HERRAMIENTAS DE SEGURIDAD 1) Busca información acerca de las herramientas de protección de equipos informáticos.

1. ANTIVIRUS 1.1.

DEFINICIÓN

Son herramientas diseñadas para detectar, bloquear y eliminar virus informáticos y otros programas maliciosos. 1.2.

TIPOS

1.2.1. De escritorio: •

Son aquellos que se instalan en el ordenador de forma local y protegen al equipo de ataques llegados a través de Internet y del correo electrónico así como de dispositivos extraíbles.

•

También funcionan cuando el ordenador no está conectado a Internet.

•

Deben ser actualizados para mantener su efectividad.

1.2.2. En línea: •

Son aquellos que no necesitan ser instalados en el ordenador.

•

Se accede a ellos a través del navegador.

•

Únicamente se necesita una conexión a Internet y un navegador actualizado.

•

Complementan al antivirus de escritorio pero no lo sustituyen. Constituyen otra opción al antivirus instalado, el cual podría no ser efectivo.

•

Suelen ser gratuitos.

•

La mayoría analizan pero no eliminan.

•

Permiten analizar en cualquier momento o lugar.

1.2.3. Ventajas e inconvenientes: •

Los antivirus en línea son menos eficaces y menos completos: No protegen permanentemente, si no que se cierran al cerrar el navegador. Además, no afectan ni a las áreas sensibles del sistema (documentos, discos extraibles, etc.) ni al spam de los correos electrónicos.

1.3. •

PARA QUÉ SIRVE

Vigilan todas las entradas y salidas de información a nuestro ordenador, tanto las vías de comunicación con Internet como con los dispositivos de almacenamiento, el correo electrónico o la mensajería instantánea. 1.4.

DE QUÉ PROTEGE

•

Protegen de una infección del ordenador causada por virus y otros software maliciosos.

•

En caso de producirse dicha infección, tienen herramientas para la limpieza del fichero o ficheros infectados. 1.5.

ESCENARIOS DE APLICACIÓN

•

Para todos los sistemas de información basados en equipos informáticos.

•

Existen antivirus compatibles con los distintos sistemas operativos: Windows, Linux, MAC, etc.

•

Los hay específicos para empresas o para usuarios normales.

2. ANTIESPíAS 2.1. •

DEFINICIÓN

Herramientas que detectan y bloquean la instalación y ejecución de programas destinados a recopilar información sobre la actividad del ordenador y los hábitos de navegación, sin el conocimiento del usuario, para publicidad o robo de información.

•

Escanean y eliminan de los sistemas el spyware. 2.2.

•

PARA QUÉ SIRVE

Controla las descargas desde Internet o el correo electrónico, analizando pueden contener un software espía.

•

Impiden el control remoto del ordenador por personas no autorizadas.

•

También escanean los dispositivos de almacenamiento y el software del sistema para detectar software espía. 2.3.

DE QUÉ PROTEGE

•

Protegen la privacidad de los usuarios contra software espía de contenidos o actividad, que puedan conocer las páginas web que visita el usuario, por ejemplo.

•

Impiden un registro remoto de la actividad, hábitos o uso del ordenador.

•

Evita pérdida de productividad causada por la ralentización de los spyware. 2.4.

•

ESCENARIOS DE APLICACIÓN

Para todo tipo de usuarios de Internet, sobre todo para los que hacen mucho uso de las búsquedas, correo electrónico, foros, banca electrónica, etc.

•

La mayoría de las amenazas de las que protegen los antiespías procede de ficheros que vienen de fuentes desconocidas, correo electrónico o empresas que ofrecen seguridad.

3. CORTAFUEGOS. 3.1. •

DEFINICIÓN

Herramientas que se encargan de controlar las conexiones entrantes y salientes de un ordenador, permitiéndolas o denegándolas.

•

Estas conexiones se producen generalmente cuando nos conectamos a Internet o a una red local.

•

Crean una barrera entre el ordenador y la red a la que se conecta, controlando el tráfico, y denegando las aplicaciones no permitidas.

•

Aportan varios niveles de seguridad dependiendo del uso y conocimiento del usuario. 3.2.

•

PARA QUÉ SIRVE

Evita ataques bloqueando accesos y conexiones no autorizadas, impidiendo que se produzcan.

•

Complementa a antivirus, antispyware, etc.

•

Hay varios niveles de seguridad dependiendo de las necesidades de los usuarios.

•

Informan sobre intentos de ataque.

•

Controlan el tráfico distinguiendo entre conexiones autorizadas y no autorizadas. 3.3.

