Documente Academic
Documente Profesional
Documente Cultură
Captulo 1: Introduccin
En este captulo se ofrece una breve introduccin a la gua y se presentan las tcnicas y mecanismos utilizados por el software malintencionado; asimismo se incluye una descripcin general en cada captulo y se indican los destinatarios de la gua.
Captulo 1: Introduccin
A pesar de que muchas organizaciones han instalado programas antivirus en sus equipos, los nuevos virus, gusanos y otras formas de software malintencionado continan infectando con rapidez a una gran cantidad de sistemas informticos. No hay nada que explique esta aparente contradiccin, pero las tendencias principales se hacen patentes en los comentarios que ha recibido Microsoft de los profesionales de TI y el personal de seguridad de organizaciones cuyos sistemas han sido infectados. Algunos de estos comentarios son los siguientes: "El usuario ejecut el archivo adjunto desde su programa de correo electrnico a pesar de que le indicamos reiteradamente que no deba hacerlo...". "El software antivirus debera haberlo detectado, pero an no se haba instalado la firma de este virus". "Este virus nunca debera haber pasado a travs de nuestro servidor de seguridad; ni siquiera nos dimos cuenta de que esos puertos podran ser atacados". "No sabamos que nuestros servidores se deban haber revisado". El xito de los ltimos ataques demuestra que el enfoque estndar consistente en instalar software antivirus en cada equipo de la organizacin puede no ser suficiente. Los recientes ataques de virus se han propagado a una velocidad alarmante, de tal modo que la industria de software no puede detectar, identificar y facilitar herramientas antivirus capaces de ofrecer proteccin antes de que se produzcan. Las tcnicas utilizadas por las ltimas formas de software malintencionado tambin han resultado ser sustancialmente ms avanzadas, lo que ha posibilitado que los ltimos ataques de virus hayan escapado a la deteccin y se hayan propagado sin problemas. Entre estas tcnicas se incluyen: Ingeniera social. Muchos ataques pretenden hacer creer que provienen de un administrador del sistema o un servicio oficial, lo que aumenta las probabilidades de que los usuarios finales los ejecuten e infecten de este modo sus sistemas. Creacin de una puerta trasera. La mayora de los ltimos ataques de virus ha intentado abrir alguna forma de acceso no autorizado a los sistemas ya infectados, lo que permite al intruso obtener repetidamente acceso a ellos. Esta capacidad de acceso continuado se utiliza para infectar sistemas con nuevo software malintencionado, que actan como "zombies" en ataques coordinados de denegacin de servicio, o bien, para ejecutar el cdigo que el intruso desee. Robo de direcciones de correo electrnico. Los programas de software malintencionado utilizan las direcciones de correo electrnico obtenidas de los sistemas infectados para reenviarse a otras vctimas, al tiempo que los autores de este software pueden hacer una recopilacin de las mismas. A continuacin, pueden utilizarlas para enviar nuevas variantes de software malintencionado, facilitrselas a otros autores de este tipo de software a cambio de herramientas o cdigo fuente de virus, o venderlas a todos aquellos que estn interesados en utilizarlas para generar correo no deseado. Motores de correo electrnico incrustados. El correo electrnico es el principal medio de propagacin de software malintencionado. Muchas formas de software malintencionado integran ahora un motor de correo electrnico que posibilita que el cdigo malintencionado se propague mucho ms rpidamente y con menos probabilidades de crear una actividad poco corriente que se pueda detectar con facilidad. El correo masivo ilcito aprovecha las puertas traseras de los sistemas infectados para beneficiarse de las oportunidades que brinda el uso de estos motores de correo electrnico. Como resultado, se cree que la mayora del correo no deseado que se gener el ao pasado se envi a travs de estos sistemas infectados. Aprovechamiento de las vulnerabilidades de los productos . El software malintencionado aprovecha cada vez con ms frecuencia las vulnerabilidades de los productos para propagarse, lo que le permite extenderse a una velocidad muy superior.
Aprovechamiento de las nuevas tecnologas de Internet. A medida que surgen nuevas herramientas de Internet, los autores del software malintencionado las analizan con rapidez para determinar cmo pueden sacar provecho de ellas. Recientemente, la mensajera instantnea y las redes de igual a igual (P2P) se han convertido en vectores de ataque para tal fin. Estas tcnicas y particularidades del software malintencionado se analizan en detalle en los captulos siguientes de esta gua. Microsoft mantiene su firme compromiso de garantizar la seguridad de las aplicaciones que produce y de colaborar con los socios de la empresa para hacer frente a las amenazas del software malintencionado. Entre los ltimos esfuerzos realizados por Microsoft para reducir el impacto de estas amenazas se incluyen: Estrecha colaboracin con los proveedores de software antivirus para formar la Virus Information Alliance (VIA). Los miembros de la alianza intercambian informacin tcnica sobre el software malintencionado descubierto recientemente. De este modo, pueden comunicar con rapidez a los clientes la informacin sobre el objetivo del software, su impacto y la recuperacin. Para obtener ms informacin sobre VIA, consulte la pgina "Virus Information Alliance (VIA)" en Microsoft TechNet: http://www.microsoft.com/technet/security/topics/virus/via.mspx (en ingls). Investigacin de nuevas tecnologas de seguridad, como la tecnologa de proteccin activa y la proteccin de sistemas dinmicos, con las que se contribuye a garantizar la seguridad de la plataforma Microsoft Windows. Para obtener ms informacin sobre los esfuerzos realizados en este campo, consulte las declaraciones de Bill Gates en la RSA Conference 2004 que se incluyen en Microsoft.com: http://www.microsoft.com/billgates/speeches/2004/02-24rsa.asp (en ingls). Apoyo a la legislacin con el objetivo de eliminar el correo no deseado y de trabajar con los responsables del cumplimiento de las leyes y los proveedores de servicios de Internet (ISP) para conseguir que se emprendan acciones judiciales contra las operaciones de correo no deseado. Para obtener informacin sobre las alianzas que se han creado con este fin, consulte "America Online, Microsoft and Yahoo! Join Forces Against Spam" en Microsoft.com: http://www.microsoft.com/presspass/press/2003/apr03/04 28JoinForcesAntispamPR.asp (en ingls). Presentacin del programa de recompensa antivirus (Antivirus Reward Program) y estrecha colaboracin con las instituciones responsables del cumplimiento de las leyes para reducir las amenazas que suponen los autores de software malintencionado. Para obtener ms informacin sobre este programa, consulte la pgina "Microsoft Announces Anti-Virus Reward Program" en Microsoft.com:http://www.microsoft.com/presspass/press/2003/nov03/11-
05AntiVirusRewardsPR.asp (en ingls). Microsoft ha elaborado esta gua de seguridad con el fin de ayudarle a identificar todos los puntos de su infraestructura en los que debera considerar la implementacin de sistemas de defensa antivirus. Asimismo, se facilita informacin sobre cmo recuperarse si el entorno resulta infectado.
aplicaciones tipo Office; y virus creados especficamente para aprovechar las vulnerabilidades de los sistemas operativos y aplicaciones. Los virus informticos aprovechan las vulnerabilidades del correo electrnico, de las redes de uso compartido de archivos de igual a igual (P2P), de los sitios Web, de las unidades compartidas y de los productos para replicarse y atacar. Asimismo, crean puertas traseras (puntos de entrada de red secretos u ocultos a travs de los cuales penetra el software malintencionado) en los sistemas infectados para permitir a los creadores de virus, o intrusos, regresar y ejecutar el software que deseen. En el contexto de esta gua, un intruso es un programador o usuario de un equipo que intenta obtener acceso a un sistema o una red informtica de forma ilegal. En la seccin siguiente de este captulo se trata el software malintencionado en profundidad. Determinados virus informticos incorporan su propio motor de correo electrnico incrustado, a travs del cual pueden propagarse directamente por correo electrnico desde un sistema infectado, obviando la configuracin del cliente o servidor de correo electrnico del usuario. Los creadores de virus tambin han comenzado a estructurar cuidadosamente sus ataques y a utilizar la ingeniera social para desarrollar mensajes de correo electrnico con aspecto y diseo autnticos. Con ello se pretende engaar a los usuarios para que abran el archivo con el virus adjunto, aumentando, de este modo, la posibilidad de que tenga lugar una infeccin a gran escala. Al tiempo que el software malintencionado ha evolucionado, se ha desarrollado tambin software antivirus para contrarrestarlo. No obstante, la mayora del software antivirus actual se basa casi por completo en las firmas de virus (caractersticas de identificacin de software malintencionado) para detectar el cdigo potencialmente daino. Esto beneficia a los creadores de virus en tanto que aprovechan el perodo que va desde el lanzamiento del virus hasta que los proveedores de software antivirus distribuyen a gran escala los archivos de firma. Por ello la norma general es que la tasa de infeccin del virus sea tremendamente elevada durante los primeros das, y que se produzca un declive pronunciado una vez que se distribuyen los archivos de firma.
Virus. Los virus ejecutan cdigo escrito con la intencin expresa de replicarse. Se intentan propagar de un equipo a otro adjuntndose a un programa host. Pueden daar elementos de hardware, software o datos. Cuando el host se ejecuta, tambin lo hace el cdigo del virus, infectando nuevos hosts y, en ocasiones, dejando una carga adicional. A efectos de esta gua, carga es un trmino colectivo que hace referencia a las acciones que realiza el software malintencionado en un equipo infectado. Estas definiciones de las distintas categoras de software malintencionado permiten presentar las diferencias entre ellas en un simple grfico de flujo. En la ilustracin siguiente se muestran los elementos que permiten determinar si un programa o una secuencia de comandos se incluye dentro de alguna de las categoras:
La ilustracin nos permite distinguir las categoras de cdigo malintencionado ms comunes segn se presentan en esta gua. No obstante, es importante sealar que un mismo ataque puede introducir cdigo que se ajuste a varias de estas categoras. Estos tipos de ataque (conocidos como amenazas mixtas porque constan de ms de un tipo de software malintencionado y utilizan varios vectores de ataque) se pueden propagar muy rpidamente. Un vector de ataque es la ruta que el software malintencionado puede utilizar para realizar un ataque. Por ello, la defensa frente a las amenazas mixtas puede resultar especialmente difcil. En las secciones siguientes se ofrece una explicacin ms detallada de cada categora de software malintencionado y de algunos de los elementos clave que lo componen.
Troyanos
Los troyanos no se consideran virus informticos ni gusanos porque no se pueden propagar por s mismos. No obstante, se puede utilizar un virus o un gusano para copiar un troyano en el sistema que se desea atacar como parte de una carga de ataque. Este proceso se denomina colocacin. Normalmente, los troyanos tienen como objetivo interrumpir el trabajo del usuario o el funcionamiento normal del sistema. Por ejemplo, los troyanos pueden crear una puerta trasera en el sistema para que los atacantes puedan robar datos o cambiar la configuracin. Hay otros dos trminos que se suelen utilizar al hablar de troyanos o actividades troyanas; se identifican y explican a continuacin: Troyanos de acceso remoto. Algunos programas troyanos permiten al atacante o ladrn de datos hacerse con el control de un sistema de forma remota. Estos programas se denominan troyanos de acceso remoto (RAT) o puertas traseras. Varios ejemplos de RAT son: Back Orifice, Cafeene y SubSeven. Para obtener una explicacin detallada de este tipo de troyano, consulte el artculo "Danger: Remote Access Trojans" en Microsoft TechNet: http://www.microsoft.com/technet/security/topics/virus/virusrat.mspx (en ingls). Rootkits. Se trata de colecciones de programas de software que los atacantes utilizan para obtener acceso remoto no autorizado a un equipo y ejecutar ataques adicionales. Pueden utilizar varias tcnicas diferentes, entre las que se incluyen el seguimiento de las pulsaciones de teclas, el cambio de los archivos de registro o de las aplicaciones existentes en el sistema, la creacin de puertas traseras y el ataque a otros equipos de la red. Por lo general, los rootkits se organizan como un conjunto de herramientas que se adaptan especficamente para atacar a un sistema operativo determinado. Los primeros aparecieron a principios de los 90, siendo sus principales objetivos los sistemas operativos Sun y Linux. Actualmente son muchos los sistemas operativos objetivo, entre ellos la plataforma Microsoft Windows. Nota: no hay que olvidar que tanto los RAT como determinadas herramientas que forman los rootkits pueden tener usos legtimos de control remoto y seguimiento. No obstante, se trata de herramientas que pueden suponer problemas para la seguridad y privacidad, lo que aumenta los riesgos globales de los entornos en los que se utilizan.
Gusanos
Si el cdigo malintencionado se replica, no se trata de un troyano. Por tanto, la cuestin que debe plantearse para definir ms claramente el software malintencionado es la siguiente: "Puede el cdigo replicarse sin necesidad de un portador?". Es decir, puede replicarse sin necesidad de infectar un archivo ejecutable? Si la respuesta a esta pregunta es "S", el cdigo se considera un tipo de gusano. La mayora de los gusanos intentan copiarse a s mismos en un equipo host para, a continuacin, utilizar sus canales de comunicacin y replicarse. El gusano Sasser, por ejemplo, se aprovecha inicialmente de la vulnerabilidad de un servicio para infectar un sistema y, a continuacin, utiliza la conexin de red del mismo para intentar replicarse. Si ha instalado las ltimas actualizaciones de seguridad (para detener la infeccin) o ha habilitado los servidores de seguridad de su entorno para bloquear los puertos de red utilizados por el gusano (para detener la replicacin), el ataque no tendr xito.
Virus
Si el cdigo malintencionado agrega una copia de s mismo a un archivo, documento o sector de inicio de una unidad de disco con el fin de replicarse, estaremos frente a un virus. Puede ser una copia directa del virus original o una versin modificada del mismo. Para obtener informacin ms detallada al respecto, consulte la seccin "Mecanismos de defensa" que aparece ms adelante en este captulo. Como se mencion anteriormente, los virus contienen a menudo cargas que pueden colocar en un equipo local, por ejemplo, un
troyano, que realizar una o varias acciones malintencionadas, como la eliminacin de datos del usuario. No obstante, aunque el virus slo se replique y no contenga carga, seguimos estando frente a un problema de software malintencionado, ya que el virus es capaz de daar datos, utilizar recursos del sistema y consumir ancho de banda de red a medida que se replica.
