Revista Hakin9 n23 042007 ES

hakin9
hakin9 de abril...
En abril, como cada mes desde enero del ao 2007, hakin9 os trae una serie de artculos nuevos, interesantes y prcticos, que os ayudarn en vuestras actividades profesionales y que os dejarn conocer mejor algunas parcelas en el mundo de la seguridad informtica hasta este momento desconocidas... Uno de los artculos que seguro vale la pena leer es: Registro de Windows, que os ensear cmo implementar seguridad sobre el registro de Windows y tambin como prevenir unos posibles ataques al Editor de Registro de Windows. El autor de texto es un profesional certificado por Intel Inside y tambin miembro de la comunidad de codigo seguro de Microsoft quin mejor para contarnos sobre este tema. Seguro os resultar muy til e interesante. Otro artculo que vale la pena conocer es Bluetooth La Amenza Azul . Los problemas que puede traernos el uso de Bluetooth son cada vez ms populares, por lo tanto vale la pena conocerlo mas a fondo. Y para los que ya conocen el tema siempre es conveniente repetir la informacin. En nuestra seccin de herramientas encontrarn la descripcin de Virus Sort 2000. Esta herramienta os ayudar a formar vuestra propia base de virus para coleccionarlos e intercambiar con otros aficionados al tema. Al ser Shareware todos podis probarla. En el CD de hakin9 encontraris nuestro habitual hakin9live cada vez mas actual y ms til. Tambien encontraris aplicaciones profesionales totalmente gratis solo para los Lectores de hakin9. Aprovechando esta oportunidad quiero invitaros otra vez ms a participar de forma activa en la revista. Los articulos en la mayoria de las revistas estn preparados por la redaccin sin consultar los temas con los Lectores. En hakin9 puedes ser t quien decida sobre el contenido final de la revista. Hacindote nuestro Betatester recibirs articulos para leerlos mucho antes que los demas Lectores. Y sers t quin nos diga si vale la pena publicarlos. Esta ayuda es voluntaria participas cuando tienes tiempo y ganas. Me gustara tambin una vez ms invitaros a compartir con los lectores de hakin9 vuestras experiencias con herramientas de seguridad informtica y participar en nuestros tests. Tambin es una buena oportunidad para recordaros la posiblidad de ser miembro de nuestro Club .PRO. Si tienes una empresa relacionada con seguridad IT este Club es para t. Por un coste de suscripcion anual tienes la publicidad de tu empresa en forma de tarjeta de visita, en los 12 nmeros correspondientes a la suscripcin anual. Esto te ayudar a dar a conocer a tu empresa con el coste muy bajo. Si tenis alguna duda, opinin o comenterio acerca de la revista y su calidad no dudis en poneros en contacto con nostros. Todas las opiniones son muy valiosas para nuestra redaccin. Espero que disfrutis de la compaa de hakin9, buena lectura! Katarzyna Chauca
En breve
06
Resaltamos las noticias ms importantes del mundo de la seguridad de sistemas informticos.
Contenido de CD hakin9.live 10
Comentamos el contenido y el funcionamiento de nuestra distribucin hakin9.live.
Herramientas Virus Sort 2000

The BlooD
12
Se trata de una herramienta indispensable para todo aquel coleccionista de virus que desee llevar al da su coleccin y poder intercambiar virus con otros coleccionistas. VS2000 nos permite crear una base de datos de nuestros virus, organizar nuestra coleccin, ver estadsticas, comparar logs, permite eliminar posibles fakes de nuestra coleccin, archivos de 0 bites, entre otras muchas cosas.
Ataque Registro de Windows

Vctor Lpez Jurez
16
En este artculo aprenders qu es el Registro de Windows y su editor, cmo implementar seguridad sobre el Registro y cmo atacar el Editor del Registro.
Bluetooth La Amenaza Azul

Ezequiel Martn Sallis
24
En este artculo aprenders qu es Bluetooth, cmo funciona, cules son los ataques mas comunes, etc.
Defensa Web Services Security

Jos Carlos Cortizo Prez, Diego Expsito, Diego Peces
30
En este artculo leers cmo protegerse de los problemas bsicos de seguridad relacionados con los servicios web y lo que deberas tener en cuenta a la hora de desarrollar tu propio servicio.
www.hakin9.org
Administrando la Inseguridad Informtica

Jeimy J. Cano
36
En este artculo aprenders disear y construir sistemas menos inseguros, animar un apostura vigilante y proactiva en la gestin de la seguridad informtica.
est editado por Software-Wydawnictwo Sp. z o.o. Direccin: Software-Wydawnictwo Sp. z o.o. ul. Bokserska 1, 02-682 Varsovia, Polonia Tfno: +48 22 887 10 10, Fax: +48 22 887 10 11 www.hakin9.org/es Produccin: Marta Kurpiewska marta.kurpiewska@software.com.pl Distribucin: Monika Godlewska monikag@software.com.pl Redactor jefe: Anna Marcinkiewicz anna.marcinkiewicz@software.com.pl Redactora adjunta: Katarzyna winarska katarzyna.swinarska@software.com.pl Preparacin del CD: Rafa Kwany Composicin: Artur Wieczorek artur.wieczorek@software.com.pl Traduccin: Osiris Pimentel Cobas, Mariusz Muszak, Ral Nanclares, Paulina Stosik Correccin: Jess Alvrez Rodrgez, Jorge Barrio Alfonso Betatesters: Juan Prez Moya, Jose M. Garca Alias, Luis Peralta Nieto, Jose Luis Herrera, Paco Galn Publicidad: adv@software.com.pl Suscripcin: suscripcion@software.com.pl Diseo portada: Agnieszka Marchocka Las personas interesadas en cooperacin rogamos se contacten: cooperation@software.com.pl Si ests interesado en comprar la licencia para editar nuestras revistas contctanos: Monika Godlewska e-mail: monikag@software.com.pl tel.: +48 22 887 12 66 fax: +48 22 887 10 11 Imprenta: 101 Studio, Firma Tgi Distribuye: coedis, s.l. Avd. Barcelona, 225 08750 Molins de Rei (Barcelona), Espaa La Redaccin se ha esforzado para que el material publicado en la revista y en el CD que la acompaa funcione correctamente. Sin embargo, no se responsabiliza de los posibles problemas que puedan surgir. Todas las marcas comerciales mencionadas en la revista son propiedad de las empresas correspondientes y han sido usadas nicamente con fines informativos. Advertencia! Queda prohibida la reproduccin total o parcial de esta publicacin peridica, por cualquier medio o procedimiento, sin para ello contar con la autorizacin previa, expresa y por escrito del editor.
