5. SEGURIDAD LÓGICA DEL SISTEMA.pdf

Click here to load reader

  • date post

    09-Oct-2015
  • Category

    Documents

  • view

    58
  • download

    0

Embed Size (px)

Transcript of 5. SEGURIDAD LÓGICA DEL SISTEMA.pdf

  • CAPTULO 2 - SEGURIDAD LGICA DEL SISTEMA

    2.1 PRINCIPIOS DE LA SEGURIDAD LGICA

    El activo ms importante que se poseen las organizaciones es la informacin, y por lo tanto deben existir

    tcnicas, ms all de la seguridad fsica, que la aseguren, estas tcnicas las brinda la seguridad lgica.

    La seguridad lgica consiste en la aplicacin de barreras y procedimientos que resguarden el acceso a los

    datos y slo se permita acceder a ellos a las personas autorizadas para hacerlo.

    Algunas de las principales amenazas que tendrn que combatir los administradores de sistemas son el

    acceso y modificaciones no autorizadas a datos y aplicaciones.

    La seguridad lgica se basa, en gran medida, en la efectiva administracin de los permisos y el control de

    acceso a los recursos informticos, basados en la identificacin, autenticacin y autorizacin de accesos.

    ACTIVIDAD 1

    A lo largo de este captulo vamos a comprobar la importancia de emplear contraseas fuertes y la

    responsabilidad que tienen sobre el control de las mismas los desarrolladores de software y

    administradores de sistemas.

    Para ello se propone la lectura del artculo "Utilizando mapas como contraseas de acceso, una nueva idea

    de seguridad informtica" (Ao 2010):

    http://noticias.lainformacion.com/ciencia-y-tecnologia/tecnologia-general/utilizando-mapas-como-

    contrasenas-de-acceso-una-nueva-idea-de-seguridad-informatica_Kt8uDQyuXZu27JJbyXmVr4/

    Qu longitud de contrasea presenta este nuevo mtodo? Qu cdigo de caracteres utiliza?

    Qu mecanismos y herramientas malware elude? Qu metodologa se podra emplear para obtener

    la contrasea?

    Qu precauciones deberamos de tomar a la hora de registrar nuestras contraseas? Y especialmente

    en redes sociales?

    2.2 CONTROL DE ACCESO LGICO

    El control de acceso lgico es la principal lnea de defensa para la mayora de los sistemas, permitiendo

    prevenir el ingreso de personas no autorizadas a la informacin de los mismos.

    Para realizar la tarea de controlar el acceso se emplean 2 procesos normalmente: identificacin y

    autenticacin. Se denomina identificacin al momento en que el usuario se da a conocer en el sistema; y

    autenticacin a la verificacin que realiza el sistema sobre esta identificacin.

    Desde el punto de vista de la eficiencia, es conveniente que los usuarios sean identificados y autenticados

    solamente una vez, pudiendo acceder a partir de ah a todas las aplicaciones y datos a los que su perfil les

    permita, tanto en sistemas locales como en sistemas a los que deba acceder en forma remota. Esto se

    denomina single login o sincronizacin de passwords.

    Una de las posibles tcnicas para implementar esta nica identificacin de usuarios sera la utilizacin de

    un servidor de autenticaciones sobre el cual los usuarios se identifican, y que se encarga luego de

    autenticar al usuario sobre los restantes equipos a los que ste pueda acceder. Este servidor de

    autenticaciones no debe ser necesariamente un equipo independiente y puede tener sus funciones

    distribuidas tanto geogrfica como lgicamente, de acuerdo con los requerimientos de carga de tareas. Es

    del Active Directory sobre Windows Server.

    Los sistemas de control de acceso protegidos con contrasea, suelen ser un punto crtico de la seguridad y

    por ello suelen recibir distintos tipos de ataques, los ms comunes son:

  • Ataque de fuerza bruta: se intenta recuperar una clave probando todas las combinaciones posibles

    hasta encontrar aquella que permite el acceso. Cuanto ms corta ms sencilla de obtener probando

    combinaciones.

    Ataque de diccionario: intentar averiguar una clave probando todas las palabras de un diccionario

    o conjunto de palabras comunes. Este tipo de ataque suele ser ms eficiente que un ataque de

    fuerza bruta, ya que muchos usuarios suelen utilizar una palabra existente en su lengua como

    contrasea para que la clave sea fcil de recordar, lo cual no es una prctica recomendable.

