23 de mayo de 2007

7. Técnicas de los Antivirus

A medida que evolucionan las técnicas empleadas por los virus y éstas son investigadas, los programas antivirus incorporan medidas de búsqueda de virus y protección más avanzadas como las siguientes:

· Búsqueda de cadenas: Cada uno de los virus contiene determinadas cadenas de caracteres que le identifican. Estas son las denominadas firmas del virus. Los programas antivirus incorporan un fichero denominado "fichero de firmas de virus" en el que guardan todas las cadenas correspondientes a cada uno de los virus que detecta. De esta forma, para encontrarlos, se analizarán todos los ficheros especificados comprobando si alguno de ellos las contiene. Si un fichero no contiene ninguna de estas cadenas, se considera limpio, mientras que si el programa antivirus la detecta en el interior del fichero avisará acerca de la posibilidad de que éste se encuentre infectado.

· Excepciones: Una alternativa a la búsqueda de cadenas es la búsqueda de excepciones. Cuando un virus utiliza una determinada cadena para realizar una infección pero en la siguiente emplea otra distinta, es difícil detectarlo mediante la búsqueda de cadenas. En ese caso lo que el programa antivirus consigue es realizar la búsqueda concreta de un determinado virus.

· Análisis heurístico: Cuando no existe información que permita la detección de un nuevo o posible virus desconocido, se utiliza esta técnica. Se caracteriza por analizar los ficheros obteniendo información sobre cada uno de ellos (tamaño, fecha y hora de creación, posibilidad de colocarse en memoria,...etc.). Esta información es contrastada por el programa antivirus, quien decide si puede tratarse de un virus, o no.

· Protección permanente: Durante todo el tiempo que el ordenador permanezca encendido, el programa antivirus se encargará de analizar todos los ficheros implicados en determinadas operaciones. Cuando éstos se copian, se abren, se cierran, se ejecutan,...etc., el antivirus los analiza. En caso de haberse detectado un virus se muestra un aviso en el que se permiten la desinfección. Si no se encuentra nada extraño, el proceso recién analizado continúa.

· Vacunación: Mediante esta técnica, el programa antivirus almacena información sobre cada uno de los ficheros. En caso de haberse detectado algún cambio entre la información guardada y la información actual del fichero, el antivirus avisa de lo ocurrido. Existen dos tipos de vacunaciones: Interna (la información se guarda dentro del propio fichero, de tal forma que al ejecutarse él mismo comprueba si ha sufrido algún cambio) y Externa (la información que guarda en un fichero especial y desde él se contrasta la información).

6. Ubicación de los virus

Un virus utiliza sus propias medidas de ocultamiento, pudiendo "esconderse" en diferentes lugares. Algunos de ellos podrían ser los siguientes:

· En memoria principal: En este caso el virus se colocará automáticamente en la memoria principal (memoria RAM) esperando que se ejecute algún programa (fichero con extensión EXE o COM) para infectarlo. Ese tipo de virus, se denomina residente.

· Documentos con macros: Por regla general, los ficheros que no sean programas, no son infectados por ningún tipo de virus. Sin embargo, existen determinados tipos de documentos (ficheros o archivos) con los que el usuario puede trabajar, o que puede crear, que permiten incluir en ellos lo que se denomina macro. Una macro es un conjunto de instrucciones o acciones que otro programa puede llevar a cabo. Pues bien, estas macros pueden formar parte del documento (texto, hoja de cálculo o base de datos) y por tratarse de programas pueden ser infectados por los virus (virus de macro).

· Sector de arranque (Boot y Master Boot): El sector de arranque es una sección concreta de un disco (disquete o disco duro) en la que se guarda la información sobre las características de disco y sobre el contenido del mismo. Cuando hablamos del sector de arranque de un disquete utilizamos el término BOOT, mientras que si se trata del sector de arranque de un disco duro, emplearemos el término Master BOOT (MBR). En ocasiones, esta sección de un disco contiene un programa que permite arrancar el ordenador. Algunos virus (los virus de Boot) se esconden en este lugar infectando ese programa y haciendo, en el arranque del ordenador, que se ejecute el virus.