hakin9
Programas malignos
Carlos Javier Fornes Cabrera
44
En este artculo aprenders qu es un Virus, Gusano y Caballo de Troya.
Ofuscacin de Cdigo en Java

Javier Alcubierre
56
En este artculo leers sobre proteger tu cdigo de miradas indiscretas, los puntos fuertes y dbiles de los distintos mtodos de ofuscacin y sobre implementar tus propios mtodos de ofuscacin.
Para principiantes Protege gratis tu Windows

ANELKAOS
64
Existen antivirus gratuitos que no tienen mucho que envidiar a los comerciales, Un soft de proteccin desactualizado puede ser el medio para vulnerar tu sistema
Test de consumidores
72
Presentamos las opiniones de nuestros Lectores sobre los programas antivirus.
La Redaccin usa el sistema de composicin automtica Los diagramas han sido elaborados con el programa de la empresa El CD incluido en la revista ha sido comprobado con el programa AntiVirenKit, producto de la empresa G Data Software Sp. z o.o.
Entrevista
Anna Marcinkiewicz
76
La revista hakin9 es editada en 7 idiomas:

ES
PL FR
CZ DE
EN
Hablamos con Fernando Bahamonde, Presidente de ISSA-Espaa, nos cuenta sobre hacking y ajedrez, sobre el mito de ser hacker que no pierde su actualidad y muchas cosas ms...
IT
Advertencia
Las tcnicas presentadas en los artculos se pueden usar SLO para realizar los tests de sus propias redes de ordenadores! La Redaccin no responde del uso inadecuado de las tcnicas descritas. El uso de las tcnicas presentadas puede provocar la prdida de datos!
Prximo nmero
82
Avance de los artculos que se encontrarn en la siguiente edicin de nuestra revista.
www.hakin9.org
hakin9 Nr 2/2006
Breves
Videos y fotos de la ejecucin de Saddam que contienen virus informticos y spyware
Descubren software malicioso para Skype
Los crackers han evolucionado en sus mtodos malvolos y estn atacando con campaas masivas de spam con videos y fotos de la ejecucin de Saddam Hussein que esconden en su interior virus informticos y spyware. Un virus ha sido identificado como Banload y contiene el archivo Saddam morto.scr, el otro sera el Delf.acc que contiene al archivo saddam.exe. Estos virus tienen el objetivo de lucrarse mediante el robo de identidades y claves bancarias para despus limpiar las cuentas de sus propietarios.
40 aos de crcel por... un Spyware
La profesora Julie Amero, de Windham, situado en el estado de Connecticut, estaba impartiendo su clase de ingls a los alumnos de 12 aos, cuando de la pantalla de su ordenador salieron imgenes pornogrficas. Estos hechos ocurrieron en el 2004, y ahora ha sido declarada culpable de riesgo de daos a menores por lo que podra ser condenada a cuarenta aos de crcel. Las imgenes pop-ups que salieron en el ordenador de la profesora eran fruto de un Spyware instalado en el ordenador de la profesora. Las imgenes salan de varias pginas webs, como meetlovers.com y femalesexual.com, entre otras. Para la acusacin tales imgenes solo salan por que la profesora frecuentaba esas pginas, mientras que la defensa argument, a travs del informtico W. Herbert Horner, el ordenador estaba infectado por culpa de una inocente web de peinados y no por visitar pginas pornos. Adems el programa antivirus del colegio estaba caducado, por lo que la profesora no pudo limpiar su ordenador. Los abogados de la defensa, en primera instancia pidieron la anulacin del juicio, alegando que el jurado comenz a discutir el caso en un almuerzo en un bar, pero esta instancia fue rechazada. Ahora pretenden apelar la decisin para mostrar la inocencia de su cliente.
l descubrimiento de un Troyano que infecta Skype, la aplicacin de telefona VoIP, podra indicar que los ataques dirigidos estn avanzando junto con la creciente popularidad de la VoIP. Recientemente se descubri un gusano que ataca a los usuarios de la popular aplicacin de telefona VoIP Skype en la regin de Asia Pacfico, especialmente en Corea. De acuerdo con Websense, el gusano utiliza Skype Chat para descargar y ejecutar un archivo llamado sp.exe. Al parecer, el archivo deposita un Troyano que roba contraseas con un gusano integrado que utiliza NTKrnl Secure Suite, una compresin rara pero no desconocida. La buena noticia es que an no se ha reportado una amplia propagacin, seal Jess Vega, Director General de Trend Micro en Espaa y Portugal. Aunque eso no significa que los usuarios de Skype deban despreocuparse y entrar en los enlaces que reciben mientras conversan. Ya que el software espa no parece explotar algn defecto de Skype, se requiere de la intervencin del usuario para enviar el enlace a los contactos disponibles de un cliente infectado de Skype. Se le notifica al usuario infectado que un programa est tratando de tener acceso y que tiene que aceptarlo. Por lo tanto, los usuarios no deben permitir que programas sospechosos tengan acceso a Skype y deben evitar tambin entrar en los enlaces que provengan de fuentes inesperadas. Actualmente, Trend Micro identifica el componente que roba contraseas como TSPY_SKPE, que no es el primer cdigo malicioso o software espa que utiliza Skype: en octubre pasado se detect WORM_ SKYPERISE.A . La diferencia es que este spyware ya emplea una rutina ms maliciosa (robo de informacin), en comparacin con el gusano reportado en octubre que slo propagaba copias de s mismo a otros usuarios, afirm Vega.
