u01 Code Mali

Programa Integral:Seguridad de Sistemas de InformacinDepartamento de Informtica

Copyright por TECSUP

Seguridad de la Informacin

*Mdulos del Programa IntegralSeguridad de la Informacin(24 horas)Sistema de Autenticacin y Cifrado(24 horas)Seguridad Perimetral I(24 horas)Sistemas de Deteccin y Prevencin de Intrusos(30 horas)Seguridad Perimetral II(30 horas)Seguridad por Contenidos(18 horas)Ethical Hacking(24 horas)

Mdulo 6:Seguridad por Contenidos(18 horas)


Unidad 1:Anlisis de Cdigo Malicioso


*IntroduccinLa epidemia esta desatada. Se extienden a grandes velocidades. !Ya estn aqu. Los Malware!INTERNETVPNREDUser MvilCasaOficina RemotaFIREWALL

*Malwaresoftware malicioso, que tiene como objetivo infiltrarse en o daar una PC sin el conocimiento de su dueo.Termino muy utilizado por profesionales de la computacin para definir una variedad de softwares o programas de cdigos hostiles e intrusivos.

*EstadsticasLos virus y gusanos estn como primeros en causar preocupacin y dao en la red.

*AlcanceLos usuarios estn siendo victimas de diferentes formas de daos. Los delitos informticos estn incrementndose.

Familia


*WormLos gusanos son programas con cdigo malicioso, capaces de replicarse a s mismos y esparcirse por las redes de un ordenador a otro.No pretenden infectar ficheros

Finalidad: Colapsar el sistema o ancho de banda, replicndose a si mismo.

*VirusUn virus es un programa que se replica a s mismo, tanto exactamente, como modificado dentro de otra porcin de un cdigo ejecutable.

A diferencia de los gusanos, los virus no usan las redes para penetrar a otros equipos.

Finalidad: Infeccin de archivos.

*TroyanosProgramas que permanecen en el sistema, no ocasionando acciones destructivas sino todo lo contrario suele capturar datos generalmente password envindolos a otro sitio.

Se propagan en otros programas legtimos.

Finalidad: Conseguir informacin, apertura ingreso.

*rootkitProgramas que son insertados en una computadora despus de que algn atacante ha ganado el control de un sistema.

Funcin: Ocultar los rastros del ataque.Encubrir los procesos del atacante. Puertas traseras.Exploits para atacar otros sistemas

*KeyloggerSon caballos de troya o troyanos, que monitorean el sistema de la computadora, registrando las pulsaciones del teclado, para robar las claves y passwords del ingreso a pginas financieras y de correos electrnicos.

*BootnetRed de equipos infectados por gusanos. Que son controlados con la finalidad de hacer acciones dainas:

Enviar spamAtaques de denegacin de servicio distribuidoConstruir servidores web para ataques de phishingDistribucin e instalacin de nuevo malwareAbuso de publicidad online.

*BootnetTcnica1.El operador de la botnet manda virus/gusanos/etc a los usuarios. 2. Las PCs entran en el IRC o se usa otro medio de comunicacin. 3. El spammer le compra acceso al operador de la Botnet. 4. El Spammer manda instrucciones va un servidor de IRC u otro canal a las PC infectadas. 5. Causando que stos enven Spam al los servidores de correo.

Worm


*Tabla de Gusanos

*Por qu aumentan?FacilidadCdigo disponible.PenetracinPasar de alto Sistemas de Seguridad.PersistenciaBuscando equipos victimasCoberturaGrandes alcances de PC.

*5 ComponentesReconocimiento:Buscar nodos.AtaquesAccin, overflow.ComunicacionesMensaje entre gusanos.ComandosInterfase de ejecucin.InteligenciaLograr diferentes formas de ingreso.

*5 ComponentesJerarquaLos gusanos principalmente necesitan el componente de reconocimiento y de ataque.Los otros componentes le dan mayores capacidades.

*PropagacinCode Red

*PropagacinSaphireCode-Red: 350,000 victimas en un promedio 12 horasSapphire: 60k-100k victimas en pocos minutos.

Historia


*Cronologa

*MorrisCreador del primer gusano 1988.Como Proyecto de Investigacin en la Universidad de Cornell.Explotaba vulnerabilidad:Sendmail.Finger.

*Orgenes

VirusCreeper creado en 1972 por Robert Thomas Morris. Infectar mquinas IBM 360 a travs de una red ARPANET.Para eliminar a Creeper se cre otro virus llamado Reaper (segadora) programado para buscarlo y eliminarlo.

TroyanoAnimal/Pervade creado en Enero 1975 por John Walker (fundador de Autodesk). Era un juego.Animal deba adivinar el nombre de un animal y; Pervade que era la rutina capaz de actualizar las copias de Animal.

GusanoFinales de setenta, John Shoch y Jon Hupp, investigadores del Centro de Investigacin Xerox de Palo Alto, California crean un trabajador virtual bautizado como worm.Programa que se encargara de las tareas de mantenimiento y gestin nocturnas, propagndose por todos los sistemas del centro.

*Worm en UNIXPORQUE1. Plataforma de trabajo.2. Entorno de scripts y redes. 3. Compiladores disponibles.

Gusano: ADMw0rm-v1, 1998Este gusano atac los sistemas de Linux y utiliz el BIND 8.1 y la vulnerabilidad 4.9.8. Desbordando y obteniendo acceso de administrador.El gusano creaba una cuenta privilegiada, para que el atacante podra volver luego para ingresar.

Construccin de un Virus


*Construccin de VirusEn diferentes Lenguajes: C, Perl, Visual Basic, Assembler, Javascript.Existen varias herramientas de creacin.http://vx.netlux.org/vx.php?id=tidx

*ParchesEl parche correccin sobre el cdigo fuente del programa afectado.Los creadores de malware usan la tcnica de Ingeniera reversa para detectar los cambios que son vulnerabilidades.

*01-PlataformaLas plataformas de mayor difusin son atractivos para usarlos en las infecciones

*SlammerPlataformaDetectar va fingerprint la informacin del sistema operativo.

Deteccin de la versin del Software y direccin de falla.

*02-VulnerabilidadEl gusano evala la vulnerabilidad donde pueda conseguir niveles alto de control.S.OSERVICIOS

*03-LenguajeEl Lenguaje determina en que plataforma se ejecutaran los gusanos.Tambin determina como se distribuirn:Dinmico: Perl, Python, Vbscript.Compilado: C o C++

*04-ExploracinLos gusanos desarrollan tcnicas de exploracin para buscar a anfitriones

*SlammerExploracinObteniendo la informacin de la plataforma y del servicioVisualizando la informacin obtenida.