· Ficheros adjuntos a los mensajes de correo electrónico: Cada vez más se utiliza el correo electrónico para el envío de ficheros. Estos ficheros acompañan al mensaje (ficheros adjuntos, anexos o attachments) de texto que se envía, pudiendo estar infectados. Generalmente, al recibirlos, el destinatario no sospecha que el fichero recibido puede contener un virus o serlo, pero al abrir el mensaje y posteriormente abrir el fichero que dentro de él se incluye podría llevarse una sorpresa desagradable.

· Páginas Web en Internet: Las páginas que se visitan a través de la navegación por Internet, son ficheros que por regla general no deberían estar infectados ya que se trata de documentos de texto (texto, imágenes, sonido). Sin embargo éstas pueden incluir otros elementos denominados Applets de Java o Contrloes ActiveX. Estos son programas que dotan a la página Web de mayor dinamismo, presentaciones y en definitiva, posibilidades. Por tratarse de programas pueden estar infectados e infectar al usuario que visita la página que los contiene.

5. Técnicas de infección

Cada uno de los miles de virus existentes utiliza diferentes mecanismos, tanto para realizar la infección como para ocultarse y pasar desapercibido. Estas técnicas evolucionan con el tiempo, como las técnicas utilizadas por los programas antivirus para detectarlos. En esta sección presentamos los mecanismos utilizados por los virus:

· Ocultamiento (Stealth): Los virus que utilizan esta técnica intentan pasar desapercibidos ante los ojos del usuario, no levantando ninguna sospecha sobre la infección que ya ha tenido lugar. Los virus residentes son los que más la utilizan, aunque no es exclusivamente este tipo de virus quienes la aplican.

Cuando un virus infecta un determinado fichero, suele dejar signos evidentes de su actuación, como los siguientes: aumento de tamaño en el fichero infectado, modificación de la fecha y hora de creación en el fichero infectado, secciones marcadas como defectuosas, disminución de la capacidad en la memoria, ...etc. El virus se encargará de que cada una de estas pistas no puedan ser visualizadas. Para ello vigilará peticiones de información que requiere el sistema operativo acerca de estas características, interceptándolas y ofreciendo un información falseada e irreal.

· Sobrepasamiento (Tunneling): Se trata de una técnica especialmente diseñada para imposibilitar la protección antivirus en cualquier momento. Mientras el análisis permanente, o residente, del programa antivirus que se encuentre instalado intenta realizar detecciones, el virus actúa en su contra. Todas las operaciones que se realizan sobre cualquiera de los archivos son inspeccionadas por el antivirus mediante la interceptación de las acciones que el sistema operativo lleva a cabo para hacerlas posible. De la misma manera, el virus interceptará estas peticiones o servicios del sistema operativo, obteniendo las direcciones de memoria en las que se encuentran. Así el antivirus no detectará la presencia del virus. No obstante, existen técnicas antivirus alternativas que permiten la detección de virus que realicen este tipo de operaciones.

· Autoencriptación: Los programas antivirus se encargan de buscar determinadas cadenas de caracteres (lo que se denomina la firma del virus) propias de cada uno de los posibles virus. Estos, por su parte y mediante la técnica de autoencriptación, infectarán de forma diferente en cada ocasión. Esto significa que el virus utilizará una cadena concreta para realizar una infección, mientras que en la siguiente infección utilizará otra distinta. Por otro lado, el virus codifica o cifra sus cadenas para que al antivirus le sea difícil encontrarlo. Sin embargo, los virus que utilizan este tipo de técnicas, emplean siempre la misma rutina o algoritmo de encriptación, con lo que es posible su detección.

· Polimorfismo: Basándose en la técnica de autoencriptación, el virus se codifica o cifra de manera diferente en cada infección que realiza (su firma variará de una infección a otra). Si sólo fuese así estaríamos hablando de un virus que utiliza la encriptación, pero adicionalmente el virus cifrará también el modo (rutina o algoritmo) mediante el cual realiza el cifrado de su firma. Todo esto hace posible que el virus cree ejemplares de sí mismo diferentes de una infección a la siguiente, cambiando de "forma" en cada una de ellas. Para su detección, los programas antivirus emplean técnicas de simulación de descifrado.