A pesar del hecho de que la tcnica de propagacin de este gusano es comn, obviamente VoIP se est convirtiendo en un buen campo de batalla que los autores de cdigos maliciosos pueden aprovechar. Adems, la rutina para el robo de contraseas, la compresin polimrfica para evitar la deteccin, y un pas de origen especfico indican que es un ataque localizado/dirigido con fines de lucro. Trend Micro ya detecta este spyware usando el archivo de patrones ms recientes. De acuerdo con las instrucciones manuales para eliminarlo, los usuarios afectados simplemente pueden eliminar el archivo detectado y quitar el registro que la entrada crea. El spyware troyano est hospedado en un sitio Web malicioso. A travs de la funcin de Chat se enva un enlace de dicho sitio a los contactos de Skype, urgiendo a los usuarios a entrar en l. De hecho, puede utilizar una forma de ingeniera social al hacerse pasar por un programa interesante. Al momento de desarrollar este boletn, el sitio ya no estaba disponible. El anlisis inicial de la muestra que recibi Trend Labs revela que este software espa es un keylogger tpico; roba la secuencia de teclas del usuario y guarda los datos recopilados en un archivo de texto. Esta rutina puede dar a los usuarios maliciosos, incluidos hackers remotos, acceso no autorizado a la cuenta Skype de un usuario infectado, posiblemente cuentas bancarias en lnea y ms. Probablemente veremos amenazas adicionales para VoIP en el futuro. Despus de todo, el Vishing (phishing sobre VoIP) ya est rondando por Internet. Y Wikipedia incluye una entrada (http://en.wikipedia.org/ wiki/VoIP_spam) para un problema an no existente de spam va VoIP, llamado SPIT (Spam over Internet Telephony). Esperemos amenazas para VoIP similares, si no es que ms sofisticadas, en el futuro.
www.hakin9.org
News
Principales consejos para estar protegido frente al phishing
Internet Explorer 6: 284 das inseguro
l phishing se basa en mensajes de correo electrnico que conducen a sitios Web maliciosos diseados para robar datos bancarios de usuarios PandaLabs confirma que esta amenaza continuar siendo protagonista durante este nuevo ao. PandaLabs, el laboratorio antimalware de Panda Software, confirma que el robo de datos privados y confidenciales por Internet, phishing, es una de las principales amenazas de cara al nuevo ao. La gran cantidad de transacciones econmicas realizadas en las fechas navideas provoca un aumento de fraudes online de este tipo. Por ello, PandaLabs ofrece una cmoda gua de consejos para salvaguardar la integridad econmica de los usuarios. Lo primero a tener en cuenta es que su entidad bancaria nunca se va a poner en contacto con usted por medio del correo electrnico para pedirle ningn tipo de contrasea. Los mensajes de correo electrnico que reciba solicitndole datos o con un enlace que le lleve a una pgina donde le sean pedidos, brrelos directamente, ya que es muy probable que se traten de mensajes fraudulentos. Asegrese tambin de que la pgina Web que est visitando es realmente la de la entidad bancaria que desea. Hay que observar el domi-
nio de la pgina para comprobar que no hay ningn tipo de variacin con el correspondiente al dominio real de la entidad. Adems, cercirese de que est realizando una conexin segura. Para ello, debe observar que se encuentra en pantalla el dibujo del candado cerrado que nos indica la seguridad de la conexin y que la URL comienza con las letras https. Tambin, en caso de duda, se puede comprobar que la certificacin de la Web sea vlida, haciendo doble clic en el candado. Otra forma de asegurar la conexin en el sitio Web real de la compaa es escribiendo directamente en el navegador la direccin de la entidad a la que deseamos acceder, no a travs de hipervnculos que puedan estar dirigidos a sitios Web fraudulentos que permitan el robo de datos. Adems, la revisin peridica del extracto de las cuentas bancarias sirve para cerciorarse de que no han existido movimientos irregulares de activos en su cuenta, que podran haber sido provocados por un ataque de phishing. Si observa operaciones desconocidas e irregulares en su extracto, la mejor solucin es contactar con la entidad bancaria con la que se han realizado las transacciones, de modo que se pueda detallar en qu han consistido las mismas.
Un experto en seguridad del Washington Post, public un informe para nada alentador para el navegador de Microsoft. Segn una investigacin hecha por el prestigioso diario Washington Post, haber utilizado la versin 6 del popular navegador de Microsoft, Internet Explorer, fue inseguro durante 284 das, ms de un tercio del ao. El informe revela que, an aquellos usuarios que parchearon su equipo tan pronto como Microsoft public los parches tambin estuvieron expuestos a cualquier clase de exploits. Para agravar ms la situacin, hubo 98 das (el ao pasado) en los cuales no hubo ningn tipo de parche disponible para fallas que haban sido detectadas y utilizadas por los hackers para robar datos personales. En comparacin, los usuarios del Mozilla Firefox solo estuvieron nueve das expuestos de manera crtica a la merced de cualquier ciberdelincuente que quisiera aprovecharse de ellos. Si bien la versin 7 del Explorer promete ms seguridad y menos fallas, su tardo lanzamiento (noviembre del ao pasado) no alcanz para que el panorama con respecto a las vulnerabilidades no fuera tan sombro.