*05-Carga tilAl tener control del anfitrin. El intruso, evala el mtodo de la carga a lanzar.

*06- Ocultndose en el atacadoEl gusano busca su sobre vivencia, usando diversas tcnicas que lo escondan:Archivo ocultos.Reemplazo de comandos.Renombrando procesos.

*07- Red de GusanosAl infectar a los anfitriones, se generan una red que aperturan un puerto.El puerto sirve de control para gestionar las acciones del gusano.Envindose ordenes de propagacin.

*TendenciaExplotacin de las redes P2P.El uso de programas ilegales sin licencia.El envi de Spam con gusanos.Aumento de Keyloggers.Perfeccionamiento del ocultamiento.

Casos


*Sistemas distribuido DoS - TrinooAtacante: Controla uno o mas Master Server.Master Server: Controla varios "daemons" Daemons: Instruidos en recibir ordenes y reportarse para realizar acciones de ataques a sistemas.

Tipo de Ataque de Dos: Inundacin por tramas UDPhttp://staff.washington.edu/dittrich/misc/trinoo.analysis

*Mas infecciones http://www.seguridadenlared.org/es/index5esp.html

*Sntesis de la UnidadLos cdigos maliciosos buscan infiltrarse y planificar acciones de delitos.Todo medio de transferencia de informacin esta propenso a usarse como medio de infeccin.

*IntroduccinHoy en da las empresas se estn dando cuenta que tienen mucha infraestructura tecnolgica que les agiliza sus procesos internos pero que a su vez son un peligro por la vulnerabilidad que presentan ante un entorno totalmente globalizado. Es necesario tener implementado una cultura de seguridad que permita proteger la informacin de posibles ataques. Para ello se tiene polticas de seguridad, normas, estndares y equipamiento que permiten construir soluciones de seguridad muy robustas.En el presente programa integral se cubrirn los diversos aspectos relacionados con la seguridad de la informacin haciendo uso de equipamiento especializado de ltima generacin como: Cisco ASA, Juniper Netscreen, Symantec SGS, CheckPoint, Barracuda y RSA. As como soluciones de seguridad informtica usando el sistema operativo Linux.

ObjetivosExplicar las ventajas del uso de la tecnologa y los peligros que se pueden generar si no tenemos implementada una cultura de seguridad.Describir las diversas normas y estndares que en seguridad de la informacin existen y saber cual aplicar para cada necesidad.Implementar soluciones integrales de seguridad mediante el uso de equipamiento especializado. Utilizar las herramientas de auditoria de seguridad.Disear las polticas de seguridad de la informacin.*EVALUACIONLa evaluacin del modulo incluye evaluacin terica y practica.La evaluacin terica incluye 1 examen escrito.La evaluacin practica incluye la evaluacin de los laboratorios no eliminndose ninguno.

ASISTENCIAEl participante no puede faltar a ninguna sesin.

*INTRODUCCIONLas redes estn saturndose no por trfico til, sino por trfico malicioso. Las cantidades de virus y mutaciones como troyanos, spam, spyware estn ocasionando deficiencia en la Red por no disponer de equipos de seguridad que eviten estos graves problemas. En el presente curso se dar a conocer las tcnicas para eliminar el trfico malicioso haciendo uso de equipos especializados como: Antispam, antivirus y antispyware.

OBJETIVOSEvaluar y mejorar el rendimiento del trfico de la Red. Implementar soluciones de filtrados de contenido utilizando diversos equipos.

UNIDADESAnlisis de cdigo malicioso. Soluciones de Antivirus, AntiSpam y Antispyware

Filtros de Contenidos de Web.

*Esta unidad esta compuesta por los siguientes temas:FamiliaWormHistoriaConstruccin de un virusCasos*Las redes estn enfermas y estn contagiando a otras. Esta infeccin causan problemas de la red como son: Lentitud de la red, fallas de programas, robo de informacin, y acciones a otras redes.

SOS ! las redes claman

Las vas de infeccin ahora se ha extendido debido a las diversas formas de comunicarse en la Red: Internet, Wireless, Vpn, USB, Programas, Correos.Segn avanza esta amenaza estn comenzando a mutarse y creando nuevas vas de propagacin. Es necesario que curemos a la Red y prevengamos el grado de contagios.

Los sistemas operativos y aplicaciones vulnerables pueden ser:Todos los sistemas operativos de escritorio.La mayora de las aplicaciones ofimticas La mayora de los redactores grficos Cualquier aplicacin con lenguaje de script incorporado.Se escriben virus, gusanos y troyanos para una infinidad de sistemas operativos y aplicaciones.

*Malware (del ingles malicious software, tambin llamado badware o software malicioso) es un software que tiene como objetivo infiltrarse en o daar una PC sin el conocimiento de su dueo. Esta expresin es un trmino general muy utilizado por profesionales de la computacin para definir una variedad de softwares o programas de cdigos hostiles e intrusivos.Muchos usuarios de computadores no estn an familiarizados con este trmino y otros incluso nunca lo han utilizado. Sin embargo la expresin "virus informtico" es ms utilizada en el lenguaje cotidiano y a menudo en los medios de comunicacin para describir todos los tipos de malware.Existen muchsimos tipos de malware, aunque algunos de los ms comunes son los virus informticos, los gusanos, los troyanos, los programas de spyware o incluso los bots.*

En febrero de 2005, Joe Lpez, un empresario de Florida, enjuicio al Bank of America despus de que unos hackers desconocidos robaran 90.000 dlares de su cuenta en este banco. El dinero robado haba sido transferido a Latvia.Una investigacin revel que el ordenador de Lpez haba sido infectado con el virus conocido como Backdoor Coreflood, el cual registra cada pulsacin del teclado y enva esta informacin a ciberdelincuentes va Internet. Fue de esta manera que los hackers obtuvieron el nombre de usuario y la contrasea de Joe Lpez, ya que l a menudo realizaba sus transacciones bancarias a travs de Internet.Sin embargo, el veredicto de la corte no favoreci al interpelante pues se adujo que Joe Lpez haba sido negligente por no tomar precauciones al manejar su cuenta bancaria a travs de Internet. La signatura del cdigo malicioso encontrado en su sistema haba sido aadida a las bases de datos de casi todos los antivirus ya en 2003.

http://www.theregister.co.uk/2005/02/08/e-banking_trojan_lawsuit/

Prosigue una tendencia sostenida a travs de los ltimos 5 aos: los virus tal y como los conocamos dejan su lugar a los gusanos y troyanos encargados de armar redes de botnets para obtener dinero. El entretenimiento de la creacin de virus ya no es tal, se ha convertido en un negocio muy rentable.Quizs la mejor prueba de ello sean los denominados espas bankers de los cuales se cuentan miles de variantes y cuyo principal mtodo de propagacin se basa en la modificacin permanente de su cdigo, de forma de evitar la deteccin de los antivirus.

