Al igual que ha sucedido con la tecnología, los virus han ido evolucionando paralelamente, adaptándose a las formas de comunicación y transmisión más actuales. Pero, ¿qué es realmente un virus? ¿Cómo afectan? ¿Qué tipos de virus nos encontramos? ¿Tenemos defensa contra ellos? A éstas y otras preguntas iremos respondiendo a través de estas líneas.
Básicamente, bajo la denominación de virus se ha designado cualquier aplicación que modifica a otras, escribiendo o alterando su código, con objeto de realizar alguna acción significativa. Esta idea como tal se toma de la definición propia de un virus biológico. Sin embargo el virus electrónico ha transcendido mucho más allá de aquella idea original. Ya no se habla solamente de programas que cumplen esta función condicional de replicarse, sino que queda exportada a una categoría de aplicaciones denominada malware (malicious software). Estos programas tienen como objetivo realizar o desencadenar alguna acción que provoque un "daño" a la máquina expuesta. Siguiendo esta condición, los troyanos, spyware, keylogger y demás fauna que pululan entre nuestros ordenadores quedan encuadrados junto con los virus entre los programas maliciosos. Algunas veces las líneas divisorias que determinan si un programa es dañino, no quedan demasiado definidas, por ejemplo una "cookie" que originalmente podemos considerar como inofensivo, pueden convertirse en una trampa mortal para un usuario desprotegido, al igual que puede pasar con los "jokes" (programa broma)
El inicio profusión y utilización de los virus queda difuminada en el tiempo, lejos de ser una práctica actual, éstos nacieron prácticamente con el inicio de la informática. La técnica original nació como un juego, donde dos programadores competían por ver cual de sus programas se replicaba más rápido y ocupaba mayor parte de la memoria. Estos juegos denominados "Core War", llegaron a evolucionar haciendo incluso que un programa intentara eliminar o borrar al otro. Uno de los primeros virus que produjo contagios masivos, fue creado en el año 1987 y afectó a ordenadores MAC, se denominó "Peace Virus", activándose el 2 de marzo de 1988, lanzando un mensaje de paz y autodestruyéndose, aunque no ocasionaba ningún mal. Curiosamente el año 1988 marcó el punto de inflexión definitivo en este campo, con la aparición de dos programas destructivos que marcaron época y todavía hoy en día son recordados y como no, emulados: el virus Viernes 13 (Jerusalén) y el gusano Morris. Mientras que Jerusalén infectaba archivos .exe haciéndolos crecer 2kb en cada infección, hasta que el sistema operativo DOS no podía gestionarlos, el gusano Morris provocó el 2 de noviembre el colapso del 10% de la red ARPANET (precursora de Internet), y no llegando a más debido principalmente a que afectaba solamente a sistemas BSD.
Al igual que en casi todos los campos de conocimiento, cuando hablamos de virus, gusanos, troyanos, spyware y cualquier derivado relacionado con malware en general, escuchamos y leemos numerosos mitos, definiciones y explicaciones vagas. Estas sobre todo añaden confusión al usuario final (no técnico) a la hora de emprender acciones para proteger sus equipos. En este artículo se tratará de definir cada tipo de amenaza y conocer cual es la estrategia de Microsoft para combatir el enorme problema en que se ha convertido lo que inicialmente era un juego entre programadores.
La evolución de los virus se ha producido no sólo en las propias aplicaciones, sino también en el desarrollo y despliegue que los mismos llevan a efecto sobre las máquinas y las consiguientes consecuencias producidas. Básicamente los tiempos de implantación de un virus se corresponden con sus homónimos biológicos.
De las tres fases a las que nos enfrentamos evidentemente la más peligrosa es la tercera. Siendo además aquella en la que es más difícil adoptar medidas válidas. En la mayor parte de los casos el mal ya está hecho y el remedio que aplicamos se antoja inútil para restituir totalmente la situación previa al contagio. La fase de contagio suele ser la crítica para la eliminación del software malicioso. En esta fase el virus empieza a mostrarse abiertamente; un antivirus no actualizado o desprotegido, puede ser totalmente minado por el propio virus, haciéndonos caer en una falsa apariencia de normalidad hasta que se produce el ataque final, para lo cual nuestro antivirus se habría convertido en un software totalmente inoperante.
En función de sus metodologías de infección, podemos diferenciar las siguientes categorías de virus:
Cualquiera de estas aplicaciones es nociva o al menos no aportan nada positivo aunque a veces por ingeniería social nos las intenten enmascarar como insólitas, incluso simpáticas. Uno de los virus más curiosos que he encontrado quedaba enmascarado por una típica máquina tragaperras que se posicionaba en una esquina de la pantalla. Esta empezaba a funcionar de tal forma que cada vez que el resultado obtenido era 7 - 7 - 7, el virus borraba 1 GB del disco duro, se replicaba en memoria e infectaba los ficheros .exe que quedaban en disco. El resultado final era realmente pernicioso. Un supuesto programa "gracioso" se convertía en una trampa mortal para el atacado.
