataques, el tipo de acceso, la forma operacional y los objetivos del atacante.
La identificación de amenazas requiere conocer los tipos de ataques, el tipo de acceso, la forma operacional y los objetivos del atacante.
Las consecuencias de los ataques se podrían clasificar en:
Data Corruption: la información que no contenía defectos pasa
a tenerlos.
Denial of Service (DoS): servicios que deberían estar disponibles no lo están.
Leakage: los datos llegan a destinos a los que no deberían llegar.
Denial of Service (DoS): servicios que deberían estar disponibles no lo están.
Leakage: los datos llegan a destinos a los que no deberían llegar.
La Tabla 7.2 detalla el tipo de atacante, las
herramientas utilizadas, en que fase se realiza el ataque, los tipos de
procesos atacados, los resultados esperados y/u obtenidos y los objetivos
perseguidos por los intrusos
ž A continuación se expondrán diferentes tipos de
ataques perpetrados, principalmente, por Hackers. Estos ataques pueden ser realizados
sobre cualquier tipo de red, sistema operativo, usando diferentes protocolos,
etc.
TIPOS DE ATAQUES.
-Ingeniería Social
Es la manipulación de las personas para convencerlas de que ejecuten acciones o actos que normalmente no realizan para que revele todo lo necesario para superar las barreras de seguridad. Si el atacante tiene la experiencia suficiente (generalmente es así), puede engañar fácilmente a un usuario en beneficio propio. Esta técnica es una de las más usadas y efectivas a la hora de averiguar nombres de usuarios y passwords.
-Ingeniería Social Inversa
Consiste en la generación, por parte de los intrusos, de una situación inversa a la originada en Ingeniería Social.
Consiste en la generación, por parte de los intrusos, de una situación inversa a la originada en Ingeniería Social.
-Trashing (Cartoneo)
Generalmente, un usuario anota su login y password en un papelito y luego, cuando lo recuerda, lo arroja a la basura. Este procedimiento por más inocente que parezca es el que puede aprovechar un atacante para hacerse de una llave para entrar el sistema.
El Trashing puede ser físico (como el caso descripto) o lógico, como analizar buffers de impresora y memoria, bloques de discos, etc.
Generalmente, un usuario anota su login y password en un papelito y luego, cuando lo recuerda, lo arroja a la basura. Este procedimiento por más inocente que parezca es el que puede aprovechar un atacante para hacerse de una llave para entrar el sistema.
El Trashing puede ser físico (como el caso descripto) o lógico, como analizar buffers de impresora y memoria, bloques de discos, etc.
Ataques de Monitorización
Este tipo de ataque se realiza para observar a la victima y su sistema, con el objetivo de establecer sus vulnerabilidades y posibles formas de acceso futuro.
Este tipo de ataque se realiza para observar a la victima y su sistema, con el objetivo de establecer sus vulnerabilidades y posibles formas de acceso futuro.
-Shoulder
Surfing
Consiste en espiar físicamente a los usuarios para obtener el login y su password correspondiente
Consiste en espiar físicamente a los usuarios para obtener el login y su password correspondiente
-Decoy (Señuelos)
Los Decoy son programas diseñados con la misma interface que otro original. En ellos se imita la solicitud de un logeo y el usuario desprevenido lo hace. Luego, el programa guardará esta información y dejará paso a las actividades normales del sistema. La información recopilada será utilizada por el atacante para futuras "visitas".
Los Decoy son programas diseñados con la misma interface que otro original. En ellos se imita la solicitud de un logeo y el usuario desprevenido lo hace. Luego, el programa guardará esta información y dejará paso a las actividades normales del sistema. La información recopilada será utilizada por el atacante para futuras "visitas".
-Scanning
(Búsqueda)
El Scaneo, como método de descubrir canales de comunicación susceptibles de ser explotados, lleva en uso mucho tiempo. La idea es recorrer (scanear) tantos puertos de escucha como sea posible, y guardar información de aquellos que sean receptivos o de utilidad para cada necesidad en particular. Muchas utilidades de auditoría también se basan en este paradigma.
El Scaneo, como método de descubrir canales de comunicación susceptibles de ser explotados, lleva en uso mucho tiempo. La idea es recorrer (scanear) tantos puertos de escucha como sea posible, y guardar información de aquellos que sean receptivos o de utilidad para cada necesidad en particular. Muchas utilidades de auditoría también se basan en este paradigma.
-TCP Connect
Scanning
Esta no es una nueva técnica de scaneo como tal, sino una modificación de las anteriores. En lugar de enviar paquetes completos de sondeo, los mismos se particionan en un par de pequeños fragmentos IP.
Esta no es una nueva técnica de scaneo como tal, sino una modificación de las anteriores. En lugar de enviar paquetes completos de sondeo, los mismos se particionan en un par de pequeños fragmentos IP.
-TCP SYN Scanning
Cuando dos procesos establecen una comunicación usan el modelo Cliente/Servidor para establecerla. La aplicación del Servidor "escucha" todo lo que ingresa por los puertos.
La identificación del Servidor se efectúa a través de la dirección IP del sistema en el que se ejecuta y del número de puerto del que depende para la conexión. El Cliente establece la conexión con el Servidor a través del puerto disponible para luego intercambiar datos.