Bug crtico en Adobe Reader y Acrobat 7.0.8
La industria informtica alcanza acuerdo en la definicin de Spyware
a AntiSpyware Coalition, formada por Microsoft, Symantec, Computer Associates, AOL, Yahoo! y McAfee, public en su sitio Web el primer documento en el que se define conjuntamente el termino Spyware. En el documento se hace una clasificacin de este tipo de cdigos (que se instalan en el ordenador para espiar la actividad de los usuarios) basado en el riesgo que suponen. Entre los cdigos de alto riesgo
se encuentran todos aquellos que se expanden masivamente por correo electrnico, virus y worms (gusanos). Cdigos instalados sin autorizacin ni conocimiento de los usuarios, a travs de un bug de seguridad, son tambin considerados de alto riesgo, as como aquellos que interceptan emails o modifican los niveles de seguridad del ordenador. El documento ha levantado cierta polmica en el sector informtico.
Resulta que los programas de Adobe tambin pueden ser afectados. Un polaco Piotr Bania ha descubierto una vulnerabilidad catalogada como crtica en Adobe Reader y Acrobat. Este bug puede ser explotado por atacantes para hacerse con un control total del sistema afectado. El fallo se da por un error de corrupcin de memoria cuando se procesan datos malformados lo que lleva bajo determinadas circunstancias a la ejecucin arbitraria de comandos por ejemplo abriendo un documento especialmente manipulado. Afecta Adobe Reader 7.0.8 y anteriores, Acrobat Standard, Profesional, Elements y 3D versiones 7.0.8 y anteriores. La solucin pasa por actualizar a las versiones 7.0.9 8.0.0.
www.hakin9.org
Breves
Un internauta condenado a dos meses de prisin y a una multa por descargar pelculas
Un internauta francs que descargaba pelculas por el sistema de intercambio directo de ficheros (peer-to-peer) ha sido condenado a dos meses de crcel y a una multa, segn la sentencia dada a conocer por un tribunal de Nantes. No obstante, esta persona no tendr que ingresar en prisin. El ordenador de este usuario haba llegado a acumular alrededor de 400 pelculas, por las que tendr que pagar ahora 10 euros por cada una a las asociaciones de edicin de obras cinematogrficas que se haban personado como parte civil en este proceso. La sentencia tiene en cuenta que el internauta descargaba pelculas para su propio disfrute, sin inters lucrativo. Por este motivo se le han aplicado sanciones reducidas. El Parlamento francs aprob definitivamente una ley en junio de 2006 que regula las descargas de obras a travs de Internet y contempla en algunos supuestos penas de crcel y multas. Adems, la ley francesa establece sanciones graduales que pueden llegar a los tres aos de crcel y fuertes multas para el que comercialice programas destinados a fomentar la piratera.
Telefnica pone a disposicin de Pymes, Negocios y Profesionales una herramienta de software diseada por ECIJA
Encuentran una denegacin de servicio en Snort
En los ltimos das se ha encontrado una vulnerabilidad en Snort 1.x y 2.x que puede ser aprovechada por atacantes sobre todo para provocar una denegacin de servicio en el detector de intrusos. El problema se basa en que el algoritmo de reconocimiento de patrones en Snort puede ser abusado para que consuma todos los recursos y provocar que el ratio de deteccin baje hasta ser nulo a travs de paquetes especialmente manipulados. La vulnerabilidad se ha confirmado en la versin 2.4.3 pero otras podran verse afectadas. Para evitar este problema, se recomienda actualizar a las ltimas versiones, o sea, descargarlas desde la pgina Web www.snort.org.
elefnica de Espaa contina avanzando en su objetivo de facilitar la gestin de los negocios y las pequeas y las medianas empresas y para ello lanza al mercado la Solucin Ayuda LOPD. Esta solucin on-line permite cumplir con las obligaciones impuestas por la normativa de proteccin de datos personales de una forma sencilla y econmica. Para ello, ha trabajado con Ecija, firma de Abogados y Consultora IT especializada en Proteccin de Datos y en la labor de apoyo y gestin a las empresas. Solucin Ayuda LOPD se basa en una aplicacin web (en modo ASP) que analiza la importancia y el grado de confidencialidad de los datos personales que tratan las pymes, negocios y profesionales y ofrece las soluciones necesarias para el cumplimiento tanto de la Ley Orgnica 15/1999 de Proteccin de Datos de Carcter Personal (LOPD) como del Real Decreto 994/1999, Reglamento de Medidas de Seguridad (RMS). Adems, el servicio proporciona los formularios oficiales de inscripcin de ficheros ante la Agencia Espaola de Proteccin de Datos, permite generar y mantener siempre actualizado, y de forma dinmica, el Docu-
mento de Seguridad de la empresa, incluye la Documentacin Jurdica necesaria para la adecuacin (contratos, clusulas, avisos legales, etc). El uso de esta solucin garantiza la adecuacin a la ley de forma rpida y eficaz a bajo coste, evitando cuantiosas sanciones por parte de la Agencia Espaola de Proteccin de Datos y velando por la profesionalidad y la calidad de servicio. Las principales ventajas de esta solucin on-line son la facilidad de uso puesto que no se requieren conocimientos tcnicos ni jurdicos para su utilizacin debido a la automatizacin de la mayora de los procesos y los servicios de soporte gratuito. Su implantacin supone un ahorro de costes y garantiza la actualizacin continua, estando cubierta la adaptacin a la normativa ante posibles cambios legislativos, as como la fiabilidad, ya que la solucin est desarrollada por un equipo de consultores, tcnicos y abogados especialistas en la proteccin de datos personales. La Solucin Ayuda LOPD puede contratarse a travs de la Red de Ventas de Telefnica de Espaa, los distribuidores autorizados y en www.telefonicaonline.com.
