TEMA 72 GRUP A

SEGURIDAD EN SISTEMAS EN RED.

SERVICIOS DE SEGURIDAD. TÉCNICAS Y SISTEMAS DE PROTECCIÓN.
ESTANDARES 1. INTRODUCCIÓ
TEMA 63 GRUP B En el 2002 convocaren un concurs nacional sobre seguretat en xarxes que guanyà un jove
estudiant de telecomunicacions. Es tractava de superar gradualment unes 10 proves.
SEGURIDAD EN SISTEMAS EN RED. L'esdeveniment va tenir eco en la premsa escrita i, casualment enguany, en vaig trobar en
pantalla l'entrevista que en un programa debat de la TV2 li feren al xicot. Per dir que no quede,
també hi era el ministre de Ciència i Tecnologia en Josep Piqué. Fou prou interessant l'entrevista.
En un moment va dir, poc dalt o baix:

1 INTRODUCCIÓ El present tema ha estat

2 SEGURETAT EN “LOCALHOST”
2.1 Condicions Físiques
2.2 Nivell Sistema Operatiu
3 CRIPTOGRAFIA
3.1 Simètrica (clau privada)
3.2 Asimétrica (clau pública)
3.2.1 Signatura Digital
3.2.2 Algorisme RSA
3.2.3 Claus de sessió
3.3 Criptoanàlisi
4 FIREWALLS
el.laborat mirant una mica més
el tema de grup B que no el de
grup A.
Aixó comporta donar un enfoc
més directe, pragmàtic i
divulgatiu.
Per tant, no hi veureu,
directament explicats,
protocols i serveis estàndard
com ara SET, IPSec ni
conceptes de la interessant
teoria de Shannon de la
informació, entre d’altres.
A més, el titol de la vessant de
grup B és molt més concís la
qual cosa dona un major marge
de maniobra
"Hoy en dia las técnicas criptográficas son muy resistentes y aunque pudiéramos capturar la información
mientras "viaja" a través del canal de comunicaciones poca cosa se podria hacer para descifrarla. Pero,
curiosamente, cuando la información ya está depositada y descifrada en la máquina destino resulta, en
algunos casos, estraordinariamente fàcil hacerse con ella."
Que vos ha semblat?. Esta cita que vos faig és el titular que extrauria d'aquella curta
entrevista. I a més marca la dialèctica del present tema.
En una primera part parlarem d'aspectes de seguretat en la pròpia màquina (localhost)
tractant, fins i tot, aspectes de seguretat física. Després vindrà la part més extensa i específica
alhora: la de les tècniques criptogràfiques aplicades als fitxers que viatjaran pel canal.
Finalment no es pot concebre un tema "pragmàtic" de seguretat en xarxes sense parlar de virus i
hackers.
.............
.............
(Fixeu-vos que estem adoptant una estratègia d'introducció basada en descriure per anticipat el que
anem a parlar en el tema. Esta tàctica és un bon recurs de les "tancades" però no vull deixar escapar
l'oportunitat d'importar-la a l'escrit encara que sigui per recordar-vos "en paper" esta tàctica).
.............
.............