    Una forma sencilla de proteger un sistema contra los ataques de fuerza bruta o los ataques de diccionario

    es establecer un nmero mximo de tentativas, de esta forma se bloquea el sistema automticamente

    despus de un nmero de intentos infructuosos predeterminado. Un ejemplo de este tipo de sistema de

    proteccin es el mecanismo empleado en las tarjetas telefnicas SIM que se bloquean automticamente

    tras tres intentos fallidos al introducir el cdigo PIN.

    2.2.1 Poltica de contraseas

    Las contraseas son las claves que se utilizan para obtener acceso a informacin personal que se ha

    almacenado en el equipo y aplicaciones, como en los entornos web (mail, banca online, redes sociales,

    etc.). Para que una contrasea sea segura se recomienda:

    Longitud mnima: cada carcter en una contrasea aumenta exponencialmente el grado de

    proteccin que sta ofrece. Las contraseas a ser posible deben contener un mnimo de 8

    caracteres, lo ideal es que tenga 14 caracteres o ms.

    Combinacin de caracteres (letras minsculas y maysculas, nmeros y smbolos especiales):

    cuanto ms diversos sean los tipos de caracteres de la contrasea ms difcil ser adivinarla, por el

    mayor nmero de combinaciones posibles.

    Para un ataque de fuerza bruta que intenta encontrar contraseas generando todas las combinaciones

    posibles, si empleamos una contrasea de 5 caracteres en minscula para el idioma espaol que posee 27

    caracteres diferentes, tendra que probar 275 = 14.348.907 combinaciones a probar.

    En caso de emplear maysculas y minsculas el nmero de combinaciones se multiplicara siendo (27 x 2) 5

    = 525 = 380.204.032 combinaciones a probar.

    Algunos mtodos que suelen emplearse para crear contraseas resultan fciles de adivinar, a fin de evitar

    contraseas poco seguras, se recomienda:

    No incluir secuencias ni caracteres repetidos. Como "12345678", "222222", "abcdefg".

    No utilizar el nombre de inicio de sesin.

    No utilizar palabras de diccionario de ningn idioma.

    Utilizar varias contraseas para distintos entornos.

    Evitar la opcin de contrasea en blanco.

    No revelar la contrasea a nadie y no escribirla en equipos que no controlas.

    Cambiar las contraseas con regularidad.

  • PRCTICA 4: CONFIGURACIN DE CONTRASEAS SEGURAS

    Todas las recomendaciones anteriormente citadas estn muy bien cuando se conocen y se llevan a cabo,

    pero no sera mejor opcin evitar que los usuarios tengan contraseas inseguras o dbiles y que no se

    cambien nunca? Veamos que opciones de configuracin sobre el control de contraseas posee el sistema

    operativo Windows.

    Las directivas de cuentas nos permiten configurar el comportamiento que van a tener stas ante una serie

    de sucesos. La importancia de una correcta configuracin de estas directivas radica en que desde ellas

    vamos a poder controlar de una forma ms eficiente la forma de acceder a nuestro ordenador.

    En primer lugar accedemos a la ventana de Directivas de seguridad de cuentas, mediante la ejecucin del

    comando gpedit.msc o desde el Panel de control /Herramientas administrativas /Directivas de seguridad

    local.

    Una vez en la ventana de Configuracin del Equipo, Configuracin de Windows, Configuracin de

    seguridad local nos encontramos a la izquierda con varias directivas. Trataremos la Directivas de cuentas.

    Como podemos ver, en este grupo de directivas tenemos dos subgrupos, Directiva de contraseas y

    Directiva de bloqueo de cuentas. Vamos a ver qu podemos hacer en cada uno de ellos:

    Directiva de contraseas:

    Dentro de las directivas de contrasea nos encontramos con una serie de directivas como:

    Almacenar contrasea usando cifrado reversible para todos los usuarios del dominio.

    - Forzar el historial de contraseas: establece el nmero de contraseas a recordar, los usuarios no

    pueden utilizar la misma contrasea cuando sta caduca. Se recomienda un valor mnimo de 1.

  • - Las contraseas deben cumplir los requerimientos de complejidad: se recomienda habilitar esta

    opcin, la cual obliga para nuevas contraseas:

    o 6 caracteres como mnimo.

    o Contener caracteres de al menos tres de las cinco clases siguientes: Maysculas,

    minsculas, nmeros, caracteres no alfanumricos (por ejemplo: !, $, # o %).

    o No contener tres o ms caracteres del nombre de cuenta del usuario.

    Longitud mnima de la contrasea.

    Vigencia mxima de la contrasea: establece el nmero de das mximo que una contrasea va a

    estar activa.

