Scribd Logo
Upload

Welcome to Scribd!

  • Seguridad de La Información Cap-8

    Uploaded by

    Moises Munoz
    25 views26 pages

    Original Title

    Seguridad de la Información Cap-8

    Copyright

    © © All Rights Reserved

    Available Formats

    PDF or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    © All Rights Reserved
    Download as PDF or read online from Scribd
    Flag for inappropriate content
    25 views26 pages

    Seguridad de La Información Cap-8

    Uploaded by

    Moises Munoz

    Copyright:

    © All Rights Reserved
    Download as PDF or read online from Scribd
    Flag for inappropriate content
    of 26
    Capitulo 8 Codigo malicioso Guillermo Mallén Fullerton Introduccién ts comps Coo cualquier ots heramie ‘eel uso que los hombres le damos lo que fe confers bond o maki Desde el punto de vista hstérico, el uso de La compuradors como na cf gremio de los especiiistas en ccomputacion eva bastante pequetio y ex propiciba un control intenno ett: ‘cualquiera que avira una conelict inapropida era pidamente denuncindo nt sus colegas yvelacermadas las peas dela mayora de los empleas en una sancién social antomiti Por ott lado, e perf de las personas que entaban # ee ‘Gon electdaica era poco propico pars la enteada de delineventes. Habia que aprender ante a sence de carers proesio~ Ja comps Inacer un enorme esfuer20 para rales ent esta dreay, aunque fos salaries eran buenos, no habia dinero el os horarios de taba eran infames, el abajo pesido y abi Asimnismo, cl ambiente de desarllo de programas y sistemas era sume mente rigido.Etiempo de méquita ea muy escas y aba horaos expec para compilaciGn y prucba de programas, y mecaismos estictos para conta cl uso de ese valiosa recurso que ent tempo CPU. Difimente un program Wo ¥ Por la otra, se pusieoa de mors las cutteras profesionles Mexico mis be 500 cae fe 500 careras profesional en esa rea en tanto qus ade 1a conch ‘ese para sus ines sn que 1a proieracion de la PC no silo ajo mucha gen Sino que timbién evs tos ambientes igilume sesde as ualquier case de programas sin yramas sn que haya nadie que lo supervise o cons {Uno de fos primeras delitosinformiticos fue la venganza por supuetas 0 PO" dejads en sitemas clave paca la operacion d eraban que shun a ser semovides de sus pcetos pene Hlguna llanacle de atenciGn del jefe © una promocion que no llegst “ on if {We con problemas de segridd inomiticapeopiamentedicha, oven deseuido de os ust fraudtentas,Pocos casos abo en los que habia programas especalmente ds de delincuente. Asi encont sletoramente a su vicina y no buscan venganzis particulars ni enrique mente muchos de fos atacantes ele Y Iyates preforentes en las noticias, Esto, desde nego, no ek rin 4 aquellas que la hacen por dinero © avn por #4200 Tamados anse (Bellen Board Sy Tn estos servicios los ustasos de conectaban medante mvddem uns 1s en Jos que pexlin dejar preguntas o contest as que otros aban col ado. Tambige habia eas de achivos en as que oe Intercambabun desde re ests de cocina hasta programas le lsmaban en inglés, lo que daba la oportunidad traban por un apodo Usancl Entre fos archivos mls comunes en los Bs ancnimes estaban pro ar fos sistemas de protec contra copia de plas, programas paca deshabl fs programas comerciales y mucha iformaciin del funcionamentoineeno de stems opentvo de la Pel BOS de esa época, 1 desacolla del bachor adolescent estaban dados y os elementos pat fort relatvamentesimultnea en diversis no es extrao que hayan si aca ines de los och fs hs se comunicaban de ura ciudad a ot formando wns red por a que i ca bastance metiocre, ya que un menssje pods tanlar varios eas en legae a su iti compari informacidn entre personas de diferentes pases. 