*

Los usuarios se enfrentan a una amenazan que los acechan constantemente, como con el robar cuentas de correo de las libretas de direcciones, que se vendern para enviarles correo basura, fraudes y ms virus. Adems, instalan programas que espan los comportamientos del usuario, para venderlos a empresas de publicidad, y otros que monitorizan las pulsaciones del teclado, para cazar nmeros de cuentas bancarias y contraseas. Como puede verse, la principal preocupacin de los prximos aos sern las organizaciones delictivas que, cada vez ms organizadas, utilizan las redes de informacin para perpetrar hechos como los descriptos para maximizar sus beneficios econmicos.

Estas bandas, que trabajan desde distintos pases y cumpliendo distintos roles dentro de sus organizaciones delictivas, no dudarn en seguir perfeccionando y agregando nuevas tcnicas de ataque a las ya existentes.

*

Denegacin de ServiciosEn enero 2005 aparece el destructivo Mydoom, un gusano que se propaga por correo electrnico y la red de intercambio de archivos Kazaa, permitiendo el control remoto del equipo infectado. Ms all de esos detalles tcnicos, el objetivo primario de Mydoom era hacer caer el sitio SCO (propietaria de uno de los sistemas UNIX ms difundido) y Microsoft.El xito al hacer caer SCO, demuestra la efectividad de las redes distribuidas (zombies) para realizar ataques de denegacin de servicio. Mydoom marc la historia como el gusano de mayor y ms rpida propagacin de los ltimos tiempos

ExtorsionesEstas extorsiones son cada vez ms frecuentes. La empresa de juegos en lnea Jaxx.de, de Hamburgo, sufra un ataque DDoS y se vea conminada a pagar 40.000 euros para que cesase. Otra muestra es PGPCoder, un virus an rudimentario, que cifraba todos los documentos del ordenador infectado y peda un rescate para descifrarlos. Robo InformticoProgramas maliciosos hechos a medida para abrir puertas traseras en las PC que contienen informacin sensible. En Israel, detenan a 18 personas, entre ellas altos ejecutivos, por espionaje industrial a empresas de la competencia mediante troyanos.

http://ww2.grn.es/merce/2005/zotob.htmlhttps://www.ccn-cert.cni.es/index.php?option=com_content&task=view&id=1513&Itemid=37

**Esta categora incluye los programas que se propagan por redes locales o Internet con los siguientes objetivos:Penetrar a equipos remotos Lanzar copias en los equipos vctimas Propagarse hacia otros equipos Los gusanos usan diferentes sistemas de red para propagarse: correo electrnico, sistemas de mensajes instantneos, redes de archivos compartidos (P2P), canales IRC, redes locales, redes globales, etc.La mayora de los gusanos se propagan en forma de archivos adjuntos a mensajes de correo electrnico, ICQ o IRC, enlaces a archivos ubicados en sitios web o servidores FTP infectados, archivos compartidos va redes P2P, etc.Existe una pequea cantidad de gusanos denominados "fileless" o gusanos de paquete, que se propagan en forma de paquetes de red y penetran directamente la memoria RAM del equipo vctima, donde a continuacin ejecutan su cdigo.Los gusanos usan una gran variedad de mtodos para penetrar a los equipos y ejecutar su cdigo, incluyendo:Ingeniera social, mensajes de correo electrnico que incitan al destinatario a abrir el archivo adjunto Redes mal configuradas; redes que tienen equipos locales abiertos al acceso desde fuera de la red Vulnerabilidades en los sistemas operativos y las aplicaciones Los programas maliciosos de hoy constan de varios componentes: los gusanos tienen ahora funciones de troyanos o la capacidad de infectar archivos ejecutables en el equipo vctima. Ya no existen gusanos simples, sino amenazas combinadas.

*Esta clase de programas maliciosos incluye programas que se propagan dentro de un equipo con el objetivo de: Ejecutar su cdigo cuando el usuario realiza determinadas acciones Penetrar a otros recursos en el equipo vctima.

A diferencia de los gusanos, los virus no usan las redes para penetrar a otros equipos. Las copias de los virus slo pueden penetrar a otros equipos si un objeto infectado es abierto por el usuario del equipo no infectado, con lo que se ejecuta el cdigo del virus. Esto puede suceder en los siguientes casos:El virus infecta los archivos ubicados en un recurso de red que puede ser accedido por otros usuarios El virus infecta medios de almacenamiento removibles que luego son usados en un equipo no infectado El usuario adjunta un archivo infectado a un mensaje de correo electrnico y lo enva a un destinatario "sano"

A veces, los gusanos portan virus, otras, los virus incluyen una "puerta trasera" (backdoor) o tiene funciones propias de los troyanos que destruyen datos en el equipo infectado.*Esta clase de programas maliciosos incluye una gran variedad de programas que efectan acciones sin que el usuario se d cuenta y sin su consentimiento: recolectan datos y los envan a los criminales; destruyen o alteran datos con intenciones delictivas, causando desperfectos en el funcionamiento de la computadora o usan los recursos de la computadora para fines criminales, como hacer envos masivos de correo no solicitado.Existe un subgrupo de troyanos que causa daos a equipos o redes a distancia, sin poner en peligro los equipos infectados. Son los troyanos que utilizan los equipos vctimas para efectuar ataques DoS contra un sitio web determinado.Ahora bien, un troyano es un programa que crea una puerta trasera (es decir proporciona la posibilidad de un acceso no autorizado) al equipo de cmputo de la vctima, de tal forma que le abre un puerto (o canal de comunicacin) por donde se puede acceder a su sistema.

Como tales, suelen encontrarse pegados a otros programas mediante diversas utilidades especficamente diseadas para ello, y ocultando su funcin real mediante la apariencia de un programa que aparentemente funciona bien, como podra ser un simple salva pantallas.

*Los rootkit son programas que son insertados en una computadora despus de que algn atacante ha ganado el control de un sistema. Los rootkit generalmente incluyen funciones para ocultar los rastros del ataque, como es borrar los log de entradas o encubrir los procesos del atacante. Los rootkit pueden incluir puertas traseras, permitiendo al atacante obtener de nuevo acceso al sistema o tambin pueden incluir exploits para atacar otros sistemas.

