Virus de Hoy, Antivirus de Ayer, Usuarios de Siempre y los Daños...

© Copyright 2003 VIRUSPROT, S.L. Todos los derechos reservados

WWW.VIRUSPROT.COM

Virus de Hoy, Antivirus de Ayer, Usuarios de Siempre y los Daños... ¡Como Nunca!

1

Virusprot, [email protected] © Copyright 2004 VIRUSPROT, S.L. Todos los derechos reservados

Virus de Hoy, Antivirus de Ayer, Usuarios de Siempre y los Daños...

Presentador: Ing. Eduardo Tabacman


WWW.VIRUSPROT.COM


2

Temario• Introducción• Los 90 (Los “Naintis”) – Nacen los Primeros Virus

Virus Antivirus Daños

• 15 Años Después – El Mundo se Mueve Evolución de los Virus Ejemplos Estadísticas Amenazas de ayer y de hoy Daños Usuarios Opiniones de los expertos Filtrado Virus de Hoy

Conclusiones

V000-1-04


WWW.VIRUSPROT.COM


3

V000-1-04


WWW.VIRUSPROT.COM


4

VIRUSPROT, S. L.

• Oficina Central: Madrid (España)• Fundador: Eduardo Tabacman, Director General

([email protected])• Establecida: 1999• Equipo con más de 14 años de experiencia en el tema de

la Seguridad Informática• Actividades Principales:

– Portal de Seguridad Informática VIRUSPROT.COM (http://www.virusprot.com)

– 80.000 visitas mensuales– Distribución de productos SI– Servicios de asesoramiento y consultoría SI– Desarrollo de seminarios y conferencias SI– Bussiness matching

V000-1-04


WWW.VIRUSPROT.COM


5

¡¡ Nacen ¡¡ Nacen los los

PrimerosPrimeros Virus !!Virus !!

Los “Naintis”Los “Naintis”

V001-1-04


WWW.VIRUSPROT.COM


6

Principales Amenazas en los 90

• Virus: Programa informático con capacidad de replicación cuya finalidad es difundirse al mayor número de usuarios a través de diferentes vías y provocar daños de distinta índole en archivos y sistemas.

• Gusano: Posee las mismas características que los virus salvo que no necesitan infectar otros archivos para reproducirse. Se limitan a guardar en el sistema copias de sí mismos pudiendo llegar a colapsar por saturación los sistemas en los que se infiltran.

V002-1-04


WWW.VIRUSPROT.COM


7

Mecanismo de Difusión (I)

1 2 3 4

Zero

Day

Día

Cer

o

V003-1-04


WWW.VIRUSPROT.COM


8

Mecanismo de Difusión (II)

1 2 3 4

Tiempo1-2 días Semana VACUNA

PerjudicadosDaños

Zero

Day

Día

Cer

o

V004-1-04


WWW.VIRUSPROT.COM


9

AntiVirus

• Tecnología Reactiva basada en Firmas• Actualización Mensual/Trimestral• Solución a Nuevos Virus 48/72 horas• Heurística• Reparación Genérica de Boot• Chequeos de Integridad

V005-1-04


WWW.VIRUSPROT.COM


10

Nuevo Virus

• Detectado mediante:– Heurística– Chequeos de Integridad– Daño concreto

• Antivirus:– En el mismo día – Máximo 3-4 días

• Reducir Daños• Reconstruir Boot• Desinfectar Archivos

V006-1-04


WWW.VIRUSPROT.COM


11

Daños

• Pérdida Horas de Trabajo– Departamento Sistemas– Usuario/s Implicado/s

• Borrar Información (Backups)• Anonimato Infección• Aislar máquinas

V007-1-04


WWW.VIRUSPROT.COM


12

15 Años15 AñosDespués,Después,

V101-1-04


WWW.VIRUSPROT.COM


13

Ban

da A

ncha

, 24x

7

Evolución de las Tecnologías de la Información

1990

Información valiosa

1995 2000 2003Pc

´s s

obre

mes

aSe

rvid

ores

Port

átile

s

PDA

/ Móv

iles

1995 2000 2003

Contribucióna los beneficios

Inte

rnet

Tecnologías de la

Información

V102-1-04


WWW.VIRUSPROT.COM


14

Crecimiento de los Virus

Nº

Viru

s

0300060009000

120001500018000210002400027000300003300036000390004200045000480005100054000

Año

1989 ‘90 ‘91 ‘92 ‘93 ‘94 ‘95 ‘96 ‘97 ‘98 ‘99 ‘00 2001

90 180 360 1100 2450 35505500

785010350

18500

33500

45000

55000

Fuente: ICSA Labs

92.000 Virus

Mayo 2004

V103-1-04


WWW.VIRUSPROT.COM


15

Blaster• Tipo: Gusano de Internet / Caballo de Troya• Descubierto: Agosto 2003• Difusión: No emplea el correo electrónico• Explota la vulnerabilidad DCOM/RPC, se produce un

desbordamiento de búfer. Boletín de Seguridad MS03-026 de Microsoft

• Parche existente desde 16/07/2003.• La máquina comprometida descarga una copia del gusano

vía TFTP que se guarda como MSBLAST.EXE o PENIS32.EXE.

