Suplemento de PC World Nº 218

Suplemento

Blinde
• Los fallos de seguridad más peligrosos • Qué hacer cuando todo falla • Reglas para protegerse • Trucos para descubrir virus y troyanos • Olvídese del software espía • Proteja a los niños en Internet

su PC

Blinde su PC
sistema operativo. Ahora que el uso de Internet se ha generalizado, la expansión de estos problemas

T

odos los días oímos noticias

también lo ha hecho y parece que nuestro ordenador es cada día más vulnerable a pesar de implementar cada vez más medidas de seguridad. Con este Suplemento que tiene en sus manos podrá conocer cuáles son los principales problemas de seguridad a los que nos enfrentamos y cómo podemos evitarlos. Aprenderá a detectar y evitar algunos de

sobre un nuevo y peligroso virus o un fallo de seguridad en alguna aplicación o

SEGURIDAD: EL ENEMIGO EN CASA BLINDE SU PC CONTRA VIRUS Y FALLOS LOS 20 FALLOS DE SEGURIDAD MÁS PELIGROSOS CÓMO DETECTAR HACKERS Y TROYANOS DIGA ADIÓS AL SOFTWARE ESPÍA NIÑOS E INTERNET

5 14 20 26 30 33

los ataques más frecuentes y a proteger su PC contra el software espía. Además conocerá los fallos más importantes de los principales sistemas operativos, que son los que aprovechan los creadores de virus para introducirse en nuestros ordenadores. Pero como no todos los peligros provienen del exterior, a los responsables de redes locales también les orientamos sobre los problemas que pueden generar sus propios usuarios y cómo hacerles frente. Esperamos que su lectura le permita estar un poco más tranquilo cuando utilice su ordenador.

SUPLEMENTO PC WORLD

3

4

SUPLEMENTO PC WORLD

Blinde su PC

Seguridad: el enemigo en casa
JUAN BLÁZQUEZ MARTÍN jblazquez@pcw.idg.es

Si en algo coinciden todas las estadísticas e informes sobre incidentes de seguridad es en destacar el alto porcentaje de sucesos que tienen como origen los propios empleados, en activo o no. Poner todo el esfuerzo y recursos de seguridad en prevenir los ataques externos deja la retaguardia completamente desguarnecida frente a la amenaza más probable y posiblemente más dañina: el propio usuario.

Para propios y extraños, puede parecer que la seguridad está de moda en informática. Sin embargo, lo que realmente sucede es que se está cubriendo otra etapa dentro de la rápida evolución de esta tecnología. Hasta no hace mucho tiempo, en el mundo del ordenador lo que realmente importaba era conseguir conectividad y se dejaban de lado otros aspectos importantes en aras de su consecución. Ahora que la interconexión de ordenadores es algo casi trivial, cuando el ordenador es omnipresente en cualquier actividad, es el momento en el que se necesita hacerlo más seguro. Habitualmente se identifica el peligro como una amenaza que procede del exterior y se olvida que

un empleado desleal, descontento o -por qué no- perturbado, puede causar mayor estrago que cualquier ataque hacker proveniente de Internet. La ausencia de barreras y la falta de control sobre su actividad puede dar alas a un empleado disgustado dispuesto a cometer cualquier tropelía sobre el sistema informático para llamar la atención sobre su despecho. No hay que descartar otras motivaciones más prosaicas, como obtener beneficio personal económico o de cualquier otra índole, dentro de la propia compañía o frente a terceros. Tampoco hay que perder de vista la posibilidad de sufrir un sabotaje procedente del exterior con datos precisos proporcionados por personal propio a los atacantes, para

saltar todas las medias de seguridad implantadas para impedir estos asaltos. Protegerse de estas y otras amenazas pasa necesariamente por la definición y puesta en marcha de un plan de seguridad que evalúe la realidad del sistema, detecte las necesidades y aplique las medidas protectoras adecuadas al nivel de seguridad buscado. No se trata de aplicar seguridad por aplicarla, sino de hacerla coherente y posible. Un plan de seguridad debe ocuparse de definir medidas que protejan los recursos tanto frente a las amenazas externas como internas, identificando claramente qué se protege, por qué y cómo, así como recoger procedimientos y medidas correctoras

SUPLEMENTO PC WORLD

5

en caso de que se produzca algún incidente. Esta actitud de gestión no sólo forma parte del “manual del buen administrador”, sino que puede ser exigible desde el punto de vista legal. Su ausencia puede acarrear consecuencias jurídicas, tanto si se producen percances de seguridad como si no. La Ley de Protección de Datos en vigor es un claro exponente de la responsabilidad que exige el mantenimiento de un sistema informático. Para conseguir implantar un buen plan de seguridad es imprescindible crear una “cultura de seguridad” entre los usuarios, que les haga partícipes y les implique en su efectiva aplicación. Dar publicidad sobre normas de obligado cumplimiento, recomendaciones sobre cómo llevar a cabo determinadas operaciones, consejos y todo tipo de información relacionada, puede evitar que técnicas como la ingeniería social puedan afectar al personal de la organización, puede revelar a los responsables informáticos posibles fisuras inadvertidas o alertar sobre comportamientos y actitudes que puedan dar lugar a incidentes si no se atajan a tiempo. Un ejemplo claro de la importancia de la colaboración del usuario en el mantenimiento de la seguridad se encuentra en la lucha antivirus y contra el spam. Es incuestionable que unos usuarios concienciados y bien aleccionados son el primer filtro más efectivo para impedir la propagación de código malicioso de todo tipo en la red interna. finalidad de la seguridad. Mantener la confidencialidad e integridad de sus datos es una tarea crítica para la informática de la empresa, independientemente de su actividad y dimensión. El personal interno no suele dar importancia a la información que maneja, seguramente por la cotidianidad de su acceso, y normalmente se implantan restricciones sólo a los datos que no “conviene” que sean ampliamente conocidos. Sin embargo, la mayoría de los datos manejados por la compañía son fundamentales para su actividad. La base de clientes, proveedores, informes de situación financiera, stock de almacén, propuestas a clientes, programas propios y una larga retahíla de datos, resultan bienes intangibles del patrimonio de la empresa que no figuran en ningún inventario, pero su pérdida o menoscabo puede acarrear graves trastornos y perjuicios de toda índole. Y no es sólo cuestión de permitir o no el acceso a los datos. También es importante el momento en el que se puede acceder a la información. Como botón de muestra, si una oferta se filtra antes de llegar al cliente puede hacer que la competencia reaccione y presente una propuesta más atractiva por la que se decante el comprador. La facilidad para obtener datos implica la misma facilidad para poder atentar contra ellos. La seguridad en el acceso a la información básicamente está La función de encriptación incorporada en Windows puede evitar que los archivos sean visualizados por otros usuarios aunque tengan amplios privilegios sobre ellos, como muestra el detalle de la imagen.

PERSEGUIR CUALQUIER DELITO
Cuando se sospecha o se tiene la certeza que se ha sufrido algún tipo de fraude en el ordenador, la posibilidad de perseguir legalmente al autor de la acción dependerá de las evidencias que se puedan conseguir de su perpetración. Es importante no realizar ninguna operación que pueda acarrear el borrado o alteración del equipo y avisar a la policía. Si se quiere realizar cualquier investigación por iniciativa propia, lo mejor es utilizar una herramienta de clonación de disco, dejar el original tal cual y trabajar sobre el clon obtenido.

Confidencialidad e integridad
Obviamente, que la información se difunda sólo entre aquellos usuarios que realmente deben tener acceso a ella, en el momento adecuado y que los datos sean veraces, es la principal

6

SUPLEMENTO PC WORLD

Blinde su PC
conformada por la asignación de privilegios mediante permisos y la encriptación. La integridad de los datos tiene, además, como principal valedor la firma electrónica. Mientras que la propuesta de los primeros mecanismos es impedir los accesos no deseados, la validación digital se utiliza para confirmar que los documentos electrónicos son originales y no han sufrido ningún tipo de modificación. Aquellos administradores que basen sus sistemas en Microsoft Windows 200X, la plataforma más extendida, tienen disponible este tipo de mecanismos como funciones incorporadas dentro del sistema operativo, tanto en las los permisos que se otorgan desde el sistema operativo pueden ser insuficientes para regular las necesidades de acceso a los datos o no aplicables, como puede suceder en el acceso a los registros de una La tradicional seguridad ofimática de acceso mediante contraseña, en la práctica no resulta eficaz y puede volverse en contra si, por ejemplo, una persona despedida decide poner contraseña a todos los archivos a los que puede acceder. En este caso, la facilidad para romper esta protección dependerá del método utilizado por el programa en cuestión. Ahora bien, para que los mecanismos de confidencialidad e integridad respondan a los objetivos establecidos, conviene desterrar como práctica habitual la utilización de credenciales genéricas, con palabra La gestión de permisos desde los programas y por los propios usuarios resulta más conveniente. Office 2003 es un ejemplo de cómo están evolucionando en este sentido las herramientas ofimáticas. ediciones de escritorio como de servidor, de las que ya hablamos en PC World nº 210, de junio de 2004. Sin embargo, aunque tradicionalmente la asignación de privilegios le ha correspondido al personal informático, un buen plan de seguridad debe dejar esta tarea en manos de los usuarios, los responsables de los contenidos, quienes mejor saben qué información hay, quiénes pueden acceder a ella, cuándo y para qué. El informático conoce la información desde un punto de vista técnico, como archivo, como base de datos o programa, y se preocupa de ella desde esa perspectiva. Para que los usuarios puedan hacer un buen uso de los privilegios, base de datos. La seguridad de acceso resulta mucho más flexible, completa y fácil de utilizar cuando se establece desde los programas que tratan los datos a proteger. Por ello interesa implantar programas que permitan establecer privilegios de paso, regular las operaciones que se realizan y que sean los usuarios los responsables de su asignación. Esta filosofía suele estar recogida en los programas de bases de datos y hacia ella evolucionan los programas ofimáticos, donde Office 2003 puede ser una muestra. En esta edición de la conocida suite de Microsoft, dentro de las propiedades de los documentos puede incluirse una lista de control de acceso que facilita su vigilancia. de paso conocida por gran parte del personal. Sólo interesa aprovechar las ventajas de este tipo de cuentas para accesos de consulta. Para cualquier otra operación que pueda acarrear la modificación de datos, los usuarios que puedan realizar estas operaciones deben estar perfectamente identificados. Por ejemplo, es corriente que varias personas utilicen el programa de contabilidad accediendo con una misma cuenta. En esta situación un usuario tiene muchas oportunidades de introducir impunemente datos falsos o erróneos que acarreen serios problemas administrativos dentro y fuera de la empresa. Estas alteraciones pueden ser introducidas por activa o por pasiva, consecuencia de una acción desleal premeditada o resultado del desconocimiento, de un error. En cualquier caso, detectar el origen para

RESPONSABILIDAD JURÍDICA
La Ley de Protección de Datos LOPD, Ley Orgánica 15/1999, identifica la figura del responsable de fichero, que no tiene por qué ser personal del área de informática. Realmente el personal informático es quien tiene que encargarse de implementar las medidas de seguridad que los responsables de la información consideren oportunas respecto a su contenido. Sólo se puede exigir responsabilidad sobre seguridad al personal informático, si recibe instrucciones de implementarla. Claro está, el responsable de la información indicará cuál es el nivel de protección que se debe aplicar y será responsabilidad del informático implementar los mecanismos que proporcionen dicha seguridad.