Una evolución natural de los virus aprovechando la aparición de nuevas tecnologías, lo constituyen los gusanos. Estos no atacan directamente al sistema, sino que su condición los obliga a replicarse ininterrumpidamente hasta que saturan los recursos de la máquina y producen la caída de los mismos y finalmente del sistema. La diferencia fundamental respecto de los virus reside en que mientras que éstos infectan y se replican sobre otros ficheros, los gusanos hacen copias de ellos mismos.
Algunos especimenes de gusanos se han hecho especialmente famosos especialmente a partir de haber aparecido en los medios de información. Estos "curiosos" programas presentan capacidades para utilizar las últimas tecnologías con objeto de distribuirse sistemáticamente. Para ello aprovechan el uso del correo electrónico, las "redes peer to peer", explotan las debilidades del entorno de trabajo. Normalmente llevan consigo potentes motores de programación que permiten crear por ellos mismos conexiones con objeto de distribuirse metódicamente por toda una red, haciendo muy complicada su erradicación total. Blaster, Sobig, Passer o Kibuv son algunos ejemplos.
Las acciones víricas curiosamente llegan aún más lejos y últimamente se han hecho notar las guerras de virus: virus que atacan, anulan y eliminan a sus congéneres. Un ejemplo claro lo tenemos con el "gusano Nachi.A.", que si encuentra una traza de blaster en la máquina la elimina. Lógicamente no todo podía ser bueno en este programita, ya que este gusano ataca vía TCP/IP e instala un servidor TFTP en la máquina afectada. El afán de notoriedad de los creadores de estos ingenios llega a intentar entrar en los Record Guiness por sus acciones. El virus "MyDoom", por ejemplo, presenta la faceta de ser uno de los "más rápidos en infectar de la historia".
Según ICSA Labs, el malware está causando grandes costes económicos a las empresas. Este coste se incrementó en un 23 % el en año 2003. Los factores que favorecen el crecimiento de los índices de infección incluyen nuevos tipos de virus cada vez más complejos, ficheros compartidos y nuevos vectores de replicación. El coste mundial que ocasionaron los virus y gusanos en el año 2003 se ha estimado en más de 12.000 millones de dólares, unos 9.230 millones de Euros, según Ron Markezich, jefe de información de Microsoft.
Microsoft no es ajeno a este problema y por ello ha adoptado diversas medidas y ha diseñado estrategias empresariales para conseguir evitar que el malware siga extendiéndose. El objetivo de Microsoft a mediano plazo es que el malware deje de ser un asunto crítico para los usuarios, proporcionando herramientas de protección avanzadas y seguras.
El 16 de diciembre del año pasado Microsoft anunció la adquisición de GIANT Company Software Inc., [ Ver GIANT] proveedor de soluciones anti-spyware y de seguridad en Internet (vea el anuncio en [www.microsoft.com/presspass/press/2004/dec04/12-16GIANTPR.asp])
El 8 de febrero de este año Microsoft anunció la adquisición de la empresa Sybari Software, [Ver Sybari] especializada en el desarrollo de herramientas de seguridad informática contra virus, gusanos y "spam" o correo basura, del que podemos ver el anuncio en [www.microsoft.com/presspass/press/2005/feb05/02-08SybariPR.asp]
Ambas acciones forman parte de la estrategia de Microsoft para proveer mejores soluciones de protección a sus clientes tanto en el segmento de pequeña y mediana empresa como en el segmento de grandes empresas y aplicaciones críticas de servidor.
Emulando la épica aventura de "La Iliada" de Homero, donde a través de una argucia de Ulises, los griegos consiguen tomar la ciudad de Troya introducidos en un caballo de madera, este tipo de programas crean una puerta falsa en nuestro sistema para que se pueda ejecutar código de forma remota sin necesidad de disponer de nuestro consentimiento. Realmente la funcionalidad de este tipo de programas se materializa en una arquitectura cliente-servidor, donde el servidor se convierte en la víctima y el atacante utiliza la parte cliente para ejecutar órdenes en la máquina infectada.
Básicamente un troyano difiere poco de una aplicación de control remoto. Las infraestructuras utilizadas son coincidentes, es por eso que algunos escaners de vulnerabilidades identifican aplicaciones de gestión remota comerciales con alertas de seguridad, aunque sus objetivos sean diametralmente opuestos. En función de estas pautas originales no podríamos considerar estas aplicaciones como virus propiamente dichos, aunque la evolución de los mismos provoca que la aplicación servidor se copie automáticamente en la máquina a infectar, ejecute procesos y modifique el registro sin consentimiento "relativo" del usuario.
