Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

viernes, 30 de noviembre de 2007

DÍA INTERNACIONAL DE LA SEGURIDAD INFORMÁTICA
El 30 de noviembre ha sido declarado ”Día Internacional de la Seguridad de la Información” desde 1988, con el objeto de concientizar sobre la importancia de la seguridad de la información y de los sistemas y entornos que operan con ella.

Por ese motivo, hacemos llegar un saludo especial a quienes, desde sus puestos de trabajo, contribuyen a incrementar los niveles de seguridad de la información y manifestamos nuestro completo apoyo en dicha tarea. En este sentido, se encuentran disponibles en el sitio http://www.arcert.gov.ar varios documentos que pueden ser de interés a la hora de adoptar las medidas adecuadas. Entre otros, encontrará documentos relativos al robo de identidad, uso seguro del correo electrónico, funcionamiento y detección de “botnets”, etc. así como un nuevo Manual para el Instructor en Seguridad de la Información que estaremos publicando en el transcurso del día de hoy.

A quienes utilizan las nuevas tecnologías de la información y las comunicaciones en sus trabajos o en sus hogares, los invitamos a adoptar todas las medidas a su alcance para proteger su información y sus recursos y evitar así ser víctima del accionar de los ciberdelincuentes.

A continuación, le sugerimos algunas medidas que puede empezar a poner en práctica hoy mismo:

  • Utilice contraseñas fuertes, de al menos 8 caracteres y que contengan letras mayúsculas, minúsculas, números y símbolos. Asimismo, es recomendable que cambie las contraseñas periódicamente y que utilice diferentes contraseñas para diferentes cuentas y/o servicios de importancia.

  • Utilice un antivirus y asegúrese de mantenerlo actualizado con las últimas definiciones de virus y actualizaciones provistas por el fabricante.

  • Mantenga actualizadas todas sus aplicaciones incluyendo el sistema operativo con las últimas actualizaciones de seguridad provistas por el proveedor del software, y aquellas aplicaciones que se accedan directamente a través de su navegador, como puede ser el visualizador de archivos PDF o la extensión para archivos Flash.

  • Realice copias de resguardo periódicas de sus archivos y carpetas importantes.

  • Bloquee con contraseña su estación de trabajo cuando se ausente de su puesto laboral.

  • Apague su computadora o desconéctela de la red cuando no la utiliza por largo tiempo, especialmente si tiene una conexión permanente a Internet.

  • No abra archivos adjuntos en mensajes de correo electrónico enviados por desconocidos o que no esta esperando recibir.

  • No descargue ni abra archivos provenientes de fuentes o sitios no confiables.

  • No haga clic en los enlaces web de los correos electrónicos no solicitados (spam), ni en los enlaces que recibe a través de mensajería instantánea.

  • No complete formularios incluidos en correos electrónicos.

  • Verifique la identidad de los sitios web y los indicadores de seguridad antes de ingresar una contraseña o completar formularios y procure utilizar siempre canales cifrados (https://) para ese propósito.

  • Elimine servicios y desinstale programas que no utilice, que podrían ser canales de acceso no autorizado

  • En Windows, deshabilite la opción de ocultar las extensiones de los nombres de archivos.

  • No utilice un usuario con privilegios de administración para realizar las tareas cotidianas en su computadora, especialmente si va a utilizar un lector de correo o un navegador en Internet.

  • Deshabilite, de ser posible, la ejecución de scripts en su cliente de correo electrónico.

Como siempre, nos ponemos a su disposición para atender toda sugerencia que quiera hacernos llegar para mejorar nuestros servicios.

Fuente: http://www.arcert.gov.ar

Ver más

COMO CIFRAR LAS CONVERSACIONES DE MSN MESSENGER

Algo que no muchos saben es que cada vez que hablamos por MSN inevitablemente somos vulnerables a que cualquiera (que sepa hacerlo) pueda leer lo que escribimos con todos nuestros contactos usando cualquier sniffer ya que MSN transmite todo en texto claro, sin cifrado. Esto hace que los administradores de la red (o de nuestros proveedores de Internet) no tengan muchas complicaciones técnicas para revisar en tiempo real lo que estamos conversando con nuestros contactos y almacenar todo en un log (registro de texto).

El servicio de MSN Messenger NO CIFRA los datos, es decir, estos... viajan por la red tal y como los escribimos, haciendo que puedan ser interceptados fácilmente.

El siguiente esquea muestra con equis azules los puntos donde se puede interceptar fácilmente una comunicación entre dos personas:

La verdad no sé porqué los desarrolladores de Messenger no le han puesto firmeza al tema de la seguridad y confidencialidad de datos en sus software y se preocupan más de reventarlos de monos y chiches inútiles.

En fin, para solucionar en parte eso existe SIMP que es un protocolo utilizado para cifrar las comunicaciones y así nadie pueda espiar lo que hablamos.

El único detalle es que solamente cifra la comunicación con otro contacto que también tiene SIMP. Por eso hay que ayudar a masificar esta herramienta en pro de la seguridad y privacidad.

Para descargarlo puede seguir el siguiente enlace:
http://www.secway.fr/us/products/simplite_msn/getsimp.php

SIMP funciona como un complemento más de Messenger y no interferirá en el normal funcionamiento de este. Se trata de una pieza de software 100% recomendable. Si necesita hablar cosas privadas por MSN, no lo haga sin protección de cifrado de datos o de lo contrario se arriesga a que lean todo lo que usted escribe.

Ver más

COMO ELIMINAR LAS PROTECCIONES DE UN PDF

Hoy he necesitado imprimir un documento PDF relacionado con el trabajo (interesante para mí y muchas otras personas). Era importante, porque el documento lo necesitaré tener consultable en papel en pocos días. Pero ¡oh sorpresa!, a pesar de ser un documento que mucha gente además de mí va a necesitar imprimir, éste está protegido ¡contra impresión! Pero vamos a ver… ¿por qué se empeñan en poner puertas al campo? Si quiero imprimirlo por muchas protecciones que pongan siempre podré sacar pantallazos e imprimir, ¿por qué nos ponen estas trabas?


En fin, eso me ha llevado a descubrir un servicio online para eliminar las protecciones de los PDF (en concreto, puede eliminar la protección anti-impresión y la protección anti-copy-paste). Funciona perfectamente, tal y como podéis apreciar en las imágenes. Supongo que no durará mucho online...

Fuente: http://diariolinux.com/2007/08/28/como-eliminar-las-protecciones-de-un-pdf/

Ver más

CUIDADO CON LAS CONTRASEÑAS DÉBILES DE LOS CORREOS. ESPECIALMENTE GMAIL

Hay quienes defienden la opinión de que los sistemas deben ser los que entreguen la seguridad a los usuarios y no que de los usuarios dependa la seguridad completa del sistema. Los argumentos de los primeros son que los usuarios finales no debiesen tener entre sus preocupaciones el hecho de andar pendiente de los posibles problemas que los pueden afectar por el mal uso de sus datos (usuarios, contraseñas, etc) y privilegios. Por otro lado, quienes defienden la postura del lado del usuario indican que este es el principal responsable de que sus datos estén protegidos correctamente.

Lamentablemente en seguridad informática hay que tratar de mantener siempre los equilibrios en cuanto a este tipo de argumentos ya que el simple hecho de incilinarse por una opción y darle más "peso" a esta hará que el otro lado de la balanza esté más expuesto a amenazas por haberlo descuidado. Un ejemplo claro de esto es algún administrador que ama Linux y por eso ignora y "mira en menos" a uno de sus servidores Windows 2003, y gracias a ese descuido permite que existan backdoors donde los intrusos pueden lograr acceder a recursos privados.

Pero ¿qué tiene que ver todo esto con el título del artículo? Mucho, puesto que simplemente el servicio de GMail es vulnerable... a las contraseñas débiles. En estricto rigor no es el servicio en sí, si no que son los usuarios de GMail los vulnerables a este problema.