    Vigencia mnima de la contrasea: establece el nmero de das mnimos que una contrasea va a

    estar activa. Si es mayor que O, los usuarios no pueden cambiar repetidamente las contraseas

    para eludir la configuracin de directiva Forzar el historial de contraseas con el fin de utilizar su

    contrasea original.

    Directiva de bloqueo de cuentas:

    Duracin del bloqueo de cuentas: establece, en minutos, el tiempo que una cuenta debe

    permanecer bloqueada.

    Restablecer la cuenta de bloqueos despus de: establece, en minutos, el tiempo que ha de pasar

    para restablecer la cuenta de bloqueos.

    Umbral de bloqueos de la cuenta: establece el nmero de intentos fallidos para bloquear el acceso

    a una cuenta.

    Recomendaciones:

    Se recomienda por ejemplo, configurar la poltica de contraseas para que la longitud mnima sea de 14

    caracteres, tenga las caractersticas de complejidad requeridas y haya que modificarlas cada mes. En caso

    de ms de 3 intentos fallidos bloquear la cuenta 15 minutos, para evitar ataques de fuerza bruta.

  • PRCTICA 5: PELIGROS DE DISTRIBUCIONES LIVE!

    Son innumerables los sistemas operativos arrancables desde unidades extrables USB, CD o DVD en modo

    Live sin necesidad de formatear e instalarlos en disco duro. Incluyen gran cantidad de aplicaciones de

    recuperacin de datos y contraseas de usuario.

    Desde las opciones de SETUP o configuracin de la BIOS, podemos hacer que arranque en primer lugar

    desde cualquiera de las mencionadas unidades.

    A modo de ejemplo mencionaremos algunas distribuciones arrancables en modo Live:

    Ultimate Boot CD (UBCD): posee en un entorno simulado Windows aplicaciones como antivirus,

    recuperacin de datos, aplicaciones de recuperacin y borrado de contraseas de la BIOS (cmos

    pwd), borrado y restitucin de nuevas contraseas de usuarios de sistemas Windows instalados en

    disco, incluso creacin de nuevas cuentas de usuario administrador.

    Backtrack: distribucin especfica con un conjunto de herramientas de auditoras de seguridad,

    entre otras algunas que permiten escalada de privilegios en sistemas Windows (ophcrack) y

    GNU/Linux (John the ripper).

    Como descifrar cualquier clave WPA/WPA2

    http://www.youtube.com/watch?v=S303JUMhxqg

    Ophcrack: distribucin especfica que contiene la aplicacin de mismo nombre con capacidad de

    extraer contraseas de usuarios en sistemas Windows. Slax: distribucin basada en Slackware, muy

    ligera y arrancable desde USB. Permite el montaje y acceso a los sistemas de ficheros instalados en

    disco.

    Recuperar contrasea de Windows

    http://www.youtube.com/watch?v=Vt-k24XiQ4I

    http://www.youtube.com/watch?v=Z_F-1Gnax1A

    Wifiway y Wifislax: distribuciones orientadas a realizar auditoras wireless, como recuperacin de

    contraseas.

    En la mayora de las ocasiones desde estas distribuciones es posible acceder a las particiones y sistemas de

    ficheros de forma transparente, es decir, sin restricciones del sistema operativo, por lo que puede

    comprometer la seguridad de los datos y ficheros.

    2.2.2 Control de acceso en BIOS y gestor de arranque

    La BIOS es el nivel ms bajo de software que configura o manipula el hardware de un ordenador de manera

    que cada vez que iniciamos el ordenador se encarga de reconocer todo el hardware que contiene el

    ordenador y controlar el estado de los mismos.

    En la BIOS podemos configurar cualquier parmetro referente al hardware, de qu dispositivo arrancar en

    primer lugar o parmetros ms comprometidos como el voltaje que le suministra al ncleo del

    microprocesador.

    Por este motivo tendremos que proteger nuestra BIOS de manera que solo un administrador o un usuario

    responsable puedan cambiar los valores de la configuracin.

    Segn la versin y la marca de la BIOS podemos configurar la seguridad del mismo de disstintas formas.

    Estableceremos una clasificacin sobre los niveles de seguridad que suele tener:

    Seguridad del sistema (system): en cada arranque de la mquina nos pedir que introduzcamos

    una contrasea que previamente se ha configurado en el BIOS. En caso de no introducirla o

    introducirla incorrectamente, el sistema no arrancar.

