P. 1
Práctica 1 TIC

Práctica 1 TIC

|Views: 12|Likes:
Publicado pormnctic
Webquest: seguridad informática
Webquest: seguridad informática

More info:

Categories:Types, School Work
Published by: mnctic on Dec 14, 2012
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

06/17/2014

pdf

text

original

WEBQUEST: SEGURIDAD INFORMÁTICA

Mónica Gómez Nula 1º Bachillerato

ÍNDICE
· Herramientas de protección de equipos informáticos · Comparación entre 4 virus específicos: - I love you - Zone.H - Sasser.B - Blaster · Recomendaciones de algunos programas gratuitos para la protección del equipo: - Avast - AVG - Dr. Web - Norton - Lookout · Características del virus Stuxnet.

HERRAMIENTAS DE PROTECCIÓN DE EQUIPOS INFORMÁTICOS.
Introducción: En la seguridad de las tecnologías de la información no suele ser suficiente con conocer las amenazas a los que nos enfrentamos, sino que es necesario además preparar los sistemas, disponer de herramientas adecuadas para prevenirlos y combatirlos. Lo ideal está en encontrar el equilibrio entre funcionalidad y seguridad. Las herramientas de las que debemos disponer son: · Antivirus: es lo más esencial que se debe tener en un ordenador. Se trata de un programa que tiene como finalidad detectar y eliminar virus informáticos, así como proteger los equipos de otros programas peligrosos conocidos como malware. También se encargan de eliminar los adware y pop-ups, eliminando los ventanas emergentes que aparecen causados por esos programas. Además de los conocidos virus, gusanos, troyanos, backdoors y sniffers. ¿Cómo trabaja? Este tipo de programa trabaja con una base de datos que contiene parte de los códigos utilizados en la creación de virus conocidos y compara el código binario de cada archivo ejecutable con esta base de datos. Además los avances en el uso de sistemas informáticos han obligado a crear formas más complejas que se valen también de procesos de monitorización de los programas para detectar si éstos se comportan como virus. · Backup: Copia de seguridad que se realiza sobre ficheros o aplicaciones contenidas en un ordenador con la finalidad de recuperar los datos en el caso de que el sistema de información sufra daños o pérdidas accidentales de los datos almacenados. · Firewall o cortafuegos: es un elemento de seguridad, software o hardware, cuya finalidad es filtrar todo el trafico de información entrante y saliente existente en nuestro ordenador, mediante políticas de tráfico. Es una medida muy recomendable en cualquier equipo para combatir cualquier intento de intrusión o de uso eficaz de malware, como intrusos, hackers, crackers, keylogger y phone phreakers. · Antispam: programa que detecta y elimina el correo basura, relacionado con la publicidad, y que se usa para bombardear los e-mails y provocar pérdidas en la productividad. · Antispyware: programa que se encarga de detectar y eliminar los spyware (programas espía) que de forma encubierta utiliza la conexión de internet para extraer información. · Herramientas antidialers: herramientas que evitan el cambio de conexión de internet y el desvío de la llamada a otro número para beneficiarse. · Actualizaciones del software: actualizar el sistema puede ser beneficioso para evitar fallos, defectos o vulnerabilidades del software que puede ser perjudicial para el equipo. Evitan programas como bugs, exploits. · Antiphising: herramientas que protegen de los ataques de phishing y vigila donde se hospedan, proporcionando un índice de riesgo de los sitios que visitas.

Tabla comparativa de los distintos virus
Características técnicas I love you Nombre completo: Worm/I love you@MM Definición Clasific ación Consecuencias Su apariencia en forma de correo es un mensaje y/o un fichero adjunto, que puede quedar oculta en las configuraciones de Windows, por lo que la apariencia del anexo es la de un simple fichero de texto. Por ello cuando se abre el archivo infectado el gusano infecta el ordenador y se intenta autoenviar para propagarse. Además crea varias copias de si mismo en el disco duro.