La información de control de llamada HandShake (saludo) se intercambia entre el Cliente y el Servidor para establecer un dialogo antes de transmitir datos. Los "paquetes" o segmentos TCP tienen banderas que indican el estado del mismo.
Cuando dos procesos establecen una comunicación usan el modelo Cliente/Servidor para establecerla. La aplicación del Servidor "escucha" todo lo que ingresa por los puertos.
La identificación del Servidor se efectúa a través de la dirección IP del sistema en el que se ejecuta y del número de puerto del que depende para la conexión. El Cliente establece la conexión con el Servidor a través del puerto disponible para luego intercambiar datos.
La información de control de llamada HandShake (saludo) se intercambia entre el Cliente y el Servidor para establecer un dialogo antes de transmitir datos. Los "paquetes" o segmentos TCP tienen banderas que indican el estado del mismo.
Hay veces en que incluso el scaneo SYN no es lo suficientemente "clandestino" o limpio.
Para subsanar este inconveniente los paquetes FIN, en cambio, podrían ser capaces de pasar sin ser advertidos. Este tipo de Scaneo está basado en la idea de que los puertos cerrados tienden a responder a los paquetes FIN con el RST correspondiente.
Fragmentación
Scanning.
Esta no es una nueva
técnica de scaneo como tal, sino una modificación de las anteriores. En lugar
de enviar paquetes completos de sondeo, los mismos se particionan en un par de
pequeños fragmentos IP.
-Eavesdropping–Packet
Sniffing
Muchas redes son
vulnerables al eavesdropping, o a la pasiva intercepción ( sin modificación)
del trafico de red. Packet sniffers, son programas que monitorean los paquetes
que circulan por la red.
Un sniffers consiste
en colocar a la placa de red en un modo llamado promiscuo, este tipo de
software era únicamente utilizado por los administradores de redes locales.
-Snooping–Downloading
El atacante ingresa a
los documento, mensajes de correo electrónico y otra información guardada,
realizando en la mayoría de los casos un downloading ( copia de documentos).
El snooping puede ser
realizado por simple curiosidad, pero también es realizado con fines de
espionaje y robo de información o software.
ATAQUES DE AUTENTICACIÓN.
-Spoofing-Looping
Spoofing puede traducirse como "hacerse pasar por otro" y el objetivo de esta técnica, justamente, es actuar en nombre de otros usuarios, usualmente para realizar tareas de Snooping o Tampering (ver a continuación Ataques de Modificación y Daño).
Una forma común de Spoofing es conseguir el nombre y password de un usuario legítimo para, una vez ingresado al sistema, tomar acciones en nombre de él.
Spoofing puede traducirse como "hacerse pasar por otro" y el objetivo de esta técnica, justamente, es actuar en nombre de otros usuarios, usualmente para realizar tareas de Snooping o Tampering (ver a continuación Ataques de Modificación y Daño).
Una forma común de Spoofing es conseguir el nombre y password de un usuario legítimo para, una vez ingresado al sistema, tomar acciones en nombre de él.
- Spoofing
Este tipo de ataques
suele implicar un buen conocimiento del protocolo en el que se va a basar el
ataque. Los ataques tipo spoofing bastante conocidos son el IP Spoofing, el DNS
Spoofing y el web Spoofing.
IP Spoofing
Con el IP Spoofing, el atacante genera paquetes de internet con una dirección de red falsa en el campo From, pero que es aceptada por el destinatario del paquete.
DNS Spoofing
Este ataque se consigue mediante la manipulación de paquetes UDP pudiéndose comprometer el servidor de nombres de dominio ( Domain Name Server-DNS ) de Windows NT.
Web Spoofing
En el caso web spoofing el atacante crea un sitio web completo (falso) similar al que la victima desea entrar.
IP Spoofing
Con el IP Spoofing, el atacante genera paquetes de internet con una dirección de red falsa en el campo From, pero que es aceptada por el destinatario del paquete.
DNS Spoofing
Este ataque se consigue mediante la manipulación de paquetes UDP pudiéndose comprometer el servidor de nombres de dominio ( Domain Name Server-DNS ) de Windows NT.
Web Spoofing
En el caso web spoofing el atacante crea un sitio web completo (falso) similar al que la victima desea entrar.
-IP
Splicing-Hijacking
Se produce cuando un atacante consigue interceptar una sesión ya establecida.
Se produce cuando un atacante consigue interceptar una sesión ya establecida.
Utilización de
BackDoors
Las puertas traseras son trozos de código en un programa que permiten a quien las conoce saltarse los métodos usuales de autentificación para realizar ciertas tareas.
-Utilización de Exploits
Los programas para explotar estos agujeros reciben el nombre de Exploits y lo que realizan es aprovechar la debilidad, fallo o error hallado en el sistema (hardware o software) para ingresar al mismo.
-Obtención de password
Este método comprende la obtención por Fuerza Bruta de aquellas claves que permiten ingresar a los sistemas, aplicaciones, cuentas.
-Uso de diccionarios.
Los diccionarios son archivos con millones de palabras, las cuales pueden ser posibles passwords de los usuarios.
-Denial Of Service (DOS)
Los protocolos existentes actualmente fueron diseñados para ser empleados en una comunidad abierta y con una relación de confianza mutua. La realidad indica que es mas fácil desorganizar el funcionamiento de un sistema que acceder al mismo.