458 coer aatc0%90 Un femmeno que sa 2 vis es Ia Facil con la que las Backers lo 4a populatizacién del internet, dese fines de fos echenta con progeamas ‘como gopher Iuewo su crecimiento ventiginoso en los noventa es a apaicicn e la World Wide Web, facttaron enormemente la comunicaiée entre backers «hicieron que io que haba sido un problema relaivamente mancjable se con- viniera en el temendo dolor de cabeza que hoy tenetios Como consecuencia de la WWW vino el comercio elect Y jmto con 4: 1a oportunidad del fraude masvo y hs ganancias jugosas para ls deincven ts. Sin embargo, el problema a0 solo es el comercio elect ete femos muchos sios que por st visblad som blancos fecientes de tos Melincuenes, Para colmo, esta lnfaestrictura have posible realiar a atague ndo del mundo, de maneea que los saques se muli- Pliean. Los problemas de junsdiceién policy eiferencaslegles de un ps oto Son una pes Tanbign tenemos ahora wn enorme imero de aprendices ce delincvente informitico, conacidos en Internet como ewennabwes 0 seript ud, ques ben no tienen buenas habilidades téenicas,atcan vsando programas hechos por ‘40s ¥ generan un ald de problemas, Del lado de a ley lo que whe hecho —y lo que prtcamiente we pede hnacer— es vedaderamente patético, En muichos paises se han hecho leyes te ‘mendamente dristicas conta esta clase de deincuentes, que ta in i ds all defo razonable y jst, y que son tan excesivis como inte. Foe ejemplo, «nel cécigo penal de México se castga con cinco ais de prin & dessraceion e informacion, sin ninguna atemuanee, de manera que si por un wal y verdad ro accident alguien destryeInformacisa, aun iselevante, puede elie car 405 que potencainente Lo enviarian a la ciel por mecha dézada, y st la informacisn pertenece al sector piblic, la pena son seis aos in derecho a fanz. Sin embargo, estas leyes Som nites debi ala impunad que existe, Aun en pubes con agencias investigadoras altamenteelcienes, com Bs ‘aos Unidas con su Fs, el rvel de impunidal es enorme. De hecho, el porcen taje de delincuentesinformiticas sirapads es normalmente infor 0.1% f esta sitaciOn lo dnico zonable que podenios hacer es defenderacs de fos ataques como tel sistema de usticin no existiera Muchos de los ataques se hacen mediante programs 0 scrips A esto cs lo que lamamas céigo malicioso, 1a clasiicacion del cédlgo malcioso para fines de estudio —y defensar~ 10 es Fei ya que con mucha frecuencia se encuentran combinaciones y cada sia surgen nuevas formas de atacat. A pesir de esto debemos esublecee un ‘marco conceptual sobre ef cual pocams trabajar y que nos ayude en el ent stem del peoblera 4 clasiicacion podria hacese de diferentes manera. Por un lade, pete utilizar un crterio basado ea as ténicas de programacion empleadas oon tos antes que atacan © en la clase de resultados que se obtienen En este trabajo adoptames un eiterio un tart hibridoy divides el cl 0 malicioso en las siguientes categoria + Ataques de penetracién de servidores y extaciones de abajo, + Ataques de negacicn de servicio, + Programas de espionaie, + Caballs de Toya, + Bombas de emp. De todos estos tpos el mas abundante y que genera mayores costos paca ka ‘sociedad es sin dud alguna el de los vius y por ela, le pondemos un mayor Virus El tamafio del problema 1 primera pregunta que surge es qué tan grande es el problema de los vinus ake tiene informacidn precisa de so ramao, sn fs que pricticamente m0 bay © fos des 0 tes aos y que i inmense Ma staque de virus impoante en tos tin ido al mencs uno de e508 Wi ors de fos ustios a re pitantes no Ses Por desgracia hay paces estudios ep vin informa itembokigicos de lo «elon no han senido Seguin cos y muchos rns poco ets que ha en sequin, bs rgarizaion 18 tabi ealnad varia encuestas sobre vrs ffomaticos ¥ nos da iforacicn rate 1S ten falas metodoicas de arene mnpetani, nos informa de wkd Antes de usa os esas sete cmeeata conviene entender sus fnitaciones part no lege aconcusiones mal funda slr prevalencia viene del imbito de epidemic, signs ct imero de innius en un publi ifeccin