DE QUÉ PROTEGE

•

De los accesos al ordenador no permitidos a través de Internet o de la red.

•

De los intentos de acceso al equipo que conllevan a la saturación de los recursos, que

producen una pérdida de productividad. •

Controlan las conexiones salientes del equipo para evitar que un software malicioso se haya instalado en un ordenador y pueda establecer conexiones hacia el exterior.

•

Constituye una forma de detectar cualquier actividad sospechosa en el equipo. 3.4.

•

ESCENARIOS DE APLICACIÓN.

Actúan en equipos que se conectan a redes o a Internet, lo cual en la actualidad son la mayoría de ordenadores.

4. CONTROL PARENTAL. 4.1. •

DEFINCIÓN

Herramienta de seguridad que bloquea, restringe o filtra el acceso a determinada información de Internet no apta para menores de edad. 4.2.

•

PARA QUÉ SIRVE

Permite restringir distintas opciones para controlar, por ejemplo: limitar el tiempo de uso del equipo., evitar el uso de determinados juegos o limitar el uso de aplicaciones del sistema.

•

Después, realiza un control de informes. 4.3.

•

DE QUÉ PROTEGE

Protege a los niños de contenidos o servicios no aptos para ellos en Internet o que puedan suponer un riesgo para ellos. 4.4.

•

ESCENARIOS DE APLICACIÓN

Recomendable para equipos que sean usados por menores de edad.

5. ANTI-PHISHING 5.1 . •

QUÉ ES EL PHISHING

Técnica que combina el spam y la ingeniería social.

•

Mediante esta técnica, el estafador se hace pasar por una empresa de confianza, normalmente una entidad bancaria, para obtener información del usuario como contraseñas, datos bancarios, etc con fines lucrativos. 5.2.

•

DEFINICIÓN DE ANTI-PHISING

Herramientas que identifican sitios web y mensajes que puedan suponer una amenaza y comprometer la identidad del usuario.

•

Se integran con navegadores y gestores de correo.

•

Suelen tener también herramientas para evitar el spam, sobre todo correos de tipo phishing. 5.3.

•

PARA QUÉ SIRVE

Mediante filtros, listas blancas, listas negras y otras técnicas evitan el acceso a páginas web que no son de confianza.

•

Evita los mensajes de tipo phishing en el correo.

5.4.

DE QUÉ PROTEGE

•

Del robo de contraseñas y datos bancarios.

•

Evitar estafas por parte de terceros que suplantan la identidad de empresas de confianza. 5.5.

•

ESCENARIOS DE APLICACIÓN

Recomendable para usuarios que utiilizan mucho el correo electrónico y que realizan operaciones bancarias por Internet a menudo.

6. PROTECCIÓN WEB 6.1. •

DEFINICIÓN

Herramientas destinadas a proteger al usuario y su equipo de las amenazas que están apareciendo en Internet, como los sitios web infectados, el código malicioso de algunas páginas, la ingeniería social, las páginas falsas o el phishing.

•

El número de amenazas en los navegadires y en la web ha incrementado mucho. Por ello, los fabricantes de herramientas de seguridad incluyen esta protección como un elemento

indispensable en sus productos. 6.2.

PARA QUÉ SIRVE

•

Para evitar la infección de ordenador a través de la navegación por la web.

•

Impide la ejecución del código malicioso de algunas páginas web en nuestro ordenador.

•

Evita el robo de datos o la ingeniería social. 6.3.

•

De todas las amenazas que se producen a través de la navegación en general. 6.4.

•

DE QUÉ PROTEGE

ESCENARIOS DE APLICACIÓN

Están recomendadas para cualquier usuario que use la navegación a Internet, es decir, es una herramienta que no puede faltar en el equipo.

7 ANTI-SPAM 7.1 •

QUÉ ES EL SPAM

“Correo basura”. Correo no deseado cuya intención es propagarse por los servidores de correo. Suele tener intención de publicitar o de infectar un equipo mediante ficheros maliciosos.

7.2

DEFINICIÓN

•

Conjunto de herramientas que evitan el correo basura.

•

No son exactas, pero bloquean la mayoría de este tipo de correo.

•

Algunos servidores de correo las incluyen.

7.3.

TÉCNICAS

•

Marcan como correo basura aquellos que no tienen asunto.

•

Utilizar CCO o BCC al enviar los correos para evitar que estos correos spam obtengan direcciones de correo, ya que ése es su objetivo (propagarse).

•

No reenviar estos correos para que no se propaguen más.