Inicialmente los rootkit aparecieron en el sistema operativo UNIX (incluyendo el Linux) y eran una coleccin de una o ms herramientas que le permitan al atacante conseguir y mantener el acceso al usuario de la computadora ms privilegiado (en los sistemas UNIX, este usuario se llama *root* y de ah su nombre). En los sistemas basados en Windows, los rootkits se han asociado en general con herramientas usadas para ocultar programas o procesos al usuario. Una vez que se instala, el rootkit usa funciones del sistema operativo para ocultarse, de manera tal de no ser detectado y es usado en general para ocultar otros programas dainos. *Keystroke o KeyloggersSon caballos de troya o troyanos, que monitorean el sistema de la computadora registrando las pulsaciones del teclado, para robar las claves y passwords en pginas financieras y correos electrnicos.Hoy en da los keyloggers se usan principalmente para robar informacin relacionada a varios sistemas de pago en lnea, y los elaboradores de virus no cesan en su afn de elaborar nuevos troyanos keyloggers con tal propsito.Asimismo, muchos keyloggers se esconden en el sistema, por ejemplo, pueden camuflarse como rootkits, lo cual los convierte en programas troyanos completamente furtivos.Considerando que los keyloggers pueden usarse para cometer actos delictivos, la deteccin de tales programas se ha convertido en una prioridad para las compaas antivirus. El sistema clasificatorio de Kaspersky Lab tiene una categora especial llamada Trojan-Spy, que resulta ser una perfecta definicin para los keyloggers. Los troyanos-espa, tal como sugiere su nombre, rastrean la actividad del usuario, almacenan la informacin en el disco duro del ordenador del usuario y luego se la envan al autor o dueo del troyano. La informacin robada incluye las teclas pulsadas por el usuario y fotografas de pantallas, las cuales se utilizan en el robo de informacin bancaria para llevar a cabo los fraudes en lnea.

http://www.viruslist.com/sp/analysis?pubid=207270912*Botnet es un trmino que hace referencia a una coleccin de software robots, o bots, que se ejecutan de manera autnoma (normalmente es un gusano que corre en un servidor infectado con la capacidad de infectar a otros servidores). El artfice de la botnet puede controlar todos los ordenadores/servidores infectados de forma remota y normalmente lo hace a travs del IRC. Sus fines normalmente son poco ticos.Una vez que la red ha sido convenientemente armada (con 10 o miles de equipos), el botmaster (responsable) de la misma puede decidir con total libertad, remotamente y en cualquier parte del mundo qu hacer con la misma pudiendo, por ejemplo:

Enviar spamRealizar ataques de denegacin de servicio distribuido.Construir servidores para alojar software warez, cracks, seriales, etc.Construir servidores web para alojar material pornogrfico y pedoflico.Construir servidores web para ataques de phishing.Redes privadas de intercambio de material ilegal.Sniffing de trfico web para robo de datos confidenciales.Distribucin e instalacin de nuevo malware.Abuso de publicidad online como adsense.Manipulacin de juegos online

http://www.eset-la.com/threat-center/1573-botnets-redes-organizadas-crimen*Como se visualiza en el grfico, el primer objetivo es distribuir el malware suficiente para lograr la mayor cantidad de equipos infectados con el troyano -cliente que conecta a los usuarios con el/los botmaster/s responsable/s de la botnet.

La forma de instalar estos programas clientes es crear troyanos/gusanos que infecten al usuario, haciendo que su equipo interacte en la red que se forma y sin que el usuario se entere de lo sucedido. As, el equipo infectado se acaba de convertir en un zombi o robot haciendo cosas mecnicamente como si estuviera privado de voluntad. Esta distribucin por supuesto se realiza mediante mensajes masivos y por la cual muchos usuarios son engaados . Ttulos como la muerte de Fidel, muertos en una tormenta que arrasa Europa, Saddam Hussein vive lamentablemente llaman suficientemente la atencin como para que miles de equipos sean infectados y comiencen a servir de base para nuevas olas de ataques. ***

FacilidadEl tener cdigos disponibles de gusanos, permiten un desarrollo progresivo.

Penetracin Debido a la velocidad y a la agresividad de la mayora de los gusanos, la infeccin en redes difciles de penetrar tambin puede ser alcanzado. Un ejemplo de esto sera una computadora porttil afectada con el gusano y que luego es trada dentro de una red corporativa, exponiendo sistemas normalmente detrs de un cortafuego el cual protege contra tales amenazas desde Internet.

PersistenciaLas tcnicas del ataque de un gusano son descubiertos y que los remedios para las vulnerabilidades est disponible. El tiempo en que las redes se inmunizaran contra el gusano, toma tiempo. Se han demostrado que los gusanos agresivos tales como Code Red y Nimda han sido persistentes por un tiempo de 8 meses desde su fecha de aparicin, a pesar que la vacuna estaba disponible.

CoberturaPorque los gusanos actan en una manera continua y agresiva, buscan y atacan los anfitriones ms dbiles en una red. Mientras se expanden a travs de casi todas las redes, encontraran mas sistemas dbiles, que los hospedaran y tendrn un continuo ciclo de vida. Esto entonces da a los gusanos una amplia cobertura desde donde actuar para poder atacar por muchos meses o an aos. *RECONOCIMIENTOUna red de gusanos tiene que buscar hacia fuera otros nodos de red para infectar. Este componente del gusano es responsable de descubrir los anfitriones en la red que son capaces de ser comprometidos por los mtodos conocidos del gusano. COMPONENTE DE ATAQUESstos se utilizan para lanzar un ataque contra un sistema identificado como blanco. Los ataques pueden incluir el desbordamiento, ataques del formato de la secuencia, los ataques unicode (Ataques a Web) y configuraciones.

COMPONENTE DE COMUNICACIONESLos nodos en la red del gusano pueden hablar el uno al otro. Los componentes de la comunicacin dan a los gusanos el interfaz para enviar mensajes entre los nodos o hacia una localizacin central.

COMPONENTE DE COMANDOSUna vez que estn comprometidos, los nodos en la red del gusano puedan enviar comandos de operacin usando este componente. El elemento del comando proporciona una interfaz en el nodo del gusano para realizar operaciones y acciones de comandos.

COMPONENTE INTELIGENTEPara comunicarse con eficacia, la red del gusano necesita conocer la localizacin de los nodos as como caractersticas sobre ellas. La porcin de la inteligencia de la red del gusano proporciona la informacin necesaria para poder entrar en contacto con otros nodos del gusano, que se pueden lograr en una variedad de maneras.

