WEBQUEST: SEGURIDAD INFORMTICA

Mnica Gmez Nula 1 Bachillerato

NDICE
Herramientas de proteccin de equipos informticos Comparacin entre 4 virus especficos: - I love you - Zone.H - Sasser.B - Blaster Recomendaciones de algunos programas gratuitos para la proteccin del equipo: - Avast - AVG - Dr. Web - Norton - Lookout Caractersticas del virus Stuxnet.

HERRAMIENTAS DE PROTECCIN DE EQUIPOS INFORMTICOS.

Introduccin: En la seguridad de las tecnologas de la informacin no suele ser suficiente con conocer las amenazas a los que nos enfrentamos, sino que es necesario adems preparar los sistemas, disponer de herramientas adecuadas para prevenirlos y combatirlos. Lo ideal est en encontrar el equilibrio entre funcionalidad y seguridad. Las herramientas de las que debemos disponer son: Antivirus: es lo ms esencial que se debe tener en un ordenador. Se trata de un programa que tiene como finalidad detectar y eliminar virus informticos, as como proteger los equipos de otros programas peligrosos conocidos como malware. Tambin se encargan de eliminar los adware y pop-ups, eliminando los ventanas emergentes que aparecen causados por esos programas. Adems de los conocidos virus, gusanos, troyanos, backdoors y sniffers. Cmo trabaja? Este tipo de programa trabaja con una base de datos que contiene parte de los cdigos utilizados en la creacin de virus conocidos y compara el cdigo binario de cada archivo ejecutable con esta base de datos. Adems los avances en el uso de sistemas informticos han obligado a crear formas ms complejas que se valen tambin de procesos de monitorizacin de los programas para detectar si stos se comportan como virus. Backup: Copia de seguridad que se realiza sobre ficheros o aplicaciones contenidas en un ordenador con la finalidad de recuperar los datos en el caso de que el sistema de informacin sufra daos o prdidas accidentales de los datos almacenados. Firewall o cortafuegos: es un elemento de seguridad, software o hardware, cuya finalidad es filtrar todo el trafico de informacin entrante y saliente existente en nuestro ordenador, mediante polticas de trfico. Es una medida muy recomendable en cualquier equipo para combatir cualquier intento de intrusin o de uso eficaz de malware, como intrusos, hackers, crackers, keylogger y phone phreakers. Antispam: programa que detecta y elimina el correo basura, relacionado con la publicidad, y que se usa para bombardear los e-mails y provocar prdidas en la productividad. Antispyware: programa que se encarga de detectar y eliminar los spyware (programas espa) que de forma encubierta utiliza la conexin de internet para extraer informacin. Herramientas antidialers: herramientas que evitan el cambio de conexin de internet y el desvo de la llamada a otro nmero para beneficiarse. Actualizaciones del software: actualizar el sistema puede ser beneficioso para evitar fallos, defectos o vulnerabilidades del software que puede ser perjudicial para el equipo. Evitan programas como bugs, exploits. Antiphising: herramientas que protegen de los ataques de phishing y vigila donde se hospedan, proporcionando un ndice de riesgo de los sitios que visitas.

Tabla comparativa de los distintos virus

Caractersticas tcnicas I love you Nombre completo: Worm/I love you@MM Definicin Clasific acin Consecuencias Su apariencia en forma de correo es un mensaje y/o un fichero adjunto, que puede quedar oculta en las configuraciones de Windows, por lo que la apariencia del anexo es la de un simple fichero de texto. Por ello cuando se abre el archivo infectado el gusano infecta el ordenador y se intenta autoenviar para propagarse. Adems crea varias copias de si mismo en el disco duro.