-Jamming o Flooding.
Este tipo de ataques desactivan o saturan los recursos del sistema. El atacante satura el sistema con mensajes que requieren establecer conexión. En vez de proveer la dirección IP del emisor, el mensaje contiene falsas direcciones IP usando Spoofing y Looping.
-Syyn Flood.
El Syn Flood es el mas famoso de los ataques del tipo Denial of Service, se basa en un saludo incompleto entre los dos hots.
-Connection Flood.
La mayoría de las empresas que brindan servicios de internet (ISP) tienen un limite máximo en el numero de conexiones simultaneas. Una vez que alcanza ese limite, no se admitirán conexiones nuevas.
-Net Flood.
En estos casos, la red victima no puede hacer nada. Aunque filtre el trafico en sus sistemas, sus líneas estarán saturadas con trafico malicioso, incapacitándolas para cursar trafico útil. Un ejemplo habitual es el de un teléfono. En el caso de Net Flooding ocurre algo similar. El atacante envía tantos paquetes de solicitud de conexión que las conexiones autenticas simplemente no pueden competir.
-Land attack.
Consiste en un Bug (error) en la implementación de la pila TCP/IP de Windows. Consiste en mandar a algún puerto abierto de un servidor un paquete, maliciosamente construido, con la dirección y puerto origen igual que la dirección y puerto destino. Por ejemplo se envía un mensaje desde la dirección 10.0.0.1:hacia ella misma el resultado obtenido es que luego de cierta cantidad de mensajes enviados-recibidos la maquina termina colgándose.
-Smurt o broadcast Storm.
Consiste en recolectar una serie de direcciones Broadcast para, a continuación, mandar una petición ICMP (simulando un Ping) a cada una de ellas en serie, varias veces, falsificando la dirección IP de origen. También se podrá evitar el ataque si el router/firewall de salida del atacante estuviera configurado para evitar Spoofing.
Las puertas traseras son trozos de código en un programa que permiten a quien las conoce saltarse los métodos usuales de autentificación para realizar ciertas tareas.
-Utilización de Exploits
Los programas para explotar estos agujeros reciben el nombre de Exploits y lo que realizan es aprovechar la debilidad, fallo o error hallado en el sistema (hardware o software) para ingresar al mismo.
-Obtención de password
Este método comprende la obtención por Fuerza Bruta de aquellas claves que permiten ingresar a los sistemas, aplicaciones, cuentas.
-Uso de diccionarios.
Los diccionarios son archivos con millones de palabras, las cuales pueden ser posibles passwords de los usuarios.
-Denial Of Service (DOS)
Los protocolos existentes actualmente fueron diseñados para ser empleados en una comunidad abierta y con una relación de confianza mutua. La realidad indica que es mas fácil desorganizar el funcionamiento de un sistema que acceder al mismo.
-Jamming o Flooding.
Este tipo de ataques desactivan o saturan los recursos del sistema. El atacante satura el sistema con mensajes que requieren establecer conexión. En vez de proveer la dirección IP del emisor, el mensaje contiene falsas direcciones IP usando Spoofing y Looping.
-Syyn Flood.
El Syn Flood es el mas famoso de los ataques del tipo Denial of Service, se basa en un saludo incompleto entre los dos hots.
-Connection Flood.
La mayoría de las empresas que brindan servicios de internet (ISP) tienen un limite máximo en el numero de conexiones simultaneas. Una vez que alcanza ese limite, no se admitirán conexiones nuevas.
-Net Flood.
En estos casos, la red victima no puede hacer nada. Aunque filtre el trafico en sus sistemas, sus líneas estarán saturadas con trafico malicioso, incapacitándolas para cursar trafico útil. Un ejemplo habitual es el de un teléfono. En el caso de Net Flooding ocurre algo similar. El atacante envía tantos paquetes de solicitud de conexión que las conexiones autenticas simplemente no pueden competir.
-Land attack.
Consiste en un Bug (error) en la implementación de la pila TCP/IP de Windows. Consiste en mandar a algún puerto abierto de un servidor un paquete, maliciosamente construido, con la dirección y puerto origen igual que la dirección y puerto destino. Por ejemplo se envía un mensaje desde la dirección 10.0.0.1:hacia ella misma el resultado obtenido es que luego de cierta cantidad de mensajes enviados-recibidos la maquina termina colgándose.
-Smurt o broadcast Storm.
Consiste en recolectar una serie de direcciones Broadcast para, a continuación, mandar una petición ICMP (simulando un Ping) a cada una de ellas en serie, varias veces, falsificando la dirección IP de origen. También se podrá evitar el ataque si el router/firewall de salida del atacante estuviera configurado para evitar Spoofing.
-OOB, Supernuke o Winnuke
Un ataque característico, y quizás el más común, de los equipos con Windows© es el Nuke, que hace que los equipos que escuchan por el puerto NetBIOS sobre TCP/UDP 137 a 139, queden fuera de servicio, o disminuyan su rendimiento al enviarle paquetes UDP manipulados.
Un ataque característico, y quizás el más común, de los equipos con Windows© es el Nuke, que hace que los equipos que escuchan por el puerto NetBIOS sobre TCP/UDP 137 a 139, queden fuera de servicio, o disminuyan su rendimiento al enviarle paquetes UDP manipulados.
