- Presentación
- Agentes que vulneran la
red - Los virus y otros males que
vulneran a la red - Los Hackers
- Métodos y
herramientas de ataque - Hackers
y Crackers - Seguridad
en la red - Internet en
la sociedad - Reflexión
- Hechos
destacables - Que
pasará mas adelante….. - Elección de
claves - Recomendaciones
- Glosario
- Bibliografía
Desde el momento que nos conectamos a Internet, nuestro equipo se
encuentra vulnerable a diversos tipos de ataques, desde virus, hasta
intrusiones.
Debido al continuo desarrollo de
nuevos virus, y al descubrimiento de fallos de seguridad en los
sistemas
operativos, actualmente es imposible garantizar al cien por
cien la inmunidad de un ordenador. Lo único que podemos
hacer es reducir el riesgo lo
máximo posible. Además, también
habría que recalcar que la mayoría de los ataques
son aleatorios, aunque últimamente son más los que
buscan una información concreta o la obtención
de un servicio
gratuito.
Para reducir al mínimo los riesgos, lo
primero es conocer a lo que nos enfrentamos, y como funciona. El
siguiente paso sería configurar correctamente nuestro
ordenador e instalar los programas de
seguridad pertinentes.
Los daños en nuestro PC pueden ser muy diferentes
dependiendo del virus o del ataque. Algunos sólo muestran
un mensaje de vez en cuando, realizan una determinada
aplicación, o eliminan datos importantes
del disco duro.
También hay peligros no visibles a simple vista, que
incluyen el envío de información privada, como: los
programas instalados, los datos personales del usuario o sus
números de tarjetas de
crédito.
Otros de los riesgos que no podemos pasar por alto, es
el uso de nuestro ordenador, conexión, y dirección IP, para
realizar accesos a terceros ordenadores o efectuar operaciones
ilegales, Este daño,
aunque aparentemente leve, puede llegar a ocasionarnos problemas
judiciales
Debemos saber que los virus están en constante
evolución como los virus que afectan a los
humanos cada vez son mas fuertes y mas invulnerables a los
ataques de los antivirus y
afectan a empresarios de una manera muy grande, los creadores de
dicho virus son los hackers ya que
ellos manipulan donde deben atacar sus programas ya que estos son
solo programas que atacan el sistema.
Las computadoras
presentan varios síntomas después de que son
infectadas como que son lentas o manejan mensajes de burla hacia
el usuario e inutiliza el sistema ya sea de una manera parcial o
totalmente.
Aquí se presentaran datos de este tipo y algunas
soluciones
para ellos así como algunas estrategias de
detección para proteger su computadora.
El presente trabajo tiene
como objetivo
mostrar como atacan los virus a las computadoras y como afectan a
las empresas como se
puede combatir y prevenir ante los virus con soluciones conocidas
como son los antivirus. Es decir se muestra la
vulnerabilidad y seguridad en la red.
Uno de los cambios más sorprendentes del mundo de
hoy es la rapidez de las comunicaciones. Modernos sistemas permiten
que el flujo de conocimientos sea independiente del lugar
físico en que nos encontremos. Ya no nos sorprende la
transferencia de información en tiempo real o
instantáneo. Se dice que el
conocimiento es poder; para
adquirirlo, las empresas se han unido en grandes redes internacionales para
transferir datos, sonidos e imágenes,
y realizan el comercio en
forma electrónica, para ser más
eficientes. Pero al unirse en forma pública, se han vuelto
vulnerables, pues cada sistema de computadoras involucrado en la
red es un blanco potencial y apetecible para obtener
información.
El escenario electrónico actual es que las
organizaciones
están uniendo sus redes internas a la Internet, la que
crece a razón de más de un 10% mensual. Al unir
una red a la
Internet se tiene acceso a las redes de otras organizaciones
también unidas. De la misma forma en que accedemos la
oficina del
frente de nuestra empresa, se puede
recibir información de un servidor en
Australia, conectarnos a una supercomputadora en Washington o
revisar la literatura disponible desde
Alemania. Del
universo de
varias decenas de millones de computadoras interconectadas, no es
difícil pensar que puede haber más de una persona con
perversas intenciones respecto de una organización. Por eso, se debe tener la red
protegida adecuadamente.
Cada vez es más frecuente encontrar noticias
referentes a que redes de importantes organizaciones han sido
violadas por criminales informáticos desconocidos. A pesar
de que la prensa ha
publicitado que tales intrusiones son solamente obra de adolescentes
con propósitos de entretenerse o de jugar, ya no se trata
de un incidente aislado de una desafortunada institución.
A diario se reciben reportes los ataques a redes
informáticas, los que se han vuelto cada vez más
siniestros: los archivos son
alterados subrepticiamente, las computadoras se vuelven
inoperativas, se ha copiado información confidencial sin
autorización, se ha reemplazado el software para agregar
"puertas traseras" de entrada, y miles de contraseñas han
sido capturadas a usuarios inocentes.
Los administradores de sistemas deben gastar horas y a
veces días enteros volviendo a cargar o reconfigurando
sistemas comprometidos, con el objeto de recuperar la confianza
en la integridad del sistema. No hay manera de saber los motivos
que tuvo el intruso, y debe suponerse que sus intenciones son lo
peor. Aquella gente que irrumpe en los sistemas sin
autorización, aunque sea solamente para mirar su estructura,
causa mucho daño, incluso sin que hubieran leído la
correspondencia confidencial y sin borrar ningún archivo.
De acuerdo a un estudio de la Consultora "Ernst and
Young" abarcando más de mil empresas, un 20% reporta
pérdidas financieras como consecuencia de intrusiones en
sus computadoras (Technology Review, Abril 95, pg.33). Ya pasaron
los tiempos en que la seguridad de las computadoras era
sólo un juego o
diversión.
CAPITULO I
LOS PELIGROS DE INTERNET
Aunque parezca una tontería, nuestro primer error
es dar por sentado que al no tener enemigos aparentes, nadie nos
va a hacer nada. En la mayoría de los casos, tanto la
infección, como la vulnerabilidad de nuestro sistemas, es
debida a dejadez o a ciertos actos involuntarios difíciles
de controlar, como navegar por una página web
infectada.