5 VIRUS
5.1 Segons que infecten
5.2 Antivirus

6 HACKERS

Tema 72 GrupA / Tema63 GrupB A. Moll Página 2 de 2 A. Moll


2. SEGURETAT EN “LOCALHOST”
Una de les raons d’introduïr aquest epígraf la trobareu en el
darrer descriptor del titol del Tema23 Grup B:
Tema23 Instalació sistema informàtic......Mesures de Seguretat.
2.1. Física Î Import/Export d’idees.
• Vibracions. Afecten, ppalment, als capçals dels discos Î Situar la
màquina sobre plataformes de fusta o goma que absorbiran els
moviments.
• Humitat. Buscar un equilibri entre massa sec (nivell alt d’electricitat
estàtica) i massa humit ( pot provocar condensació en els circuits
integrats).
• Temperatura. Entre 10 i 32 graus. Preveure un cert allunyament entre
els discos (arriben fins altes temperatures) i els bancs de RAM (podrien
cremar-se) dintre de la placa.
• Subministrament elèctric. Cal estabilitzar el fluid elèctric i garantir
l’equilibri entre fases del corrent Î SAI (Sistema d’Alimentació
Ininterrompida); conté uns acumuladors que es recarreguen durant el
règim normal de funcionament. En cas d’un tall del corrent aporten
l’energia suficient per tancar ordenadament el sistema. Incorporen un
sw que es comunica amb l’ordinador pel port serie. No obstant aixó,
si es vol continuar treballant amb normalitat, caldrà instal.lar grups
electrògens.
2.2. Nivell Sistema Operatiu
Primer exemple (Per posar-se les mans al cab)
Amb l'example següent cobrarà més relevància la cita que en la introducció vos he
comentat del guanyador del concurs. Atacs d'aquest tipus són prou freqüents.
Página 3 de 3
[Administrador] Buenos dias, aquí area de sistemas, en qué podemos ayudarle?
[Atacante] Hola, soy José Luis Pérez, llamaba porque no consigo recordar mi
password en la maquina sistema.dominio.es.
[Administrador] Un momento, me puede decir su nombre de usuario?
[Atacante] Sí, claro, es jlperez.
[Administrador] Muy bien, la nueva contraseña que acabo de asignarle es rudolf.
Por favor, nada más conectar, no olvide cambiarla.
[Atacante] Por supuesto. Muchas gracias, ha sido muy amable.
[Administrador] De nada, un saludo.
Prèviament l'atacant s'ha fet amb el login (jlperez) del suplantat mitjançant la utilitat
finger1.
Segon Exemple (amb cert nivell tècnic)
Ara vos compte una estratgema tècnicament més el.laborada. Imaginemos la siguiente
situación: el root d'un sistema Unix inclou en $PATH el directori actual com un més on buscar
executables; pràctica prou habitual per comoditat. Per exemple,
root:~# echo $PATH
.:/sbin:/usr/sbin:/bin:/usr/bin:/usr/local/sbin:/usr/local/sbin:
/usr/dt/bin:/usr/openwin/bin:/usr/share/texmf/bin
root:~#
Si este administrador comprobara el contingut del directori /tmp/, o el de $HOME d'alguns
dels seus usuaris, segurament anirà a eixe directori i executarà un simple ls. Però, qué passa si
el '.' està al ppi de la variable $PATH?. El shell cercarà, en primer lloc, en el directori actual, per
exemple /tmp/, de forma que si ahí existeix un "pícaro" executable anomenat `ls', s'executarà
sense més. Tenint en compte que tothom pot escriure en eixe directori, mireu el que podria
ocorrer...
root:~# cat /tmp/ls
#!/bin/sh
Consulteu, consulteu en un manual que fa aquesta ordre....!!
rm -rf /usr/ &
root:~#
¿Per què no ficar el directori actual (' . ') al final de $PATH?, de esta forma, el programa
./ls no s'executarà mai, tot i que el shell trobarà primer el programa legítim /bin/ls .
Però poseu atenció, el problema pot esdevindre per un altre camí!!. Imaginem que teclejem
en /tmp/ l'ordre ls|more . Doncs en ppi res. ¿Però, que passarà si ens equivoquem i en lloc de
`more' escrivim `moer'?Î el shell cercarà `moer' en $PATH generant, poc després, un missatge
d'error. I ara ve el desastre: ¿I si l'atacant ha creat un shell script /tmp/moer amb un contingut
semblant al /tmp/ls anterior?. Doncs ja teniu una raó per la que en molts sistemes Unix o Linux
no tenim el '.' en $PATH.
Tercer exemple (més técnic encara)
El bit suid activado sobre un fichero indica que todo aquel que ejecute el archivo va a
tener, mientras dure la ejecución, los mismos privilegios que quien lo creó; dicho de otra
forma, si el administrador crea un fichero y lo "setuida" , todo aquel usuario que lo ejecute va a
disponer, hasta que el programa finalice, de un nivel de privilegio total en el sistema. Por ejemplo
1
finger @servidor contesta amb els logins dels usuaris que estàn treballant en el servidor remot.
A. Moll Página 4 de 4 A. Moll
root:~# chmod 4777 /tmp/file1 • Tar: es un programa muy usado en el “mundo” Unix que permite empaquetar (y, en algunas
anita:~# ls -l /tmp/file1 versiones, comprimir) un conjunto de ficheros en un único archivo TAR.