  • Seguridad de configuracin de la BIOS (setup): en este apartado se suelen distinguir dos roles

    aplicables: Usuario (slo lectura) y Administrador (lectura/modificaciones).

    Por otro lado, cuando tenemos instalado varios sistemas operativos en disco duro, para seleccionar con qu

    sistema arrancaremos se emplea un gestor de arranque.

    2.3 HERRAMIENTAS PARA LA GESTIN DE USUARIOS

    La definicin de cuentas de usuario y su asignacin a perfiles determinados, grupos o roles, as como la

    asignacin de privilegios sobre los objetos del sistema es uno de los aspectos fundamentales de la

    seguridad, y una de las tareas fundamentales del administrador de sistemas. Este proceso lleva

    generalmente cuatro pasos:

    Definicin de puestos: separacin de funciones posibles y el otorgamiento de los mnimos

    permisos de acceso requeridos por cada puesto para la ejecucin de las tareas asignadas.

    Determinacin de la sensibilidad del puesto: determinar si una funcin requiere permisos crticos

    que le permitan alterar procesos, visualizar informacin confidencial, etc.

    Eleccin de la persona para cada puesto: requiere considerar los requerimientos de experiencia y

    conocimientos tcnicos necesarios para cada puesto.

    Formacin inicial y continua de los usuarios: deben conocer las pautas organizacionales, su

    responsabilidad en cuanto a la seguridad informtica y lo que se espera de l. Debe estar orientada

    a incrementar la conciencia de la necesidad de proteger los recursos informticos.

    La definicin de los permisos de acceso requiere determinar cul ser el nivel de seguridad necesario sobre

    los datos, por lo que es imprescindible clasificar la informacin, determinando el riesgo que producira una

    eventual exposicin de la misma a usuarios no autorizados. As los diversos niveles de la informacin

    requerirn diferentes medidas y niveles de seguridad.

    Para empezar la implementacin, es conveniente comenzar definiendo las medidas de seguridad sobre la

    informacin ms sensible o las aplicaciones ms crticas, y avanzar de acuerdo a un orden de prioridad

    descendiente, establecido alrededor de las aplicaciones. Una vez clasificados los datos, debern

    establecerse las medidas de seguridad para cada uno de los niveles.

    PRCTICA 6: CONTROL DE ACCESO A DATOS Y APLICACIONES EN WINDOWS

    En la siguiente actividad vamos a configurar algunos aspectos de seguridad y asignacin de permisos a

    usuarios locales, en sistemas Windows.

    Para modificar la configuracin de seguridad local iremos a Panel de control /Herramientas

    administrativas /Directiva de seguridad local.

    Podremos modificar las Directiva de auditora, Asignacin de derechos de usuario u Opciones de

    seguridad, en el rbol de la consola haz clic en Directivas locales, estas directivas se aplican a un equipo y

    contienen tres subconjuntos:

    Directiva de auditora: determina si los sucesos de seguridad se registran en el registro de

    seguridad del equipo. El registro de seguridad forma parte del Visor de sucesos.

    Asignacin de derechos de usuario: determina qu usuarios o grupos tienen derechos de inicio de

    sesin o privilegios en el equipo, entre otros:

    Ajustar cuotas de memoria para un proceso, permitir el inicio de sesin local, hacer copias de

    seguridad y restaurar archivos y directorios, generar auditoras de seguridad, o tomar posesin

    de archivos y otros objetos.

  • Opciones de seguridad: habilita o deshabilita la configuracin de seguridad del equipo, como la

    firma digital de datos, nombres de las cuentas Administrador e Invitado, acceso a CD-ROM y

    unidades de disco, instalacin de controladores y solicitudes de inicio de sesin.

    2.4 SOFTWARE MALICIOSO

    Con el nombre de software malicioso o malware agrupamos clsicamente a los virus, gusanos, troyanos y

    en general todos los tipos de programas que han sido desarrollados para acceder a ordenadores sin

    autorizacin, y producir efectos no deseados. Estos efectos se producen algunas veces sin que nos demos

    cuenta en el acto.

    En sus comienzos, la motivacin principal para los creadores de virus era la del reconocimiento pblico.

    Cuanta ms relevancia tuviera el virus, ms reconocimiento obtena su creador. Por este motivo, las

    acciones a realizar por el virus deban ser visibles por el usuario y suficientemente dainas como para tener

    relevancia, por ejemplo, eliminar ficheros importantes, modificar los caracteres de escritura, formatear el

    disco duro, etc.