Dentro de la Red hay muchos peligros que nos acechan, en
casi todos los casos, el modo de infección o
transmisión se reduce a dos vías: la
navegación y el correo
electrónico. Ambos caminos son utilizados por "piratas
informáticos" (crackers) para cometer sus delitos. Pero,
¿qué tipo de herramientas y
aplicaciones de software usan estos delincuentes
cibernéticos?
Virus
Es un pequeño programa capaz de
reproducirse a sí mismo, infectando cualquier tipo de
archivo ejecutable, sin conocimiento
del usuario. El virus tiene la misión que
le ha encomendado su programador, ésta puede ser desde un
simple mensaje, hasta la destrucción total de los datos
almacenados en el ordenador.
Lo único que tienen en común todos es que
han de pasar desapercibidos el mayor tiempo posible para poder
cumplir su trabajo. Una vez infectado un PC, el virus no tiene
por que cumplir su misión al momento, algunos esperan una
fecha, evento o acción
del sistema para llevar a fin su objetivo.
Troyanos
Los troyanos son
programas que aparentan ser útiles, por ejemplo parches,
cuando en realidad son malignos. Pueden formatear el disco
rígido, borrar archivos, o permitir a hackers entrar en
nuestras máquinas.
Pero a no desesperarse. La única manera de infectarse con
un troyano es abriéndolo, no hay otra posibilidad. Todos
los troyanos son archivos ejecutables, o sea, archivos .exe. Si
algún desconocido nos manda un archivo .exe, no debemos
abrirlo, no importa lo que esta persona nos diga. Los medios
más comunes que los hackers utilizan para mandar troyanos
son el IRC (chat) e ICQ.
Casi siempre la excusa que utilizan es "Mira estas fotos de Pamela
Anderson" o "Acá esta el upgrade para Windows 98 que
corrige todos los errores". Obviamente, hay muchas variantes,
pero siempre los programas ofrecidos son maravillosos.Los
troyanos más conocidos son Netbus y Backorifice, pero esto
no significa que sean los únicos. Hay otros troyanos, que
aunque no sean tan conocidos, siguen siendo tanto o más
peligrosos que los demás. Entre estos últimos los
tres más difundidos son el Girl Friend, el SubSeven y el
Deep Trota
Un Hacker
(del inglés
hack, recortar) es el neologismo
utilizado para referirse a un experto en
programación que puede conseguir de un
sistema informático cosas que sus creadores no imaginan;
así, es capaz de pensar y hacer cosas que parecen "magia"
con los ordenadores.
Se suele llamar hackeo y hackear a las obras
propias de un hacker.
El término actualmente es algo ambiguo, ya que
también se utiliza para referirse a:
Aficionados a la informática que buscan defectos, puertas
traseras y mejorar la seguridad del software, asi como prevenir
posibles errores en el futuro (ver:
Agujeros de seguridad).
- Gusano o Worm
Son programas que tratan de reproducirse a si
mismo, no produciendo efectos destructivos sino el fin de dicho
programa es el de colapsar el sistema o ancho de banda,
replicándose a si mismo.
- Joke Program
Simplemente tienen un payload (imagen o
sucesión de estas) y suelen destruir datos.
- Bombas Lógicas o de
Tiempo
Programas que se activan al producirse un acontecimiento
determinado. la condición suele ser una fecha (Bombas de
Tiempo), una combinación de teclas, o un estilo
técnico Bombas Lógicas), etc… Si no se produce la
condición permanece oculto al usuario.
- Retro Virus
Este programa busca cualquier antivirus, localiza un
bug (fallo) dentro del antivirus y normalmente lo
destruye
CAPITULO II
LOS
VIRUS Y OTROS MALES QUE VULNERAN A LA RED
GENERALIDADES SOBRE LOS VIRUS DE
COMPUTADORAS
La primer aclaración que cabe es que los virus de
computadoras, son simplemente programas, y como tales, hechos por
programadores. Son programas que debido sus
características particulares, son especiales. Para hacer
un virus de computadora, no se requiere capacitación especial, ni una genialidad
significativa, sino conocimientos de lenguajes de
programación, de algunos temas no difundidos para
público en general y algunos conocimientos puntuales sobre
el ambiente de
programación y arquitectura de
las PC's.
La segunda aclaración que debe hacerse es que en
este trabajo no se trata al tema de los virus como
académicamente se debería desde el punto de vista
de la programación, sino que se observan desde el punto de
vista funcional. En la vida diaria, más allá de las
especificaciones técnicas,
cuando un programa invade inadvertidamente el sistema, se replica
sin conocimiento del usuario y produce daños,
pérdida de información o fallas del
sistema.
Dentro de la nueva clasificación de virus que
hacemos llegar con este trabajo, verán que hay programas
que no se replican, o que no invaden al sistema, y sin embargo
nosotros afirmamos que son virus. Para el usuario se comportan
como tales y funcionalmente lo son en realidad. Este trabajo
está pensado para el usuario final y de ahí este
particular punto de vista. Si alguien necesita un manual
técnico de virus, debo decir que ya existen innumerables
expertos e incontables libros que
hablan, describen, teorizan, clasifican y desglosan
infinitesimalmente virus desde el punto de vista académico
de la programación. Si usted necesita eso, no lea este
trabajo.
Los virus actúan enmascarados por "debajo" del
sistema
operativo, como regla general, y para actuar sobre los
periféricos del sistema, tales como disco
rígido, disketeras, ZIP's CD-R's, hacen
uso de sus propias rutinas aunque no exclusivamente. Un programa
"normal" por llamarlo así, usa las rutinas del sistema
operativo para acceder al control de los
periféricos del sistema, y eso hace que el usuario sepa
exactamente las operaciones que realiza, teniendo control sobre
ellas. Los virus, por el contrario, para ocultarse a los ojos del
usuario, tienen sus propias rutinas para conectarse con los
periféricos de la
computadora, lo que les garantiza cierto grado de inmunidad a
los ojos del usuario, que no advierte su presencia, ya que el
sistema operativo no refleja su actividad en la PC. Esto no es
una "regla", ya que ciertos virus, especialmente los que operan
bajo Windows, usan
rutinas y funciones
operativas que se conocen como API’s. Windows, desarrollado
con una arquitectura muy particular, debe su gran éxito a
las rutinas y funciones que pone a disposición de los
programadores y por cierto, también disponibles para los
desarrolladores de virus. Una de las bases del poder destructivo
de este tipo de programas radica en el uso de funciones de manera
"sigilosa", oculta a los ojos del usuario
común.