SUPLEMENTO PC WORLD

7

emprender acciones sancionadoras /correctoras, resulta difícil y puede prolongar la situación en el tiempo. Esta política de cuentas tiene que reforzarse con otras medidas complementarias, como la implantación de una directiva de contraseñas que evite que los usuarios puedan averiguar y utilizar fácilmente la de sus compañeros o superiores. Tamaño, complejidad, posibilidad de repetición y tiempo de renovación, son algunos de los aspectos importantes para desplegar un correcto control de las cuentas de usuario y, por ende, de su actividad. Este tipo de política tiene fácil plasmación en el ordenador dentro de la plataforma Microsoft en el Directorio Activo. Mediante la definición de paquetes de directivas, GPO, los administradores cuentan con una potente herramienta para forzar el establecimiento de reglas para contraseñas de usuario, acorde con sus necesidades. Estos parámetros pueden definirse a nivel de equipo individual, con directivas locales, o para grupos, con directivas de dominio. Esta última opción es mejor para la gestión del sistema. servicios disponibles y la posibilidad de que se haga un uso fraudulento del ordenador, son otras cuestiones de las que se debe preocupar la seguridad informática. Las facilidades actuales para instalar y manejar programas, la potencia de los ordenadores de sobremesa o portátiles y lo cotidiano del acceso a Internet, son campo abonado para cualquier iniciativa del usuario, buena o perniciosa. La adquisición a bajo coste o gratuita de programas para todo tipo de propósito, desde Internet y otras fuentes, está al alcance de cualquier usuario. Montar un sitio web, albergar un repositorio para archivos con cualquier formato de información o utilizar herramientas que permiten realizar toda clase de acciones en red, es muy asequible sin necesidad de tener amplios conocimientos sobre informática. Sin ir más lejos, los programas de intercambio P2P bordean la legalidad y se necesita muy poco para convertir un ordenador en nodo de estas redes. Aunque más rebuscado, no tiene más complicación montar un sitio de descarga de pornografía, que tan pingües beneficios reporta a sus promotores. Los usuarios con inquietudes “hacker” tampoco tienen que superar grandes inconvenientes para hacerse con un amplio y potente En redes basadas en Windows 200X los administradores cuentan con la posibilidad de restringir el software que se ejecuta en los ordenadores cliente recurriendo a la aplicación de directivas.

Evitar fraudes
Si los datos albergados en el ordenador deben ser el bien más cuidado por el personal informático, no representan su única preocupación en seguridad. Los riesgos en el ordenador no están limitados a los atentados contra la información. El buen funcionamiento de los distintos

PROTEGER CONFIGURACIONES
Cualquier dato sobre infraestructura de la red debe ser considerado como “secreto” y se debe evitar que los usuarios lo conozcan. Datos como topología, tipo de firewall o simplemente el esquema de direccionamiento IP, pueden ser aprovechados para asaltar el sistema. Algo parecido a conocer la combinación de la caja fuerte. Este tipo de información no es necesaria para el trabajo de los usuarios y debe ser totalmente transparente para ellos.

arsenal de utilidades de fácil manejo que mal empleadas pueden resultar devastadoras, en el sistema propio o contra el de otros. Son ejemplos verídicos que están a la orden del día. Estas acciones, por otra parte, no tienen por qué ser consecuencia de una iniciativa premeditada. Una nota sobre cómo cambiar el logotipo

8

SUPLEMENTO PC WORLD

Blinde su PC
estándar del navegador de Internet vista en cualquier sitio web, puede animar al usuario a probar por simple curiosidad y sustituir el gráfico habitual por otro de mal gusto u ofensivo. Una acción que puede resultar hasta jocosa, pero cuya solución puede ser un verdadero quebradero de cabeza. No se verá con la misma simpatía que el usuario decida experimentar otra clase de “truco” y dejar inutilizado el servidor de correo durante varias horas. Los usuarios propios no sólo deben ser considerados como una amenaza para la información albergada en la red. El buen funcionamiento de los servicios y la posibilidad de que se utilicen los ordenadores como plataforma de acciones de dudosa legalidad, fraudulentas o poco éticas, obligan a plantearse ejercer algún control sobre qué pueden hacer con su ordenador y qué es lo que realmente hacen con él. Para poder aplicar restricciones sobre las operaciones permitidas a los usuarios, es fundamental contar con las facilidades que ofrezca el sistema operativo, verdadero motor del ordenador. En el mundo Microsoft, mediante los paquetes de directivas se dispone de los mecanismos adecuados para ejercer este control efectivo de una manera cómoda y sencilla para los administradores. Los principales parámetros de configuración se pueden localizar en distintos apartados del árbol de configuración de equipo y se pueden definir individualmente para un ordenador o a nivel de dominio, para ser aplicados sobre varias máquinas. Cabe destacar en este sentido las nuevas opciones disponibles en las directivas de equipo para definir cuál es el software autorizado para ejecutar en un ordenador. Esta funcionalidad, heredera de la tecnología de Terminal Server, ha mejorado sustancialmente su filosofía de aplicación y según una definición previa. Aunque esta última posibilidad no suele dar los resultados apetecidos por tener que resolver múltiples inconvenientes de funcionalidad, puede ser en la práctica el único medio de establecer un mínimo control sobre el uso que realiza el trabajador de su puesto informático. Como perfeccionamiento de estas directivas, conviene escudriñar la funcionamiento, convirtiéndola en una capacidad muy útil para el control del puesto de usuario. En aquellos equipos que no disponen de los sistemas operativos de Microsoft de última generación, queda como alternativa migrar a esas nuevas plataformas o recurrir a programas que se encargan de controlar qué aplicaciones se ejecutan en el ordenador, permitiéndolas o no, actividad que realizan los usuarios en la red propia y en su navegación en Internet, con la finalidad de comprobar que los controles realmente están funcionando y evitar sorpresas sobre las acciones que los usuarios realizan. Establecer registros de actividad dependerá de los servicios implementados y del software utilizado para ello. Lo habitual es que los servidores web, correo, proxys y demás, dispongan de opciones para mantener un exhaustivo registro de su actividad. No se trata de monitorizar constantemente los servicios, sino de establecer en la rutina de gestión la obligación de revisar estos logs con cierta periodicidad para verificar que todo marcha según lo esperado y poder anticiparse a eventos sospechosos, evitando males mayores. Conviene, eso sí, tener claro qué interesa registrar para evitar someter a los servidores a un trabajo extra y generar un exceso de información. Cada programa tiene su propia forma de manejar estos logs. Tanto su activación como su configuración suelen ser operaciones desprovistas de complejidad, por lo que no disponer de esta información es difícil de excusar. El control en la actividad de los ordenadores debe complementarse con medidas que impidan realizar manipulaciones sobre los equipos que permitan evitar las restricciones

SINGLE SIGN-ON
La proliferación de programas que exigen la correspondiente introducción de nombre y contraseña, añade seguridad pero complica la gestión y causa inconvenientes para los usuarios, que acaban hartos de validarse a cada paso que dan. La solución pasa por implantar programas que puedan relacionarse con los servicios de directorio, como el Directorio Activo, o recurrir a programas intermedios que son capaces de realizar la validación de forma transparente para el usuario. La mejor opción y más segura, es buscar programas que puedan trabajar con la base de datos de usuarios del sistema operativo, puesto que esto evita tener que duplicar la definición de usuarios y habilitar procedimientos y mecanismos para sincronizar dichas cuentas. Etrust Single Sing On de Computer Associates o Novell Nsure SecureLogin son algunos ejemplos de este tipo de programas.

SUPLEMENTO PC WORLD

9

impuestas. Configurar el ordenador para que sólo pueda arrancar desde disco duro, deshabilitar los puertos no utilizados y establecer una contraseña para acceder al menú de configuración BIOS, son las medidas más sencillas e inmediatas que deben ser aplicadas para los ordenadores de la red. Y no está de más, si es viable, colocar algún mecanismo de cierre o sello que obstaculice la apertura fácil del ordenador y pueda evitar la manipulación de sus componentes, para instalar otros o, simplemente, para dar el “cambiazo”.

VIRTUALIZACIÓN
La virtualización de servidores es una práctica habitual en cualquier entorno de producción actual. Son dos los fabricantes que copan actualmente el mercado. Microsoft con Virtual PC y VMware con el producto del mismo nombre. Mientras que el gigante de Redmond (www.microsoft.com/spain/windowsxp/virtualpc) acaba de desembarcar en este tipo de software y recientemente ha lanzado al mercado la versión de servidor, VMware dispone de varias ediciones de servidor, GSX y ESX, además de una completa gama de productos complementarios para la gestión de la plataforma virtualizada, como es Virtual Center (www.vmware.com)

de estos parámetros permite identificar las necesidades que tiene la organización y cuál puede ser la mejor solución para permitir la continuidad buscada y justificar la viabilidad económica para implantar la solución. Así, por ejemplo, en un gabinete jurídico puede tener consideración crítica un programa dietario en el que se registran los compromisos de todos los abogados para juzgados, plazos de presentación de trámites y otras efemérides. Para una empresa de distribución, el programa que genera las etiquetas identificativas de los envíos es fundamental. En ambos casos, puede que el acceso a Internet o el correo electrónico al que tanta importancia se da actualmente, no dejen de ser pura anécdota para la actividad de estas organizaciones.

Disponibilidad
Ni la confidencialidad ni la integridad conseguida en el sistema tienen razón de ser si los programas y datos no están disponibles en tiempo y lugar para los usuarios. La disponibilidad es una de las máximas aspiraciones de cualquier sistema y uno de los pilares en los que se asienta la seguridad. La disponibilidad debe ser una de las prioridades de los administradores, dirigida a resolver dos aspectos cruciales que garantizan la continuidad de la actividad de los usuarios: la tolerancia a fallos y la recuperación frente a desastres. Hay que entender por tolerancia a fallos la capacidad del sistema para seguir manteniendo un grado de operatividad aceptable, a pesar que se hayan producido averías en ordenadores o fallos en los servicios. Sólo partiendo de esta premisa puede ser abordado un despliegue realista de este tipo de medidas. Si bien el paradigma de disponibilidad está en conseguir mantener la operatividad en todo momento y situación, este objetivo para muchas organizaciones puede ser desmesurado y su implantación de difícil justificación.