Proyecto Telefnica On-line
www.hakin9.org
News
Encuentran mltiples vulnerabilidades en lectores de archivos PDF
Spyware de Nueva Generacin que Elude a los Antivirus
iferentes lectores de archivos PDF son propensos a mltiples vulnerabilidades del tipo desbordamiento de bfer. La situacin se produce debido a que por diseo, stas aplicaciones no comprueban los lmites de la informacin proporcionada por estos archivos, antes de manipular la misma y copiarla a un bfer con insuficiente tamao para recibirla. Un atacante puede explotar estas debilidades para ejecutar cdigo de forma arbitraria, aunque esto depende del contexto y del lector en concreto. La prueba de concepto existente, solo ocasiona una denegacin de servicio (la aplicacin involucrada se congela y deja de responder). Otros ataques podran ser implementados a partir de esta situacin, y ser empleados para el robo de informacin, o la ejecucin de algn cdigo malicioso. El problema se origina al aplicar las especificaciones para los documentos en formato PDF (que es una abreviacin de Adobe Portable Document Format). La especificacin 1.3 de Adobe, define una serie de objetos en forma de rbol con jerarquas (es decir, cada objeto se organiza en diferentes ramas, cada una dependiente de la anterior hasta llegar a la raz), formando un diccionario en forma de catlogo. El catlogo contiene las referencias necesarias a objetos y datos que componen el contenido del documento y sus atributos. Tambin, contiene directivas para definir la forma en que el documento debe ser mostrado al usuario por la aplicacin. Por un error de diseo, no se contempla en estas especificaciones el uso de nodos o ramas con referencias u objetos invlidos. De ese modo, cuando el documento incorpora un nodo invlido, la conducta de la aplicacin es inesperada. Las consecuencias (entre otras), pueden ser la corrupcin de
la memoria, acceso no autorizado a zonas de la memoria y denegacin de servicio. La corrupcin de la memoria con la consecuente escritura de datos en reas no previstas para ello, pueden llevar a la ejecucin arbitraria de cdigo. Hasta ahora se ha comprobado el problema en los siguientes lectores de archivos PDF: Adobe Acrobat Reader 7.0.x, Adobe Acrobat Reader 6.0.x, Adobe Acrobat Reader 5.1, Adobe Acrobat Reader 5.0.x, Adobe Acrobat Reader 4.0.x, Adobe Acrobat Reader 3.0, Apple Mac OS X Preview.app 3.0.8 (409), Xpdf 3.0.1 (Patch 2).
Los hackers y cibercriminales utilizan troyanos y keyloggers para traspasar la seguridad de los antivirus y antispywares. Esto ha ocasionado que el 89% de los PCs particulares estn infectados con un promedio de 30 virus informticos o spywares cada uno. Segn se analiza en el informe de Webroot, empresa de seguridad informtica creadora del producto antispyware Spy Sweeper.
Una variante troyana del virus informtico Cdigo Rojo ataca redes informticas britnicas y estadounidenses
Sin embargo, siempre hay que tener en cuenta que otras aplicaciones tambin podran ser afectadas, ya que no se debe a un problema de las aplicaciones en si mismas, sino a un error de diseo de las especificaciones para leer estos archivos. No es afectada la versin 8.0 de Acrobat Reader. Debido a su naturaleza (o sea, error de diseo), desgraciadamente no existe una solucin concreta para este problema. Las consecuencias de su explotacin, dependern de la aplicacin y la plataforma utilizada. Para protegerse mejor antes de los ataques de virus, se recomienda, como una forma de disminuir los riesgos, no abrir documentos PDF que no han sido solicitados, o que vienen de fuentes no comprobadas, una cosa muy importante es tambin mantener actualizado su antivirus. Una solucin temporal tambin podra ser utilizar nicamente Acrobat Reader 8.0.0 como lector, pero ello no asegura al usuario no ser afectado por otras consecuencias de este problema.
Expertos en seguridad en Internet informan que estn vigilantes ante la aparicin de una variante de tipo troyana del gusano informtico Cdigo Rojo que detectaron tras los ataques cometidos en miles de terminales repartidas entre Estados Unidos y Reino Unido. La variante del Cdigo Rojo fue identificada como Cdigo Rojo C. por la empresa privada de seguridad en Internet, Symantec AntiVirus Research Center, y no tard en causar alarma mundial. El UNIRAS, una seccin del centro del Gobierno britnico para coordinar esfuerzos en la defensa de la infraestructura informtica britnica contra ataques electrnicos, as como la compaa de software antivirus Network Associates se confesaron vctimas del nuevo invasor en Internet. Cdigo Rojo C tiene poco que ver con su padre virtual ya que esta nueva versin no desactiva pginas Web como haca el Cdigo Rojo, sino que otorga al pirata informtico control remoto sobre las computadoras que infecta por medio de un caballo de Troya que introduce en el sistema. Su capacidad de dispersin es hasta seis veces ms rpida, y sus posibles efectos sobre Internet se desconocen, siendo ms difcil de detectar y ms complicado de eliminar que su predecesor. Esta nueva amenaza es ms peligrosa que las versiones anteriores del Cdigo Rojo, a pesar de que es improbable que afecte toda la infraestructura de Internet a corto plazo, segn el UNIRAS.