-Teadrop I
y II – Newtear – Bonk – Boink.
Teadrop I y II afectan a fragmentos de paquetes. Algunas implementaciones de colas IP no vuelven a armar correctamente los fragmentos que se superponen, haciendo que el sistema se cuelgue. Windows NT 4.0 de Microsoft es especialmente vulnerable a este ataque.
Teadrop I y II afectan a fragmentos de paquetes. Algunas implementaciones de colas IP no vuelven a armar correctamente los fragmentos que se superponen, haciendo que el sistema se cuelgue. Windows NT 4.0 de Microsoft es especialmente vulnerable a este ataque.
E-mail
bombing-spammig.
El e-mail bombing consiste en enviar muchas veces un mensaje idéntico a una misma dirección, saturando así el mailbox del destinatario.
El e-mail bombing consiste en enviar muchas veces un mensaje idéntico a una misma dirección, saturando así el mailbox del destinatario.
El spamming,en cambio
envía un email a miles de usuarios hayan estos solicitados en el mensaje o no.es
muy utilizado por las empresas para publicitar sus productos.
ATAQUES DE
MODIFICACIÓN-DAÑO
Tampering o Data Diddling.
Esta categoría se refiere a la modificación de desautorización de los datos o el software instalado en el sistema victima, incluyendo borrado de archivos. Son particularmente serios cuando el que lo realiza ha obtenido derechos de administrador o supervisor, con la capacidad de disparar cualquier comando y por ende alterar o borrar cualquier información que puede incluso terminar la baja total del sistema.
Tampering o Data Diddling.
Esta categoría se refiere a la modificación de desautorización de los datos o el software instalado en el sistema victima, incluyendo borrado de archivos. Son particularmente serios cuando el que lo realiza ha obtenido derechos de administrador o supervisor, con la capacidad de disparar cualquier comando y por ende alterar o borrar cualquier información que puede incluso terminar la baja total del sistema.
-Borrado de
Huellas
Es una de las tareas mas importantes que debe realizar el intruso después de ingresar a un sistema, ya que, si se detecta su ingreso, el administrador buscara como tapar el hueco.
Es una de las tareas mas importantes que debe realizar el intruso después de ingresar a un sistema, ya que, si se detecta su ingreso, el administrador buscara como tapar el hueco.
Huellas son todas las
tareas que realizo el intruso en le sistema y por lo general son almacenadas en
Logs.
-Ataque mediante
Java Applets.
Estos applets al fin y al cabo, no son mas que código ejecutable y como tal, susceptible de ser manipulado por intrusos. Sin embargo, partiendo del diseño, java siempre ha pensado en la seguridad del sistema. Las restricciones a las que somete a los applets son de tal envergadura (imposibilidad de trabajar con archivos a no ser que el usuario especifique lo contrario).
Estos applets al fin y al cabo, no son mas que código ejecutable y como tal, susceptible de ser manipulado por intrusos. Sin embargo, partiendo del diseño, java siempre ha pensado en la seguridad del sistema. Las restricciones a las que somete a los applets son de tal envergadura (imposibilidad de trabajar con archivos a no ser que el usuario especifique lo contrario).
Ataques Mediante
JavaScript y VBScript
JavaScript (de netscape) y vbscript de Microsoft son los dos lenguajes usados por los diseñadores de sitios web para evitar el uso de java. Los programas realizados son interpretado por el navegador.
JavaScript (de netscape) y vbscript de Microsoft son los dos lenguajes usados por los diseñadores de sitios web para evitar el uso de java. Los programas realizados son interpretado por el navegador.
-Ataques Mediante
ActiveX
ActiveX es una de las tecnologías mas ponentes que ha desarrollado Microsoft mediante activeX es posible reutilizar código, descargar código totalmente funcional de un sitio. La filosofía activeX es que la autoridades de certificación se fían de la palabra del programador del control.
ActiveX es una de las tecnologías mas ponentes que ha desarrollado Microsoft mediante activeX es posible reutilizar código, descargar código totalmente funcional de un sitio. La filosofía activeX es que la autoridades de certificación se fían de la palabra del programador del control.
-Vulnerabilidades en los Navegadores
Los buffer overflows consisten en explotar una debilidad relacionada con los buffers que la aplicación usa para almacenar las entradas de usuario.
Los buffer overflows consisten en explotar una debilidad relacionada con los buffers que la aplicación usa para almacenar las entradas de usuario.
ERRORES DE DISEÑO, IMPLEMENTACIÓN Y OPERACIÓN.
Estas vulnerabilidades
ocurren por variadas razones y miles de puertas invisibles son descubiertas
cada día en sistemas operativos. Los sistemas operativos abiertos (como Unix y
Linux) tienen agujeros mas conocidos y controlados que aquellos que existen en
sistemas operativos cerrados (como Windows).
IMPLEMENTACIÓN
DE LAS TÉCNICAS.
- Identificación del problema (victima):
cuanta mas información se acumule, mas exacto y preciso será el ataque,
mas fácil será eliminar las evidencias y mas difícil será su rastreo.
- Exploración: del sistema victima elegido,
es importante remarcar que si la victima parece apropiada en la etapa de
identificación, no significa que esto resulte asi en esta segunda etapa.