Una de las curiosidades principales de este tipo de malware es su metodología de infección. Llegan normalmente a la víctima de forma enmascarada o mezclada con otro programa que pueda resultar suculento o interesante. A tal fin se utilizan programas tipo "joiner", que hacen que el programa trampa se ejecute en primer plano y el usuario pueda interactuar con él, mientras que por debajo se está produciendo la infección vírica. "Calimocho" es un programa de factoría nacional que es capaz de mezclar aplicaciones.
Cuando se ha producido la infección, el troyano se ejecuta como proceso en la máquina objetivo, se copia a alguna ubicación del disco duro y crea un nuevo valor de registro para que ejecute nuevamente el ciclo cuando se reinicie la máquina. El proceso utiliza generalmente la ingeniería social para enmascararse a la vista del usuario, normalmente su nombre está directamente relacionado con el entorno de trabajo o disimulado con un nombre similar a procesos comunes: por ejemplo svchost.exe. Esto realmente produce la apertura de un puerto, situando a la máquina en modo de escucha y permite interactuar a la aplicación cliente con el servidor troyano.
Para ver su funcionamiento completo tomaremos como referencia todo un clásico, el "Netbus". Curiosamente una de las formas de distribución de este troyano a través de Internet fue acompañado de un juego bastante simple llamado "whackamole". Ésta es una de las típicas aplicaciones que se distribuyen habitualmente en el correo electrónico y tiene como objetivo entretener un tiempo a la víctima y que éste no sospeche nada de lo que esta ocurriendo por debajo. Si hubiéramos abierto el juego con un programa descompresor comprobaríamos que realmente el ejecutable recibido se compone de 3 ficheros: un run.bat encargado de que se ejecute el juego (whack.exe) real, a la vez que de forma silenciosa está corriendo el troyano (explore.exe) que se encargará de desencadenar todo el procedimiento de infección. El nombre ha sido elegido para que quede disfrazado por similitud con el proceso de sistema Explorer.exe y así con esta medida pase desapercibido para la víctima.
Mediante un escaneador de puertos o un analizador de seguridad podríamos comprobar que tenemos en modo escucha al puerto 12345. Éste puerto es reconocido por ser utilizado de forma genérica por el troyano "Netbus". Otras de las acciones que se han producido es la copia del virus en la carpeta donde se encuentra instalado el sistema operativo y la creación de una entrada en la clave run del registro para que cuando se inicie el sistema operativo, se ejecute el proceso nuevamente. Adicionalmente éste se ejecuta con el modificador /nomsg para que el usuario no tenga constancia de lo que está pasando cuando arranca el equipo. Este modus operandi ejemplifica la forma habitual de infección de un troyano y el modo en que se ejecuta en la máquina objetivo.
Producido el ataque inicial en el momento en el cuál el cliente empieza a funcionar, se pueden dar una serie de variedades, los troyanos más sofisticados son capaces incluso de comunicar al hacker cuando una máquina ha sido infectada y cuáles son los datos necesarios para que se produzca la conexión: normalmente la dirección IP. Una vez que el atacante posee esta información, se produce la conexión mediante la aplicación cliente, quedando la máquina a su merced.
Las acciones que por lo tanto se puedan desencadenar, dependerán de las opciones que incluya el troyano, aunque básicamente se dividen en dos:
Evidentemente, de las dos posibilidades mencionadas la segunda tipología es la más peligrosa puesto que al no revelar su condición de forma abierta, permite operar durante mucho tiempo sin que el usuario sea consciente de lo que puede estar ocurriendo. Esta situación es aprovechada para múltiples fines perniciosos: robo de contraseñas, vigilancia y predicción de acciones, consulta y utilización de la información privilegiada de la víctima con otros fines, utilización como plataforma para lanzar ataques desde el ordenador infectado y enmascarar la verdadera identidad del atacante, etc.
Las posibilidades que por otra parte ofrece la primera situación son acciones que van enfocadas a fines mucho menos dañinos: gastar bromas, evidenciar las faltas de conocimiento del atacado, tornarse en un juego para el hacker o simplemente aumentar el ego informático de una persona. A pesar de ello no debemos olvidar que esta situación, sino queda resuelta y el virus no es eliminado, deja una puerta trasera abierta para que otros la puedan utilizar.
