1. Seguridad y Alta DisponibilidadUNIDAD 4.SOFTWARE ANTIMALWARE1

2. Contenidos 1. Software malicioso 2. Clasificacin del malware2.1. Mtodos de infeccin 3. Proteccin y desinfeccin3.1. Clasificacin del software antimalware3.2. La mejor herramienta antimalware2 3. 1SOFTWAREMALICIOSO3 4. Software Malicioso MALWARE = Malicius softwareVirus, gusanos, troyanos y, en general, todos los tipos de programas paraacceder a ordenadores sin autorizacin y producir efectos no deseados. EVOLUCIN HISTRICAComienzos:- Motivacin principal de creadores de virus: reconocimiento pblico.- Cuanta + relevancia tuviera el virus, + reconocimiento para su creador.- Las acciones a realizar por el virus deban ser visibles por el usuario ysuficientemente dainas (ej: formatear DD, eliminar ficheros importantes)Actualmente:- Malware como negocio muy lucrativo.- Los creadores de virus han pasado a tener una motivacin econmica.4 5. Software Malicioso EVOLUCIN HISTRICA (II) 1987-1999: Virus clsicos, los creadores no tenan nimo de lucro, motivacin intelectual y protagonismo. 2000-2004: explosin de los gusanos en Internet, propagacin porcorreo electrnico, aparicin de las botnets. 2005-2009: claro nimo de lucro, profesionalizacin del malware, explosin de troyanos bancarios y programas espas. 2010- : casos avanzados de ataques dirigidos, espionaje industrial y gubernamental, ataque a infraestructuras crticas, proliferacin de infecciones en dispositivos mviles.5 6. Software MaliciosoCmo obtener un beneficio econmico? Robar informacin sensible del ordenador infectado: datos personales,contraseas, credenciales de acceso a diferentes entidades, mail, bancaonline, etc Crear una red de ordenadores infectados (botnet o red zombi). El atacante puede manipularlos todos simultneamente y vender servicios: envo de spam, mensajes de phishing, acceder a cuentas bancarias, realizar DoS, etc. Vender falsas soluciones de seguridad (rogueware o fakeAV). Ej: Falsos antivirus que muestran mensajes con publicidad informando que el ordenador est infectado la infeccin es el falso antivirus. Cifrar el contenido de los ficheros del ordenador y solicitar un rescateeconmico para recuperar la informacin (criptovirus o ransomware)6 7. 2CLASIFICACIN DELMALWARE7 8. Clasificacin del Malware Clsicao Virus Infectan otros archivos (como los virus reales). Generalmente son ejecutables: .exe, .src, .com, .bat. Infectan a un sistema cuando se ejecuta el fichero infectado.o Gusano Caracterstica principal: realizar el mximo n de copias posible de s mismos para facilitar su propagacin. No infecta a otros programas. Mtodos de propagacin: correo electrnico, archivos falsos descargados P2P, mensajera instantnea, etc.o Troyano Cdigo malicioso con capacidad de crear una puerta trasera (backdoor), que permita la administracin remota a un usuario no autorizado. Formas de infeccin: al visitar una web maliciosa, descargado por otro malware, dentro de otro programa que simula ser inofensivo, etc. 8 9. Clasificacin del Malware Clasificaciones genricas que engloban varios tipos de malware:o Ladrones de informacin (infostealers) Roban informacin del equipo infectado. Capturadores de pulsaciones de teclado (keyloggers), espas de hbitos de uso einformacin de usuario (spyware) y ladrones de contraseas (PWstealer).o Cdigo delictivo (crimeware) Realizan una accin delictiva en el equipo con fines lucrativos. Ladrones de contraseas bancarias (phising) propagados por spam con clickers afalsas pginas bancarias, estafas electrnicas (scam), venta de falsas herramientasde seguridad (rogueware), cifra de documentos y archivos para pagar un rescate(ransomware), puertas traseras (backdoor) o redes zombi (botnets).o Greyware (o grayware) Inofensivo. Realizan alguna accin que no es daina, slo molesta o no deseable. Visualizacin de publicidad no deseada (adware), espas (spyware) que robaninformacin de costumbres del usuario para publicidad (pginas por las quenavegan, tiempo que navegan), bromas (joke) y bulos (hoax).9 10. Clasificacin del Malware10 11. Mtodos de infeccin Cmo llega al ordenador