Entornos objetivo
Para que el ataque del software malintencionado a un sistema host tenga xito, es necesario que disponga de una serie de componentes especficos. A continuacin se muestran varios ejemplos tpicos de componentes que requiere el software malintencionado para lanzar un ataque a un sistema host: Dispositivos. Ciertos tipos de software malintencionado se dirigen especficamente a un tipo de dispositivo determinado, como un PC, un equipo Apple Macintosh o incluso un dispositivo PDA, aunque este ltimo caso es muy poco comn en la actualidad. Sistemas operativos. En determinadas ocasiones, el software malintencionado requiere un sistema operativo determinado para ser efectivo. Por ejemplo, los virus CIH o Chernobyl de finales de los 90 slo podan atacar equipos Microsoft Windows 95 o Windows 98. Aplicaciones. Tambin puede que el software malintencionado requiera que en el equipo al que va a atacar est instalada una aplicacin determinada para poder dejar una carga o replicarse. Por ejemplo, el virus LFM.926 de 2002 slo poda atacar si los archivos Shockwave Flash (.swf) se ejecutaban en el equipo local.
Portadores
Cuando el software malintencionado es un virus, intenta atacar a un portador (tambin conocido como host) e infectarlo. El nmero y tipo de portadores susceptibles de ser atacados vara considerablemente, no obstante, en la lista siguiente se muestran algunos ejemplos de los portadores que suelen ser objeto de ataques con mayor frecuencia: Archivos ejecutables. Se trata del objetivo del virus "clsico", que se replica adjuntndose a un programa host. Adems de los archivos ejecutables tpicos que utilizan la extensin .exe, tambin pueden ser objeto de ataques archivos con las siguientes extensiones: .com, .sys, .dll, .ovl, .ocx y .prg. Secuencias de comandos. Los ataques que utilizan secuencias de comandos como portadores se dirigen a archivos que utilizan un lenguaje de secuencias de comandos como Microsoft Visual Basic Script, JavaScript, AppleScript o Perl Script. Entre las extensiones de este tipo de archivos se encuentran: .vbs, .js, .wsh y .prl. Macros. Estos portadores son archivos que admiten el lenguaje de secuencias de comandos con macros de una aplicacin determinada, como una aplicacin de procesamiento de textos, de hoja de clculo o de base de datos. Por ejemplo, los virus pueden utilizar los lenguajes de macro de Microsoft Word y Lotus Ami Pro para producir una serie de efectos, desde pequeas malas pasadas (cambio de palabras en el documento o de colores) hasta acciones malintencionadas (formateo del disco duro del equipo). Sector de inicio. Otras reas especficas del disco del equipo (discos duros y medios extrables de inicio), como el registro de inicio maestro (MBR) o el registro de inicio de DOS, tambin se pueden considerar portadores, dada su capacidad de ejecutar cdigo malintencionado. Una vez que el disco se ha infectado, la replicacin tiene lugar cuando ste se utiliza para iniciar otros sistemas.
Nota: si el virus intenta infectar tanto a archivos como a sectores de inicio, hablamos de un virus multipartite.
Mecanismos de transporte
La replicacin de los ataques de virus en distintos sistemas informticos se puede llevar a cabo a travs de uno o varios mtodos diferentes. En esta seccin se proporciona informacin sobre algunos de los mecanismos de transporte ms comunes utilizados por el software malintencionado. Medios extrables. La transferencia de archivos es el primer y probablemente ms utilizado mtodo de transmisin de virus informticos y otro tipo de software malintencionado (al menos, hasta el momento). Se inici con los disquetes, luego pas a las redes y, en la actualidad, utiliza nuevos medios, como los dispositivos de bus serie universal (USB) y los servidores de seguridad. Aunque la tasa de infeccin no es tan alta como la del software malintencionado transmitido a travs de redes, la amenaza siempre est presente. Resulta difcil de erradicar completamente dada la necesidad de intercambiar datos entre sistemas. Recursos compartidos de red. Cuando los equipos dispusieron de un mtodo que les permita conectarse entre s directamente a travs de una red, se abri ante los creadores de software malintencionado un nuevo mecanismo de transporte que superaba a los medios extrables en cuanto a capacidad de propagar cdigo malintencionado. Cuando el sistema de seguridad de los recursos compartidos de red est mal implementado, se obtiene como consecuencia un entorno apto para la replicacin de software malintencionado a un gran nmero de equipos conectados. El uso de los recursos compartidos ha reemplazado en gran medida al de los medios extrables. Exploracin de la red. Los creadores de software malintencionado utilizan este mecanismo para explorar redes en busca de equipos vulnerables o para atacar de forma aleatoria direcciones IP. Con este mecanismo, por ejemplo, se puede enviar un paquete utilizando un puerto de red especfico a un intervalo determinado de direcciones IP en busca de un equipo vulnerable al que poder atacar. Redes de igual a igual (P2P). Para que tenga lugar una transferencia de archivos P2P, es necesario que el usuario instale previamente un componente cliente de la aplicacin P2P que utilice uno de los puertos autorizados en el servidor de seguridad de la organizacin, por ejemplo, el puerto 80. Las aplicaciones utilizan este puerto para atravesar el servidor de seguridad y transferir archivos directamente de un equipo a otro. Estas aplicaciones se pueden obtener fcilmente en Internet y proporcionan un mecanismo de transporte que los creadores de software malintencionado utilizan directamente para propagar un archivo infectado en el disco duro de un cliente. Correo electrnico. El correo electrnico se ha convertido en el mecanismo de transporte utilizado por muchos creadores de software malintencionado. La facilidad con la que se puede llegar a cientos de miles de personas a travs del correo electrnico sin necesidad de que los responsables del ataque abandonen sus equipos ha hecho de este mecanismo un mtodo de transporte muy efectivo. Resulta relativamente sencillo engaar a los usuarios para que abran archivos adjuntos al correo electrnico (utilizando tcnicas de ingeniera social). No es de extraar, por tanto, que muchos de los ataques de software malintencionado ms prolficos hayan utilizado el correo electrnico como transporte. Existen dos tipos bsicos de software malintencionado que lo utilizan de forma especfica: o Servicio de envo de correo. Este tipo de software malintencionado se enva a s mismo por correo a un nmero limitado de direcciones, bien utilizando el software de correo instalado en el host (por ejemplo, Microsoft Outlook Express), bien empleando su propio motor integrado de protocolo simple de transferencia de correo (SMTP). o Servicio de envo de correo masivo. Este tipo de software malintencionado busca en el equipo infectado direcciones de correo electrnico y, a continuacin, se enva a s mismo de forma masiva a dichas direcciones, utilizando el software de correo instalado en el host o su propio motor integrado SMTP.
Aprovechamiento remoto. El software malintencionado puede intentar aprovechar una vulnerabilidad determinada de un servicio o aplicacin para replicarse. Este comportamiento se observa a menudo en los gusanos; por ejemplo, el gusano Slammer aprovech una de las vulnerabilidades de Microsoft SQL Server 2000 para generar una saturacin de bfer que permiti que se sobrescribiera una parte de la memoria del sistema con cdigo que se poda ejecutar en el mismo contexto de seguridad que el servicio SQL Server. Las saturaciones de bfer se producen al agregar una cantidad de informacin superior a la que el bfer es capaz de contener. Se trata de una vulnerabilidad muy aprovechada por los atacantes para hacerse con un sistema. Aunque Microsoft ya haba identificado y solucionado esta vulnerabilidad meses antes de que apareciera Slammer, pocos sistemas se haban actualizado, por lo que el gusano se pudo propagar.
Cargas
Una vez el software malintencionado ha alcanzado el equipo host a travs del transporte, generalmente realizar una accin denominada carga, que puede adoptar diferentes formas. En esta seccin se identifican algunos de los tipos de carga ms habituales: Puerta trasera. Este tipo de carga permite el acceso no autorizado a un equipo. Aunque puede proporcionar acceso completo, tambin se puede limitar, por ejemplo, a habilitar el acceso mediante el protocolo de transferencia de archivos (FTP) a travs del puerto 21 del equipo. Si el ataque se produjo para habilitar Telnet, un intruso podra utilizar el equipo infectado como rea de almacenamiento temporal para los ataques a travs de Telnet en otros equipos. Como se ha mencionado anteriormente, una puerta trasera en ocasiones se conoce como troyano de acceso remoto. Daos o eliminacin de datos. Uno de los tipos de carga ms destructivos puede ser un cdigo malintencionado que daa o elimina los datos, y deja inservible la informacin del equipo del usuario. El creador del software malintencionado tiene dos opciones: la primera consiste en crear la carga de modo que se ejecute con rapidez. Aunque es potencialmente desastroso para el equipo que infecta, el diseo del software malintencionado permite descubrirlo antes y esto favorece que se reduzcan las posibilidades de que se replique sin ser detectado. La otra opcin consiste en dejar la carga en el sistema local (a modo de troyano) durante un perodo de tiempo (consulte la seccin "Mecanismos de activacin" ms adelante en este captulo para ver ejemplos) para que el software malintencionado se extienda antes de que se intente entregar la carga y, por lo tanto, se alerte al usuario de su presencia. Robo de informacin. Un tipo de carga de software malintencionado especialmente preocupante es el que se ha diseado para robar informacin. Si una carga compromete la seguridad de un equipo host, podr proporcionar un mecanismo para pasar informacin a los atacantes. Esto puede ocurrir de diferentes formas; por ejemplo, la carga de software malintencionado puede automatizar una transferencia con el objetivo de capturar archivos locales o informacin tal como las teclas que el usuario presiona (con el fin de intentar obtener el nombre y la contrasea del usuario). Otro mecanismo consiste en proporcionar un entorno en el host local que permita al atacante controlarlo de forma remota u obtener acceso a los archivos del sistema directamente. Denegacin de servicio (DoS). Uno de los tipos de carga de aplicacin ms sencilla es el ataque de denegacin de servicio, que consiste en un asalto computerizado que inicia un atacante para sobrecargar o detener un servicio de red, por ejemplo un servidor Web o de archivos. El objetivo de los ataques DoS es simplemente dejar inutilizable un servicio determinado durante un perodo de tiempo. o Denegacin de servicio distribuida (DDoS). Estos tipos de ataques utilizan habitualmente clientes infectados que desconocen por completo que participan en el ataque. Un ataque DDoS es un tipo de denegacin de servicio en el que un usuario utiliza cdigo malintencionado instalado en varios equipos para alcanzar un nico objetivo. Con este
mtodo se puede conseguir un efecto mayor en el objetivo de lo que se podra obtener si se usara un nico equipo. La semntica del ataque vara de unos a otros, si bien generalmente implica el envo de grandes cantidades de datos a un host o un sitio Web especfico, que hacen que ste deje de responder (o se vuelva incapaz de responder) al trfico legtimo. De este modo, inunda el ancho de banda disponible en el sitio de la vctima y hace que se quede sin conexin. Puede resultar extremadamente difcil defenderse de este tipo de ataque, puesto que los hosts responsables son de hecho vctimas involuntarias. Los ataques DDoS generalmente se llevan a cabo mediante bots(programas que realizan tareas repetitivas), como Eggdrop de Internet Relay Chat (IRC), que un intruso puede utilizar para controlar los equipos "vctimas" a travs de un canal IRC. Una vez que esos equipos quedan bajo el control del intruso, se convierten en zombies que pueden atacar a un objetivo bajo las rdenes del intruso y sin el conocimiento de sus propietarios. Los ataques DoS y DDoS pueden implicar distintas tcnicas, entre las que se incluyen: o Cierres del sistema. Si el software malintencionado consigue apagar o bloquear el sistema host, puede ocasionar problemas en uno o varios servicios. Para poder atacar el sistema host y hacer que se apague, el software malintencionado debe encontrar un punto dbil en una aplicacin o en el sistema operativo. o Inundacin del ancho de banda. La mayor parte de los servicios que se proporcionan en Internet estn vinculados a travs de una conexin de red de banda ancha limitada que los conecta a sus clientes. Si un creador de software malintencionado puede entregar una carga que ocupe este ancho de banda con trfico de red falso, puede producir una denegacin de servicio simplemente impidiendo que los clientes puedan conectarse directamente al mismo. o Denegacin de servicio de red. Este tipo de carga intenta sobrecargar los recursos disponibles para el host local. Recursos como el microprocesador y la capacidad de la memoria quedan saturados por los ataques del tipo inundacin de paquetes SYN, en los que un atacante utiliza un programa para enviar mltiples solicitudes de SYN de TCP con el fin de llenar la cola de conexin pendiente en el servidor e impedir el trfico de red legtimo a y desde el host. Los ataques del tipo bomba de correo tambin saturan los recursos de almacenamiento para crear un ataque DoS, en el que se enva a una direccin una cantidad excesiva de datos de correo electrnico en un intento de ocasionar problemas en el programa de correo electrnico o de impedir que el destinatario reciba otros mensajes legtimos. o Problemas en los servicios. Este tipo de carga tambin puede ocasionar una denegacin de servicio. Por ejemplo, esta tcnica de ataque DoS tiene xito cuando el ataque en un servidor de Sistema de nombres de dominio (DNS) deshabilita el servicio DNS. Sin embargo, puede que todos los dems servicios del sistema no resulten afectados.
Mecanismos de activacin
Los mecanismos de activacin son una caracterstica que el software malintencionado utiliza para iniciar la replicacin o la entrega de la carga. Entre los mecanismos de activacin tpicos se encuentran los siguientes: Ejecucin manual. Consiste simplemente en la ejecucin del software malintencionado por parte de la propia vctima. o Ingeniera social. El software malintencionado utilizar con frecuencia alguna forma de ingeniera social para tratar de engaar a una vctima y conseguir que ejecute manualmente el cdigo malintencionado. El enfoque puede resultar relativamente sencillo, como el de los gusanos de correo masivo, en los que el elemento de ingeniera social se centra en seleccionar el texto del campo Asunto del mensaje de correo electrnico que tenga ms posibilidades de ser abierto por una vctima potencial. Los creadores de software
malintencionado pueden utilizar asimismo la suplantacin de correo electrnico para intentar hacer creer a la vctima que un mensaje proviene de un remitente de confianza. La suplantacin es el acto de imitar un sitio Web o una transmisin de datos para hacer que parezcan autnticos. Por ejemplo, el gusano Dumaru original que apareci por primera vez en 2003 modificaba el campo De: de los mensajes de correo electrnico para hacer creer que se enviaban desde security@microsoft.com. (Consulte la seccin "Mensajes de virus falsos" en el siguiente apartado de este captulo para obtener ms informacin sobre esta caracterstica.) Ejecucin semiautomtica. Este tipo de mecanismo de activacin lo inicia primero la propia vctima y a partir de ah se ejecuta automticamente. Ejecucin automtica. Este mecanismo de activacin no requiere de ninguna ejecucin manual. El software malintencionado lleva a cabo su ataque sin necesidad de que la vctima ejecute un cdigo malintencionado en el equipo de destino. Bomba de tiempo. Este tipo de mecanismo realiza una accin tras un determinado perodo de tiempo. Este perodo puede ser un retraso desde la primera ejecucin de la infeccin o una fecha o intervalo de fechas previamente establecidos. Por ejemplo, el gusano MyDoom.B nicamente inici sus rutinas de carga contra el sitio Web de Microsoft.com el da 3 de febrero de 2004, e hizo lo propio contra el sitio Web del grupo SCO el 1 de febrero de 2004. Despus, detuvo toda replicacin el 1 de marzo de ese mismo ao, aunque el componente de puerta trasera de la bomba de tiempo continuaba activo despus de esta fecha. Activacin condicional. Este mecanismo utiliza alguna condicin predeterminada para entregar la carga. Por ejemplo, un archivo con un nombre nuevo, una serie de pulsaciones de teclas o el inicio de una aplicacin. El software malintencionado que emplea esta activacin se denomina en ocasiones bomba lgica.