Es un virus de tipo Worm gusano, escrito en (gusano) Visual Basic Script que Aspectos: se propaga a través de · Peligrosidad: 1 - Mínima correo electrónico y de · Difusión: Baja IRC (Internet Relay · Daño: --Chat). · Dispersibilidad: ---Miles de usuarios de todo el mundo, entre los - No tiene capacidad para ejecutarse automáticamente que se incluyen grandes multinacionales e en cada reinicio del sistema. instituciones públicas, - Sí tiene capacidad de se han visto infectados propagación. por este gusano. - Mecanismo principal de Su procedencia es difusión: MM (se envía Manila y el autor se masivamente mediante apoda Spyder. mensajes de correo electrónico). Fecha de publicación: 01/05/2000

Zone.H

Nombre completo: Trojan.Multi/Zone.H

Troyano para la Troyano Cuando Zone.H se plataforma Windows que ejecuta, realiza las descarga otros archivos siguientes Aspectos: maliciosos que, a su acciones: · Peligrosidad: 3 - Media vez, descargan otros 1. Crea un fichero. · Difusión: Baja archivos maliciosos. 2. Se comunica con servidores · Daño: Medio remotos. · Dispersibilidad: Baja 3. Descarga ficheros maliciosos - No tiene capacidad de que guarda con propagación. nombres aleatorios - Sí tiene capacidad de en la carpeta de ejecutarse automáticamente archivos en cada reinicio del sistema temporales. 4. Crea entradas Fecha de publicación: del registro de 09/11/2010 Windows para que estos ficheros se Plataformas afectadas: ejecuten de nuevo Microsoft Windows con cada reinicio Vista/XP/Server 2008/Server del sistema.

2003/2000/NT/Me/98/95 → Microsoft Windows de 32 bits. Además de Microsoft Windows Vista/XP/Server 2008/Server 2003 → Microsoft Windows de 64 bits.

5. Estos ficheros, a su vez, descargan los archivos maliciosos.

Sasser.B Nombre completo: Worm.W32/Sasser.B Aspectos: · Peligrosidad: 4 - Alta · Difusión: Alta · Daño: Medio · Dispersibilidad: Alta - No tiene capacidad para ejecutarse automáticamente en cada reinicio del sistema. - Sí tiene capacidad de propagación. Fecha de publicación: 02/05/2004 Tamaño: - Tamaño (bytes): 15.872 Plataformas afectadas: Microsoft Windows Vista/XP/Server 2008/Server 2003/2000/NT/Me/98/95 → Microsoft Windows de 32 bits.

Gusano que se propaga Worm utilizando la (gusano) vulnerabilidad en el proceso LSASS (Local Security Authority Subsystem). Se propaga a equipos sin proteger frente a dicha vulnerabilidad. Sus posibles síntomas pueden ser: aviso de reinicio del equipo en 1 minuto y tráfico en los puertos TCP 445, 5554 y 9996.

El gusano se copia a sí mismo en el directorio de instalación de Windows y crea archivos. Después inicia hilos de ejecución para escanear direcciones IP buscando sistemas vulnerables. Provoca un desbordamiento de búfer y detecta la versión del sistema operativo para utilizar diferentes exploits. El gusano se ejecuta e infecta el ordenador.

Blaster

Nombre completo: Se trata de un virus de Worm Worm.W32/Blaster@VULN+O gran propagación ya que (gusano) tros hace uso de una vulnerabilidad de los Aspectos: sistemas, conocido · Peligrosidad: 4 - Alta como "Desbordamiento · Difusión: Media de búfer en RPC DCOM ". · Daño: Alto · Dispersibilidad: Alta - No tiene capacidad para ejecutarse automáticamente

Este gusano explota la vulnerabilidad citada en la definición ("Desbordamiento de Búfer en RPC DCOM"), una vulnerabilidad en llamadas a procedimiento remoto (RPC)

en cada reinicio del sistema. - Sí tiene capacidad de autopropagación. Se propaga usando el puerto TCP 135, que no debería estar accesible en sistemas conectados a Internet. - Mecanismo principal de difusión: VULN (se difunde aprovechando alguna vulnerabilidad, típicamente de servicios de red) además de otros. Fecha de publicación: 12/08/2003 Tamaño: ·Tamaño (bytes): 11.296 ·Tamaño comprimido (bytes): 6.176 Plataformas afectadas: Microsoft Windows Vista/XP/Server 2008/Server 2003/2000/NT/Me/98/95 → Microsoft Windows de 32 bits.

mediante el modelo de objetos distribuidos (DCOM). Esta vulnerabilidad permite que un atacante remoto obtenga acceso total al sistema y ejecute sobre él un código arbitrario. Los efectos destructivos consisten en lanzar ataques de denegación de servicio con el web de Microsoft "windows update" y quizás provocar inestabilidad en el sistema infectado.