A continuación haremos un poco de historia hacerca de este
tema en particular.
HISTORIA DE LOS VIRUS
¿CÓMO NACIERON LOS
VIRUS?.
Hacia finales de los años 60, Douglas McIlory,
Víctor Vysottsky y Robert Morris idearon un juego al que
llamaron Core War (Guerra en lo
Central, aludiendo a la memoria de
la computadora), que se convirtió en el pasatiempo de
algunos de los programadores de los laboratorios Bell de
AT&T.
El juego consistía en que dos jugadores
escribieran cada uno un programa llamado organismo, cuyo
hábitat
fuera la memoria de la
computadora. A partir de una señal, cada programa
intentaba forzar al otro a efectuar una instrucción
inválida, ganando el primero que lo
consiguiera.
Al término del juego, se borraba de la memoria
todo rastro de la batalla, ya que estas actividades eran
severamente sancionadas por los jefes por ser un gran riesgo
dejar un organismo suelto que pudiera acabar con las
aplicaciones del día siguiente. De esta manera surgieron
los programas destinados a dañar en la escena de la
computación.
Uno de los primeros registros que se
tienen de una infección data del año 1987, cuando
en la Universidad
estadounidense de Delaware notaron que tenían un virus
porque comenzaron a ver "© Brain" como etiqueta de los
disquetes.
La causa de ello era Brain Computer Services, una casa
de computación paquistaní que, desde 1986,
vendía copias ilegales de software comercial infectadas
para, según los responsables de la firma, dar una
lección a los piratas.
Ellos habían notado que el sector de booteo de un
disquete contenía código
ejecutable, y que dicho código se ejecutaba cada vez que
la máquina se inicializaba desde un disquete.
Lograron reemplazar ese código por su propio
programa, residente, y que este instalara una réplica de
sí mismo en cada disquete que fuera utilizado de
ahí en más.
También en 1986, un programador llamado Ralf
Burger se dio cuenta de que un archivo podía ser creado
para copiarse a sí mismo, adosando una copia de él
a otros archivos. Escribió una demostración de este
efecto a la que llamó VIRDEM, que podía infectar
cualquier archivo con extensión .COM.
Esto atrajo tanto interés
que se le pidió que escribiera un libro, pero,
puesto que él desconocía lo que estaba ocurriendo
en Pakistán, no mencionó a los virus de sector de
arranque (boot sector). Para ese entonces, ya se había
empezado a diseminar el virus Vienna.
Actualmente, los virus son producidos en cantidades
extraordinarias por muchísima gente alrededor del planeta.
Algunos de ellos dicen hacerlo por divertimento, otros
quizás para probar sus habilidades. De cualquier manera,
hasta se ha llegado a notar un cierto grado de competitividad
entre los autores de estos programas.
Con relación a la
motivación de los autores de virus para llevar a cabo
su obra, existe en Internet un documento escrito por un escritor
freelance Markus Salo, en el cual, entre otros, se exponen los
siguientes conceptos:
- Algunos de los programadores de virus, especialmente
los mejores, sostienen que su interés por el tema es
puramente científico, que desean averiguar todo lo que
se pueda sobre virus y sus usos. - A diferencia de las compañías de
software, que son organizaciones relativamente aisladas unas de
otras (todas tienen secretos que no querrían que sus
competidores averiguaran) y cuentan entre sus filas con
mayoría de estudiantes graduados, las agrupaciones de
programadores de virus están abiertas a cualquiera que
se interese en ellas, ofrecen consejos, camaradería y
pocas limitaciones. Además, son libres de seguir
cualquier objetivo que les parezca, sin temer por la
pérdida de respaldo económico. - El hecho de escribir programas vírales da al
programador cierta fuerza
coercitiva, lo pone fuera de las reglas convencionales de
comportamiento. Este factor es uno de los
más importantes, pues el sentimiento de pertenencia es
algo necesario para todo ser humano, y es probado que dicho
sentimiento pareciera verse reforzado en situaciones
marginales. - Por otro lado, ciertos programadores parecen intentar
legalizar sus actos poniendo sus creaciones al alcance de mucha
gente, (vía Internet, BBS especializadas, etc.) haciendo
la salvedad de que el material es peligroso, por lo cual el
usuario debería tomar las precauciones del
caso. - Existen programadores, de los cuales, generalmente,
provienen los virus más destructivos, que alegan que sus
programas son creados para hacer notoria la falta de
protección de que sufren la mayoría de los
usuarios de computadoras. - La gran mayoría de estos individuos son del
mismo tipo de gente que es reclutada por los grupos
terroristas: hombres, adolescentes, inteligentes.
En definitiva, sea cual fuere el motivo por el cual se
siguen produciendo virus, se debe destacar que su existencia no
ha sido sólo perjuicios: gracias a ellos, mucha gente a
tomado conciencia de
qué es lo que tiene y cómo protegerlo.
LOS VIRUS
Es un pequeño programa escrito intencionalmente
para instalarse en la computadora de un usuario sin el
conocimiento o el permiso de este. Decimos que es un programa
parásito porque el programa ataca a los archivos o sector
es de "booteo" y se replica a sí mismo para continuar su
esparcimiento.
