TAREA 2
Utilizando la siguiente información,
Realiza un esquema sobre los distintos tipos de softwares maliciosos y ataques informáticos y como afectan negativamente a nuestro ordenador.
Realiza un esquema sobre los distintos tipos de softwares maliciosos y ataques informáticos y como afectan negativamente a nuestro ordenador.
Malware
oculto: puerta trasera, drive-by downloads, rootkits y troyanos
Para que un
software malicioso pueda completar sus objetivos, es esencial que
permanezca oculto al usuario. Por ejemplo, si un usuario
experimentado detecta un programa malicioso, terminaría el proceso y
borraría el malware antes de que este pudiera completar sus
objetivos. El ocultamiento también puede ayudar a que el malware se
instale por primera vez en la computadora.
Puertas
traseras
Una puerta trasera
(backdoor) es un método para eludir los procedimientos habituales de
autenticación al conectarse a una computadora. Una vez que el
sistema ha sido comprometido (por uno de los anteriores métodos o de
alguna otra forma), puede instalarse una puerta trasera para permitir
un acceso remoto más fácil en el futuro. Las puertas traseras
también pueden instalarse previamente al software malicioso para
permitir la entrada de los atacantes.
Los crackers suelen
usar puertas traseras para asegurar el acceso remoto a una
computadora, intentando permanecer ocultos ante una posible
inspección. Para instalar puertas traseras los crackers pueden usar
troyanos, gusanos u otros métodos.
Se ha afirmado,
cada vez con mayor frecuencia, que los fabricantes de ordenadores
preinstalan puertas traseras en sus sistemas para facilitar soporte
técnico a los clientes, pero no ha podido comprobarse con seguridad.
Un malware en Skype
está siendo el problema reciente en la seguridad, debido a que a
mayo del 2013, existían ya 750 mil afectados siendo el 67% en
Latinoamérica. El código malicioso afecta al equipo y se propaga
entre los contactos a través de este mismo medio de comunicación.
Drive-by
download
Google ha
descubierto que una de cada 10 páginas web que han sido analizadas a
profundidad puede contener las llamadas drive-by downloads o
descargas automáticas, que son sitios que instalan spyware o códigos
que dan información de los equipos sin que el usuario se percate.
A estas acciones
Niels Provos y otros colaboradores de Google le denominaron, en un
artículo, «el fantasma en la computadora». Por ello, se están
realizando esfuerzos para identificar las páginas que pudieran ser
maliciosas.
El término puede
referirse a las descargas de algún tipo de malware que se efectúa
sin consentimiento del usuario, lo cual ocurre al visitar un sitio
web, al revisar un mensaje de correo electrónico o al entrar a una
ventana emergente, la cual puede mostrar un mensaje de error. Sin ser
su verdadera intención, el usuario consiente la descarga de software
indeseable o de malware, y estas vulnerabilidades se aprovechan.
El proceso de
ataque Drive-by Downloads se realiza de manera automática mediante
herramientas que buscan en el sitio web alguna vulnerabilidad. Una
vez encontrada, insertan un script malicioso dentro del código HTML
del sitio violado. Cuando un usuario visita el sitio infectado, este
descargará dicho script en el sistema del usuario, y a continuación
realizará una petición a un servidor Hop Point, donde se
solicitarán nuevos scripts con exploits encargados de comprobar si
el equipo tiene alguna vulnerabilidad que pueda ser explotada,
intentando con ellas hasta que tienen éxito, en cuyo caso se
descargará un script que descarga el archivo ejecutable (malware)
desde el servidor.
En la mayor parte
de los navegadores se están agregando bloqueadores antiphishing y
antimalware que contienen alertas que se muestran cuando se accede a
una página web dañada, aunque no siempre dan una total protección.
Rootkits
Las técnicas
conocidas como rootkits modifican el sistema operativo de una
computadora para permitir que el malware permanezca oculto al
usuario. Por ejemplo, los rootkits evitan que un proceso malicioso
sea visible en la lista de procesos del sistema o que sus ficheros
sean visibles en el explorador de archivos. Este tipo de
modificaciones consiguen ocultar cualquier indicio de que el
ordenador está infectado por un malware. Actualmente, el término es
usado generalmente para referirse a la ocultación de rutinas en un
programa malicioso.