RECOMENDACIONES DE ALGUNOS PROGRAMAS GRATUITOS PARA LA PROTECCIÓN DEL EQUIPO http://www.glogster.com/mnctic/practica1/g-6l3pgr6urbi7b4q7i19nna0

CARACTERÍSTICAS DEL VIRUS STUXNET
Historia: Se detectó por primera vez el 17 de junio de 2010 por la empresa de antivirus bielorusa VirusBlokAda. En un principio se consideró que era un gusano ya que aprovecha vulnerabilidades para propagarse, pero más tarde se detectó sus propiedades de Rootkit,ya que es capaz de modificar el comportamiento normal de distintos componentes del sistema de control y oculta su presencia para no ser detectado. Definición, resumen: Stuxnet es un gusano para la plataforma Windows que aprovecha una vulnerabilidad 0day para propagarse. Tiene componentes de Rootkit y de puerta trasera que le permiten tomar

el control remoto del ordenador infectado. Es el primer rootkit conocido. Tanto su difusión, como los daños que provoca, y su dispersibilidad son bajos. Aún así ha sido muy importante. La principal vía de infección es a través de llaves USB, por lo que no es complicado infectar el equipo. Al adentrarse crea una serie de ficheros que son visibles con Windows Explorer , aunque una vez que se infecta lel equipo, los ficheros .tmp y .lnk de las llaves USB quedan ocultos., por lo que no quedan “cabos sin atar”. Stuxnet utiliza certificados legítimos de RealTek y Jmicron, necesarios para lograr instalar los drivers mrxcls y mrxnet en Windows Vista y Windows 7, ya que Windows 7 rechaza instalar drivers que no estén firmados con un certificado confiable, y Windows Vista te pregunta si deseas instalar programas que no estén firmados de esta forma. Los certificados son legítimos aunque ya han sido revocados. De esta forma amplí sus permisos de acceso a cualquier sistema operativo y así propagarse, sin tener ningún inconveniente. Otras vías de infección son a través de recursos de red compartidos. Stuxnet tiene como objetivo los hosts que ejecutan el HMI de WinCC. Todos los componentes de WinCC utilizan en el mismo ordenador una base de datos para almacenar datos de configuración. WinCC utiliza una contraseña "hardcodeada" (y conocida) para acceder a la base de datos. Así, Stuxnet aprovecha esta grave vulnerabilidad de WinCC para lanzar consultas SQL y extraer información de direcciones IP y número de puertos utilizados en otras máquinas WinCC conectadas en el sistema de control, lo que le supone otra gran ventaja. Además, Stuxnet instala un wrapper para la librería s7otbxdx.dll que es la utilizada por el SCADA WinCC para la comunicación con los PLCs en campo. En realidad, cada vez que el sistema de control hace uso de esta librería, el gusano intercepta las llamadas a las funciones, y en algunos casos pasa directamente la llamada a la función de la dll legítima y en otros casos altera los datos enviados antes de pasárselos a la correspondiente función. Todas sus funciones están relacionadas con la programación de PLCs. Si este programa fuera alterado, el wrapper podría llegar a ocultar las modificaciones realizadas, de tal manera que los usuarios que tratasen de examinar el programa del PLC, desde un host Windows comprometido, ni se dieran cuenta de dicha modificación. De este modo el gusano está afectando a tu ordenador pero tu no te das cuenta, lo que le ofrece ventajas a la hora de adentrarse en el equipo con tranquilidad. Además Stuxnet puede alterar dicho programa. Conclusión: Se trata de un ataque bien dirigido que requiere amplios conocimientos de distintas disciplinas: robo de certificados, conocimiento del SCADA WinCC de Siemens, las vulnerabilidades 0-day, etc. Parece por tanto un ataque largamente planificado, y por alguien o algo con bastantes recursos. Esto provoca que gente “normal” que no tenga o no conozca los recursos suficientes para combatirlo. Al ser un virus tan complejo supone un avance en el desarrollo de virus, ya que conocer y trabajar con virus de este tipo supone, obviamente la apertura de conocimientos, y la incitación a superarse y mejorar. Como queda demostrado por cuestiones anteriores lo consiguen.

You're Reading a Free Preview

Descarga
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->