-rwsrwxrwx 1 root other 0 Feb 9 17:51 /tmp/file1*
root:~#
Recordem ara que en algunes implementacions de C és possible corrompre la pila
d'execució d'un programa escrivint més enllà dels límits d'un vector declarat auto, la qual cosa
pot provocar que l'adreça de retorn d'una funció sigui aleatòria. Si a més tenim en compte els
permisos de fitxers executables en Unix (principalment els bits SUID), pot comportar que el
sistema done accés root a usuaris sense privilegis.
• cpio: programa UNIX para manejar archivos compuestos de ficheros, esto es, archivos que contienen
múltiples ficheros (como tar). Permite crear archivos, extraer ficheros y copiar ficheros de un sitio a
otro.
• interfaces; taper, kbackup, etc: en el “mundo” Linux existen programas que presentan interfaces
más amigables
• Copia de seguridad de Windows permite planificar las copias y hacerlas sobre un archivo o sobre
dispositivos específicos.

Per exemple, imaginem una funció que tracte de copiar amb strcpy() un arrai de 200
caracteres en un de 20; al executar el programa, es generarà una violació de segment (i per tant el
clàssic core dump al que estan acostumats els programadors Unix) i es sobreescriurà l'adreça de
retorn de la pròpia funció. I ara poseu atenció, si aconseguim que eixa sobreescriptura no siga
aleatòria sino que apunte a un codi concret (habitualment el codi d'un shell), eixe codi s'executarà.

I continuem imaginant: Si el fitxer que conté la funció que ha fallat és un fitxer amb el
SetUID activat i creat pel propi administrador (root) Î UN ATACANT PODRIA AIXÍ
ENCARAR UN SHELL AMB PRIVIL.LEGIS DE ROOT!!

Aquest és un bon exemple del que s'anomena en les pel.lícules "PUERTA TRASERA". Un
bon administrador mai ha de "setuidar" shells ni shellscripts. Altres aspectes que un bon root ha
de tenir en compte són:
• Minimitzar el nombre de fitxers "setuidats"
• Substituïr telnet per ssh
• Instal.lar un sistema shadow password
• Fulletjar periòdicament els fitxers logs cercant activitats sospitoses
• Activar els dimonis estrictament necessaris
• etc...

I si ens han atacat "exitosament" doncs no perdre la calma i restaurar el sistema i tornar a
introduïr fitxers de dades dels que previament hem fet còpia de seguretat.

Còpies de seguretat

Hay dos tipos de usuarios: los que han perdido datos valiosos y los que están a punto de
perderlos. Las copias de seguridad son el recurso que nos queda cuando hemos sufrido un
ataque destructivo. La políticas de copias son las siguientes:
• Backups globales: guardan una imagen de todo lo que hay en el disco.
• Backups incrementales: se hacen copiando únicamente aquellos ficheros que se hayan modificado
desde la última copia de seguridad (esto se puede saber a partir del atributo archivo). Normalmente,
este tipo de copias de seguridad se emplean conjuntamente con la realización de backups globales.

Veamos algunas herramientas:

• Programa XCOPY: (MS-DOS) con más posibilidades que COPY como, por ejemplo, comprobación
del atributo archivo; verificación de la copia; posibilidad de copiar subdirectorios y copia de los
ficheros a partir de una fecha dada.
• BACKUP: (MS-DOS, obsoleto y problemático) no es demasiado fiable en las versiones de DOS
anteriores a la 3.1. Se restauran los ficheros con RESTORE, pero no todas las versiones de BACKUP
funcionan con todas las de RESTORE.

Página 5 de 5 A. Moll Página 6 de 6 A. Moll

 3. Se cambian las columnas de posición, la nueva posición ordena las letras de la
palabra clave en orden alfabético.
4. El nuevo texto se escribe con las letras de las columnas de abajo a arriba.
Part central i més específica
del Tema Ejemplo: CLAVE: ROSAL TEXTO: ESTO ES CRIPTOLOGIA

3. CRIPTOGRAFIA

La palabra criptografía proviene del griego kryptos, que significa esconder y gráphein,
escribir, es decir, escritura escondida. La criptografía ha sido usada a través de los años para
mandar mensajes confidenciales. Ordenación según la clave: ROSAL ⇒ ALORS
En la éspoca de Julio César se reemplazaba cada letra por la situada tres posiciones
delante en el alfabeto. Por ejemplo B ⇒ E , Y ⇒ A, etc.. así teníamos (en latín):
Texto plano o nativo Mensaje cifrado
LLEGUE VI VENCI ⇒ OOHJXH YL YHQFL