De la lista de los troyanos más famosos nombramos ahora algunos: subleven, deep troat, net devil, bunker hill, dolly o girlfriend. De factoría española también ha aparecido algún Backdoors como el "Taladrator". Una de los casos más curiosos lo constituyó el denominado backorifice, ya que originalmente apareció como un programa de gestión remota tipo VNC. Su programación es muy ordenada y la herramienta cliente presenta las funciones características de este tipo de aplicaciones. Aún así su uso extendido de forma ilícita hizo que la comunidad internacional concluyera que esta aplicación forma parte las aplicaciones tipo troyano.
Otra variante que suele confundirse con un troyano, por el uso que ofrece y las semejanzas en su utilización, son las herramientas Rootkit. Estas tienen como objetivo principal eliminar huellas, borrando logs, disfrazando y enmascarando acciones o instalando aplicaciones para ser utilizadas posteriormente con determinados fines agresivos, una vez conseguidos los derechos administrativos sobre la máquina. Estos kits, más complejos y elaborados que los virus, suelen instalarse una vez que la máquina ha sido troyanizada, aunque algunos de ellos cuentan con elementos propios de Backdoors para desplegarse automáticamente e infectar de la misma forma que lo haría un virus. Estas aplicaciones infectan a tres niveles: binario, librería o núcleo del sistema. Esta última es considerada la más peligrosa puesto que la ejecución de acciones se realiza con los mayores privilegios y además tienden a desestabilizar las funcionalidades de la máquina de forma directa.
La cultura de los troyanos ha llegado mucho más allá de lo que en apariencia podría suponerse. Llegando a crearse una serie de aplicaciones que disfrazan situaciones y que ejecutadas en una máquina hacen aparentar que dicha máquina ha sido infectada por un virus específico. El objetivo es engañar a un supuesto atacante más novato para que ataque nuestra máquina, haciéndole creer que ha conseguido su objetivo y manteniéndole además en dicho error durante el mayor tiempo posible. ¿Por qué esta situación? Bueno muchos hacker buscan víctimas entre la comunidad informática y ellos argumentan que están contraatacando contra un intento de acciones ilícitas contra sus máquinas, aunque hayan sido ellos mismos los que han planteado y organizado la trampa. Es algo similar ocurría con las guerras entre países, ante la necesidad de legitimizar la declaración de guerra internacionalmente, si la otra parte había iniciado alguna hostilidad manifiesta.
Remitiéndonos nuevamente al programa "Netbus", éste tiene su antítesis en el "Netbuster". Este antitroyano recrea una situación bajo la que se hace creer que una máquina está infectada con el virus. De este modo y cuando se produzca la conexión es posible obtener la dirección IP que la realiza, manteniendo la incertidumbre del ataque, puesto que devuelve respuestas predefinidas a cada una de las acciones que desencadene el "hacker". Estos antitroyanos además son capaces de eliminar una infección de su Némesis, aunque hay ser especialmente cuidadoso en su manejo puesto que algunos de estos programas se comportan también como puertas traseras o son susceptibles de ataque por otros virus.
Evidentemente estos virus troyanos funcionan perfectamente cuando el usuario conecta su máquina directamente a Internet o se mueven dentro de una red de área local, pero se encuentran con un problema cuando se ven en la necesidad de realizar las conexiones a través de Proxy o de Firewall. Frente a ello los programas de última generación como el "Assasin" y sus variantes, se nutren de las mismas capacidades para la conexión que las conexiones outgoing que generan los navegadores cuando establecen conexiones contra Internet. En este caso el virus servidor es reprogramado para que realice una conexión fija contra una dirección IP, y al ser el virus el que inicia la conexión el atacante tiene el canal de comunicación necesario para conectar y enviar las acciones de ataque contra la víctima. Con objeto de enmascarar sus acciones los troyanos de última generación pueden conectarse también a direcciones DNS que se vinculan a diferentes direcciones IP variables. Además este tipo de aplicaciones pueden realizar conexiones a través de puertos típicos de conexión como el 80 o el 21 para aquellas redes protegidas mediante Firewall y que permiten salidas muy limitadas.
La evolución en las comunicaciones, a la vez que la proliferación de las redes peer to peer, han conseguido que los troyanos se hayan podido extender con mayor facilidad. Igualmente el aumento del ancho de banda y la cantidad de conexiones que realizan las máquinas, sobre todo hacia Internet, permiten un enmascaramiento mucho más eficiente de sus acciones. También han empezado a proliferar un modelo específico de backdoors denominados Web Trojans basados en programación ASP o PHP.