• El 16/08/2003 lanza ataque DoS contra “WINDOWSUPDATE.COM”, envía a través del puerto TCP 80 un paquete cada 20 milisegundos.

• Síntomas: Importante incremento del tráfico en puertos TCP 135/4444 y UDP 69. Constante reinicio del PC.

V105-1-04


WWW.VIRUSPROT.COM


16

Sobig.F• Tipo: Gusano de Internet• Descubierto: 19 Agosto 2003• Difusión: Correo electrónico y unidades de red

compartidas• Falsea la dirección del remitente (from) Spoofing.• Se autocopia en el Sistema como WINPPR32.EXE.• Utiliza su propio motor SMTP para enviar e-mails a las

direcciones de correo almacenadas en el equipo atacado. • Envía paquetes UDP al puerto 8998 de servidores remotos

que sirve para descargar otros componentes del gusano (backdoor).

• Abre los puertos 995 al 999 para recibir órdenes.• Síntomas: e-mail en inglés con Asunto y Adjunto

reconocibles.

V106-1-04


WWW.VIRUSPROT.COM


17

Mydoom• Tipo: Gusano de Internet y Caballo de Troya• Descubierto: Enero 2004• Difusión: Ejecución archivo adjunto a e-mail• Se propaga rápidamente por e-mail y la red de intercambio KaZaa. • Falsea la dirección del remitente (from) Spoofing.• Localiza direcciones de correo almacenadas en el equipo atacado a las cuales

reenviarse y usuarios Kazaa.• Abre una puerta trasera por los puertos TCP/3127 al 3198 por los que descarga un

ejecutable.• Actúa como servidor Proxy TCP que permite controlar remotamente los

recursos de red.• Lanza ataques de denegación de servicio (DoS) a la web www.sco.com, desde el 1

al 12 de febrero de 2004, enviando peticiones cada 1024 milisegundos.• Síntomas: Cuando se ejecuta abre el Notepad y muestra texto

basura.

V107-1-04


WWW.VIRUSPROT.COM


18

Bagle• Tipo: Gusano de Internet• Descubierto: Enero/Abril 2004 (múltiples variantes)• Difusión: Ejecución archivo adjunto a e-mail• Falsea la dirección del remitente (from) Spoofing.• Intenta acceder a varias direcciones de Internet para auto-

actualizarse e intenta descargar otro troyano: Troj/Mitglieder.

• Características de troyano, abre los puertos 6777 / 4751 / 8866 permite al atacante ejecutar remotamente código arbitrario.

• Síntomas: Abre la calculadora de Windows/ grabadora de sonido / juego de corazones.

V108-1-04


WWW.VIRUSPROT.COM


19

Netsky• Tipo: Gusano de Internet• Descubierto: Febrero/Abril 2004 (múltiples variantes)• Difusión: Correo electrónico• Localiza direcciones de correo almacenadas en el equipo

atacado a las cuales reenviarse.• Más de 30 variantes conocidas.• Aprovecha vulnerabilidad de Internet Explorer que permite

la ejecución automática de archivos de correo electrónico.• Se activa con sólo visualizar el mensaje.• Borra entradas de otros gusanos como Mydoom y Bagle.

V109-1-04


WWW.VIRUSPROT.COM


20

Sasser• Tipo: Gusano de Internet• Descubierto: Mayo 2004• Difusión: No emplea el correo electrónico• Primer gusano que explota la vulnerabilidad LSASS (Local

Security Authority Subsystem). Boletín de Seguridad MS04-011 de Microsoft

• Afecta básicamente a Windows XP/2000.• El gusano explora pseudos IPs aleatorias en el puerto 445

enviando el exploit que puede permitir el control remoto de su PC por el puerto 9996

• Abre un servidor de FTP en un PC remoto que escucha en el puerto 5554, envía y se ejecuta en la máquina remota.

• Síntomas: Provoca el reinicio del sistema en Windows XP/2000. Aparece pantalla “Apagar Sistema”.

V110-1-04


WWW.VIRUSPROT.COM


21

Nuevos Tipos de Amenazas

• Virus de Macro:– Infectan archivos de datos. MS Office-Word, Excel, PowerPoint y

Access.– Fáciles de crear.

• Gusanos de e-mail:– Infectan cuando los usuarios abren los correos y los archivos

adjuntos.– Utilizan técnicas de Ingeniería Social.