En el sitio http://www.0x000000.com/ se ha publicado un pequeño pero efectivo script en PHP (Bruteforcer) que permitiría a un atacante malicioso conectarse vía POP Seguro (POP+SSL) con el servidor de correos de GMail para lanzar un ataque de fuerza bruta basándose en listas de palabras con contraseñas simples y comunes. Bastaría con conocer la dirección de correo GMail que se quiera acceder y ejecutar el ataque.

En este caso, como decía, no basta con hacer un sistema súmamente seguro como lo es GMail (por eso no deben creer en tonteras como "¡Aprenda a hackear Hotmail, MSN Messenger y GMail!") y utilizar los más potentes métodos de cifrado de datos, redundancia de servidores, acceso a bases de datos protegidas y similares cuando el que comete el error final es el usuario, el eslabón más débil. A pesar de todas las estrictas políticas de seguridad de GMail, los usuarios que tengan claves como 123456,miperro, 15051975 (y todas las combinaciones posibles de fechas en ese formato) pueden ser fácilmente víctimas de robo de identidad al estar facilitando los medios para que un atacante se apodere de sus contraseñas de correo.

Les recomiendo a TODOS los usuarios de correos electrónicos, no solamente de GMail que cumpla con las siguientes recomendaciones:
1.- NO USE CONTRASEÑAS FÁCILES DE ADIVINAR. Terriblemente, si su contraseña está en uno de estos archivos entonces ya es vulnerable.

2.- NO USE SIEMPRE LA MISMA CONTRASEÑA. Es común que por comodidad utilicemos una clave para el correo de la empresa, y esa misma clave sea para todos los correos que tenemos, el acceso al sitio web de la universidad y la contraseña de inicio de sesión de su computador. Con solo recuperarla una vez ya estaría haciendo que todos los demás servicios sean vulnerables.

3.- CAMBIE SU CLAVE REGULARMENTE. Si utiliza la misma clave desde hace 6 meses, entonces cámbiela inmediatamente.

4.- POR NINGÚN MOTIVO GUARDE SU CONTRASEÑA EN EL NAVEGADOR WEB. Si la almacena ahí, bastaría que alguien que pueda acceder físicamente a su PC revise el código fuente de la página de inicio de sesión de su correo y ya tendría su clave en 5 segundos.

Si desea más información visite este enlace de Microsoft y este de Segu-Info donde indican con gran claridad cómo crear una buena contraseña.

Ver más

RASTREO DE DISPOSITIVOS USB ROBADOS

A Mat Mullen le robaron su iPod del coche mientras asistía a una conferencia. Nada del otro mundo... de no ser porque Mat no se cruzó de brazos. En lugar de perder el tiempo en maldecir (que seguro también lo hizo ;) puso en marcha ihound Software, una aplicación que detecta cuándo el dispositivo robado es conectado a un ordenador, transmitiendo su IP, proveedor de acceso y ubicación aproximada. Incluso dispone de la opción de imprimir una denuncia con los datos del dispositivo y su localización para entregar a la policía. Para que no falte nada, ihound es -al menos de momento- gratuito.

Sin embargo, ihound no es un software novedoso. Desde primeros de año existe GadgetTrak, un sistema similar que abarca más dispositivos pero no es gratuito...

En TechCrunch hay una viva polémica sobre si ihound es o no una mera copia de GadgetTrak... y también sobre si este tipo de servicios sirven o no de algo cuando el ladrón sabe desactivar la autoejecución de ficheros autorun o -aún mejor- conecta el aparato a un sistema no-Windows y procede a limpiarlo por completo.

Ver más

sábado, 24 de noviembre de 2007

¿SABEMOS POR DONDE NAVEGAN NUESTROS HIJOS?

Ya conocemos muy bien el peligro que representa Internet, para cualquier usuario, más allá de las páginas por donde navegue, ya sea en forma voluntaria o no, siempre estamos expuestos a la posibilidad de caer en las garras de alguna persona con mucho tiempo libre o ante alguno de los tantos códigos maliciosos que deambulan por la red.

Imagínense entonces las posibilidades que tienen los menores de edad de no caer en lo mencionado. Muy pocas.

Una de las inquietudes más preocupantes que los padres tenemos con respecto a nuestros hijos, y relacionada con informática, es precisamente Internet, es decir, ¿sabemos por donde navegan nuestros hijos? ¿cómo podemos restringir el acceso a determinadas páginas que pueden ser dañinas?

En este sentido e intentando no caer en la polémica que genera el hecho de la privacidad al “monitorear” las actividades de nuestros hijos, yo diría más que monitorear es “controlar”, obviamente para que exista un control tiene que existir un ente que oficie de contralor, y en este caso, nosotros, como padres.

Entonces, intentemos dar respuesta a la segunda pregunta:

ESET ha pensado en este tipo de escenarios y en sus nuevos productos, tanto en ESET NOD32 Antivirus 3.0 como ESET Smart Security, ha incorporado nuevas funcionalidades que permitirán minimizar no sólo los riesgos de infección sino que también mantener un buen control sobre determinados sitios web.

Veamos de qué se trata. Estamos hablando de lo que se conoce como control parental, que, como ya habrán podido deducir, se trata del control que ejerce un padre hacia las actividades que realizan sus hijos menores de edad, a nuestros efectos, frente a la computadora.

La funcionalidad que nos permite realizar el control en cuestión se llama Blocked addresses y llegamos a ella desde Setup > Advanced Setup > Web access protection > http.

Listado de páginas que ESET NOD32 bloqueará

Listado de páginas que ESET NOD32 bloqueará

De esta manera, la funcionalidad nos permite bloquear determinadas direcciones web, agregándolas una por una o desde un archivo .txt, incluso podríamos bloquear direcciones a partir de determinadas palabras como por ejemplo xxx, sexo, crack, etc, etc, etc.

El resultado de esta simple pero poderosa configuración se refleja en la siguiente imagen, tanto ESET NOD32 Antivirus como ESET Smart Security bloquearán las URL’s que figuren en su lista.

Bloqueo de páginas en ESET Smart Security

Bloqueo de páginas en ESET Smart Security

Como podrán observar, no sólo podemos contar con una solución antivirus que bloquee amenazas conocidas y desconocidas sino que también podremos controlar una serie de cuestiones que a seguridad se refieren y proteger a nuestros hijos de contenidos poco apropiados que pueden encontrarse al navegar por Internet.

Jorge

Fuente: http://blogs.eset-la.com/laboratorio

Ver más

CONOCIENDO LO QUE HAY EN NUESTRO SISTEMA

Lamentablemente, muchos usuarios desconocen lo que realmente sucede o puede suceder cada vez que visitamos determinadas páginas web (sobre todo aquellas de procedencia dudosa) o lo que sucede en nuestra computadora, con nuestro sistema de archivos, cada vez que la encendemos.

En Identificando procesos maliciosos en sistemas Windows les enseñamos a trabajar con algunas herramientas nativas de los sistemas operativos de Microsoft que nos permitirán identificar aquellos procesos maliciosos que pudieran estar corriendo en nuestra PC.

Del mismo modo, también contamos a través de Cuando quedan rastros del malware cuáles son aquellas claves del registro que comúnmente suele manipular el malware para agregar referencias a sus procesos maliciosos.

Ahora vamos a explicar algunas configuraciones en nuestro sistema operativo de manera tal que nos permita “controlar” aún más lo que sucede y lo que tenemos en nuestra computadora.

Para ello debemos mencionar que, dentro de la gran variedad de artilugios que utilizan los códigos maliciosos, la capacidad de ocultarse frente a nuestros ojos es una de sus más comunes características. Para lograrlo, son diseminados con atributos de oculto, de esta manera, suelen pasar desapercibidos.

Y como se citó en los post anteriormente mencionados, podemos recurrir a simples configuraciones o herramientas nativas de nuestro sistema para poder identificar acciones o elementos extraños. Una de ellas se encuentra simplemente ingresando a la solapa Ver que se encuentra en las Opciones de carpeta del menú herramientas.