con cient ta meena, en pier de a instante dado tiene unt gente patgeno. Bs como 5 antandines de ta pablackin¥ contiranxs el nimero tomisemos una Frog oniraste, la palabra incidencia usa en cl de personas infecacas en elt. En ae re epidemiokic significa el riimero de Indviduos en ora pablacin wente patgeno, €6 oe en srt pero ha tenido una ince con EO a deci, no ex una medi istantane, in ri durante ‘que describe fo que 0 certo pei, Hmnente a pesar de stu, trata de un fy enti asad en os respuestss BE Inia sudo de ineidencis de ‘irs inforaiicos para diferentes perio tones proves en up cvestionato, Et 6 lmporante via serie de organizac vonfieacion objeiva de as infeciones de virus ¥ no se tene rerio dll des crcunstancias en as que las infeciones sedan. rn de Ins iypresiones que denen los resporsables Peadia decinse que stat en afomaien en cada exgaizacién ¥ es probable que los dos ¥engan ‘enor aprecabe porrtreaa se aplice Gnicamente a orgaizacones del setor pablico y rsa cn ns de 50 9 n Estados Unidos ys exchyenexpecicamente 2 sesao de Is orgaizacion ins universilades, Como ais adelante verer0s, el stgnte en Ja velocidad @ tiene una inuencia decta y muy impo ue se po ran ls infeccones infos ¥ ests euadcs pun no se my Sek cco lado, las onganlzacones gran fiativas en onganiaciones mis chieas,P ratvos em las empress productoras de airs tienden a tener contatos compor veal enen sus productos més actulizados que los individuos O#Bs lonoeer que €n of PALES HS OS nlzacones pequetas. Tambsén bay que re etree canibian y eso puede tenet un impacto importante en fa incidencla ¥ a es de 300 organi fos vis informatics, Sltamafo dela est prevalenci de rextreo es razonable, dando limites zaciones, que desde el punto de ‘Ge confianza de 959 con un ertor maximo de vata a a visa en el estudio en cuestn es que el I primer seutado gu 2 tomas de uno seoblena de vies ae ha venido agravand, La siguiente gi te os eportes, sta el problems, il ee veical de la gefca da el rsimero de infeccones por mes por ean sooo ne, de manera que se ta de una medida normalizada ¢ independiente ‘del tamanio de la opanizacion, ses Labs Virus Prevalence Survey 2004 sexo de nfeciones por mes por care TODO RS "fs ucord cols ences de 1 tabs 1 velocidad mai : ima de expansin del vis se pre ed ti Present cuando tial de a Definicién de virus informatica os Vins ¥ otros programas relacionados, par ae (a llegar a una definicion suficiente ‘on ce ndlamentacién sélida, a shoreindono fein os e trauma de ibe. Luego, eamentaremcs a «6m de trib, mis aecuada para a 2 em “a pant ataca los problemas cotianos que nos {un programa o a menes ena coi rus comparacional 1 qUe es Wjcutada por a que se ejecutan [os pro vera a pumas de pl © hay nada migico ai extn row eon las mil ara redial y, al ates ¥ tes. En esto tes6 que vars aplicaciones aplicacién consiste en que los virus se te pr eee ee una miquina a otra en CDs o a tr, r de ene una serie de com fede mputach ¢ locas ya sea en forma direct cs 0 tvs dele Script, comandos de si os items operative, ensambl le los vin se esenbian en ensar Se usan mis cominmente 1a Script y Ancigusme nactos dle Microsoft Word “ 08, desde ef Micresoft Windows en toda Antiguo Bos de tas Pos ye Linox/tinix. ta caida de vinus, sin embargo, es mis 0 : la cana de miquinas ysiemas operatios instalados, de manera que encom: ‘ramos un enorme cantidad de vis para Windows y sus aplicaciones, menos pata Mac y unos evant pars Lim Uaks La peligrosad de fos vrs es en principio faversamente proporconal ata capacidad de ls maiquinas en que operan y las failidades que proporcionan los sistemas operivos, De ext manera, aunque haya menos vis para Unis, Jos efectos de éstos son tn devastadores que el problema require tant ate ‘6n como el de ss Fs os virus pueden tener asociads caller mutaa, de manera que & per sce gat ra rom al usuario Fectamente posible que hagan