www.hakin9.org
hakin9.live
Contenido de CD
n el disco que acompaa a la revista se encuentra hakin9.live (h9l) en la versin 3.2.1 aur distribucin bootable de Aurox que incluye tiles herramientas, documentacin, tutoriales y material adicional de los artculos. Para empezar el trabajo con hakin9.live, es suficiente ejecutar el ordenador desde el CD. Despus de ejecutar el sistema podemos registrarnos como usuario hakin9 sin introducir contrasea. El material adicional se encuentra en los siguientes directorios: docs documentacin en formato HTML, art material complementario a los artculos: scripts, aplicaciones, programas necesarios, tut tutoriales, tutoriales tipo SWF.
por eso el Comodo Firewall tena que pasar muchos tests de seguridad para asegurarse de que tiene una poder suficiente para averiguar todos los datos que entran en tu ordenador. Es capaz de clasificar hasta 10 000 aplicaciones segn su nivel de seguridad: SAFE, SPYWARE y ADWARE. Pas el Comodo's Patent Injection Leak Test que simula la tcnica que usan los hackers durante los ataques de Troyanos. No necesita ningn cambio de configuracin para trabajar con su mxima fuerza.
Enigma Lite Desktop Edition
Los materiales antiguos se encuentran en los subdirectorios_arch, en cambio, los nuevos en los directorios principales segn la estructura mencionada. En caso de explorar el disco desde el nivel de arranque de hakin9.live, esta estructura est accesible desde el subdirectorio /mnt/cdrom. Construimos la versin 3.2.1 aur h9l en base a la distribucin de Aurox 12.0 y de los scripts de generacin automatica (www.aurox.org/pl/live). Las herramientas no accesibles desde el CD se instalan desde el repositorio de Aurox con el programa yum. En h9l encontraremos un programa de instalacin (Aurox Live Instaler). Despus de instalar en el disco se puede emplear el comando yum para instalar programas adicionales.
Enigma Lite Desktop Edition (versin trial de 90 das) es un programa que sirve para almacenar y transferir documentos; lo usan tanto los usuarios individuales para proteger sus ordenadores de mesa o porttiles, como las grandes empresas. Asegura la proteccin y la privacidad de archivos, correos electrnicos, bases de datos y de todos los documentos. Enigma ofrece una solucin diseada tambin para sistemas operativos Microsoft; sus componentes estn integrados con el Windows. Nuestros lectores reciben el descuento de 50% para la versin completa del programa.
Net Conceal AntiHistory
Tutoriales y documentacin
Net Conceal AntiHistory (versin completa) es un programa que borra perfectamente historial de tu actividad. Es capaz de borrar las cookies, Temporary Files, informacin recin escrita, historial de bsqueda, etc. Se lo puede usar con programas Internet Explorer, Windows, MS Office, MSN Messenger, programas de archivo (WinZip y WinRAR), programas de P2P (Kazaa, eMule), Google Toolbar y Google Desktop.
La documentacin est compuesta de, entre otros, tutoriales preparados por la redaccin que incluyen ejercicios prcticos de los artculos Suponemos que el usuario emplea hakin9.live. Gracias a ello evitaremos los problemas relacionados con las diferentes versiones de los compiladores, la diferente localizacin de los archivos de configuracin u opciones necesarias para ejecutar la aplicacin en el entorno dado. Especialmente para nuestros Lectores CD1 contiene aplicaciones comerciales:
NetConceal Anonymizer
NetConceal Anonymizer (versin trial) es un software que esconde tu IP cuando navegas por la red o durante cualquiera actividad tuya en Internet. Se lo puede usar con el Internet Explorer, programas de P2P, o con el e mail nadie ver tu autentica direccin de IP. Esconde tu IP y sintete seguro!
eScan Internet Security
Comodo Firewall Pro
Comodo es una empresa especialista lder en seguridad de Internet y provee la nueva generacin de Soluciones de Seguridad para E-commerce. Casi todos los firewalls desgraciadamente tienen algunos agujeros,
Es una solucin de seguridad diseada para proteger los ordenadores personales de los virus, spyware, troyan, adware, malware, keyloggers, hackers, spammers, etc. Contiene el escanner de los emails y pginas Web, spam blocker para prohibir los emails peligrosos, gestin de privacidad, filtro de Pop-ups, etc. Versiones en ingls, espaol, francs, alemn, polaco, chino, islands, portugus, italiano y finlands. l
10
www.hakin9.org
En caso de cualquier problema con CD rogamos escribid a: cd@software.com.pl
Si no puedes leer el contenido del CD y no es culpa de un dao mecnico, contrlalo en por lo menos dos impulsiones de CD.
Virus Sort 2000

Sistema operativo: Windows Licencia: Shareware Destino: Catalogador de colecciones de virus Pgina de inicio: http://www.infonegocio.com/vbuster/
Herramientas
Como el propio programa dice, Virus Sort 2000 es everything VX Collector Needs. Se trata de una herramienta indispensable para todo aquel coleccionista de virus que desee llevar al da su coleccin y poder intercambiar virus con otros coleccionistas.
VS2000 nos permite crear una base de datos de nuestros virus, organizar nuestra coleccin, ver estadsticas, comparar logs, permite eliminar posibles fakes de nuestra coleccin, archivos de 0 bites, entre otras muchas cosas. VS2000 posee una licencia Shareware, pero el nico pago que hay que efectuar es ceder una cantidad de virus, la que sea, a su autor, para poder conseguir las nuevas versiones, aunque en la Web del autor existe una versin algo ms antigua.