El primer paso para establecer un plan sensato de disponibilidad es identificar cuáles son los servicios críticos para la organización y cuál es el impacto que su pérdida tiene en la actividad de los usuarios. Además se debe evaluar cuánto tiempo puede estar ese servicio caído sin que suponga un grave perjuicio económico, difícil de asumir. La cuantificación

En el despacho profesional, los usuarios pueden pasar sin el dietario bastante más tiempo que el que puede permitirse la empresa de distribución sin tener disponible su programa de etiquetado. Mientras que para los primeros la tolerancia a fallos puede implementarse perfectamente recurriendo a una simple restauración desde backup, sobreponerse a una situación de fallo en el etiquetado con la misma respuesta, puede suponer el colapso de la actividad y acarrear pérdidas económicas derivadas de la imposibilidad de cumplir con los envíos comprometidos. En este escenario seguro que la mejor recomendación es “duplicar” el etiquetado de envíos. Como se ve, no es posible aplicar una regla generalista para implementar medidas de tolerancia a fallos y éstas deben ser adoptadas después de analizar sensatamente las necesidades de cada escenario. Indudablemente, con la mente puesta en conseguir disponibilidad, deben articularse las actuaciones que se realicen en la adquisición de

10

SUPLEMENTO PC WORLD

Blinde su PC
equipos y programas. A la hora de evaluar el nuevo equipamiento hardware y software, se debe tener en cuenta qué rol va a desempeñar y cómo puede adaptarse a las situaciones de fallo. Hoy por hoy, la solución más extendida para lograr disponibilidad es la configuración de equipos y programas en cluster, una disposición que permite que varios elementos trabajen conjuntamente y en caso de producirse un fallo en cualquiera de ellos otro puede asumir su trabajo, automáticamente o de forma manual. Existen en el mercado distintas soluciones de cluster a nivel hardware y software, asequibles económicamente, que cubren un amplio rango de situaciones. Pero no son las únicas opciones posibles. La configuración de discos en RAID, duplicar la tarjeta de red, contar con más de una fuente de alimentación o instalar sistemas de alimentación ininterrumpida, pueden ser medidas suficientes para prevenir los fallos más habituales, sin necesidad de abordar soluciones más complejas en instalación y dinero. rápidamente. Sin embargo, si la informática no puede reactivarse con la misma celeridad esa vuelta a la normalidad no se producirá y puede ser el fin de cualquier empresa por muy boyante que fuera su actividad y alta su póliza del seguro. ¿Cuánto tiempo puede llevar regenerar la contabilidad, el estado de compras y ventas, la base de clientes y proveedores...? Y esto después de volver a recrear completamente el sistema, en hardware y software. Si todo está instalado de manera convencional puede ser un tiempo aceptable. En el caso de que existan configuraciones

Al mal tiempo, buena cara
Para la continuidad de la actividad de los usuarios, nunca puede descartarse que se produzca un desastre que provoque la inutilización completa de todo el sistema. Se suele minimizar la probabilidad de que ocurran y por ello, cuando suceden, rara vez se está preparado para responder de manera rápida y eficaz. En nuestro país, la posibilidad de que se produzca un terremoto que eche abajo la oficina es remota. No lo es que se produzca un incendio, seguro que pavoroso. Ser víctima de un robo con o sin escalo o que, sencillamente, reviente la conducción general de agua y queden todas las dependencias anegadas de agua hasta la rodilla. Ante una de estas situaciones, las medidas tolerantes a fallos sólo sirven para incrementar el inventario de reclamación a la compañía de seguros. Cuando se produce una calamidad de esta envergadura, el centro de trabajo, el mobiliario, los enseres y -por qué no- las mercancías pueden reponerse con más o menos prontitud y retomar cierta normalidad muy personalizadas, programas propios y otras particularidades, conseguir devolver el sistema al mismo punto en el que se encontraba antes de la calamidad, puede ser, simplemente, imposible en tiempo, medios y dinero. La necesidad de implementar una estrategia que dé respuesta a una de estas hipotéticas situaciones críticas abarca a cualquier sistema, grande o pequeño. Al igual que ocurre La política de contraseñas para equipos individuales o grupos de ellos puede ser fácilmente gestionada mediante directivas.

SUPLEMENTO PC WORLD

11

con la tolerancia a fallos, el plan y los medios deben ser ajustados a las necesidades y posibilidades de cada entorno. Si bien las grandes redes destinan recursos a mantener ubicaciones físicas alternativas desde las que poder seguir operando su informática en caso de que suceda un desastre, la imposibilidad de afrontar estas medidas de contingencia no debe ser motivo para que las redes pequeñas deban resignarse a su suerte y cruzar los dedos para que no ocurra ninguna calamidad. Simplemente incluir en la estrategia de backup el mantenimiento y almacenamiento de una copia se seguridad de todo el sistema en otra ubicación física distinta, puede ser suficiente para evitar la ruina informática de la organización frente un desastre. Una alternativa que se está revelando como ágil, flexible y de bajo coste para resolver esta preocupación, se puede hallar en las máquinas virtuales. A los consabidos beneficios que aporta este tipo de software para la explotación de servidores, se une la facilidad para guardar y la sencillez para reponer servidores completos en tiempo record. Al residir toda la información de los servidores en archivos, tanto datos como configuraciones, allá en donde se encuentren estos ficheros, estará disponible el ordenador que representa. Por poner un ejemplo, un servidor de correo completo virtualizado, configurado y operativo, puede guardarse perfectamente en un DVD. Si ese servidor de correo queda inutilizado por cualquier circunstancia, ponerlo en marcha en otro equipo lleva el tiempo que se invierte en copiar el DVD. Infinitamente menor que el tiempo que lleva instalar el sistema operativo, el software de mensajería y, por supuesto, aplicar la configuración que necesita. Una alternativa que proporciona rapidez y elimina la rígida dependencia tradicional del software de sistema operativo al hardware, una relación que se traslada al backup y a su correspondiente restauración. Con máquinas virtuales, un equipamiento de ordenadores mínimo y un plan sensato de copia de seguridad de las carpetas de los servidores virtualizados, la recreación de un sistema completo, por muy complejo que resulte, puede ser cuestión de horas y realizable con personal mínimamente formado. La misma reconstrucción sobre máquinas físicas puede llevar semanas, con inversiones elevadas en cuanto a equipamiento y dedicación de técnicos cualificados.
JUAN BLÁZQUEZ MARTÍN. MCSE (Microsoft Certified Systems Engineer). Consultor en Danysoft Internacional.

Se puede evitar que los usuarios utilicen el ordenador para fines poco convenientes a horas intempestivas, utilizando las propiedades del objeto usuario para controlar las horas de inicio de sesión.

En resumidas cuentas, las amenazas a las que se enfrenta cualquier área informática no provienen únicamente del exterior y los usuarios propios representan un riesgo frente al que hay que estar convenientemente protegido. Un percance protagonizado por un usuario del sistema puede causar mayor destrozo que cualquier otro ataque externo, puesto que sabe dónde puede hacer más daño y tiene fácil acceso. Esta protección se debe complementar con medidas tendentes a mantener la operativa del sistema en caso de avería y conseguir recuperarlo lo mejor y más rápidamente posible en caso de que se produzca algún desastre, intencionado o no. PCW

12

SUPLEMENTO PC WORLD

Seguridad informática

Blinde su pc contra virus y fallos
JORGE E. RODRÍGUEZ VEGA jrvega@pcw.idg.es

Si su PC está conectado a Internet está sometido a una serie de peligros conocidos y por conocer. Descubra cómo mejorar la seguridad de su equipo ejecutando una serie de sencillos pasos.

Lamentablemente, que aparezca un nuevo virus que se transmita a través del servicio de correo electrónico de Internet ha dejado de ser una noticia impactante (aunque sigue siendo preocupante), es un hecho al que comenzamos a estar habituados. A pesar de esta reincidencia, las últimas variantes de este tipo de virus están produciendo daños y pérdidas incalculables en empresas de todo el mundo. Virus como Netsky, Mydoom o Bagle han conseguido cuotas de propagación enormes utilizando, simplemente, el archiconocido mecanismo de difusión a través del correo electrónico mediante técnicas de ingeniería social más o menos elaboradas y con el apoyo de los siempre poco fiables anexos. Los gusanos Blaster y Sasser se aprovechan de una vulnerabilidad

existente en los sistemas operativos de Microsoft (en especial sus últimas versiones, 2000, XP y 2003) para infectar los equipos. En estos casos, la solución más adecuada para impedir la infección es instalar los parches correspondientes desarrollados por Microsoft. ¿No lo ha hecho todavía? Consulte la dirección www.microsoft. com/spain/technet/seguridad/ boletines para ver lo que se está perdiendo. Pero, por si no fuera suficiente con este peligro que nos acecha al abrir o previsualizar el contenido del correo enviado por un amigo, en los últimos tiempos estamos sufriendo la amenaza de un tipo de virus, más peligroso en potencia, que infecta nuestras máquinas por el simple hecho de estar conectadas a Internet. Nos estamos refiriendo a virus tales como Blaster o

Sasser. Este mecanismo de infección no es nuevo (los virus originales no utilizaban el correo electrónico de Internet porque, simplemente, este servicio no existía, sino que necesitaban de la colaboración del usuario para ejecutar un determinado programa que normalmente llegaba hasta nuestro ordenador en un disquete que alguien nos había dejado), lo que sí es relativamente reciente es que con la inestimable colaboración de Internet este mecanismo de propagación de los virus es ahora prácticamente imparable. Ante esta situación de aparente indefensión la única acción que puede parecer adecuada sería desconectar nuestros equipos de Internet. Sin embargo, en un mundo altamente interconectado, donde la información fluye con gran rapidez,

14

SUPLEMENTO PC WORLD

pretender quedarse al margen sería un tremendo error. ¿Qué podemos hacer? ¿Cómo podemos proteger nuestros sistemas ante estas amenazas? ¿Basta con utilizar un antivirus y actualizarlo a diario para que nos encontremos plenamente protegidos? Un problema al que se enfrentan actualmente las empresas que desarrollan antivirus y, por consiguiente, los usuarios de este tipo de productos, es la rápida generación de nuevos virus y su “mutación”. En los últimos tiempos, algunas compañías de desarrollo de antivirus han tenido que actualizar sus productos hasta tres veces en un día, cuando hace un año esta frecuencia de actualización podía rondar la semana. Nadie le garantiza que por el hecho de tener instalado un buen antivirus

y actualizarlo con frecuencia su PC se vaya a ver libre de toda amenaza. En general, los nuevos virus no son detectados por los antivirus clásicos, por lo que entrarán con total facilidad en su sistema. Normalmente, el tiempo de reacción de una compañía antivirus para actualizar sus mecanismos de detección y frenar a los nuevos virus puede ser de horas, si no de días. Pero unas horas puede ser mucho tiempo.

Mantenga actualizado su antivirus. No basta con instalarlo en su PC y olvidarse. Deberá conectarse periódicamente con el fabricante a través de Internet para descargarse las últimas actualizaciones del producto. Las últimas versiones de los antivirus suelen contar con un año de actualizaciones gratuitas. Cuando expire el año no sea perezoso y solicite una ampliación de este servicio de actualización. Piense que este dinero será una de las mejores inversiones que puede realizar para garantizar un mínimo de seguridad en su PC. Esté alerta sobre posibles síntomas de infección. Ralentización de su PC, aparición de tareas o servicios sospechosos que no ejecute usted y que tampoco se encuentren entre la lista de tareas o servicios que ejecuta automáticamente el sistema operativo.

Reglas de oro para protegerse
No existen reglas magistrales que le garanticen que su PC se vaya a ver libre de todos estos peligros, aunque sí puede tomar algunas medidas para dificultar su labor a los hackers malintencionados. Veamos algunas de carácter general.

SUPLEMENTO PC WORLD

15

Utilice siempre software de confianza. Evite las descargas de aplicaciones por Internet de fuentes desconocidas (observe los certificados de los sitios web). Si quiere descargar una aplicación desarrollada por un determinado fabricante conéctese a la página web de dicho fabricante y evite descargarse el programa de otro sitio. No resulta demasiado complicado anexar a un programa un caballo de Troya o un virus. Extreme las precauciones cuando utilice servicios tales como chats, grupos de noticias o correo electrónico. Elimine cualquier archivo que haya recibido sin solicitarlo. Figura 1. ¿Está seguro de que lo que va a instalar es de total garantía?