• Super Gusanos (Gusanos de 3ª Generación):– Muy sofisticados, atacan vulnerabilidades sin participación del

usuario, identifican nuevas víctimas automáticamente,– Incorporan troyanos. – Utilizan múltiples vectores de ataque.

V104-1-04


WWW.VIRUSPROT.COM


22

Estadísticas de Códigos Malignos Más DifundidosAño 2003

• Mass Mailers 9 de los 10 TOP• Con motor de Difusión Propio 61%• Amenaza a la Privacidad 519% (passwords, claves de encriptación, etc...)

V111-1-04


WWW.VIRUSPROT.COM


23

Velocidad de Propagación

• Code Red 12 horas• Klez 2-5 horas• Slamer 10 minutosFuente: ICSA Labs

• Blaster 27 segundos (Prueba F-Secure Corporation en PC desprotegido)

V112-1-04


WWW.VIRUSPROT.COM


24

Métodos de Distribución de VirusFuentes de la Infección, 1996 - 2003

Fuente: ICSA Labs Virus Pevalence Survey 2003

Adjuntos E-mail

Descargas Internet

Disquete

Otros Internet

V113-1-04


WWW.VIRUSPROT.COM


25

VulnerabilidadesTipo 2002 2003

Descubiertas 2.587 2.636Moderadamente

Severas 98/mes 115/mes

Fáciles de Explotar 60% 70%

Muy Severas 175 231

Fuente: Symantec

- Disminución del tiempo entre anuncio y explotación

V114-1-04


WWW.VIRUSPROT.COM


26

Tipo de Ataques ElectrónicosDetectados en el último Año

Robo de Portatil

Robo de Handheld

Robo Otros Dispositivos

Infección virus, gusano, troyano

Intercepción comunicaciones (voz/datos)

Degradación del Rendimiendo de Red debido a Escaneo Agresivo

Ataque Denegación Servicio Fuente: 2004 Australian Computer Crime and Security Survey

V115-1-04


WWW.VIRUSPROT.COM


27

Virus de Ayer – Virus de Hoy:Evolución de los Virus según las Tecnologías

Tipo Código Malicioso Época Medio

DifusiónTiempo

Producción Epidemia

Tiempo Epidemia Mundial

Virus Boot/Archivo 1990/1995 Disquetes Semanas Meses

Macro Virus 1995/2000 Internet/CDs Días 1-2 Meses

Gusanos de e-mail 1999 Correo

Electrónico Horas Días

SuperGusanos 2001 TCP/IP Minutos 1-2 Horas

V116-1-04


WWW.VIRUSPROT.COM


28

Amenazas del Pasado

Amenaza = Virus/disqueteAmenaza = Virus/e-mail

InternInternetet

e-mail

V117-1-04


WWW.VIRUSPROT.COM


29

Amenazas MixtasBlended Threats

Amenaza = Virus/e-mail + Spam + Phishing +Hacking

virusspam

phishing

e-mail Securitye-mail Security

MALWARE(códigos malignos)

InternInternetethacking

V118-1-04


WWW.VIRUSPROT.COM


30

Empleo de Antivirus PerimetralComparativa de la cobertura de antivirus perimetrales, 1997 - 2003


Firewalls

Proxy ServersE-Mail Gateways

V119-1-04


WWW.VIRUSPROT.COM


31

IT Security Survey 2004 - CompTIA:Tecnologías o prácticas empleadas para reforzar la seguridad

54%

95%

94%

58%

39%

32%

22%

37%

30%

23%

19%

0% 20% 40% 60% 80% 100%

Sistema Detección Intrusos

Antivirus

Firewalls/Proxy Servers

Establecer Políticas Seguridad IT

Administrador/Equipo Seguridad Dedicado

Test Penetración

Autenticación Multi-factor

Control Acceso Físico

Cambio Proceso Control

Experiencia Seguridad Requerida

Prácticas Seguridad Requeridas

No. de Encuestados = 633

Fuente: The Computing Technology Industry Association

V120-1-04


WWW.VIRUSPROT.COM


32

Tecnologías de Protección empleadasSeguridad Física

Software Antivirus

IDs Digitales, Certificados

VPN

Login/Acceso Encriptado

Archivos Encriptados

Sistema Detección Intrusos

Firewalls

Fuente: 2004 Australian Computer Crime and Security Survey

V121-1-04


WWW.VIRUSPROT.COM


33

Semanal (11,00%)

Mensual/Trimestral (7,00%)Anual/Nunca (7,00%)

Lo Desconoce (3,00%)

Automática (59,00%)Diaria (13,00%)

Frecuencia de Actualización de Antivirus

Fuente: Information Security Breackes Survey 2004 – Viruses and Malicious CodePriceWaterHouseCoopers - DTI