Algunos se limitan solamente a replicarse, mientras que
otros pueden producir serios daños que pueden afectar a
los sistemas. Se ha llegado a un punto tal, que un nuevo virus
llamado W95/CIH-10xx. o también como CIH.Spacefiller
(puede aparecer el 26 de cada mes, especialmente 26 de Junio y 26
de Abril) ataca al BIOS de la PC
huésped y cambiar su configuración de tal forma que
se requiere cambiarlo. Nunca se puede asumir que un virus es
inofensivo y dejarlo "flotando" en el sistema.
Existen ciertas analogías entre los virus
biológicos y los informáticos: mientras los
primeros son agentes externos que invaden células
para alterar su información genética y
reproducirse, los segundos son programas-rutinas, en un sentido
más estricto, capaces de infectar archivos de
computadoras, reproduciéndose una y otra vez cuando se
accede a dichos archivos, dañando la información
existente en la memoria o alguno de los dispositivos de almacenamiento
del ordenador.
Tienen diferentes finalidades: Algunos sólo
'infectan', otros alteran datos, otros los eliminan, algunos
sólo muestran mensajes. Pero el fin último de todos
ellos es el mismo: PROPAGARSE.
Es importante destacar que el potencial de
daño de un virus
informático no depende de su complejidad sino del
entorno donde actúa.
La definición más simple y completa que
hay de los virus corresponde al modelo D. A.
S., y se fundamenta en tres características, que se
refuerzan y dependen mutuamente. Según ella, un virus es
un programa que cumple las siguientes pautas:
- Es dañino
- Es autorreproductor
- Es subrepticio
El hecho de que la definición imponga que los
virus son programas no admite ningún tipo de observación; está extremadamente
claro que son programas, realizados por personas. Además
de ser programas tienen el fin ineludible de causar daño
en cualquiera de sus formas.
Asimismo, se pueden distinguir tres módulos
principales de un virus informático:
- Módulo de Reproducción
- Módulo de Ataque
- Módulo de Defensa
EL MÓDULO DE
REPRODUCCIÓN
se encarga de manejar las rutinas de
"parasitación" de entidades ejecutables (o archivos de
datos, en el caso de los virus macro) a fin de que el virus pueda
ejecutarse subrepticiamente. Pudiendo, de esta manera, tomar
control del sistema e infectar otras entidades permitiendo se
traslade de una computadora a otra a través de algunos de
estos archivos.
EL MÓDULO DE ATAQUE
es optativo. En caso de estar presente es el encargado
de manejar las rutinas de daño adicional del virus. Por
ejemplo, el conocido virus Michelangelo, además de
producir los daños que se detallarán más
adelante, tiene un módulo de ataque que se activa cuando
el reloj de la computadora indica 6 de Marzo. En estas
condiciones la rutina actúa sobre la información
del disco rígido volviéndola
inutilizable.
EL MÓDULO DE DEFENSA
tiene, obviamente, la misión de proteger al virus
y, como el de ataque, puede estar o no presente en la estructura.
Sus rutinas apuntan a evitar todo aquello que provoque la
remoción del virus y retardar, en todo lo posible, su
detección.
QUÉ DAÑO PUEDE HACER UN VIRUS AL
SISTEMA?
Software
- Modificación de programas para que dejen de
funcionar - Modificación de programas para que funcionen
erróneamente - Modificación sobre los datos
- Eliminación de programas y/o datos
- Acabar con el espacio libre en el disco
rígido - Hacer que el sistema funcione mas
lentamente - Acabar con el espacio libre en el disco
rígido
Hardware
- Borrado del BIOS
- Quemado del procesador por
falsa información del sensor de temperatura - Rotura del disco rígido al hacerlo leer
repetidamente sectores específicos que fuercen su
funcionamiento mecánico
¿CÓMO SE PROPAGAN LOS
VIRUS?
- Disquetes u otro medio de almacenamiento
removible - Software pirata en disquetes o CDs
- Redes de computadoras
- Mensajes de correo electrónico
- Software bajado de Internet
- Discos de demostración y pruebas
gratuitos
SÍNTOMAS QUE INDICAN LA PRESENCIA DE
VIRUS….
- Cambios en la longitud de los programas
- Cambios en la fecha y/u hora de los
archivos - Retardos al cargar un programa
- Operación más lenta del
sistema - Reducción de la capacidad en memoria y/o disco
rígido - Sectores defectuosos en los disquetes
- Mensajes de error inusuales
- Actividad extraña en la pantalla
- Fallas en la ejecución de los
programas - Fallas al bootear el equipo
- Escrituras fuera de tiempo en el disco
TIPOS DE VIRUS DE COMPUTACIÓN
POR SU DESTINO DE INFECCIÓN
Infectores de archivos ejecutables
- Afectan archivos de extensión EXE, COM, BAT,
SYS, PIF, DLL, DRV - Infectores directos
El programa infectado tiene que estar
ejecutándose para que el virus pueda funcionar (seguir
infectando y ejecutar sus acciones
destructivas)
Infectores residentes en memoria
El programa infectado no necesita estar
ejecutándose, el virus se aloja en la memoria y permanece
residente infectando cada nuevo programa ejecutado y ejecutando
su rutina de destrucción
Infectores del sector de arranque
Tanto los discos rígidos como los disquetes
contienen un Sector de Arranque, el cual contiene
información específica relativa al formato del
disco y los datos almacenados en él. Además,
contiene un pequeño programa llamado Boot Program que se
ejecuta al bootear desde ese disco y que se encarga de buscar y
ejecutar en el disco los archivos del sistema operativo. Este
programa es el que muestra el famoso mensaje de "Non-system Disk
or Disk Error" en caso de no encontrar los archivos del sistema
operativo. Este es el programa afectado por los virus de sector
de arranque. La computadora se infecta con un virus de sector de
arranque al intentar bootear desde un disquete infectado. En este
momento el virus se ejecuta e infecta el sector de arranque del
disco rígido, infectando luego cada disquete utilizado en
la PC. Es importante destacar que como cada disco posee un sector
de arranque, es posible infectar la PC con un disquete que
contenga solo datos…..
MACROVIRUS
Son los virus mas populares de la actualidad. No se
transmiten a través de archivos ejecutables, sino a
través de los documentos de las
aplicaciones que poseen algún tipo de lenguaje de
macros. Entre
ellas encontramos todas las pertenecientes al paquete Office (Word, Excel,
Power Point,
Access) y
también el Corel Draw.