el malware y cmo prevenirlos?Prevenir la infeccin resulta relativamente fcil conocindolas: Explotando una vulnerabilidad software Desarrolladores de malware aprovechan vulnerabilidades de versiones de SO o programa para tomar el control. Solucin: actualizar versiones peridicamente. Ingeniera socialTcnicas de abuso de confianza para hacer que el usuario realicedeterminada accin, fraudulenta o que busca un beneficioeconmico. Por un archivo maliciosoArchivos adjuntos en spam, ejecucin de aplicaciones web,archivos de descargas P2P, generadores de claves y cracks deSW pirata, etc. 11 12. Mtodos de infeccin (y 2) Cmo llega al ordenador el malware y cmo prevenirlos?Prevenir la infeccin resulta relativamente fcil conocindolas: Dispositivos extrables Muchos gusanos dejan copias en dispositivos extrables, que mediante la ejecucin automtica cuando el dispositivo se conecta a un ordenador, pueden ejecutarse e infectar el nuevo equipo y a nuevos dispositivos que se conecten) . Cookies maliciosasPequeos ficheros de texto en carpetas temporales delnavegador al visitar pginas web que almacenan informacinfacilitando la navegacin del usuario. Las cookies maliciosasmonitorizan y registran las actividades del usuario en internetcon fines maliciosos (capturar datos del usuario, contraseasde acceso a determinadas webs, vender los hbitos denavegacin a empresas de publicidad, etc.)12 13. Prctica 1. Keylogger. Revealer Keylogger Software de recuperacin de pulsaciones de teclado. Se ejecuta al inicio y se encuentra oculto. Permite controlar y grabar todos los textos que se introducen por teclado en un ordenador (textos como pginas web, conversaciones e incluso usuarios y contraseas). 13 14. 3 PROTECCINYDESINFECCIN 14 15. Proteccin y desinfeccin Recomendaciones de seguridad Mantente informado sobre las novedades y alertas de seguridad. Mantn actualizado tu equipo, sistema operativo y aplicaciones. Haz copias de seguridad con cierta frecuencia, gurdalas en lugar y soporte seguro. Utiliza software legal, que suele ofrecer mayor garanta y soporte. Utiliza contraseas fuertes en todos los servicios. Crea diferentes usuarios en tu sistema, cada uno de ellos con los permisos mnimosnecesarios para poder realizar las acciones permitidas. Utiliza herramientas de seguridad antimalware actualizadas peridicamente.Analiza el sistema de ficheros con varias herramientas (contraste). Realiza peridicamente escaneo de puertos, test de velocidad y de las conexionesde red para analizar si las aplicaciones que las emplean son autorizadas. No fiarse de todas las herramientas antimalware. Ojo con el rogueware. Acceder a servicios de Internet que ofrezcan seguridad (HTTPS) y en ordenadoresde confianza y seguros.15 16. Clasificacin del software antimalware Las herramientas antimalware se encuentran ms desarrolladas paraentornos ms utilizados por usuarios no experimentados y, por tanto,ms vulnerables usualmente entornos Windows. Cada vez son mayor el nmero de infecciones en archivosalojados en servidores GNU/Linux y aplicaciones cada vezms usadas como el navegador web Mozilla Firefox. 16 17. Clasificacin del software antimalware Antiviruso Programa informtico diseado para detectar, bloquear y eliminar cdigos maliciosos.o Existen versiones gratuitas y de pago, los fabricantes suelen tener distintas versionespara que se puedan probar sus productos de forma gratuita, y en ocasiones parapoder desinfectar ser necesario comprar sus licencias.o Variantes: Antivirus de escritorio. Instalado como una aplicacin, permite el control del antivirusen tiempo real o del sistema de archivos. Antivirus en lnea. Aplicacin web que permite, mediante la instalacin de plugins enel navegador, analizar el sistema de archivos completo. Ej: Panda. Anlisis de ficheros en lnea. Servicio gratuito para el anlisis de ficheros sospechososmediante el uso de mltiples motores antivirus. Ej: Hispasec. Antivirus portable. No requieren instalacin en el sistema. Consumen pocos recursos. Antivirus Live. Arrancable y ejecutable desde USB, CD o DVD. Ej: AVG. 17 18. Clasificacin