Algunos programas
maliciosos también contienen rutinas para evitar ser borrados, no
solo para ocultarse.
Troyanos
Los troyanos son
programas maliciosos que están disfrazados como algo inocuo o
atractivo que invitan al usuario a ejecutarlo ocultando un software
malicioso. Ese software, puede tener un efecto inmediato y puede
llevar muchas consecuencias indeseables, por ejemplo, borrar los
archivos del usuario o instalar más programas indeseables o
maliciosos.
El término troyano
suele ser usado para designar a un malware que permite la
administración remota de una computadora, de forma oculta y sin el
consentimiento de su propietario, por parte de un usuario no
autorizado. Este tipo de malware es un híbrido entre un troyano y
una puerta trasera, no un troyano atendiendo a la definición.
Los tipos de
troyanos son: backdoors, banker, botnets, dialer, dropper,
downloaders, keylogger, password stealer, proxy.
Una de las formas
más comunes para distribuir spyware es mediante troyanos unidos a
software deseable descargado de Internet. Cuando el usuario instala
el software esperado, el spyware es puesto también. Los autores de
spyware que intentan actuar de manera legal pueden incluir unos
términos de uso, en los que se explica de manera imprecisa el
comportamiento del spyware, que los usuarios aceptan sin leer o sin
entender.
Mostrar
publicidad: spyware, adware y hijacking
Spyware
Los programas
spyware son creados para recopilar información sobre las actividades
realizadas por un usuario y distribuirla a agencias de publicidad u
otras organizaciones interesadas. Algunos de los datos que recogen
son las páginas web que visita el usuario y direcciones de correo
electrónico, a las que después se envía spam. La mayoría de los
programas spyware son instalados como troyanos junto a software
deseable bajado de Internet. Otros programas spyware recogen la
información mediante cookies de terceros o barra de herramientas
instaladas en navegadores web. Los autores de spyware que intentan
actuar de manera legal se presentan abiertamente como empresas de
publicidad e incluyen unos términos de uso, en los que se explica de
manera imprecisa el comportamiento del spyware, que los usuarios
aceptan sin leer o sin entender.
Los Spyware tienen
como objetivo recopilar información del equipo en el que se
encuentra y transmitírselo a quien lo ha introducido en el equipo.
Suele camuflarse tras falsos programas, por lo que el usuario
raramente se da cuenta de ello. Sus consecuencias son serias y van
desde robos bancarios, suplantaciones de identidad hasta robo de
información.
Adware
Los programas
adware muestran publicidad al usuario de forma intrusiva en forma de
ventana emergente (pop-up) o de cualquier otra forma. Esta publicidad
aparece inesperadamente en el equipo y resulta muy molesta. Algunos
programas shareware permiten usar el programa de forma gratuita a
cambio de mostrar publicidad, en este caso el usuario consiente la
publicidad al instalar el programa. Este tipo de adware no debería
ser considerado malware, pero muchas veces los términos de uso no
son completamente transparentes y ocultan lo que el programa
realmente hace.
Hijackers
Los hijackers son
programas que realizan cambios en la configuración del navegador
web. Por ejemplo, algunos cambian la página de inicio del navegador
por páginas web de publicidad o página pornográfica, otros
redireccionan los resultados de los buscadores hacia anuncios de pago
o páginas de phishing bancario.
El pharming es una
técnica que suplanta al DNS, modificando el archivo hosts, para
redirigir el dominio de una o varias páginas web a otra página web,
muchas veces una web falsa que imita a la verdadera. Esta es una de
las técnicas usadas por los hijackers o secuestradores del navegador
de Internet. Esta técnica también puede ser usada con el objetivo
de obtener credenciales y datos personales mediante el secuestro de
una sesión.
Robar
información personal: keyloggers y stealers
Los keyloggers y
los stealers son programas maliciosos creados para robar información
sensible. El creador puede obtener beneficios económicos o de otro
tipo a través de su uso o distribución en comunidades underground.