- Enumeración: en esta etapa se
identificaran las cuentas activas y los recursos compartidos mal elegidos.
- Intrusión propiamente dicha: el intruso
conoce perfectamente el sistema y sus debilidades.
¿CÓMO
DEFENDERSE DE ESTOS ATAQUES?
- Mantener las
maquinas actualizadas y seguras físicamente.
- Mantener
personal especializado en cuestiones de seguridad.
- Aunque una
maquina no contenga información valiosa, hay que tener en cuenta que puede
resultar útil para un atacante.
- No permitir
el trafico broadcast desde fuera de nuestra red.
- Filtrar el
trafico IP Spoof.
- Auditorias de
seguridad y sistemas de detección.
- Mantenerse
informado constantemente sobre cada una de las vulnerabilidades
encontradas y parches lanzados.
- La
capacitación continua del usuario.
CREACIÓN Y DIFUSIÓN
DE VIRUS.
Quizás uno de los temas más famosos y sobre los que más mitos se corren en el ámbito informático sean los virus.
Quizás uno de los temas más famosos y sobre los que más mitos se corren en el ámbito informático sean los virus.
Definicion de virus
informático
Pequeño programa, invisible para el usuario y de actuar específico y subrepticio, cuyo código incluye información suficiente y necesaria para que, utilizando los mecanismos de ejecución que le ofrecen otros programas a través del microprocesador, puedan reproducirse formando réplicas de sí mismos.
Pequeño programa, invisible para el usuario y de actuar específico y subrepticio, cuyo código incluye información suficiente y necesaria para que, utilizando los mecanismos de ejecución que le ofrecen otros programas a través del microprocesador, puedan reproducirse formando réplicas de sí mismos.
ORIGEN.
Sus orígenes en pesaron con observación e investigaciones de inteligencia y vida artificial.
Los laboratorios Bell se desarrollaron juegos (programas) que luchaba entre sí llamados Core Wars, hacían uso de técnicas de ataque, defensa, ocultamiento y reproducción
En 1985 infectaban el MS-DOS y en 1985 ya eran destructivos
El 2 de noviembre de 1988 fue el primer ataque masivo a una red (ARPAnet, precursora de internet).
En 1992 los primeros Kits para construir virus
Sus orígenes en pesaron con observación e investigaciones de inteligencia y vida artificial.
Los laboratorios Bell se desarrollaron juegos (programas) que luchaba entre sí llamados Core Wars, hacían uso de técnicas de ataque, defensa, ocultamiento y reproducción
En 1985 infectaban el MS-DOS y en 1985 ya eran destructivos
El 2 de noviembre de 1988 fue el primer ataque masivo a una red (ARPAnet, precursora de internet).
En 1992 los primeros Kits para construir virus
LOSNÚMEROS HABLAN.
La NCSA es el principal organismo dedicado al seguimiento del fenómeno de los virus en todo el mundo. Según sus, en Estados Unidos más del 99% de las grandes y medianas empresas han sufrido la infección por virus en alguna de sus computadoras. Sólo un 0,67% aseguran nunca haberse encontrado nunca con un virus.
Según la NCSA, si sólo un 30% de todas las PCs del mundo utilizaran un antivirus actualizado y activo de forma permanente, se cortarían las cadenas de contagio y se acabaría con el fenómeno de los virus en todo el mundo.
La NCSA es el principal organismo dedicado al seguimiento del fenómeno de los virus en todo el mundo. Según sus, en Estados Unidos más del 99% de las grandes y medianas empresas han sufrido la infección por virus en alguna de sus computadoras. Sólo un 0,67% aseguran nunca haberse encontrado nunca con un virus.
Según la NCSA, si sólo un 30% de todas las PCs del mundo utilizaran un antivirus actualizado y activo de forma permanente, se cortarían las cadenas de contagio y se acabaría con el fenómeno de los virus en todo el mundo.
DESCRIPCIÓN DE UN
VIRUS.
Si bien un Virus informático es un ataque de tipo Tampering, difiere de este por que ser ingresado al sistema por un dispositivo externo (diskettes)o a través de la red (e-mails u otros Protocolos).
Existen distintos tipos de virus, como aquellos que infectan archivos ejecutables (.Exe, .COM, .DLL, etc), los sectores de Boot y la tabla de partición de los discos.
Si bien un Virus informático es un ataque de tipo Tampering, difiere de este por que ser ingresado al sistema por un dispositivo externo (diskettes)o a través de la red (e-mails u otros Protocolos).
Existen distintos tipos de virus, como aquellos que infectan archivos ejecutables (.Exe, .COM, .DLL, etc), los sectores de Boot y la tabla de partición de los discos.
TÉCNICAS DE PROPAGACIÓN.
•
Disquetes
y otros medios removibles
•
Correo
electrónico
•
IRC o Chat
•
Páginas
wed y transferencia de archivos Vía FTP
•
Grupos de
noticias
TIPOS DE VIRUS.
-Archivos ejecutables.(Virus exeVir).
El virus se adosa a un archivo ejecutable y desvía el flujo de ejecución a su código, para luego retornar al huésped y ejecutar las acciones esperadas por el usuario. Al realizarse esta acción el usuario no se percata de lo sucedido. Una vez que el virus es ejecutado se aloja en memoria y puede infectar otros archivos ejecutables que sean abiertos en esa máquina.
