3. Principales Amenazas en los 90
• Virus: Programa informático con capacidad de replicación cuya finalidad es
difundirse al mayor número de usuarios a través de diferentes vías y provocar
daños de distinta índole en archivos y sistemas.
• Gusano: Posee las mismas características que los virus salvo que no necesitan
infectar otros archivos para reproducirse. Se limitan a guardar en el sistema copias
de sí mismos pudiendo llegar a colapsar por saturación los sistemas en los que se
infiltran.
3
V002-1-04
4. AntiVirus
• Tecnología Reactiva basada en Firmas
• Actualización Mensual/Trimestral
• Solución a NuevosVirus 48/72 horas
• Heurística
• Reparación Genérica de Boot
• Chequeos de Integridad
4
V005-1-04
5. NuevoVirus
• Detectado mediante:
• Heurística
• Chequeos de Integridad
• Daño concreto
• Antivirus:
• En el mismo día
• Máximo 3-4 días
• Reducir Daños
• Reconstruir Boot
• DesinfectarArchivos
5
V006-1-04
8. Blaster
• Tipo: Gusano de Internet / Caballo deTroya
• Descubierto: Agosto 2003
• Difusión: No emplea el correo electrónico
• Explota la vulnerabilidad DCOM/RPC, se produce un desbordamiento de
búfer. Boletín de Seguridad MS03-026 de Microsoft
• Parche existente desde 16/07/2003.
• La máquina comprometida descarga una copia del gusano vía TFTP que se
guarda como MSBLAST.EXE o PENIS32.EXE.
• El 16/08/2003 lanza ataque DoS contra “WINDOWSUPDATE.COM”, envía
a través del puertoTCP 80 un paquete cada 20 milisegundos.
• Síntomas: Importante incremento del tráfico en puertos TCP 135/4444 y
UDP 69. Constante reinicio del PC.
8
V105-1-04
9. Sobig.F
• Tipo: Gusano de Internet
• Descubierto: 19 Agosto 2003
• Difusión: Correo electrónico y unidades de red compartidas
• Falsea la dirección del remitente (from) Spoofing.
• Se autocopia en el Sistema comoWINPPR32.EXE.
• Utiliza su propio motor SMTP para enviar e-mails a las direcciones de
correo almacenadas en el equipo atacado.
• Envía paquetes UDP al puerto 8998 de servidores remotos que sirve para
descargar otros componentes del gusano (backdoor).
• Abre los puertos 995 al 999 para recibir órdenes.
• Síntomas: e-mail en inglés conAsunto y Adjunto reconocibles.
9
V106-1-04
10. Mydoom
• Tipo: Gusano de Internet y Caballo deTroya
• Descubierto: Enero 2004
• Difusión: Ejecución archivo adjunto a e-mail
• Se propaga rápidamente por e-mail y la red de intercambio KaZaa.
• Falsea la dirección del remitente (from) Spoofing.
• Localiza direcciones de correo almacenadas en el equipo atacado a las cuales reenviarse y usuarios
Kazaa.
• Abre una puerta trasera por los puertosTCP/3127 al 3198 por los que descarga un ejecutable.
• Actúa como servidor ProxyTCP que permite controlar remotamente los recursos de red.
• Lanza ataques de denegación de servicio (DoS) a la web www.sco.com, desde el 1 al 12 de febrero
de 2004, enviando peticiones cada 1024 milisegundos.
• Síntomas: Cuando se ejecuta abre el Notepad y muestra texto basura.
10
V107-1-04
11. Bagle
• Tipo: Gusano de Internet
• Descubierto: Enero/Abril 2004 (múltiples variantes)
• Difusión: Ejecución archivo adjunto a e-mail
• Falsea la dirección del remitente (from) Spoofing.
• Intenta acceder a varias direcciones de Internet para auto-actualizarse e
intenta descargar otro troyano:Troj/Mitglieder.
• Características de troyano, abre los puertos 6777 / 4751 / 8866 permite
al atacante ejecutar remotamente código arbitrario.
• Síntomas: Abre la calculadora de Windows/ grabadora de sonido / juego
de corazones.
11
V108-1-04
12. Netsky
• Tipo: Gusano de Internet
• Descubierto: Febrero/Abril 2004 (múltiples variantes)
• Difusión: Correo electrónico
• Localiza direcciones de correo almacenadas en el equipo atacado a las
cuales reenviarse.
• Más de 30 variantes conocidas.
• Aprovecha vulnerabilidad de Internet Explorer que permite la ejecución
automática de archivos de correo electrónico.
• Se activa con sólo visualizar el mensaje.
• Borra entradas de otros gusanos como Mydoom y Bagle.
12
V109-1-04
13. Sasser
• Tipo: Gusano de Internet
• Descubierto: Mayo 2004
• Difusión: No emplea el correo electrónico
• Primer gusano que explota la vulnerabilidad LSASS (Local Security
Authority Subsystem). Boletín de Seguridad MS04-011 de Microsoft
• Afecta básicamente aWindows XP/2000.
• El gusano explora pseudos IPs aleatorias en el puerto 445 enviando el exploit
que puede permitir el control remoto de su PC por el puerto 9996
• Abre un servidor de FTP en un PC remoto que escucha en el puerto 5554,
envía y se ejecuta en la máquina remota.
• Síntomas: Provoca el reinicio del sistema en Windows XP/2000. Aparece
pantalla “Apagar Sistema”.