    Sin embargo, la evolucin de las tecnologas de la comunicacin y su penetracin en casi todos los aspectos

    de la vida diaria ha sido vista por los ciberdelincuentes como un negocio muy lucrativo. Los creadores de

    virus han pasado a tener una motivacin econmica, por lo que actualmente son grupos mucho ms

    organizados que desarrollan los cdigos maliciosos con la intencin de que pasen lo ms desapercibidos

    posible, y dispongan de ms tiempo para desarrollar sus actividades maliciosas.

    Hay varias formas en las que el creador del programa malicioso puede obtener un beneficio econmico, las

    ms comunes son:

    Robar informacin sensible del ordenador infectado, como datos personales, contraseas,

    credenciales de acceso a diferentes entidades, mail, banca online, etc.

    Crear una red de ordenadores infectados, generalmente llamada red zombi o botnet, para que

    el atacante pueda manipularlos todos simultneamente y vender estos servicios a entidades

    que puedan realizar acciones poco legtimas como el envo de spam, de mensajes de phishing,

    acceder a cuentas bancarias, realizar ataques de denegacin de servicio, etc.

    Vender falsas soluciones de seguridad que no realizan las acciones que afirman hacer, por

    ejemplo, falsos antivirus que muestran mensajes con publicidad informando de que el

    ordenador est infectado cuando en realidad no es as, la infeccin que tiene el usuario es el

    falso antivirus.

    Cifrar el contenido de los ficheros del ordenador y solicitar un rescate econmico al usuario

    del equipo para recuperar la informacin, como hacen los crptovirus.

  • ACTIVIDAD

    Descubre alguno de los peligros de la red, como son las redes botnet leyendo y analizando la siguiente

    noticia:

    http://prensa.pandasecurity.com/2010/07/panda-security-y-defence-intelligence-ayudan-al-fbi-a-arrestar-

    a-cibercriminales-%E2%80%93-hacker-arrestado-en-eslovenia/

    Cul era la finalidad del ataque descrito?

    Cules son los peligros derivados del uso de Internet, como las denominadas redes zombi? Qu tipo

    de precauciones y revisiones realizaras en tu equipo para evitar formar parte de estas redes?

    Crees que Internet es una red segura? Por qu?

    2.5 CLASIFICACIN DEL MALWARE

    Los distintos cdigos maliciosos que existen pueden clasificarse en funcin de diferentes criterios, los ms

    comunes son:

    Virus: de su analoga con los virus reales ya que infectan otros archivos, es decir, solo pueden

    existir en un equipo dentro de otro fichero, generalmente son ejecutables: .exe, .src, o en versiones

    antiguas .com, .bat. Tambin pueden infectar otros archivos, por ejemplo un virus de macro

    infectar programas que utilicen macros, como los productos Office. Los virus infectan a un sistema

    cuando se ejecuta el fichero infectado.

    Gusano: caracterstica principal es realizar el mximo nmero de copias posible de s mismos para

    facilitar su propagacin. Se suelen propagar por los siguientes mtodos: correo electrnico,

    archivos falsos descargados de redes de comparticin de ficheros (P2P), mensajera instantnea,

    etc.

    Troyano: cdigo malicioso con capacidad de crear una puerta trasera o backdoor, que permita la

    administracin remota a un usuario no autorizado. Pueden llegar al sistema de diferentes formas,

    las ms comunes son: descargado por otro programa malicioso, al visitar una pgina web maliciosa,

    dentro de otro programa que simula ser inofensivo, etc.

    Debido a la gran cantidad y diversidad de cdigos maliciosos que existen, que muchos de ellos realizan

    varias acciones y se pueden agrupar en varios apartados a la vez, existen varias clasificaciones genricas

    que engloban varios tipos de cdigos maliciosos, son las siguientes:

    Ladrones de informacin (infostealers). Agrupa todos los tipos de cdigos maliciosos que roban

    informacin del equipo infectado, son los capturadores de pulsaciones de teclado (keyloggers),

    espas de hbitos de uso e informacin de usuario (spyware), y ms especficos, los ladrones de

    contraseas (PWstealer).

    Cdigo delictivo (crmeware). Hace referencia a todos los programas que realizan una accin

    delictiva en el equipo, bsicamente con fines lucrativos. Engloba a los ladrones de informacin de

    contraseas bancarias (phishing) que mediante mensajes de correo electrnico no deseado o spam

    con clickers redireccionan al usuario a falsas pginas bancarias. Dentro de este mbito

    encontramos otro tipo de estafas electrnicas (scam) como la venta de falsas herramientas de

    seguridad (rogueware).