cuslquler tare, ina nave espacial a Jpiter, Obviasente, lo que hasta calcula a trayectoria de encontramos de ordinato es 0 una seneilabroma ¢ a desruccién 0 aleracin| 4e [a Informacién en hy computador. Los eileulos avanzados slo se dan en slgunos laboratories de investigacion en que se han usido virus como tna he rramienta de proceso distibuiclo, para ealular cosas como stun evimero de muchos dios es primo 0 no, aunque sin mucho éxito. De una manera ms formal, pensemos por ahora que un vin es un pe ‘queto programa o una secciin de programa de computadora que puede 0:90 formar parte de un programa decutable u otro archivo, cxpaz de ejecutar fas racciones Se dice queef proynana u achive 6 infeed y que ene la pro pledad de infectar @ ros programas 0 archivos al ser eject, sea con e mismo virus 0 con otto, qe bien pede ser una versién evoluconad del mis so vius 0 uno completamente diferent Vamos con eaima la definicisn anterior pars establecer las diferencas con ‘tvs progeamas que con frecuencia se confunden con virus ycuyas cna ce EI primer punt es que el virus puede ser una seein de programa y 10 recesariamente un programa 0 que © copian a si tismos de una miquina a or 0 muchas weees deneo de misma méquin, les Yamamos replcadores simples o gusanos ¥ son s6lo Un caso ptcular deo vinus, Ye ha tulares de algunas prestgiosas puldicaciones periédicas de Estados Unilos y Inastanve tempo uno de estos repcadores simples ocups Inst 466 an1co mato sparecio como noticia en le elevisin y dems Jel mundo en novlembre de 1988, cwando Robert Mortis Je, esudinte de pos frado en computacién en la Universidad de Comelle hijo de uno de los mis importantes expertos en computacién de Estados Unico, inv ka ted Inter set con un gusae disetado para copiase a todas las mquinasSun y Vax de red que srabajaban con el sistema opertiva Uni, Mis recientemente hemos tenido casos, come el Anna Kournikova, que han infectado entre centos de miles y aillones de miquinas mediante correo elacténico, de manera qUe e5 probable que en el futuro sigamos teniendo este tipo de problemas con fe Desde luego que al gusano de Morris sguieron muchos ros, algunos de ellos sumamente dafinos, Algunos ejemplos importantes son d ColeRed, que Invadié pedericamente la toaldad de las mdquinas susceptible en internet en 4 horas, e Slammer, de enero de 2008 que ses todas las posses direciones Ir de Intemet en dice minstos, generando ina saturacin de are ce tl sag ritud que queds inutlizada por alrededor de una hora, y el Wit, ue demost ba visbiidad de un gusano de alta velocidad pesar de expotar una vuleabi lidad de un programs de poca dfs al explora a toaidad de a ted en 45 ‘minutos habiendo slo 12,000 maquinas vulnerable, ‘Otro aspecto importante es que cuindo un virus se reproduce, ef vis resultante puede 0 no ser igual al orignal, lo que abviamente geners muchos lowes de cabera a Jos especalisas. Les des pos de virus qve cambian y 56 ‘encuentran con mayor freexencia son los multipartias lor politicos. Mas adelante hablaremos de ellos con detlle, por ahora haste saker que el vies ‘original y el reulante pueden no ser iguales Un mito que hay que elimina esa creencia que toda progr dating & un virus De hecho, desde hace muchos ais ha habido programas hechos para causar dato oalterar la informacn almacenada en las computsdors y que sin embargo no infectan a otros programas. Lo casos elisicos son los sides en verssinsitulones fnanceras con el propsice de realizar faces, o os de dos por ex-empleadas descontentos como vengana. cont ls empresas © insituciones ea que tabajaban, su dase de programas recibe el nombre de Calo de Trya, en un nalogis cone! miico caballo de madera que conduj a la cada de kt antigua ciudad de Troya! c aiguer programa es susceptible dese nfetad por aan virus. un sistema operative, de un maneacor de base de datos, programas fuente, archivos de eecucién de