*

El comportamiento y las caractersticas externos, de un gusano se discute tpicamente en trminos de dos componentes ms visibles, la vulnerabilidad que explora y los ataques que el gusano realiza. Se puede identificar rpidamente la presencia de un gusano esttico, monoltico (donde todos los componentes estn presente en un solo binario), este tipo de gusano esta reduciendo su creacin. Se ha demostrado que ahora es fcil construir gusanos modulares, tomando como patrn algunos componentes de otros gusanos y aumentarles componentes. No todos estos componentes se requieren para tener un gusano para que trabaje. Una vez ms como indicamos los componentes bsicos son el reconocimiento y el ataque que son necesarios para construir un gusano eficaz que pueda extender por una gran distancia. Sin embargo, este gusano reducido ser limitado, a acciones como ataques DDoS o una interfaz de acceso al anfitrin.

*En Julio 19, 2001 mas de 359,000 computadoras fueron infectadas con el gusano Code-Red (CRv2) en menos de 14 horas. En el pico del frenes de la infeccin, infectaron a ms de 2.000 nuevos anfitriones cada minuto. 43% de los hosts infectados estuvieron en EEUU, 11% en Korea seguido de 5% en China y 4% en Taiwan. Un "gusano" es un programa que se replica sin ayuda y colapsa a las computadoras y redes. "Cdigo Rojo" slo infecta ordenadores con el sistema operativo Windows NT o 2000, que tengan instalado el servidor web Information Internet Server (IIS). Se introduce automticamente, aprovechando un fallo de este servidor, descubierto el pasado junio 2001 y para el que existe un parche que, segn las estadsticas, el 30% de sistemas no han instalado. Una vez dentro, escanea direcciones IP (Internet Protocol) aleatorias, buscando nuevos ordenadores vulnerables a los que saltar. En las pginas web infectadas, aparece el mensaje: "Hacked by Chinese!", lo que ha hecho sospechar que se trate de un ataque hacktivista, aunque el gobierno Chino lo ha negado. "Cdigo Rojo" acta por fases: del da 1 al 19 de cualquier mes, infecta computadoras. Del 20 al 27, los fuerza a bombardear una direccin IP de la Casa Blanca. El 28 entra en hibernacin. El gusano atac por primera vez en julio cuando, en una semana, infect entre 250 y 350.000 mquinas

http://www.caida.org/analysis/security/code-red/coderedv2_analysis.xml*2003El gusano Sapphire fue el mas rpido de propagacin en la historia. Infect la mayor parte de a anfitriones vulnerables que podran ser encontrados en el plazo de diez minutos . El gusano (tambien llamado como Slammer, SQLSlammer, W32.Slammer) empez exactamente a las 5:30 AM (UTC) el sbado 25 de Enero. Infectando copias de Microsoft SQL Server y MSDE 2000 (Microsoft SQL Server Desktop Engine) que estaban expuestas a Internet. Sapphire no tuvo una carga til malvola, pero caus dao considerable al ocasionar una sobrecarga en las redes y tomando los servidores de la base de datos.La conectividad fue perdida de muchos sitios debido a que el ancho de banda del acceso fue saturada por las copias locales del gusano y haba varios informes de la interrupcin del backbone de Internet (aunque la mayora de los abastecedores del backbone aparecen haber estado estables a travs de la epidemia). Es importante resaltar que si el gusano hubiera llevado una carga til malvola y hubiera atacado una vulnerabilidad ms extensa, o hubiera apuntado un servicio ms popular, los efectos habran sido probablemente ms severos.

La velocidad de la propagacin de Sapphires fue: en el primer minuto, la poblacin infectada dobl de tamao cada 8.5 segundos. El gusano alcanz su tope de exploracin completa (sobre 55 millones de exploraciones por segundo) despus de aproximadamente tres minutos, despus de lo cual el ndice de crecimiento fue retrasado porque las porciones significativas de la red no tenan bastante anchura de banda para permitir que funcione. La mayora de las mquinas vulnerables fueron infectadas en el plazo de 10 minutos del lanzamiento del gusano. Sapphire proporciona el primer incidente verdadero que demuestra las capacidades de un gusano de alta velocidad. Dos veces ms rpidamente de propagacin que el gusano Code Red, que infect sobre 359.000 anfitriones el 19 de julio de 2000. En la comparacin, la poblacin roja del gusano del cdigo tena una proporcin que doblaba pausado de cerca de 37 minutos.

http://www.caida.org/research/security/sapphire/**

Los gusanos del Internet tienen un origen interesante. Antes que fueran proyectos de investigacin en las redes de computadoras del centro de investigacin de Xerox Palo Alto (PARC), los gusanos fueron armas en una novela de la ciencia ficcin Shockwave Rider 1975. En ella, los hroes trabajan para liberar a humanidad de una red de computadoras que estaba infectada con un gusano que creca bastante para detenerlo.

Se planteo que se necesitaba un agente distribuido que trabaje continuamente y diligente y que podra ser ms eficiente que cualquier persona o grupo de gente. Iniciar el trabajo de los agentes autnomos de la red fue hecha en Xerox PARC. Iniciaron los gusanos simples que compartieron informacin con los usuarios de una manera automatizada, los investigadores pronto desarrollaron gusanos que podran usar los recursos inutilizados de las computadoras. El gusano se alojaba a las computadoras y, durante la noche, utilizaba las computadoras que estaban ociosas para realizar clculos. Permitiendo reducir el tiempo de las operaciones que tomaran de otra manera demasiado largo sistemas individuales.

Sin embargo se corra la posibilidad de un gusano malvolo y lleg a ser evidente despus de un accidente con el gusano vampiro en Xerox PARC. Este gusano ataco a los hosts en la red y bloqueaba que se realicen operaciones normales. Los investigadores tuvieron que desarrollar una vacuna contra el gusano para las computadoras. *

La historia malvola de los gusanos del Internet se puede remontar de nuevo al gusano de Morris. En Nombre de su autor, Roberto Tappan Morris. Fue escrito como proyecto de investigacin doctoral en la universidad de Cornell. El gusano escap y colapso el Internet, afectando a muchas computadoras. El gusano atacaba:Un error en el programa Unix Sendmail. Un error de buffer en el servicio de Fingerd. Violacin de acceso va rrsh.

Debido a esta gran incidente fue la causa de la formacin del Computer Emergency Response Team en http://www.cert.org/. La mayora de las naciones Internet-conectadas ahora tienen su propio CERT, y forman colectivamente una organizacin ms grande, http://www.first.org/. La organizacin del CERT emergi para diseminar la informacin sobre las vulnerabilidades y los incidentes, una misin de la seguridad de la computadora que todava realiza ms de 14 aos ms tarde.