Mecanismos de defensa
Numerosos ejemplos de software malintencionado utilizan algn tipo de mecanismo de defensa para reducir la probabilidad de ser detectados y eliminados. En la siguiente lista se ofrecen algunos ejemplos de las tcnicas empleadas: Armadura. Este tipo de mecanismo de defensa emplea tcnicas que intentan impedir el anlisis del cdigo malintencionado, por ejemplo, detectar cundo se ejecuta un depurador e intentar evitar que funcione correctamente, o agregar grandes cantidades de cdigo sin sentido para ocultar el objetivo del cdigo malintencionado. Ocultacin. El software malintencionado utiliza esta tcnica para ocultarse mediante la interceptacin de solicitudes de informacin y la devolucin de datos falsos. Por ejemplo, un virus puede almacenar una imagen del sector de inicio no infectado y mostrarla cuando se intente visualizar el sector de inicio afectado. El virus informtico ms antiguo conocido, denominado Brain, utiliz esta tcnica en 1986. Cifrado. El software malintencionado que utiliza este mecanismo de defensa realiza un cifrado de s mismo o de la carga (y en ocasiones incluso de otros datos del sistema) para evitar la deteccin o la recuperacin de datos. El software malintencionado cifrado contiene una rutina de descifrado esttica, una clave de cifrado y el cdigo malintencionado cifrado (que incluye una rutina de cifrado). Cuando se ejecuta, utiliza la rutina de descifrado y la clave para descifrar el cdigo malintencionado. A continuacin, crea una copia del cdigo y genera una nueva clave de cifrado. Emplea esa clave y la rutina de cifrado para cifrar la copia nueva de s mismo, agregando la clave nueva con la rutina de descifrado al inicio de la copia nueva. A diferencia de los virus polimrficos, el software malintencionado de cifrado utiliza siempre las mismas rutinas de descifrado, as que aunque el valor de la clave (y, por tanto, la firma de los cdigos malintencionados cifrados) generalmente cambia de
una infeccin a otra, los programas antivirus pueden buscar la rutina de descifrado esttica para detectar el software malintencionado que utiliza este mecanismo de defensa. Software malintencionado oligomrfico. Se trata de software que utiliza el cifrado como mecanismo para defenderse y puede cambiar la rutina de cifrado nicamente un nmero determinado de veces (generalmente una cantidad reducida). Por ejemplo, un virus que puede generar dos rutinas de descifrado diferentes se clasificara como oligomrfico. Software malintencionado polimrfico. Utiliza el cifrado como mecanismo de defensa para cambiarse con el fin de evitar ser detectado, generalmente mediante el cifrado del propio software malintencionado con una rutina de cifrado para, a continuacin, proporcionar una clave de descifrado diferente para cada mutacin. De este modo, el software malintencionado polimrfico utiliza un nmero ilimitado de rutinas de cifrado para evitar la deteccin. Cuando el software se replica, una parte del cdigo de descifrado se modifica. En funcin del tipo especfico de cdigo, la carga u otras acciones llevadas a cabo pueden utilizar o no el cifrado. Generalmente existe un motor de mutacin, que es un componente incorporado del cdigo malintencionado de cifrado que genera rutinas de cifrado aleatorias. Este motor y el software malintencionado quedan cifrados y la nueva clave de descifrado se pasa con ellos.
Software de humor
Las aplicaciones de humor estn diseadas para conseguir una sonrisa o, en el peor de los casos, una prdida de tiempo para el usuario. Estas aplicaciones son tan antiguas como los propios equipos informticos. Como no se han creado con una intencin maliciosa y se pueden identificar fcilmente como bromas, no se consideran software malintencionado en esta gua. Existen numerosos ejemplos de aplicaciones de humor, que ofrecen desde interesantes efectos de pantalla hasta divertidas animaciones o juegos.
Fraudes
Prcticamente toda forma de comunicacin se ha utilizado en algn momento por parte de delincuentes para intentar engaar a sus vctimas y conseguir que realicen acciones que les reporten un beneficio econmico. Internet, los sitios Web y los mensajes de correo electrnico no son una excepcin. Un ejemplo tpico consiste en un mensaje de correo electrnico que intenta engaar al destinatario para que revele informacin personal que se pueda utilizar con objetivos ilegales (por ejemplo, informacin sobre cuentas bancarias). Un tipo especial de fraude es el denominado phishing, que se pronuncia igual que fishing, ("pesca", en ingls) y que tambin se conoce comosuplantacin de marca o carding. Como ejemplos de "phishing" se pueden mencionar los casos en los que los remitentes suplantan a compaas de gran prestigio, como por ejemplo eBay, para intentar obtener acceso a la informacin de la cuenta del usuario. Este tipo de mensajes utiliza con frecuencia un sitio Web que imita el aspecto del sitio Web oficial de una compaa. El mensaje de correo electrnico se utiliza para redirigir al usuario al sitio Web falso y conseguir que escriba la informacin de su cuenta de usuario, que se guarda y usa con fines ilcitos. Estos casos se deben tratar con total seriedad y poner en conocimiento de las autoridades legales.
Correo no deseado
Tambin conocido como spam, se trata de correo electrnico no deseado que se genera para hacer publicidad de un servicio o producto. Aunque generalmente se considera una molestia, no se trata de software malintencionado. Sin embargo, el enorme incremento en la cantidad de mensajes de este tipo constituye un problema para la infraestructura de Internet, con el resultado de prdida de productividad para los empleados, que se ven obligados a descartar y eliminar estos mensajes a diario. Aunque no existe acuerdo sobre el origen del trmino "spam", no hay duda de que ste se ha convertido en una de las molestias ms constantes en las comunicaciones basadas en Internet. Muchos consideran que constituye un problema de tal gravedad que actualmente representa una amenaza para el funcionamiento de las comunicaciones a travs de correo electrnico en el mundo. Sin embargo, es preciso mencionar que salvo por la carga que soportan los servidores de correo electrnico y los programas anti-spam, los mensajes no deseados no se pueden replicar o amenazar el correcto estado y funcionamiento de los sistemas de TI de una organizacin. Los creadores de correo no deseado (conocidos con el trmino ingls spammers) han utilizado a menudo software malintencionado para instalar un servicio de servidor de correo electrnico SMTP de pequeo tamao en un equipo host que, a continuacin, utilizan para enviar este tipo de mensajes a otros destinatarios de correo electrnico.
Programas espa
Este tipo de software se denomina en ocasiones spybot o software de seguimiento. Los programas espa utilizan otras formas de software y programas engaosos que realizan algunas acciones en un equipo sin el consentimiento del usuario. Entre ellas se incluyen la recopilacin de informacin personal y el cambio de los parmetros de configuracin del explorador de Internet. Adems de ser una molestia, los programas espa pueden causar problemas que abarcan desde la reduccin del rendimiento general del equipo hasta la violacin de la privacidad personal. Los sitios Web que distribuyen estos programas utilizan una gama de trucos para conseguir que los usuarios los descarguen e instalen en sus equipos. Entre estos trucos se incluye la creacin de experiencias de usuario engaosas y la inclusin de programas espa junto con otro software en el que los usuarios pueden estar interesados, por ejemplo los programas gratuitos para compartir archivos.
Publicidad no deseada
La publicidad no deseada se combina con frecuencia con una aplicacin host que se ofrece de modo gratuito a condicin de que el usuario acepte dicha publicidad. Como las aplicaciones de publicidad no deseada generalmente se instalan despus de que el usuario haya aceptado un contrato de licencia en el que se advierte del objetivo de la aplicacin, no se comete ningn delito. No obstante, los mensajes de publicidad emergentes se pueden convertir en una molestia y, en algunos casos, afectar al rendimiento del sistema. Asimismo, la informacin que recopilan algunas de estas aplicaciones puede plantear problemas de privacidad a los usuarios que no eran totalmente conscientes de los trminos del contrato de licencia. Nota: aunque los trminos spyware (programa espa) y adware (publicidad no deseada) se utilizan con frecuencia como sinnimos, nicamente la publicidad no deseada que el usuario no ha autorizado se puede equiparar a los programas espa. La publicidad no deseada que advierte a los usuarios y les ofrece la posibilidad de eleccin y el control no es engaosa y no se debe clasificar como programa espa. Por otra parte se debe tener en cuenta que una aplicacin espa que afirma realizar una funcin especfica y que, en realidad, lleva a cabo otra diferente, acta como un troyano.
Cookies de Internet
Las cookies de Internet son archivos de texto que los sitios Web colocan en el equipo de un usuario cuando ste los visita. Contienen y proporcionan informacin de identificacin acerca del usuario a los sitios Web que las han colocado en su equipo, adems de otra informacin que los sitios deseen conservar acerca de su visita. Son herramientas legales que numerosos sitios Web utilizan para realizar un seguimiento de la informacin de los visitantes. Por ejemplo, un usuario adquiere un artculo en una tienda en lnea, pero una vez que ha colocado el producto en su carro de la compra, puede que desee visitar otro sitio Web por alguna razn. La tienda en lnea puede elegir guardar en una cookie en el equipo del usuario la informacin de los productos seleccionados, para que, cuando ste vuelva al sitio, sigan en el carro de la compra listos para que el usuario los adquiera si as lo decide. Los desarrolladores de sitios Web slo deberan poder recuperar la informacin almacenada en las cookies que ellos han creado. Este enfoque debera garantizar la privacidad evitando que otras personas que no sean los desarrolladores de estos sitios puedan tener acceso a las cookies que se han dejado en los equipos de los usuarios. Por desgracia, se sabe que algunos desarrolladores de sitios Web utilizan cookies para recopilar informacin sin el conocimiento del usuario. Algunos pueden engaar a los usuarios o no respetar las directivas que han establecido. Por ejemplo, pueden realizar un seguimiento de los hbitos de visita a diferentes sitios Web sin informar al usuario y utilizar esta informacin para personalizar la publicidad que ste ve en un sitio Web, algo que se considera una invasin de la privacidad. Resulta difcil identificar esta forma de publicidad orientada al usuario y otras formas de "uso indebido de las cookies", con lo que es complicado decidir si se deben bloquear las cookies en el equipo y cundo y cmo hacerlo. Adems, el nivel aceptable de informacin compartida vara de unos usuarios a otros, por lo que tambin resulta complicado crear un programa "anti-cookies" que satisfaga las necesidades de todos los usuarios informticos de un entorno.
Software antivirus
El software antivirus se crea especficamente para defender un sistema frente a las amenazas del software malintencionado. Microsoft recomienda encarecidamente el uso de este tipo de programas para proteger el equipo de cualquier forma de software malintencionado, no nicamente de los virus. El software antivirus utiliza diferentes tcnicas para detectar el software malintencionado. En esta seccin se explicar el funcionamiento de algunas de ellas, entre las que se incluyen: Anlisis de firma. La mayor parte de los programas antivirus utilizan actualmente esta tcnica, que se centra en analizar el objetivo (equipo host, unidad de disco o archivos) en busca de un patrn que
pueda tratarse de software malintencionado. Estos patrones se almacenan generalmente en archivos denominados archivos de firma, que los proveedores del software actualizan con regularidad con el fin de garantizar que los escneres antivirus reconocen todos los ataques de cdigo malintencionado posibles. El principal problema de esta tcnica radica en que el software antivirus ya debe estar actualizado para que el escner lo pueda reconocer. Anlisis heurstico. Esta tcnica intenta detectar las variantes nuevas y conocidas de software malintencionado mediante la bsqueda de caractersticas generales en dicho software. La principal ventaja de esta tcnica consiste en que no depende de los archivos de firma para identificar y hacer frente al software malintencionado. No obstante, el anlisis heurstico muestra una serie de problemas especficos, entre los que se incluyen los siguientes: o Positivos falsos. Esta tcnica utiliza caractersticas generales y, por tanto, es susceptible de confundir el software legtimo con el malintencionado si una caracterstica fuera similar en ambos. o Lentitud del anlisis. El proceso de bsqueda de caractersticas resulta una tarea ms laboriosa que la de buscar un patrn de software malintencionado ya conocido. Por este motivo, el software antivirus puede tardar ms tiempo en realizar un anlisis heurstico que un anlisis de firma. o Es probable que se pasen por alto caractersticas nuevas . Si el ataque de un nuevo software malintencionado presenta una caracterstica que no se ha identificado previamente, probablemente el analizador heurstico no la detecte hasta que se actualice. Bloqueo del comportamiento. Esta tcnica se centra en el comportamiento de un ataque en lugar de en el propio cdigo. Por ejemplo, si una aplicacin intenta abrir un puerto de red, un programa antivirus de bloqueo del comportamiento podra detectarlo como una accin tpica de software malintencionado y, a continuacin, clasificar este comportamiento como posible ataque. Numerosos proveedores de antivirus utilizan actualmente una combinacin de estas tcnicas en sus soluciones antivirus en un intento de mejorar el nivel de proteccin general de los equipos informticos de sus clientes. Muchos socios de Microsoft ofrecen programas antivirus. Para obtener una lista completa y actualizada, consulte la pgina "Microsoft Antivirus Partners" en Microsoft.com: http://www.microsoft.com/security/partners/antivirus.asp(en ingls).
4.
5.
6.
7.