Cuando uno de estos archivos infectado es abierto o cerrado, el
virus toma el control y se copia a la plantilla base de nuevos
documentos, de forma que sean infectados todos los archivos que
se abran o creen en el futuro…
Los lenguajes de macros como el Visual Basic For
Applications son muy poderosos y poseen capacidades como para
cambiar la configuración del sistema operativo, borrar
archivos, enviar e-mails, etc.De Actives Agents y Java Applets
En 1997, aparecen los Java applets y Actives controls. Estos
pequeños programas se graban en el disco rígido del
usuario cuando está conectado a Internet y se ejecutan
cuando la página web sobre la que
se navega lo requiere, siendo una forma de ejecutar rutinas sin
tener que consumir ancho de banda. Los virus desarrollados con
Java applets y Actives controls acceden al disco rígido a
través de una conexión www de manera que el usuario
no los detecta. Se pueden programar para que borren o corrompan
archivos, controlen la memoria, envíen información
a un sitio web, etc.
De HTML
Un mecanismo de infección
más eficiente que el de los Java applets y Actives
controls apareció a fines de 1998 con los virus que
incluyen su código en archivos HTML. Con solo
conectarse a Internet, cualquier archivo HTML de una
página web puede contener y ejecutar un virus. Este tipo
de virus se desarrollan en Visual Basic
Script. Atacan a usuarios de Win98, 2000 y de las últimas
versiones de Explorer. Esto se debe a que necesitan que el
Windows Scripting Host se encuentre activo. Potencialmente pueden
borrar o corromper archivos.
TROYANOS / WORMS
Los troyanos son programas que imitan programas
útiles o ejecutan algún tipo de acción
aparentemente inofensiva, pero que de forma oculta al usuario
ejecutan el código dañino.Los troyanos no cumplen
con la función de
autorreproducción, sino que generalmente son
diseñados de forma que por su contenido sea el mismo
usuario el encargado de realizar la tarea de difusión del
virus. (Generalmente son enviados por e-mail)
TIPOS DE VIRUS DE COMPUTACIÓN
POR SUS ACCIONES Y/O MODO DE ACTIVACIÓN
- Bombas
Se denominan así a los virus que ejecutan su
acción dañina como si fuesen una bomba. Esto
significa que se activan segundos después de verse el
sistema infectado o después de un cierto tiempo (bombas de
tiempo) o al comprobarse cierto tipo de condición lógica
del equipo. (bombas lógicas). Ejemplos de bombas de tiempo
son los virus que se activan en una determinada fecha u hora
determinada. Ejemplos de bombas lógicas son los virus que
se activan cuando al disco rígido solo le queda el 10% sin
uso, etc.
- Camaleones
Son una variedad de virus similares a los caballos de
Troya que actúan como otros programas parecidos, en los
que el usuario confía, mientras que en realidad
están haciendo algún tipo de daño. Cuando
están correctamente programados, los camaleones pueden
realizar todas las funciones de los programas legítimos a
los que sustituyen (actúan como programas de
demostración de productos, los
cuales son simulaciones de programas reales).Un software
camaleón podría, por ejemplo, emular un programa de
acceso a sistemas remotos realizando todas las acciones que ellos
realizan, pero como tarea adicional (y oculta a los usuarios) va
almacenando en algún archivo los diferentes logins y
password para que posteriormente puedan ser recuperados y
utilizados ilegalmente por el creador del virus
camaleón.
- Reproductores
Los reproductores (también conocidos como
conejos-rabbits) se reproducen en forma constante una vez que son
ejecutados hasta agotar totalmente (con su descendencia) el
espacio de disco o memoria del sistema.La única
función de este tipo de virus es crear clones y lanzarlos
a ejecutar para que ellos hagan lo mismo. El propósito es
agotar los recursos del
sistema, especialmente en un entorno multiusuario interconectado,
hasta el punto que el sistema principal no puede continuar con el
procesamiento normal.
- Gusanos (Worms)
Los gusanos son programas que constantemente viajan a
través de un sistema informático interconectado, de
PC a PC, sin dañar necesariamente el hardware o el software de
los sistemas que visitan.La función principal es viajar en
secreto a través de equipos anfitriones recopilando cierto
tipo de información programada (tal como los archivos de
passwords) para enviarla a un equipo determinado al cual el
creador del virus tiene acceso.
- Backdoors
Son también conocidos como herramientas de
administración remotas ocultas. Son
programas que permiten controlar remotamente la PC infectada.
Generalmente son distribuidos como troyanos. Cuando un virus de
estos es ejecutado, se instala dentro del sistema operativo, al
cual monitorea sin ningún tipo de mensaje o consulta al
usuario. Incluso no se lo vé en la lista de programas
activos. Los
Backdoors permiten al autor tomar total control de la PC
infectada y de esta forma enviar, recibir archivos, borrar o
modificarlos, mostrarle mensajes al usuario, etc….
UNA NUEVA CLASIFICACION DE
VIRUS
En las siguientes líneas esbozamos una
clasificación que tiende a catalogar los virus actuales,
sin intentar crear una clasificación académica,
sino una orientación en cuanto a funcionalidad para que
sea de provecho al usuario común.
1) Virus en archivos "fantasmas":
Estos virus basan su principio en que DOS, al tener dos
archivos con el mismo nombre, ejecuta primero el archivo COM y
luego el EXE, siempre y cuando, claro está, ambos archivos
se encuentren en el mismo directorio. Al infectar la computadora,
el virus crea un archivo COM con el mismo nombre y en el mismo
lugar que el EXE a infectar. De este modo, se asegura que durante
la próxima ejecución, el sistema operativo
arrancará el nuevo archivo COM creado por el virus y
conteniendo el código viral, para luego ceder el control
archivo EXE.
