Curso: Introducción a la seguridad informática: 05 Seguridad antivirus
1. 1
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Introducción a la seguridad informática
Ingeniería de Sistemas y Seguridad Informática
Mg. Ing. Jack Daniel Cáceres Meza, PMP
jack_caceres@hotmail.com
Sesiones 07 y 08
Seguridad antivirus
2. 2
Mg, Ing. Jack Daniel Cáceres Meza, PMP
¿Recordamos?
Establecer
la seguridad
apropiada
para
proteger
datos,
aplicaciones
y sistemas
operativos.
3. 3
Mg, Ing. Jack Daniel Cáceres Meza, PMP
¿comportamiento extraño?
Revisar: http://www.auditool.org/blog/auditoria-de-ti/3071-tipos-de-virus
4. 4
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Clasificación según su forma de infectar
Acompañante
El virus crea un archivo COM con el mismo nombre y en el mismo lugar que el EXE
a infectar. Después ejecuta el nuevo archivo COM, creado por el virus, y cede el
control al archivo EXE.
Archivo
Infectan archivos del tipo *.EXE, *.DRV, *.DLL, *.BIN, *.OVL, *.SYS e incluso BAT.
Estos se activan cada vez que el archivo infectado es ejecutado.
Gusanos
Se registran para correr cuando inicia el sistema operativo ocupando la memoria y
volviendo lento al ordenador, pero no se adhieren a otros archivos ejecutables.
Utilizan medios masivos como el correo electrónico.
Troyanos
Suelen ser los más peligrosos, ya que no hay muchas maneras de eliminarlos.
Funcionan de modo similar al caballo de Troya; ayudan al atacante a entrar al
sistema infectado, haciéndose pasar como contenido genuino (salvapantallas,
juegos, música).
Bomba de Tiempo
Son programas ocultos en la memoria del sistema o en los discos, en los archivos
ejecutables con extensión .COM o .EXE. Espera una fecha u hora determinada para
realizar la infección. Se activan cuando se ejecuta el programa.
5. 5
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Ciclo de vida de un virus informático
Los virus no suelen estar activos
en el momento de su creación,
sino que poseen un tiempo de
espera (incubación), lo que les
permite extenderse ampliamente
antes de ser detectados.
• Redes Sociales.
• Sitios webs fraudulentos
• Redes P2P (descargas con
regalo)
• Dispositivos USB/CDs/DVDs
infectados.
• Adjuntos en Correos no
solicitados (Spam)
• Sitios webs legítimos pero
infectados.
• Descubrimiento: Esta fase no
siempre sigue a la activación.
Cuando se detecta un virus,
este se aísla y se envía al
ICSA en Washington, D.C.,
para ser documentado y
distribuido a los fabricante
de software antivirus. El
descubrimiento suele
realizarse antes de que el
virus pueda convertirse en
una amenaza para la
comunidad informática.
• Asimilación: En este punto,
los fabricantes de software
antivirus modifican este para
que pueda detectar el nuevo
virus. Este proceso puede
durar de un día a seis meses,
dependiendo del fabricante y
el tipo del virus.
• Desarrolladores de software
• Vandalismo cibernético
• Creadores profesionales de
virus
• Los investigadores de virus:
los autores de "pruebas de
concepto" maliciosas
• Crimen cibernético organizado
• ¿Gobierno?
• “Sobreviven” los mejores, los más
avanzados y los que incorporan
novedades más inteligentes en sus
mecanismos de funcionamiento.
• Advanced Persistent Threat –APT.
• 0day
• Combatir contra los virus es una
carrera contra el tiempo. Es un
trabajo muy duro.
• Stealth (Ocultamiento)
• Tunneling
(Sobrepasamiento)
• Armouring o
antidebuggers
• Polimorfismo o
automutación
• Ususarios móviles
6. 6
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Zero Day
Opinión
"Ninguna empresa puede protegerse al 100% contra un zero
day"
Miguel Angel Martín (Computer Associates)
“Las soluciones antivirus necesitan un salto cuántico...Se
basan en tecnología de hace 10 años. En informática es
¡muchísimo tiempo!”
“Se debe tender a un nuevo método de detección: En lugar de
ser reactivo las soluciones antivirus deber ser
proactivas"
Fernando de la Cuadra (Panda Software)
“Cualquier tráfico saliente anormal en los puertos, e-mails
masivos enviados por un usuario o el escaneo de IPS, debe
hacer saltar la alarma"
Daniel Baras (BitDefender)
7. 7
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Equipos Móviles
Opinión
"Las computadoras portátiles constituyen un riesgo muy alto porque
están fuera de la red en muchas ocasiones, pueden recibir código
maligno sin la supervisión de ningún responsable de seguridad...