Este rudimentario algoritmo, llamémosle de Julio César, no utilizaba ninguna clave por lo Criptograma obtenido Î OIO GPE AOCS ITSE LRT
que la confidencialidad se basaba en el secretismo del propio algoritmo. Curiosamente hoy en dia
los algoritmos son conocidos pero, en contrapartida, interviene, como mínimo, una clave
secreta. ¿Y por qué se ha optado por “desproteger” el algoritmo?. Por las razones siguientes:
• El nivel de seguridad es el mismo.
3.1. Criptografia simètrica o de clau privada
• Los algoritmos públicos se pueden fabricar en cadena, tanto en chips hardware como en software.
• Los algoritmos públicos están más probados, ya que toda la comunidad científica puede trabajar
sobre ellos buscando fallos o agujeros. Es fa servir la mateixa clau tant per xifrar com per desxifrar. Gràficament,
• Es más fácil y más seguro transmitir una clave que todo el funcionamiento de un algoritmo.

Así, un sistema de comunicaciones con criptografía utiliza un algoritmo público para

encriptar y otro para desencriptar, pero son completamente inservibles para el criptoanalista2 sin el
conocimiento de la clave.

Veamos ahora un ejemplo de algoritmo (público) de cifrado (encriptación) que utiliza una
clave (oculta).
Toda la seguridad está basada en la privacidad de esta clave secreta, llamada simétrica
porque es la misma para el emisor y el receptor. El emisor del mensaje genera una clave y
Método de las columnas
después la transmite mediante un canal seguro3.
1. Se elige una palabra clave fácil de recordar. Ésta forma la primera fila de una matriz.
2. Debajo se añade el texto recorriendo las filas de derecha a izquierda. 3
En la realitat el que passa es que es codifiquen els missatges (llargs) mitjançant algorismes simètrics, que solen ésser
més eficients, i després es fa servir la criptografia asimétrica, que es més segura i que estudiarem després, per tal de
2
El criptoanàlisi és la técnica de desxifrar un criptograma (informació xifrada) sense tenir autorització. codificar les claus simétriques que viatgen pel canal.
Página 7 de 7 A. Moll Página 8 de 8 A. Moll
Algorisme DES
Desarrollado en 1977 por el Departamento de Comercio EEUU e IBM con el objetivo de
proporcionar al público en general un algoritmo de cifrado normalizado para redes. Posteriormente
se sacó una versión de DES implementada por hardware, que entró a formar parte de los
estándares de ISO con el nombre de DEA.
A grandes rasgos, DES utiliza una clave simétrica de 64 bits, de los cuales 56 son usados
para la encriptación, mientras que los 8 restantes son de paridad. Como la clave efectiva es de 56
bits, son posibles un total de 256 = 72.057.594.037.927.936 claves posibles, es decir, unos 72.000
billones de claves!!, esto les indujo a pensar inicialmente que el ataque por fuerza bruta era
sumamente improbable.
En Gener de 1999 trencaren el DES!!. Fou un atac per força bruta. En realitat açò no
demostra una debilitat intrínseca de l’algorisme si no més bé que feia servir una clau massa
curta.
3.2. Criptografia Asimétrica (Clau Pública)
La idea básica consisteix en fer servir dos claus diferents: una per xifrar i l’altra per desxifrar.
En 1976 Diffie y Hellman publicaron el artículo “New directions in cryptography”. Proponían
utilizar claves distintas para encriptar y desencriptar, una de ellas se hace pública y la otra es
privada de cada usuario.
Para cada tipo de servicio (confidencialidad, autenticación y firma digital ) se encripta
de manera diferente. Veámoslo:
• Confidencialidad. El emisor encripta el texto con la clave pública del
receptor y sólo el receptor lo puede desencriptar con su propia clave
privada. Cap altra persona podrà desxifrar el missatge.
Página 9 de 9 A. Moll
• Autenticación4. Se encripta el mensaje o un resumen de éste mediante
la clave privada y cualquier persona puede comprobar su procedencia
utilizando la clave pública del emisor. El mensaje es auténtico porque
sólo el emisor verdadero puede encriptar con su clave privada.
El fonament de les
declaracions que es
presenten a Hisenda per
Internet.
La clave privada y pública están relacionadas matemáticamente, pero esta relación
debe ser suficientemente compleja para que el criptoanalista no la pueda encontrar. Debido a
esto, las claves privadas y públicas no las elige el usuario sino que las calcula un algoritmo y,
normalmente, son muy largas. Però és que, a més a més, la clau privada no es transmet mai
pel canal de comunicació com passava en els algorismes simètrics.
Ampliació dels fonaments teòric-pràctics de la
presentació de la declaració d'IRPF per internet.
3.2.1. Signatura digital.
Servicio semejante a la autenticación pero siempre se encripta el resumen del mensaje,
cuyo criptograma es la firma del emisor. Así el emisor no puede negar la procedencia ya que
se ha encriptado con su clave privada!!.
Por otro lado, el receptor no puede modificar el contenido porque el resumen sería
diferente y se vería que no coincide con la desencriptación de la firma.
Pero el receptor sí puede comprobar que el resumen coincide con la firma desencriptada
para ver si es auténtico. La firma digital, por tanto, lleva implícita la autenticación.
La siguiente figura ilustra estas ideas.
4
El diccionari admet tant AUTENTICAR com AUTENTIFICAR
Página 10 de 10 A. Moll
 3.2.2. Algorisme RSA (Rivest, Shamir and Adlman)