Nota: aunque existen decenas de miles de programas de software malintencionado conocidos, nicamente una pequea parte est en circulacin actualmente. La mayor parte de estos programas nunca se han expuesto al pblico y a menudo se conocen como virus de zoo. Entrega de la carga. Una vez el software malintencionado ha infectado un host, puede entregar una carga. Si el cdigo contiene una activacin condicional para su carga, es en este momento cuando se cumplen las condiciones para el mecanismo de entrega. Por ejemplo, algunas cargas se activan cuando un usuario realiza determinada accin o cuando el reloj del equipo host llega a una fecha especfica. Si el software malintencionado contiene una activacin de accin directa, simplemente comenzar a entregar la carga en el momento en que se complete la infeccin. Por ejemplo, en el caso de las cargas de registro de datos, el programa de software malintencionado simplemente comenzar a registrar los datos requeridos. Identificacin. En este momento de su ciclo de vida, las comunidades antivirus identifican el software malintencionado. En la mayor parte de los casos, este paso ocurrir antes de la etapa 4 o incluso antes de la 3, aunque no siempre es as. Deteccin. Una vez identificada la amenaza, los desarrolladores de software antivirus deben analizar el cdigo para hallar un mtodo de deteccin apropiado. Cuando han determinado el mtodo, pueden actualizar los archivos de firma antivirus para permitir que las aplicaciones antivirus existentes detecten el nuevo software malintencionado. La duracin de este proceso es fundamental para controlar un ataque. Eliminacin. Cuando la actualizacin est disponible para el pblico, es responsabilidad de los usuarios de las aplicaciones antivirus aplicar la actualizacin peridicamente para proteger sus equipos del ataque (o limpiar los equipos ya infectados). Nota: si no se actualizan los archivos de firma locales con regularidad los riesgos pueden ser muy altos, ya que los usuarios creen que estn protegidos mediante sus productos antivirus, cuando en realidad no lo estn. Cuantos ms usuarios actualicen sus programas antivirus, el software malintencionado ir dejando de constituir una amenaza. Este proceso en pocas ocasiones elimina todas las instancias del software en circulacin, puesto que ste puede seguir residiendo en los equipos conectados a Internet con escasa o nula proteccin antivirus. No obstante, se reduce la amenaza de un ataque generalizado. Aunque este ciclo de vida se repite con cada nuevo ataque diseado, no es tpico de todos los ataques. Muchos de ellos son simplemente versiones modificadas de una parte de un cdigo malintencionado original. Por lo tanto, el cdigo bsico y el enfoque del software malintencionado son idnticos, pero se realizan pequeas modificaciones para impedir que se detecte y elimine. Tpicamente, un ataque que haya tenido xito generar diferentes versiones durante las semanas y meses siguientes. Esta situacin lleva a una especie de "carrera armamentstica" en la que los creadores de este tipo de software intentan evitar la deteccin para su propio provecho, ya se trate de obtener beneficio econmico, fama o simplemente satisfacer su curiosidad. Las defensas antivirus se actualizan de nuevo, se revisan o modifican segn sea necesario para reducir la renovada amenaza.
Resumen
Como este tipo de software utiliza tantas tcnicas para generarse, distribuirse y explotar los equipos informticos, puede resultar difcil saber cmo se puede asegurar un equipo lo suficiente como para resistir a tales ataques. No obstante, una vez se conocen los riesgos y vulnerabilidades, se puede administrar un sistema de modo que la posibilidad de que un ataque tenga xito se reduzca en gran medida. El siguiente paso consiste en analizar los riesgos en diferentes puntos de la infraestructura de TI con el fin de disear una defensa eficaz, cuestin que se tratar en el siguiente captulo. El diseo de un plan de recuperacin eficaz es el tema principal en el que se centra el ltimo captulo de esta gua.
Archivos ejecutables. Todo cdigo con capacidad para ejecutarse puede actuar como software malintencionado. En esta categora no slo se incluyen programas, sino tambin secuencias de comandos, archivos por lotes y objetos activos como los controles de Microsoft ActiveX. Documentos. Debido al aumento de la popularidad de los procesadores de texto y las hojas de clculo, este tipo de aplicaciones se ha convertido en objetivo para los autores de software malintencionado, que aprovechan los lenguajes de macro que admiten muchas aplicaciones. Correo electrnico. Los autores de software malintencionado pueden utilizar los archivos adjuntos y el cdigo de lenguaje de marcado de hipertexto (HTML) activo en los mensajes de correo electrnico como formas de ataque. Medios extrables. La transferencia de archivos a travs de un medio extrable es una cuestin que las organizaciones deben tratar como parte de su defensa antivirus. Entre los medios extrables ms habituales se incluyen: o Discos CD-ROM o DVD-ROM. El abaratamiento de los dispositivos de grabacin de CD y DVD ha facilitado el acceso a estos medios de todos los usuarios, incluidos los autores de software malintencionado. o Disquetes y unidades Zip. A pesar de que estos medios se utilizan cada vez menos debido a la velocidad y capacidad limitadas que tienen, constituyen un riesgo si el software malintencionado consigue tener acceso a ellos. o Unidades USB. Estos dispositivos adquieren muchas formas, desde el clsico dispositivo del tamao de un llavero hasta un reloj de pulsera. Todos ellos se pueden utilizar para introducir software malintencionado en el puerto bus serie universal (USB) de un host. o Tarjetas de memoria. Las cmaras digitales y los dispositivos mviles, como los PDA y telfonos mviles, han contribuido al establecimiento de las tarjetas de memoria digitales. Los lectores de tarjetas se estn convirtiendo prcticamente en dispositivos de serie en los equipos, ya que facilitan el proceso de transferencia de datos. Dado que dichos datos llegan en forma de archivo, las tarjetas tambin pueden transferir software malintencionado a un sistema host.
"Security Content Overview" en Microsoft TechNet: http://www.microsoft.com/technet/security/bestprac/overview.mspx (en ingls). Tambin puede encontrar informacin adicional y ejemplos de diseo prcticos para este proceso en MSA Reference Architecture Kit en TechNet: http://www.microsoft.com/resources/documentation/msa/2/all/solution/en-us/msa20rak/vmhtm1.mspx (en ingls). En la siguiente ilustracin se describen las capas definidas para el modelo de seguridad de defensa en profundidad:
Las capas incluidas en la ilustracin ofrecen una vista de cada rea del entorno que se debe tener en cuenta durante el diseo de defensas de seguridad para la red. Las definiciones detalladas de cada capa se pueden modificar segn los requisitos y las prioridades de seguridad de su organizacin. En esta gua, las siguientes definiciones sencillas definen las capas del modelo: Datos. El riesgo en esta capa se debe a las vulnerabilidades que un atacante podra aprovechar para obtener acceso a los datos de configuracin y organizacin, o cualquier dato que sea exclusivo de un dispositivo que utiliza la empresa. Por ejemplo, los datos empresariales confidenciales, los datos de
los usuarios o la informacin privada de los clientes se incluiran en esta capa. Lo que ms preocupa a una organizacin en esta capa del modelo son los problemas legales y empresariales que se pueden derivar de la prdida o el robo de datos, as como los problemas operativos que las vulnerabilidades pueden descubrir en el host o en las aplicaciones. Aplicacin. El riesgo en esta capa se debe a las vulnerabilidades que un atacante podra aprovechar para obtener acceso a las aplicaciones en ejecucin. Todo cdigo ejecutable que un autor de software malintencionado pueda reunir fuera de un sistema operativo se puede utilizar para atacar un sistema. Las principales preocupaciones de la organizacin en esta capa son el acceso a los archivos binarios que componen las aplicaciones, el acceso al host a travs de las vulnerabilidades en los servicios de escucha de la aplicacin o la recopilacin ilcita de datos concretos del sistema para transferirlos a alguien que pueda utilizarlos en beneficio propio. Host. Por norma general, esta es la capa en la que se centran los proveedores que ofrecen Service Packs y revisiones con el objetivo de tratar las amenazas de software malintencionado. En ella, el riesgo proviene de los atacantes que se aprovechan de las vulnerabilidades en los servicios que ofrecen el host o el dispositivo. Los atacantes los utilizan de distintas formas para organizar ataques contra el sistema. Un desbordamiento de bfer, que se produce como resultado de agregar a un bfer ms informacin de la que puede contener, es un buen ejemplo. En este caso, en lo que las organizaciones ponen ms empeo es en impedir el acceso a los archivos binarios que componen el sistema operativo, as como el acceso al host a travs de vulnerabilidades en los servicios de escucha. Red interna. Los riesgos para las redes internas de las organizaciones estn relacionados con los datos confidenciales que se transmiten a travs ellas. Los requisitos de conectividad para las estaciones de trabajo clientes en estas redes internas tambin suponen algunos riesgos asociados. Red perimetral. Los riesgos de la capa de red perimetral (tambin denominada zona desmilitarizada, DMZ o subred protegida) tienen su origen en el posible acceso por parte de un atacante a las redes de rea extensa (WAN) y los niveles de red que conectan. Los principales problemas se centran en los puertos TCP (protocolo de control de transmisin) y UDP (protocolo de datagrama de usuario) disponibles que utiliza la red. Seguridad fsica. Los riesgos se encuentran en el acceso fsico de un atacante a un activo fsico. Esta capa integra todas las anteriores, puesto que el acceso fsico a un activo puede permitir el acceso a las dems capas del modelo de defensa en profundidad. Aqu, la preocupacin principal para las organizaciones que utilizan sistemas antivirus es impedir que los archivos infectados salten las defensas de las redes perimetral e interna. Los atacantes pueden intentar hacerlo con tan slo copiar un archivo infectado directamente en el equipo host a travs de algn medio extrable fsico, como un dispositivo de disco USB. Directivas, procedimientos y concienciacin. Rodeando todas las capas del modelo de seguridad se encuentran las directivas y procedimientos que la organizacin necesita establecer a fin de cumplir y admitir los requisitos de cada nivel. Por ltimo, resulta importante que se estimule la concienciacin en la organizacin de todas las partes interesadas. En muchos casos, el desconocimiento de un riesgo puede llevar consigo infracciones en la seguridad, por lo que el aprendizaje tambin debe formar parte integrante de cualquier modelo de seguridad. El uso de las capas de seguridad del modelo como base del mtodo de defensa en profundidad antivirus le permitir replantearse la perspectiva y optimizarlas en grupos para aplicar las defensas antivirus en su organizacin. La forma en que se lleve a cabo esta optimizacin depender completamente de las prioridades de la propia empresa, as como de las aplicaciones de defensa concretas que utilice. Lo importante es evitar un diseo antivirus incompleto y dbil. Para ello, es preciso asegurase de que no se excluya ninguna de las capas de las defensas. En la siguiente ilustracin se muestra la vista de una defensa en profundidad antivirus ms especfica:
Figura 3.2 Vista de una defensa en profundidad antivirus especfica Las capas Datos, Aplicacin y Host se pueden combinar en dos estrategias defensivas para proteger los clientes y servidores de la organizacin. Aunque estas defensas comparten determinadas estrategias, las diferencias al implementarlas en el cliente y en el servidor son suficientes para hacer necesario un nico enfoque defensivo en cada una de ellas. Las capas Red interna y Red perimetral tambin se pueden combinar en una estrategia de defensas de red comn, ya que las tecnologas implicadas son las mismas para ambas. Sin embargo, los detalles de la implementacin diferirn en cada capa, segn la posicin de los dispositivos y las tecnologas de la infraestructura de la organizacin.
Empleados de los laboratorios de versiones o cualquiera que produzca medios electrnicos, como CD-ROM. Miembros del equipo de desarrollo que crean o compilan archivos comprimidos u otro producto de software. Hay que tener en cuenta que la ejecucin de aplicaciones antivirus de varios proveedores de aplicaciones en el mismo equipo puede causar problemas debido a la interoperabilidad entre las aplicaciones antivirus. Algunos de los problemas ms comunes que pueden surgir en un entorno en el que se ejecute ms de un producto antivirus son: Sobrecarga de la memoria. Muchas aplicaciones antivirus utilizan agentes activos que permanecen residentes en la memoria, reduciendo as la cantidad de memoria disponible en el sistema. Bloqueos del sistema o errores de detencin. Estos bloqueos y errores se pueden deber a que las aplicaciones antivirus intentan comprobar el mismo archivo a la vez. Prdida del rendimiento. A medida que las aplicaciones antivirus exploran los archivos para comprobar si existe cdigo malintencionado, el rendimiento del sistema puede disminuir. Con varias aplicaciones antivirus, las comprobaciones se realizan varias veces, lo que puede reducir el rendimiento del sistema hasta llegar a un nivel inaceptable. Prdida de acceso al sistema. Cuando se intentan ejecutar a la vez varias aplicaciones antivirus, puede que el sistema se detenga durante el inicio. Este problema es ms habitual en versiones anteriores de Windows, como Microsoft Windows NT y Windows 9x. Por todo ello, el uso de varias aplicaciones antivirus en el mismo equipo no es una prctica aconsejable y se debe evitar en la medida de lo posible. Un mtodo alternativo consiste en utilizar software antivirus de distintos proveedores para la defensa del cliente, del servidor y de la red de la organizacin. De este modo, se realiza una comprobacin coherente de las distintas zonas de la infraestructura con diferentes motores de comprobacin, lo que debe contribuir a reducir el riesgo que correran todas las defensas antivirus si el producto de un nico proveedor no detectase un ataque. Para obtener ms informacin sobre proveedores de antivirus, consulte "Microsoft Antivirus Partners" en Microsoft.com: http://www.microsoft.com/security/partners/antivirus.asp (en ingls). Para obtener ms informacin sobre software antivirus diseado para Windows XP, consulte la pgina de antivirus de "Microsoft Windows Catalog" en Microsoft.com: http://go.microsoft.com/fwlink/?LinkId=28506 (en ingls).
aprovecha de los privilegios al ejecutarse. Dicha directiva resulta especialmente importante para los usuarios que suelen contar con privilegios administrativos locales. Contemple la posibilidad de quitar esos privilegios para las operaciones diarias y, en su lugar, utilizar el comando RunAs para abrir las herramientas de administracin pertinentes cuando resulte necesario. Por ejemplo, un usuario que necesita instalar una aplicacin que requiere privilegios de administracin puede ejecutar el siguiente comando de instalacin en el smbolo del sistema para abrir el programa de instalacin con los privilegios correspondientes: runas /user:mi_dominio\admin "setup.exe" Tambin puede obtener acceso directo a esta caracterstica en el Explorador de Windows, mediante los siguientes pasos: Para ejecutar un programa con privilegios administrativos 1. En el Explorador de Windows, seleccione el programa o herramienta que desea abrir (como un complemento de Microsoft Management Console (MMC) o el Panel de control). 2. Haga clic con el botn secundario en el programa o herramienta y seleccione Ejecutar como. Nota: si Ejecutar como no aparece como opcin, mantenga presionada la tecla Mays mientras hace clic con el botn secundario en la herramienta. 3. En el cuadro de dilogo Ejecutar como, elija la opcin El siguiente usuario:. 4. En los cuadros Nombre de usuario y Contrasea, escriba el nombre de usuario y la contrasea para la cuenta de administrador que desea utilizar.