Allí encontraremos una serie de opciones relacionadas al tratamiento que le podemos dar a la visualización de las carpetas, pero las que nos interesan a nosotros para el objetivo que perseguimos (identificar códigos maliciosos) las opciones son tres:

Opciones de carpeta

  • Mostrar todos los archivos y carpetas ocultos: seleccionando esta opción nos ayudará a ver aquellos archivos que poseen el atributo de oculto anteriormente mencionado.
  • Ocultar archivos protegidos del sistema operativo: los archivos que poseen atributos de sistema y ocultos, por defecto, no son mostrados por el sistema operativo. La función de esta opción es, justamente, proteger aquellos archivos que son importantes para el funcionamiento del sistema. Esta opción debe permanecer desmarcada.
  • Ocultar las extensiones de archivo para tipos de archivo conocidos: esta opción nos permitirá identificar algunas de las formas más comunes mediante las cuales se suelen mostrar el malware ante nuestros ojos, por ejemplo, podremos identificar aquellos archivos que poseen doble extensión.

Ejecutar estos procedimientos en forma periódica o cuando lo creamos necesario nos permitirá mantener nuestra computadora “saludable” y libre de todo tipo de códigos maliciosos.

Sobre todo, sumando a estas buenas normas de conducta la implementación de una herramienta con capacidades de detección proactiva de amenazas conocidas y desconocidas, como ESET Smart Security, podremos sentarnos tranquilos frente a nuestra PC y navegar por Internet de forma totalmente segura y sin preocupaciones.

Jorge

Fuente: http://blogs.eset-la.com/laboratorio

Ver más

EICAR TEST FILE

En muchos de los seminarios que brindamos hemos recibido, en varias oportunidades, preguntas como: ¿de qué manera es posible realizar un test para saber que Antivirus (AV) es mejor? o ¿cómo podemos probar su grado de efectividad?

En lo que a comprobación de eficacia se refiere, existe una organización llamada EICAR (European Institute for Computer Antivirus Research; en castellano: Instituto Europeo para la Investigación de los Antivirus Informáticos) que aglomera a entidades comerciales, universidades, gubernamentales, civil, etc. y que brinda la posibilidad de poder realizar una evaluación a través de un archivo que posee sólo 64 caracteres. En el año 1996, esta organización desarrolló lo que en la actualidad conocemos como EICAR TEST FILE o, según su traducción al español, ARCHIVO DE PRUEBA EICAR.

Su objetivo consiste en que, para probar que el AV se encuentra activo, el archivo EICAR debe ser detectado al momento de descargarlo o al realizar una exploración, como es el caso de ESET NOD32 en esta imagen:

Detección de ESET NOD32

Evidentemente, la mayoría de los fabricantes antivirus, lo detectan y por ende es una buena prueba de que el AV se encuentra funcionando y su proceso no ha sido eliminado del sistema por alguna causa.

Es decir que el archivo EICAR es una buena herramienta para probar el funcionamiento de nuestro antivirus favorito. Pero OJO, existen códigos maliciosos que simulan ser el archivo de testeo, así que hay que tener mucho cuidado a la hora de descargarlo. Siempre hay que hacerlo desde la página oficial de EICAR.

De todos modos es importante aclarar, que el hecho de que un antivirus detecte este archivo de prueba, no significa que ese antivirus sea capaz de detectar y bloquear todo tipo de malware.

Jorge

Fuente: http://blogs.eset-la.com/laboratorio

Ver más

ADVIERTE SOBRE EL "TYPO-SQUATTING"
Un nuevo estudio de McAfee destaca la peligrosidad de los sitios web con errores tipográficos, una amenaza conocida como typo-squatting.

McAfee lanza un estudio que pone de manifiesto las ciberprácticas peligrosas conocidas como typo-squatting. El informe "¿Qué se esconde detrás de un nombre?: el Estado de Typo-Squatting en 2007," expone cómo los typo-squatters ("okupas" de los sitios Web) registran dominios usando nombres de marcas conocidas con errores tipográficos, productos o gente a fin de redirigir a los consumidores a sitios web alternativos. Estos sitios squatter-run generan ingresos publicitarios por cada click, atraen a consumidores confiados y consiguen direcciones de correo electrónico de los usuarios para inundarles las direcciones de correo no deseado. Para cuantificar el alcance del estudio, McAfee ha revisado 1,9 millones de variaciones de 2.771 de los dominios más conocidos.

"Typo-squatting ilustra la mentalidad del Salvaje Oeste que sigue permanente en la mayoría de las actividades de Internet" afirma Jeff Green, Vicepresidente de los Laboratorios McAfee Avert y Desarrollo de Producto. "Incluso en su estado más benigno, esta práctica lleva a los consumidores a sitios que ellos nunca habían planeado y penaliza a las empresas legítimas alejando a sus clientes o haciéndo pagar un precio para recuperar de nuevo a sus clientes. En el peor de los casos el typo-squatting te conduce a estafas on line, ofertas del tipo "hágase rico rápidamente" y otros riesgos".

El estudio cita la iPhone manía como un ejemplo reciente de typo-squatting, señalando que, aunque el nuevo teléfono de Apple apareció en el mercado hace sólo unos meses, habrá al menos 8.000 URLs usando la palabra "iPhone" a finales de año. Unos serán sitios inofensivos mientras que otros serán controlados por hackers y timadores. Lo que la mayoría tienen en común es que no tienen ninguna relación con Apple.

El informe cuantifica el alcance significativo de todo el problema y las diferencias entre las principales categorías Web. Algunos resultados relevantes son:

- Un consumidor típico que teclea mal una URL conocida tiene entre 1 y 14 posibilidades de entrar en un sitio typo-squatter.

- Los sitios web para niños son un objetivo muy común: en más de 60 de los sitios que más ocupaciones ilegales con error tipográfico sufren, son propiedades que sirven de reclamo al segmento de población que no supera los 18 años.

- Algunos typo-squatters aprovechan errores tipográficos para exponer a los niños a la pornografía.

- Las cinco categorías más importantes de ocupación ilegal de variantes de nombres de dominios son: Sitios de juegos (14%); Líneas aéreas (11,4%); Empresas de medios de comunicación dominantes (10,8%); Contenidos para adultos y citas (10,2%) y Tecnología y Web 2.0 (9,6%)

- Los anuncios de un único motor de búsqueda representan hasta un 19,3% de todos los sitios sospechosos de ocupación ilegal con error tipográfico de este estudio.

Para ayudar a los consumidores a evitar los sitios typo-squatted, McAfee SiteAdvisor clasifica con color amarillo ("precaución") cualquier sitio que cumpla nuestros criterios de ocupación ilegal por error tipográfico. Para sitios Web explícitamente peligrosos, que está documentado que causan explotaciones o ataques de phishing, McAfee SiteAdvisor redirige al usuario a un sitio seguro.

Para conocer las conclusiones completas del estudio visite www.mcafee.com/typosquatters.

Fuente: http://www.vnunet.es/Actualidad/An%C3%A1lisis/Seguridad/Sistemas_de_protecci%C3%B3n/2007112300

Ver más

jueves, 22 de noviembre de 2007

COMO ELEGIR NUESTRAS CLAVES ADECUADAMENTE

El tema de las claves es un tema recurrente. Muchos son los que nos recomiendan escoger claves de calidad y robustas, pero ya no son tantos los que nos explican cómo hacer esto. Ante la ausencia de una explicación, el usuario experimentado sabe bien qué es una clave de calidad, y no necesitará muchas más explicaciones, pero el usuario menos experimentado se quedará diciendo ¿y cómo hago yo eso? ¿de qué me está Usted hablando?

No son muy abundantes, pero hay textos que explican muy correctamente cómo se deben elegir las claves. A mi me gusta mucho cómo lo cuenta el School of Computer Science de Carnegie Mellon, porque lo hace fácilmente entendible a cualquier usuario. A mí, si me lo permitís, además de traducir voy a incorporar alguna que otra cosita al texto.