Es un virus de tipo Worm gusano, escrito en (gusano) Visual Basic Script que Aspectos: se propaga a travs de Peligrosidad: 1 - Mnima correo electrnico y de Difusin: Baja IRC (Internet Relay Dao: --Chat). Dispersibilidad: ---Miles de usuarios de todo el mundo, entre los - No tiene capacidad para ejecutarse automticamente que se incluyen grandes multinacionales e en cada reinicio del sistema. instituciones pblicas, - S tiene capacidad de se han visto infectados propagacin. por este gusano. - Mecanismo principal de Su procedencia es difusin: MM (se enva Manila y el autor se masivamente mediante apoda Spyder. mensajes de correo electrnico). Fecha de publicacin: 01/05/2000

Zone.H

Nombre completo: Trojan.Multi/Zone.H

Troyano para la Troyano Cuando Zone.H se plataforma Windows que ejecuta, realiza las descarga otros archivos siguientes Aspectos: maliciosos que, a su acciones: Peligrosidad: 3 - Media vez, descargan otros 1. Crea un fichero. Difusin: Baja archivos maliciosos. 2. Se comunica con servidores Dao: Medio remotos. Dispersibilidad: Baja 3. Descarga ficheros maliciosos - No tiene capacidad de que guarda con propagacin. nombres aleatorios - S tiene capacidad de en la carpeta de ejecutarse automticamente archivos en cada reinicio del sistema temporales. 4. Crea entradas Fecha de publicacin: del registro de 09/11/2010 Windows para que estos ficheros se Plataformas afectadas: ejecuten de nuevo Microsoft Windows con cada reinicio Vista/XP/Server 2008/Server del sistema.

2003/2000/NT/Me/98/95 Microsoft Windows de 32 bits. Adems de Microsoft Windows Vista/XP/Server 2008/Server 2003 Microsoft Windows de 64 bits.

5. Estos ficheros, a su vez, descargan los archivos maliciosos.

Sasser.B Nombre completo: Worm.W32/Sasser.B Aspectos: Peligrosidad: 4 - Alta Difusin: Alta Dao: Medio Dispersibilidad: Alta - No tiene capacidad para ejecutarse automticamente en cada reinicio del sistema. - S tiene capacidad de propagacin. Fecha de publicacin: 02/05/2004 Tamao: - Tamao (bytes): 15.872 Plataformas afectadas: Microsoft Windows Vista/XP/Server 2008/Server 2003/2000/NT/Me/98/95 Microsoft Windows de 32 bits.

Gusano que se propaga Worm utilizando la (gusano) vulnerabilidad en el proceso LSASS (Local Security Authority Subsystem). Se propaga a equipos sin proteger frente a dicha vulnerabilidad. Sus posibles sntomas pueden ser: aviso de reinicio del equipo en 1 minuto y trfico en los puertos TCP 445, 5554 y 9996.

El gusano se copia a s mismo en el directorio de instalacin de Windows y crea archivos. Despus inicia hilos de ejecucin para escanear direcciones IP buscando sistemas vulnerables. Provoca un desbordamiento de bfer y detecta la versin del sistema operativo para utilizar diferentes exploits. El gusano se ejecuta e infecta el ordenador.

Blaster

Nombre completo: Se trata de un virus de Worm Worm.W32/Blaster@VULN+O gran propagacin ya que (gusano) tros hace uso de una vulnerabilidad de los Aspectos: sistemas, conocido Peligrosidad: 4 - Alta como "Desbordamiento Difusin: Media de bfer en RPC DCOM ". Dao: Alto Dispersibilidad: Alta - No tiene capacidad para ejecutarse automticamente

Este gusano explota la vulnerabilidad citada en la definicin ("Desbordamiento de Bfer en RPC DCOM"), una vulnerabilidad en llamadas a procedimiento remoto (RPC)

en cada reinicio del sistema. - S tiene capacidad de autopropagacin. Se propaga usando el puerto TCP 135, que no debera estar accesible en sistemas conectados a Internet. - Mecanismo principal de difusin: VULN (se difunde aprovechando alguna vulnerabilidad, tpicamente de servicios de red) adems de otros. Fecha de publicacin: 12/08/2003 Tamao: Tamao (bytes): 11.296 Tamao comprimido (bytes): 6.176 Plataformas afectadas: Microsoft Windows Vista/XP/Server 2008/Server 2003/2000/NT/Me/98/95 Microsoft Windows de 32 bits.

mediante el modelo de objetos distribuidos (DCOM). Esta vulnerabilidad permite que un atacante remoto obtenga acceso total al sistema y ejecute sobre l un cdigo arbitrario. Los efectos destructivos consisten en lanzar ataques de denegacin de servicio con el web de Microsoft "windows update" y quizs provocar inestabilidad en el sistema infectado.