· Armouring: Mediante esta técnica el virus impide ser examinado. Para conocer más datos sobre cada uno de ellos, éstos son abiertos como ficheros que son, utilizando programas especiales (Debugger) que permiten descubrir cada una de las líneas del código (lenguaje de programación en el que están escritos). Pues bien, en un virus que utilice la técnica de Armouring no se podrá leer el código.

4. Tipos de Virus

Los diferentes virus que existen se pueden clasificar dependiendo del medio a través del cual realizan su infección y las técnicas utilizadas para realizarla.

· Virus de Fichero: Este tipo de virus se encarga de infectar programas o ficheros ejecutables (archivos con extensiones EXE o COM). Al realizar la ejecución de uno de estos programas, de forma directa o indirecta, el virus se activa produciendo los efectos dañinos que le caractericen en cada caso. La mayoría de los virus existentes son de este tipo, pudiéndose clasificar cada uno de ellos en función de su modo de actuación.

· Virus Residentes: Cuando se ponen en marcha, la primera acción que realizan consiste en comprobar si se cumplen todas las condiciones para atacar (fecha, hora,... etc.). De no ser así, se colocan en una zona de la memoria principal, esperando que se ejecute algún programa. Si en alguna de las operaciones que realiza el sistema operativo se trabajase con un fichero ejecutable (programa) no infectado el virus lo infectará. Para ello, el virus se añadirá al programa que infecta, añadiendo su código al propio código del fichero ejecutable (programa).

· Virus de Acción Directa: En el momento de su ejecución, el virus trata de replicarse a sí mismo. Esto implica que creará copias de sí mismo. Cumpliéndose unas determinadas condiciones, propias en cada caso, se activará pasando a realizar infecciones dentro del directorio o carpeta en el que nos encontremos y dentro de los directorios que se encuentran especificados en la línea PATH (camino o ruta de directorios) dentro del fichero AUTOEXEC.BAT (este fichero se encuentra siempre en la raíz del disco duro, siendo un fichero de proceso por lotes que realiza ciertas operaciones cuando se enciende el ordenador). Es posible llevar a cabo la desinfección, de los ficheros afectados por el virus, dejándolos en un estado correcto.

· Virus de Sobreescritura: Este tipo de virus se caracteriza por no respetar la información contenida en los ficheros que infecta, haciendo que estos queden inservibles posteriormente. Pueden encontrarse virus de sobreescritura que además son residentes y otros que no lo son. Aunque la desinfección es posible, no existe posibilidad de recuperar los ficheros infectados, siendo la única alternativa posible la eliminación de éstos.

· Virus de Compañía: Para efectuar sus operaciones de infección, los virus de compañía pueden esperar en la memoria hasta que se lleve a cabo la ejecución de algún programa (virus residentes) o actuar directamente haciendo copias de sí mismos (virus de acción directa).

· Virus de Boot: El término Boot o Boot Sector representa lo que también se denomina "sector de arranque". Se trata de una sección muy importante en un disco (disquete o disco duro), en la cual se guarda la información sobre las características de ese disco, además de incluir un programa que permite arrancar el ordenador con ese disco, determinando previamente si existe sistema operativo en el mismo.

· Virus de Macro: Los virus de macro realizan infecciones sobre los ficheros que se han creado con determinadas aplicaciones o programas como documentos de texto, bases de datos, hojas de cálculo,...etc. Cada uno de estos tipos de ficheros puede tener adicionalmente unos pequeños programas, denominados macros. Pues bien, estas macros son susceptibles de infección, lo que significa que los virus (más concretamente los de macro) pueden fijar sus objetivos de infección en ellas..

· Virus de enlace o de directorio: El sistema informático debe conocer en todo momento información sobre un determinado fichero, nombre que tiene y el lugar (carpeta o directorio) en el que se encuentra (en el que se ha guardado) asignado para ello le asignará una dirección a la que se debería acceder en caso de desear utilizar ese determinado fichero.