Las cuatro reglas de oro al elegir claves

Hay cuatro reglas que si seguimos, probablemente conducirán a que tengamos claves adecuadas. Son los siguientes:

  1. Nunca bases tu clave en información personal: ni nombre, ni nombre de usuario, ni fecha de compleaños, números de pasaporte o documentos de identidad, ni aniversarios ni nada que sea fácilmente adivinable o intuíble, o que simplemente se peuda averiguar conociendo un poco a la persona.
  2. No elijas claves que sean palabras que puedan aparecer en cualquier diccionario. Los ataques de diccionario se basan precisamente en esto.
  3. No escojas transformaciones simples de palabras. Si me llamo Sergio, emplear la clave Oigres no es una buena idea. Tampoco lo sería s3rg10. Son las dos transformaciones típicas que cualquier programa para crackeo de contraseñas contempla.
  4. Por último, y como norma general, evita escoger claves de menos de 8 caracteres. También hay que evitar seleccionar claves sólo numéricas (1234) o sólo compuestas de letras (abcd). Es recomendable combinar ambos y emplear caracteres no alfanuméricos (;&%$/). Las claves, cuanto más cortas, son más fácilmente resolubles por ataque de fuerza bruta.

Una manera muy sencilla de generar y recordar una clave de calidad

Paso 1: Invéntate una frase que te sea fácil recordar, y que sea real, lo que ayuda a recordar la clave. Por ejemplo Tengo dos hijos: Antonio y Carmen

Paso 2: Selecciona sólo el carácter inicial de las palabras de la frase, y transforma “y” por & (es el símbolo de AND), el símbolo igual por =, “o” por | (símbolo de OR), etc. Alterna mayusculas y mayúsculas para ir tomando la primera letra de cada palabra de nuestra frase inventada. En nuestro caso, nuestra clave sería TdH:A&c, una clave que os garantizo no está definida en ningún diccionario para ataque a claves, y que impedirá ser descubierta haciendo uso de los métodos tradicionales y comunes de descubrimiento de claves.

Otra manera muy sencilla de generar una clave segura

Paso 1: Piensa en dos palabras que no tengan nada que ver, y que te sean fáciles de recordar. Por ejemplo, vacaciones y tomates

Paso 2: Alterna mayúsculas y minúsculas, e introduce un símbolo al principio y otro al final (por ejemplo los símbolos $ y %). La palabra y la cambiaremos por &. Nuestra clave sería $VaCaCiOnEs&ToMaTeS%. Hemos logrado una clave de 20 dígitos, que se puede considerar de alta seguridad.

El método más fácil de todos

Consiste en hacer que nuestra clave sea una frase fácil de recordar. Por ejemplo “Me llamo Sergio y trabajo de lunes a viernes en Madrid”. Este método tiene un inconveniente, y ese no es otro que la limitación de la longitud que algunas aplicaciones y sistemas imponen a las claves.

¿Qué longitud tiene que tener una clave?

El asunto de la longitud de claves es un tema donde hay poco consenso. Suele haber opiniones dispares, ya que lo que para unos es seguro, para otros es menos seguro y viceversa.

Como normal general, tener claves de 8 dígitos, alfanuméricas y con caracteres no alfanuméricos, es un buen punto de partida. Los sitemas Windows 95 y 98, en prácticamente desuso, limitan las claves a 14 caracteres de longitud. En el caso de 2000 y XP, la limitación se subio a 128.

Estas limitaciones iniciales provocaron que se generasen las famosas tablas rainbow. Este tipo de tablas hace que, por ejemplo, en entornos Microsoft, se consideren débiles las claves no complejas de 14 o menos caracteres. En UNIX hay sistemas antiguos que limitan la longitud a 8 caracteres, si bien cada sistema tiene sus propias limitaciones.

A modo de resumen, una clave tiene que tener una longitud suficiente, no excesiva, y debe poderse recordar fácilmente. Una clave del tipo /e$RT%”|2wDfS)f&¬ es excelente por su complejidad, pero no hay manera de aprendérsela.

10 mitos sobre las claves

Como complemento, os recomiendo la lectura de Ten Windows Password Myths, en el que veréis 10 aseveraciones sobre claves que no siempre se cumplen o son ciertas. Merece una lectura.

Fuente: http://www.sahw.com/wp/archivos/2007/11/15/como-elegir-nuestras-claves-adecuadamente/

Ver más

EVOLUCIÓN DE LAS TECNOLOGÍAS DE DETECCIÓN DE CÓDIGOS NOCIVOS
Autor: Alisa Shevchénko

En este artículo trataremos sólo de los diferentes métodos de identificación del código nocivo, de las conexiones funcionales y (en parte) cronológicas entre ellos, además de sus particularidades tecnológicas y de aplicación en condiciones reales. Por una parte, muchas de las tecnologías y principios que describiremos no solo tienen vigencia en los antivirus, sino también en el contexto más amplio de los sistemas de seguridad informática. Por otra parte, han quedado fuera del artículo muchas importantes tecnologías de la industria antivirus, como la descompresión de los programas comprimidos o la detección de firmas de programas nocivos en los flujos de datos.

La primera técnica de búsqueda de programas nocivos se basaba en el uso de firmas (a veces llamadas “signaturas”), es decir, sectores o secuencias del código que identifican de forma unívoca a un programa nocivo dado. A medida de que los virus iban evolucionando, también las tecnologías para detectarlos se desarrollaban y hacían más complicadas. Todas estas avanzadas tecnologías (diferentes tipos de “heurística” y “analizadores de conductas”) pueden recibir el nombre genérico de “no basadas en firmas”.

A pesar de que el título de este artículo abarca todo el espectro de tecnologías de detección de códigos nocivos, en él haremos hincapié en las tecnologías no basadas en firmas: sobre las tecnologías basadas en firmas ya no se puede decir casi nada debido a su primitivismo y unilateralidad. Al mismo tiempo, los usuarios no se orientan muy bien en las tecnologías no basadas en firmas. ¿Qué es lo que se esconde bajo los nombres “heurística”, “detección proactiva”, “detección de conductas”, “HIPS”? ¿De qué manera estas tecnologías se correlacionan entre sí, cuales son las ventajas y deficiencias de cada una? El propósito de este artículo es aclarar este tema. Un objetivo aparte de este artículo, al igual que del anterior “Evolución de la autodefensa de los programas nocivos” es el de sistematizar y analizar de la forma más objetiva posible algunos de los problemas inherentes al campo de los programas nocivos y de las formas de defenderse de ellos. Los artículos de ese ciclo están concebidos para los lectores que tienen un concepto general sobre las tecnologías antivirus, pero que no son especialistas en el campo de la protección contra los programas nocivos.

Un modelo de defensa contra los programas nocivos

Para empezar daremos un vistazo a la forma en que funcionan las tecnologías de detección de códigos nocivos. Propongo usar el siguiente modelo.

En cualquier tecnología de defensa es necesario destacar dos componentes: el técnico y el analítico. Estos componentes no tienen que estar claramente delimitados o diferenciados al nivel de los módulos o algoritmos, pero en el nivel funcional se puede apreciar su diferenciación.

El componente técnico es un conjunto de funciones y algoritmos de software que proporcionan datos al componente analítico para su examen. En calidad de datos para análisis pueden usarse, por ejemplo, el bytecode, secuencias de texto dentro del fichero, acciones aisladas del programa en el sistema operativo o series de tales operaciones.

El componente analítico es el sistema que toma las decisiones. Este es el algoritmo que analiza los datos que tiene en su poder y emite un juicio sobre los mismos. De conformidad con este juicio, el antivirus (u otro software de defensa) efectúa las acciones determinadas en su política de seguridad: notifica al usuario, le pide instrucciones, pone el fichero en cuarentena, bloquea las acciones no sancionadas del programa, etc.

Como ejemplo analizaremos la defensa clásica contra programas nocivos basada en la detección por firmas. Aquí, en calidad de componente técnico actúa el sistema de obtención de información sobre el sistema de ficheros, los ficheros y su contenido digital; Y como componente analítico, una simple operación de comparación de las secuencias de bytes. Es decir, si simplificamos un poco, a la entrada del componente analítico se pone el código del fichero y a la salida tenemos la resolución sobre si el fichero es nocivo.