Virus Databases
Como es lgico empezaremos por el principio, y el principio es la pestaa de Virus Databases. En esta pestaa esta todo lo relacionado con nuestras bases de datos de virus. VS2000 transforma un archivo log en una base de datos, la cual nosotros podemos modificar, consultar, etc. Build Database : Desde aqu se hace una base de datos a partir de un archivo log. Es necesario recordar que VS2000 nos hace una base de datos distinta por cada log que tengamos. VS2000 reconoce los tipos ms usuales de log dependiendo del antivirus, por lo tanto nos realizar una base de datos para KAV (Kaspersky), otra para NOD, Las bases de datos se guardan con la extensin *.DAT dentro de una carpeta llamada virdata. Compare Log : Compara nuestra base de datos con otro archivo log. Si queremos comparar un archivo de KAV con nuestra base de datos, VS2000 lo comparar con la base de datos de KAV, no con las dems bases de datos, si es un log de NOD, pues con la base de datos de NOD. Esto es por la sencilla razn de que todos los antivirus no nombran a los virus de igual forma. Cuando se hace una comparacin se crea un archivo log con los virus que faltan en tu base de datos y que si estn en el otro log. Add new virii to DAT: Aade nuevos virus desde un log a nuestra base de datos. Esto es muy til puesto que si conseguimos nuevos virus no necesitamos
hacer de nuevo un log con toda la coleccin para actualizar nuestra base de datos, bastar con hacer un log de los nuevos virus, y aadirlos a nuestra base de datos. Compare two logs : Compara dos los entre ellos mismos, NO los compara con la base de datos. Crea dos archivos logs, en los cuales estn los virus que faltan en el otro log, es decir, si comparamos los logs: blood.log y avp.log nos crear dos archivos: uno que contenga los virus que faltan en el log blood.log y que se encuentran en avp.log, y otro log de forma viceversa. Search: Busca virus dentro de nuestra base de datos. Realmente til para buscar virus concretos. Generate Reports : Dentro de esta opcin nos encontramos con muchas ms opciones: Generate virii lists : Nos crea una lista con todos nuestros virus. Generate report : Nos crea un archivo log, igual que el creado con el antivirus, de cada una de nuestras bases de datos. Generate statistics : Crea un informe con los tipos de virus que poseemos, el nmero de virus de cada tipo, y el porcentaje. Esta opcin tambin es realmente til. Generate browse list from DATs : Genera una lista en 2 o 3 columnas en las que aparece el nombre que AVP le da a un virus, el nombre que le da FProt y el fichero que tienes en tu coleccin correspondiente a ese virus.
Figura 1. Virus Database
12
www.hakin9.org
Herramientas
Generate browse list from 2 logs : Al igual que la opcin anterior pero con dos logs externos a la dase de datos. Generate virii count report : Genera un archivo con el nmero de virus nicos y totales por cada base de datos que tengamos. Generate graphical statistics : Realiza estadsticas grficas a partir de un archivo generado con la opcin Generate virii count report antes comentada y permite guardarlas como *.bmp. El nico inconveniente es que actualmente solo esta disponible para KAV y F-Prot. Optimize DATs : Ordena los datos de los archivos *.DAT, de tal forma que realiza las comparaciones de forma mucho ms rpida. Process with logs : Con esto podremos hacer muchsimas cosas relacionadas con los logs. Las ms importantes son: crear un log con los fakes de nuestro log, crear una lista de virus duplicados, Process with strings : Desde aqu se podr modificar el log a nuestro gusto, podremos remplazar una linea, palabra, etc. por cualquier otro texto, borrar lneas que contengan ciertas palabras, etc. Extra Options : Permite aadir identificaciones a logs desconocidos, para que VS2000 los pueda comparar, etc. Tambin permite optimizar los DATs inmediatamente despus de aadir nuevos virus.
archivo BAT para que nos haga esa tarea, en lugar de que VS2000 nos la haga. List of extensions : Pues como se indica, no crea una lista de todas las extensiones de los archivos que hay en cierto directorio, pero eso si, todas distintas, si encuentra una extensin que ya esta en la lista, no la vuelve a poner. Find 0 bytes files : Busca archivos de 0 bytes, archivos que aparentemente son normales, pero que no contienen nada. Delete empty directories : Nos busca directorios vacos y los elimina.
Weed Files
Manage Files
Desde esta pestaa se podrn realizar todas las opciones relacionadas con los archivos de nuestra coleccin. A continuacin vamos a comentar todas las opciones de esta pestaa: Manage Files : En esta opcin encontraremos algunas posibilidades, desde mover archivos, definir un directorio de destino o desactivar la extraccin de ficheros comprimidos. Delete Files : Permite borrar archivos a partir de un log. Una gran utilidad de eso es la posibilidad de borrar nuestros virus duplicados mediante el log realizado con la aplicacin comentada en Process with logs. Real Duplicate Remover : Realiza una comparacin entre un log de F-Prot y AVP (Kaspersky) para comprobar cuales estn realmente duplicados. Pack Request : Nos hace un archivo zip con los virus que otro trader nos ha pedido, lgicamente nos lo realiza mediante el log que el otro trader nos enve con el pedido de virus que el nos realice. Extensin Renamer : Nos renombra las extensiones a sus extensiones reales, por ej. si tenemos un archivo *.XXX y su extensin real es *.EXE, VS2000 detecta eso y nos pone la extensin real, las extensiones desconocidas pasarn a ser *.VIR, una extensin neutra. A la vez dispone de la posibilidad de hacer un
Se trata de algo parecido a la pestaa Virus Databases pero en lugar de utilizar archivos logs, utiliza archivos crc32 o md5. CRC32 en espaol seria Cdigo de Redundancia Cclica y se utiliza principalmente para detectar y corregir errores en archivos. CRC32 realiza un clculo de los archivos mediante cierto algoritmo, y le da un nombre, por lo tanto, no existen dos archivos iguales con distinto nombre de CRC32. El caso de MD5 sera similar. Esto es de gran utilidad para evitar tener virus duplicados. Como podris ver, dentro de VS2000 existen muchsimas aplicaciones para conseguir tener una coleccin lo ms depurada posible. Las opciones que podemos encontrar en esta pestaa son: Create database, Add files hot database, Check for duplicated files y Create log with new files . En este apartado no nos pararemos mucho, puesto que las opciones son similares a las comentadas anteriormente,
Figura 2 Manage Files
Figura 3. Weed Files
www.hakin9.org
13
Herramientas
solo cambia el modo de operar, que puede ser desde un log, o como en ese caso, desde un archivo CRC32 o MD5.