La principal diferencia entre ellos es la forma en la que recogen la
información.
Keyloggers
Los keyloggers
monitorizan todas las pulsaciones del teclado y las almacenan para un
posterior envío al creador. Por ejemplo al introducir un número de
tarjeta de crédito el keylogger guarda el número, posteriormente lo
envía al autor del programa y este puede hacer pagos fraudulentos
con esa tarjeta. Si las contraseñas se encuentran recordadas en el
equipo, de forma que el usuario no tiene que escribirlas, el
keylogger no las recoge, eso lo hacen los stealers. La mayoría de
los keyloggers son usados para recopilar contraseñas de acceso pero
también pueden ser usados para espiar conversaciones de chat u otros
fines.
Stealers
Los stealers
también roban información privada pero solo la que se encuentra
guardada en el equipo. Al ejecutarse comprueban los programas
instalados en el equipo y si tienen contraseñas recordadas, por
ejemplo en los navegadores web o en clientes de mensajería
instantánea, descifran esa información y la envían al creador.
Realizar
llamadas telefónicas: dialers
Los dialers son
programas maliciosos que toman el control del módem dial-up,
realizan una llamada a un número de teléfono de tarificación
especial, muchas veces internacional, y dejan la línea abierta
cargando el coste de dicha llamada al usuario infectado. La forma más
habitual de infección suele ser en páginas web que ofrecen
contenidos gratuitos pero que solo permiten el acceso mediante
conexión telefónica. Suelen utilizar como señuelos videojuegos,
salva pantallas, pornografía u otro tipo de material.
Actualmente la
mayoría de las conexiones a Internet son mediante ADSL y no mediante
módem, lo cual hace que los dialers ya no sean tan populares como en
el pasado.
Ataques
distribuidos: Botnets
Las botnets son
redes de computadoras infectadas, también llamadas “zombis”, que
pueden ser controladas a la vez por un individuo y realizan distintas
tareas. Este tipo de redes son usadas para el envío masivo de spam o
para lanzar ataques DDoS contra organizaciones como forma de
extorsión o para impedir su correcto funcionamiento. La ventaja que
ofrece a los spammers el uso de ordenadores infectados es el
anonimato, que les protege de la persecución policial.
En una botnet cada
computadora infectada por el malware se loguea en un canal de IRC u
otro sistema de chat desde donde el atacante puede dar instrucciones
a todos los sistemas infectados simultáneamente. Las botnets también
pueden ser usadas para actualizar el malware en los sistemas
infectados manteniéndolos así resistentes ante antivirus u otras
medidas de seguridad.
Otros
tipos: Rogue software y ransomware
Rogue
software
El rogue software
hace creer al usuario que la computadora está infectada por algún
tipo de virus u otro tipo de software malicioso, esto induce al
usuario a pagar por un software inútil o a instalar un software
malicioso que supuestamente elimina las infecciones, pero el usuario
no necesita ese software puesto que no está infectado.
Ransomware
También llamados
criptovirus o secuestradores, son programas que cifran los archivos
importantes para el usuario, haciéndolos inaccesibles, y piden que
se pague un «rescate» para poder recibir la contraseña que permite
recuperar los archivos.
Grayware
o greynet
Los términos
grayware (o greyware) y graynet (o greynet) (del inglés gray o grey,
“gris”) suelen usarse para clasificar aplicaciones o programas de
cómputo que se instalan sin la autorización del departamento de
sistemas de una compañía; se comportan de modo tal que resultan
molestos o indeseables para el usuario, pero son menos peligrosos que
los malware. En este rubro se incluyen: adware, dialers, herramientas
de acceso remoto, programas de bromas (Virus joke), programas para
conferencias, programa de mensajería instantánea, spyware y
cualesquiera otros archivos y programas no bienvenidos que no sean
virus y que puedan llegar a dañar el funcionamiento de una
computadora o de una red.
Vulnerabilidades
usadas por el malware
Existen varios
factores que hacen a un sistema más vulnerable al malware:
homogeneidad, errores de software, código sin confirmar,
sobre-privilegios de usuario y sobre-privilegios de código.