En el marco del modelo descrito cualquier sistema de protección puede representarse como una "cifra compleja", una combinación de dos objetos independientes: el componente técnico y el componente analítico de tipos determinados. Analizando de esta forma la tecnología es fácil ver sus correlaciones, sus pros y contras fundamentales. Y, en particular, mediante este modelo es fácil resolver la confusión en determinadas tecnologías. Por ejemplo, más adelante demostraremos que la “heurística”, en cuanto forma de tomar decisiones, es sólo una variedad de componente analítico y no una tecnología independiente. Y el HIPS (Host Intrusion Prevention System, sistema de prevención de intrusiones) es sólo una modalidad del componente técnico, una forma de reunir datos. Como consecuencia, formalmente estos términos, en primer lugar no se contradicen, y en segundo, no caracterizan las tecnologías que describen: hablando de la heurística, no especificamos qué datos concretos son objeto del análisis heurístico, y al hablar del sistema HIPS no sabemos nada de cual es el principio de dicta el veredicto.

Estas tecnologías se discutirán en el capítulo correspondiente. Por ahora, analizaremos los principios en que se fundamenta cualquier tecnología de detección de códigos nocivos: los técnicos (como los medios de recolectar información) y los analíticos (como los métodos de procesarla).


(Pulsar para agrandar la figura)


El componente técnico

El componente técnico del sistema de detección de programas nocivos se ocupa de reunir los datos que se utilizarán para el análisis de la situación.

Un programa nocivo es, por una parte, un fichero con un determinado contenido; por otra parte es un conjunto de acciones que se efectúan en el sistema operativo; y en tercer lugar, el conjunto de efectos resultantes en el sistema operativo. Por esto, la identificación de estos programas puede hacerse a varios niveles: según las cadenas de bytes, según sus acciones, según sus efectos en el sistema operativo, etc.

Generalizando, se pueden aislar los siguientes métodos de recolección de datos para desenmascarar a los programas nocivos:

  1. tratar al fichero como un conjunto de bytes;
  2. emular1 el código del programa;
  3. ejecutar el programa en un “espacio aislado” (Sandbox2), utilizar tecnologías de virtualización similares;
  4. monitorizar los eventos del sistema;
  5. buscar anomalías en el sistema;

Hemos enumerado estos métodos según el nivel de abstracción durante su trabajo con el código. En este caso entiendo como nivel de abstracción el punto de vista con el que se analiza el programa ejecutable: como objeto digital primario (conjunto de bytes), como comportamiento (una consecuencia más abstracta del conjunto de bytes) o como un conjunto de efectos en el sistema operativo (una consecuencia más abstracta del comportamiento). El desarrollo de las tecnologías antivirus también siguió el mismo vector: primero el trabajo con ficheros, luego con eventos a través de ficheros, después con ficheros a través de eventos, a continuación el trabajo directo con el sistema operativo. Esta es la razón por la que la lista aducida aquí de forma natural tomó un orden cronológico.

Hago hincapié en que los métodos mencionados no son tanto tecnologías aisladas, sino más bien etapas convencionales del proceso ininterrumpido del desarrollo de las tecnologías de recolección de datos para la detección de programas nocivos. Las tecnologías se desarrollan para convertirse en otras y lo hacen de forma más o menos gradual. Por ejemplo, la emulación puede estar más cerca al punto (1) si su realización en un caso dado sólo transforma parcialmente el fichero como un conjunto de datos, o puede estar más cercana al punto (3) si se trata de una virtualización total del sistema de funciones.

Estudiaremos estos métodos de forma más detallada.

Lectura de ficheros

Los primeros antivirus se basaban en el análisis del código de los ficheros en cuanto conjunto de bytes. Pero no es muy apropiado llamar "análisis" a este proceso: se trata de una simple comparación de una sucesión de bytes con una firma conocida (que también es una sucesión de bytes). En este momento lo que nos interesa es el aspecto técnico de la tecnología descrita, a saber: durante el proceso de búsqueda de programas nocivos los datos que se transmiten al componente que tomará las decisiones se extraen de los ficheros y son un bloque de bytes ordenados de cierta forma.

La peculiaridad que tiene este método es que el antivirus trabaja sólo con el código de bytes original del programa, sin tocar su comportamiento. A pesar de que este método es arcaico, no ha caído en desuso y, de una forma u otra se usa en todos los antivirus modernos, pero ya no como método principal, sino como uno de varios.

Emulación

La tecnología de emulación es un escalón intermedio entre el procesamiento de un programa en cuanto conjunto de bytes y su procesamiento en cuanto secuencia de determinadas acciones.

El emulador divide el código de bytes del programa en instrucciones y ejecuta cada una de éstas en un ordenador virtual. Esto permite al programa de defensa observar el comportamiento del programa nocivo sin poner bajo peligro el sistema operativo y los datos del usuario, lo que inevitablemente ocurriría al ejecutar el programa nocivo en un sistema operativo real.

El emulador funciona como un estadio intermedio de abstracción durante el trabajo con el programa. Por esta razón, la particularidad determinante del emulador se podría formular a grandes rasgos de la siguiente manera: el objeto de trabajo del emulador sigue siendo el fichero, pero de hecho en éste se analizan eventos. Los emuladores se usan en muchos (quizás en todos) los grandes antivirus, sobre todo como complemento al motor de detección de nivel más bajo o como una forma de reforzar los motores de detección de nivel más alto (como el de "medio virtual" o la monitorización del sistema).

Virtualización: entornos virtuales

La virtualización usada en los “entornos virtuales” es la continuación lógica de la emulación. Es decir: el “entorno virtual” ya trabaja con un programa que se ejecuta en un medio real, pero todavía lo controla.

La esencia de esta virtualización se refleja muy bien en el nombre de la tecnología “sandbox” (medio virtual). En la vida real, el termino inglés “sandbox” es un espacio aislado donde lo niños pueden jugar sin peligro. Si hacemos una analogía y entendemos que el mundo real corresponde al sistema operativo y los traviesos niños al programa nocivo, entonces como “corralito” podríamos entender un conjunto de reglas de interrelación con el sistema operativo. Las reglas pueden prohibir la modificación del registro del SO o limitar las operaciones con el sistema operativo mediante su emulación parcial. Por ejemplo, al programa que se ejecute en el “medio virtual” se le puede “ofrecer” una copia virtual del registro del sistema, para que los cambios que el programa introduzca en el registro no puedan influir en el funcionamiento del sistema operativo. De esta manera se puede virtualizar cualquier punto de contacto del programa con el medio: el sistema de archivos, el registro, etc.

El límite entre la emulación y la virtualización es muy delgado, pero tangible. La primera tecnología brinda un medio para ejecutar programas y, de esta manera, durante su funcionamiento la contiene y controla completamente). En el segundo caso, el papel de medio lo cumple el sistema operativo en sí, y la tecnología sólo controla la interacción entre el sistema operativo y el programa. A diferencia de la emulación, la virtualización está en igualdad de condiciones con el programa que se ejecuta.

Así, el medio de defensa basado en una virtualización de este tipo trabaja ya no con el fichero, sino con el comportamiento del programa, pero todavía no con el sistema.

El mecanismo del “medio virtual”, al igual que el emulador, no se usa mucho en los antivirus, sobre todo porque su realización en software requiere de una gran cantidad de recursos. Los antivirus que contienen un “medio virtual” son fáciles de identificar por el retraso que provocan entre el lanzamiento del programa y el inicio de su ejecución (o en caso de detectarse un programa nocivo, entre su lanzamiento y la notificación que da el antivirus sobre la detección). Tomando en cuenta que en la actualidad se están efectuando activamente investigaciones en el campo de la virtualización hardware, la situación puede cambiar pronto.

Por el momento el motor de detección tipo “sandbox” se usa en sólo algunos antivirus.

Monitorización de los eventos del sistema

La monitorización de los eventos que ocurren en el sistema es un método más abstracto de recolección de información útil para la detección de los programas nocivos. Si el emulador o “sandbox” observan cada programa por separado, el monitor hace un seguimiento de todos los programas al mismo tiempo mediante la protocolización de todos los eventos que ocurren en el sistema operativo y que son provocados por los programas en funcionamiento.