LOS VIRUS MÁS DAÑINOS DE LOS ÚLTIMOS TIEMPOS
VIRUS DE PROPAGACIÓN BASADA EN CORREO Zafi : gusano que se propaga a través del correo y las redes P2P y surge en su primera variante el 19 de abril de 2004. Detiene los programas de seguridad y monitorización (cortafuegos, antivirus, administrador de tareas y editor de registro), por lo que deja totalmente vulnerable el ordenador infectado. Según la versión puede lanzar ataques de denegación de servicio a algunas web, o abrir el puerto 8181. Netsky: es un gusano que se propaga a través del correo electrónico, entre otros medios. Este gusano se activa sin más que visualizar el mensaje a través de la vista previa de Outlook. Para ello utiliza una vulnerabilidad existente en Internet Explorer que permite la ejecución automática de los archivos anexos a los mensajes de correo electrónico. Apareció en el mes de marzo del año 2004. Existen diferentes variedades, la más peligrosa es la mutación Netsky.P. El 9 de febrero de 2005 seguía siendo el segundo de la lista de los más extendidos. Mydoom: familia de gusanos que se propagan utilizando el correo electrónico, cuyo objetivo era lanzar ataques de denegación de servicio contra los sitios de las compañías SCO y Microsoft. Estos gusanos abren varios puertos en el ordenador afectado, con lo que consiguen controlarlo de forma remota. Las primeras variedades aparecieron a finales de enero del año 2004. Para que este gusano entre en el sistema hace falta que el usuario abra el anexo al mensaje de correo. Bagle: gusano con numerosas variantes que se propaga a través del correo electrónico utilizando ingeniería social y un archivo anexado. Este gusano notifica al usuario que su ordenador ha sido afectado y termina numerosos procesos entre los que se encuentran algunos

correspondientes a programas antivirus y a otros gusanos. La primera variante de este gusano apareció el 17 de febrero de 2004. Para su propagación necesita que el usuario abra el archivo adjunto al correo electrónico. VIRUS DE PROPAGACIÓN BASADA EN INTERNET Blaster: gusano que realiza ataques de denegación de servicio (DoS) contra el sitio windowsupdate.com de Microsoft (los equipos basados en Windows utilizan este sitio para descargarse actualizaciones del sistema operativo) entre los días 15 y 31 de cada mes, y durante todos los días de los meses de septiembre a diciembre de cualquier año. Reinicia el ordenador afectado. Este gusano tuvo diferentes variantes (Blaster.B, Blaster.C, Blaster.Gen, etc.). Hizo su aparición el 11 de agosto de 2003. Blaster aprovecha una vulnerabilidad conocida de los sistemas operativos Windows (2003/XP/NT/2000), denominada Desbordamiento de búfer en Interfaz IRC para propagarse. Para la infección no hace falta la intervención del usuario. Blaster se propaga atacando direcciones IP generadas aleatoriamente desde el PC del atacante intentando detectar algún equipo víctima que cuente con la vulnerabilidad mencionada anteriormente. La mejor solución es instalar el parche desarrollado por Microsoft en el boletín de seguridad MS03-026 en el mes de julio de 2003. Sasser: para propagarse utiliza una vulnerabilidad conocida de algunas versiones del sistema operativo Windows (2000, XP, etc.) provocando reinicios constantes del ordenador. La vulnerabilidad que utiliza está basada en el servicio LSASS y fue resuelta por Microsoft el pasado mes de abril en su boletín de seguridad MS04-011. Sasser no necesita la intervención del usuario para propagarse, por ello resulta extremadamente peligroso. El mejor antídoto para evitar la infección por este virus es aplicar el parche correspondiente desarrollado por Microsoft.

16

SUPLEMENTO PC WORLD

Blinde su PC
Atención especial merecen aquellos archivos que tengan doble extensión como, por ejemplo, nombre_archivo. más peligrosos son aquellos que tienen extensiones .exe .scr .pif, aunque puede haber muchas otras. Recuerde que antes de abrir o
pif.src.

Tampoco sería descabellado instalar en su PC algún tipo de cortafuegos, ya sea físico o lógico. En la actualidad existen numerosos programas antivirus que incluyen esta función. El cortafuegos protegerá su PC de aquellos atacantes que deseen

Si su sistema operativo está basado en Windows deberá instalar los parches que periódicamente publica Microsoft. La mayoría de los virus y gusanos que no se transmiten por correo electrónico utilizan vulnerabilidades existentes en los sistemas operativos y aplicaciones

Los archivos potencialmente

Figura 2. Aspecto del servicio Windows Update de Microsoft. instalar un archivo en su PC debe estar muy seguro de su contenido. Windows suele avisarle de la potencial peligrosidad que supone instalar un archivo desconocido en nuestro sistema, no desdeñe este consejo (vea la Figura 1). No abra nada directamente, es preferible que copie primero el archivo en algún directorio temporal y que lo analice con su antivirus. tomar el control de su equipo utilizando vías de entrada que usted pueda desconocer, por ejemplo, puertos distintos de los utilizados para acceder a las páginas web o al correo. Si se conecta asiduamente a Internet, especialmente utilizando un tipo de conexión fija, como pueda ser una línea ADSL, instalar en su PC un cortafuegos no es una opción, es una necesidad. (véase la descripción de los gusanos Blaster y Sasser). Pero lo más grave es que estas vulnerabilidades suelen haber sido resueltas antes de que aparezca el virus de turno. ¿Qué ocurre? El fabricante del sistema operativo (en general Microsoft) o de la aplicación que tiene la vulnerabilidad suele publicar un parche que la corrige. El problema es que los usuarios no suelen instalar este parche en sus

SUPLEMENTO PC WORLD

17

sistemas, por lo que siguen siendo vulnerables mucho tiempo después de descubierta la solución. Sólo hay que esperar un tiempo prudencial para que aparezca el virus que se aproveche de la vulnerabilidad y ¿a que no se imagina qué PC se verán afectados por dicho virus? Instale todos los Service Pack que se encuentren disponibles para su sistema operativo, aplicaciones, etc. Los Service Pack (o paquetes de servicio) son recopilaciones de la mayor parte de parches, actualizaciones, etc. que hayan aparecido hasta una determinada fecha para una determinada versión del sistema operativo o de una aplicación (por ejemplo, Microsoft Office). En lugar de instalar parche a parche, podrá instalar el último Service Pack correspondiente para tapar todos los agujeros de seguridad existentes.

PARA SABER MÁS
Algunas direcciones útiles para mantenerse al día en seguridad informática y antivirus: Panda: www.pandasoftware.es Zonavirus: www.zonavirus.com Centro de alerta temprana de antivirus: alerta-antivirus.red.es Microsoft Technet España: www.microsoft.com/spain/technet/homepage.asp Hispasec Sistemas: www.hispasec.com

todo lo que necesita para mantener su sistema Windows actualizado y razonablemente libre de peligros. Podrá descargarse este documento en download.microsoft.com/download/ e/2/0/e20d9d87-2de9-4f8d-aee71f18bd8d5336/gestion_parches.pdf. Algunas de las herramientas que Microsoft pone gratuitamente a su disposición para mejorar la seguridad de sus sistemas Windows son: - Windows Update. Es un servicio bastante conocido al que podrá acceder en la dirección windowsupdate.micro

si estos están basados en los sistemas operativos de Microsoft. Nos estamos refiriendo a la gestión e instalación de parches. Por supuesto, realizar esta tarea sin ningún tipo de ayuda resultaría extremadamente arduo a pesar de que Microsoft ha concentrado la publicación de sus parches de seguridad y estos sólo aparecen una vez al mes agrupados en boletines de seguridad (estos boletines se publican, en general, el segundo martes de cada mes). Microsoft ha elaborado un excelente documento denominado “Gestión de parches y actualizaciones en sistemas” que le permitirá conocer

soft.com. Este servicio le proporcionará todo tipo de actualizaciones críticas para su sistema operativo y para diversas aplicaciones del mismo (por ejemplo, Internet Explorer o DirectX). Está dirigido especialmente a equipos individuales y no a redes. Podrá conectarse a este servicio de Microsoft por iniciativa propia o bien de manera automática. En la Figura 2 puede ver el aspecto de la ventana de Windows Update tras haber analizado un equipo basado en Windows 2000. Bastaría con pulsar el botón instalación de todos los elementos de seguridad que necesitase el sistema. - Microsoft Software Update Services. Si su problema es que tiene que administrar la seguridad de una red de ordenadores, ir instalando todas las actualizaciones de seguridad que emita Microsoft en cada uno de los PC de la red puede convertirse en una auténtica tortura. Afortunadamente, Microsoft ha desarrollado la aplicación Microsoft Software Update Services o SUS. Permite la descarga automática, distribución e instalación de actualizaciones críticas y parches de seguridad para sistemas Windows 2000, Windows XP y Windows Server 2003 (no podrá utilizarlos para los demás sistemas operativos de Microsoft). El administrador deberá descargar todos los parches y actualizaciones en el servidor de red
Instalar ahora para que comenzara la

Gestión de parches y actualizaciones
Tras la lectura de las recomendaciones anteriores hay un extremo que deberá tener siempre en cuenta a la hora de proteger sus sistemas, especialmente

Figura 3. Resultados obtenidos con la herramienta Microsoft Baseline Security Analizer.

que tenga instalado Microsoft SUS.

18

SUPLEMENTO PC WORLD

Blinde su PC
Posteriormente, los demás PC de la red deberán conectarse a este servidor para instalar estas descargas; este servidor de red se erigirá, por lo tanto, en nuestro servicio Windows Update interno. Además, esta aplicación proporcionará al administrador de la red un elevado control sobre la forma en que se actualizan los PC clientes, los parches que se instalan, etc. Este servicio le permitirá actualizar el propio sistema operativo y sus componentes básicos (Internet Explorer, DirectX, Windows Media, etc.). La administración está basada en Web (este producto debe ir instalado sobre Internet Information Services 5.0 o superior). Encontrará amplia información sobre SUS en PC World nº 210, de junio de 2004. - System Management Server Software Update Services (SMS SUS). El problema de Microsoft SUS es que la labor del administrador sigue siendo pesada porque todavía tiene que realizar muchas tareas de forma manual. Para automatizar completamente esta labor en redes de gran tamaño Microsoft ha lanzado este servicio, que permite gestionar íntegramente las actualizaciones de software en redes corporativas. SMS Software Update Services (SUS) aprovecha el potencial de SMS para conseguir el objetivo de la automatización casi plena. Podrá informarse sobre la descarga de este paquete en la dirección: www.microsoft.com/spain/technet/ seguridad/herramientas/sus.asp. Con esta herramienta podrá actualizar los clientes de su red con independencia del sistema operativo Windows que utilice (ya sean de la familia Windows 9x o Windows NT). Las aplicaciones que podrá actualizar son muchas: los propios sistemas operativos, Internet Explorer, Windows Media Player, IIS, SQL Server, Exchange y Microsoft Office. El administrador deberá aprobar las actualizaciones antes de que sean distribuidas a los equipos clientes. Se pueden definir reglas de aprobación automática de actualizaciones. La es analizar la configuración de seguridad del equipo con respecto a una línea base. Esto implica no sólo el análisis de la existencia o no de lagunas de seguridad por la ausencia de determinados parches, sino que también analizará y detectará las configuraciones inadecuadas de SQL Server o IIS, le recomendará buenas prácticas de seguridad que no se estén cumpliendo y le advertirá sobre configuraciones inapropiadas en las zonas de seguridad de Internet Explorer y Microsoft Office. MBSA generará informes de seguridad en formato XML, indicando en ellos todos los posibles defectos encontrados, además de ofrecerle todos los enlaces necesarios para ampliar información
JORGE E. RODRÍGUEZ VEGA es responsable de Calidad y Seguridad del Centro de Evaluación de la Seguridad de las Tecnologías de la Información del Instituto Nacional de Técnica Aerospacial (INTA)

administración está basada en Microsoft Management Console (MMC). - Microsoft Baseline Security Analizer (versión 1.2). Se trata de una herramienta gratuita que podrá utilizarse tanto en PC aislados como en redes empresariales. Su objetivo

y resolver todos los problemas descubiertos. Lamentablemente, no podrá subsanar automáticamente estos defectos encontrados, deberá efectuar a mano la descarga e instalación de las actualizaciones necesarias. Podrá descargarse esta aplicación (en inglés) desde la dirección www. microsoft.com/technet/security/tools/ mbsahome.mspx. En la Figura 3 puede ver los resultados del análisis realizado con

la herramienta Microsoft Baseline Security Analizer sobre un equipo basado en Windows 2000. PCW