Una causa de la
vulnerabilidad de redes, es la homogeneidad del software
multiusuario. Por ejemplo, cuando todos los ordenadores de una
red funcionan con el mismo sistema operativo, si se puede comprometer
ese sistema, se podría afectar a cualquier ordenador que lo use. En
particular, Microsoft Windows tiene la mayoría del mercado de los
sistemas operativos, esto permite a los creadores de malware infectar
una gran cantidad de computadoras sin tener que adaptar el software
malicioso a diferentes sistemas operativos.
La mayoría del
software y de los sistemas operativos contienen bugs que pueden ser
aprovechados por el malware. Los ejemplos típicos son los
desbordamiento de búfer (buffer overflow), en los cuales la
estructura diseñada para almacenar datos en un área determinada de
la memoria permite que sea ocupada por más datos de los que le
caben, sobre escribiendo otras partes de la memoria. Esto puede ser
utilizado por el malware para forzar al sistema a ejecutar su código
malicioso.
Las
memorias USB infectadas pueden dañar la computadora durante el
arranque.
Originalmente las
computadoras tenían que ser booteadas con un disquete, y hasta hace
poco tiempo era común que fuera el dispositivo de arranque por
defecto. Esto significaba que un disquete contaminado podía dañar
la computadora durante el arranque, e igual se aplica a CD y memorias
USB con la función AutoRun de Windows la que ya ha sido modificada.
Aunque eso es menos común ahora, sigue siendo posible olvidarse de
que el equipo se inicia por defecto en un medio removible, y por
seguridad normalmente no debería haber ningún disquete, CD, etc.,
al encender la computadora. Para solucionar este problema de
seguridad basta con entrar en la BIOS del ordenador y cambiar el modo
de arranque del ordenador.
En algunos
sistemas, los usuarios no administradores tienen sobre-privilegios
por diseño, en el sentido que se les permite modificar las
estructuras internas del sistema, porque se les han concedido
privilegios inadecuados de administrador o equivalente. Como los
exploits para escalar privilegios han aumentado, esta prioridad se
cambió para el lanzamiento de Windows Vista.
El malware,
funcionando como código sobre-privilegiado, puede utilizar estos
privilegios para modificar el funcionamiento del sistema. Casi todos
los sistemas operativos populares y también muchas aplicaciones
scripting permiten códigos con muchos privilegios, generalmente en
el sentido que cuando un usuario ejecuta el código, el sistema no
limita ese código a los derechos del usuario.
Esto hace a los
usuarios vulnerables al malware contenido en archivos adjuntos de
correos electrónicos, que pueden o no estar disfrazados. Dada esta
situación, se advierte a los usuarios de que abran solamente
archivos solicitados, y ser cuidadosos con archivos recibidos de
fuentes desconocidas.
Ataques
Informáticos
Un ataque informático es
un método por el cual un individuo, mediante un sistema informático,
intenta tomar el control, desestabilizar o dañar otro sistema
informático (ordenador, red privada, etcétera).
Definición
y causas
Un ataque informático es
un intento organizado e intencionado causado por una o más personas
para infringir daños o problemas a un sistema informático o red.
Los ataques en grupo suelen ser hechos por bandas llamados "piratas
informáticos" que suelen atacar para causar daño, por buenas
intenciones, por espionaje, para ganar dinero, entre otras. Los
ataques suelen pasar en corporaciones.
Un ataque informático
consiste en aprovechar alguna debilidad o falla en el software, en el
hardware, e incluso, en las personas que forman parte de un ambiente
informático; para obtener un beneficio, por lo general de condición
económica, causando un efecto negativo en la seguridad del sistema,
que luego pasa directamente en los activos de la organización.
Consecuencias
Los ataques informáticos
tienen varias series de consecuencias o daños que un VIRUS puede
causar en un sistema operativo. Hay varios tipos de daños los cuales
los más notables o reconocidos son los siguientes:
- Daños triviales: En este tipo de daños los VIRUS que los causan son muy fáciles de remover y eliminar, por lo que se pueden quitar solo en segundos o minutos.