Figura 3.3 Ruta a las carpetas de las directivas de restriccin de software en el complemento Directiva de grupo de MMC
Para obtener acceso directo a este complemento desde un cliente con Windows XP, realice los pasos siguientes: 1. Haga clic en Inicio y, a continuacin, en Ejecutar. 2. Escriba secpol.msc y haga clic en Aceptar. Aunque no forma parte de la finalidad principal de esta gua dar una explicacin detallada de todas las posibilidades de valores, el artculo "Using Software Restriction Policies to Protect Against Unauthorized Software" en TechNet: http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/rstrplcy.mspx (en ingls) le ofrecer instrucciones paso a paso sobre el uso de esta eficaz caracterstica del sistema operativo Windows XP Professional. Advertencia: Directiva de grupo es una tecnologa de extrema eficacia que necesita una configuracin cuidadosa, adems de conocimientos profundos, para implementarla correctamente. No intente cambiar la configuracin directamente si no conoce en profundidad los valores de la directiva y no ha probado los resultados en un sistema no que sea de produccin.
Aplicaciones de escritorio
A medida que las aplicaciones de escritorio se consolidan, tambin se convierten en objetivos del software malintencionado. Los virus de macro utilizan los archivos creados en el procesador de texto, hoja de clculo u otra aplicacin habilitada por macros para replicarse. Siempre que sea posible, debe tomar medidas que aseguren que se ha habilitado la configuracin de seguridad ms apropiada en todas las aplicaciones del entorno que trabajan con estos archivos. Para obtener informacin sobre la seguridad de las aplicaciones de Microsoft Office 2003, consulte la pgina "Best practices for protection from viruses" en Microsoft.com: http://go.microsoft.com/fwlink/?LinkId=28509 (en ingls).
Si la organizacin no puede bloquear estos puertos porque otras aplicaciones necesarias los requieren o porque la transferencia de archivos es precisa, se debe asegurar de que se comprueban todos los archivos antes la transferencia. Si las estaciones de trabajo clientes no utilizan un escner antivirus en tiempo real, configure la aplicacin de mensajera instantnea para que los archivos transferidos pasen automticamente a una aplicacin antivirus y se comprueben en cuanto se hayan recibido. Por ejemplo, puede configurar MSN Messenger para comprobar automticamente los archivos transferidos. En los siguientes pasos, se muestra la forma de habilitar esta caracterstica de seguridad: Nota: la aplicacin Windows Messenger incluida en Windows XP no admite esta caracterstica, por lo que se debe utilizar un escner antivirus con ella. Para comprobar archivos transferidos a travs de MSN Messenger 1. En la ventana principal de MSN Messenger, haga clic en el men Herramientas y, a continuacin, en Opciones. 2. Seleccione la ficha Mensajes. 3. En Transferencia de archivos, active la casilla de verificacin Examinar los archivos en busca de virus usando:. 4. Haga clic en Examinar, seleccione el software antivirus que est utilizando y elija Aceptar. Nota: para encontrar el archivo ejecutable correcto y el parmetro de comandos que incluir aqu, puede que sea necesario obtener ms informacin del proveedor de software antivirus. Una vez realizados estos pasos, el software antivirus comprobar todos los archivos recibidos a travs de MSN Messenger en el cliente. Nota: puede que la herramienta de comprobacin antivirus que est utilizando necesite pasos adicionales de configuracin. Compruebe las instrucciones del software para obtener ms informacin.
Exploradores Web
Antes de descargar o ejecutar cdigo de Internet, se debe asegurar de que proviene de una fuente conocida y confiable. Los usuarios no pueden confiar nicamente en el aspecto o la direccin del sitio, ya que tanto las pginas como las direcciones Web se pueden falsificar. Existen varias tcnicas y tecnologas que se han desarrollado para ayudar al explorador Web de un usuario a determinar la confiabilidad del sitio Web que se estn examinando. Por ejemplo, Microsoft Internet Explorer utiliza la tecnologa Microsoft Authenticode para comprobar la identidad del cdigo descargado. Esta tecnologa comprueba que el cdigo tiene un certificado vlido, que la identidad del fabricante de software coincide con el certificado y que ste sigue siendo vlido. Si se superan todas estas pruebas, se habrn reducido las posibilidades de que un atacante haya introducido cdigo malintencionado en el sistema. La mayora de los principales exploradores Web admiten la posibilidad de restringir el nivel de acceso automatizado disponible a cdigo que se ejecuta desde un servidor Web. Internet Explorer utiliza zonas de seguridad que reducen la posibilidad de que el contenido Web realice operaciones que puedan resultar perjudiciales en el cliente. Estas zonas de seguridad se basan en la ubicacin (zona) del contenido Web. Por ejemplo, si confa en que todo lo descargado en la intranet de la organizacin es seguro, puede establecer la configuracin de seguridad de los clientes de la zona de intranet en un nivel bajo, de modo que los usuarios puedan descargar contenido de la intranet con pocas o ninguna restriccin. Sin embargo, si el origen de la descarga se encuentra en la zona de Internet o la zona de los sitios restringidos, debe establecer la configuracin de seguridad del cliente en un nivel medio o elevado. De este modo, los exploradores de los clientes enviarn al usuario informacin sobre el certificado del contenido antes de descargarlo o impedirn que lo haga. Para obtener ms informacin sobre temas relacionados con la seguridad, consulte la pgina "Internet Explorer Security Center" en Microsoft.com: http://www.microsoft.com/technet/security/prodtech/ie/default.mspx (en ingls).
Adems de estos pasos antivirus habituales, puede utilizar el siguiente software especfico de servidor como parte de las defensas antivirus generales del servidor.
Servidores Web
Los servidores Web de todo los tipos de organizacin han sido objetivo de ataques de seguridad durante cierto tiempo. Independientemente de que un ataque provenga de software malintencionado como CodeRed o un intruso que intenta daar el sitio Web de una organizacin, resulta importante que la
configuracin de seguridad en los servidores Web se configuren lo bastante para maximizar las defensas contra dichos ataques. Microsoft ha elaborado instrucciones especficas para los administradores de sistemas responsables de proteger los servidores con IIS en la red en "Chapter 8 - Hardening IIS Servers" de Windows Server 2003 Security Guide en Microsoft.com: http://www.microsoft.com/technet/security/prodtech/win2003/w2003hg/sgch08.mspx (en ingls). Adems de estas instrucciones, existen algunas herramientas gratuitas que se pueden descargar y que realizarn automticamente algunas configuraciones de seguridad en IIS. Por ejemplo, la herramienta IIS Lockdown Tool se encuentra disponible en Microsoft.com: http://www.microsoft.com/technet/security/tools/locktool.mspx (en ingls). Esta herramienta se utiliza para ajustar el servidor Web de modo que ofrezca slo los servicios inherentes a su funcin y reduciendo, por tanto, el mbito de ataque del servidor ante cualquier software malintencionado. UrlScan es otra herramienta de seguridad que limita los tipos de solicitudes HTTP que IIS procesar. De este modo, UrlScan impide que solicitudes potencialmente perjudiciales lleguen al servidor. Ya puede instalar fcilmente UrlScan 2.5 en los servidores con IIS 4.0 o posterior. Para obtener ms informacin sobre UrlScan, consulte la pgina "UrlScan Security Tool" en Microsoft.com: http://www.microsoft.com/technet/security/tools/urlscan.mspx (en ingls).
Servidores de mensajera
Hay dos objetivos que se deben tener en cuenta al disear una solucin antivirus eficaz para los servidores de correo electrnico en la organizacin. El primero consiste en proteger los propios servidores de software malintencionado. El segundo consiste en impedir que cualquier software malintencionado se introduzca en el sistema de correo electrnico hasta los buzones de los usuarios en la organizacin. Resulta fundamental garantizar que la solucin antivirus instalada en los servidores de correo pueda lograr ambos objetivos. En trminos generales, las soluciones antivirus de comprobacin de archivos no pueden evitar que un servidor de correo enve software malintencionado a los clientes en forma de archivo adjunto. Hasta los servicios de correo electrnico ms sencillos almacenan los mensajes en una base de datos de algn tipo, lo que se conoce algunas veces como el almacn de mensajes. Una solucin antivirus de comprobacin de archivos habitual no puede obtener acceso al contenido de tal base de datos. De hecho, este tipo de solucin podra daar un almacn de mensajes si tuviese permiso para intentar realizar comprobaciones a travs de una asignacin de unidades (como la unidad M: en Exchange Server 5.5 y Exchange Server 2000). Resulta importante que la solucin antivirus corresponda con la solucin de correo electrnico actual. Gran cantidad de proveedores de software antivirus ya ofrecen versiones dedicadas para servidores de correo especficos y que se han diseado para comprobar la existencia de software malintencionado en los mensajes que entran en el sistema de correo. En general, existen dos tipos bsicos de soluciones antivirus para correo electrnico: Escneres de puerta de enlace SMTP. Estas soluciones de comprobacin de correo basadas en el protocolo simple de transferencia de correo (SMTP) se suelen conocer como soluciones antivirus de "puerta de enlace". Tienen la ventaja de que trabajan con todos los servicios de correo electrnico SMTP, en lugar de estar vinculado a un producto de servidor de correo concreto. Sin embargo, estas soluciones estn limitadas en algunas de las caractersticas ms avanzadas que pueden ofrecer, debido a su dependencia del protocolo de correo SMTP. Escneres de servidor integrados. Estas aplicaciones antivirus especializadas funcionan directamente con un producto de servidor de correo concreto. Aportan varias ventajas. Por ejemplo, se pueden integrar directamente con funciones avanzadas del servidor, ya que se han diseado para utilizar el mismo hardware que el servidor de correo. Microsoft Exchange proporciona una interfaz de programacin de aplicaciones (API) antivirus especfica denominada API de virus (VAPI), a la que tambin se conoce como API antivirus (AVAPI) o API de comprobacin de virus (VSAPI). Aplicaciones antivirus especializadas de Exchange Server utilizan esta API para ofrecer proteccin total de los mensajes de forma segura y confiable en servidores de correo Exchange.
Para obtener ms informacin sobre esta API, consulte el artculo de Microsoft Knowledge Base "328841 XADM: Exchange and Antivirus Software" en Microsoft.com: http://support.microsoft.com/?kbid=328841
Servidores de colaboracin
La misma naturaleza de los servidores de colaboracin los convierte en vulnerables a software malintencionado. Cuando los usuarios copian archivos a y desde los servidores, pueden dejar expuestos a los servidores y otros usuarios de la red ante un ataque de software malintencionado. Microsoft recomienda proteger los servidores de colaboracin del entorno (como los que ejecutan SharePoint Services y SharePoint Portal Server 2003) con una aplicacin antivirus que pueda comprobar todos los archivos copiados a y desde el almacn de colaboracin. Para obtener informacin paso a paso detallada sobre la proteccin de estos servicios, consulte la pgina "Configuring Antivirus Protection" de Administrators Guide for Windows SharePoint Services en Microsoft.com: http://www.microsoft.com/resources/documentation/wss/2/all/adminguide/en-us/stse11.mspx (en ingls). Para obtener informacin sobre software antivirus especialmente diseado para integrarse con Windows SharePoint Services y SharePoint Portal Server 2003, consulte la pgina "Solutions Directory" en Microsoft
"MSA Enterprise Design for Remote Access" en: http://www.microsoft.com/resources/documentation/msa/2/all/solution/enus/msa20rak/vmhtm128.mspx (en ingls). En esta gua, se asume que el diseo de seguridad de la red proporciona a la organizacin el nivel de identificacin, autorizacin, cifrado y proteccin necesario para defenderse contra la intrusin directa de un atacante no autorizado. Sin embargo, en este punto las defensas antivirus no estn completas. El siguiente paso consiste en configurar las defensas de las capas de la red a fin de detectar y filtrar los ataques de software malintencionado que utilizan las comunicaciones de red permitidas, como el correo electrnico, la exploracin Web y la mensajera instantnea.
Filtrado de aplicaciones
Las organizaciones encuentran no slo tiles sino tambin necesarias las tecnologas de filtrado de Internet para supervisar y examinar las comunicaciones de la red en busca de contenido no legtimo, por ejemplo, virus. Tradicionalmente se ha realizado utilizando el filtrado de paquetes que proporcionan los servicios del servidor de seguridad, que slo permite filtrar el trfico de la red segn una direccin IP de origen o destino o de un puerto de red TCP o UDP especfico. El filtrado de aplicaciones (ALF) funciona a nivel de la capa de
aplicaciones del modelo de redes OSI, por lo que permite que se examinen y se filtren los datos segn su contenido. Si se utiliza ALF adems del filtrado de la capa de paquetes estndar, se puede lograr una mayor seguridad. Por ejemplo, el uso del filtrado de paquetes permite filtrar el trfico de red del puerto 80 a travs del servidor de seguridad de la organizacin para que slo pueda pasar a sus servidores Web. Sin embargo, este mtodo puede que no aporte suficiente seguridad. Agregar ALF a la solucin le permitira comprobar todos los datos que pasan a los servidores Web en el puerto 80 para asegurarse de que son vlidos y no contienen cdigo sospechoso. ISA Server puede proporcionar ALF en los paquetes de datos cuando pasan por un servidor de seguridad de la organizacin. La exploracin Web y el correo electrnico se pueden analizar para garantizar que determinado contenido no incluye datos sospechosos, como correo no deseado o software malintencionado. La capacidad ALF en ISA Server posibilita un anlisis en profundidad del contenido que incluye la deteccin, la inspeccin y la validacin del trfico con cualquier puerto o protocolo. Para obtener una lista de proveedores que fabrican filtros que mejoran la seguridad y la interoperabilidad de distintos protocolos y trfico Web, consulte la pgina "Partner Application Filters" en Microsoft.com: http://www.microsoft.com/isaserver/partners/applicationfilters.asp (en ingls). Para obtener una descripcin detallada de cmo funciona ALF en ISA Server 2000, consulte la pgina "Introducing the ISA Server 2000 Application Layer Filtering Kit" en: www.isaserver.org/articles/spamalfkit.html (en ingls).
Exploracin de contenido
La exploracin de contenido se encuentra disponible como caracterstica en soluciones ms avanzadas de servidores de seguridad o como un componente de un servicio independiente, por ejemplo, el correo electrnico. La exploracin de contenido analiza los datos que tienen permiso para entrar o salir de la red de la organizacin a travs de los canales de datos vlidos. Si se realiza en el correo electrnico, generalmente funciona con los servidores de correo electrnico para comprobar determinadas caractersticas del correo, como los archivos adjuntos. Esta tcnica puede explorar e identificar contenido de software malintencionado en tiempo real a medida que los datos pasan a travs del servicio. Microsoft colabora con distintos socios para ofrecer caractersticas de seguridad mejoradas, como la exploracin de contenido antivirus en tiempo real, para Microsoft Exchange Server e ISA Server. Para obtener ms detalles sobre los productos antivirus de nuestros socios disponibles para Microsoft Exchange Server 2003, consulte el artculo de Microsoft Knowledge Base, "823166 "Overview of Exchange Server 2003 and Antivirus Software" en Microsoft.com: http://support.microsoft.com/?kbid=823166 (en ingls). Para obtener una lista de los socios de Microsoft que han desarrollado productos de exploracin de contenido para ISA Server, consulte la pgina "Partners" en Microsoft.com: http://www.microsoft.com/isaserver/partners/ (en ingls).