-Archivos ejecutables.(Virus exeVir).
El virus se adosa a un archivo ejecutable y desvía el flujo de ejecución a su código, para luego retornar al huésped y ejecutar las acciones esperadas por el usuario. Al realizarse esta acción el usuario no se percata de lo sucedido. Una vez que el virus es ejecutado se aloja en memoria y puede infectar otros archivos ejecutables que sean abiertos en esa máquina.
-Virus en el Sector
de Arranque (Virus ACSO Anterior a la Carga del SO).
En los primeros 512 bytes de un disquete formateado se encuentran las rutinas necesarias para la carga y reconocimiento de dicho disquete. Entre ellas se encuentra la función invocada si no se encuentra el Sistema Operativo.
En los primeros 512 bytes de un disquete formateado se encuentran las rutinas necesarias para la carga y reconocimiento de dicho disquete. Entre ellas se encuentra la función invocada si no se encuentra el Sistema Operativo.
Virus Residente.
Como ya se mencionó, un virus puede residir en memoria. El objetivo de esta acción es controlar los accesos a disco realizados por el usuario y el Sistema Operativo. Cada vez que se produce un acceso, el virus verifica si el disco o archivo objetivo al que se accede, está infectado y si no lo está procede a almacenar su propio código en el mismo. Este código se almacenará en un archivo, tabla de partición, o en el sector de booteo, dependiendo del tipo de virus que se trate.
Como ya se mencionó, un virus puede residir en memoria. El objetivo de esta acción es controlar los accesos a disco realizados por el usuario y el Sistema Operativo. Cada vez que se produce un acceso, el virus verifica si el disco o archivo objetivo al que se accede, está infectado y si no lo está procede a almacenar su propio código en el mismo. Este código se almacenará en un archivo, tabla de partición, o en el sector de booteo, dependiendo del tipo de virus que se trate.
-Macrovirus.
Estos virus infectan archivos de información generados por aplicaciones de oficina que cuentan con lenguajes de programación macros.
Estos virus infectan archivos de información generados por aplicaciones de oficina que cuentan con lenguajes de programación macros.
-Hoax, los virus
fantasmas.
El auge del correo electrónico genero la posibilidad de transmitir mensajes de alerta de seguridad. Así comenzaron a circular mensajes de distinta índole (virus, cadenas solitarias, beneficios, catástrofes, etc.) de casos inexistentes. Lo cual puede causar robo de direcciones de correo y saturación de servidores.
El auge del correo electrónico genero la posibilidad de transmitir mensajes de alerta de seguridad. Así comenzaron a circular mensajes de distinta índole (virus, cadenas solitarias, beneficios, catástrofes, etc.) de casos inexistentes. Lo cual puede causar robo de direcciones de correo y saturación de servidores.
-Virus de applets
java y controles ActiveX.
Estas dos tecnologías han sido desarrolladas teniendo como meta la seguridad, la practica demuestra que es posible programar virus sobre ellas. Ese tipo de virus se copian y ejecutan a si mismos mientras el usuario mantiene una conexión a internet.
Estas dos tecnologías han sido desarrolladas teniendo como meta la seguridad, la practica demuestra que es posible programar virus sobre ellas. Ese tipo de virus se copian y ejecutan a si mismos mientras el usuario mantiene una conexión a internet.
-Reproductores-gusanos
Son programas que se reproducen constantemente hasta agotar totalmente los recursos del sistema huésped y/o recopilar información relevante para enviarla a un equipo al cual su creador tiene acceso.
Son programas que se reproducen constantemente hasta agotar totalmente los recursos del sistema huésped y/o recopilar información relevante para enviarla a un equipo al cual su creador tiene acceso.
-Caballos de Troya.
Es un programa que aparentemente realiza una función útil pero además realiza una operación que el usuario desconoce y que generalmente beneficia al autor del troyano o daña el sistema huésped.
Es un programa que aparentemente realiza una función útil pero además realiza una operación que el usuario desconoce y que generalmente beneficia al autor del troyano o daña el sistema huésped.
-Bombas lógicas
Este suele ser el procedimiento de sabotaje mas comúnmente utilizado por empleados descontentos. Consiste en introducir un programa o rutina que en una fecha determinada o dado algún evento particular en el sistema, bien destruye y modifica la información o provoca la baja del sistema.
Este suele ser el procedimiento de sabotaje mas comúnmente utilizado por empleados descontentos. Consiste en introducir un programa o rutina que en una fecha determinada o dado algún evento particular en el sistema, bien destruye y modifica la información o provoca la baja del sistema.
MODELO DE UN VIRUS INFORMÁTICO
-Módulo de Reproducción:
Es el encargado de manejar las rutinas de parasitación de entidades ejecutables con el fin de que el virus pueda ejecutarse subrepticiamente, permitiendo su transferencia a otras computadoras.
Es el encargado de manejar las rutinas de parasitación de entidades ejecutables con el fin de que el virus pueda ejecutarse subrepticiamente, permitiendo su transferencia a otras computadoras.
-Módulo de Ataque:
Es el que maneja las rutinas de daño adicional al virus. Esta rutina puede existir o no y generalmente se activa cuando el sistema cumple alguna condición. Por ejemplo el virus Chernovil se activa cada vez que el reloj del sistema alcanza el 26 de cada mes.