Desde el punto de vista técnico, este método de recolección de información se realiza mediante la intercepción de las funciones del sistema operativo. De esta manera, al interceptar una llamada de alguna función del sistema, el mecanismo de intercepción recibe información de que un programa determinado ejecuta cierta acción en el sistema. Durante su trabajo, el monitor hace una estadística de estas acciones y las envía al componente analítico para su procesamiento.

Este principio tecnológico es el que se está desarrollando más activamente en el presente. Se lo utiliza como uno de los componentes en los grandes antivirus y como fundamento en los utilitarios que se especializan en la monitorización del sistema (denominados “utilitarios HIPS”, como Prevx, CyberHawk y otros más). Pero si se toma en cuenta que cualquier defensa es vulnerable, este método de búsqueda de programas nocivos no nos parece el más efectivo, ya que al ejecutar un programa en un entorno real, el riesgo reduce de forma sustancial la efectividad de la defensa.

Búsqueda de anomalías en el sistema

Este es el método más abstracto de recolección de información sobre un sistema que se supone infectado. Lo menciono aquí en primer lugar como continuación lógica y límite de abstracción en la lista de tecnologías.

Este método se basa en los siguientes supuestos:

  • el sistema operativo junto a los programas que se ejecutan en el mismo es un sistema integral;
  • le es inherente cierto “estado del sistema”;
  • si en este entorno se está ejecutando un código nocivo, el estado del sistema se considera “enfermo” y se diferencia del estado "saludable" de un sistema que no contiene código nocivo;

Partiendo de estos supuestos, podemos emitir un juicio sobre el estado del sistema (y, en consecuencia, sobre la posible presencia de programas nocivos), comparándolo con un patrón o analizando el conjunto de algunos de sus parámetros.

Para que la detección del código nocivo mediante el método de análisis de anomalías sea efectiva, es imprescindible contar con un sistema analítico bastante complejo, similar a los sistemas de expertos o a las redes neuronales. Surgen muchas preguntas: ¿cómo determinar el “estado saludable”?¿en qué se diferencia del “enfermo"?; ¿qué parámetros hay que observar y cómo analizarlos? Debido a estas dificultades, en la actualidad este método está poco desarrollado. Ciertos rudimentos del mismo se pueden observar en algunos utilitarios anti-rootkit, donde están plasmados al nivel de comparación con determinado "estado" del sistema que se toma como patrón (obsoletos en la actualidad como PatchFinder o Kaspersky Inpector), o con determinados parámetros (GMER, Rootkit Unhooker).

Una metáfora divertida

La analogía con el bebé que juega en un espacio aislado se puede continuar de la siguiente manera: el emulador se parece a una niñera que cuida constantemente al bebé, para que éste no cause desastres; el monitor del sistema es como un educador que vela por todo un grupo de niños; la búsqueda de anomalías en el sistema sería como conceder total libertad a los niños, con la única limitación impuesta por el control de sus calificaciones en su cuaderno de notas. En este caso el análisis de los bytes del fichero es similar a la "planificación" del bebé, es decir, la búsqueda de indicios que indiquen predisposición a las travesuras en el código genético de sus padres.

Al igual que los individuos, las tecnologías crecen y se desarrollan.

El componente analítico

El grado de refinamiento del algoritmo de toma de decisiones es una característica continua. Puede ser el que se quiera. Muy condicionalmente se pueden dividir los sistemas analíticos de los antivirus en tres categorías, entre las cuales puede haber muchas variantes intermedias.

Comparación simple

El veredicto se pronuncia según los resultados de la comparación de un objeto con el modelo de que se dispone. El resultado de la comparación es binario (“sí” o “no”). Ejemplo: identificación de un código nocivo según una secuencia determinada de bytes. Otro ejemplo, de nivel más alto: la identificación del comportamiento sospechoso del programa por un único criterio de las acciones que realiza (por ejemplo, escribir en un sector crítico del registro o en la carpeta de "Autoinicio").

Comparación compleja

El veredicto se pronuncia según los resultados de la comparación de uno o varios objetos con las muestras correspondientes. Los patrones de comportamiento pueden ser flexibles y el resultado de la comparación, probable. Ejemplo: la identificación del código nocivo según una de varias firmas de bytes, cada una de la cuales no es rigurosa (por ejemplo, no se han definido unívocamente determinados bytes). Otro ejemplo, de nivel más alto: la identificación del código nocivo según varias funciones API usadas o llamadas con determinados parámetros.

Sistema de expertos

El veredicto se emite como resultado de un delicado análisis de los datos. Este puede ser un sistema que contenga rudimentos de inteligencia artificial. Ejemplo: la identificación de un código nocivo no se realiza según un conjunto establecido de parámetros, sino por el resultado de la apreciación multilateral de los parámetros en general, asignando a cada uno de los eventos cierto peso de “nocividad potencial” y con el cálculo del resultado final.


Los nombres reales de las tecnologías: qué es qué

Veremos ahora cuales son los algoritmos precisos que fundamentan las diversas tecnologías de detección de programas nocivos.

Por lo general, la compañía que inventa una nueva tecnología, le da un nombre del todo nuevo y único (ejemplos: “Defensa proactiva” en Kaspersky Antivirus, “TruPrevent” de Panda, DeepGuard de F-Secure). Este es un enfoque correcto, ya que permite evitar que la tecnología se perciba automáticamente dentro del reducido marco de un término estereotipado. Pero de todas formas, el uso de términos como “heurística”, “emulación”, “sandbox”, “bloqueador de comportamientos" es inevitable al intentar describir la tecnología de una forma accesible y sin entrar en detalles técnicos.

Y es aquí dónde empieza la confusión terminológica. Los términos no tienen un significado único, mientras que lo ideal sería que lo tuviera. Una persona entiende el término de una manera, otra lo entiende de otra. Además, los significados que los autores de las “descripciones accesibles” le dan a los términos con frecuencia suelen ser sustancialmente diferentes a lo que sobreentienden los profesionales. De otra manera sería difícil explicar que la descripción de la tecnología en el sitio del fabricante puede ser muy generosa en términos y al mismo tiempo no decir nada sobre la esencia de la tecnología o quizás comunicar algo que nada tiene que ver.

Por ejemplo, algunos fabricantes de productos antivirus afirman que sus productos constan de HIPS, “tecnología proactiva” o “tecnología no basada en firmas”. El usuario que entiende el HIPS como la monitorización de los eventos del sistema y su análisis para detectar códigos nocivos puede resultar engañado. En realidad, bajo estas características puede estar cualquier cosa, por ejemplo, un motor de detección tipo “emulador” provisto de un sistema analítico tipo “heurística” (ver la descripción más abajo). Es aún más común toparse con la situación cuando la defensa se caracteriza como “heurística” sin dar más detalles.

Pongo énfasis en que no me estoy refiriendo a los casos en que se engaña deliberadamente al usuario. Lo más probable es que el autor de la descripción se haya embrollado con los términos. Digo más bien que la descripción de la tecnología destinada al usuario final puede no reflejar su esencia y que hay que tener cuidado al basarse en ésta al elegir la protección.

Veamos los términos más comunes en el campo de las tecnologías antivirus. (ver fig. 1)

El término “detección según firmas” es el que genera menos confusión: de una forma u otra, desde el punto de vista técnico supone el trabajo con el código en bytes de los ficheros, y desde el analítico, una forma primitiva de procesar datos, por lo general, una simple comparación. Esta es la tecnología más antigua, pero también la más segura. Por esto, a pesar de los grandes gastos de producción que supone tener al día las bases de datos, se usa activamente hasta hoy en todos los antivirus.

Si en la descripción se usa el nombre del componente técnico de la lista anterior, “emulador” o “sandbox” también genera pocas interpretaciones divergentes. Al mismo tiempo, el componente analítico de esta tecnología puede estar representado por un algoritmo de cualquier nivel de complejidad, desde una simple comparación hasta un sistema de expertos.