Una vez que conocemos sus funcionalidades, es necesario analizar cuales son las metodologías que debemos utilizar para enfrentamos a ellos. Es evidente que la primera de ellas es el uso de antivirus como método activo para eliminar los que ya hayan infectado nuestra máquina, o como medida preventiva frente a aquellos que puedan infectamos con posterioridad. En este sentido no debemos caer en la falsa seguridad de creer que el antivirus nos protege definitivamente. Si atendemos a los que hemos comentado, habremos observado que realmente funcionan como una aplicación cliente-servidor, con lo que no es posible asegurar que no se haya desarrollado una aplicación de este tipo que haya podido pasar desapercibida a la comunidad informática. En función de esta posibilidad tenemos la capacidad de utilizar firewalls que controlan y nos advierten de los accesos y las conexiones que se realizan desde nuestro equipo, de tal forma que si un proceso manifiesta un intento de conexión que nosotros no tenemos controlado deberíamos denegar dicha acción.
También podemos emplear medidas de tipo preventivo, tales como no ejecutar todo aquello que cae en nuestra máquina, desechar archivos de los que no conocemos su utilidad o han sido proporcionados por fuentes de dudosa confianza. Navegar por Internet con usuarios sin derechos administrativos, para evitar que acciones camufladas tengan consecuencias nefastas sobre nuestra máquina. Utilizar escaneadores de puertos o ejecutar el comando netstat -na y contrastar posteriormente los resultados obtenidos con listas de los puertos utilizados por los troyanos. Utilizar escáner de vulnerabilidades que revelen la existencia de puertas traseras en nuestro sistema y por supuesto desconfiar cuando notemos que en nuestro equipo empiezan a pasar cosas sin una explicación lógica o coherente que no correspondan precisamente con lo que nosotros estuviéramos haciendo.
Basado en conceptos propios de los virus, el spyware es un paso más en los programas maliciosos. Básicamente son programas que están diseñados para recopilar información de los hábitos de visitas a páginas Web de los usuarios.
Al igual que los troyanos, el spyware se instala en los sistemas oculto en software que a simple vista puede ser inofensivo como programas shareware o freeware que el propio usuario ha descargado de la red o cookies que se han descargado después de haber visitado una página web aparentemente inofensiva. Del mismo modo que un virus, se instalan en el sistema sin permiso del usuario.
Entre las acciones que llevan a cabo los programas spyware está la identificación de las visitas a páginas Web, apertura de ventanas anunciando productos o servicios relacionados con lo que se está visitando (Pop-ups), y en los peores casos registros de las pulsaciones de teclado del usuario para robar contraseñas y números de cuentas de tarjetas de crédito (keyloggers).
Como efecto colateral el sistema comienza a sufrir con múltiples procesos abiertos que pueden llegar a colapsar la capacidad del procesador. La experiencia del usuario cada vez se deteriora más hasta que resulta casi imposible ejecutar cualquier programa.
Con la adquisición de Giant Company Software, Inc. [Ver GIANT]Microsoft pretende cubrir una de las mayores necesidades de sus clientes y usuarios finales, la protección contra el Spyware incluida en los sistemas operativos Microsoft Windows. Giant Company Software, Inc. es una compañia líder en desarrollo de productos de protección y seguridad en Internet. Está localizada en Nueva York y tiene oficinas en Chicago y Atlanta.
El nuevo producto se llama Microsoft Windows Anti-Spyware y actualmente está en versión beta, con una actualización del 16 de febrero de 2005, en la cual se han mejorado los agentes de protección en tiempo real, se han añadido nuevas categorías de amenazas y se ha mejorado la estabilidad y el rendimiento de la aplicación. El número de compilación de la actual versión es 1.0.509.
Además, Microsoft ha puesto en marcha el servicio SpyNet TM, el cual es una comunidad mundial de usuarios de Microsoft Windows Antispyware que juegan un papel clave en la determinación de qué software es clasificado como spyware.
No debemos menospreciar el spyware y dejarlo a un lado a la hora de planificar la protección de sistemas de información, servidores y estaciones de trabajo. Hasta los mas precavidos administradores pueden verse infectados por spyware sin apenas darse cuenta.