cuándo vuelven a la oficina, no se lleva a cabo ningún control
sobre el estado de la seguridad”
Fernando de la Cuadra (Panda Software)
"Estos usuarios son de alto riesgo para la integridad de los
sistemas. Está demostrado que son el origen de muchas de las
infecciones que sufren hoy en día las organizaciones”
“Este tipo de usuario deberá ser concienciado y responsabilizado del
riesgo que supone para la supervivencia del negocio”
Miguel Angel Martín (Computer Associates)
“Aconsejamos a las empresas utilizar técnicas de cuarentena para
los usuarios móviles. Tener esas estaciones en una estricta
cuarentena e impedirles el uso de la red hasta que no estén
completamente chequeadas”
Denis Zenkin (Kaspersky Labs)
8. 8
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Formación
Opinión
“¡Es básico! Si los usuarios son capaces de entender qué pasa con un mensaje
extraño, el peligro se reduce drásticamente”
Fernando de la Cuadra (Panda Software
"Uno de los puntos fundamentales en la prevención de los sistemas
corporativos. Los usuarios deben conocer y ser concientes del riesgo y de
las consecuencias que pueden llegar a producirse"
Miguel Angel Martín (Computer Associates)
“Creemos que los humanos siguen siendo el eslabón más flojo en la cadena de
seguridad. La mayoría de las infecciones ocurren porqué la gente (tanto
usuarios como administradores de sistemas) no son capaces de enfrentar el
ataque del virus por falta de conocimientos”
Denis Zenkin (Kaspersky Labs)
“Para la mayoría de los usuarios la formación no es efectiva. Ellos seguirán
toda la vida y para siempre haciendo doble click sobre cualquier cosa”
Mikko Hypponen (F-Secure Corporation)
“Todos los empleados que usan deben tener un claro conocimiento sobre los
virus, su forma de difundirse y lo daños que pueden hacer”...“La educación
es una medida de seguridad muy importante”
Carole Theriault (Sophos)
9. 9
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Citas de los Expertos (I)
“DEBEMOS COMENZAR A PENSAR DISTINTO PARA PROTEGERNOS DE
VIRUS Y CODIGOS DAÑINOS”
“NO SE PUEDE SEGUIR UTILIZANDO TECNOLOGIA REACTIVA PARA
PROTEGERSE DE LOS VIRUS”
“LOS ANTIVIRUS SON SOLO UNA PARTE DE LA ECUACION DE
PROTECCION”
ICSA Labs
“COMPUTER ANTIVIRUS STRATEGIES IN CRISIS”
“EL METODO QUE USAMOS PARA COMBATIR LOS VIRUS ES
FUNDAMENTALMENTE DEFECTUOSO”
“CUANDO LOS ANTIVIRUS LOS COGEN EL DAÑO YA ESTA HECHO”
“AUN SI LA FIRMA ESTUVIERA DISPONIBLE EN EL MISMO MOMENTO EN
QUE EL VIRUS SE LIBERA YA NO PODRIA DETENER LA INFECCION”
New Scientist -Hewlett-Packard Labs. UK
10. 10
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Citas de los Expertos (II)
“LAS INFECCIONES EXTREMADAMENTE RAPIDAS NO PUEDEN DETENERSE
USANDO SOLO EL METODO TRADICIONAL BASADO EN FIRMAS”
F-Secure Corporation
“LOS ESCANERES NO PUEDEN SEGUIR FUNCIONANDO. YA ERA ASI
HACE 3 Ó 4 AÑOS, SOLO QUE AHORA ES TOTALMENTE OBVIO”
“LA HEURISTICA SOLO FUNCIONA REALMENTE CON AUTORES DE VIRUS
FACILES.LOS MAS SOFISTICADOS USAN PRUEBA Y ERROR HASTA QUE
LA EVADEN”
“LOS BLOQUEADORES DE COMPORTAMIENTO YA HAN ESTADO AQUI Y NO
FUNCIONARON. NO SIRVIERON HACE 20 AÑOS, TAMPOCO SIRVEN
AHORA”
Dr. Alan Solomon
11. 11
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Tipos de antivirus informáticos
ANTIVIRUS PREVENTORES: como su nombre lo indica, este tipo de
antivirus se caracteriza por anticiparse a la infección, previniéndola. De
esta manera, permanecen en la memoria de la computadora,
monitoreando ciertas acciones y funciones del sistema.
ANTIVIRUS IDENTIFICADORES: esta clase de antivirus tiene la función
de identificar determinados programas infecciosos que afectan al
sistema. Los virus identificadores también rastrean secuencias de bytes
de códigos específicos vinculados con dichos virus.
ANTIVIRUS DESCONTAMINADORES: comparte una serie de
características con los identificadores. Sin embargo, su principal
diferencia radica en el hecho de que el propósito de esta clase de
antivirus es descontaminar un sistema que fue infectado, a través de la
eliminación de programas malignos. El objetivo es retornar dicho
sistema al estado en que se encontraba antes de ser atacado. Es por
ello que debe contar con una exactitud en la detección de los
programas malignos.
12. 12
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Virus de Hoy
Busca envíos masivos
Motores propios de difusión
Aprovechan vulnerabilidades del S.O., firewalls, programas de correo,
navegadores, etc...
Amenazan la privacidad
“Secuestran” equipos
Organizan redes clandestinas de miles y miles de equipos
comprometidos
Lanzan ataques de Denegación de Servicio (DoS)
Velocidad propagación infinitamente superior
Utilizan técnicas de spoofing
Introducen backdoors (puertas traseras)
Anonimato Impunidad
Warspamming
13. 13
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Anti virus –comerciales y no tan comerciales
16. Mg. Ing. Jack Daniel Cáceres Meza, PMP
jack_caceres@hotmail.com
Gracias por su atención
¿Preguntas?
Mg. Ing. Jack Daniel Cáceres Meza, PMP
jack_caceres@hotmail.com