13
V110-1-04
14. NuevosTipos de Amenazas
• Virus de Macro:
• Infectan archivos de datos. MS Office-Word, Excel, PowerPoint y Access.
• Fáciles de crear.
• Gusanos de e-mail:
• Infectan cuando los usuarios abren los correos y los archivos adjuntos.
• Utilizan técnicas de Ingeniería Social.
• Super Gusanos (Gusanos de 3ª Generación):
• Muy sofisticados, atacan vulnerabilidades sin participación del usuario,
identifican nuevas víctimas automáticamente,
• Incorporan troyanos.
• Utilizan múltiples vectores de ataque.
14
V104-1-04
15. Velocidad de Propagación
• Code Red 12 horas
• Klez 2-5 horas
• Slamer 10 minutos
Fuente: ICSA Labs
• Blaster 27 segundos
(Prueba F-Secure Corporation en PC desprotegido)
15
V112-1-04
16. Tipo de Ataques Electrónicos
Detectados en el último Año
16
Robo de Portatil
Robo de Handheld
Robo Otros Dispositivos
Infección virus, gusano, troyano
Intercepción comunicaciones (voz/datos)
Degradación del Rendimiendo de Red
debido a Escaneo Agresivo
Ataque Denegación Servicio Fuente: 2004 AustralianComputer
Crime andSecurity Survey
V115-1-04
17. Virus de Ayer –Virus de Hoy:
Evolución de losVirus según lasTecnologías
Tipo Código
Malicioso
Época
Medio
Difusión
Tiempo
Producción
Epidemia
Tiempo
Epidemia
Mundial
Virus
Boot/Archivo
1990/1995 Disquetes Semanas Meses
Macro Virus 1995/2000 Internet/CDs Días 1-2 Meses
Gusanos de
e-mail
1999
Correo
Electrónico
Horas Días
Super
Gusanos
2001 TCP/IP Minutos 1-2 Horas
17
V116-1-04
23. Guerra en el Ciberespacio:
3 de Marzo de 2004
• Detectados 5 gusanos en 3 horas:
• Netsky.C / Netsky.F
• Mydoom.F
• Bagle.I / Bagle.J
• Insultos mutuos
• Netsky elimina a Bagle
23
“Difícil imaginar situación
tan cómica: un puñado de autores
de virus jugando impunes con Internet
y ningún miembro de la comunidad
puede hacer algo para detenerlo”
“Incidentes similares serán cada vez
más frecuentes hasta que otros
métodos de prevensión sean
utilizados”
Eugene Kaspersky – Kaspersky Labs
“Creemos que ambos autores deben tener
acceso a una red underground formada por
miles de PCs de inocentes usuarios que son
aprovechadas para lanzar nuevas versiones”
Graham Cluley - Sophos
V303-1-04
24. Zero Day
Opinión
"Ninguna empresa puede protegerse al 100% contra un zero day"
Miguel Angel Martín (Computer Associates)
“Las soluciones antivirus necesitan un salto cuántico...Se basan
en tecnología de hace 10 años. En informática es ¡muchísimo
tiempo!”
“Se debe tender a un nuevo método de detección: En lugar de ser
reactivo las soluciones antivirus deber ser proactivas"
Fernando de la Cuadra (Panda Software)
“Cualquier tráfico saliente anormal en los puertos, e-mails
masivos enviados por un usuario o el escaneo de IPS, debe hacer
saltar la alarma"
Daniel Baras (BitDefender)
24
V307-1-04
26. Nuevo Escenario...Escenario de Hoy
• Más de 100 vulnerabilidades por mes
• Internet de banda ancha – conexiones 24x7
• Epidemias en menos de 1 hora
• Dependencia de PC + Correo Electrónico +Web
• Proliferación de equipos móviles
• Laptops
• PDAs
• Teléfono 3ª Generación
• Usuarios “Quinta Columna”
26
V315-1-04
27. Máquinas Comprometidas (Zombies)
• Origen del 50% del spam
• Vandalismo Valor Económico
• Funciones:
• Enviar correos masivos (spam)
• Actuar como proxy para ocultar el ruteo de los mensajes
• Robar la identidad del dueño para traspasar “listas negras”
• Lanzar ataques DoS para tirar sitios web
• Atacar a sitios web anti-spam
• Hosting temporal de sitios web de spam
• Conseguir listas de e-mails para uso de spam
27
V340-1-04
28. Virus de Hoy
• Busca envíos masivos
• Motores propios de difusión
• Aprovechan vulnerabilidades del S.O., firewalls, programas de correo,
navegadores, etc...
• Amenazan la privacidad
• “Secuestran” equipos
• Organizan redes clandestinas de miles y miles de equipos comprometidos
• Lanzan ataques de Denegación de Servicio (DoS)
• Velocidad propagación infinitamente superior
• Utilizan técnicas de spoofing
• Introducen backdoors (puertas traseras)
• Anonimato Impunidad
• Warspamming
28
V316-1-04
29. Filtrado
• Beneficios:
Elimina el spam
Reduce 80% del tráfico
Elimina los virus
Reduce el riesgo de ataques
Web de cuarentena
e-Mails salientes cumplimiento de políticas
Reports y estadísticas
• Desventajas:
Menos control de la empresa
Costes
29
V319-1-04
31. Mañana: Estrategias de Protección
Antivirus actualizado cada pocas horas
Plan de Acción para aplicación de parches
Filtrado de spam en gateways
Firewalls personales para portátiles
Plan de Formación e Información de TODOS los usuarios
Revisión de Políticas
Plan de Contingencias
31
V329-1-04