El término “heurística” ya es un poco más confuso. Según la definición del diccionario de Ozhogov-Shvedskoy, “heurística es el conjunto de métodos de investigación que promueven el descubrimiento de algo desconocido con anterioridad”. La heurística es, en primer lugar, un tipo de componente analítico de defensa, y no una tecnología determinada. Fuera del tema concreto, en el contexto de solución de problemas, este tipo de componente analítico corresponde al método de solución “difusa” (fuzzy) de tareas planteadas de manera poco clara.

En los albores de las tecnologías antivirus, cuando por vez primera se utilizó el término “heurística”, éste designaba una tecnología claramente definida: la identificación del virus por varios patrones flexibles de bytes, es decir, un sistema que constaba de un componente técnico del tipo (1) "trabajo con ficheros" y analítico (2) "comparación compleja". Hoy en día el término "heurística" por lo común se usa en un sentido más amplio de "tecnología de búsqueda de programas nocivos". En otras palabras, al hablar de la “detección heurística”, el fabricante sobreentiende cierto sistema de protección cuyo componente analítico funciona bajo el principio de búsqueda "difusa" de la solución (lo que puede corresponder al tipo 2 de componente analítico (análisis complejo) o 3 (sistema de expertos). Al mismo tiempo, el fundamento tecnológico de la defensa, el método de recolección de la información para su posterior análisis puede ser cualquiera, desde el trabajo con ficheros hasta el trabajo con eventos o estados del sistema operativo.

Hay aún menos certidumbre con nombre como "detección de comportamientos" y "detección proactiva". Estos términos pueden referirse a un amplio espectro de tecnologías, desde la heurística hasta la monitorización de los eventos del sistema.

El término HIPS se usa en las descripciones de las tecnologías antivirus con mucha frecuencia, pero no siempre este uso es justificado. A pesar de que el desciframiento de la abreviatura (Host Intrusion Prevention System) no refleja de ninguna manera la esencia de la tecnología, en lo que se refiere a la tecnología de defensa antivirus tiene un significado estricto: HIPS es una defensa que tiene su fundamento técnico en la monitorización de los eventos del sistema. El componente analítico de la defensa puede ser cualquiera, desde la represión de eventos sospechosos particulares hasta el análisis compuesto de una serie concatenada de acciones del programa. De esta manera, HIPS en la descripción de un antivirus puede significar, por ejemplo, una defensa primitiva de varias llaves del registro o un sistema de notificaciones sobre los intentos de obtener acceso a determinados directorios, o un sistema más complejo de análisis del comportamiento de los programas, o alguna tecnología basada en la monitorización de los eventos del sistema.


Los pros y contras de la detección del código nocivo

Si consideramos las tecnologías de defensa contra programas nocivos no por separado, sino generalizando, desde el punto de vista del modelo presentado vemos el siguiente cuadro:

El componente técnico de la tecnología es ante todo responsable de características como la carga sobre el sistema (y sus consecuencias sobre su productividad) y todos los aspectos de la seguridad y el nivel de protección.

La carga sobre el sistema es la parte del tiempo de procesador y RAM que se usa constante o periódicamente para garantizar la defensa y que al mismo tiempo ralentizan el sistema. La emulación es lenta en ejecutarse, no importa cual sea su realización: cada instrucción emulada requiere de varias instrucciones del entorno artificial. Lo mismo pasa con la virtualización. La monitorización de los eventos del sistema también hace más lento todo el sistema, pero el grado de esta carga depende de su realización. En el caso de la detección de los ficheros y la búsqueda de anomalías del sistema, el grado de carga depende completamente de su realización.

Bajo el término de “seguridad” se sobreentiende el grado de riesgo a que se someten el sistema operativo y los datos del usuario durante el proceso de identificación del código potencialmente peligroso. Este riesgo existe siempre que el código nocivo se ejecuta directamente en el sistema operativo. Esta ejecución está condicionada por la arquitectura del sistema de monitorización, mientras que la emulación y el análisis de los ficheros pueden desenmascarar el código nocivo antes de que empiece a ejecutarse.

Nivel de seguridad. Este parámetro refleja la vulnerabilidad de la tecnología, es decir, en qué grado el código nocivo puede dificultar su propia detección. Es muy fácil engañar el análisis de ficheros: basta con empaquetar bien el fichero, hacer un código polimórfico o utilizar tecnologías rootkit para ocultar los ficheros nocivos. Es un poco más difícil resistir la emulación, pero es posible hacerlo usando una gran cantidad de trucos3 incorporados en el código del programa nocivo. Pero es mucho más difícil esconderse de la monitorización del sistema, por que es prácticamente imposible ocultar el comportamiento de los programas nocivos.

Resumiendo: en general, mientras menos abstracta sea la defensa, más segura será, pero también será más fácil evadirla.

El aspecto analítico de la tecnología es responsable de características como la proactividad (y la necesidad de las correspondientes actualizaciones frecuentes), el porcentaje de falsos positivos y la carga sobre el usuario.

Como "proactividad" se entiende la capacidad de la tecnología de detectar nuevos programas nocivos que todavía no han caído en manos de los especialistas. Por ejemplo, el tipo más sencillo de análisis (la “simple comparación”) corresponde a la tecnología que está mas lejos de las tecnologías proactivas, como la detección por medio de firmas: mediante estas tecnologías se pueden descubrir sólo los programas nocivos conocidos. A medida que crece la complejidad de un sistema analítico, crece también su proactividad. La frecuencia de las actualizaciones de las bases antivirus está directamente entrelazada con la proactividad. Por ejemplo, las bases de firmas (o signaturas) hay que renovarlas constantemente, mientras que los sistemas heurísticos más complicados tienen una vigencia más larga y los sistemas analíticos de expertos pueden funcionar con éxito durante meses.

El porcentaje de falsos positivos también está directamente relacionado con la complejidad de la tecnología de análisis. Si el código nocivo se identifica rigurosamente según una firma determinada o una concatenación de acciones (de bytes, de conductas o de otro tipo), esta identificación es unívoca: la firma identifica sólo un programa nocivo y no sirve para identificar otros. Pero mientras más “víctimas” trata de interceptar el algoritmo de identificación, más

difuso se torna y como consecuencia puede interceptar más programas que no representan peligro.

El concepto “carga sobre el usuario” presupone su grado de participación en la formación de la política de defensa (reglas, excepciones, listas blancas y negras) y su intervención en el proceso de emisión del veredicto: confirmar o declinar las "sospechas" del sistema analítico. La carga sobre el usuario depende de la forma en que el sistema haya sido plasmado. Pero como regla, mientras más se aleja de la comparación primitiva, hay más falsos positivos que corregir. Y para esto es necesario que el usuario tome cartas en el asunto.

Resumiendo: mientras más complejo sea el sistema analítico, más poderoso será, pero también será mayor el número de falsos positivos. Estos últimos se compensan con la mediación del usuario.

Ahora, si analizamos una tecnología a través del prisma de este modelo, nos resulta fácil valorar teóricamente sus virtudes y defectos. Veamos lo que pasa, por ejemplo, con un emulador con un componente analítico complejo. Esta defensa es muy segura (ya que no es necesario ejecutar el fichero que se está analizando), pero "deja pasar" cierto porcentaje de programas nocivos gracias a trucos antiemulador o debido a las inevitables fallas en la realización del emulador en sí. Es una defensa que tiene un gran potencial y que si es bien implementada puede detectar correctamente un gran porcentaje de programas nocivos desconocidos, pero lo hará de una forma inevitablemente lenta.


¿Cómo escoger un sistema de defensa no basado en firmas?

En la actualidad la mayor parte de las soluciones en el campo de la seguridad informática se implementan como un complejo de varias tecnologías. En los antivirus clásicos, la detección por firmas se usa en conjunto con una u otra realización de la monitorización de los eventos del sistema, emulador o “sandbox”. ¿Como orientarse en las especificaciones y escoger un sistema de defensa contra programas nocivos que responda de forma óptima a las necesidades de un usuario particular?