2) Virus de boot sector o sector de
arranque:
Infectan el sector de booteo o arranque de discos
rígidos o diskettes. Las PC se infectan cuando se arranca
el equipo con el diskette infectado puesto en la disketera,
siempre y cuando el setup de la PC esté programado para
arrancar primero desde el drive A:. Si por el contrario el setup
inicia primero desde el disco rígido, no es necesario
preocuparse por este tipo de virus. Algunos virus de boot sector
no infectan el sector de arranque del disco duro (conocido como
MBR). Usualmente infectan sólo diskettes, pero pueden
afectar también al Disco Rígido ( ¡ En ese
caso SI DEBE PREOCUPARSE ! ), CD-R, unidades ZIP, etc. Se ocultan
en el primer sector de un disco y se cargan en memoria RAM
aún antes que los archivos de sistemas. De esa manera
toman el control total de las interrupciones (IRQ), para
ocultarse, diseminarse y provocar daños. Por lo general
reemplazan el contenido del sector de arranque con su propio
contenido y desplazan el sector original a otra área del
disco. Para erradicarlos, es necesario inicializar la PC desde un
diskette sin infectar y proceder a removerlo con un antivirus, y
en caso necesario reemplazar el sector infectado con el sector de
arranque original.
3) Virus de archivos ejecutables:
Infectan los archivos que la PC toma como programas:
*.EXE, *.DRV, *.DLL, *.BIN, *.OVL, *.SYS e incluso BAT Estos
virus se reproducen por diversas técnicas, infectando al
archivo al principio o al final. Siempre es necesario arrancarlos
una primera vez dentro del ordenador para que se activen. Una vez
activado en memoria, asegura la ejecución de su
código para devolver el control al programa infectado.
Pueden permanecer residentes en memoria durante mucho tiempo
después de haber sido activados, en ese caso se dice que
son virus residentes, o pueden ser virus de acción
directa, que evitan quedar residentes en memoria y se replican o
actúan contra el sistema sólo al ser ejecutado el
programa infectado. Se dice que estos virus son virus de
sobreescritura, ya que corrompen al fichero donde se ubican.
Escriben el código viral dentro del mismo archivo
infectado. Si alguna vez el usuario recibe un mail con un adjunto
que sea un archivo infectado, para que el virus se active dentro
de la máquina, debe ser arrancado. El usuario puede tener
el archivo infectado por años dentro de la PC sin que se
active, por ese motivo, el hecho de tener un virus dentro de la
computadora no quiere decir que la PC infecte a otros, ya que
necesariamente para propagar la infección a otros el virus
debe estar activado dentro del ordenador. Eso sólo se
consigue arrancando el programa infectado. Si el usuario no lo
arranca, nunca se infectará. Es preciso recordar que a
través de simples comandos escritos
en Visual Basic para Aplicaciones, este tipo de virus pueden ser
fácilmente arrancados a partir de la apertura de un
archivo Office o la recepción de un e-mail con Outlook, de
manera que no es necesaria la acción efectiva del usuario
para ordenar la ejecución del programa.
4) "Virus" Bug-Ware:
Son programas que en realidad no fueron pensados para
ser virus, sino para realizar funciones concretas dentro del
sistema, pero debido a una deficiente comprobación de
errores por parte del programador, o por una programación
confusa que ha tornado desordenado al código final,
provocan daños al hardware o al software del sistema. Los
usuarios finales, tienden a creer que los daños producidos
en sus sistemas son producto de la
actividad de algún virus, cuando en realidad son
producidos por estos programas defectuosos. Los programas
bug-ware no son en absoluto virus
informáticos, sino fragmentos de código mal
implementado, que debido a fallos lógicos, dañan el
hardware o inutilizan los datos del computador. En
realidad son programas con errores, pero funcionalmente el
resultado es semejante al de los virus.
5) Los Virus de Macro:
según la International Security Association, los
virus macro conforman el 80% de todos los virus circulantes en el
mundo y son los que más rápidamente han crecido en
la historia de las
computadoras los últimos 7 años. Los virus
macro no son exclusivos de ningún sistema operativo y se
diseminan fácilmente a través de archivos adjuntos
de e-mails, disquetes, programas obtenidos en Internet,
transferencia de archivos y aplicaciones compartidas. Algunos
documentos (WORD, EXCEL, Algunos documentos del Paquete
SmartSuite de LOTUS) si bien no son ejecutables, sino documentos,
tiene la posibilidad de ser PROGRAMADOS a través de una
serie de comandos conocidos como MACROS a través de un
subconjunto de instrucciones de Visual Basic, conocido como
Visual Basic para Aplicaciones. Algunas macros son tan potentes
que deben considerarse instrucciones de programación. Este
es el caso de las macros del paquete Office de Microsoft (que
engloba entre otros productos a Word y Excel), y a través
de ellas, es posible programar rutinas que borren archivos o
destruyan información. Las macros del paquete Office, son
en realidad un subconjunto de instrucciones de Visual Basic y son
muy fáciles de crear. Pueden infectar diferentes puntos de
un archivo en uso, por ejemplo, cuando éste se abre, se
graba, se cierra o se borra. Este tipo de virus se activa al
abrir un archivo infectado dentro del procesador de
texto , o planilla de cálculo.
En el caso de Word, que es el típico caso de
reproducción de virus de Macro, al momento de abrir el
procesador, se abre un archivo que contiene información
llamado NORMAL.DOT, que es la plantilla maestra del procesador de
textos. Este archivo es abierto cada vez que se inicia el
procesador de textos. Ahora bien, los virus aprovechan esta
debilidad del programa Word para directamente (al activarse),
infectar el archivo NORMAL.DOT. Con eso se aseguran que cada vez
que se inicie el procesador de texto,se
escriba una carta, o abra un
archivo, se reproduzca el virus a través de la
ejecución de sus rutinas dentro de la plantilla
maestra.