    Greyware (o grayware). Engloba todas las aplicaciones que realizan alguna accin que no es, al

    menos de forma directa, daina, tan solo molesta o no deseable. Agrupa software de visualizacin

    de publicidad no deseada (adware), espas (spyware) que solo roban informacin de costumbres

    del usuario para realizar campaas publicitarias (pginas por las que navegan, tiempo que navegan

    por Internet...), bromas (joke) y bulos (hoax).

  • 2.5.1 Mtodos de infeccin

    Pero Cmo llega al ordenador el malware y cmo prevenirlos? Existen gran variedad de formas por las que

    todo tipo de malware puede llegar a un ordenador; en la mayora de los casos prevenir la infeccin resulta

    relativamente fcil conocindolas:

    Explotando una vulnerabilidad: cualquier sistema operativo o programa de un sistema puede

    tener una vulnerabilidad que puede ser aprovechada para tomar el control, ejecutar comandos no

    deseados o introducir programas maliciosos en el ordenador.

    Ingeniera social: apoyado en tcnicas de abuso de confianza para apremiar al usuario a que realice

    determinada accin, que en realidad es fraudulenta o busca un beneficio econmico.

    Por un archivo malicioso: esta es la forma que tienen gran cantidad de malware de llegar al equipo:

    archivos adjuntos a travs de correo no deseado o spam, ejecucin de aplicaciones web, archivos

    de descargas P2P, generadores de claves y cracks de software pirata, etc.

    Dispositivos extrables: muchos gusanos suelen dejar copias de s mismos en dispositivos extrables

    para que, mediante la ejecucin automtica que se realiza en la mayora de los sistemas cuando el

    dispositivo se conecta a un ordenador, pueda ejecutarse e infectar el nuevo equipo, y a su vez

    nuevos dispositivos que se conecten.

    Cookies maliciosas: las cookies son pequeos ficheros de texto que se crean en carpetas

    temporales del navegador al visitar pginas web; almacenan diversa informacin que, por lo

    general, facilitan la navegacin del usuario. Las denominadas cookies maliciosas monitorizan y

    registran las actividades del usuario en Internet con fines maliciosos, por ejemplo capturar los

    datos de usuario y contrasea de acceso a determinadas pginas web o vender los hbitos de

    navegacin a empresas de publicidad.

    PRCTICA 7: KEYLOGGER

    En la prctica que realizaremos a continuacin instalaremos un software de recuperacin de pulsaciones de

    teclado denominado Revealer Keylogger que, se ejecuta al inicio y se encuentra oculto, pudiendo enviar

    remotamente por FTP o mail, el archivo que registra, en el cul se encontrarn tras un periodo de tiempo

    credenciales de usuario por ejemplo de sitios web como correo, banca electrnica, o redes sociales.

    http://www.youtube.com/watch?v=mFVz35haxhE

    En el equipo local que lo tenemos instalado si pulsamos Ctrl + Alt + F9 podemos ver el estado de registro,

    observando en qu momentos ha entrado en determinadas pginas web y qu ha tecleado.

    Recomendacin

    La manera de prevenir estos

    ataques es realizar escaneos

    peridicos antimalware con

    una o varias herramientas

    fiables y actualizadas,

    controlar los accesos fsicos y

    limitar los privilegios de las

    cuentas de usuario, para

    evitar instalaciones no

    deseadas.

  • 2.6 TCNICAS DE RECUPERACIN Y DESINFECCIN DE DATOS INFECTADOS

    Aunque, como se ha visto, existen gran cantidad de cdigos maliciosos, es muy fcil prevenir el quedarse

    infectado por la mayora de ellos y as poder utilizar el ordenador de forma segura, basta con seguir las

    recomendaciones de seguridad:

    Mantente informado sobre las novedades y alertas de seguridad.

    Accede a servicios de Internet que ofrezcan seguridad (acceso de credenciales en web HTTPS) y

    slo en ordenadores totalmente de confianza y seguros. En caso de duda o de utilizacin en un

    equipo compartido o pblico, mejor evitar accesos a servicios privados y confidenciales como mail

    o banca on-line

    Mantn actualizado tu equipo, tanto el sistema operativo como cualquier aplicacin que tengas

    instalada, sobre todo las herramientas antimalware ya que su base de datos de malware se

    actualiza en funcin del nuevo malware que se conoce diariamente.

    Haz copias de seguridad con cierta frecuencia, gurdalas en lugar y soporte seguro, para evitar la

    prdida de datos importantes.