Filtrado de URL
Otra opcin disponible para los administradores de redes es el filtrado de URL, que se puede utilizar para bloquear sitios Web problemticos. Por ejemplo, podra utilizar el filtrado de URL para bloquear sitios Web, servidores de descarga y servicios de correo electrnico HTTP personales de intrusos conocidos. Nota: los principales sitios de servicios de correo electrnico HTTP (como Hotmail y Yahoo) ofrecen servicios de exploracin antivirus, pero existen muchos otros sitios ms pequeos que no disponen de esta caracterstica. Este es un grave inconveniente para las defensas de una organizacin, ya que dichos servicios proporcionan una ruta directa desde Internet a los clientes. Los administradores de red pueden adoptar dos enfoques bsicos para el filtrado de URL:
Listas de bloqueados. El servidor de seguridad comprueba una lista predefinida de sitios problemticos antes de permitir la conexin. Slo se permite a los usuarios conectarse con sitios que no estn en dicha lista. Listas de admitidos. Este mtodo slo permite comunicaciones con sitios incluidos en una lista predefinida de sitios Web que han sido aprobados por la organizacin. El primer enfoque se basa en un proceso activo de identificacin de sitios Web que puedan resultar problemticos y su posterior incorporacin a la lista. Debido al tamao y naturaleza variable de Internet, este mtodo exige una solucin automatizada o una carga de administracin significativa, y normalmente resulta til solamente para bloquear un pequeo nmero de sitios problemticos conocidos en lugar de aportar una solucin de proteccin general. El segundo enfoque proporciona una mayor proteccin debido a que su naturaleza restrictiva permite controlar los sitios disponibles para los usuarios del sistema. Sin embargo, a menos que se lleve a cabo una investigacin adecuada que identifique todos los sitios que solicitan los usuarios, puede resultar demasiado restrictivo para muchas organizaciones. Microsoft ISA Server admite la creacin manual de ambas listas a travs de sus reglas de contenido y de sitios. No obstante, existen soluciones mejoradas y automatizadas de los socios de Microsoft que trabajan directamente con ISA Server para garantizar que las direcciones URL se pueden bloquear o autorizar segn sea necesario con un mnimo de carga de administracin. Una lista de estas soluciones se encuentra disponible en la pgina "Microsoft Internet Security and Acceleration (ISA) Server Partners URL Filtering" en Microsoft.com: http://www.microsoft.com/isaserver/partners/accesscontrol.asp (en ingls). Ambos enfoques slo proporcionan proteccin mientras el cliente est dentro de las defensas de la organizacin. No est disponible cuando un cliente mvil se conecta directamente a Internet mientras est fuera de la oficina, lo que significa que la red ser susceptible de un posible ataque. Si precisa una solucin de filtrado de URL para los clientes mviles de su organizacin, debe considerar el uso de un sistema de defensa basado en clientes. Sin embargo, este enfoque puede suponer una carga de administracin importante, especialmente en entornos con un gran nmero de clientes mviles.
Redes de cuarentena
Otra tcnica que puede utilizar para asegurar redes es la de establecer una red de cuarentena para equipos que no cumplan los requisitos de seguridad mnimos de su organizacin. Nota: esta tcnica no se debe confundir con la caracterstica de cuarentena disponible en algunas aplicaciones antivirus, que mueve un archivo infectado a un rea segura del equipo hasta que se pueda limpiar. Una red de cuarentena debe restringir, o incluso bloquear, el acceso interno a los recursos de la organizacin, pero proporcionar al mismo tiempo un nivel de conectividad (en el que se incluya Internet) que permita a los equipos de visitantes temporales trabajar de forma productiva sin poner en riesgo la seguridad de la red interna. Si el equipo porttil de un visitante est infectado con software malintencionado y se conecta a la red, su capacidad de infectar los dems equipos de la red interna se ver restringida por la red de cuarentena. Un mtodo similar a ste lleva aplicndose con xito desde hace algn tiempo a las conexiones remotas del tipo VPN. Los clientes de VPN son desviados a una red de cuarentena temporal mientras se realizan las pruebas del sistema. Si el cliente pasa las pruebas, por ejemplo porque dispone de las actualizaciones de seguridad y los archivos de firmas antivirus necesarios, se le concede acceso a la red interna de la organizacin. Si, por el contrario, el cliente no cumple estos requisitos, se lo desconectar o se permitir el acceso a la red de cuarentena, que se puede utilizar para obtener las actualizaciones necesarias para pasar las pruebas. Los diseadores de redes estn estudiando esta tecnologa para ayudar a mejorar la seguridad en las redes internas. Para obtener ms informacin sobre esta tcnica, consulte la pgina "Planning for Network Access Quarantine Control" del kit de implementacin de Microsoft Windows Server 2003 en Microsoft.com:
Seguridad fsica
Aunque la seguridad fsica es ms un problema de seguridad general que un problema especfico de software malintencionado, es imposible protegerse contra este tipo de software sin contar con un plan de defensa fsica eficaz para todos los clientes, servidores y dispositivos de red de la infraestructura de la organizacin. Algunos de los elementos esenciales en un plan eficaz de defensa fsica son los siguientes: Seguridad del edificio Seguridad del personal Puntos de acceso a la red Servidores Estaciones de trabajo Equipos y dispositivos mviles Se deben considerar cada uno de estos elementos en una evaluacin de los riesgos de seguridad de la organizacin. Si un atacante pone en peligro cualquiera de ellos, existe un mayor riesgo de que el software malintencionado pueda saltarse las defensas de las redes interna y externa para infectar un host.
El acceso protegido a sus instalaciones y sistemas informticos debe constituir un elemento fundamental en la estrategia de seguridad general. La explicacin detallada de estas consideraciones no entra dentro del mbito de esta gua. Sin embargo, hay disponible informacin sobre los elementos bsicos de un plan de seguridad fsica en el artculo "5-Minute Security Advisor - Basic Physical Security" en Microsoft TechNet: http://www.microsoft.com/technet/community/columns/5min/5min-203.mspx (en ingls).
Directiva de acceso a redes de visitantes. Se deben establecer y cumplir una serie de requisitos mnimos por parte de los visitantes antes de que se les permita conectarse a la red de su organizacin. Estos requisitos se deben aplicar tanto a la conectividad inalmbrica como a la normal. Directiva de redes inalmbricas. Todos los dispositivos inalmbricos que se conecten a la red interna deben cumplir los requisitos mnimos de seguridad para que se puedan conectar. Esta directiva debe especificar la configuracin mnima necesaria para la organizacin. Existen muchas ms directivas y procedimientos que podra implementar para mejorar la seguridad de los dispositivos de red; los que se mencionan en esta seccin son un punto de partida. Sin embargo, puesto que las directivas adicionales proporcionan configuraciones de seguridad generales en lugar de especficas contra virus, quedan fuera del mbito de esta gua.
Microsoft recomienda que tenga en cuenta las siguientes categoras de configuracin para las directivas de evaluacin de riesgos centrada en los clientes de su organizacin: Configuracin de clientes estndar. Esta categora de configuracin se suele aplicar a los equipos de escritorio que permanecen fsicamente instalados en un edificio. Estos clientes de escritorio se encuentran protegidos continuamente por la existencia de defensas de redes internas y externas y al hallarse dentro de las dependencias de la organizacin. Configuracin de clientes de alto riesgo. Esta categora de configuracin se ha diseado para satisfacer las necesidades de los usuarios de equipos y dispositivos mviles, como los asistentes personales digitales (PDA) o los telfonos mviles. Estos dispositivos normalmente salen del mbito de proteccin de las defensas de red de la organizacin y se encuentran, por tanto, ante un nivel de riesgo mayor. Configuracin de clientes invitados. Esta categora de configuracin se ha diseado para equipos cliente que no pertenecen o no tienen soporte tcnico por parte de su organizacin. Puede que no sea posible administrar la configuracin de estos equipos, ya que lo ms probable es que no tenga control sobre su configuracin. Sin embargo, puede establecer directivas que limiten la capacidad de estos equipos de conectarse a las redes de su organizacin. Los equipos cliente invitados suelen incluirse en uno de los siguientes tipos: o Equipos domsticos de los empleados. o Equipos de socios o proveedores. o Equipos invitados. Microsoft tambin recomienda que establezca categoras de riesgos para las funciones de servidor, y que aplique la misma evaluacin de riesgos tanto para servidores como para clientes. Como punto de partida para las directivas de servidor, podra considerar las siguientes categoras de configuracin: Configuracin de servidores estndar. Esta categora de configuracin est diseada para que sea un denominador comn para la mayora de las configuraciones de los servidores de su entorno. Proporciona un nivel de seguridad mnimo, pero sin restringir los servicios que se utilizan normalmente. Despus puede modificar las directivas de las categoras de configuracin especficas de funciones y de alto riesgo para cubrir todos los requisitos de directivas en un nivel adecuado. Configuracin de servidores de alto riesgo. Los servidores que se encuentran en la red perimetral o expuestos directamente a archivos y conexiones externas se deben considerar en esta categora de configuracin. Por ejemplo, en ella se podran incluir servidores Web, servidores de seguridad y de mensajera perimetrales. Un servidor que contenga datos especialmente confidenciales, como el servidor de la base de datos de recursos humanos, podra justificar esta configuracin independientemente de su ubicacin en la red. Configuraciones especficas de funciones. Puede que su empresa decida organizar funciones especficas de servidor en distintas configuraciones para cumplir con mayor precisin los requisitos de las aplicaciones del servidor. Por ejemplo, puede emplear configuraciones de funciones para los servidores de mensajera, de base de datos o de seguridad. Este mtodo se podra combinar con la categora de configuracin estndar o de alto riesgo si fuera necesario. El uso de directivas basadas en riesgos es la opcin por la que deben optar los equipos de planeacin de su organizacin; despus se pueden emplear las clasificaciones de configuracin mencionadas como base para el posterior desarrollo. El objetivo es reducir el nmero de configuraciones que se deben gestionar los sistemas de administracin. Por lo general, es ms probable que un enfoque estandarizado propicie una configuracin segura que configurar de forma independiente la seguridad de cada host del entorno.
usuarios de la infraestructura de TI. Un sistema de alertas automatizado reducir al mnimo la demora entre una alerta inicial y el momento en que los usuarios son conscientes de la amenaza del software malintencionado; sin embargo, el problema que tiene este enfoque es que puede generar numerosos "positivos falsos". Si nadie controla las alertas y revisa la lista de comprobacin de informes sobre actividades inusuales, es probable que las alertas avisen de software malintencionado que no est presente. Esta situacin puede resultar contraproducente porque puede generar falta de inters en los usuarios al generarse las alertas con demasiada frecuencia. Microsoft recomienda que asigne a miembros del equipo de administracin de la red la responsabilidad de recibir todas las alertas automatizadas de software malintencionado de todos los paquetes antivirus o software de supervisin de sistemas que emplee su organizacin. El equipo podr filtrar las falsas alarmas de los sistemas automatizados antes de enviar las alertas a los usuarios. Para que este mtodo se pueda aplicar con xito, el equipo debe supervisar las alertas 24 horas al da, los 7 das de la semana, a fin de garantizar que se comprueban todas las alertas y que las autnticas se envan a los usuarios de la red.
dichas instrucciones se apliquen y se comuniquen de forma clara puede resultar algo ms difcil. En la pgina "Windows XP Baseline Security Checklists" de Microsoft TechNet: http://www.microsoft.com/technet/Security/chklist/xpcl.mspx (en ingls) podr encontrar unas listas de comprobacin que pueden ayudarle a identificar los problemas relacionados con la seguridad y la proteccin antivirus de los que deber informar a sus usuarios. Los usuarios responsables de dispositivos mviles es probable que necesiten entrenamiento adicional a fin de que sean conscientes de los riesgos que supone sacar un dispositivo fuera de las defensas fsicas y de red de la organizacin. Puede que sean necesarias defensas especiales para salvaguardar especficamente dichos dispositivos mviles. Por este motivo, es probable que los usuarios que administran este tipo de dispositivos precisen informacin y directrices de configuracin adicionales. Nota: encontrar informacin til sobre la configuracin de los usuarios finales en las instrucciones Protect your PC en Microsoft.com: www.microsoft.com/security/protect/ (en ingls). Este sitio constituye una buena fuente de informacin que puede ayudar a que los usuarios se documenten sobre cmo garantizar la seguridad de las redes y los equipos domsticos.
El sitio Web de la red de intercambio de informacin antivirus (AVIEN) en: www.avien.org (en ingls). Servicios de alerta antivirus, como el sistema "Antivirus Information Early Warning System" (AVI-EWS) de AVIEN (a los que se puede suscribir). El sitio Web de informacin de proteccin frente a virus en Microsoft.com: http://www.microsoft.com/security/antivirus/ (en ingls). Una comprobacin regular de sitios de referencia como los mencionados anteriormente permitirn al personal de soporte tcnico notificar a los administradores de sistemas y usuarios las amenazas de software malintencionado antes de que se introduzcan en la red de la organizacin. La regularidad de estas comprobaciones resulta esencial. Garantizar que los usuarios del sistema reciben advertencias proactivas antes de comprobar el correo electrnico de la maana puede marcar la diferencia entre administrar la eliminacin de algunos mensajes de correo electrnico sospechosos e intentar contener un ataque de software malintencionado. Si la mayora de los usuarios de su sistema inician sesin a las 9 de la maana, establecer una forma de comunicar nuevas amenazas de software malintencionado a esta hora se considerara la mejor prctica.