6) Virus de e-mail:
Dentro e este grupo, incluyo
a dos tipos de
virus: los que junto a un mail hacen llegar un atachado que
necesariamente debe abrirse o ejecutarse para activar el virus, y
dentro de ellos menciono a Melissa como el precursos de esta
variedad, y también englobo a los gusanos (worms) que
aprovechan los agujeros de seguridad de programas de correo
electrónico para infectar a las computadoras, de los
cuales BubbleBoy fue el precursor. Esta variedad difiere de los
otros virus en el hecho de que no necesitan de la
ejecución de un programa independiente (atachados) para
ser activados, sino que ingresan e infectan las PC's con la
simple visualización del mail. Hasta la aparición
de estos virus, la infección era provocada por un descuido
del usuario, pero a partir de ellos, la infección puede
producirse aún manteniendo protocolos de
seguridad impecables. Aprovechan fallas de los programas ( Vea
los "virus" Bug-Ware ) y de ese modo ingresan a las
computadoras.
De este modo, no es necesaria la impericia del usuario,
sino mantenerse informado constantemente de los fallos de
seguridad de los programas usados, cosa muy difícil de
realizar para el usuario común. Por todos es conocida la
política
obsesiva de las empresas productoras de software de producir
programas "amigables", que complican la programación y
llevan a cuidar estéticamente un producto y a fallar en
funciones escenciales. Windows ha abierto la puerta a la belleza
visual, pero esto trae además la presencia de productos de
soft mediocres, que tratan de tapar graves defectos estructurales
con menúes atractivos y componentes multimediales. Dentro
de este grupo incluyo a los mail-bombers que si bien
académicamente no son catalogados como virus, provocan
fallas en nuestro sistema al saturar nuestro correo. Los
mail-bombers son programas especialmente preparados para enviar
un número definido de copias de un e-mail a una
víctima, con el objeto de saturar su casilla de correo
e-mail.
Algunos de estos programas, aprovechando los agujeros de
seguridad, envían mails tipo gusano. Los mail-bombers no
afectan en realidad nuestro sistema PC, pero provocan el colapso
de nuestro correo electrónico, así es que
funcionalmente se comportan para el usuario de computadoras como
si fueran virus, más allá de cualquier etiqueta
académica.
7) Virus de MIRC:
Al igual que los bug-ware y los mail-bombers, no son
considerados virus, pero los nombro debido a que tienen
características comunes. Son una nueva generación
de programas que infectan las PC's, aprovechando las ventajas
proporcionadas por internet y los millones de usuarios conectados
a cualquier canal IRC a través del programa Mirc y otros
programas de chat. Consisten en un script para el cliente del
programa de chateo. Cuando se accede a un canal de IRC, se recibe
por DCC un archivo llamado "script.ini". Por defecto, el
subdirectorio donde se descargan los archivos es el mismo donde
esta instalado el programa, esto causa que el "script.ini"
original se sobreescriba con el "script.ini" maligno. Los autores
de ese script acceden de ese modo a información privada de
la PC, como el archivo de claves, y pueden remotamente
desconectar al usuario del canal IRC.
8) Virus de la WEB:
El lenguaje de
programación JAVA, que permite generar los applets
para las páginas
web y los controles Active X, son lenguajes orientados
especialmente a Internet. El ASP es otro tipo
de lenguaje basic orientado al desarrollo de aplicaciones basadas
en la web. Si bien en el caso de JAVA la diagramación y el
diseño
fueron sumamente cuidadosos, de tal modo que existen ( en
teoría
) la imposibilidad técnica de modificar archivos en
clientes, existen
algunos agujeros que si bien no son de seguridad, sino de
diseño, abren las puertas a los programadores de virus
que, mediante herramientas apropiadas pueden generar una nueva
variante de virus que se disemine por las páginas web y,
como en el caso de los virus de e-mail, afecten a las PC's
aún en condiciones de seguridad adecuadas, por el simple
acto de abrir una página. Obviamente no clarificaré
demasiado sobre las posibles técnicas de
programación de virus en JAVA, pero con esto quiero
alertar a los lectores sobre la certeza de que existen en Java
agujeros funcionales que facilitarán la creación de
estos nuevos virus en los próximos meses tal cual se ha
logrado ya en condiciones de laboratorio.
Hay evidencias
reales de la posible existencia de este tipo de virus, por
supuesto, gracias a un agujero de seguridad del navegador de
internet de Microsoft. Mediante la apertura de una página
web o un e-mail en formato HTML que incluya un archivo de Excel
de apertura automática, se pueden ejecutar comandos,
instalar virus, borrar archivos y otras funciones. Este procedimiento se
puede ejecutar en PC's que contengan una determinada
versión de una DLL que por razones de seguridad no
identificaré en este documento público. Este
bug-ware fue verificado a mediados del '99.
9) Virus de arquitectura cliente /
servidor:
Esta es una clasificación muy particular, que
afecta a usuarios de internet . En este apartado contemplo de
manera especial a los troyanos, que más que virus, son
verdaderas aplicaciones cliente / servidor, por las cuales
cualquier persona, y con la configuración adecuada, puede
controlar los recursos de una PC a distancia y a través de
una conexión a internet. La funcionalidad de estos virus
consiste en hacer que la víctima del ataque ejecute un
programa que corresponde al servidor del virus, lo que conduce a
su autoinstalación en el sistema a la espera de que el
usuario conecte su computadora a internet.
Una vez conectado, el cliente del programa (hacker o
como se le quiera llamar), tiene todas las herramientas
necesarias para operar a distancia la computadora de la
víctima, gestionar parte de sus recursos y obtener la
información guardada en sus unidades de
almacenamiento. Son programas altamente sofisticados y el
más famoso de ellos es el BackOriffice, pero existen mucho
otros más.
10) Troyanos:
Es un programa potencialmente peligroso que se oculta
dentro de otro para evitar ser detectado, e instalarse de forma
permanente en nuestro sistema.
Este tipo de software no suele realizar acciones destructivas por
sí mismo, pero entre muchas otras funciones, tienen la
capacidad de capturar datos, generalmente contraseñas e
información privada, enviándolos a otro sitio. Otra
de sus funciones es dejar indefenso nuestro sistema, abriendo
brechas en la seguridad, de esta forma se puede tomar el control
total de forma remota, como si realmente se estuviera trabajando
delante de nuestra pantalla.