V122-1-04


WWW.VIRUSPROT.COM


34

Porcentaje de Infecciones 2002Encuentros por 1000PCs por mes

Melissa


V123-1-04


WWW.VIRUSPROT.COM


35

Porcentaje Compañías Inglesas Afectadas por Códigos Maliciosos

10 20 4030 50 60 70

16%

41%

50%

68%Grandes compañías

General

General

General

Fuente: Information Security Breackes Survey 2004 – Viruses and Malicious CodePriceWaterHouseCoopers - DTI

2004

2004

2002

2000

V124-1-04


WWW.VIRUSPROT.COM


36

Efectos de los Virus


Pérdida Productividad

PC no disponible

Archivos Corruptos

Pérdida Acceso Datos

Pérdida Datos

Pérdida Usuario

Interferencia, lockup

System Crash

Aplicaciones Inseguras

Problemas Lectura Archivos

Problemas Grabación Archivos

Problemas Impresión

Amenaza Pérdida Trabajo

V125-1-04


WWW.VIRUSPROT.COM


37

Daños:Costo Promedio TOTAL del Último Desastre

99.000 U$S

81.000 U$S

69.000 U$S

Fuente: Computer Economics

2003

2002

2000

Agosto 2003Agosto 20032 billones de U$S

V126-1-04


WWW.VIRUSPROT.COM


38

Daños en Cifras• Pérdidas 25.000 millones de dólares• Costo medio por ataque 6.000 dólares• Interrupción actividades varias horas 22%• Pérdida irreversible archivos 20%• “Rabia Cibernética”:

– Tremendo dolor de cabeza por spam 17%– Gritos al PC y compañeros 15%– Disgusto 13%

Fuente: McAfee – 500 pymes europeas

V127-1-04


WWW.VIRUSPROT.COM


39

Daño

Historia Reciente

IT Security Survey 2004 - CompTIA


V128-1-04


WWW.VIRUSPROT.COM


40

Usuarios...¡Como siempre!

47% En gran parte

31% Cuando les conviene

12% Por casualidad

7% Al pie de la letra

3% Nunca

Fuente: Watchguard

V129-1-04


WWW.VIRUSPROT.COM


41

• 63% de los encuestados coincidieron en que el error humano fue la única o principal causa de la brecha de seguridad.

• 80% citaron como factores del error humano carencia de conocimientos de seguridad, de prácticas de seguridad o fracasan a la hora de seguir los procedimientos.

• Personal con entrenamiento en seguridad:- 69% <25% del personal- 15% >75% del personal

• Resultados Más outsourcing:- 70% económicamente más rentable.- 85% no existen suficientes recursos internos.- 80% no existe suficiente personal cualificado.

IT Security Survey 2004 - CompTIA


Las áreas problemáticas:

Tecnología y Personal

V130-1-04


WWW.VIRUSPROT.COM


42

Nivel Conocimiento en Seguridad de Usuarios

¿Piensa que su organización deberíaponer más medios para asegurar un apropiado nivel de conocimiento, entrenamiento, etc.. de seguridad para todo el personal general, de seguridad y directivos?

Fuente: 2004 Australian Computer Crime and Security Survey

Sí

No

No sabeGeneralSeguridad IT

Personal Dirección

V131-1-04


WWW.VIRUSPROT.COM


43

¿¿ qu quéé

V301-1-04

Saltan Todas las AlarmasTodas las Alarmas, y usted...

opinaopina ??


WWW.VIRUSPROT.COM


44

Internet de Rodillas – Aterrizaje ForzosoMyDoom Web SCO

V302-1-04


WWW.VIRUSPROT.COM


45

• Detectados 5 gusanos en 3 horas:– Netsky.C / Netsky.F– Mydoom.F– Bagle.I / Bagle.J

• Insultos mutuos• Netsky elimina a Bagle

Guerra en el Ciberespacio:3 de Marzo de 2004

“Difícil imaginar situacióntan cómica: un puñado de autoresde virus jugando impunes con Internety ningún miembro de la comunidadpuede hacer algo para detenerlo”

“Incidentes similares serán cada vez más frecuentes hasta que otros

métodos de prevensión sean utilizados”

Eugene Kaspersky – Kaspersky Labs

“Creemos que ambos autores deben tener acceso a una red underground formada por miles de PCs de inocentes usuarios que son

aprovechadas para lanzar nuevas versiones”Graham Cluley - Sophos

V303-1-04


WWW.VIRUSPROT.COM


46

Balacera en Internet...¡Sálvese quien pueda!