Los virus de enlace o directorio se encargan de alterar estas direcciones para provocar la infección de un determinado fichero

3. Virus Informáticos

¿Qué son los virus?:

Son programas que se introducen en nuestros ordenadores de formas muy diversas. Este tipo de programas son especiales ya que pueden producir efectos no deseados y nocivos. Una vez el virus se haya introducido en el ordenador, se colocará en lugares donde el usuario pueda ejecutarlos de manera no intencionada. Hasta que no se ejecuta el programa infectado o se cumple una determinada condición, el virus no actúa. Incluso en algunas ocasiones, los efectos producidos por éste, se aprecian tiempo después de su ejecución (payload).

¿Qué elementos infectan los virus?

El objetivo primordial de los virus son los ficheros que se encuentran en un medio de almacenamiento como los discos duros o disquetes. Más concretamente serán infectados todos aquellos archivos, ficheros o documentos (los tres términos indican el mismo concepto, en general) que tengan la característica de ser programas. Un programa no es más que un fichero cuya extensión es EXE o COM, que se puede ejecutar para que realice determinadas operaciones.

También existen virus que se encargan de infectar ficheros que no son programas. No obstante, estos ficheros contendrán elementos, denominados macros, incluidos en ellos. Estas macros son programas que el usuario puede incluir dentro de un determinado tipo de archivos.

Otro de los objetivos fijados por los virus para sus ataques suelen ser los propios medios de almacenamiento. De esta forma, atacando a los lugares en los que se guardan ficheros, el daño provocado afectará a toda la información contenida en ellos.

Medios de entrada más habituales para los virus

La primera pregunta que debemos plantearnos es a través de que medios un virus puede atacar o introducirse en nuestro ordenador. Si conocemos perfectamente la respuesta, seremos capaces de proteger esas posibles vías de entrada para impedir posteriores infecciones. Los virus utilizan los siguientes medios para ello:

· Unidades de disco extraibles: las unidades de disco son aquellos medios de almacenamiento en los que se guarda información, mediante ficheros, documentos o archivos. Con ellos se puede trabajar en un ordenador para, posteriormente, utilizarlos en otro diferente. Algunos de estos medios de almacenamiento pueden ser los disquetes, CD-ROMs, unidades Zip y Unidades Jazz. Estos dos últimos tipos no son más que unos discos especiales con mayor capacidad que los disquetes. Si alguno de ellos se encontrase infectado y trabajásemos con él en un ordenador, éste será infectado.

· Redes de ordenadores: Una red es un conjunto o sistema de ordenadores conectados entre sí físicamente, para facilitar el trabajo de varios usuarios. Esto quiere decir que existen conexiones entre cualquiera de los ordenadores que forman parte de la red, pudiendo transferirse información entre ellos. Si alguna de esta información transmitida de un ordenador a otro estuviese infectada, el ordenador en el que se recibe será infectado.

· Internet: Cada día más se utilizan las posibilidades que brinda Internet para obtener información, realizar envíos y recepciones de ficheros, recibir y publicar noticias, o descargar ficheros. Todas estas operaciones se basan en la transferencia de información, así como en la conexión de diferentes ordenadores en cualquier parte del mundo. Por tanto, cualquier virus puede introducirse en nuestro ordenador al mismo tiempo que la información recibida. A través de Internet la infección podría realizarse empleando diferentes caminos como los siguientes:

o Correo electrónico: En un mensaje enviado o recibido se pueden incluir documentos o ficheros (fichero adjunto o anexado, "attached"). Estos ficheros podrían estar infectados, contagiando al ordenador destinatario.

o Páginas Web:Las páginas que visitamos en Internet son ficheros de texto o imágenes escritos en un lenguaje denominado HTML. No obstante también pueden contener programas denominados Controles ActiveX y Applets de Java que son programas. Estos sí pueden estar infectados y podrían infectar al usuario que se encuentre visitando esa página.