El gusano de Morris mostr las debilidades del Internet 1988. Primero, la red era en gran parte homognea, abarcado solamente un grupo de sistemas. En segundo lugar, confi en las relaciones de confianza instaladas por los usuarios del Internet. Confi en hazaas y debilidades sabidas del sistema. De muchas maneras el Internet actual sufre de muchos de los mismos males, tales como ser demasiado dependiente en una plataforma con relaciones dbiles de la confianza y muchos vulnerabilidades latentes que sigue habiendo no parchadas.

http://www.swiss.ai.mit.edu/6805/articles/morris-worm.htmlhttp://www.rbs2.com/morris.htm (Juicio)http://www.ee.ryerson.ca/~elf/hack/iworm.html

*

1959 en los laboratorios de la Bell Computer, tres jvenes programadores: Robert Thomas Morris ,Douglas Mcllroy y Victor Vysottsky crean un juego denominado CoreWar, inspirados en la teora de Von Neumann.CoreWar (el precursor de los virus informticos) es un juego en donde programas combaten entre s con el objetivo de ocupar toda la memoria de la mquina eliminando as a los oponentes. La primera guerra desarrollada fue Darwin y estaba programada en RedCode (no confundir con el gusano), una especie de pseudo-lenguaje assembler limitado.

VIRUS Y ANTIVIRUSEl que se considera el primer virus propiamente dicho y que fue capaz de infectar mquinas IBM 360 a travs de una red ARPANET (el precedente de la Internet actual), fue el llamado Creeper, creado en 1972 por Robert Thomas Morris. Este parsito emita un mensaje en la pantalla peridicamente: Im a creeper catch me if you can! (Soy una enredadera, atrpame si puedes).Para eliminar a Creeper se cre otro virus llamado Reaper (segadora) programado para buscarlo y eliminarlo. Este es el origen de los actuales antivirus.

TROYANOEn enero de 1975, John Walker (fundador de Autodesk) descubre una nueva forma de distribuir un juego en su UNIVAC 1108 e inadvertidamente da origen al primer troyano de la historia. El mismo recibe el nombre Animal/Pervade; Animal ya que consista en que el software deba adivinar el nombre de un animal en base a preguntas realizadas al usuario y; Pervade que era la rutina capaz de actualizar las copias de Animal en los directorios de los usuarios, cada vez que el mismo era ejecutado, de all que sea un troyano.

GUSANOA finales de los setenta, John Shoch y Jon Hupp, investigadores del Centro de Investigacin Xerox de Palo Alto, California intentaron darle un uso prctico a los CoreWars, creando un programa que se encargara de las tareas de mantenimiento y gestin nocturnas, propagndose por todos los sistemas del centro. Lamentablemente, este trabajador virtual bautizado como worm (haciendo mencin a la novela The Shockwave Rider, escrita en 1975 por John Brunner) se extendi por toda la red y caus grandes problemas, por lo que se decidi la eliminacin completa del mismo.*Mientras que los sistemas libres del UNIX (Linux y los sistemas BSD), han sido los blancos de varios gusanos estos ltimos aos. Aunque estos gusanos no han afectando el funcionamiento y la seguridad de Internet comparado a los incidentes del gusano de Windows.

Los sistemas libres del UNIX como blanco para los gusanos es probablemente debido a tres factores. 1. Son una opcin como plataforma de trabajo para muchos atacantes.2. El UNIX trabajas con scripting y forman redes, que son activos para los sistemas del gusano. 3. Compiladores que estn libremente disponible para los sistemas, significando que los atacantes pueden desarrollar los componentes binarios del gusano para el uso en estos sistemas.

ADMw0rm-v1, 1998En mayo de 1998, el grupo subterrneo ADM de la seguridad escribi y lanz los archivos ADMw0rm-v1. Este gusano atac los sistemas de Linux y utiliz el BIND 8.1 que tenia la vulnerabilidad 4.9.8. Desbordando y obteniendo acceso de administrador. El gusano creaba una cuenta privilegiada, para que el atacante podra volver luego para ingresar. El gusano fue compuesto de varios componentes. Algunos de los componentes, fueron escritos como los shell scripts y se ocultaba en executables compilados. La herramienta del exploit, contena un generador de IP.

**Un virus informtico (o ms ampliamente un malware) es un programa o ms especficamente un conjunto de lneas en uno (o ms) lenguajes de programacin (o scripting) como puede ser Pascal, C, Perl, Visual Basic, Assembler, Javascript, o cualquier otro de los cientos disponibles. El lenguaje elegido slo estar limitado por los conocimientos que el creador tenga del mismo. Una vez elegido el lenguaje de programacin, el creador har uso de su imaginacin, conocimientos, intenciones, etc. para comenzar el desarrollo del programa fuente. Aqu tambin es importante hacer la diferencia entre creador y diseminador del programa, ya que no necesariamente deben ser la misma persona e incluso, hay grupos de desarrollo de virus que nunca hacen pblicas sus creaciones, porque las mismas tienen fines educativos o de investigacin en ese campo de trabajo. Lo que comnmente considera el creador a la hora de comenzar a escribir su cdigo es:Objetivo del programa: un troyano residente en memoria, un gusano que se enviar por correo o que explotar una vulnerabilidad, un programa que grabar datos confidenciales (keylogger) o que ocultar procesos (rootkit), la suma de todos los anteriores, etc. Tcnicas utilizadas: ocultacin de procesos, armoring, cifrado, polimorfismo, mtodos de reproduccin, utilizacin de vulnerabilidades de la aplicacin atacada, etc.Conocimientos tcnicos: llamadas a funciones documentadas y no documentadas, utilizacin de APIs, sobreescritura de procesos, acceso a diferentes secciones del sistema operativo, etc. *Al encontrarse una vulnerabilidad, el fabricante del software revisa el cdigo de la aplicacin que se trate y generalmente despus de un tiempo lanza una actualizacin sobre dicho cdigo. Esta correccin puede llegar en horas o tardar meses dependiendo de la criticidad del error, la empresa desarrolladora y la poltica que la misma tiene frente a las vulnerabilidades.Esto es lo que generalmente se conoce como parche y no es ms que una correccin sobre el cdigo fuente del programa afectado. Por supuesto este cdigo fuente se compila y luego se informa a los usuarios que se encuentra disponible la actualizacin para su descarga.De esta forma, todas las personas (incluidos los creadores de malware) tienen acceso a la actualizacin, que generalmente constar de cierta cantidad de programas compilados (.DLL, .EXE, .BIN, etc.) que se copiarn al sistema, reemplazando las versiones vulnerables anteriores.Cuanto mayor sea la criticidad de la vulnerabilidad y si la misma permite realizar ciertas acciones dainas sobre un sistema no parcheado, mayor ser el atractivo de esta vulnerabilidad para un atacante.Aqu entra en juego la Ingeniera Inversa, consistente en observar como se comporta un objeto determinado para conocer su funcionamiento. Extrapolando esta definicin al software, es ver el cdigo compilado para llegar al origen del mismo.Contrario a lo que se suele pensar este proceso de determinar el funcionamiento de las cosas es legtimo y legal si se realiza con los fines y medios adecuados. No se debe confundir la ingeniera inversa con la decompilacin y copia (plagio) del cdigo fuente, si bien la decompilacin puede ser una herramienta utilizada en el proceso de ingeniera. *El gusano Slapper afecto a servidores Linux con Apache en la plataforma Intel. El gusano explota una vulnerabilidad del protocolo de intercambio de llaves del protocolo SSL2, Los servidores Apache que usan el modulo mod_ssl para implementar este protocolo son vulnerables. El gusano apareci en Septiembre de 2002 y afecto a a cientos de hosts.