V304-1-04


WWW.VIRUSPROT.COM


47

Panorama Actual de la Seguridad Anti-VirusOpinión

V310-1-04


WWW.VIRUSPROT.COM


48

ColaboradoresOpinión

D. Denis Zenkin

Responsable de Comunicaciones Corporativas

D. Miguel A. Martín

Consultor Senior de Seguridad y Protección de Datos

D. Daniel Baras

Director de Marketing

V305-1-04


WWW.VIRUSPROT.COM


49

ColaboradoresOpinión

D. Mikko Hyppönen

Manager Anti-Virus Research

D. Fernando de la Cuadra

Editor Técnico Internacional

Dñª. Carole Theriault

Consultor de Seguridad

V306-1-04


WWW.VIRUSPROT.COM


50

Zero DayOpinión

"Ninguna empresa puede protegerse al 100% contra un zero day"Miguel Angel Martín (Computer Associates)

“Las soluciones antivirus necesitan un salto cuántico...Se basan en tecnología de hace 10 años. En informática es ¡muchísimo tiempo!”“Se debe tender a un nuevo método de detección: En lugar de ser reactivo las soluciones antivirus deber ser proactivas"

Fernando de la Cuadra (Panda Software)

“Cualquier tráfico saliente anormal en los puertos, e-mails masivos enviados por un usuario o el escaneo de IPS, debe hacer saltar la alarma"

Daniel Baras (BitDefender)

V307-1-04


WWW.VIRUSPROT.COM


51

Equipos MóvilesOpinión

"Las computadoras portátiles constituyen un riesgo muy alto porque están fuera de la red en muchas ocasiones, pueden recibir código maligno sin la supervisión de ningún responsable de seguridad... cuándo vuelven a la oficina, no se lleva a cabo ningún control sobre el estado de la seguridad”

Fernando de la Cuadra (Panda Software)

"Estos usuarios son de alto riesgo para la integridad de los sistemas. Está demostrado que son el orígen de muchas de las infecciones que sufren hoy en día las organizaciones”“Este tipo de usuario deberá ser concienciado y responsabilizado del riesgo que supone para la supervivencia del negocio”

Miguel Angel Martín (Computer Associates)

“Aconsejamos a las empresas utilizar técnicas de cuarentena para los usuarios móviles. Tener esas estaciones en una estricta cuarentena e impedirles el uso de la red hasta que no estén completamente chequeadas”

Denis Zenkin (Kaspersky Labs)

V308-1-04


WWW.VIRUSPROT.COM


52

FormaciónOpinión

“¡Es básico! Si los usuarios son capaces de entender qué pasa con un mensaje extraño, el peligro se reduce drásticamente”

Fernando de la Cuadra (Panda Software

"Uno de los puntos fundamentales en la prevención de los sistemas corporativos. Los usuarios deben conocer y ser concientes del riesgo y de las consecuencias que pueden llegar a producirse"

Miguel Angel Martín (Computer Associates)

“Creemos que los humanos siguen siendo el eslabón más flojo en la cadena de seguridad. La mayoría de las infecciones ocurren porqué la gente (tanto usuarios como administradores de sistemas) no son capaces de enfrentar el ataque del virus por falta de conocimientos”

Denis Zenkin (Kaspersky Labs)

“Para la mayoría de los usuarios la formación no es efectiva. Ellos seguirán toda la vida y para siempre haciendo doble click sobre cualquier cosa”

Mikko Hypponen (F-Secure Corporation)

“Todos los empleados que usan deben tener un claro conocimiento sobre los virus, su forma de difundirse y lo daños que pueden hacer”...“La educación es una medida de seguridad muy importante”

Carole Theriault (Sophos)

V309-1-04


WWW.VIRUSPROT.COM


53

Citas de los Expertos (I) “DEBEMOS COMENZAR A PENSAR DISTINTO PARA PROTEGERNOS DE VIRUS Y

CODIGOS DAÑINOS”“NO SE PUEDE SEGUIR UTILIZANDO TECNOLOGIA REACTIVA PARA PROTEGERSE DE LOS VIRUS”“LOS ANTIVIRUS SON SOLO UNA PARTE DE LA ECUACION DE PROTECCION”

ICSA Labs

“COMPUTER ANTIVIRUS STRATEGIES IN CRISIS”“EL METODO QUE USAMOS PARA COMBATIR LOS VIRUS ES FUNDAMENTALMENTE DEFECTUOSO”“CUANDO LOS ANTIVIRUS LOS COGEN EL DAÑO YA ESTA HECHO”“AUN SI LA FIRMA ESTUVIERA DISPONIBLE EN EL MISMO MOMENTO EN QUE EL VIRUS SE LIBERA YA NO PODRIA DETENER LA INFECCION”

New Scientist -Hewlett-Packard Labs. UK

V311-1-04


WWW.VIRUSPROT.COM


54

Citas de los Expertos (II) “LAS INFECCIONES EXTREMADAMENTE RAPIDAS NO PUEDEN DETENERSE