El més popular i emprat dels algorismtes asimètrics. Introduït el 1978, els autors
fundaren l'empresa, RSA Data Security Inc., per l'explotació comercial. Actualment es poden
trobar moltes versions gratuites. L'algorisme fa servir les claus següents:

• Com a públiques ==> Dos números molt grans: e ,n.

Certificats digitals
El certificado digital nace a raíz de resolver el problema de administrar las claves
públicas. La idea parte de que una tercera entidad intervenga en dicha administración.
Básicamente un certificado digital contiene:
• Com privada un número grande d, conseqüència dels anteriors
El càlcu d'aquestes claus es duu a terme, secretament, en la màquina dipositària de la clau
privada mitjançant el procés següent:

1. Una clave pública 1. Se buscan dos número grandes (entre 100 y 300 dígitos) y primos: p y q.

2. La identidad del implicado: nombre y datos generales, 2. Se calcula φ = (p-1) * (q-1) y n = p * q.

3. La firma privada de una tercera entidad llamada autoridad certificadora que todos 3. Se busca e como un número sin múltiplos comunes a φ.
reconocen como tal y que valida la clave pública en cuestión. En Espanya tenim la "Fabrica
Nacional de Moneda y Timbre" www.fnmt.es 4. Se calcula d = e-1 mod φ. (mod = resto de la división de enteros).

Un certificado digital se reduce, pues, a un archivo de pocos k's que autentica a un usuario 5. Clave pública Î (n, e) . Se guarda d como clave privada y se destruyen p,q y φ.
de la red. En una aplicación concreta un certificado digital se puede ver como sigue:
Deduïr la clau privada a partir de la pública és un problema, hui per hui,
computacionalment intractable.

D’altra banda és obvi que els algorismes asimètrics són més lents que els simètrics.
Recordem que en la pràctica els asimètrics s’empren únicament per codificar l’anomeda clau de
sessió (simétrica) de cada missatge o transacció particular.

Página 11 de 11 A. Moll Página 12 de 12 A. Moll

 3.2.3. Claus de sessió

Utilizar siempre la misma clave para muchas transmisiones tiene dos problemas:

1. Cuanto más criptogramas (missatges xifrats) de la misma clave se tiene más fácil es
romper un sistema.

2. Si un criptoanalista descubre la clave podrá descifrar todas las transmisiones sin que los
implicados sean conscientes.

Por lo tanto es aconsejable cambiar de clave a menudo. Se llaman claves de sesión a las
claves utilizadas durante una única sesión. Poseu atenció en l’esquema següent:

1. El ordenador emisor genera una clave de sesión aleatoria.

2. Se encripta el mensaje con esa clave de sesión.
3. Se envía el mensaje encriptado “simètricament” y la clave de sesión encriptada con la clave
pública del receptor.
4. El receptor desencripta la clave de sesión (simétrica) para, posteriormente, desencriptar el
mensaje.

