Professional Documents
Culture Documents
5 VIRUS
5.1 Segons que infecten
5.2 Antivirus
6 HACKERS
Prèviament l'atacant s'ha fet amb el login (jlperez) del suplantat mitjançant la utilitat
finger1.
Una de les raons d’introduïr aquest epígraf la trobareu en el
darrer descriptor del titol del Tema23 Grup B: Segon Exemple (amb cert nivell tècnic)
Primer exemple (Per posar-se les mans al cab) Tercer exemple (més técnic encara)
Amb l'example següent cobrarà més relevància la cita que en la introducció vos he El bit suid activado sobre un fichero indica que todo aquel que ejecute el archivo va a
comentat del guanyador del concurs. Atacs d'aquest tipus són prou freqüents. tener, mientras dure la ejecución, los mismos privilegios que quien lo creó; dicho de otra
forma, si el administrador crea un fichero y lo "setuida" , todo aquel usuario que lo ejecute va a
disponer, hasta que el programa finalice, de un nivel de privilegio total en el sistema. Por ejemplo
1
finger @servidor contesta amb els logins dels usuaris que estàn treballant en el servidor remot.
Página 3 de 3 A. Moll Página 4 de 4 A. Moll
root:~# chmod 4777 /tmp/file1 • Tar: es un programa muy usado en el “mundo” Unix que permite empaquetar (y, en algunas
anita:~# ls -l /tmp/file1 versiones, comprimir) un conjunto de ficheros en un único archivo TAR.
-rwsrwxrwx 1 root other 0 Feb 9 17:51 /tmp/file1* • cpio: programa UNIX para manejar archivos compuestos de ficheros, esto es, archivos que contienen
múltiples ficheros (como tar). Permite crear archivos, extraer ficheros y copiar ficheros de un sitio a
root:~#
otro.
Recordem ara que en algunes implementacions de C és possible corrompre la pila • interfaces; taper, kbackup, etc: en el “mundo” Linux existen programas que presentan interfaces
d'execució d'un programa escrivint més enllà dels límits d'un vector declarat auto, la qual cosa más amigables
pot provocar que l'adreça de retorn d'una funció sigui aleatòria. Si a més tenim en compte els
permisos de fitxers executables en Unix (principalment els bits SUID), pot comportar que el • Copia de seguridad de Windows permite planificar las copias y hacerlas sobre un archivo o sobre
dispositivos específicos.
sistema done accés root a usuaris sense privilegis.
Per exemple, imaginem una funció que tracte de copiar amb strcpy() un arrai de 200
caracteres en un de 20; al executar el programa, es generarà una violació de segment (i per tant el
clàssic core dump al que estan acostumats els programadors Unix) i es sobreescriurà l'adreça de
retorn de la pròpia funció. I ara poseu atenció, si aconseguim que eixa sobreescriptura no siga
aleatòria sino que apunte a un codi concret (habitualment el codi d'un shell), eixe codi s'executarà.
I continuem imaginant: Si el fitxer que conté la funció que ha fallat és un fitxer amb el
SetUID activat i creat pel propi administrador (root) Î UN ATACANT PODRIA AIXÍ
ENCARAR UN SHELL AMB PRIVIL.LEGIS DE ROOT!!
Aquest és un bon exemple del que s'anomena en les pel.lícules "PUERTA TRASERA". Un
bon administrador mai ha de "setuidar" shells ni shellscripts. Altres aspectes que un bon root ha
de tenir en compte són:
• Minimitzar el nombre de fitxers "setuidats"
• Substituïr telnet per ssh
• Instal.lar un sistema shadow password
• Fulletjar periòdicament els fitxers logs cercant activitats sospitoses
• Activar els dimonis estrictament necessaris
• etc...
I si ens han atacat "exitosament" doncs no perdre la calma i restaurar el sistema i tornar a
introduïr fitxers de dades dels que previament hem fet còpia de seguretat.
Còpies de seguretat
Hay dos tipos de usuarios: los que han perdido datos valiosos y los que están a punto de
perderlos. Las copias de seguridad son el recurso que nos queda cuando hemos sufrido un
ataque destructivo. La políticas de copias son las siguientes:
• Backups globales: guardan una imagen de todo lo que hay en el disco.
• Backups incrementales: se hacen copiando únicamente aquellos ficheros que se hayan modificado
desde la última copia de seguridad (esto se puede saber a partir del atributo archivo). Normalmente,
este tipo de copias de seguridad se emplean conjuntamente con la realización de backups globales.