    Utiliza software legal que suele ofrecer mayor garanta y soporte.

    Utiliza contraseas fuertes en todos los servicios, para dificultar la suplantacin de tu usuario (evita

    nombres, fechas, datos conocidos o deducibles, etc.).

    Crea diferentes usuarios en tu sistema, cada uno de ellos con los permisos mnimos necesarios para

    poder realizar las acciones permitidas. Utilizar la mayor parte del tiempo usuarios limitados que no

    puedan modificar la configuracin del sistema operativo ni instalar aplicaciones.

    Utiliza herramientas de seguridad que te ayudan a proteger y reparar tu equipo frente a las

    amenazas de la red. Actualizar la base de datos de malware de nuestra herramienta antes de

    realizar cualquier anlisis, ya que el malware muta y se transforma constantemente.

    Analiza el sistema de ficheros con varias herramientas, ya que el hecho de que una herramienta no

    encuentre malware no significa que no nos encontremos infectados. Es bueno el contraste entre

    herramientas antimalware.

    Realiza peridicamente escaneo de puertos, test de velocidad y de las conexiones de red para

    analizar si las aplicaciones que las emplean son autorizadas. Estos aspectos son tratados en

    materias relativas a redes.

    No te fes de todas las herramientas antimalware que puedes descargarte a travs de Internet de

    forma gratuita o las que te alertan que tu sistema est infectado, ya que algunas de ellas pueden

    contener cdigo malicioso, publicidad engaosa, no ofrecer la proteccin prometida e incluso dar

    como resultado falsos positivos (FakeAV). Es el denominado rogueware.

    2.6.1 Clasificacin del software antimalware

    Antivirus: programa informtico especficamente diseado para detectar, bloquear y eliminar cdigos

    maliciosos. Es una herramienta clsica que pretende ser un escudo de defensa en tiempo real para evitar

    ejecuciones de archivos o accesos a web maliciosas. Existen versiones de pago y gratuitas, los fabricantes

    suelen tener distintas versiones para que se puedan probar sus productos de forma gratuita, y en ocasiones

    para poder desinfectar malware encontrado ser necesario comprar sus licencias.

    Algunas de las variantes actuales que podemos encontrar son:

    Antivirus de escritorio: instalado como una aplicacin, permite el control antivirus en tiempo real o

    del sistema de archivos.

    Antivirus en lnea: cada vez se estn desarrollando ms aplicaciones web que permiten, mediante

    la instalacin de plugins en el navegador, analizar nuestro sistema de archivos completo.

  • Anlisis de ficheros en lnea: servicio gratuito para anlisis de ficheros sospechosos mediante el

    uso de mltiples motores antivirus, como complemento a tu herramienta antivirus. De esta manera

    podrs comprobar si algn fichero sospechoso contiene o no algn tipo de cdigo malicioso.

    Antivirus portable: no requieren instalacin en nuestro sistema y consumen una pequea cantidad

    de recursos.

    Antivirus vive: arrancable y ejecutable desde una unidad extrabie USB, CD o DVD. Permite analizar

    nuestro disco duro en caso de no poder arrancar nuestro sistema operativo tras haber quedado

    inutilizable por algn efecto de malware o no querer que arranque el sistema operativo por estar

    ya infectado y no poder desinfectarlo desde el mismo.

    Entre otras herramientas especficas destacamos:

    Antispyware: el spyware, o programas espa, son aplicaciones que se dedican a recopilar

    informacin del sistema en el que se encuentran instaladas para luego enviarla a travs de Internet,

    generalmente a alguna empresa de publicidad. Existen herramientas de escritorio y en lnea, que

    analizan nuestras conexiones de red y aplicaciones que las emplean, en busca de conexiones no

    autorizadas.

    Herramientas de bloqueo web: nos informan de la peligrosidad de los sitios web que visitamos, en

    algunos casos, nos informan de forma detallada, qu enlaces de esas pginas se consideran

    peligrosos y cul es el motivo. Existen varios tipos de analizadores en funcin de cmo se accede al

    servicio: los que realizan un anlisis en lnea, los que se descargan como una extensin/plugin de la

    barra del navegador y los que se instalan como una herramienta de escritorio.

    PRCTICA 10: ANLISIS ANTIMALWARE LIVE!

    A modo de ejemplo de herramienta especfica que podemos

    emplear para rescatar archivos y analizar el malware de un sistema,

    presentaremos AVG Rescue CD. Es un conjunto independiente de

    herramientas que se puede iniciar desde un CD o un disco flash

    USB. Puede utilizarse para recuperar equipos que no permitan el

    reinicio o que estn infectados y no puedan funcionar con

    normalidad. Tanto el CD como la unidad flash USB.