NO SÓLO VIRUS
Aunque los virus son los más extendidos, existen otros tipos de aplicaciones que pueden ser aún más perjudiciales que ellos. Nos estamos refiriendo a los programas spyware, adware y keyloggers, así como el spam y los dialers. En realidad, hace tiempo que están ahí, pero es ahora cuando han empezado a tomar importancia al proliferar mucho más rápidamente. Para referirse a todas estas aplicaciones se utiliza el término malware (Malicious software). Por lo tanto, al plantear una estrategia de seguridad, no sólo hay que cerrarle la puerta a los virus, sino, en general, a todo el malware. Para ello lo más adecuado es contar en el equipo con un software antimalware y un firewall que bloquee los puertos que no necesitemos y sean susceptibles de ser usados por estos programas. Por ejemplo, Panda nos propone su suite de seguridad Platinum Internet Security 2005 que, además de antivirus, incorpora sistemas de detección y eliminación para las otras amenazas de Internet. Además, incorpora un firewall personal y las nuevas Tecnologías TruPrevent, capaces de detectar y bloquear virus desconocidos e intrusos. www.pandasoftware.es

SUPLEMENTO PC WORLD

19

Los 20 fallos de seguridad más peligrosos
La mayoría de los virus, gusanos y demás ciberataques realizados con éxito son posibles gracias a la explotación de unas pocas vulnerabilidades que afectan siempre a un pequeño número de servicios o de componentes muy importantes de Windows, Linux y UNIX.

JORGE E. RODRÍGUEZ VEGA jrvega@pcw.idg.es

En general, los atacantes suelen utilizar la filosofía del mínimo esfuerzo; siempre recorren los caminos más fáciles y adecuados para sus propósitos, explotando los defectos mejor conocidos y utilizando para sus malévolos propósitos las herramientas de ataque más eficaces y difundidas. Los piratas informáticos siempre se valen del hecho de que la mayoría de las empresas no tapan con diligencia los

agujeros de seguridad de sus sistemas, de tal forma que siempre aprovechan vulnerabilidades descubiertas anteriormente y que todavía no han sido parcheadas. Su forma de ataque suele ser indiscriminada, exploran Internet de forma masiva en busca de los sistemas que sigan siendo vulnerables y les envían el exploit correspondiente para hacerse con su control o para infligirles el máximo daño posible.

En el año 2000, el Instituto SANS y el Centro Nacional de Protección de la Infraestructura (NIPC), departamento del FBI, emitieron un documento que resumía las diez vulnerabilidades de seguridad más críticas de Internet. Desde entonces, con una periodicidad anual estas instituciones vienen publicando conjuntamente la lista de las 20 vulnerabilidades o debilidades más utilizadas para atacar los sistemas

20

SUPLEMENTO PC WORLD

Blinde su PC
conectados a Internet (Top-20). Se trata de las vulnerabilidades que han utilizado la mayoría de los gusanos más conocidos (por ejemplo, Blaster, Slammer, Code Red o Nimda) para llevar a cabo su infame tarea. La lista del año 2004, publicada el mes de octubre, está en realidad dividida en dos listas: los diez servicios o elementos de Windows más atacados y los correspondientes diez servicios o componentes de UNIX/Linux. En el presente artículo analizaremos brevemente las debilidades correspondientes a Windows, dejando las de Linux, como ejercicio posterior para el lector, resumidos en el cuadro de la página 25. Seguimos insistiendo en lo mismo: aunque en los últimos meses han hecho su aparición cientos, tal vez miles, de ataques a la seguridad de los equipos informáticos conectados a Internet, la mayoría han utilizado uno o varios de los servicios o componentes vulnerables que SANS ha compendiado y que nosotros analizaremos de forma resumida aquí. los parches, que no está utilizando la configuración predeterminada de estos servidores (lo cual suele ser una fuente importante de problemas) y que tiene desactivadas las aplicaciones de ejemplo incluidas en algunos servidores (tal como IIS 5.0 y versiones anteriores). En general, sólo deberá utilizar aquellos servicios y funciones que sean imprescindibles para su trabajo. Algunos de los gusanos que han utilizado esta vulnerabilidad son: Nimda, Code Red y Code Red 2. Windows Workstation determina si el recurso se encuentra en el sistema local o si se trata de un recurso compartido de red, y encamina la petición del usuario en la forma apropiada. Por desgracia, este servicio puede sufrir un desbordamiento de búfer basado en la pila de Windows que podrá provocar determinadas llamadas especialmente preparadas. Este desbordamiento puede ser explotado por usuarios remotos no autenticados que podrán ejecutar el código que deseen en la máquina vulnerable con los privilegios de System, lo que permitirá un acceso ilimitado en el sistema atacado. Esta vulnerabilidad de desbordamiento de búfer se encuentra presente en el servicio Workstation de Windows 2000 (SP2, SP3 y SP4)

Workstation

2. Servicio Windows

Este servicio procesa las peticiones de los usuarios para acceder a determinados recursos, tales como archivos o impresoras. El servicio

INSTITUTO SANS
Este organismo es uno de los más prestigiosos y activos, desde el punto de vista de la seguridad informática, que existen actualmente en todo el mundo. Desarrolla, actualiza y distribuye de forma gratuita un gran volumen de información y documentación relacionada con distintos aspectos de la seguridad de la información y es responsable de la operación de uno de los sistemas de vigilancia temprana de Internet más reconocidos: el Internet Storm Center. El Instituto SANS, cuyo nombre es el acrónimo en inglés de “Administración de Sistemas (SysAdmin), Auditoría, Redes (Network) y Seguridad, fue fundado en 1989 como una institución de formación y de investigación. Sus programas de formación llegan en la actualidad a más de 165.000 profesionales entre los que se incluyen: auditores, administradores de sistemas, administradores de red, responsables de seguridad de TI, etc. En el corazón de SANS se encuentran cientos de profesionales que trabajan en agencias gubernamentales, empresas y universidades de todo el mundo. Si desea conocer más detalles sobre esta prestigiosa institución o acceder a sus numerosos trabajos desarrollados en el campo de la seguridad informática, no tendrá más que conectarse a www.sans. org/aboutsans.php. Si desea acceder a la lista exhaustiva de las 20 vulnerabilidades que analizamos en este artículo podrá hacerlo desde www.sans.org/top20.

predeterminada de los servidores HTTP (web) y de sus servicios asociados
La instalación por defecto, con la configuración predeterminada, de los servidores web incluidos en Windows puede provocar: ataques por denegación de servicio, riesgos para sus archivos o datos sensibles, la ejecución de comandos arbitrarios en el servidor por parte de un atacante o el compromiso total de su seguridad. Entre los servidores web que han resultado vulnerables se encuentran IIS (Internet Information Server), Apache e iPlanet (en la actualidad conocido como SunOne). Todos ellos presentan numerosos agujeros de seguridad que se han ido sido parcheando a medida que se han detectado. Compruebe que ha instalado todos

1. Instalación

SUPLEMENTO PC WORLD

21

y Windows XP (hasta SP1). Uno de los gusanos que utilizó con éxito esta vulnerabilidad fue el denominado Phatbot/Gaobot, que infectó a millones de ordenadores. Una vez más, la mejor forma de evitar esta vulnerabilidad es instalar los parches correspondientes de Windows o instalar el SP 2 de XP si está utilizando este sistema operativo.

3. Configuración inapropiada de los recursos compartidos de red y de los protocolos de acceso remoto
No hay duda de que la existencia de protocolos de comunicaciones, que permiten a un usuario manipular archivos remotos como si estuvieran en su equipo local, es una función de Windows de gran potencia y utilidad. Sin embargo, una inadecuada configuración de los recursos compartidos de la red puede poner en peligro ciertos archivos críticos del sistema o proporcionar a los atacantes un mecanismo para obtener un control total del host. Algunas de las funciones potencialmente peligrosas son: Anonymous Logon (Inicio de sesión anónima), Remote registry access (Acceso remoto al registro) y Remote procedure calls (llamadas a los procedimientos remotos o RPC). Una de las formas en las que los gusanos de la familia Klez y Nimda, o el virus Sircam se extendieron tan rápidamente, fue la utilización de un recurso compartido de red no protegido. Esta familia de vulnerabilidades afecta a todas las versiones del sistema operativo Windows, desde Windows 95 hasta Windows 2003. El Service Pack 2 (SP2) de Windows XP ha resuelto numerosos problemas asociados con las RPC. Una vez más, la mejor forma de protegerse frente a estos problemas es instalar la última versión disponible del Service Pack correspondiente y los últimos parches aparecidos para la versión del sistema operativo. Figura 1. Un buen lugar para encontrar información sobre virus es la “Enciclopedia de Virus” que podrá encontrar en los sitios web de las empresas de antivirus.

4. Vulnerabilidades

asociadas a Microsoft SQL Server
Este sistema gestor de bases de datos desarrollado por Microsoft ha presentado desde su aparición diversas y graves vulnerabilidades que permitían a los atacantes remotos obtener información de importancia, modificar el contenido de las bases de datos, poner en peligro los servidores SQL y, en determinados casos, hacerse con el control del servidor. Todas estas vulnerabilidades son bien conocidas en el mundo hacker y han servido de base para recientes ataques masivos en Internet protagonizados por los gusanos SQLSnake, Spida y SQLSlammer. Por ejemplo, el ataque del gusano SQLSnake se basaba en que la cuenta del administrador de la base de datos tuviera definida una contraseña nula. Resulta de la máxima importancia asegurarse de que todas las cuentas, especialmente si se trata de las cuentas administrativas, están protegidas mediante contraseñas robustas. Por su parte, el gusano SQLSlammer basaba su ataque en un desbordamiento

de búfer en el servicio SQL Server Resolution. En este caso, se podría haber evitado este ataque instalando el parche que anulaba esta vulnerabilidad.

5. Autenticación
de Windows
Una de las causas más frecuentes de la falta de seguridad en los sistemas informáticos de las empresas suele ser la no utilización de contraseñas para proteger cuentas de usuario o sistemas informáticos, o el empleo de contraseñas débiles o fácilmente adivinables. Si un atacante consigue detectar una cuenta o un recurso no protegido mediante una contraseña podrá hacerse con el control del mismo y, tal vez, seguir escalando privilegios hasta adueñarse por completo de la máquina o del sistema. Sin embargo, a pesar de que esta amenaza es bien conocida, son muchos los sistemas y empresas que carecen de una buena política de contraseñas. En otras ocasiones, los algoritmos de cifrado utilizados para proteger las contraseñas definidas por los usuarios, son débiles y fácilmente explotables.