comandos por lotes, macros de un procesador de tex (00 Scripts dirigidos a migra a tavés del programa Microsoft Outlook, Texos clos som programas, ‘Ota idea tan genealizada como eratinea es que tos fos virus son da nos. Si bien es cero que lt Inmensa mayor de los virus computacionales co pocidos actualmenteestin dsefados pars causa alyuna clase de dao en ls ‘mquinas que infectan, existe, al menos en teri, la pas de hacer vies bbenficos, De hecho, se han hecho yen los labortoros de investigacicn y la ea de estos virus henefics estan antigua como os experiments hechos por el docior Hed Cohen en tse, En cuanto ls vrs en ctelacién, acho se ‘completo. Por una parte muchos experts dicen que todes lo virus son malas, Lebo aque para penetar en un sistema nen que moder algo, ¥€80 €n| sum dao, Otros mis se enfocan sobxe el aspecte del conocinento autora cn de los usuarios, diienda que pata no ser malignos ef usuario debe auto 2 I entra del virus en su sistema y, por extafio que patezca, hay virus en cireulacidn que piden aurorzacin pany infecur un sisema (y hueg> causan datos ireparabes). ‘Una tercea posicién tal v2 la ms madurs, est stialapor las ideas de Vesselin Bonichev, quien dice que un vins puede ser dafino o no dependiendo ‘de medio ambiente en el que se encuentre y esto inchiye no slo Ia aquina y sistema operativo, sino también las aplicaciones y ottos programas instalados al usuacio mismo, Algunos colegas, en un aad de gnorancs, aman “woyanes esa case de pro franus. sn omar en canta quc en to cio e eyano eel asuni aoe suet ‘Eno, at emo los habsantes de Troy exon somtios meted a hs sodas ae ox estonia en el famaso caballo 46 corneas a cuanto ala posibildad de hacer views que deliberadaraerte hic trabajo postivo al menos pare la aayoria de fos usuatos,histenos imaginar mus encangido de dicbule comecciones sistemas operatives 6 nuevas Hstas de virus paca los programas antvius o pars comprimis acho. Las pos balidaesteoeas son amis, aingue desde el punto de vita prictco haya seriasobjeciones pare usar virts de esa manera. En particular el hecho de que no es posible distiiguir automaticamente un virus bueno de uno malo hace ‘Que al permit It presencia de los buenos tabi estamos djando aetuar QUE tan ficiles de detectar son los viru? Los virus de investigaion Dorarmentesolctan la auorizacén del usuario antes de infer un programs aunque también tienen mecanismos para evitar que se salgin del borat 'Ho— y muchos virus reales no hacen el més minima esfuerzo por ocular sy presencia. £5 mis, muchos hacen exfuer20s por lamar atencin del usuario» 'parecen como anexos n los correo elecericos | KS Nay desde luego, un ntimero grande de virus que hacen esi 2c inaueltos por tars ¥ paca ello han inventado téenicas suamente ingenioss, algunas de las cuales tienen potencial pa ser usadas en eas productivas node forma y ocultmierto son opctonales en los vis, ainque por De li definicion que hemos venidlo usando hasts ahora se desprenen ‘Gertas condiciones bisias para que los vias puedn ext 4 primera esque los programas deen poder ser mnipulaos como datos, de ora manera un progema no pedis moxificar a otro pats infectrlo Esto sto es posible en as miquinas de programa almacenad, Las preeras miéqunas, como ta PSC, en as que ef programa esaba alambrado y ert totalmente inde Pendiente de os datos, no postin weer virus. Las consolas cle juego en que los ‘aruchos nen unt memoria de sélo fects (ROM) tamporo pueden tne vias, ‘tra consecuencia des msiguinas de programa almacenado esc hecho de que los programas som en reli ul datos inexpretados por t computador En muchos casos, cuando el programa ext en leniguaje de miguin, salva ce ts excepciones, slo puede tyr diectamente en una anquitectca comput ‘ional paticular; sin embargo, existen programas intérpretes que permiten que luna misma secuencia de simbalos, alk que lanames programa, table en va