USANDO SOLO EL METODO TRADICIONAL BASADO EN FIRMAS”F-Secure Corporation

“LOS ESCANERES NO PUEDEN SEGUIR FUNCIONANDO. YA ERA ASI HACE 3 Ó 4 AÑOS, SOLO QUE AHORA ES TOTALMENTE OBVIO”

“LA HEURISTICA SOLO FUNCIONA REALMENTE CON AUTORES DE VIRUS FACILES.LOS MAS SOFISTICADOS USAN PRUEBA Y ERROR HASTA QUE LA EVADEN”

“LOS BLOQUEADORES DE COMPORTAMIENTO YA HAN ESTADO AQUI Y NO FUNCIONARON. NO SIRVIERON HACE 20 AÑOS, TAMPOCO SIRVEN AHORA”

Dr. Alan Solomon

V312-1-04


WWW.VIRUSPROT.COM


55

Virus de Hoy, Antivirus de Ayer, Usuarios de Siempre y los Daños...¡Como Nunca!

V313-1-04


WWW.VIRUSPROT.COM


56

¡¿ quéqué ?!

V314-1-04

...y ahora,

¡¿ ?!


WWW.VIRUSPROT.COM


57

Nuevo Escenario...Escenario de Hoy

• Más de 100 vulnerabilidades por mes• Internet de banda ancha – conexiones 24x7• Epidemias en menos de 1 hora• Dependencia de PC + Correo Electrónico + Web• Proliferación de equipos móviles

– Laptops– PDAs– Teléfono 3ª Generación

• Usuarios “Quinta Columna”

V315-1-04


WWW.VIRUSPROT.COM


58

Máquinas Comprometidas (Zombies)

• Origen del 50% del spam• Vandalismo Valor Económico• Funciones:

– Enviar correos masivos (spam)– Actuar como proxy para ocultar el ruteo de los mensajes– Robar la identidad del dueño para traspasar “listas negras”– Lanzar ataques DoS para tirar sitios web– Atacar a sitios web anti-spam– Hosting temporal de sitios web de spam– Conseguir listas de e-mails para uso de spam

V340-1-04


WWW.VIRUSPROT.COM


59

Virus de Hoy• Busca envíos masivos• Motores propios de difusión• Aprovechan vulnerabilidades del S.O., firewalls, programas de

correo, navegadores, etc...• Amenazan la privacidad• “Secuestran” equipos• Organizan redes clandestinas de miles y miles de equipos

comprometidos• Lanzan ataques de Denegación de Servicio (DoS)• Velocidad propagación infinitamente superior• Utilizan técnicas de spoofing• Introducen backdoors (puertas traseras)• Anonimato Impunidad• Warspamming

V316-1-04


WWW.VIRUSPROT.COM


60

¡Cuidado con los Aviones!

V317-1-04


WWW.VIRUSPROT.COM


61

Proceso de Filtrado

CentroFiltrado

BloqueoAtaques

DoSDHA*

MúltiplesMotores

Antivirus

SistemaPuntajesegún

Reglas

InterneInternett

ServidorEmpresa

MENSAJES EN CUARENTENA(Acceso vía Web)

SPAMSPAM SPAMSPAM SPAMSPAM

MotorFinger

Printing

“ListasNegras”Monitor

Reputación

e-m

ails

V318-1-04

* DHA (Directory Harvest Attack):Recolección de direcciones e-mail para incrementar el spam


WWW.VIRUSPROT.COM


62

Filtrado

• Beneficios: Elimina el spam Reduce 80% del tráfico Elimina los virus Reduce el riesgo de ataques Web de cuarentena e-Mails salientes cumplimiento de políticas Reports y estadísticas

• Desventajas: Menos control de la empresa Costes

V319-1-04


WWW.VIRUSPROT.COM


63

Los Virus más ExtendidosPostini - USA

Fuente: http://www.postini.comDatos a 20 de Mayo de 2004 – Últimas 24 horas

V320-1-04

200 millones de e-mails diarios 92 millones son spam 4 millones infectados con virus


WWW.VIRUSPROT.COM


64

Los Virus más ExtendidosMessageLabs – Reino Unido

Fuente: http://www.messagelabs.comDatos a 20 de Mayo de 2004 – Últimos 28 días Europa

V321-1-04

28 millones de e-mails diarios 19 millones son spam 2.5 millones infectados con virus


WWW.VIRUSPROT.COM


65

Los Virus más ExtendidosCentro de Alerta Temprana sobre Virus y Seguridad Informática - España

Fuente: http://www.alerta-antivirus.esDatos a 20 de Mayo de 2004 – Últimos 30 días

V322-1-04


WWW.VIRUSPROT.COM


66

Appliance

VPN

IDSAntispam

FirewallAntivirus

V323-1-04


WWW.VIRUSPROT.COM


67

También en Seguridad Informática continúan las bodas de “sangre azul”