22

SUPLEMENTO PC WORLD

Blinde su PC
Uno de los algoritmos de autenticación utilizado por Windows (LMLanManager) es débil y sus contraseñas pueden ser descifradas en poco tiempo. Este algoritmo de autenticación sigue siendo utilizado de forma predeterminada por las versiones NT, 2000 y XP de Windows. Algunas de las herramientas software que podrá utilizar para detectar en su sistema cuentas de usuario con contraseñas débiles o mal protegidas por el algoritmo LM son LC6 (l0phtcrack versión 6) y John the Ripper. La mejor forma de defenderse contra esta vulnerabilidad es utilizar una buena política (directiva) de contraseñas que incluya instrucciones detalladas sobre cómo generar contraseñas robustas y difíciles de romper (combinaciones de caracteres alfanuméricos, mayúsculas y minúsculas, y caracteres de control). Para definirla en Windows puede
Herramientas administrativas,

Figura 2. Cómo definir una buena política de contraseñas en Windows. aplicaciones, los usuarios no aplican los parches que permiten corregirlos, los controles ActiveX y Active Scripting permiten que el atacante supere los mecanismos de seguridad instalados. Además, con frecuencia, en el PC del usuario se instalan de forma inadvertida aplicaciones spyware y adware que, en ocasiones, debilitan la seguridad de los sistemas, etc. Los diseñadores web malintencionados pueden crear páginas web que saquen partido a estas debilidades sin más que el usuario explore dichas páginas web (este fue el caso de la vulnerabilidad denominada “Download.Ject”). Los ataques de este tipo pueden incluir el revelado de las cookies y de archivos locales, la ejecución de programas, la descarga y ejecución de código malévolo, o el control total del sistema vulnerable. Para mejorar la seguridad de IE y, en general, de los demás exploradores web, puede consultar el artículo aparecido en PC World nº 214, de noviembre de 2004, “Cómo mejorar la protección de Internet Explorer” pero, como consejo habitual, utilice la última versión disponible para el explorador e instale todos los parches existentes a medida que vayan apareciendo. aplicaciones P2P (peer to peer o igual a igual) sigue aumentando con rapidez. Estas aplicaciones son uno de los sistemas más sencillos para descargar y distribuir numerosos tipos de datos, desde archivos de música hasta películas, gráficos, código fuente, documentación, etc. Son muchos los empleos legítimos de este servicio (por ejemplo, la distribución de código y librerías del tipo OpenSource o GPL, demos de juegos o tráileres de películas). En la actualidad, la mayoría de los programas P2P están basados en una red distribuida de clientes que comparten directorios de archivos e, incluso, discos duros completos, y con ellos, gusanos, virus, caballos de troya y todo tipo de malware. La clave de todo este sistema es la descarga de archivos, donde cada usuario juega simultáneamente dos papeles, el de descargar contenidos de otros equipos y el de actuar, además, como servidor de contenidos para otros usuarios. En ocasiones, el tráfico provocado por este tipo de transacciones es tan elevado que puede provocar la saturación de las redes. Este tipo de servicio presenta tres tipos de vulnerabilidades: - Las técnicas, que son aquellas que podrán ser explotadas de forma remota por un atacante (por ejemplo, denegaciones de servicios o acceso a archivos no compartidos). También se

abrir el Panel de Control, seleccionar y

elegir

definir las opciones relacionadas con las contraseñas (vea la Figura 2). Otro punto a tener en cuenta será desactivar la autenticación LM en su red informática y proteger sus archivos de contraseñas (SAM) para impedir su captura y análisis.

Directivas de seguridad local

6. Exploradores web
Los exploradores o navegadores son las aplicaciones informáticas mediante las que los usuarios acceden al servicio web de Internet. El explorador dominante en Windows es Internet Explorer (IE), que es el explorador instalado de forma predeterminada en las plataformas Windows, pero hay otros muchos exploradores web disponibles, entre ellos Opera, Mozilla, Firefox y Netscape. Todos ellos presentan vulnerabilidades de seguridad, en ocasiones críticas, que permitirán al atacante hacerse con el control del sistema. Los problemas son múltiples: son muchas las vulnerabilidades existentes en estas

7. Programas

para compartir archivos

El número de usuarios de las

SUPLEMENTO PC WORLD

23

incluyen en este grupo la instalación de aplicaciones spyware o adware que pueden proporcionar información sobre los hábitos de los usuarios a sus diseñadores. - Las sociales, que son aquellas que se basan en la modificación o encubrimiento de un programa malintencionado (virus, caballos de troya, gusanos, etc.) tras una apariencia inocente. En general, la gran mayoría de este software malévolo se podrá detectar utilizando un simple antivirus. - Las legales, que son aquellas que resultan de las transgresiones en los derechos de copia y propiedad o de la compartición de material que puede resultar ofensivo y legalmente reprochable. En la actualidad existen aplicaciones P2P disponibles para todas las versiones del sistema operativo Windows (así como de Linux y UNIX). Si está intentando proteger una red empresarial de este tipo de usos y abusos no permita que sus usuarios instalen aplicaciones P2P en los PC corporativos. Su empresa debería emitir una política que advirtiera a sus empleados de las infracciones en que podrían incurrir en el caso de descargar ilícitamente material protegido por las leyes de la propiedad intelectual o por utilizar de forma inaceptable la conexión a Internet de la empresa. Utilice un servidor proxy para controlar el acceso a Internet de sus usuarios y vigile. Utilice un buen antivirus empresarial.

Procedimiento Remoto (RPC) sobre los sistemas Windows indicados anteriormente, aunque requiere privilegios administrativos para que este ataque sea eficaz. El servicio LSAS juega un papel muy importante en el mecanismo de autenticación y en la funcionalidad del Directorio Activo de Windows. Algunos de los gusanos que han utilizado esta vulnerabilidad con gran éxito han sido los conocidos Sasser y Korgo. Los administradores deberán parchear adecuadamente sus sistemas y aplicar todos los controles de acceso que

de www.foundstone.com/resources/ proddesc/dsscan.htm. 3. Sasser Worm Scanner, desarrollada por eEye, analiza si su sistema es vulnerable al ataque LSASS y al gusano Sasser. Podrá descargar esta herramienta en www.eeye.com.

9. El programa cliente
del servicio de correo de Internet
Como ya sabe, Microsoft Outlook es el programa cliente de correo electrónico utilizado con mayor frecuencia por los usuarios de Windows. Además

Figura 3. Descarga del programa Nessus desde Internet.

sean necesarios en su red para detener cualquier intento de abuso del servicio RPC de Windows por parte de atacantes remotos. Existen tres herramientas gratuitas que pueden detectar la existencia de esta vulnerabilidad en su sistema: 1. Nessus, herramienta de análisis de vulnerabilidades basada en red (pruebe a descargarla en www.nessus.org). 2. DSScan desarrollada por Foundstone, con la que podrá analizar toda su red y enviar alertas a los sistemas vulnerables. Podrá descargarla

del servicio de correo, Outlook es un administrador de información personal que le proporciona funciones tales como calendario y administración de contacto y tareas. Este programa forma parte integrante de Windows desde las primeras versiones de este sistema operativo (Windows 95). Por desgracia, la aplicación Microsoft Outlook, y su versión reducida Outlook Express, introducen vulnerabilidades y puntos simples de fallo que pueden llegar a comprometer todo el sistema. A través del correo

8. Los peligros

del servicio LSAS
El servicio LSAS (Local Security Authority Subsystem), que está presente en Windows 2000, Windows Server 2003 y Windows XP, contiene una vulnerabilidad crítica que permite la ejecución de un desbordamiento de búfer que puede conducir al dominio total del sistema. Este ataque puede realizarse de forma remota y anónima utilizando una Llamada a

24

SUPLEMENTO PC WORLD

Blinde su PC
electrónico y de sus anexos, cualquier usuario puede recibir virus, gusanos, código malicioso y muchas otras formas de ataque, así como la difusión y recepción masiva de correo comercial no solicitado (Spam). Por fortuna, las últimas versiones de Outlook y Outlook Express pueden proteger a los usuarios de las amenazas que acabamos de comentar, siempre que hayan sido convenientemente configurados y parcheados. Instale siempre los últimos Service Pack para la versión que esté utilizando de Outlook. Así, por ejemplo, existen los siguientes Service Pack disponibles: * Outlook 2000 - Service Pack 3. * Outlook XP (Outlook 2002) Service Pack 3. * Outlook 2003 - Service Pack 1. Entre otras muchas medidas de seguridad que puede adoptar se encuentra la de extremar las precauciones sobre todos aquellos anexos de correo que tengan las extensiones .exe, .com o .vbs. Tenga siempre a mano un buen antivirus para analizar los anexos antes de abrirlos. Rechace los correos que provengan de fuentes no conocidas y extreme las precauciones cuando, aunque conozca al emisor del mensaje, le resulte extraño su contenido. Incluso los archivos .DOC (documentos) o .XLS (hojas de cálculo Excel) pueden contener macros VBA que pueden dañar su sistema. trabajo dispersos por todo el país o, incluso, en diferentes países. La mayor parte de los sistemas basados en Windows utilizan algunos de estos sistemas de mensajería, de los cuales los más famosos son: Yahoo! Messenger (YM), AOL Instant Messenger (AIM), MSN Messenger (MSN) y Windows Messenger (WM), este último integrado en diferentes versiones de Windows. Por desgracia, estos programas cuentan con vulnerabilidades que son explotables de forma remota y que constituyen una amenaza para la integridad y seguridad de las redes. Estos ataques pueden ser de diferentes tipos (desbordamientos de búfer, ataques basados en vínculos malévolos, vulnerabilidades en las transferencias de archivo y ataques basados en ActiveX) y podrán proporcionar el control completo del sistema al atacante. En muchas ocasiones, a nivel empresarial, estas aplicaciones no sólo introducen este tipo de vulnerabilidades, sino que también implican la aparición de ciertos riegos de pérdida de la propiedad intelectual, de la confidencialidad de la información y de la productividad de los empleados. Una vez más, no sólo será necesario mitigar el peligro de las debilidades
JORGE E. RODRÍGUEZ VEGA es responsable de Calidad y Seguridad del Centro de Evaluación de la Seguridad de las Tecnologías de la Información. Instituto Nacional de Técnica Aerospacial (INTA)

explotables de estos programas utilizando las últimas versiones e instalando los Service Packs y los parches más actualizados, sino que habrá que desarrollar una política en la empresa que defina el uso adecuado y permitido de este tipo de aplicaciones. A partir de Windows 98, todas las versiones del sistema operativo Windows vienen con Microsoft Instant Messenger y, por tanto, todas ellas resultarán vulnerables en alguna medida. Todas las versiones anteriores a la 6.2 de Instant Messenger, deberán ser actualizadas inmediatamente. En definitiva, aunque las vulnerabilidades detectadas y los ataques ejecutados sobre las plataformas Windows parezcan infinitos, en realidad la mayor parte podrían ser evitados prestando más atención a los diez puntos que acabamos de señalar y, una vez más, estos diez se podrían resumir en sólo dos: actualiza tu sistema operativo y aplicaciones con el último Service Pack que esté disponible e instala todos los parches y actualizaciones que hayan aparecido posteriormente. PCW

10. Mensajería instantánea
Los programas de mensajería instantánea permiten a los usuarios estar en contacto con sus amigos y familiares de forma sencilla y barata a través de Internet. En la actualidad, el empleo de este tipo de aplicaciones ha dejado de ser un patrimonio exclusivo del usuario doméstico para pasar al ámbito de las comunicaciones empresariales, especialmente en aquellas compañías que disponen de varios centros de

LOS DIEZ SERVICIOS O ELEMENTOS MÁS EXPLOTADOS EN UNIX/LINUX
1. El sistema de nombres de dominio BIND. 2. Los servidores web (Apache y Sun Java System Web Server, anteriormente iPlanet). 3. Los sistemas de autenticación (mal uso de las contraseñas). 4. Los sistemas de control de versiones (vulnerabilidades en CVS). 5. El servicio de transporte de correo. 6. El Protocolo Simple de Administración de Red (SNMP). 7. La Biblioteca Open Secure Sockets Layer (OpenSSL). 8. Configuración inadecuada de los Servicios NIS (Sistema de Archivos de Red) y NFS (Servicio de Información de red) para compartir recursos de red.