thus miquiaas, como seria el caso de Java 0 de PERL EL hecho de que los programas sean en realidad simbolos interretadon plantea por un tido, amenazas serssy pore otto a posi de una defi ‘in genertizada de vis, aplcable no sd alas computaoras sino wanbién la biologi ya cos canpos, el lado de ls amenazas se ampli el limero de comptadaras que pe denser infectadas. También es mucho mis fll hacer fos virus usa macros ¥ Tenguaes como vB Script, o que los pone a alcance del usuario eormtn y x0 explica a menos en parte a ivasin de vies de macro sufi pace de 1996 a segunda condicion es que, con ls excepckin ck: fos replicadores sine ples, los programas infecar tienen que estar accesibles para los progeatis ‘ue contcnen el virus. Eso es de conseevencis importantes cuando watamos ‘con fos mecanismos de defensa ante el probes que representa los vine. De hecho, una precauicin bisca es Ia de tener sempre en Cb ls programas nigh de sistema operativo, paquetes y aplicaciones, que quedan fuera de a cance de tol virus m0 migra los views de una miquina a ca? Aunque hay vatos mec nisms para elo, originalmente lo mis eormin era através de diskettes o de las conexiones de lis rede cle computador, Actualmente lo mis frecuentes que wisn como anexos de un correo eectnica «que migien eietamente a través fe red aprovechando agin eror en alguns aplicacion. Con tecuencla un hr mano debe ser cGmpliceativando un programa anexo & un coneo elecuanice Durante fos aos cincuenta yel principio de los sesenta, a mayoria de os ‘omputadoras carecian de sistema opersivo y los programas debian lees de laretas perforadas y ejecutarse uno a la vee. No pod haber vis en ears ma uinss ya que Jos programas esaban permaneniemente fers del slcanee det ogra que se estaba ejecutando. La memoria era borrada entre proceso y Proceso deseryendo a posibilidad de que un views quedara en memorial sl de i eecusién de un programa {as condiciones hiscas pare la exisencin de vieus se deron més bien a Iediados de oss sevens, cusndo se inrokijeron de forma yeneralizad los tlscos magnetics en los que se pod almacenar tao datos como peogarnae Fr ext époct cas! no se copiaban programas de apliccién de una miguina tr, os sistemas operanvos, lengua yl poguisines paquetes de a apace se obtentan drectamente del fabvicante, quien por fo regular eercia un ben ‘contol de calidad Ls reds y el conto electrnico ni squiess exisan. De eats manera, las posibldes de prolferslén de un vitus ean muy limitadas EL sunginiento pro viene con la archivo ejecutabie) entonces i archivo = siguiente archive sjectable brinca cit: ’ repress 1 Procedimiento hacer-dato = i ‘cualquier dafeo_programado; ogres Procedimiento daar ahora = si fcondicion_para. dao) entonces fl volver veadacer; evolves fas, Programa_prncipl 1 Si daar_shora entonces 1 hacer, brinea ina ’ as a4 cone nano 1a inmensa mayoria de fos virus hecho hasta 1990 tenian wna esructre sine 4 la del virus ondinato, Esto ha do cambiando gradualmente al incoducie de unt manera generalizaa tna sete de procedimientosorntadas a evitar que el virus sea detecade (vis invisbles © steal wuss) ¥ a generar un aero enorme de varies en fo gue populamente se conoce como vius“mutanes aunque #8 nombre correto es el de vieus polimérfcas, Sélo como eemplo de la postbilidad de vies benéficos induimos aqui un vinss compresor de archivos, haciendo fa acaracin de que hay mejores mane as de lograeeesuacos similares, conto lo hacen algunos produ‘ comerciales inchyendo ln opeiie Doublespace de Windows Programa vins.compresor 12345678 Procedimient infect = archivo=primer_archivo_ejecutble ice 2345678) entonces si ~{primerajinea_de_ archivo comprime_archivo; iserta_vinu.al_princpio_ de archivo; resres } i hay. otra archivo_ejecutable entonees 1 archivo « sigoiente_archive_ejecuabl brinea cielo Programa_paneipal: sl astaro_d_permiso entonces infects

    You might also like