- Daños menores: En este tipo de daños se tiene que tener en cuenta el VIRUS Jerusalén. Este virus, los viernes 13, borra todos los programas que uno trate de usar después de que el virus haya infectado la memoria. Lo peor que puede suceder es que tocaría volver a instalar los programas borrados por dicho virus.
- Daños moderados: Este daño sucede cuando un virus formatea el DISCO DURO, y mezcla los componentes del FAT (File Allocation Table por su sigla en inglés o Tabla de Ubicación de Archivos por sus siglas en español, TUA), o también puede que sobrescriba el disco duro. Sabiendo esto se puede reinstalar el sistema operativo y usar el último backup. Esto llevara 1 hora aproximadamente.
- Daños mayores: Algunos VIRUS pueden pasar desapercibidos y pueden lograr que ni utilizando el backup se pueda llegar a los archivos. Un ejemplo es el virus Dark Avanger que infecta los archivos acumulando. Cuando llega a 16, el virus escoge un sector del disco duro al azar y en ella escribe: "Eddie lives... somewhere in time (Eddie vive... en algún lugar del tiempo) Cuando el usuario se percata de la existencia del virus ya será demasiado tarde pues los archivos más recientes estarán infectados con el virus.
- Daños severos: Los daños severos son hechos cuando los VIRUS hacen cambios mínimos y progresivos. El usuario no sabe cuando los datos son correctos o han cambiado, pues no se ve fácilmente, como en el caso del VIRUS Dark Avanger. También hay casos de virus que infectan aplicaciones que al ser descontaminadas estas aplicaciones pueden presentar problemas o perder funcionalidad.
- Daños ilimitados: Algunos programas como CHEEBA, VACSINA.44.LOGIN y GP1 entre otros, obtienen la clave del administrador del sistema. En el caso de CHEEBAS, crea un nuevo usuario con el privilegio máximo poniendo el nombre del usuario y la clave. El daño lo causa la tercera persona, que ingresa al sistema y podría hacer lo que quisiera.
Tipos
de ataques informáticos:
• Ataque de
denegación de servicio,
también llamado ataque DoS
(Denial of Service),
es un ataque a un sistema de computadoras o red que causa que un
servicio o recurso sea inaccesible a los usuarios legítimos,
normalmente provocando la pérdida de la conectividad de la red por
el consumo del ancho de banda de la red de la víctima o sobrecarga
de los recursos computacionales del sistema de la víctima.
• Man
in the middle,
a veces abreviado MitM, es una situación donde un atacante supervisa
(generalmente mediante un rastreador de puertos) una comunicación
entre dos partes y falsifica los intercambios para hacerse pasar por
una de ellas.
• Ataques
de REPLAY: una forma de ataque de red, en el cual una
transmisión de datos válida es maliciosa o fraudulentamente
repetida o retardada. Es llevada a cabo por el autor o por un
adversario que intercepta la información y la retransmite,
posiblemente como parte de un ataque enmascarado.
•
Ataque de día cero:
ataque realizado contra un ordenador, a partir del cual se
explotan ciertas vulnerabilidades, o agujeros de seguridad de algún
programa o programas antes de que se conozcan las mismas, o que, una
vez publicada la existencia de la vulnerabilidad, se realice el
ataque antes de la publicación del parche que la solvente.
Tipos de ataques
Ataques
lógicos
• Trashing
(cartoneo): Este ocurre generalmente cuando un usuario
anota su login y password en un papel y luego, cuando lo recuerda, lo
arroja a la basura. Esto por más inocente que parezca es el que
puede aprovechar un atacante para hacerse de una llave para entrar al
sistema.
• Monitorización:
Este tipo de ataque se realiza para observar a la víctima y su
sistema, con el objetivo de establecer sus vulnerabilidades y
posibles formas de acceso futuro.
•
Ataques de
autenticación: Este tipo de ataque tiene como
objetivo engañar al sistema de la víctima para ingresar al mismo.