3. CRIPTOGRAFIA
La palabra criptografía proviene del griego kryptos, que significa esconder y gráphein,
escribir, es decir, escritura escondida. La criptografía ha sido usada a través de los años para
mandar mensajes confidenciales. Ordenación según la clave: ROSAL ⇒ ALORS
En la éspoca de Julio César se reemplazaba cada letra por la situada tres posiciones
delante en el alfabeto. Por ejemplo B ⇒ E , Y ⇒ A, etc.. así teníamos (en latín):
Texto plano o nativo Mensaje cifrado
LLEGUE VI VENCI ⇒ OOHJXH YL YHQFL
Este rudimentario algoritmo, llamémosle de Julio César, no utilizaba ninguna clave por lo Criptograma obtenido Î OIO GPE AOCS ITSE LRT
que la confidencialidad se basaba en el secretismo del propio algoritmo. Curiosamente hoy en dia
los algoritmos son conocidos pero, en contrapartida, interviene, como mínimo, una clave
secreta. ¿Y por qué se ha optado por “desproteger” el algoritmo?. Por las razones siguientes:
• El nivel de seguridad es el mismo.
3.1. Criptografia simètrica o de clau privada
• Los algoritmos públicos se pueden fabricar en cadena, tanto en chips hardware como en software.
• Los algoritmos públicos están más probados, ya que toda la comunidad científica puede trabajar
sobre ellos buscando fallos o agujeros. Es fa servir la mateixa clau tant per xifrar com per desxifrar. Gràficament,
• Es más fácil y más seguro transmitir una clave que todo el funcionamiento de un algoritmo.
Veamos ahora un ejemplo de algoritmo (público) de cifrado (encriptación) que utiliza una
clave (oculta).
Toda la seguridad está basada en la privacidad de esta clave secreta, llamada simétrica
porque es la misma para el emisor y el receptor. El emisor del mensaje genera una clave y
Método de las columnas
después la transmite mediante un canal seguro3.
1. Se elige una palabra clave fácil de recordar. Ésta forma la primera fila de una matriz.
2. Debajo se añade el texto recorriendo las filas de derecha a izquierda. 3
En la realitat el que passa es que es codifiquen els missatges (llargs) mitjançant algorismes simètrics, que solen ésser
més eficients, i després es fa servir la criptografia asimétrica, que es més segura i que estudiarem després, per tal de
2
El criptoanàlisi és la técnica de desxifrar un criptograma (informació xifrada) sense tenir autorització. codificar les claus simétriques que viatgen pel canal.
Página 7 de 7 A. Moll Página 8 de 8 A. Moll
Algorisme DES
A grandes rasgos, DES utiliza una clave simétrica de 64 bits, de los cuales 56 son usados
para la encriptación, mientras que los 8 restantes son de paridad. Como la clave efectiva es de 56
bits, son posibles un total de 256 = 72.057.594.037.927.936 claves posibles, es decir, unos 72.000
billones de claves!!, esto les indujo a pensar inicialmente que el ataque por fuerza bruta era
sumamente improbable.
En Gener de 1999 trencaren el DES!!. Fou un atac per força bruta. En realitat açò no
demostra una debilitat intrínseca de l’algorisme si no més bé que feia servir una clau massa
curta.
• Confidencialidad. El emisor encripta el texto con la clave pública del Ampliació dels fonaments teòric-pràctics de la
presentació de la declaració d'IRPF per internet.
receptor y sólo el receptor lo puede desencriptar con su propia clave 3.2.1. Signatura digital.
privada. Cap altra persona podrà desxifrar el missatge.
Servicio semejante a la autenticación pero siempre se encripta el resumen del mensaje,
cuyo criptograma es la firma del emisor. Así el emisor no puede negar la procedencia ya que
se ha encriptado con su clave privada!!.
Por otro lado, el receptor no puede modificar el contenido porque el resumen sería
diferente y se vería que no coincide con la desencriptación de la firma.
Pero el receptor sí puede comprobar que el resumen coincide con la firma desencriptada
para ver si es auténtico. La firma digital, por tanto, lleva implícita la autenticación.