•

En realidad, no puedes proteger que a tu cuenta llegue spam, ya que eso depende de los

contactos que te envían correo y de su prudencia. •

A veces el equipo puede ser infectado con solamente abrir dicho correo.

•

No es sólo a nivel de software: a veces, la herramienta más útil es usar el “sentido común” y pensar en la procedencia de un correo: ◦

No hacer caso a peticiones falsas de entidades bancarias, cadenas humanitarias con fines lucrativos, etc ya que nunca van a pedir datos personales por correo electrónico.

2) Características técnicas, definición, clasificación y consecuencias en los equipos informáticos de los siguientes virus:

VIRUS 1. I love you: 1.1.

Características:

•

Es un tipo de gusano que se replica a sí mismo.

•

Su nombre completo es “Worm/I love you@MM”, donde “MM” significa que se propaga masivamente por correo electrónico.

•

No tiene capacidad de autoejecución

•

Está escrito en Visual Basic Script.

•

Se propaga a través del correo electrónico generalmente: Tiene apariencia de correo electrónico con el asunto “ILOVEYOU” y un archivo adjunto llamado de una de las siguientes maneras:

•

◦

“ LOVE-LETTER-FOR-YOU.TXT.vbs”

◦

“ protect.vbs”

◦

“virus_warning.jpg.vbs”

◦

“Very Funny.vbs”

◦

“mothersday.vbs”

La extensión “.vbs” corresponde a la de Visual Basic Script, pero en Windows está oculta por defecto y parece un simple archivo de texto, ya que únicamente se visualiza “LOVELETTER-FOR-YOU.TXT”, por ejemplo. 1.2.

•

Modo de procedimiento:

Cuando se abre el archivo infectado, el gusano infecta nuestro equipo y se intenta autoenviar a todos nuestros contactos. Crea copias de sí mismo en el disco duro que pueden ser llamadas: ◦

“MSKernel32.vbs” o “LOVE-LETTER-FOR-YOU.TXT.vbs” : en el directorio SYSTEM de

Windows, donde crea una entrada de registro y a partir de ahí consigue propagarse) ◦ •

Win32DLL.vbs: (en el directorio de instalación de Windows).

Cuando ya se ha propagado, el virus busca en el disco duro archivos con extensión .vbs, .vbe, .js, .jse, .css, .wsh, .sct o .hta y los sobrescribe y cambia su extensión a “.vbs”, lo que provoca la pérdida de la información.

•

También localiza los archivos con extensión .JPG, .JPEG, .MP3 y .MP2, los elimina, y crea otros donde el nuevo nombre está formado por el nombre y la extensión anterior seguido de VBS como nueva extensión real.

2. Virus Zone.H 2.1. •

Definición:

Troyano para el sistema operativo Windows que descarga otros archivos maliciosos que, a su vez, descargan otros archivos maliciosos.

2.2. •

Características técnicas:

Su nombre completo es: Trojan.Multi/Zone.H : “Multi” indica que puede afectar a las plataformas W32 (Microsoft Windows de 32 bits) y W64 (Microsoft Windows de 64 bits), como Windows Vista o XP.

•

Se ejecuta automáticamente en cada reinicio del sistema: tiene capacidad de residencia permanente.

•

No tiene capacidad de autopropagación

2.3. •

Modo de procedimiento:

Cuando Zone.H se ejecuta: ◦

Crea el fichero "%UserProfile%\Application Data\lsass.exe"

◦

Se comunica con unos determinados servidores remotos:

◦

Descarga malware que guarda en la carpeta de archivos temporales con distintos nombres, según el directorio en el que se instale, como por ejemplo “%Windir %\Ozepaa.exe “ o “%System%\sshnas21.dll”

◦

Estos ficheros, a su vez, descargan unos archivos maliciosos: “http://video[XXXX].net/install.67.exe”, por ejemplo y finalmente consigue infectar el ordenador.

3. SASSER.B 3.1. •

Definición

Gusano que se propaga utilizando la vulnerabilidad en el proceso LSASS (Local Security Authority Subsystem). Se propaga a equipos Windows 2000 o Windows XP sin proteger frente a una vulnerabilidad del servicio LSASS.

3.2.

Características técnicas:

•

Su nombre completo es Worm.W32/Sasser.B.

•

Su peligrosidad y su difusión son altas y produce un daño medio.

•

Afecta a las plataformas de Windows que funcionan con 32 bits, como XP, 2000 o 2003.

•

No tiene capacidad para ejecutarse automáticamente en cada reinicio del sistema, pero sí tiene capacidad de autopropagación.

•

Ocupa 15,5 B.