Resumen
La defensa antivirus ya no se basa simplemente en instalar una aplicacin. Los ataques de software malintencionado ms recientes han demostrado que es necesario un mtodo defensivo ms exhaustivo. Este captulo se ha centrado en la forma de aplicar el modelo de seguridad de defensa en profundidad para formar la base de un mtodo de defensa en profundidad que cree una solucin antivirus eficaz para su organizacin. Es importante entender que los creadores de software malintencionado estn continuamente actualizando sus mtodos para atacar las nuevas tecnologas de TI que pueda estar utilizando su organizacin, y que las tecnologas antivirus estn en continua evolucin para mitigar estas nuevas amenazas. El mtodo de defensa en profundidad antivirus debe ayudar a asegurar que su infraestructura de TI abarcar todos los posibles vectores de ataque del software malintencionado. Con este mtodo de capas resulta ms fcil reconocer cualquier punto dbil que haya en el sistema, desde la red perimetral hasta los individuos que trabajan en los equipos de su entorno. No abarcar alguna de estas capas descritas en el mtodo de defensa en profundidad antivirus podra dejar abiertos los sistemas a un posible ataque. Debe revisar constantemente la solucin antivirus para poder actualizarla cada vez que sea necesario. Todos los aspectos de la proteccin antivirus son importantes, desde las sencillas descargas automatizadas de firmas de virus hasta los cambios completos en la directiva de funcionamiento. De la misma forma, debido a que la informacin proporcionada en esta gua est sujeta a actualizaciones, es importante consultar continuamente el sitio Web de informacin de proteccin frente a virus en Microsoft.comhttp://www.microsoft.com/security/antivirus/ (en ingls) para recibir la informacin e instrucciones antivirus ms recientes. Microsoft reconoce lo perjudicial y costoso que puede llegar a ser el ataque de software malintencionado, por lo que ha invertido mucho esfuerzo en hacrselo ms difcil a aquellos que crean y distribuyen este tipo de software. Microsoft tambin est trabajando para facilitar a los diseadores de redes, profesionales de TI y usuarios finales la tarea de configurar los sistemas de modo que cumplan sus requisitos de seguridad con un mnimo impacto en las transacciones comerciales. Aunque puede que no sea posible erradicar totalmente el cdigo malintencionado, centrar la atencin sistemticamente en las reas sealadas en este enfoque de defensa en profundidad antivirus ayudar a minimizar el efecto que pueda producir un ataque de software malintencionado en las actividades empresariales de su organizacin.
crucial que una organizacin pueda identificarlas y confirmarlas con rapidez para minimizar tanto la expansin de un ataque de virus como el dao que puede ocasionar. En la siguiente seccin se describen los pasos que permiten confirmar con prontitud si un comportamiento inusual es realmente un ataque de virus o de software malintencionado. Si un nuevo tipo de software malintencionado infecta un sistema, el usuario del mismo ser el primero en detectar el comportamiento inusual. Como se expuso en el captulo 3 de esta gua, "Defensa en profundidad antivirus", normalmente se produce un retraso desde que se libera el software malintencionado hasta el momento en que la aplicacin de bsqueda de virus se actualiza para poder detectarlo y tomar las medidas para eliminarlo. La mejor forma de ofrecer un sistema de advertencia rpido es informar a los usuarios para que reconozcan las seales de un posible ataque de software malintencionado y proporcionarles un vnculo de comunicaciones que les permita notificar esta circunstancia lo antes posible.
Tiene habilitado o est protegido el dispositivo por un servidor de seguridad? Si es as, qu puertos estn abiertos a Internet? Si las aplicaciones dan error, pngase en contacto con el proveedor de la aplicacin directamente para establecer la causa raz (por ejemplo, las aplicaciones actuales de Microsoft ofrecen herramientas de elaboracin de informes de error que se pueden utilizar para enviar un informe de errores). Existe alguna nueva actualizacin de seguridad para el sistema que no se haya instalado? Con qu tipo de directiva de contraseas cuenta el sistema? Cul es la longitud mxima de las contraseas? Qu requisitos de complejidad tienen? Existe algn/alguna: o cuenta nueva o sospechosa en el equipo local? o cuenta nueva o sospechosa en el grupo del administrador? o servicio nuevo o sospechoso en la consola de administracin de los servicios? o suceso nuevo o sospechoso en los registros de sucesos? Ha informado la utilidad netstat de conexiones de red a direcciones IP externas o sospechosas?
Ponerse en contacto con el miembro asignado del equipo de respuesta a emergencias y facilitarle los detalles de la alerta. o Si el sistema sospechoso es un servidor, ponerse en contacto con el administrador del mismo para determinar la viabilidad y las consecuencias de eliminarlo de la red. o Si el sistema sospechoso es una estacin de trabajo, ponerse en contacto con el usuario que la utiliza para determinar la viabilidad y las consecuencias de eliminarlo de la red. o Considerar la posibilidad de activar una advertencia o alerta de alto nivel para notificar a los usuarios del sistema de TI del ataque detectado. En este punto, la funcin del personal de soporte habr concluido. La responsabilidad del ataque de virus se deriva al proceso de respuesta a incidencias y ser necesario informar de su existencia a los miembros del equipo de respuesta a incidencias de seguridad (CSIRT). o
utilizar sin advertirlo el software malintencionado para iniciar un ataque en los equipos de clientes o socios de la organizacin. Si no ha completado el anlisis de riesgos antes de que se produzca un ataque, se recomienda que su organizacin peque de cautela y minimice la posibilidad de propagacin del ataque seleccionando el nivel de aislamiento ms alto posible. Las opciones enumeradas aqu son nicamente unas directrices. La accin especfica que emprenda puede ser distinta dependiendo de factores como las necesidades empresariales, el escenario, el impacto y la gravedad entre otros, que pueden ser aplicables slo a su organizacin y a las circunstancias del ataque.
Preparacin de la recuperacin
Despus de activar el mecanismo de control del ataque de virus deber iniciar el proceso de recuperacin activa. El objetivo general de dicho proceso es garantizar que se logra lo siguiente: Trastorno mnimo de la actividad empresarial de la organizacin. Recuperacin del ataque en el menor tiempo posible. Captura de informacin para las posibles acciones legales que se puedan emprender. Recopilacin de informacin para que se puedan desarrollar medidas de seguridad adicionales, si fueran necesarias. Prevencin de nuevos ataques del mismo tipo en los sistemas recuperados. Desgraciadamente, a diferencia de los primeros dos objetivos, que requieren una solucin rpida, los tres restantes precisan ms tiempo para recopilar informacin sobre el ataque que permita identificarlo completamente. Para lograr los objetivos de estos dos grupos, es decir, resolver rpidamente el problema y recopilar todos los datos relevantes necesarios, puede utilizar el proceso que se muestra en la figura siguiente. Este proceso se ha diseado para garantizar que el sistema infectado se prepara para la recuperacin tan rpido como sea posible y al mismo tiempo para asegurar que los datos de anlisis necesarios no se pierden. Esos datos son importantes, ya que la organizacin los utilizar para determinar si los sistemas recuperados estn a salvo de futuros ataques, y como pruebas en caso de que se deseen emprender acciones legales en el futuro. Los procesos de recuperacin del sistema y de anlisis de virus se deben ejecutar de forma paralela para que la recuperacin tenga lugar lo ms rpidamente posible.
Figura 4.2 Pasos de la recuperacin previos al anlisis La forma ms rpida de preparar todos los sistemas para su recuperacin es determinar si se puede emplear un sistema infectado para el anlisis. Si es as, este sistema deber ponerse en cuarentena y analizarse. (Las instrucciones de este proceso de anlisis se facilitan en la seccin "Paso 3: Anlisis del software malintencionado" de este captulo.) Cuando no es posible poner en cuarentena o analizar el sistema, la mejor opcin es crear un clon del sistema utilizando un software de creacin de imgenes. Si esta opcin est disponible, puede crear una imagen del sistema, preparar el equipo original para la recuperacin y crear un clon del sistema. En aquellos casos en los que se desee recopilar pruebas y realizar un anlisis ms detallado, es fundamental crear una imagen de los equipos afectados lo antes posible (antes de que se inicien las actividades de recuperacin) para que la infeccin se pueda identificar, clasificar y tratar de la forma ms rpida y conveniente posible. Por ltimo, si no se puede crear una imagen, se debe recopilar un conjunto de datos de anlisis mnimos antes preparar el sistema para la recuperacin. Lo ideal es que el equipo de seguridad de la organizacin desarrolle y utilice algn tipo de kit de herramientas de respuesta a incidencias. Estas herramientas pueden
servir para recopilar datos voltiles y no voltiles para facilitar informacin de anlisis del sistema. Se podra emplear un subconjunto de un grupo de herramientas de anlisis de software malintencionado ms completo que el utilizado en la seccin siguiente de este captulo para descubrir y documentar todos los elementos del virus. Sin embargo, el principal diferenciador de un kit de herramientas de respuesta a incidencias es que debe capturar el nivel mnimo de informacin del sistema necesaria en el menor tiempo posible para permitir que el sistema se pueda preparar para la recuperacin a la mayor brevedad.
Siga los pasos siguientes para analizar los procesos activos con el Administrador de tareas: Para analizar los procesos activos en un equipo con Windows 1. Presione las teclas CTRL+ALT+Supr simultneamente para que se muestre la ventana Seguridad de Windows y seleccione Administrador de tareas. Nota: en los equipos Windows 9x podr ver una lista de los programas que se estn ejecutando en lugar de la aplicacin Administrador de tareas. 2. Haga clic en la ficha Procesos. 3. Ample la ventana Administrador de tareas de Windows para mostrar en pantalla tantos procesos activos como sea posible. 4. Seleccione la opcin Ver en la barra de mens y haga clic en Seleccionar columnas... 5. Active las casillas de verificacin de las siguientes columnas: o Identificador de proceso (PID) o Uso de CPU o Tiempo de CPU o Uso de memoria o Uso mximo de la memoria o Lecturas de E/S o Escrituras de E/S 6. Haga clic en Aceptar y ample la ventana para mostrar tantas columnas como sea posible. Puede ordenar las columnas haciendo clic en el ttulo de cualquiera de ellas. Utilice este mtodo de ordenacin en cada una de las columnas enumeradas y determine los recursos que utiliza cada proceso. Nota: para guardar una copia impresa de la lista para referencia futura, haga que Process Explorer o el Administrador de tareas de Windows aparezcan en una ventana activa y presione ALT+Impr Pant en el teclado. Se crear una captura de pantalla de la lista en el portapapeles del equipo y podr pegarla en la aplicacin Paint de Windows o en Microsoft Word para imprimirla. La siguiente figura muestra los detalles del gusano Blaster como proceso activo en el Administrador de tareas de Microsoft Windows 2000 Server.
Figura 4.3 Pantalla Administrador de tareas de Windows 2000 con el gusano Blaster como proceso activo
Nota: algunos tipos de software malintencionado intentarn bloquear el Administrador de tareas e impedir que se inicie como mecanismo de defensa. En este caso se puede emplear la utilidad de la lnea de comandos Tasklisten los equipos Microsoft Windows XP y Windows Server 2003 (o TList en equipos Windows 2000) para generar una lista de archivos de texto simple que se puede copiar a un medio extrable para su anlisis posterior. Utilice la siguiente sintaxis de la lnea de comandos para generar el archivo de texto con la lista de todos los procesos activos: tasklist /v >TaskList.txt Con ella podr crear un archivo llamado TaskList . txt en el directorio de trabajo actual. Siga las siguientes sugerencias para comprobar los procesos que se ejecutan en un equipo en el que se sospecha que existe un software malintencionado: Compruebe todas las instancias de los servicios Telnet o protocolo de transferencia de archivos (FTP) en ejecucin. Si no est seguro de la legitimidad de un proceso, utilice un motor de bsqueda en Internet como Google para buscar informacin sobre el mismo. Compruebe en la ruta al archivo de imagen los procesos cuyo nombre de imagen reconozca. Busque servicios que estn tanto en ejecucin como detenidos. Adems del proceso msblast.exe que se mostraba en la figura anterior, otros procesos sospechosos posibles seran los siguientes: ServuFTP Ocxdll.exe Kill.exe Mdm.exe Mdm.scr Mt.exe Ncp.exe Psexec.exe Win32load.exe
http://www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/enus/RegistryBackup.asp (en ingls). Importante: como este disco puede estar expuesto al software malintencionado, asegrese de que no entra en contacto con otros sistemas hasta que se haya establecido un mtodo de control eficaz. Una vez haya realizado la copia de seguridad del Registro, compruebe en las siguientes reas las posibles referencias de archivo inusuales: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SessionManager\KnownDLLs HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Session Manager\KnownDLLs HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\RunOnce HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\RunOnceEx HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows ("run=" line) HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\RunOnce HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\RunOnceEx HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows ("run=" value) Estas reas del Registro suelen ser el objetivo del cdigo malintencionado porque le permiten ejecutarse al iniciar el sistema. Por ejemplo, el gusano W32@.Mydoom.G@mm agreg el valor: "(Default)" = "%System%\<nombre_archivo_aleatorio>" a las claves del Registro: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run Otra rea que se ha visto afectada recientemente es la siguiente clave: HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 Esta clave controla los archivos .dll que carga Microsoft Internet Explorer (Explorer.exe). Por ejemplo, el gusano Mydoom y sus variantes podran agregar una entrada a esta clave para cargar un archivo .dll que creara una vulnerabilidad y establecera una puerta trasera para un ataque. El gusano W32.Netsky.D@mm eliminara la clave y agregara todo este conjunto de claves: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WksPatch
Figura 4.4 Opciones avanzadas del cuadro de dilogo Resultados de la bsqueda Si establece las opciones tal como se muestra en la figura, aparecern todos los archivos que se hayan creado el da en el que el software malintencionado se introdujo en el host (en este ejemplo, el 27 de abril de 2004). Tambin se puede crear un archivo de texto que contenga una lista de todos los archivos presentes en el directorio actual y sus subdirectorios, aunque advertimos que la lista puede ser extensa. Para crear una lista de todos los archivos de un directorio y sus subdirectorios 1. Haga clic en Inicio, seleccione Ejecutar, escriba cmd y presione ENTRAR. 2. Cambie al directorio que desea documentar. 3. En el smbolo del sistema, escriba dir /s /-c /o:-d /t:c /q > FileList.txt y presione ENTRAR. Al ejecutar este comando se crear en el directorio actual un archivo de texto de nombre FileList.txt, que podr copiar a un medio extrable para realizar un anlisis posterior. Nota: existen muchas otras formas de crear una lista de estas caractersticas con otras herramientas y secuencias de comandos. Sin embargo, el objetivo de esta seccin es ayudar a recopilar informacin rpidamente con herramientas que fcilmente pueden estar disponibles en cualquier equipo. Si dispone de tiempo para preparar un kit de herramientas de respuesta ante una emergencia que contenga una secuencia de comandos ms avanzada, utilcelo en lugar del procedimiento descrito aqu. Despus de completar la bsqueda, los resultados se pueden ordenar por tipo para simplificar la identificacin de los archivos ejecutables, que por regla general son el objetivo del software malintencionado. La siguiente lista ofrece ejemplos de algunos de los tipos de archivos ms comunes que pueden contener cdigo ejecutable: *.exe *.html *.cmd *.htm
*.bat *.cpl *.pif *.pot *.vbs *.vbe *.js *.jse *.scr *.jpg *.doc *.xls *.mdb *.com *.ocx Nota: la lista de bsqueda puede contener muchas entradas y es probable que no disponga de tiempo para revisar todas las modificaciones en esta fase del proceso. No obstante, se recomienda guardar una copia o imprimir la lista para cuando tenga tiempo de revisar los archivos que sern el objetivo ms probable de los ataques. Los siguientes archivos pueden indicar la presencia de un software malintencionado en el sistema: DLL16.ini DLL32.hlp DLL32NT.hlp Gates.txt Gg.bat Httpsearch.ini Seced.bat Xvpll.hlp Psexec.bat Lcp_netbios.dll Tradicionalmente estos archivos los ha utilizado el software malintencionado y se facilitan aqu como ejemplo de las tcnicas de asignacin de nombres que se han empleado para ocultar archivos de software malintencionado. Si no est seguro de la legitimidad de un nombre de archivo concreto, puede realizar una bsqueda en Internet para conocer la naturaleza del archivo y saber si se ha vinculado a software malintencionado. No obstante, conviene sealar que la bsqueda no se debe realizar desde el sistema infectado, ya que si se hace as, el software malintencionado podra modificar el comportamiento de la bsqueda en Internet. Tambin es necesario saber que algunos ataques de software malintencionado han utilizado nombres de archivo vlidos pero colocando el archivo en una carpeta distinta para evitar que lo detecte el servicio de proteccin de archivos de Windows. Por ejemplo, un archivo utilizado por software malintencionado en el pasado es Svchost.exe, que normalmente se instala y est protegido en la carpeta %WINDIR%\System32. Pero tambin se han descubierto ejemplos de cdigo malintencionado que ha podido crear un archivo con el mismo nombre en la carpeta %WINDIR%. Por ello es importante comprobar la ruta completa as como los nombres de archivo. Algunas de las reas comunes en las que los ataques de software malintencionado suelen colocar y modificar archivos son las siguientes: %Windir%. Es la variable asignada a la carpeta de instalacin predeterminada del sistema operativo Windows. Esta carpeta contiene varios archivos ejecutables y de configuracin importantes. De forma predeterminada, la variable sealar a otras rutas de carpeta: o C:\Windows (para los sistemas Windows 95/98/ME/XP y Windows Server 2003). o C:\Winnt\ (para los sistemas Windows NT/2000). %System%. Es la variable asignada a la carpeta del sistema situada debajo de la carpeta de instalacin predeterminada del sistema operativo Windows. Esta carpeta contiene los archivos de sistema del sistema operativo host. De forma predeterminada, la variable sealar a otras rutas de carpeta: o C:\Windows\System (para sistemas Windows 95/98/ME). o C:\Winnt\System32 (para sistemas Windows NT/2000). o C:\Windows\System32 (para sistemas Windows XP y Windows Server 2003). %Temp%. Es la variable asignada a la ruta que utilizan las aplicaciones para escribir archivos temporales. De forma predeterminada, la variable se asigna a las siguientes rutas: o C:\Windows\TEMP (para sistemas Windows 95/98/ME).