RECOMENDACIONES DE ALGUNOS PROGRAMAS GRATUITOS PARA LA PROTECCIN DEL EQUIPO http://www.glogster.com/mnctic/practica1/g-6l3pgr6urbi7b4q7i19nna0

CARACTERSTICAS DEL VIRUS STUXNET

Historia: Se detect por primera vez el 17 de junio de 2010 por la empresa de antivirus bielorusa VirusBlokAda. En un principio se consider que era un gusano ya que aprovecha vulnerabilidades para propagarse, pero ms tarde se detect sus propiedades de Rootkit,ya que es capaz de modificar el comportamiento normal de distintos componentes del sistema de control y oculta su presencia para no ser detectado. Definicin, resumen: Stuxnet es un gusano para la plataforma Windows que aprovecha una vulnerabilidad 0day para propagarse. Tiene componentes de Rootkit y de puerta trasera que le permiten tomar

el control remoto del ordenador infectado. Es el primer rootkit conocido. Tanto su difusin, como los daos que provoca, y su dispersibilidad son bajos. An as ha sido muy importante. La principal va de infeccin es a travs de llaves USB, por lo que no es complicado infectar el equipo. Al adentrarse crea una serie de ficheros que son visibles con Windows Explorer , aunque una vez que se infecta lel equipo, los ficheros .tmp y .lnk de las llaves USB quedan ocultos., por lo que no quedan cabos sin atar. Stuxnet utiliza certificados legtimos de RealTek y Jmicron, necesarios para lograr instalar los drivers mrxcls y mrxnet en Windows Vista y Windows 7, ya que Windows 7 rechaza instalar drivers que no estn firmados con un certificado confiable, y Windows Vista te pregunta si deseas instalar programas que no estn firmados de esta forma. Los certificados son legtimos aunque ya han sido revocados. De esta forma ampl sus permisos de acceso a cualquier sistema operativo y as propagarse, sin tener ningn inconveniente. Otras vas de infeccin son a travs de recursos de red compartidos. Stuxnet tiene como objetivo los hosts que ejecutan el HMI de WinCC. Todos los componentes de WinCC utilizan en el mismo ordenador una base de datos para almacenar datos de configuracin. WinCC utiliza una contrasea "hardcodeada" (y conocida) para acceder a la base de datos. As, Stuxnet aprovecha esta grave vulnerabilidad de WinCC para lanzar consultas SQL y extraer informacin de direcciones IP y nmero de puertos utilizados en otras mquinas WinCC conectadas en el sistema de control, lo que le supone otra gran ventaja. Adems, Stuxnet instala un wrapper para la librera s7otbxdx.dll que es la utilizada por el SCADA WinCC para la comunicacin con los PLCs en campo. En realidad, cada vez que el sistema de control hace uso de esta librera, el gusano intercepta las llamadas a las funciones, y en algunos casos pasa directamente la llamada a la funcin de la dll legtima y en otros casos altera los datos enviados antes de pasrselos a la correspondiente funcin. Todas sus funciones estn relacionadas con la programacin de PLCs. Si este programa fuera alterado, el wrapper podra llegar a ocultar las modificaciones realizadas, de tal manera que los usuarios que tratasen de examinar el programa del PLC, desde un host Windows comprometido, ni se dieran cuenta de dicha modificacin. De este modo el gusano est afectando a tu ordenador pero tu no te das cuenta, lo que le ofrece ventajas a la hora de adentrarse en el equipo con tranquilidad. Adems Stuxnet puede alterar dicho programa. Conclusin: Se trata de un ataque bien dirigido que requiere amplios conocimientos de distintas disciplinas: robo de certificados, conocimiento del SCADA WinCC de Siemens, las vulnerabilidades 0-day, etc. Parece por tanto un ataque largamente planificado, y por alguien o algo con bastantes recursos. Esto provoca que gente normal que no tenga o no conozca los recursos suficientes para combatirlo. Al ser un virus tan complejo supone un avance en el desarrollo de virus, ya que conocer y trabajar con virus de este tipo supone, obviamente la apertura de conocimientos, y la incitacin a superarse y mejorar. Como queda demostrado por cuestiones anteriores lo consiguen.