Ante todo, hay que tener en mente que no existe una solución universal ni una que sea "la mejor". Cada tecnología tiene sus pros y contras. Por ejemplo, la monitorización de los eventos del sistema ocupa constantemente el tiempo de procesador, pero es el método más difícil de evadir; el proceso de emulación se puede violar usando ciertas instrucciones en el código, pero la emulación permite detectar el código nocivo en régimen preventivo, sin que el sistema sea afectado. Otro ejemplo: las reglas simples de toma de decisión exigen que el usuario tenga una participación demasiado activa en el proceso, generando demasiadas preguntas al usuario, mientras que las reglas complejas y “silenciosas” pueden provocar falsos positivos. La elección de la tecnología es la búsqueda del justo término medio que tome en cuenta las necesidades y circunstancias precisas.

Por ejemplo, a aquél que trabaja en condiciones vulnerables (sistema sin parches, ausencia de limitaciones de uso de las extensiones, scripts, etc. del navegador), está muy preocupado por su seguridad y tiene recursos suficientes, le conviene un sistema de tipo “sandbox”, con un componente analítico de alta calidad. Este sistema brindará un máximo de seguridad, pero en las realizaciones actuales, usará mucha RAM y tiempo del procesador, lo que podría hacer más lento el sistema operativo. Un especialista que quiere controlar los eventos críticos del sistema y al mismo tiempo protegerse de los programas nocivos desconocidos, preferirá un sistema de monitorización en tiempo real. Este sistema supone una carga uniforme pero no considerable para el sistema operativo y exige que el usuario se involucre en la creación de reglas y excepciones. Y el usuario que tiene recursos limitados o no puede cargar su equipo con una monitorización constante, ni su mente con la creación de reglas, dará prioridad a la heurística simple. A fin de cuentas, la calidad de detección de programas nocivos desconocidos no depende de sólo uno de los componentes del sistema de defensa, sino de todo el sistema en general; un método tecnológico más sencillo se puede compensar con un módulo de toma de decisiones más sofisticado.

Los sistemas de detección no basada en firmas de códigos desconocidos se dividen en dos categorías. La primera son los sistemas HIPS independientes, tales como los ya mencionados Prevx o Cyberhawk. La segunda está conformada por los grandes antivirus que han evolucionado hasta las tecnologías no basadas en firmas en busca de más efectividad. Las ventajas de una u otra categoría son evidentes: en el primer caso tenemos una estricta especialización, en cuyo marco se puede perfeccionar sin límites la calidad; en el segundo caso tenemos una experiencia considerable de lucha contra los programas nocivos.

Para escoger uno u otro producto recomendamos guiarse en primer lugar por sus impresiones personales y por pruebas independientes.


Enlaces

Pruebas independientes de antivirus:

Pruebas independientes de sistemas HIPS:



1 Emulación: imitación del funcionamiento de un sistema ejecutado con los medios de otro sistema sin pérdida de las posibilidades funcionales y sin deformación de los resultados. La emulación se ejecuta por medios de hardware o de software.

2 Sandbox (del inglés): entorno para la ejecución segura de programas que consiste en la limitación parcial o total o la emulación de los recursos del sistema operativo. Ver también: http://en.wikipedia.org/wiki/Sandbox.

3 Los métodos para evadir la emulación se basan en que el emulador reacciona de diferente manera que el procesador ante ciertas instrucciones. Esto permite al programa nocivo detectar la emulación y ejecutar determinadas acciones, por ejemplo, dejar de funcionar o ejecutarse según un algoritmo alternativo.

Fuente: http://www.kaspersky.com

Ver más

SITIOS PELIGROSOS APROVECHAN DIRECCIONES WEB MAL ESCRITAS
McAfee dio a conocer un informe de investigación que destaca una práctica cibernética peligrosa conocida como typo-squatting (aprovechamiento deliberado de errores tipográficos con fines engañosos), en donde explica cómo se registran dominios usando errores tipográficos comunes de marcas populares, productos y personas, a fin de redireccionar a los usuarios a sitios Web alternativos.

El informe "What's In A Name: The State of Typo-Squatting 2007", expone que los sitios que se ejecutan por error tipográfico generan ingresos por publicidad al hacer clic sobre ellos, atraen a usuarios confiados hacia fraudes electrónicos y recopilan direcciones de correo electrónico para “saturarlos" con correos electrónicos no deseados. Con el objetivo de cuantificar el alcance del estudio, McAfee revisó 1.9 millones de variaciones de 2,771 de los nombres de dominio más populares.
"Esta práctica lleva a los usuarios a sitios que no tenían intenciones de visitar y perjudica a las empresas legítimas", comentó Jeff Green, Vicepresidente Senior de McAfee Avert Labs y Desarrollo de Productos. "El typo-squatting conduce a fraudes electrónicos y a ofertas como ‘hágase rico fácilmente’ y otros riesgos".

El iPhone es citado en el estudio como un ejemplo reciente de typo-squatting, en donde menciona que pese haber salido al mercado hace solo unos meses es probable que a finales de este año haya por lo menos 8,000 URL’s (direcciones Web) usando la palabra “iPhone", en donde la mayoría de éstos no tienen relación con Apple, mientras que otros serán sitios de fanáticos, de rumores y serán ejecutados por hackers y delincuentes cibernéticos como scammers.

El estudio destaca que el typo-squatting no es un fenómeno nuevo. Los casos de ciber-squatting presentados al sistema de arbitraje de World Intellectual Property Organization aumentaron 20% en 2005, 25% en 2006 y sigue incrementándose. A este crecimiento está contribuyendo la emergencia de nuevos dominios de alto nivel, herramientas de registro automático y la proliferación de sitios de portales de llegada que facilitan la generación de ingresos por clic desde sitios con typo-squattering.

Fuente:
http://diarioti.com/gate/n.php?id=15897
http://us.mcafee.com/root/identitytheft.asp?id=safe_typo

Ver más

lunes, 19 de noviembre de 2007

SITIOS MIERDA PARA MENORES DE EDAD
Nota: las foto aquí expuestas pueden afectar su sensibilidad.

El tema de la privacidad es tratado a menudo en Segu-Info pero cuando la misma invocra menores sitios como los mostrados a continuación comienzan a dar asco y también me planteo si Ud., el padre de esos menores, sabe en donde navegan sus hijos y con quienes se relaciona en el mundo virtual.

El sitio mostrado a continuación me llega a través de una denuncia realizada por una persona que dice "no tener a donde recurrir". Lamentablemente este tipo de sitos mierda son comunes en Internet y la responsabilidad también es nuestra.

El sitio se trata de un "encuentro virtual luego del colegio", para que cualquier "estudiante" pueda dejar sus comentarios y fotos del colegio al que asiste. El mismo ha sido creado por un "grupo de emprendedores" que quieren "colaborar con la educación":
Luego de tener claro que este sitio, registrado en EE.UU., no tiene nada malo podemos registrarnosy leer los Terminos y Condiciones, que son clarísimos con respecto a la edad de las personas que pueden participar:

Si, 13 años parece una edad razonable para realizar este tipo de mierda.

Luego del registro, se nos pide ingresar nuestra foto o bien a dejar un mensaje. Recordemos que estamos hablando de "mayores de 13 años" que asisten al colegio.

También podemos ver las últimas fotos subidas por alguno de estos "mayores":

Evidentemente este "mayor" ya no asiste a algún colegio (o tal vez sí) pero allí esta su foto para quien quiera contactarl@. ¿Ud. sabe donde navega su hijo y donde deja sus fotos?

Menos mal que los Términos y condiciones decían claramente que esto no podía hacerse:
Sí, ahora me queda claro.

Luego de elegido cualquier colegio por supuesto podemos ver las fotos subidas por sus integrantes y leer los comentarios vertidos sobre ellas:
Y claro, dos chicas no podían estar ausentes, al igual que datos privados como teléfonos y otras formas de contacto:

Y, como no podía ser de otra forma, también podemos asistir a disputas verbales entre los colegios y sus estudiantes:
¿Internet es una basura?. No, Internet es un medio de comunicación que puede ser utilizado para comunicar esta mierda.

Y Ud. ¿Sabe donde navega y donde deja sus datos su hijo?

cfb
Fuente: http://www.segu-info.com.ar

Ver más