V324-1-04


WWW.VIRUSPROT.COM


68

Cisco y Trend Micro profundizan su relación para combatir virus y gusanos

V325-1-04


WWW.VIRUSPROT.COM


69

Temas de Difícil Solución

• Zero Day (Día Cero)• Usuarios Móviles (PDAs / Portátiles / Teléfonos / Wi-Fi)• Vulnerabilidades (S.O. / Firewalls / Routers)• Amenazas Múltiples (Spam / Virus / Hacking / Phishing)• Spam• Wi-Fi• Usuarios

V326-1-04


WWW.VIRUSPROT.COM


70

Para que sirven los Antivirus de Ayer

Más de lo mismo Más veloces Actualizaciones más rápidas Mejor heurística

Para desinfectar los sistemas cuando ya están las firmas

Para protegernos de virus “de ayer”, antiguos

V327-1-04


WWW.VIRUSPROT.COM


71

Seguridad

• Impuesta– Aeropuertos– Edificaciones– Vial– etc...

• Autoridad• Profesionalidad• Presupuesto

V328-1-04


WWW.VIRUSPROT.COM


72

Mañana: Estrategias de Protección

Antivirus actualizado cada pocas horas Plan de Acción para aplicación de parches Filtrado de spam en gateways Firewalls personales para portátiles Plan de Formación e Información de

TODOS los usuarios Revisión de Políticas Plan de Contingencias

V329-1-04


WWW.VIRUSPROT.COM


73

Stock Quote – SymantecNasdaq:SYMC - Time Frame: 1 Año – Industry Average: Computer Services

Fuente: Thomson Financial

V330-1-04

http://www.symantec.com/

http://www.symantec.com/


WWW.VIRUSPROT.COM


74

Stock Quote – McAfee SecurityNasdaq: NET - Time Frame: 1 Año – Industry Average: Computer Services

Fuente: Thomson Financial

V331-1-04

http://www.nai.com/us/index.asp



WWW.VIRUSPROT.COM


75

Stock Quote – Trend MicroNasdaq: TMIC - Time Frame: 1 Año

Fuente: Yahoo! Finance

V332-1-04



WWW.VIRUSPROT.COM


76

Citas “¿No es la amenaza suficientemente grande como para dejar la ciberseguridad de

Estados Unidos en manos del sector privado?”“¿Por qué los fabricantes de software no son demandados por vender productos con fallos de seguridad?” “En vez de que los fabricantes sean hechos responsables por problemas de ciberseguridad, los consumidores pagan la factura”

Bill Press - Chicago Tribune

“Algunos expertos en ciberseguridad del gobierno y privados están advirtiendo hace años de un ataque masivo sobre los activos de TI de USA, un Pearl Harbor digital”

Fred Barnes, Editor Ejecutivo - Fox News

“Pierdo un montón de tiempo convenciendo a las autoridades públicas que el spam es un problema y si la gente no se queja, ¿cómo puedo convencerlos de que hay aquí un problema?”“Vemos diferentes iniciativas de la industria anti-spam cada una en otra dirección y la efectividad no aparece”

Phillippe Gerard, Director de la Information Society de la EU - BBC NEWS

“Si llegamos a tener un ciber-evento importante...ya verán como el Congreso saca una ley”

Roger Cressey, Experto en Contraterrorismo de la Casa Blanca

V339-1-04


WWW.VIRUSPROT.COM


77

Futuro

¿ Appliances ? ¿ Filtrado ? ¿ ISPs ? ¿ Carnetización ? ¿ Regulación ?

V333-1-04


WWW.VIRUSPROT.COM


78

Enlaces de Interés, sobre Virus (I)Artículos - http://www.virusprot.com - Sección Colaboraciones-Artículos Libro Electrónico "Seguridad Informática y Criptografía v3.2“ Los virus en los PDAs Virus informáticos y otros BITchos Klez: un destacado representante de una nueva generación de gusanos

informáticos Puertas Traseras o “Backdoors” Heurística de los Antivirus La Historia Interminable - La Génesis y el Devenir de los Virus Informáticos – Virus y Anti-Virus Ingeniería Social y Virus: La Astucia al Servicio de la Infección Acerca del Funlove La Naturaleza de los Virus

V334-1-04


WWW.VIRUSPROT.COM


79

Editoriales - http://www.virusprot.com - Sección Ojo Crítico Virus de hoy, antivirus de ayer, usuarios de siempre y los daños... ¡Como

nunca! Internet de Rodillas - Aterrizaje Forzoso Internet, ¿territorio comanche o gigante con pies de barro? Directores de TI - ¿Desconocimiento o indolencia? Opiniones contradictorias entre fabricantes anti-virus Eliminación de virus, asunto de tresLos Expertos Opinan - http://www.virusprot.com - Sección Profesionales Panorama Actual de la Seguridad Anti-Virus - 2004Entrevistas - http://www.virusprot.com - Sección Colaboraciones-Entrevistas VIRUSPROT.COM entrevista a Denis Zenkin, Head of Corporate Communications

de Kaspersky Labs VIRUSPROT.COM entrevista a Graham Cluley, Senior Technology Consultant de