C:\WINNT\Temp (para sistemas Windows NT/2000). C:\Document and Settings\<Nombre_usuario>\Configuracin local\Temp (para Windows XP y Windows Server 2003). %Temporary Internet Files%. Es la variable utilizada por las aplicaciones de exploracin en Internet para almacenar los archivos temporales durante la exploracin Web. De forma predeterminada, la variable sealar a las siguientes rutas: o C:\Windows\Archivos temporales de Internet (para sistemas Windows 95/98/ME). o C:\Document and Settings\<Nombre_usuario>\Configuracin local\Archivos temporales de Internet (para sistemas Windows NT/2000/XP y Windows Server 2003). Si al analizar los archivos del sistema descubre archivos infectados, se recomienda copiarlos a un medio extrable para un anlisis posterior. Obviamente, como estos archivos estn infectados, deber asegurarse de que no los utiliza ningn otro proceso que el previsto. Algunos de los pasos que puede seguir para proteger estas copias son los siguientes: Cambiar la extensin del nombre de archivo. Si cambia la extensin del nombre de archivo a un nombre que desconozca el sistema operativo, ste no podr ejecutar el archivo si por descuido se hace clic en l. Por ejemplo, podra reemplazar la ltima letra del archivo Avirus.exe por un guin bajo para que se muestre as: Avirus.ex_. Almacenar los archivos infectados en un archivo de almacenamiento protegido . Podra comprimir los archivos y utilizar una contrasea para proteger el archivo comprimido. Medios especializados. Asegrese de que los medios extrables se pueden identificar fsicamente con claridad de los medios estndar utilizando discos de colores o etiquetas no estndar. Bloquear los archivos en una ubicacin segura. Coloque todos los medios de ejemplo de software malintencionado en una ubicacin o medio de almacenamiento seguros. Enviar por correo electrnico slo archivos de almacenamiento protegidos . Si precisa enviar por correo electrnico el archivo sospechoso de contener software malintencionado (por ejemplo a un proveedor de antivirus), envelo siempre en un archivo de almacenamiento protegido por contrasea. Las puertas de enlace del correo electrnico podrn buscar y detectar el software malintencionado si se enva como dato adjunto no protegido. Nota: algunos ataques de software malintencionado han utilizado archivos de almacenamiento protegidos para escapar de las tcnicas de bsqueda antivirus. Como resultado, algunas organizaciones tambin bloquean o ponen en cuarentena todos los archivos de almacenamiento entrantes. Por ello, antes de enviar el archivo, compruebe que el destinatario del mismo permite los archivos de almacenamiento protegidos. o o
Si el sistema que se analiza es un servidor Windows, utilice el complemento de usuarios y grupos de Active Directory de MMC para examinar tambin la pertenencia al grupo del dominio. Para obtener ms informacin sobre los usuarios y grupos predeterminados para Windows 2000, consulte la pgina "Default User Accounts and Groups" en Microsoft TechNet: http://www.microsoft.com/technet/prodtechnol/windows2000serv/evaluate/featfunc/07w2kadb.mspx (en ingls) y el artculo de Knowledge Base "243330: Well Known Security Identifiers in Windows Server Operating Systems", que ofrece informacin sobre los identificadores de seguridad (SID) conocidos y la informacin de usuarios y grupos asociada, en Microsoft.com: http://support.microsoft.com/?kbid=243330 Nota: aunque los artculos describen el sistema operativo Windows 2000, la informacin tambin se aplica a Windows 2003, ya que los grupos predeterminados bsicos no han cambiado de una versin a otra. Sin embargo, s se han introducido en Windows Server 2003 grupos predeterminados adicionales, como los grupos especiales Servicio de red y Servicio local. Consulte la configuracin predeterminada del sistema para ver detalles.
Comentar
Administra
Recurso co
Representa
Se agregar
Tabla 4.2: Recursos compartidos de carpeta predeterminados de Windows Server 2003 y Windows 2000 Server Carpeta compartida ADMIN$ Ruta compartida C:\Windows Comentarios
Administracin remota
Recurso compartido p
Representa un recurso
Se agregar si se ha ha
Se configurar si Servi
Tambin puede examinar los permisos en estos recursos compartidos con la herramienta de la lnea de comandos SrvCheck de la pgina "Windows Server 2003 Resource Kit Tools" en Microsoft.com:http://go.microsoft.com/fwlink/?LinkId=4544 (en ingls). O bien utilizar otras utilidades de terceros como Dumpsec, que puede descargar desde el sitio Web de SystemTools.com: http://www.somarsoft.com (en ingls), para generar estos informes.
Limpieza o reconstruccin?
Son las dos opciones disponibles cuando se trata de decidir cmo recuperar el sistema. La primera de ellas, la limpieza del sistema, se basa en las caractersticas conocidas del ataque para intentar deshacer de forma sistemtica el dao que ha causado cada una de ellas en el sistema. La segunda opcin se suele denominar reconstruccin o acoplamiento de un sistema. Sin embargo, la dificultad radica en decidir cul de ellas utilizar. La limpieza del sistema nicamente se debe seleccionar si se est completamente seguro de que todos los elementos del ataque se han documentado debidamente y que el proceso solucionar todos los problemas de forma satisfactoria. Los proveedores de antivirus suelen proporcionar la documentacin necesaria, pero pueden tardar varios das en analizar y comprender la naturaleza del ataque. Se suele preferir la opcin de limpieza del sistema porque lo devuelve a su estado anterior con las aplicaciones y los datos intactos. Este enfoque tambin suele suponer una vuelta ms rpida a las operaciones normales si se compara con la opcin de reconstruccin. No obstante, si no se realiza un anlisis detallado del cdigo malintencionado, puede que la limpieza no elimine el problema por completo. El riesgo fundamental de la limpieza del sistema radica en la posibilidad de que no se haya detectado o documentado algn elemento de la infeccin inicial o una posible segunda infeccin, por lo que el sistema puede continuar infectado o ser susceptible de un sufrir un ataque de software malintencionado. Debido a este riesgo, muchas organizaciones seleccionan simplemente la reconstruccin de sus sistemas infectados para tener la total seguridad de que el software malintencionado ya no est presente en ellos. En lneas generales, Microsoft recomienda la reconstruccin siempre que un sistema haya sufrido un ataque donde se hayan instalado una puerta trasera o un rootkit. Para obtener ms informacin sobre este tipo de ataques, consulte el captulo 2 de esta gua, "Amenazas de software malintencionado". Los distintos componentes de estos ataques son difciles de detectar con seguridad y suelen volver a aparecer tras varios intentos de eliminacin. Normalmente su objetivo es obtener acceso no autorizado a los sistemas infectados para posteriormente iniciar otros ataques que les permitan elevar sus privilegios o instalar su propio software. Por ello, la nica forma de estar completamente seguro de que el equipo est libre de software malintencionado es la reconstruccin a partir de medios de confianza y el establecimiento de opciones de configuracin que solucionen las vulnerabilidades que permitieron que se produjera el ataque inicial, por ejemplo, no haber aplicado las actualizaciones de seguridad o haber utilizado contraseas poco seguras. Este proceso tambin requiere una cuidadosa recopilacin y evaluacin de todos los datos importantes del usuario del sistema infectado, la reparacin de los elementos daados, la comprobacin de los datos para confirmar que no contienen software malintencionado y finalmente la restauracin de los datos limpios en el sistema reconstruido. La reconstruccin del sistema tambin implica la reinstalacin de las aplicaciones disponibles anteriormente y su adecuada configuracin. Por lo tanto, aunque la reconstruccin proporciona el mximo nivel de seguridad en cuanto a la eliminacin de la infeccin o ataque, suele resultar un proceso mucho ms largo que la limpieza. El factor principal a considerar en la eleccin de una opcin u otra es el nivel de confianza que tenga en cada una de ellas para eliminar completamente y resolver la infeccin o el ataque. El tiempo de inactividad necesario durante la reparacin debe ser una consideracin secundaria, ya que lo que se persigue es la integridad y la estabilidad del sistema. Tabla 4.3: Ventajas y desventajas de la limpieza y la reconstruccin del sistema Limpieza Proceso sencillo, si se dispone de herramientas de limpieza. Reconstruccin Proceso ms complejo, infeccin.
La limpieza de los datos se realiza en menos pasos. Las herramientas de eliminacin utilizan menos recursos que la reconstruccin completa del sistema. Existe el riesgo de que el sistema an est infectado.
El proceso de reconstruc
Nota: si se opta por la limpieza de un sistema infectado, los equipos legales y de administracin de la organizacin deben llevar a cabo un anlisis de riesgos para determinar si estn dispuestos a aceptar la posibilidad de un futuro ataque si el proceso de limpieza no elimina parte del cdigo malintencionado.
Si opta por realizar manualmente estos pasos, tenga en cuenta que ser necesario compararlos posteriormente con procedimientos de limpieza publicados para asegurarse de que los ha realizado todos y que pueden solucionar la infeccin. O bien, si su organizacin cuenta con un equipo de soporte antivirus, tambin ser preciso que compruebe que los procedimientos de inspeccin y recuperacin utilizados para identificar y reparar todos los posibles vectores de ataque resultan adecuados. Si no se hace as, la infeccin podra volver a producirse.
Restauracin o reinstalacin?
Si decide que el mejor enfoque es reconstruir el sistema, la restauracin se puede llevar a cabo utilizando una imagen o copia de seguridad anterior del sistema que est libre de software malintencionado, o bien, volviendo a instalar el sistema a partir de los medios originales. Si opta por la opcin de la imagen anterior, guarde los datos ms recientes del usuario del sistema infectado para evitar la prdida de las actualizaciones o cambios aplicados desde la fecha en la que se realiz la copia de seguridad. Con la segunda opcin, la reconstruccin a partir de los medios originales en lugar de con una copia de seguridad, la nica forma de evitar la prdida de los datos del sistema infectado es almacenarlos.
Paso 5: Postrecuperacin
En esta seccin se proporcionan instrucciones sobre los pasos concretos que se deben realizar tras el control y la recuperacin de un primer ataque. Es importante completar esta fase para ayudar al fortalecimiento de las directivas generales de su organizacin en cuanto a usuarios, procesos y tecnologas.
Resumen
En este captulo se ofrecen instrucciones y recomendaciones que se pueden utilizar para la recuperacin de un ataque de software malintencionado de manera planeada y coherente. Es importante seguir cada uno de los pasos sugeridos, ya la omisin o la mala interpretacin de alguno de ellos podra suponer un nuevo
riesgo de ataque para su organizacin. Asimismo, esto podra dificultar o impedir que su organizacin tomara medidas legales contra al atacante. Si implementa una solucin de defensa en profundidad antivirus, es muy probable que el nmero de veces que tenga que hacer frente a los ataques con ella se reduzca al mnimo. Sin embargo, si no dispone de una solucin anticipada que est preparada para hacer frente a los peores escenarios, las probabilidades de cometer errores ms graves cuando un ataque real anule sus defensas son bastante altas. Es preciso estar preparado para cualquier eventualidad de antemano ofreciendo al personal encargado de la seguridad toda la informacin sobre las tcnicas utilizadas ms comnmente por el software malintencionado (como las descritas en este captulo). Asimismo, una sugerencia muy til es crear un kit de herramientas de anlisis de software malintencionado que incluya algunas de las mencionadas aqu, as como secuencias de comandos y otras utilidades que se puedan emplear para capturar y documentar con rapidez la informacin importante de los sistemas infectados. Esta preparacin contribuir a reducir el impacto de los ataques de software malintencionado en las operaciones de su organizacin si los sistemas se ven afectados. Cada nuevo ataque puede introducir distintos mtodos para comprometer o daar los sistemas. Por ello, Microsoft recomienda la consulta del sitio Web de informacin de proteccin frente a virus en:http://www.microsoft.com/security/antivirus/ (en ingls). En este sitio se ofrecen informacin antivirus actualizada e instrucciones sobre cmo hacer frente a los ataques de software malintencionado ms recientes. El uso de los recursos presentados en este captulo le ayudar a controlar de manera eficaz el impacto de los ataques en su organizacin y a realizar la recuperacin de forma eficaz y segura.