Es recomendable por lo tanto, no visitar sitios web dudosos o susceptibles de contener spyware, tampoco utilizar sistemas de intercambio de ficheros y redes peer to peer, no abrir correos spam o cuyo remitente no es conocido y además formatear y reinstalar el sistema con cierta regularidad. Tratemos de tomar todas las medidas de protección necesarias. Aún así, cada vez que se ejecute alguna herramienta de detección de spyware nos llevaremos alguna sorpresa al comprobar que de alguna u otra forma ahí están. Los siguientes son dos ejemplos de algunos de los spyware más extendidos -según CA, Spyware Information Center, en www3.ca.com -:)
Alexa Toolbar. Es un servicio que añade la habilidad de mostrar sitios relacionados a los que el usuario está visitando en ese momento mientras navega en el Web. Lo realiza gracias a un log de sitios visitados y analizando los patrones de comportamiento en la navegación de los usuarios. También utiliza estos registros para crear informes comerciales. El spyware incluye un gestor de Pop-ups y una función de búsqueda en el Web que está se apoya en el motor Google.Cuando se instala el software y mientras se está ejecutando, se instalan cookies en el sistema, la cuales asignan un número de serie único al explorador Web que se está utilizando. Esto habilita al servicio Alexa a reconocer e identificar el explorador Web y los comportamientos de visitas y compras en línea del usuario. Por cada sitio Web que el usuario visita, el software de Alexa transmite y almacena la siguiente información del equipo:
Gator. Gator es el software principal de GAIN (Gator Advertising Information Network). Es una red de publicidad que desarrolla campañas de marketing mediante el uso de adware desarrolla por la Corporación Gator. Esta red se en un acuerdo de permiso de instalación que se incluye junto con otros programas freeware de empresas participantes como Kazaa. Gator se compone de:
Las mejoras en Internet Explorer de Windows XP SP2 ayudan a mantener un sistema limpio de spyware. Los scripts y las descargas automáticas son bloqueadas y se informa al usuario qué desea hacer mediante la nueva barra de información. Incluye también una funcionalidad para bloquear los impertinentes pop-up.
El nuevo gestor de componentes proporciona un punto central para ver y gestionar todos los complementos de Internet Explorer, incluyendo controles Active X, BHO (Browser Helper Objects), barras de herramientas, etc.
Internet Explorer SP2 puede también prevenir ciertos exploits relacionados con la detección del fichero referenciado por un enlace. Utiliza una técnica llamada "MIME Sniffing" y consiste en escanear el inicio del fichero para identificar la firma y el tipo de fichero. Si el contenido del fichero no coincide con los caracteres de identificación, IE SP2 lo rechazará. Así mismo, IE SP2 evita que pantallas generadas por scripts se muestren ocultando partes esenciales de la interfaz de usuario y obliga a que se mantengan completamente visibles, a fin de evitar que por acciones del usuario tratando de cerrar la pantalla se instalen aplicaciones maliciosas.
El proceso de proteger al sistema del spyware se basa en dos acciones fundamentales:
En el escaneo completo de sistema, Microsoft Windows Anti Spyware y en general cualquier herramienta anti spyware se centran en estos componentes:
Con respecto a la protección en tiempo real, son los agentes los que realizan el trabajo. Microsoft Windows Anti Spyware incluye los siguientes tipos de agentes:
Como se puede observar, son muchos los componentes nuevos y mejorados y las herramientas incorporadas. Sin embargo resultan insuficientes si no se dispone de una buena planificación de seguridad que incluya un programa antivirus, un programa anti spyware, firewall de red y de aplicaciones y ante todo mantener el sistema operativo, las aplicaciones y los servicios actualizados en todo momento.
La combinación de las mejoras en Windows XP SP2, Microsoft Windows Anti Spyware y Antigen de Sybary tanto en servidores como en clientes eleva el nivel de seguridad de los entornos de tecnología de información y de las organizaciones. Permite a los usuarios navegar con mayor tranquilidad y a los administradores mantener bajo control los sistemas.
Si la amenaza vírica era uno de los problemas principales a los que se enfrentaba la comunidad IT, ésta ha tenido constancia de la aparición y uso de un gran número de otras aplicaciones que han causado perjuicios notables y daños irreparables en el sector. Las pérdidas económicas y de tiempo que este mal produce afectan tanto al mercado doméstico, como al sector empresarial. Desgraciadamente las cifras que se barajan son preocupantes y la tendencia no es a la baja. Originalmente la amenaza consistía en virus y troyanos, ahora: spyware, mail-bomb, keylogger, dialers, jokes, etc., nos amenazan por muchos frentes uniéndose y conjugando sus tecnologías para ejecutarse de forma más perniciosa.
Este tipo de malware tiene una filosofía de actuación similar al SPAM, aunque realmente el fin que persigue no es el mismo. Básicamente las bombas de correo son una serie de aplicaciones que tienen como objetivo atacar el buzón de correo de un usuario hasta conseguir la saturación del mismo. Consiguiendo así la denegación de servicio del buzón, y evitando por lo tanto que el atacado pueda enviar o recibir más correo hasta que la amenaza no sea eliminada.
La metodología utilizada, por lo tanto, es el uso de una serie de aplicaciones que se van a encargar de construir los correos y enviarlos hacia Internet. Una de las medidas de protección contra estos mail bomber consiste en configurar el servidor de correo para que no acepte series de ellos cuando procede de la misma fuente. A pesar de ello aplicaciones más avanzadas son capaces de buscar diferentes pasarelas de correo SMTP desprotegidas para reenviar desde allí los e-mail y aparentar de esta forma que los correos proceden de diferentes orígenes evitando la medida de protección y cumpliendo así el objetivo marcado. Adicionalmente estas aplicaciones son capaces de encolar mensajes haciendo posible que estos queden dispersos por Internet. De este modo, aún comenzando la tarea de limpieza de la bandeja de entrada, éstos seguirían entrando y por lo tanto colapsando el sistema de correo. "Unabomber" o "Avalanche" son algunos de los ejemplos de mail bomber más utilizados en Internet.