Si la comunicación se realiza entre dos usuarios que no tienen las claves públicas del
otro, como en el caso de comunicación de usuario anónimo con una Web pública, se envía una
clave pública en claro al comenzar la conexión ya que no hay peligro si la ven personas externas.
3.3. Criptoanàlisi
Ejemplos de este sistema son los protocolos de Internet: SSL, SET, HTTPs,.... Así el
proceso es el siguiente:
Es la ciència que intenta desxifrar els missatges xifrats. Senzillament la tècnica contraria a la
criptografia. Si sumem Criptografia i Criptoanàlisi ens surt la disciplina CRIPTOLOGÍA5.
1. El cliente se conecta a un servidor de Internet seguro.
2. El servidor de Internet envía su clave pública al cliente.
3. El cliente encripta una clave de sesión aleatoria con la clave pública del servidor y la Hi ha qui diu i en raó, que els atacs per força bruta no són mètodes propis del criptoanàlisi.
envía. Ens reservem el dret de tildar d’autèntiques tècniques aquelles que s’aprofiten de possibles
4. Todas las comunicaciones se realizan encriptadas con la clave de sesión. debilitats intrínseques de l’algorisme de xifrat, com ara l’anomenat anàlisi diferencial consistent
en obtenir patrons comuns, a partir de l’estudi variacional de criptogrames obtinguts en laboratori
provinents de missatges originals que es “distancien" entre sí només amb un bit.

Hi ha altres técniques “ad-hoc” que exploten el fet de que, per example la llengua
castellana presenta les següentes estadístiques per a les seues lletres : 16,8% per a la lletra E,

5
Posem els punts sobre les i’s
Página 13 de 13 A. Moll Página 14 de 14 A. Moll
12% per a la A, etc...Si en un criptograma hi trobem un octet que es repeteix amb una freqüencia
del 17% sospitarem que es tracta de la lletra E.

Acabem aquest epígraf dient que no existeixen sistemes totalment segurs. Ara bé, en
CRIPTOLOGIA, o si voleu, en CRIPTOGRAFIA es dissenyen sistemes que acomplisquen les dos
4. "CORTAFUEGOS" (FIREWALLS)
condicions de qualitat següents:

1. El “preu” per trencar un criptograma és “més car” que el propi valor de la informació Mecanisme per previndre accesos no desitjats des de l’exterior i per restringir, des de la nostra xarxa
local, els accesos a l’exterior.El firewall sol implantar-se en una màquida que limita, per tant,
2. El temps per trencar un criptograma és més llarg que “el temps de vida útil” del missatge bidireccionalment els accesos.
original

El SW associat a un firewall pot implantar-se en diferents nivells de l’arquitectura de

comunicacions:

• Si ho fa en les capes baixes Î Més ràpids però menys flexibles.

• Si ho fa en les altes Î Investigaran dintre de tots els tipus de paquets i

resultarn més lents però extraordinàriament flexibles.

En l’actualitat solen implantar-se en les capes altes aportant els següents serveis:

• Traducció: El firewall substitueix cada adreça IP tant en els paquets

entrants com en els sortints per una adreça virtual apropiada.

• Antivirus (que estudiarem més endavant).

• Auditoria i gestió d’activitat: Mitjançant agents SNMP (Simple

Network Management Protocol) o DMI (Desktop Managemnet Interface),
es pot monitoritzar el firewall per traure estadístiques d’ús dels recursos
i configurar determinades alarmes.

Els firewalls són una eina poderosa però pot comportar certs riscos si no es fa servir
correctament. Per example hi ha molts llocs on el firewall està connectat a la xarxa local i aquesta
a l’exterior com veiem en la figura A, on queda clar que el node que actua com firewall només té
una tarja de xarxa. És la solució més barata però la resta de les nostres maquines estan
connectades físicament amb l’exterior.

La configuració correcta pot apreciar-se en el cas B on la xarxa externa (i tots els seus
perills) hi és separada físicament de la nostra xarxa local. El firewall precissa, obviament, de dues
targetes de xarxa.