9. Bases de datos. Compromiso de la integridad y confidencialidad de los datos almacenados. 10. El núcleo (kernel) del sistema operativo. Existencia de múltiples vulnerabilidades.

SUPLEMENTO PC WORLD

25

Cómo detectar hackers y troyanos
GONZALO ÁLVAREZ MARAÑÓN gonzalo@pcw.idg.es

Internet está infestada de peligros y molestias: hackers, virus, gusanos, programas espía… En este artículo explicamos las mejores técnicas de seguridad para detectar los ataques más frecuentes y dañinos procedentes de Internet.

Espiando el tráfico de red
¿Sabe qué información está circulando por su red en un momento dado? Aunque no tenga una red local, sino un solo ordenador conectado a Internet, ¿sabe qué información se está transmitiendo en todo momento desde su equipo hacia el exterior? Con la cantidad de virus, gusanos, software espía y demás plagas que azotan Internet, la única forma de estar seguro consiste en utilizar un sniffer, también conocido como analizador de protocolos o monitor de red. Un sniffer es un programa que captura todo el tráfico que circula desde/a un equipo conectado a una red de ordenadores. Los hay de todos los tipos y para todos los sistemas operativos. Dependiendo de cuál sea la tipología de su red, un sniffer le permitirá interceptar todo el tráfico que circula por su red, incluido el de otros equipos, o solamente el tráfico que entra y sale de su ordenador. En las redes Ethernet, en las que los distintos equipos se conectan a un concentrador o hub, cuando un

26

SUPLEMENTO PC WORLD

Blinde su PC
equipo envía un paquete, éste llega a todos los ordenadores de la misma red. La cabecera del paquete contiene la dirección MAC de la tarjeta de red a la que va dirigido, de manera que sólo el equipo adecuado presta atención al paquete. Sin embargo, una tarjeta puede configurarse en modo promiscuo, en cuyo caso aceptará todos los paquetes, tanto si van dirigidos a ella como si no. Para entenderlo con claridad, imagínese un largo pasillo, con despachos a cada lado. Abre la puerta del suyo y grita en el pasillo a pleno pulmón: “¡Pepe! ¡Sal a la ventana!”. Resulta evidente que no sólo Pepe, sino también los ocupantes del resto de los despachos del pasillo habrán oído el mensaje, pero lo ignoran puesto que no va dirigido a ellos. A pesar de todo, si quisieran podrían salir también ellos a la ventana. Existen otras redes, como las redes conmutadas, en las que el sniffer sólo puede ver el tráfico que entra y sale de la máquina en la que está instalado. Aunque existen técnicas basadas en la falsificación ARP para interceptar el tráfico de otras máquinas, no serán tratadas en estos trucos por su complejidad. En definitiva, si quiere ver todo el tráfico que va y viene de su máquina, puede hacerlo con la ayuda de un buen sniffer. Algunos sniffers que puede utilizar gratuitamente en plataformas Windows son NG Sniff (www.nextgenss.com/products/ ngssniff.htm), daSniff (demosten. com/dasniff), Ethereal (www. ethereal.com), NetworkActiv Sniffer (www.networkactiv.com), GreedyDog (www.shadowpenguin. org/sc_toolbox/unix/gdd/index.html). Si tiene que decantarse por uno, no lo dude y pruebe Ethereal, también disponible en plataformas UNIX. Windows 2000 Server y Windows 2003 Server vienen con su propio sniffer de serie, eufemísticamente pequeña red podrá ver qué es lo que están haciendo otros usuarios de la LAN. De esta forma sabrá sin que nadie se entere por dónde navegan sus hijos y qué uso hacen de la red. - Podrá detectar el funcionamiento subrepticio de programas espía: verá a dónde se conectan, qué paquetes envían y reciben, etc. Pillará in fraganti a cualquier programa adware o spyware. - Detectará la actividad de troyanos, gusanos y otros virus, que intentan de puertos disponibles en Internet gratuitamente. Como es de sobra conocido, TCP y UDP son dos de los protocolos más utilizados en las comunicaciones a través de Internet. Los diferentes servicios de Internet se caracterizan por basarse en estos protocolos para su funcionamiento, escuchando en un número de puerto determinado. Por ejemplo, el servicio HTTP, utilizado para la navegación de páginas web, escucha en el puerto TCP número llamado “Monitor de red”. Por defecto no está instalado, pero puede hacerlo
o quitar programas.

conectarse al exterior desde su equipo.

desde el Panel de control, en Agregar El usuario doméstico encontrará

¿Qué puertos tengo abiertos?
El inconveniente que puede presentar un sniffer para el usuario novel es que proporciona cantidades ingentes de información sobre todos los paquetes que están circulando por la red. Si simplemente desea saber de forma sencilla qué puertos tiene abiertos en todo momento dentro de su máquina, no tiene más que utilizar una de las muchas herramientas de exploración

los sniffers de especial utilidad en una gran variedad de aplicaciones: - Por encima de todo, ¡aprender! Gracias al sniffer verá cómo funcionan los distintos protocolos de Internet, cómo se establecen las conexiones, qué paquetes se intercambian, etc. Nada como un sniffer para ver en la práctica cómo funciona la teoría. - Si en su casa tiene instalada una

SUPLEMENTO PC WORLD

27

80; POP3, utilizado para leer el correo electrónico, escucha en el puerto TCP 110; etc. Es decir, cada servicio que preste una máquina lo hará en un puerto bien definido. La IANA mantiene un listado de estos puertos en www.iana.org/assignments/portnumbers. Los números de puerto oscilan entre 1 y 65.535, ya que se expresan con números de 16 bits. Las herramientas de exploración de

también aparecerán abiertos los puertos correspondientes. Por lo tanto, ejecutando un programa de exploración de puertos contra el propio equipo o contra otros equipos de la red local, se encontrará la lista de puertos a la escucha. Algunas de las mejores herramientas para realizar esta exploración son Superscan (www.foundstone.com/ knowledge/proddesc/superscan.

corresponden con ningún servicio que usted haya instalado voluntariamente, anote el número de puerto e intente averiguar a qué servicio corresponde. En www.simovits. com/nyheter9902.html se ofrece un listado exhaustivo de troyanos y los puertos comúnmente utilizados por ellos. Muchos de estos troyanos utilizan puertos asociados a servicios comunes, por lo que no debería alarmarse si el puerto 80 ó 139 están abiertos. Investigue si se trata del servicio legítimo o del troyano. Es posible que se trate de un troyano o de una puerta trasera de un hacker, que está a la escucha en ese número de puerto. En ese caso, posiblemente necesitará la cooperación de un buen antivirus para limpiar su sistema.

Estado de las conexiones de red
Todos los sistemas Windows incorporan una herramienta que permite analizar el estado de sus conexiones de red. Se trata de una utilidad de línea de comandos llamada Netstat. A menudo puede resultar más práctica si lo que desea es saber puertos funcionan enviando paquetes a la máquina destino secuencialmente en todos los puertos, desde 1 hasta 65.535, y esperando su respuesta. Si la máquina responde, entonces se sabe que el puerto está abierto o a la escucha, lo que hace suponer que el servicio asociado a dicho número de puerto se está prestando. En una máquina Windows convencional, es típico encontrar abiertos puertos como 137, 138 y 139, asociados a NetBios. Si se tiene activado el Universal Plug And Play (UPnP) entonces estará abierto el puerto 5.000. Si se tiene activado el escritorio remoto, entonces también aparecerá abierto el puerto 3.389. Si se utilizan programas de intercambio de archivos, como eMule, KaZaa, WinMx, SoulSeek, etc., entonces html) o NScan (nscan.hypermart. net), ambas gratuitas. Se recomienda que las ejecute contra su máquina o máquinas de su red y guarde para futuras referencias en lugar seguro el informe resultado de su exploración para todo el rango de puertos, desde el 1 hasta el 65.535. Esta exploración puede tardar muchos minutos. Sea paciente. Una vez terminada, identifique cuidadosamente cada uno de los puertos abiertos mencionados en el informe generado y verifique que se trata de puertos que usted desea que estén abiertos. En el futuro, puede ejecutar periódicamente la exploración y comparar el nuevo informe con el primero. Si encuentra puertos sospechosos que no estaban en el primer informe y que no se no sólo los puertos que tiene a la escucha, sino también las conexiones establecidas y con qué máquinas. Para ejecutarla, abra una ventana de DOS y escriba netstat -a. Se listarán todas sus conexiones activas, en qué puertos se han establecido y en qué estado se encuentran. Puede agrupar las respuestas por protocolos si ejecuta netstat -s. Si de todos los protocolos le interesa estadística para ese protocolo en concreto escribiendo netstat -s p proto, tcp, udp

uno en particular, puede obtener la

nombre del protocolo, que puede ser ver exclusivamente los paquetes IP, se escribe netstat -s -p ip. Si necesita consultar esta información cada pocos segundos, en vez de escribir el o ip. Así, por ejemplo, para

donde proto representa el

28

SUPLEMENTO PC WORLD

Blinde su PC
comando de nuevo puede pulsar F3. al final del comando el número de segundos que desea como frecuencia de refresco. Por ejemplo, si quiere que cada 10 segundos se actualice la información sobre los paquetes UDP enviados y recibidos, escriba netstat
-s -p udp 10.

Y lo que es aún mejor, puede escribir

Para cancelar el listado,

pulse Ctrl+C. Para obtener un listado de todas las opciones de Netstat, escriba netstat -x.