del software antimalware Otras herramientas especficas: AntispywareSpyware = programas espa, son aplicaciones que recopilan informacin delsistema para enviarla a travs de Internet, generalmente a empresas de publicidad.Antispyware = Herramientas de escritorio y en lnea, que analizan nuestrasconexiones de red, en busca de conexiones no autorizadas. Herramientas de bloqueo webInforman de la peligrosidad de los sitios web que visitamos.Varios tipos: los que realizan un anlisis en lnea, los que se descarga como unaextensin/plugin de la barra del navegador, y los que se instalan como unaherramienta de escritorio. 18 19. Prctica 2. Antimalware. Windows: Malwarebytes Busca, detecta y elimina todo tipo de malware. Herramienta muy til frente a rootkits. Para entornos Windows, descarga gratuita en www.malwarebytes.org19 20. Prctica 2. Antimalware. GNU/Linux: ClamAv y Clamtk Instalacin: sudo aptitude install clamavsudo aptitude install clamtk Actualizacin online:sudo freshclam ClamAv. Escaneo: sudo clamscan r i /home Clamtk. Ejecucin grfica: sudo clamtkClamAv y Clamtk nos ofrecenla posibilidad de escanear unsistema de archivos Windowssin arrancar el SO propio.20 21. La mejor herramienta antimalwareQu herramienta se ajusta mejor a mis necesidades? Empresas desarrolladoras de antimalware muestran estudios en sus propias web demostrando que son mejores que la competencia. Los estudios pierden Los usuarios pueden realizar estudios, pero la muestra de virus suele validez ser pequea o se pueden malinterpretar los resultados. La tasa de deteccin puede variar de mes a mes por el gran nmero de malware que se crea. Ningn antivirus es perfecto (no existe el 100% de deteccin) Los estudios con ms validez, hechos por empresas o laboratorios independientes: AV Comparatives (www.av-comparatives.org) AV-Test.org (www.av-test.org) ICSA Labs (www.icsalabs.com ) Virus Bulletin (www.virusbtn.com) West Coast Labs (www.westcoastlabs.org) 21 22. La mejor herramienta antimalware En ocasiones, las herramientas antimalware no suponen una solucin a una infeccin:detectan posibles amenazas pero no corrigen el problema. En estos casos, es ms efectivo un control a fondo de los procesos de arranque, los que se encuentran en ejecucin y los archivos que hagan uso de las conexiones de red . Para Windows: Control de procesos de arranque automtico en el inicio: msconfig. Suite de herramientas de control de procesos: Sysinternals. Herramientas de control a fondo del sistema: HiJackThis de Trend Micro. Control de conexiones de red: comando netstat.22 23. Enlaces de inters Blog de la seguridad de la informacin:http://www.inteco.es/blogs/inteco/Seguridad/BlogSeguridad/ultimos_articulos/ Web sobre software antimalware: http://www.antivirusgratis.com.ar/ SiteAdvisor McAfee. Valida el nivel de seguridad y confiabilidad de las URL visitadas:http://www.siteadvisor.com/ Foro de InfoSpyware. Listado con malware y antimalware falso (rogue o fakeavs):http://www.forospyware.com/ Artculo para prevenir y curar virus en el arranque de dispositivos USB:http://www.cristalab.com/tutoriales/como-eliminar-virus-autorun.inf-de-un-dispositivo-usb-c76436l/ Artculo sobre la cronologa de los virus informticos:http://www.nod32-la.com/tutorials/cronologia_de_los_virus_informaticos.pdf Historia del malware:http://www.pandasecurity.com/spain/homeusers/security-info/classic-malware/ 23 24. Enlaces de inters SOFTWARE tiles gratuitos de seguridad informtica (CERT INTECO):http://cert.inteco.es/software/Proteccion/utiles_gratuitos/ Revealer Keylogger: http://www.logixoft.com/ Antivirus para entornos GNU/Linux (ClamAv y ClamTk) y ClamWin:http://es.clamwin.com/ AVG Rescue CD (distribucin arrancable desde USB y CD):http://www.avg.com/ww-es/avg-rescue-cd Sysinternals. Paquete de herramientas de anlisis a bajo nivel para Windows:http://technet.microsoft.com/es-es/sysinternals/default HiJackThis. Analizador de aplicaciones, servicios activos, cambios de configuracinproducidos por malware, en Windows. Producto de Trend Micro.http://free.antivirus.com/hijackthis/24