Si por algún motivo el ataque fuera prolongado y lanzado contra un gran número de buzones de correo de un determinado servidor, no se descarta la posibilidad de que se produzca denegación de servicio completa de todo el servidor. Una evolución natural en este tipo de ataque contra servidores se produce no con el envío masivo de correo, sino con el envío de bombas lógicas o gusanos de correo. La primera forma de actuación consiste en un pequeño programa que ejecuta una rutina cuando' se producen una serie de condiciones: fechas, horas, sistemas operativos, tipo o versión de servidor, etc. Fueron creados originalmente para atacar máquinas y explotar debilidades de las mismas, instalar troyanos o producir la denegación de servicio del equipo. La variante de correo consiste en crear una serie de aplicaciones que enviadas mediante el servicio de mensajería, atacan determinadas versiones de servidores que pueden ser vulnerables frente a ellas. Cuando se produce la condición especificada para la bomba, ésta se activa y consecuentemente comienza a actuar. Esto normalmente implica la replicación del correo hasta que se produce la saturación del buzón, aunque también existen algunas versiones que instalan aplicaciones o ejecutan una subrutina para reiniciar la máquina.
La segunda forma de ataque consiste en un correo portando un adjunto que al ser ejecutados inicia el proceso de autorreplicación, recoge la libreta de direcciones del atacado y se reenvía hacia los buzones obtenidos. El problema de los gusanos va más allá puesto que una vez ha infectado una máquina, desencadena una serie de procedimientos para extender sus acciones. Por ejemplo en una fecha determinada se pueden lanzar una serie de ataques masivos utilizando para ello los medios propios de las víctimas, contra servidores web o de correo determinados. El objetivo no es otro que se produzca la denegación de servicio, siendo en este caso de forma distribuida (DDOS). El ejemplo más típico de gusano conocido que utiliza esta metodología es "Mydoom".
La mejor protección contra estas amenazas es la precaución. Hay que desconfiar de aquellos correos de dudosa procedencia o de contenido incierto. Por ejemplo, si recibimos un correo de un amigo con un asunto en inglés tipo Hi!, debemos desconfiar del mismo, o desechar correos con adjuntos si no podemos confirmar su procedencia.
Sin lugar a dudas un virus es peligroso, pero al final de una u otra forma eres conocedor de su existencia y puedes poner un remedio (o al menos intentarlo).Pero ¿qué pasaría si algo en la máquina estuviera recogiendo lo que hacemos y lo enviara a otra persona? Por supuesto las repercusiones serían mucho más graves. El espionaje informático es una operativa lucrativa utilizada por algunos hackers y que supone un gran peligro. Imaginamos qué una persona conoce cada golpe de teclado que realizamos en nuestra máquina. Conocería nuestras password, tendría acceso a nuestro correo, sería capaz de predecir nuestras acciones, detectaría y anticiparía nuestros modos de operación, tendría acceso a toda nuestra información, etc. Los keylogger son aplicaciones malware que tienen este objetivo.
Esta aplicación normalmente llega al usuario de forma camuflada, algo similar a como sucede con los troyanos, y una vez instalado en la máquina ejecuta las acciones correspondientes para recoger cada pulsación que se produzca en el teclado del ordenador. Algunos sitios web (principalmente bancos) conocedores de estos programas han rediseñado sus accesos para introducir las claves de acceso a través de números que son pulsados por ratón en una consola de la página web. Para sobreponerse a estas técnicas los keylogger han ido evolucionando, recogiendo también las comunicaciones de los navegadores y almacenando las pulsaciones de ratón e intentando identificar en que posición de pantalla fueron accionadas.
Un problema al que se enfrenta un atacante que utiliza un programa de este tipo es la de recoger la información obtenida. Algunos de ellos vuelcan la información en un texto plano y el hacker debería tener acceso físico al mismo para recoger lo obtenido, pero los más avanzados pueden ser configurados para reenviar la información vía correo a un buzón específico, o establecer una comunicación contra una dirección IP y enviar los datos necesarios. KGB Keyloger presenta estas funcionalidades.
Algunos de estos programas han pasado a ser comerciales y se ha extendido su uso para el control y predicción de acciones. Algunos padres los utilizan para conocer que lugares de Internet visitan sus hijos, que conversaciones mantienen a través de Messenger, etc.