3.3. •

Modo de procedimiento del virus:

Se copia a sí mismo en el directorio de instalación de Windows con el nombre “c:/windows/avserve2.exe” o “c:/win2,log” o “c:\windows\system32\#_up.exe”

•

Para auto ejecutarse, escanea direcciones IP por un determinado puerto y busca vulnerabilidades.

•

A continuación provoca un desbordamiento del búfer en LSASS.EXE, que provoca que el sistema falle y se tenga que reiniciar.

4. BLASTER 4.1.

Definición

•

Tipo de gusano.

•

Se propaga a través de las distribuciones no actualizadas de Windows NT, 2000 XP y 2003 y se aprovecha de la vulnerabilidad llamada "Desbordamiento de búfer en RPC DCOM".

•

Se propaga usando el puerto TCP 135.

•

Lanza ataques de denegación de servicio y puede provocar inestabilidad en el sistema infectado.

•

Hay hasta 7 tipos de Blaster.

4.2.

Características técnicas:

•

Su nombre completo es:Worm.W32/Blaster@VULN.

•

Provoca mucho daño y es un virus con gran capacidad de propagación.

•

Afecta a plataformas de Microsoft Windows de 32 bits.

•

No tiene capacidad para ejecutarse automáticamente en cada reinicio del sistema.

•

Ocupa 11B.

4.3.

Modo de procedimiento:

•

Explotando vulnerabilidades, normalmente procedentes de servicios de red.

•

Escanea subredes IP aleatoriamente y si encuentra alguna vulnerabilidad sin infectar, envía datos a un determinado puerto (135) para que el búfer se desborde. Así, consigue abrir el sistema y descargar un fichero infectado.

4.4.

Efectos:

• Vulnerabilidad Windows en "RPC DCOM ". • El virus consigue tener acceso total del equipo atacado.

3) Elabora un informe con la información obtenida, realiza una comparativa de los virus indicados con los restantes tipos de virus fijándote en si son los que causarían un mayor daño a la seguridad de nuestro equipo o que podrían tener peores consecuencias en la información almacenada, justificando la respuesta en el informe.

INFORME Estos virus pueden ser: •

GUSANOS: Procede del inglés “Worm”. Los gusanos realizan copias de ellos mismos, infectan a otros ordenadores y se propagan automáticamente en una red sin la intervención humana. Estos gusanos podrían afectar más a la información contenida en el equipo que a la seguridad de éste.

•

TROYANOS: Malware que se presenta al usuario como un programa legítimo e inofensivo pero al ejecutarlo ocasiona daños.

•

La diferencia entre un gusano y un troyano radica en que el primero, está diseñado para replicarse en un gran número y conseguir controlar aquellas funciones del equipo que permitan dirigir las transferencias de información, como los puertos. Por otro lado, los troyanos tienen la intención de parecer un programa útil o beneficioso para que el usuario le dé permiso para crear cambios en el equipo y así, logran crear los daños.

Clasificación: •

Tanto el virus I love you, como el SASSER.B o el Blaster pertenecen a la categoría de gusanos:

◦

I love you: provoca que la información contenida en archivos con una determinada extensión se pierda y no se pueda recuperar. Por tanto, no expone a nuestro equipo a nuevas vulnerabilidades, si no que daña los datos contenidos en él. Afecta a la integridad de la información, es decir, a que se vea alterada, en este caso, directamente eliminada.

◦

SASSER.B: hace que el sistema falle y se tenga que reiniciar. De este modo, no produce una pérdida de información, pero la hace inaccesible. Afecta a la disponibilidad que garantiza al usuario que pueda acceder a la información contenida en el sistema.

◦

Blaster se aprovecha de los puertos lógicos abiertos por defecto. Comienza escaneando direcciones IP y en ellas busca vulnerabilidades sin infectar. Por lo tanto, no expone al sistema a nuevas vulnerabilidades si no que afecta a la confidencialidad de la información, haciendo que ésta ya no sea accesible únicamente para quien está autorizado.

•

El virus Zone.H es un tipo de troyano:

•

Descarga archivos maliciosos, sin que el usuario lo sepa, aunque inicialmente dio su permiso. Infecta el ordenador, haciendo que se vea en peligro la información contenida en el equipo y puede afectar tanto a la confidencialidad, como a la integridad o la disponibilidad de los datos.