4
El diccionari admet tant AUTENTICAR com AUTENTIFICAR
Página 9 de 9 A. Moll Página 10 de 10 A. Moll
3.2.2. Algorisme RSA (Rivest, Shamir and Adlman)
El més popular i emprat dels algorismtes asimètrics. Introduït el 1978, els autors
fundaren l'empresa, RSA Data Security Inc., per l'explotació comercial. Actualment es poden
trobar moltes versions gratuites. L'algorisme fa servir les claus següents:
Certificats digitals
• Com privada un número grande d, conseqüència dels anteriors
El certificado digital nace a raíz de resolver el problema de administrar las claves
públicas. La idea parte de que una tercera entidad intervenga en dicha administración. El càlcu d'aquestes claus es duu a terme, secretament, en la màquina dipositària de la clau
Básicamente un certificado digital contiene: privada mitjançant el procés següent:
1. Una clave pública 1. Se buscan dos número grandes (entre 100 y 300 dígitos) y primos: p y q.
3. La firma privada de una tercera entidad llamada autoridad certificadora que todos 3. Se busca e como un número sin múltiplos comunes a φ.
reconocen como tal y que valida la clave pública en cuestión. En Espanya tenim la "Fabrica
Nacional de Moneda y Timbre" www.fnmt.es 4. Se calcula d = e-1 mod φ. (mod = resto de la división de enteros).
Un certificado digital se reduce, pues, a un archivo de pocos k's que autentica a un usuario 5. Clave pública Î (n, e) . Se guarda d como clave privada y se destruyen p,q y φ.
de la red. En una aplicación concreta un certificado digital se puede ver como sigue:
Deduïr la clau privada a partir de la pública és un problema, hui per hui,
computacionalment intractable.
D’altra banda és obvi que els algorismes asimètrics són més lents que els simètrics.
Recordem que en la pràctica els asimètrics s’empren únicament per codificar l’anomeda clau de
sessió (simétrica) de cada missatge o transacció particular.
Utilizar siempre la misma clave para muchas transmisiones tiene dos problemas:
1. Cuanto más criptogramas (missatges xifrats) de la misma clave se tiene más fácil es
romper un sistema.
2. Si un criptoanalista descubre la clave podrá descifrar todas las transmisiones sin que los
implicados sean conscientes.
Por lo tanto es aconsejable cambiar de clave a menudo. Se llaman claves de sesión a las
claves utilizadas durante una única sesión. Poseu atenció en l’esquema següent:
Si la comunicación se realiza entre dos usuarios que no tienen las claves públicas del
otro, como en el caso de comunicación de usuario anónimo con una Web pública, se envía una
clave pública en claro al comenzar la conexión ya que no hay peligro si la ven personas externas.
3.3. Criptoanàlisi
Ejemplos de este sistema son los protocolos de Internet: SSL, SET, HTTPs,.... Así el
proceso es el siguiente:
Es la ciència que intenta desxifrar els missatges xifrats. Senzillament la tècnica contraria a la
criptografia. Si sumem Criptografia i Criptoanàlisi ens surt la disciplina CRIPTOLOGÍA5.
1. El cliente se conecta a un servidor de Internet seguro.
2. El servidor de Internet envía su clave pública al cliente.
3. El cliente encripta una clave de sesión aleatoria con la clave pública del servidor y la Hi ha qui diu i en raó, que els atacs per força bruta no són mètodes propis del criptoanàlisi.
envía. Ens reservem el dret de tildar d’autèntiques tècniques aquelles que s’aprofiten de possibles
4. Todas las comunicaciones se realizan encriptadas con la clave de sesión. debilitats intrínseques de l’algorisme de xifrat, com ara l’anomenat anàlisi diferencial consistent
en obtenir patrons comuns, a partir de l’estudi variacional de criptogrames obtinguts en laboratori
provinents de missatges originals que es “distancien" entre sí només amb un bit.
Hi ha altres técniques “ad-hoc” que exploten el fet de que, per example la llengua
castellana presenta les següentes estadístiques per a les seues lletres : 16,8% per a la lletra E,
5
Posem els punts sobre les i’s
Página 13 de 13 A. Moll Página 14 de 14 A. Moll
12% per a la A, etc...Si en un criptograma hi trobem un octet que es repeteix amb una freqüencia
del 17% sospitarem que es tracta de la lletra E.