Es el que maneja las rutinas de daño adicional al virus. Esta rutina puede existir o no y generalmente se activa cuando el sistema cumple alguna condición. Por ejemplo el virus Chernovil se activa cada vez que el reloj del sistema alcanza el 26 de cada mes.
-Módulo de Defensa:
Este módulo, también optativo, tiene la misión de proteger al virus. Sus rutinas tienden a evitar acciones que faciliten o provoquen la detección o remoción del virus.
Este módulo, también optativo, tiene la misión de proteger al virus. Sus rutinas tienden a evitar acciones que faciliten o provoquen la detección o remoción del virus.
TIPOS DE DAÑOS OCASIONADOS POR LOS VIRUS.
En general los daños que pueden causar los virus se refieren a hacer que el sistema se detenga, borrado de archivos, comportamiento erróneo de la pantalla, despliegue de mensajes, desorden en los datos del disco, aumento del tamaño de los archivos ejecutables o reducción de la memoria total.
En general los daños que pueden causar los virus se refieren a hacer que el sistema se detenga, borrado de archivos, comportamiento erróneo de la pantalla, despliegue de mensajes, desorden en los datos del disco, aumento del tamaño de los archivos ejecutables o reducción de la memoria total.
Daño Implícito:
Es el conjunto de todas las acciones dañinas para el sistema que el virus realiza para asegurar su accionar y propagación. Aquí se debe considerar el entorno en el que se desenvuelve el virus ya que el consumo de ciclos de reloj en un medio delicado (como un aparato biomédico) puede causar un gran daño.
Es el conjunto de todas las acciones dañinas para el sistema que el virus realiza para asegurar su accionar y propagación. Aquí se debe considerar el entorno en el que se desenvuelve el virus ya que el consumo de ciclos de reloj en un medio delicado (como un aparato biomédico) puede causar un gran daño.
Daño Explícito:
Es el que produce la rutina de daño del virus. Con respecto al modo y cantidad de daño, encontramos:
Es el que produce la rutina de daño del virus. Con respecto al modo y cantidad de daño, encontramos:
Daños triviales: daños que no ocasionan ninguna pérdida grave de funcionalidad del
sistema y que originan una pequeña molestia al usuario. Deshacerse del virus
implica, generalmente, muy poco tiempo
Daños menores: daños que ocasionan una pérdida de la
funcionalidad de las aplicaciones que poseemos. En el peor de los casos se tendrá
que reinstalar las aplicaciones afectadas.
Daños moderados: los daños que el virus provoca son formatear el disco rígido o sobrescribir parte del mismo. Para solucionar esto se deberá utilizar la última copia de seguridad que se ha hecho y reinstalar el sistema operativo.
Daños mayores: algunos virus pueden, dada su alta velocidad de infección y su alta capacidad de pasar desapercibidos, lograr que el día que se detecta su presencia tener las copias de seguridad también infectadas.
Daños severos: los daños severos son hechos cuando un virus realiza cambios mínimos, graduales y progresivos. No se sabe cuando los datos son correctos o han cambiado, pues no hay unos indicios claros de cuando se ha infectado el sistema.
Daños ilimitados: el virus “abre puertas” del sistema a personas no autorizadas. El daño no lo ocasiona el virus, sino esa tercera persona que, gracias a él, puede entrar en el sistema.
Daños moderados: los daños que el virus provoca son formatear el disco rígido o sobrescribir parte del mismo. Para solucionar esto se deberá utilizar la última copia de seguridad que se ha hecho y reinstalar el sistema operativo.
Daños mayores: algunos virus pueden, dada su alta velocidad de infección y su alta capacidad de pasar desapercibidos, lograr que el día que se detecta su presencia tener las copias de seguridad también infectadas.
Daños severos: los daños severos son hechos cuando un virus realiza cambios mínimos, graduales y progresivos. No se sabe cuando los datos son correctos o han cambiado, pues no hay unos indicios claros de cuando se ha infectado el sistema.
Daños ilimitados: el virus “abre puertas” del sistema a personas no autorizadas. El daño no lo ocasiona el virus, sino esa tercera persona que, gracias a él, puede entrar en el sistema.
Los
autores
Tras su alias, los creadores de virus sostienen que persiguen un fin
educacional para ilustrar las flaquezas de los sistemas a los que atacan.
La creación de virus no es ilegal, y probablemente no debería serlo: cualquiera
es dueño de crear un virus siempre y cuando lo guarde para sí.
Programa antivirus
Un antivirus es una gran base de datos con la huella digital de todos los virus conocidos para identificarlos y también con las pautas que más contienen los virus. Los fabricantes de antivirus avanzan tecnológicamente casi en la misma medida que lo hacen los creadores de virus. Esto sirve para combatirlos, aunque no para prevenir la creación e infección de otros nuevos.
Un antivirus es una gran base de datos con la huella digital de todos los virus conocidos para identificarlos y también con las pautas que más contienen los virus. Los fabricantes de antivirus avanzan tecnológicamente casi en la misma medida que lo hacen los creadores de virus. Esto sirve para combatirlos, aunque no para prevenir la creación e infección de otros nuevos.