2. Normas de prevención

El catálogo de normas puede resumirse en las siguientes:

  • 1.- Instale un cortafuegos: un cortafuegos o 'firewall' es un software destinado a garantizar la seguridad en sus comunicaciones vía Internet. El cortafuegos bloquea las entradas sin autorización a su ordenador y restringe la salida de información. Instale un software de este tipo antes de conectar su equipo a Internet o a otras redes.
  • 2.- Use el Antivirus: antes de conectar su ordenador a Internet, compruebe que cuenta con un antivirus instalado. Este antivirus puede estar incluido en las aplicaciones propias de su PC, o ser un servicio más de su proveedor de Internet.
  • 3.- Haga copias de seguridad. Es la medida más sensata para asegurarse que no pierde información que pueda verse afectada por algún virus.
  • 4.- Actualice su sistema operativo y el software: compruebe que el sistema operativo que instale en su ordenador es la última versión del mismo, de tal forma que incluya todas las aplicaciones de seguridad previstas. . Actualice también el software: todas las compañías del sector publican actualizaciones de sus productos de forma regular.
  • 5.- Tenga cuidado con los mensajes que le soliciten contraseñas y nombres de usuario. El 2006 ha registrado un importante incremento de los casos de 'phising' (envíos en forma de correo electrónico que le piden sus claves o contraseñas para acceder de forma fraudulenta a su cuenta bancaria). Hay que tener en cuenta que ninguna entidad bancaria emplea ese método.
  • 6.- Utilice software legal: es seguro, en tanto que las copias piratas tienen grandes riesgos ante problemas de seguridad.
  • 7.- Vigile su correo electrónico: desconfíe de aquellos correos que le lleguen en otros idiomas. Desconfíe de los correos de procedencia desconocida, o que ofrecen productos mágicos, vacaciones gratuitas, o fotos que no debe dejar de ver. Verifique el origen de los correos electrónicos: es habitual en los virus actuales 'robar' la libreta de correo de algún amigo suyo. Si recibe un mensaje de un conocido con un 'Asunto' poco habitual en él, compruebe su procedencia real antes de abrirlo.
  • 8.- Desconfíe de los mensajes repetidos: si recibe dos o más correos con remites diferentes y un mismo asunto, puede tratarse de un virus que disimula su origen.
  • 9.- Evite las ventanas indeseadas: si no desea ver las ventanas publicitarias emergentes que en ocasiones se disparan al navegar por Internet, no olvide instalar las aplicaciones que lo eviten.
  • 10.- Compras a través del comercio electrónico: Lo más recomendable a la hora de utilizar el comercio electrónico es que la web donde se realicen las compras online esté dotada de medidas de seguridad certificadas y reconocidas. Es aconsejable utilizar una única tarjeta para comprar en Internet y mantenerla con el saldo mínimo necesario. Es importante informarse periódicamente de los movimientos bancarios registrados en las cuentas.
  • 11.- Para los usuarios más jóvenes que estrenan ordenador o que utilizan Internet por primera vez: Los jóvenes que estrenen ordenador o se conecten por primera vez a Internet debe estar acompañados por sus progenitores. Padres e hijos comprobarán juntos que el PC está correctamente protegido. Si el menor de edad accede a Internet por primera vez, Red.es pone a su disposición el portal www.chaval.es para iniciarle de forma segura y pedagógica.
  • 12.- Para mayor seguridad de los padres existen herramientas que permiten a los progenitores limitar la visualización de determinados contenidos. Los documentos adjuntos en el correo electrónico, las redes de intercambio P2P, los chats y los sitios web de juegos online pueden traer consigo software espía, programas nocivos y enlaces a contenidos maliciosos.
  • 13.- Manténgase informado: la información es la mejor vacuna. Esté atento a los medios de comunicación y visite las páginas del Centro de Alerta Antivirus de forma habitual.

1. ¿Seguridad Informática ?

SEGURIDAD DE LA INFORMACIÓN es el estudio de los métodos y medios de protección de los sistemas de información y comunicaciones frente a revelaciones, modificaciones o destrucciones de la información, o ante fallos de proceso, almacenamiento o transmisión de dicha información, que tienen lugar de forma accidental o intencionada.

La seguridad de la información se caracteriza por la protección frente a las siguientes amenazas :

a) Confidencialidad, que garantiza que la información es accesible exclusivamente a quien está autorizado.

b) Integridad, que protege la exactitud y totalidad de la información y sus métodos de proceso

c) Disponibilidad, que garantiza que los usuarios autorizados tienen acceso a la información y en el momento que lo requerido.

Las amenazas pueden ser de los tipos siguientes:

· Amenazas de fuerza mayor

· Fallos de organización

· Fallos humanos

· Fallos técnicos

· Actos malintencionados