Este tipo de aplicaciones se han convertido en un verdadero problema fundamentalmente para el usuario doméstico. Desarrolladas originalmente por los proveedores como un método simple para que los usuarios pudieran conectarse a Internet, sin necesidad de grandes configuraciones. Actualmente, sin embargo, son utilizados en muchas ocasiones para redirigir las comunicaciones de los usuarios con Internet sin que estos tengan una constancia directa de ello.
Desde hace un tiempo ha empezado a proliferar una serie de sitios web preparados para descargar una serie de dialers sobre la máquina objetivo. Estas aplicaciones no se pueden ejecutar sin el consentimiento e intervención del usuario, pero las argucias y engaños empleadas son cada día más sofisticados para hacer caer en la trampa al sufrido usuario. Una vez que el díaler se encuentra instalado, este se encarga de cerrar la conexión que actualmente se encuentra activa y realizar una nueva comunicación a internet al número de teléfono que preestablece el marcador. Curiosamente el número suele coincidir con teléfonos de tarifa especial como pueden ser los 803. Si el usuario no es consciente de esta situación, toda la conexión hacia Internet se reconducirá a través de esta comunicación. El resultado final se obtiene cuando se recibe la factura telefónica. Un poco tarde.
El problema de este uso "supuestamente fraudulento" es que roza lo legalmente establecido. Se informa realmente de su uso y cuales son las tarifas para el establecimiento de llamada, aunque se hace de una forma enmascarada utilizando hábilmente la información para no alarmar a la víctima, escapando de esta forma a cualquier medida control, puesto que se cumplen los requisitos mínimos que exige la ley.
La implantación progresiva de la tecnología ADSL inmune a ésta técnica ha minimizado el impacto de estos marcadores. A pesar de ello hay muchos equipos que todavía establecen sus conexiones mediante el marcado telefónico y estos aún pueden verse afectados seriamente. Se recomienda concertar con la compañía de acceso a Internet el control para impedir las llamadas hacia este tipo de números de teléfono o utilizar programas que controlen las llamadas desde el MODEM.
Aunque no pueden quedar encuadrados directamente en el mismo grupo que virus, troyanos, etc., en cuanto al daño que producen, estas bromas se pueden incluir perfectamente bajo la categoría de malware y no es menos cierto que sus repercusiones pueden ser muy negativas. De aspecto totalmente inofensivo, los programas jokes se han ido distribuyendo mediante correo con el único propósito de gastar una jugarreta a un amigo, aunque a veces ésta llega más lejos de lo normalmente razonable. Imagine a un usuario novato ejecutando una aplicación que le pregunta: ¿desea formatear el disco duro? y aunque se de la orden de cancelar para que no se inicie el supuesto procedimiento de formateo, éste se inicie, con el consiguiente susto por parte del engañado. Lo más probable en una lógica reacción va a ser apagar repentinamente el equipo, con la posible pérdida de información.
También en las empresas tienen sus consecuencias perniciosas, especialmente relacionadas con pérdidas de productividad. Normalmente estos juegos acaban con el desplazamiento de un técnico de soporte al puesto de trabajo para evaluar que es lo que ha ocurrido, intentando solucionar un problema que inexistente.
Como hemos podido ver existe gran diversidad de aplicaciones, que se valen de múltiples métodos para atacar a nuestros sistemas. Es indiferente nuestras capacidades informáticas o nuestra experiencia y al final todos podemos ser afectados de una u otra forma. Afortunadamente también hemos constatado que por cada tipo de aplicación maliciosa existen una serie de herramientas específicas o genéricas que intentan su controlo erradicación.
Destacamos en este punto la nueva herramienta desarrollada recientemente por Microsoft y que tiene como objetivo la lucha contra el software malintencionado: Malicious Software Renoval Tool. Toda la referencia a la utilidad y la descarga de la misma, se puede realizar desde la siguiente URL [ Ver Malwareremove] [http://www.microsoft.com/security/malwareremove/default.mspx]
Este software podrá ser utilizado en los sistemas operativos Windows 2000, XP y 2003, Y su objetivo es detectar y eliminar Malware. Su actualización que también puede realizarse de forma acumulativa se realizará el segundo martes de cada mes, de tal forma que siempre tendremos un nivel óptimo de actualización. La herramienta no nace como la defensa contra infecciones y ataques, sino como una posibilidad para eliminar una infección, por lo cual no debe plantearse nunca como sustituto de un antivirus.
Artículo publicado originalmente en la edición 96 correspondiente a Marzo 2005
2004 Copyright Windows Magazine.
| © 1.997- 2.008 - La Güeb de Joaquín | |||||
|
Joaquin Medina Serrano
|
|||||
|