¿Cómo debe interpretarse la salida

de la ejecución de netstat? En la del protocolo utilizado por la conexión. En la segunda columna se informa de la dirección IP o nombre de máquina del equipo local, junto con el número de puerto en el que está a la escucha. En la tercera columna se informa de la dirección IP o nombre de máquina del equipo remoto, junto con el puerto utilizado para la conexión. Por último, en la cuarta columna se informa del estado de la conexión. Valores típicos para el estado son LISTEN (el no se ha establecido la conexión), puerto está a la escucha, pero todavía primera columna (proto) se informa

Tests de seguridad
Existen varios sitios en Internet e incluso programas que puede ejecutar desde su propio equipo que realizan un test de seguridad sobre su ordenador. Estos tests le informan de los puertos que

bajo control o si se trata de un troyano o de un servicio del que usted no tenía noticia. Puede probar tests de seguridad online en Security Scan de Sygate (scan.sygate.com), Shields Up! de Gibson Research Corporation (grc. com/x/ne.dll?bh0bkyd2), o Basic Security Audit de SecuritySpace (https://secure1.securityspace. com/smysecure/basic_index.html). Como resultado de los tests se le informará de los puertos abiertos y de las medidas que debe adoptar. En general, estos tests no funcionarán si se encuentra detrás de un proxy, un cortafuegos corporativo o un router. Para estos casos, puede

EJECUTANDO UN PROGRAMA DE EXPLORACIÓN DE PUERTOS CONTRA EL PROPIO EQUIPO O CONTRA OTROS EQUIPOS DE LA RED LOCAL, SE ENCONTRARÁ LA LISTA DE PUERTOS A LA ESCUCHA
ESTABLISHED

(la conexión está siendo

tiene abiertos y de otras posibles vulnerabilidades. Recuerde no obstante que un puerto abierto no significa necesariamente ni que tenga un agujero de seguridad ni que tenga un troyano. Simplemente informan de que existe un servicio a la escucha en ese número de puerto. Deberá dilucidar si era su intención que ese servicio estuviera presente y por lo tanto todo está

utilizar alguna herramienta que se ejecute en local en su propio equipo, como por ejemplo Microsoft Baseline Security Analyzer (MBSA), que puede descargarse gratuitamente desde www.microsoft.com/mbsa.
GONZALO ÁLVAREZ MARAÑÓN es autor del libro “Los mejores trucos para Internet” y mantiene su propia web sobre criptografía y seguridad en Internet en www.iec. csic.es/criptonomicon.

la conexión). Para una descripción detallada del resto de estados

utilizada), TIME_WAIT (se ha cerrado

posibles consulte support.microsoft. com/default.aspx?scid=kb;enus;q137984. Por defecto Netstat intenta resolver el nombre de las máquinas y de los puertos. Si se utiliza el parámetro -n muestra puertos y direcciones en formato numérico.

SUPLEMENTO PC WORLD

29

Diga adiós al software espía
La privacidad y seguridad de nuestro PC se ve amenazada cada vez que nos conectamos a Internet, haciendo que la máxima de “un ordenador seguro es únicamente aquel que está apagado” sea cada vez más cierta. Uno de los peligros más directos se encuentra en los conocidos programas espía o “spyware”, que violan nuestra privacidad y por tanto deben ser eliminados

VÍCTOR GIMENO MARTÍNEZ vgimeno@pcw.idg.es

Eliminará de una vez por todas el spyware de su PC.

BENEFICIOS

La creciente práctica del adware como medio de financiación en programas gratuitos hace que nuestros ordenadores se infecten con algo más que simples banners publicitarios. En muchos casos este tipo de software instala otras

mientras navegamos. En el peor de los casos también podrían ser capaces de obtener claves bancarias, contraseñas personales, etc. Por todo esto, y por el evidente consumo no deseado de recursos del sistema y de ancho de banda que conlleva la ejecución de estos programas en segundo plano, se trata de un software que debemos erradicar de nuestro PC. Vamos a eliminar estos programas mediante una magnífica aplicación de Lavasoft llamada Ad-aware 6 Standard Edition (versión gratuita), para sentirnos un poco más seguros salvaguardando nuestra intimidad.

TIEMPO REQUERIDO 30 minutos

NIVEL DE EXPERIENCIA Bajo

aplicaciones ocultas con o sin nuestro consentimiento (trackware y spyware) cuyo fin normalmente es recabar información sobre nuestros hábitos de navegación y preferencias; datos que son utilizados para estudios de marketing y publicidad, y que desembocan en que posteriormente seamos bombardeados con multitud de spam o pop-ups publicitarios

COSTE 0�

HERRAMIENTAS Ninguna

30

SUPLEMENTO PC WORLD

1
La continua aparición de software malicioso hace que la herramienta recién descargada pueda no ser 100% eficaz. Una de las características que hacen tan potente esta aplicación es la posibilidad de obtener gratuitamente actualizaciones con las últimas referencias sobre spyware. Para actualizar Ad-aware pinchamos sobre el icono
Webupdate

Blinde su PC
Instalar Ad-aware 6 Standard Edition
Entraremos en la página del fabricante, www. lavasoftusa.com, para descargar Ad-aware 6 Standard Edition, el pack de idiomas o LanguagePack y sus Plug-ins (HexDump,
Messenger Control).

directorio donde se instaló y Ad-aware (por defecto, varias pantallas se mostrará una ventana en la que debemos elegir los idiomas que deseamos que sean instalados. Ejecutamos Ad-aware 6 Standard Edition y, para traducirlo al castellano, desde la pantalla principal, seleccionamos el icono la parte superior de la ventana con forma de engranaje. Desplegamos seleccionamos el idioma
Español; Settings, Yes)

FileSpecs, LSP Explorer

Para comenzar la

y pulsamos Next. Tras

instalación hacemos doble clic sobre el archivo previamente hemos ejecutable aaw6.exe que

descargado en el PC. Únicamente tendremos que elegir el directorio donde deseamos instalar el programa. A continuación pasamos a instalar el paquete de idiomas aaw-lang-pack. instalador nos pregunta si deseamos que se busque automáticamente el
exe.

situado en

En este caso el

la opción Language File y para terminar

Actualizaciones gratuitas
conectar se accederá a los servidores de Lavasoft y se descargarán automáticamente las actualizaciones. En caso de problemas, habrá que revisar la configuración del proxy, en el botón Configurar y establecer los valores acordes a la conexión. Le recomendamos que compruebe la existencia de nuevas actualizaciones antes de cada búsqueda de spyware para garantizar la eficacia de la misma.

2
SUPLEMENTO PC WORLD 31

(globo terráqueo)

situado en la parte superior derecha del programa o en
Buscar Actualizaciones.

Con ambos métodos le aparecerá una ventana, donde pulsando en

3
Primero ejecutamos cada uno de los archivos que hemos descargado. Al igual que con el pack de idiomas, se ofrece la posibilidad de una busquede automática del directorio de Plug-ins; seleccionamos Yes y pulsamos Next hasta que

Búsqueda, identificación y eliminación de spyware
Para empezar la búsqueda de software sospechoso, deberemos pulsar sobre
Examinar ahora o Iniciar.

Para eliminar los elementos solamente tenemos que y pulsar sobre Siguiente. marcarlos en la columna Obj.

registro, donde se describen todas las incidencias durante la búsqueda, pulsando sobre el botón Mostrar logfile, aunque la revisión de esta información no es del todo

Si dudamos podemos

marcarlo y pulsar sobre el botón Cuarentena. Con ello, lo que conseguimos es desactivarlo temporalmente hasta comprobar su verdadero funcionamiento. Accediendo al tercer icono situado en la parte superior derecha (caja). Nos aparecerá una lista de todos los paquetes de archivos puestos en cuarentena. Pinchando sobre cada uno de ellos con el botón derecho se nos ofrecen las diferentes acciones a realizar:
Detalles del Artículo

En la siguiente pantalla podemos modificar las

opciones de búsqueda entre las que destacan la selección de las unidades a escanear. iniciar el proceso de rastreo. Una vez terminado el escaneo del equipo podremos acceder a un archivo de Pulsamos en Siguiente para

relevante para alcanzar nuestro fin. Si pulsamos en ventana en la que se nos mostrarán los resultados de la búsqueda junto con información detallada de cada objeto.
Siguiente aparecerá una

(información sobre el archivo),

operativo el archivo), Borrar

Reinstalar (volver a dejar

los archivos (eliminar todos Ayuda (ayuda de Ad-aware).

seleccionado), Borrar todos

archivo (eliminar el elemento

los paquetes en cuarentena) o

Uso de Plug-ins
y activarlo o desactivarlo. Para
Control y a continuación, Ejecutar Plugin.

LSP Explorer: con este plug-in es posible explorar nuestra lista de LSP (proveedores de servicios por capas) instalados en el controlador TCP/IP de Windows y obtener información detallada sobre ellos. En ocasiones estas pequeñas aplicaciones pueden desviar el tráfico de datos que enviamos a Internet a otros sitios no deseados con fines maliciosos. Para ejecutarlo basta con seleccionarlo desde la lista de plug-ins instalados y pulsar sobre Ejecutar Plugin.

ello seleccionamos Messenger

HexDump: se utiliza para obtener información extra sobre los archivos encontrados durante el escaneo del sistema. Muestra una ventana con el código hexadecimal en el que se pueden desvelar datos de interés, como la URL del fabricante. Para ejecutarlo nos situamos sobre el archivo y hacemos clic con el botón derecho, seleccionando

4

concluya la instalación.

Messenger control: para ejecutar este plug-in debemos dirigirnos a la sección Plugins en la pantalla principal del el estado del servicio de mensajería de las versiones de Windows NT, 2000 y XP, programa. Permite comprobar

Extensions » Create hexdump of object.

32

SUPLEMENTO PC WORLD

Blinde su PC

Niños e Internet
En el enorme entresijo de páginas que es Internet se puede encontrar todo tipo de información. Cualquier persona desde cualquier lugar y de forma prácticamente anónima puede conectarse a la red y consultar libremente sus contenidos. Tal libertad de acceso puede convertirse en un inconveniente si los receptores son niños, ya que tienen a su disposición información no apta para esas edades tan tempranas. Y al igual que todos nos preocupamos por sus actividades físicas conviene también hacerlo por las virtuales.
ÁNGEL GONZALO agonzalo@idg.es

La campaña “Niños e Internet” de Panda software pretende ayudarnos a librar a los más pequeños de los peligros de Internet mediante el sitio www.menorenlared.com que han habilitado a tal efecto. En el CD-ROM de este mes incluimos una pequeña aplicación que contiene la misma información que la página de Panda Software pero que nos permite consultarla de forma offline. Podrá encontrarla en la carpeta 1 - Especial\
Niños e Internet

a contenidos web, en relación directa con el tema de la campaña. Aunque su instalación es sumamente sencilla, le indicamos aquí los pasos principales a seguir para activar este filtrado. 1- Instalación de PIS 2005: ejecute el archivo childrenPIS05esp.
exe que encontrará en la carpeta 1 - Especial\Panda Platinum 2005 Internet Security del CD-ROM.

2 - Instalación del filtrado de

contenidos web: tras un análisis de la memoria y casi al finalizar la instalación se le preguntará si quiere instalar ahora el filtrado de contenidos web. Tanto si lo hace ahora durante la instalación como si lo hace luego, dentro de la propia aplicación, los pasos a seguir son los mismos.

3 – Contraseña del supervisor: el supervisor que activa el filtrado es el único que puede modificar los filtros. En este paso indicaremos la contraseña (deberemos confirmarla) que impedirá que los menores, o cualquier otra persona no autorizada, pueda modificarlos.

del CD-ROM.

Además, incluimos una versión

promocional de Panda Platinum 2005 Internet Security con la que podrá proteger su ordenador de los virus que amenazan el ciberespacio así como aplicar filtros que restringen el acceso

SUPLEMENTO PC WORLD

33

aunque podemos importar otros, que podemos configurar individualmente.

opción de registro online, para lo cual, evidentemente, es necesario tener conexión a Internet. Una vez acabado

4 – Usuarios: se pueden activar los filtros tanto de forma general como para usuarios particulares, en cuyo caso deberemos indicarlos aquí.

6 – Activación / Desactivación: la última de las opciones del interfaz principal de Platinum Internet Security permite activar o desactivar el filtrado web (o instalarlo si no se ha hecho durante la instalación del antivirus). 5 – Configurar los filtros: Platinum Internet Security trae unos cuantos filtros predefinidos, 7 – Registrar Panda Platinum 2005 Internet Security: para poder disfrutar de los 3 meses (90 días) de soporte y actualizaciones que ofrece Panda Software con esta versión promocional de su producto es necesario registrarse en la web de Panda mediante la

el proceso anote los datos de usuario y contraseña, que necesitará para activar las actualizaciones.

34

SUPLEMENTO PC WORLD