No son virus como tales, pero pueden realizar acciones
destructivas como algunos virus. Los mas peligrosos constan de
dos programas, un servidor y un cliente.
El servidor es por ejemplo nuestro Ordenador (para
hacernos una idea) y el cliente es el usuario que intenta
"entrar" en nuestro Ordenador, una vez que ha entrado, en
función de las características de dicho troyano,
puede borrar archivos de nuestro disco duro, formatearlo, abril
la unidad de CD-ROM,
realizar capturas de nuestro escritorio, de lo que tecleamos, hay
troyanos que "copian" el archivo .PWL que es donde el sistema
windows guarda las contraseñas y las envia a una
dirección de correo electrónico. Un troyano muy
conocido es Back Orifice conocido como BO.
Creado por el grupo "Cult of the Dead Cow" (culto a la
vaca muerta). Esta en la lista "In The Wild" que es una
recopilación de los virus o troyanos más
importantes y que más propagación han tenido. Sus
autores quieren demostrar los fallos de seguridad de win 95/98.Y
muy conocido es NetBus y SubSeven que disponen de varias
versiones. BO incluso tiene "plugins" para mejorar sus
acciones.
Estos "Caballos de Troya" suelen estar contenidos en
programas ejecutables y a través de chat, por ejemplo mIRC
nos pueden enviar este tipo de "programas", o a través de
ICQ (cuidado con la seguridad de dicho programa). Normalmente se
quedan residentes en memoria y se introduce código en el
registro de
Windows para que cada vez que encendamos el Ordenador lo tengamos
"activo".
Últimamente han proliferado los programas que se
apoderan de su navegador con la intención de forzarlo a
visitar sitios indeseados o para mostrarle anuncios en ventanas
'pop-up'.
Estos programas son llamados espías, pues
recolectan información del usuario con fines que pueden
ser maliciosos. Algunos programas antivirus los detectan
como virus o como caballos de Troya (o simplemente
troyanos).
11) Correo basura y
spyware
En esta parte vamos a profundizar en dos conceptos: el
correo basura (spam) y el
spyware (software espía). Además, os ofreceremos
una serie de consejos prácticos sobre navegación
por la Red y utilización del cliente de correo.
Cuando nos metemos en Internet, podemos encontrarnos con
ventanas que nos sugieren que instalemos ciertos programas, o nos
ofrecen premios y regalos. Si aceptamos, nos exponemos a que se
instalen en nuestro equipo aplicaciones de tipo spyware, adware o
dialers
Los daños o inconveniencias que pueden causar
son los siguientes:
- Ocupan su ancho de banda en la conexión
al Internet, haciendo la navegación más
lenta - Obligan al usuario a visitar sitios indeseados, que
pueden incluir juegos de
azar, productos basura y hasta contenidos
indecentes - La lenta conexión al Internet implica que el
usuario pague más dinero por el servicio de
conexión - Usuarios maliciosos pueden estar recibiendo
información personal suya,
que incluye números de tarjetas de crédito y
contraseñas - Un virus puede estarse distribuyendo a todos sus
contactos de correo electrónico - En resumen, alguien está viendo lo que usted
está haciendo en el Internet
¿Cómo se instaló un software
espía en su computadora?
Usualmente es por el descuido de no leer las
advertencias que aparecen en la pantalla al navegar en sitios
nuevos. Windows pregunta al usuario si desea instalar
algún programa, como en el siguiente ejemplo:
Algunos otros espías, virus o troyanos se pueden
instalar en su computadora sin ninguna intervención de su
parte y sin que Ud. se dé cuenta.
Pero, ¿cómo saber si Ud. tiene un
espía o troyano en su computadora?
Estos son algunos de los síntomas:
- La computadora se tarda mucho en
arrancar - La página de inicio de su navegador fue
cambiada sin su intervención y no se puede cambiar a
la que Ud. desea - Aparecen anuncios en ventanas pop-up
frecuentemente - La navegación es muy lenta
Si esto sucede en una red con muchas computadoras,
imagínese cuánto dinero
está perdiendo por el ancho de banda consumido en este
tipo de tráfico indeseado. La existencia de
espías o troyanos en una red corporativa puede ser
síntoma de que sus usuarios tienen libertar de visitar
sitios indeseados. Una corporación debe evaluar el
uso de un firewall en
este caso, para evitar este tipo de inconveniencias que pueden
convertirse en caos.
TTI, S. A. puede hacer una evaluación
de su red, revisando el tráfico de IP, el historial de
sitios visitados por los usuarios y verificando la existencia o
no de estas pestes. Día a día aparecen
más de ellas en el Internet, pero si las eliminamos hoy
mismo de su red, podremos evitar daños posteriores que
afecten su trabajo normal.
Otro factor de riesgo potencial y susceptible de ser
atacado, es nuestra cuenta de correo. Por desgracia, el spam
(correo basura) se encuentra a la orden del día en todo el
mundo. En sí, este tipo de mail no es un problema grave,
el peligro radica en que asociado a él se distribuyen la
mayoría de los virus. Por ello, la mejor forma de evitar
estas situaciones es una correcta navegación y uso de
Internet, así como de todas las posibilidades y servicios que
nos brinda.
Consejos para un buen uso del correo
electrónico
Actualmente, el correo electrónico es uno de los
principales medios de comunicación. Pero como todo,
también tiene sus inconvenientes. Uno de sus principales,
es el engorroso spam. Un tipo de email que, además de
llevar publicidad u
ofertas, también puede adjuntar virus. Estos
códigos maliciosos utilizan el correo para camuflarse, la
mayoría de las veces en envíos que llevan el nombre
de algún integrante de nuestra libreta de direcciones o
mediante un mensaje atractivo que invita a que abramos un archivo
adjunto. En los clientes de correo, como Outlook, que poseen la
función de una vista previa de los mails, es recomendable
desactivar esta función. Otra de las soluciones para
evitar al máximo la intrusión de virus, es usar
programas con los que podamos consultar el correo directamente en
el servidor, sin necesidad de descargarnos el mensaje a nuestro
ordenador.
Página siguiente |