El primer paso al disear un gusano es decidir a que objetivos atacars y como lo atacaras. Primero, debes elegir una plataforma para que tu gusano la utilice y, segundo, debes elegir cmo tu gusano atacar al sistema.

PLATAFORMAUna buena plataforma a atacar sera sistemas de Windows. Atacando a los sistemas de Windows, te aseguras de un alto nmero de anfitriones posibles para el gusano. Las medidas recientes del uso han demostrado que Microsoft Windows compone ms el de 90% de los clientes que navegan, y aproximadamente 45% o ms de los servidores Web en el Internet.

La mayora de los servidores high-end todava funcionan UNIX. stos incluyen los servidores de nombres y los servidores de archivos en Internet que ayudan a componer el Backbone. Eligiendo esta ruta del ataque, el compromiso del ataque es ms grande.

*El gusano de Slapper realiza un fingerprint de varias distribuciones populares de Linux para poder lanzar un ataque especifico contra ellas:

En la lista del codigo, el primer elemento de cualquier lnea es el nombre de la distribucin, el segundo es la versin del Apache, y el tercero es la direccin a utilizar para el exploit. Las vulnerabilidades estaban en las suites del web server Apache que tengan el paquete mod_ssl, que proporciona los servicios del SSL para la seguridad.

*

Decidiendo a qu plataforma apuntar el gusano, el paso siguiente es elegir unas o ms vulnerabilidades que el gusano pueda acceder. El exploit debe ser capaz de proporcionar el acceso para ejecutar comandos arbitrarios en el anfitrin, tumbar al servicio o de ejecutar un subconjunto de comandos.

Una consideracin adicional es asegurarse de que el servicio sea accesible de un rea amplia. Esto hace los servidores Web o servidores de nombres, los blancos ideales para las vulnerabilidades. Los servicios locales, tales como servicios de correo o del groupware, no son en grandes magnitudes, as que las vulnerabilidades en esos servicios son poco probables que sean tiles para un gusano del Internet.

El gusano de Slapper habra podido elegir atacar casi cualquier servicio SSL, porque la vulnerabilidad estaba en el protocolo del SSL que son parte de los Servidores Web en Internet.*

El Lenguaje usado por el gusano es una consideracin importante, porque puede determinarse en qu anfitriones ser capaz el gusano funcionar. Si el lenguaje requiere de compilacin en el anfitrin atacado, ser un requisito que exista un compilador en el anfitrin escogido. Una consideracin tambin es que el lenguaje trabaje con sockets de red y pueda ejecutar comandos arbitrarios. Esto reduce al mnimo la necesidad de herramientas externas para comunicarse con los sistemas remotos o el accesso al Shell de comandos del sistema local.

Algunas lenguajes son interpretes de Scripts como Perl, Python, o VBscript, y tienen la ventaja del funcionamiento similar en varios tipos de anfitriones. Otros lenguajes, tales como C o C++, deben ser compiladas antes de que puedan ser ejecutados. Los lenguajes interpretes tienen la ventaja del funcionamiento en ms de un tipo de anfitrin. Por ejemplo, el Perl funciona en casi todos los derivados del UNIX y tambin se encuentra en muchos anfitriones de Windows. El Perl tambin tiene la ventaja de ser capaz de ejecutar casi cualquier comandos a ejecutarse, incluyendo el establecimiento de los zcalos de la red.

Los gusanos que se compilan estticamente (en comparacin con los que son dinmicos que usan libreras) son de un tamao grande. Estos executables son varias veces ms grandes que sus contrapartes las dinmicas. Los gusanos programados en forma dinmica que necesitan libreras puede ser ms pequeo y ms eficiente.

Algunas gusanos se construyen con el lenguaje del entorno del Sistema Operativo, tal como el Bourne shell en UNIX o VBscript en Windows.

El gusano de Slapper fue escrito en el lenguaje-c y compilado en cada anfitrin. Compilado el gusano en cada anfitrin, el gusano poda alcanzar independencia de la biblioteca en el transporte del anfitrin al anfitrin, de modo que cualesquiera de sus dependencias fueron satisfechas al momento de la compilacin. De esta forma se evitaba que las dependencias insatisfechas eviten que el gusano se compilara y se lanzara.

*Los mtodos de bsqueda usados por el gusano son una faceta importante para su supervivencia. Como se ha demostrado con el gusano de Slammer del SQL, posee una lista predefinida de las direcciones a explorar. Esta tcnica apareca estar bien diseada al principio, ayudando al gusano a permanecer en redes ms densas con muchos anfitriones y reduciendo al mnimo sus redes de exploracin.

Las tcnicas de hopping empleadas por Nimda y el code red II, aparecen lograr una equilibrio eficaz entre la exploracin al azar y la dirigida. El gusano es probable permanecer en un ambiente de alta cantidad de Hosts. Esto significa que el gusano tiene una alta probabilidad de encontrar otro anfitrin vulnerable en la misma red, aumentando su productividad y crecimiento.

Las listas generadas por el gusano de Slapper para sondear consista en una lista pseudorandom de octetos. La lista, construida en el gusano, contiene un primer octeto de la direccin de red. Las direcciones fueron elegidas porque representan el espacio de direccin, que estn asignados y funcionando.Generando una lista de ms de 65.000 direcciones para sondear, Slapper comenz a explorar los servidores de Apache. Esta lista permiti que el gusano se centrara en esta bsqueda, no enviaba los paquetes a los anfitriones cuya direccin estaban ausentes. *

El gusano uso el servicio de fingerprint para realizar una consulta de GET y obtener el tipo de Servidor. El gusano al conectarse con el servidor en el proceso del escaneo le enva una peticin simple. La respuesta enviada por el servidor contiene, en su cabecera informacin til:

Tipo de Server: ApacheVersin: 1.3.26Sistema Operativo: Debian GNU/Linux

Si concuerda con los datos esperados por el gusano se lanzara el exploit.