Página 15 de 15 A. Moll Página 16 de 16 A. Moll


5. VIRUS
No hay un acuerdo general sobre qué es un virus informático. Se suelen considerar
como tales los programas que tienen las siguientes características:
1. Es capaz de crear copias de sí mismo (aunque pueden estar modificadas). Esta copia es
intencional, no un efecto secundario.
2. Al menos una de las copias es a su vez un virus.
3. No existen por sí mismos, tienen que ir asociados a un huésped (otro programa).
Según la definición anterior NO son virus:
• Los caballos de Troya, al no hacer copias de sí mismos. Los caballos de
Troya (o troyanos) son programas que en apariencia son benignos, pero
esconden acciones de tipo malicioso. También se consideran troyanos
aquellos programas que están ocultos en el interior de otros
aparentemente inofensivos. Cuando dichos programas son ejecutados,
los troyanos se lanzan para realizar acciones indeseadas. Per exemple
la versió 3.0 del pkzip (PKZ300B.EXE).
• Los programas de copia (p. ej., el XCOPY) cuando se copian a sí
mismos.
• Los gusanos. Programas autónomos que transmiten copias de sí mismos
pero no infectan a otros.
• Los droppers. Programas diseñados para evitar la detección por parte de los
antivirus. Sus funciones habituales son transportar e instalar virus. Esperan en
el sistema a que se produzca un determinado evento; en ese momento se
activan e infectan el sistema con el virus que contienen.
Además, el comportamiento de un virus no es necesariamente maligno.
5.1. Según que infectan Ppal criteri de classificació
5.1.1. Sector de arranque
Los virus de sector de arranque copian el sector original en algún otro lado y después se
copian ellos mismos en su lugar.Dado que hay poco espacio, suelen ocupar también algún otro
sector del disco.Para evitar que los sectores donde se copia el arranque original o alguna parte del
Página 17 de 17 A. Moll
virus sean sobreescritos, suelen marcarlos como defectuosos en la FAT. Una vez activos en
memoria, van infectando todos los discos a los que se accede.
5.1.2. En los ejecutables
Estos virus no suelen infectar ficheros no ejecutables, aunque lo que es ejecutable puede
tener varias interpretaciones (por ejemplo ficheros .OBJ). Lo más fácil es infectar los ficheros
.COM ya que su estructura es muy simple (son copias de lo que se pone en memoria). La
infección de un .EXE es más complicada ya que tienen que tener en cuenta la información que
permite mover el programa en memoria Î Viernes 13.
En macros
Son un fenómeno relativamente reciente. Suelen ir adjuntos a documentos Word, bases de
datos Access, applets Java, etc.. Un virus de macro es simplemente una macro para uno de estos
programas. Pueden “saltar” entre sistemas operativos ya que estas aplicaciones suelen ser
multiplataforma (existe Word para Windows y para Mac).
Un ejemplo es el Concept, que se limita a expandirse, pero sin acciones malignas. Otros
ejemplos, muy similares en su funcionamiento, son el Melissa y el famoso I love you. Ambos se
transmiten por correo electrónico. Este último se hizo famoso por colapsar diversas redes
informáticas de empresas, corporaciones y entidades públicas en Europa y Estados Unidos. La
macro que contenía el virus era un script en Visual Basic Script que se ejecutaba al abrir el
mensaje de correo electrónico que lo adjuntaba. El virus (gusano) provocaba una sobrecarga
de las redes informáticas al enviarse a todas aquellas direcciones que tuviese el usuario en la
agenda de Outlook y borraba ficheros de ciertos tipos. Además, creaba dos entradas en el registro
principal de Windows provocando su ejecución automática al arrancar dicho sistema operativo.
5.2. Antivirus
Son programas que buscan secuencias de bytes o patrones característicos de los virus.
McAfee Viruscan y Panda Antivirus figuran entre los más conocidos. Los programas antivirus
contienen:
• El motor de búsqueda (programa en sí). Proporciona desde la interfaz
con el usuario hasta el sistema interno de búsqueda.
• La base de datos que contiene las descripciones de los virus, nombres,
características,patrones o secuencias de bytes, etc.
• Utilidades residentes de protección (monitorización)
El motor de búsqueda es el encargado de buscar en los discos y memoria aquellos
patrones o secuencias identificados en la base de datos. Hay que tener en cuenta que por cada
nueva actualización del motor de búsqueda aparecen numerosas versiones de la base de datos
de virus.
Página 18 de 18 A. Moll
 Las utilidades de monitorización se quedan residentes en memoria y analizan todos los