Las funciones presentes en un antivirus son:
Detección: Se debe poder afirmar la presencia y/o accionar de un VI en una
computadora. Adicionalmente puede brindar módulos de identificación,
erradicación del virus o eliminación de la entidad infectada.
Identificación de un virus: Existen diversas técnicas para realizar esta acción:
-Scanning: Técnica que consiste en revisar el código de los
archivos(fundamentalmente archivos ejecutables y de documentos) en busca
de pequeñas porciones de código que puedan pertenecer a un virus (sus huellas
digitales).
Heurística: Búsqueda de acciones potencialmente dañinas
perteneciente a un virus informático. Esta técnica no identifica de manera
certera el virus, sino que rastrea rutinas de alteración de información y zonas
generalmente no controlada por el usuario
-Chequeadores de Integridad:
Consiste en monitorear las actividades de la PC señalando si algún proceso
intenta modificar sectores críticos de la misma.
MODELO DE UN ANTIVIRUS.
Un antivirus puede estar constituido po dos módulos principales y cada uno de ellos contener otros módulos.
Un antivirus puede estar constituido po dos módulos principales y cada uno de ellos contener otros módulos.
-Módulo de control: Este modulo posee la técnica de verificación de
integridad que posibilita el registro de posibles cambios en las zonas y
archivos considerados de riesgo.
-Módulo de respuesta: La función de alarma se encuentra en todos los
antivirus y consiste en detener la ejecución de todos los programas e informar
la posible existencia de un virus.
UTILIZACIÓN DE LOS ANTIVIRUS
En el caso desinstalarse un antivirus en una computadora infectada, es probable que este también sea infectado y su funcionamiento deje de ser confiable. Por lo tanto si se sospecha de la infección de una computadora, nunca deben realizarse operaciones de instalación o desinfección desdela misma. El procedimiento adecuado sería reiniciar el sistema y proceder a la limpieza desde un sistema limpio y seguro.
En el caso desinstalarse un antivirus en una computadora infectada, es probable que este también sea infectado y su funcionamiento deje de ser confiable. Por lo tanto si se sospecha de la infección de una computadora, nunca deben realizarse operaciones de instalación o desinfección desdela misma. El procedimiento adecuado sería reiniciar el sistema y proceder a la limpieza desde un sistema limpio y seguro.
ASPECTOS JURIDICOS SOBRE VIRUS INFORMATICOS
Para analizar los diferentes supuestos que generan responsabilidad, debemos tener en cuenta los canales de difusión que contribuyen a potenciar el efecto pirámide en el que los virus basan su efectividad. En todos ellos es aplicable el régimen de la responsabilidad extracontractual establecida en el Código Civil (ver Anexo Leyes) que obliga a reparar los daños a quien, por acción u omisión, causa un perjuicio a otro, interviniendo la culpa o negligencia.
Para analizar los diferentes supuestos que generan responsabilidad, debemos tener en cuenta los canales de difusión que contribuyen a potenciar el efecto pirámide en el que los virus basan su efectividad. En todos ellos es aplicable el régimen de la responsabilidad extracontractual establecida en el Código Civil (ver Anexo Leyes) que obliga a reparar los daños a quien, por acción u omisión, causa un perjuicio a otro, interviniendo la culpa o negligencia.
CONSEJOS.
I. instalar un buen antivirus
II. Comprobar que el antivirus elegido contenga soporte técnico.
III. Asegurarse que el antivirus este siempre activo.
IV. Verificar antes de abrir cada nuevo mensaje de correo electrónico recibido.
V. evitar la descarga de programas de lugares no seguros.
VI. Rechazar archivos que no se hayan solicitado.
VII. Analizar siempre con un buen antivirus los discos que entran y salen de la PC.
VIII. Retirar los disquetes o discos de la disquetera al apagar el equipo.
IX. Analizar el contenido de los archivos comprimidos.
X. mantenerse alerta ante acciones sospechosas de posibles virus.
XI. Añadir las opciones de seguridad de las aplicaciones que se utilizan.
XII. Realizar copias de seguridad frecuentes.
XIII. Contrastar información llegada de los diferentes medios importantes.
XIV. A la hora de instalar nuevos programas verificar que no sea pirata para menos infección.
XV. Exigir a los fabricantes de software que se impliquen en la lucha contra los virus.
II. Comprobar que el antivirus elegido contenga soporte técnico.
III. Asegurarse que el antivirus este siempre activo.
IV. Verificar antes de abrir cada nuevo mensaje de correo electrónico recibido.
V. evitar la descarga de programas de lugares no seguros.
VI. Rechazar archivos que no se hayan solicitado.
VII. Analizar siempre con un buen antivirus los discos que entran y salen de la PC.
VIII. Retirar los disquetes o discos de la disquetera al apagar el equipo.
IX. Analizar el contenido de los archivos comprimidos.
X. mantenerse alerta ante acciones sospechosas de posibles virus.
XI. Añadir las opciones de seguridad de las aplicaciones que se utilizan.
XII. Realizar copias de seguridad frecuentes.
XIII. Contrastar información llegada de los diferentes medios importantes.
XIV. A la hora de instalar nuevos programas verificar que no sea pirata para menos infección.
XV. Exigir a los fabricantes de software que se impliquen en la lucha contra los virus.
No hay comentarios:
Publicar un comentario