*La entrega de la carga til del gusano del nodo del padre al nodo del nio es otra consideracin que se tiene en cuenta. Es lgico pensar de distribuir el gusano de una localizacin central, tal como un Web site o un centro de distribucin de archivos.

Sin embargo, tales mtodos centralizados pueden ser congestionado debido a la lista exponencial que cada vez es mayor de los nodos, donde el gusano ira sobrecargando la red por donde circula. El padre puede inyectar la carga til del gusano en el sistema del nodo del nio u ordenarla para que descargue el archivo del servidor del padre.

En cualquier caso, la carga til del gusano debe ser algo pequea para hacer el proceso ms eficiente. Con el tamao de aumento de la red del gusano, el trfico tambin crecer, conduciendo rpidamente a la congestin. Optimizando la carga til del gusano para ser perceptiblemente ms pequea, la red del gusano puede expandirse antes de que se congestione a un grado inutilizable.

Ms bien usando una peticin del nio al nodo del padre o a una central, el gusano de Slapper utiliz el mecanismo directo de la inyeccin. Despus de un compromiso acertado del anfitrin atacado, abre un canal del control:El cdigo de fuente entonces se escribe al zcalo abierto del padre al nodo del nio. Los comandos de Shell se ejecutan en el nodo del nio para compilar el cdigo de fuente del gusano. *

Con el nodo del nio bajo el control del gusano, el paso siguiente es ocultar el proceso del gusano de los monitores del sistema. Existen varias tcnicas para ocultarlo, incluyendo la instalacin de los mdulos del ncleo, los root kits y los binarios modificados del sistema y tambin el renombramiento de proceso a ocultar en el espacio de procesos normales. Uno de los mecanismos dominantes que debe de asegurarse al gusano para persistir en los anfitriones es que funcionar es que se cargue al iniciar el Sistema. En los anfitriones del UNIX esto puede ser lograda llamando al cdigo de fuente del gusano en las escrituras de la inicializacin de sistema. En los anfitriones de Windows, esto es hecha tpicamente modificando el registro del sistema o un ejecutable que cargue el gusano.

El gusano Slapper no realiza estas medidas porque carece los privilegios requeridos. El proceso y los archivos no se ocultan del sistema, y el gusano se lanza solamente en el tiempo de la infeccin, as que un reboot del sistema lo desinstala. Esta limitacin es debido a los privilegios disponibles para el proceso del gusano. Los permisos del usuario que gestiona al web server tiene pocos privilegios, reduciendo al mnimo el impacto de cualquier compromiso. Para instalar los mdulos del ncleo o para alterar binarios del sistema, los privilegios administrativos se requieren. Como tal, el gusano de Slapper no puede ocultarse de los administradores o instalarse en el sistema para que funcione cada vez que se arranque el sistema. *Despus de la identificacin de una blanco y del compromiso acertado del nodo, el nodo del gusano del nio se puede agregar a la red del gusano. El nodo del gusano anuncia su localizacin al resto del nodo del gusano, construyendo la base de datos. Esto se puede lograr usando un mensaje del electrnico-correo que anuncia el gusano (como fue hecho en el gusano de Linux Ramen), un aviso en un paquete (como fue hecho con el gusano de Morris), o la presencia dentro de un canal de comunicaciones (como fue hecho con el gusano de las hojas).

El gusano de Slapper construye su red usando el puerto 2002/UDP como su canal de comunicaciones. Cuando se lanza el gusano, se anuncia a la direccin del nodo del padre. Este aviso entonces se comparte con los otros nodos en la red de los nodos del gusano que estn escuchando en el puerto 2002/UDP. Este interfaz se puede utilizar para establecer la encaminamiento entre nodos y un conocimiento completo de la red del gusano.

*A continuacin veremos una breve resea de otras amenazas que podrn verse en los meses sucesivos, muchas de las cuales ya son utilizadas actualmente:

El poder de la distribucin de la informacin ya ha comenzado a dar sus frutos y los creadores de malware no son ajenos a esta realidad. La explotacin de la redes P2P para diseminar programas dainos ya es ampliamente utilizada desde hace aos, pero estas tcnicas se perfeccionarn con la aplicacin de engaos ms reales, como es el caso del lanzamiento del crack universal de Windows Vista con un troyano. En el punto anterior notamos que la piratera y el uso de programas ilegales es una de las claves para la propagacin de malware, sobre todo en pases en donde la tasa de uso de programas ilegales es tan alta como en Amrica Latina. Es fundamental que los usuarios finales y las corporaciones lo analicen y consideren alternativas de solucin viables a corto plazo.El volumen de spam alcanzado parece no tener lmites, y eso sucede gracias a las personas inescrupulosas que contratan los servicios de los spammers. La demanda es tal que estos ltimos no dudan en usar todas las herramientas disponibles a su alcance para satisfacer las necesidades de sus clientes. Los gusanos y troyanos diseminados mediante spam tienen como objetivo crear grandes redes de sistemas infectados (botnets) para que los mismos sean utilizados para enviar ms spam. De no encontrar una solucin jurdico-tcnica, puede ser uno de los problemas ms graves con los que se ha encontrado Internet desde sus inicios.El perfeccionamiento de tcnicas de phishing y vishing ser un imperativo para los creadores de este tipo de engaos, pero ms lo ser la instalacin masiva de troyanos bancarios que aprovechen tcnicas de modificacin de sitios web, grabacin de imgenes y vdeo para poder robar datos confidenciales. Seguirn prevaleciendo las tcnicas de instalacin de keyloggers para robo de informacin que el usuario pueda teclear. A estos se suman el spyware y el adware (generalmente denominados PUP-Potencial Unwanted programs), los cuales seguirn abusando de la confianza del usuario para su instalacin y posterior robo de informacin.La ya establecida tcnica de ocultamiento y modificacin de procesos del sistema (generalmente denominada rootkits) se perfeccionar y los programas dainos comenzarn a aplicar estas tcnicas masivamente para dificultar su deteccin y remocin. **

El proyecto DoS "trinoo" es un programa master/slave, que implementa una red distribuida de denegacin de servicio. El demonio Trinoo comprometa una explotacin de un bug en el servicio de RPC. Este ataque esta descrito en el incidente de la CERT:http://www.cert.org/incident_notes/IN-99-04.html

El daemon fue compilado para correr en Solaris 2.5.1 y Red Hat Linux 6.0. El master fue compilado para correr en Red Hat Linux 6.0. http://www.sans.org/resources/malwarefaq/**BIBLIOGRAFIAhttp://www.caida.org/http://www.sans.org/resources/malwarefaq/http://www.packetstormsecurity.org/

u01 Code Mali

Documents

Transcript of u01 Code Mali