eventos sospechosos tales como escrituras en el sector de arranque o en ficheros
ejecutables. Además añaden “firmas”, generalmente en la forma de CRCs, a los ficheros de
modo que se puedan detectar modificaciones a los ficheros para comprobar que no han sido
dañados.
¡Cuidado con los bulos!
A veces se difunden bromas pesadas (hoax) sobre virus que suelen causar más daño que
los propios virus. Se decia sobre el virus Good Times que se activaba al leer un mensaje de
correo que contuviese la frase “Good Times” en su asunto. Se trataba de una mentira pero
muchos lo creyeron y empezaron a hacer circular el mensaje por Internet. Desde entonces, han
aparecido muchas versiones de este mensaje. Una de ellas asegura que el virus podría destrozar
el procesador al “ponerlo en un salto binario infinito de extrema complejidad”; frase sin sentido
pero capaz de aterrorizar a legos en materia de computación. En www.hoaxkill.com se
puede encontrar una lista de estos bulos.
Algunas tácticas de los virus para “esconderse”
• Ocultar las modificaciones que hacen para, así, pasar inadvertidos.
Generalmente, esta ocultación se logra a base de interceptar las
llamadas al sistema, así cuando se pide leer el sector de arranque, el
virus devuelve la copia original Î Brain.
• Táctica de los virus polimórficos. Estos virus producen copias de sí
mismos que son distintas cada vez encriptando el código con una clave
distinta cada vez. En este caso, los antivirus buscan la propia rutina de
desencriptación.
Página 19 de 19 A. Moll
6. HACKERS
Delinqüents per uns i herois per als altres, multituds d’històries es compten sobre ells. No
hi ha que confondre’ls amb crackers o amb pirates informàtics que sí operen
malintencionadament. Però anem al grà i expliquem com actua un hacker.
Recordem que el ports TCP/IP tenen un dimoni (programa) associat que pot tenir errors o
bé no funcionar correctament en situacions excepcionals. En UNIX hom pot enviar missatges
especials per als que el dimoni no està preparat provocant “la mort” del dimoni i tenint, així, un
terminal lliure amb el que controlar el sistema.
Una falla molt famosa que va donar molt que parlar estava en el dimoni que escoltava les
comunicacions SMB en les primeres versions de Win95. Si hom enviava un missatge especial (no
diré quin) podia bloquejar instantàniament la víctima. Només calia conèixer la seua IP!!.
Però hi ha algun mecanisme, més o menys genèric, per “fer botar” un dimoni que no siga
enviar-li un missatge especial? Î SÍ . Recordem de l'epígraf 2.2 que quan es crida un
procediment es guarda l’adreça de retorn on el sistema continuarà la seua execució quan acabe
eixe subprograma. Els dimonis no són una excepció. Enviant dades de d’entrada que desborden
el buffer del dimoni es pot, en alguns casos, sobreescriure eixa adreça de retorn. Si un atacant
intercal.la astutament codi executable en les dades d’entrada de manera que, desbordant el
buffer, l’adreça de retorn apuntés a la “rutina intrusa” obtindria, doncs, el control de la
màquina.
I si els dimonis dels ports no són vulnerables?
Doncs tan fàcil com entrar com anonymous , cosa que es pot fer en molts sistemes, i si
l’administrador a dotat de “suficients” permisos a aquest usuari invitat --> antesala d’un atac.
Precaucions elementals i eines bàsiques
• Executar periòdicament analitzadors de ports Î UltrScan és un bon example i a més gratuit.
• Analitzar el Registre de Sistema per detectar entrades o successos sospitosos--> DumpEVt gratuit.
• Redefinir la política de permisos i impedir, fins i tot, que el administrador (root) puga obrir una consola
remota (telnet), així si algú enxampa el propi password de root no podrà fer res a no ser, clar està,
que dispose d’accés físic a la màquina.
• Alguns empleats deixen engegats els sistemes i els modems per tal d’accedir a la xarxa corporativa i
a Internet des de casa i a càrrec de l’empresa. ToneLoc detecta aquestos modems i telèfons.
• PODEU RECORDAR, SI VOLEU, ELS CONSELLS SOBRE UN BON ROOT CITATS EN L'EPÍGRAF
2.2 ABANS DE PARLAR DE CÒPIES DE SEGURETAT
• Específicament en WinXP podem desactivar el prescindible protocol NetBios així com l'accés
compartit a fitxers i impresores. Inicio-->Panel de control-->Conexiones de Red e Internet ...
• Desactivar, també en WinXP, les tecnologíes Java, JavaScript i ActiveX i activar-les només quan faci
falta. Navegador Explorer-->Herramientas-->Opciones de Internet-->Seguridad-->Nivel Personalizado
• Instalar un tallafocs com ara Zone Alarm, Outpost, kerio o Sygate.
Página 20 de 20 A. Moll