Tabla resumen: Malware

I love you

Zone.H

SASSER.B

Blaster

Tipo de Malware

Gusano

Troyano

Gusano

Gusano

Capacidad de

No

Sí

No

No

Sí

No

Sí

Sí

Peligrosidad

Mínima

Media

Alta

Alta

Daño que causa

Bajo

Medio

Alto

Alto

Difusión

Baja

Baja

Media

Media

Tamaño

--

--

15,5 B

11 B

Se propaga por

Correo electrónico

--

Vulnerabilidades

Vulnerabilidades

en las direcciones

de servicios de

IP

red

.exe

--

autoejecución Capacidad de autopropagación / replicación

Tipo de archivo que ejecuta

.vbs

.exe (archivo instalable)

Plataformas que

Windows

Windows

Windows

Windows

Ejemplos de

Cualquiera en la

Windows Vista/

Windows XP/

Windows NT/

distribuciones

que se use el

XP

2000/ 2003

2000 XP/ 2003

que afecta

correo

A qué afecta

Directorio

Varios directorios Proceso LSASS y Puerto lógico 135

SYSTEM o de

al directorio de

instalación

instalación

afecta

Efectos

y al búfer

Pérdida de

Pérdida de

No poder acceder

Pérdida de

información

exclusividad de la

a la información

exclusividad de la

información

información

4) Recomienda programas gratuitos para instalar en el equipo para protegerlo, generando un póster o collage con los útiles seleccionados y sus principales características. •

http://www.glogster.com/almuparente/webquest/g-6l3g80iougib1eqhd53noa0

5) Averigua las características del virus Stuxnet. ¿Por qué ha sido tan importante?

VIRUS STUXNET: DEFINICIÓN: •

Gusano con propiedades de rootkit que afecta a Windows.

•

Aprovecha una vulnerabilidad “0day” para propagarse.

•

Puede tomar el control remoto del equipo afectado.

•

Utiliza puertas traseras o “back doors”.

CARACTERÍSTICAS TÉCNICAS: •

Su nombre completo es Rootkit.W32/Stuxnet.A@ Otros. También llamado comúnmente Win32/Stuxnet.A.

•

Afecta a plataformas como Windows 2000, Vista o XP.

•

No tiene capacidad de residencia permanente (no se ejecuta en cada reinicio del sistema), pero sí de autopropagarse.

•

Ejecuta los ficheros “mrxnet.sys” o “mrxcls.sys”, no visibles.

•

Ocupa aproximadamente 26 B.

•

Oculta su presencia para no ser detectado y afecta a los sistemas de control.

MODO DE PROPAGACIÓN: •

Se propaga a través de los dispositivos extraíbles, generalmente por de llaves USB, que se conecten al equipo infectado y se aprovecha la vulnerabilidad 0day que afecta a todas las versiones de Windows.

•

Copia unos archivos a dichos dispositivos USB y un fichero (.LNK) que actúa de enlace y explota la vulnerabilidad, que puede llamarse, por ejemplo “Copy of Shortcut to.lnk”. Con sólo abrir los ficheros de acceso directo contenidos en un dispositivo, se ejecuta el virus automáticamente.

•

Crea entradas de registro para poder autoejecutarse cuando se conecta un dispositivo extraíble.

•

Otro modo de infección es a través de recursos de red compartidos en los que el equipo afectado tiene permiso de escritura. En este caso se aprovecha de la vulnerabilidad de RPC.

INSTALACIÓN Y RASTROS: •

Para poderse instalar, utiliza permisos legítimos de Realtek, por ejemplo. Sin estos permisos, en algunas versiones de Windows no se podría instalar los drivers.

•

Cuando se infecta la máquina, Stuxnet envía información sobre la versión de Windows, wl nombre del host, el del grupo de trabajo, etc.

•

El servidor a donde envía la información responde al virus y puede lograr leer, escribir o incluso borrar un fichero, alterar los protocolos de seguridad o actualizar el virus.

IMPORTANCIA: •

Su importancia radica en que es el primer rootkit dirigido a sistemas de control. ◦

Esto quiere decir que es el primero capaz de modificar el comportamiento normal de los componentes del sistema de control y además, logra no ser visible para que se ignore su existencia.

¿Crees que supone un salto cualitativo en el desarrollo de un virus? ¿Por qué? •

Sí, aumenta la calidad de los virus.

•

Por una parte, afecta a zonas que nunca antes habían sido afectadas, los sistemas de control, y de forma inesperada, por lo que su detección era muy difícil en su origen.

•

Por otra parte, no es un simple gusano o rootkit sino que combina características de ambas categorías, consiguiendo aumentar la calidad de los virus. Se aleja de cualquier gusano normal, que se replica y puede detectarse ya que éste oculta su presencia, modificando el sistema operativo.

•

Además, se piensa que este malware es un ataque bien dirigido y creado por alguien con muchos conocimientos.