Acabem aquest epígraf dient que no existeixen sistemes totalment segurs. Ara bé, en
CRIPTOLOGIA, o si voleu, en CRIPTOGRAFIA es dissenyen sistemes que acomplisquen les dos
4. "CORTAFUEGOS" (FIREWALLS)
condicions de qualitat següents:
1. El “preu” per trencar un criptograma és “més car” que el propi valor de la informació Mecanisme per previndre accesos no desitjats des de l’exterior i per restringir, des de la nostra xarxa
local, els accesos a l’exterior.El firewall sol implantar-se en una màquida que limita, per tant,
2. El temps per trencar un criptograma és més llarg que “el temps de vida útil” del missatge bidireccionalment els accesos.
original
En l’actualitat solen implantar-se en les capes altes aportant els següents serveis:
Els firewalls són una eina poderosa però pot comportar certs riscos si no es fa servir
correctament. Per example hi ha molts llocs on el firewall està connectat a la xarxa local i aquesta
a l’exterior com veiem en la figura A, on queda clar que el node que actua com firewall només té
una tarja de xarxa. És la solució més barata però la resta de les nostres maquines estan
connectades físicament amb l’exterior.
La configuració correcta pot apreciar-se en el cas B on la xarxa externa (i tots els seus
perills) hi és separada físicament de la nostra xarxa local. El firewall precissa, obviament, de dues
targetes de xarxa.
Estos virus no suelen infectar ficheros no ejecutables, aunque lo que es ejecutable puede
tener varias interpretaciones (por ejemplo ficheros .OBJ). Lo más fácil es infectar los ficheros
No hay un acuerdo general sobre qué es un virus informático. Se suelen considerar .COM ya que su estructura es muy simple (son copias de lo que se pone en memoria). La
como tales los programas que tienen las siguientes características: infección de un .EXE es más complicada ya que tienen que tener en cuenta la información que
permite mover el programa en memoria Î Viernes 13.
1. Es capaz de crear copias de sí mismo (aunque pueden estar modificadas). Esta copia es
intencional, no un efecto secundario. En macros
2. Al menos una de las copias es a su vez un virus. Son un fenómeno relativamente reciente. Suelen ir adjuntos a documentos Word, bases de
datos Access, applets Java, etc.. Un virus de macro es simplemente una macro para uno de estos
3. No existen por sí mismos, tienen que ir asociados a un huésped (otro programa). programas. Pueden “saltar” entre sistemas operativos ya que estas aplicaciones suelen ser
multiplataforma (existe Word para Windows y para Mac).
Según la definición anterior NO son virus: Un ejemplo es el Concept, que se limita a expandirse, pero sin acciones malignas. Otros
ejemplos, muy similares en su funcionamiento, son el Melissa y el famoso I love you. Ambos se
• Los caballos de Troya, al no hacer copias de sí mismos. Los caballos de transmiten por correo electrónico. Este último se hizo famoso por colapsar diversas redes
Troya (o troyanos) son programas que en apariencia son benignos, pero informáticas de empresas, corporaciones y entidades públicas en Europa y Estados Unidos. La
esconden acciones de tipo malicioso. También se consideran troyanos macro que contenía el virus era un script en Visual Basic Script que se ejecutaba al abrir el
aquellos programas que están ocultos en el interior de otros mensaje de correo electrónico que lo adjuntaba. El virus (gusano) provocaba una sobrecarga
aparentemente inofensivos. Cuando dichos programas son ejecutados, de las redes informáticas al enviarse a todas aquellas direcciones que tuviese el usuario en la
los troyanos se lanzan para realizar acciones indeseadas. Per exemple agenda de Outlook y borraba ficheros de ciertos tipos. Además, creaba dos entradas en el registro
la versió 3.0 del pkzip (PKZ300B.EXE). principal de Windows provocando su ejecución automática al arrancar dicho sistema operativo.
• Los programas de copia (p. ej., el XCOPY) cuando se copian a sí
mismos.
5.1.1. Sector de arranque El motor de búsqueda es el encargado de buscar en los discos y memoria aquellos
patrones o secuencias identificados en la base de datos. Hay que tener en cuenta que por cada
nueva actualización del motor de búsqueda aparecen numerosas versiones de la base de datos
Los virus de sector de arranque copian el sector original en algún otro lado y después se de virus.
copian ellos mismos en su lugar.Dado que hay poco espacio, suelen ocupar también algún otro
sector del disco.Para evitar que los sectores donde se copia el arranque original o alguna parte del
Doncs tan fàcil com entrar com anonymous , cosa que es pot fer en molts sistemes, i si
l’administrador a dotat de “suficients” permisos a aquest usuari invitat --> antesala d’un atac.