Generalmente este engaño se realiza tomando las sesiones ya
establecidas por la víctima u obteniendo su nombre de usuario y
password.(su forma mas común es recibir un correo electrónico con
un enlace de acceso directo falso de paginas que mas visitas)
• Denial
of Service(DoS): Los protocolos existentes actualmente
fueron diseñados para ser hechos en una comunidad abierta y con una
relación de confianza mutua. La realidad indica que es más fácil
desorganizar el funcionamiento de un sistema que acceder al mismo;
así los ataques de Negación de Servicio tienen como objetivo
saturar los recursos de la víctima de forma tal que se inhabilita
los servicios brindados por la misma.
• Modificación
(daño): la modificación o daño se puede dar como:
·Tampering o Data
Diddling: Esta categoría se refiere a la modificación desautorizada
de los datos o el SOFTWARE INSTALADO en el sistema víctima
(incluyendo borrado de archivos). Borrado de ·Huellas: El borrado de
huellas es una de las tareas más importantes que debe realizar el
intruso después de ingresar en un sistema, ya que, si se detecta su
ingreso, el administrador buscará como conseguir "tapar el
hueco" de seguridad, evitar ataques futuros e incluso rastrear
al atacante.
Otros
ataques
•
Ataque de fuerza
bruta: No es necesariamente un procedimiento que se
deba realizar por procesos informáticos, aunque este sistema
ahorraría tiempos, energías y esfuerzos. El sistema de ataque por
fuerza bruta, trata de recuperar una clave probando todas las
combinaciones posibles hasta encontrar aquella que se busca, y que
permite el acceso al sistema, programa o archivo en estudio.
En
que consiste el ataque cibernético
Los ataques cibernéticos
tienen motivaciones económicas, sociales o políticas y se llevan a
cabo principalmente a través de Internet. Los ataques son dirigidos
al público en general, a organizaciones privadas o países. Se
llevan a cabo mediante la difusión de programas maliciosos (virus),
accesos web no autorizados, sitios web falsos y otros medios
diseñados para robar información personal o institucional desde los
blancos de ataques, lo que causa perjuicios muy graves.
Ejemplos
de ataques informáticos
Según Valdivia; 2014,
los ataques informáticos más usuales son los siguientes:
1) Ataques por
repetición: ocurre cuando un pirata informático copia una
secuencia de mensajes entre dos usuarios y envía tal secuencia a uno
o más usuarios. A menos que esto sea minimizado, el sistema atacado
procesa este comportamiento como mensajes legítimos y producen
respuestas como pedidos redundantes.
2) Ataques de
modificación de bits: se basan en las respuestas predecibles
de las estaciones receptoras. El pirata modifica bits de un mensaje
para enviar un mensaje cifrado erróneo a la estación receptora, y
éste se puede comparar entonces contra la respuesta predecible para
obtener la clave a través de múltiples repeticiones.
3) Ataques de
denegación de servicio (DOS, Denial of Service): consiste en
colapsar total o parcialmente a un servidor para que éste no pueda
dar respuesta a los comandos (no para sacar de él información). En
la red internet, esto puede lograrse saturando un solo servidor con
múltiples solicitudes desde múltiples ordenadores. Como el servidor
es incapaz de responder a todas las solicitudes, colapsa. En las
redes inalámbricas, esto se logra también provocando ruido: se
coloca un teléfono a 2,4 GHz cerca del punto de acceso e iniciar una
llamada. La energía de radiofrecuencia provocada es suficiente para
bloquear de manera efectiva gran parte del tráfico de datos en el
punto de acceso.
4) Ataques de
diccionario: en ciertos modelos de autenticación de datos,
para ingresar al sistema la contraseña se mantiene en secreto,
mientras que el nombre de usuario es enviado en forma de texto simple
y es fácilmente interceptable. En este caso, el pirata informático
obtiene distintos nombres de usuarios y con ellos, desde un
ordenador, empieza a adivinar las contraseñas con base en palabras
de diccionarios en distintos idiomas. Este ataque es exitoso en gran
medida porque muchos usuarios utilizan contraseñas poco creativas.