    Una vez finalizado el procedimiento de arranque, se abrir una

    sencilla interfaz de usuario, como la que se muestra a continuacin.

    PRCTICA 8: ANTIMALWARE

    Una de las herramientas ms utilizadas por su grado de actualizacin de base de datos de malware y su

    eficacia es el software Malwarebytes para Windows. Su descarga e instalacin es sencilla. Podremos

    obtener una versin gratuita en http://www.malwarebytes.org/.

    En primer lugar realizaremos una actualizacin de la aplicacin, mediante su pestaa Actualizar. A

    continuacin podemos realizar un anlisis completo del sistema desde su pestaa Escner.

  • Tras realizar el escner podremos analizar cada una de las entradas, y eliminar las que deseemos.

    Esta herramienta es muy til frente a rootkits que hayan modificado el registro de Windows y no permita

    su edicin, o la ejecucin de comandos mediante la consola.

    De un anlisis concreto podemos ver cmo ha sido capaz de detectar: cdigo malware (malware.trace),

    puerta trasera (backdoor), troyanos (trojan), etc.

    Se recomienda realizar un anlisis antimalware arrancando el sistema operativo en modo prueba de fallos

    con opciones de red, para poder actualizar la aplicacin antimalware. De este modo no se iniciarn los

    procesos maliciosos que imposibiliten una limpieza eficaz.

    2.6.2 La mejor herramienta antimalware

    Conocer qu herramienta se ajusta mejor a mis necesidades en cuanto a consumo de recursos, opciones de

    escaneo, y cantidad de malware encontrado en test de prueba, no es fcil.

    Muchas de las empresas desarrolladoras de software antimalware, muestran estudios en sus propias web

    demostrando que son mejor que la competencia, pero estos estudios pierden validez al ser conducidos por

    la propia empresa.

    Tambin tenemos que tener en cuenta que la tasa de deteccin puede variar de mes a mes, debido al gran

    nmero de malware que se crea, y aunque la tasa de variaciones suele ser pequea lo mejor es comparar

    un estudio con otro un poco ms antiguo (meses, no aos). Hay que recordar que ningn antivirus es

    perfecto (no existe el 100% de deteccin), y adems, puede que un antivirus detecte un virus que otro

    antivirus no detectara y viceversa.

    Los estudios con ms validez son los que son hechos por empresas o laboratorios independientes, entre las

    empresas ms importantes y ms precisas que realizan los estudios tenemos:

    AV-Test.org (http://www.av-test.org).

    En ocasiones las herramientas antimalware no suponen una solucin a una infeccin, ya que detectan

    posibles amenazas pero no corrigen el problema. En estos casos es ms efectivo un control a fondo de los

    procesos de arranque, los que se encuentran en ejecucin y otros archivos del sistema que hagan uso por

    ejemplo de las conexiones de red establecidas.

  • 2.7 GESTIN REMOTA DE INCIDENCIAS

    Muy utilizados en las grandes compaas, los servicios de acceso remoto son programas que siempre han

    permitido resolver incidencias en los equipos de forma remota y tomar el completo control del sistema por

    parte del administrador. Ahora, incorporan nuevas funcionalidades y potencian las herramientas de

    comunicacin y transmisin de ficheros, y funciones como copiar y pegar remotamente.

    Los servicios de acceso remoto comienzan a ser reconocidos por su potencial para la continuidad de

    cualquier negocio, ya que utilizan tecnologa de captura de pantalla para brindar la posibilidad de gestionar

    otros ordenadores de forma remota mediante cualquier conexin a internet o estructura de red.

    VNC es una aplicacin muy empleada para realizar gestin remota, basada en un modelo cliente-servidor.

    Existen versiones para distintos sistemas operativos. En el siguiente ejemplo conectaremos dos mquinas

    en una red local, pero podra funcionar igual a travs de internet (debernos abrir el puerto pertinente en el

    modem-router para la mquina servidor).

    Nos centraremos en la aplicacin en su versin de Windows, en primer lugar debemos configurar el

    servidor, la cual vamos a utilizar remotamente: la contrasea, as como el puerto que utilizaremos. Es

    recomendable emplear una contrasea que incluya maysculas, nmeros y algn que otro smbolo. Otra

    medida de seguridad es no emplear el puerto por defecto 5900, usando cualquier otro disponible.