Sophos

Enlaces de Interés, sobre Virus (II)

V335-1-04


WWW.VIRUSPROT.COM


80

Enlaces de Interés, sobre VulnerabilidadesNoticias - http://www.virusprot.com - Sección Última Hora• Descubierta importante vulnerabilidad en el estándar IEEE 802.11b (14/05/2004)• Fallos de seguridad en Eudora muy difíciles de subsanar (11/05/2004)• CISCO emite otros dos comunicados de seguridad (22/04/2004)• Se demuestra la vulnerabilidad de TCP - El protocolo de Internet (22/04/2004) • Vulnerabilidad en la implementación del Group Password en Cisco IPsec VPN (19/04/2004) • Cisco reacciona ante la vulnerabilidad del protocolo LEAP (15/04/2004)• Vulnerabilidades: Microsoft emite cuatro nuevos parches - Tres son críticos (14/04/2004)• Seguridad Wi-Fi: Cisco avisa de nuevas vulnerabilidades en sus sistemas wireless

(12/04/2004)• Nota de Seguridad de Cisco ante la prueba de 9 vulnerabilidades (29/03/2004)• Symantec emite parches para Norton Internet Security 2004 (23/03/2004)• Detectados fallos en la seguridad de equipos con Bluetooth (16/02/2004)• Microsoft advierte a sus usuarios sobre un nuevo agujero en Windows (11/02/2004)• Nuevas vulnerabilidades en equipos de Cisco y CheckPoint (10/02/2004)• Comienza el Año...Comienzan los parches de Microsoft (14/01/2004)

V336-1-04


WWW.VIRUSPROT.COM


81

Enlaces de Interés, sobre NegociosNoticias - http://www.virusprot.com - Sección Última Hora• Cisco y Trend Micro profundizan su relación para combatir virus y gusanos (07/06/2004)• El Sistema de Administración de la Seguridad de Symantec se alía con la solución de

análisis de vulnerabilidades, QualysGuard (28/05/2004)• También en Seguridad Informática continúan las bodas de "sangre azul“ (20/05/2004)• Cisco adquiere Twingo Systems por 5 millones de dólares (16/03/2004)• Seguridad de Redes: Enterasys y Lucent Technologies anuncian alianza estratégica

(04/03/2004)• Microsoft promueve una alianza con Services Providers - GIAIS (25/02/2004)• Nace CSIA – Cyber Security Industry Alliance (26/02/2004)• Symantec reforzará la seguridad en Internet de los sistemas de Intel (20/02/2004)• Juniper adquiere Netscreen por un valor de 4 billones de dólares (10/02/2004)• Cisco se une con Network Associates, Symantec y Trend Micro para mejorar la seguridad

(19/11/2003)• La multinacional británica Sophos, adquiere ActiveState para posicionarse como

"guardian" de los gateways (24/09/2003)

V337-1-04


WWW.VIRUSPROT.COM


82

Enlaces de Interés, sobre AppliancesNoticias - http://www.virusprot.com - Sección Última Hora• UnityOne-50, nuevo dispositivo de prevención de intrusiones (24/05/2004)• Solución integrada de Network Associates y Check Point (07/05/2004)• Check Point ofrece nuevas soluciones de seguridad para Web (03/05/2004)• Zone Labs lanza una nueva herramienta para protección de accesos peligrosos

(28/04/2004)• CyberGuard Corporation incorpora soluciones de filtrado y bloqueo de spam (27/04/2004)• NetScreen anuncia "ISG 2000", un gateway integrado de nueva generación

(16/04/2004)• Symantec anuncia una protección integrada para usuarios remotos y clientes de redes

(06/04/2004)• Check Point se adelanta en la protección de redes IPv6 (26/03/2004)• PacketAlarm 4.0, una solución de seguridad bastante completa (24/03/2004)• Nuevo Appliance VPN sin cliente de Symantec (03/02/2004)• InterSpect: Gateway para protección interna de redes y aplicaciones (20/01/2004)• Nacen 3 nuevos appliances fruto de la unión entre Trend Micro y NetScreen (14/11/2003)

V338-1-04


WWW.VIRUSPROT.COM


83

Le agradecemos su atención.

Virus de Hoy, Antivirus de Ayer, Usuarios de Siempre y los Daños...

Documents

Transcript of Virus de Hoy, Antivirus de Ayer, Usuarios de Siempre y los Daños...