Fake/Goat Scanner
Como va siendo normal, otra aplicacin para depurar nuestra coleccin. Es muy importante mantener nuestra Herramientas coleccin libre de fakes o basura y para ello esta herramienta es la apropiada. Adems, su autor va actualizando la base de datos de fakes, para as no tener problemas a la hora de eliminarlos. Entre las opciones que encontraremos estn la de escasear fakes en archivos, desde un log, escasear basura desde archivos o desde un log al igual que con los fakes. En este apartado tampoco nos detendremos mucho puesto que es sumamente sencillo.
Collection Maker Style: C:\VIRUS\J\ Jerusalem.1808.a\A456725F.COM : Se basa en KAV para nombrar y organizar los archivos. Create Directories : C:\VIRUS\AVP\J\Jerusalem\ 1808\a\0456ADEF.COM : Muy parecido al anterior, pero de una forma mucho mas esquematizada. Virus Name: C:\VIRUS\J\Jerusalem.1808.a.COM : Basado en el nombre de los virus y ordenado en carpetas del 0-1 y A-Z. Virus Types : C:\VIRUS\Win32\2FA67211.EXE : Se basa en el tipo de virus para realizar la organizacin.
Virus Explorer
Nos muestra una lista con el nombre, segn KAV y FProt, de todos los virus de nuestra coleccin y al lado la direccin donde se encuentran. Realmente solo hace eso, as que pasemos a la siguiente pestaa.
Virus Organizer
Sin duda una de las herramientas mas importantes, Qu sera de una coleccin desorganizada? Desde aqu podemos organizar nuestra coleccin a partir de un log. Podemos elegir entre 5 tipos distintos de organizacin, adems de tener la posibilidad de comprimir los archivos, mover archivos, o en su defecto copiarlos. Los tipos de organizacin son los siguientes: Bulk Style: C:\VIRUS\0\04\04ABC903.EXE : Usa CRC32 o MD5 para nombrar los archivos.
Stats
Figura 4. Estadsticas de la coleccin
Desde aqu (Figura 4) podremos observar, de forma grfica y para cada una de las bases de datos de cada logs, las estadsticas de nuestra coleccin. Podremos saber el nmero de virus totales y nicos que poseemos as como el porcentaje de virus y de warning, generics, que poseemos. Vamos a hacer algunas aclaraciones sobre esto. A lo de virus nicos y totales, veris, hay veces en las que un archivo contiene un nico virus, pero en otras ocasiones un solo archivo, puede contener varios virus, un ej. puede ser un archivo *.txt donde poseamos los cdigos fuente de varios virus, otro puede ser un archivo *.exe resultado de unir dos virus mediante un joinner, por lo tanto, virus totales seran el total, y virus nicos seran aquellos en los cuales un solo archivo contiene un nico virus. A lo de warning o generics veris, normalmente KAV detecta los virus como Infected:, pero en otras ocasiones hace una llamada a un virus mediante Warnings o advertencias, eso quiere decir que probablemente ese archivo sea el virus X, pero no con exactitud. Al igual RAV, NOD o F-Prot tienen sus peculiaridades a la hora de detectar virus, y son recogidas de forma grfica en esta pestaa. Bueno, pues aqu acaba la explicacin de esta magnifica herramienta, aunque VS2000 esconde muchas ms utilidades, como puede ser la de un servidor FTP, es un scan de puertos, contiene una librera donde encontrar informacin sobre todas las e-zines de informacin vrica, informacin sobre Constructor kits o laboratorios de virus e informacin sobre otras utilidades vricas, permite tener nuestra propia base de datos sobre traders, y un sin fin de utilidades ms. The BlooD theblood@gmail.com
Figura 5. Pgina oficial de Virus Trading Center
14
www.hakin9.org
Registro de Windows
Ataque
Vctor Lpez Jurez
Grado de dificultad
Albert Einstein una vez dijo: La formulacin de un problema es ms importante que su solucin. Un administrador de equipo como fundamento de seguridad prefiere denegar el acceso al Editor del Registro a todo usuario que no forme parte de su grupo.
in embargo haciendo uso de sta restriccin de acceso brindada por Windows no considera las consecuencias prcticas que puede llegar a obtener un atacante si elude dicha restriccin. Primero explicaremos qu es el Registro de Windows: el registro est conformado por una serie de archivos, anteriormente en las versiones de Windows 3.x el registro se guardaba en archivos con extensin .ini, ms tarde en las ediciones Windows 9x el registro de Windows se denominaba User.dat y System.dat mientras que en Windows Me estaba conformado por Classes.dat, User.dat y System.dat. En Windows XP para localizar los archivos que conforman el Registro debemos acceder a la siguiente ruta dentro del disco local, en que fue instalado el sistema, comnmente en C: \Windows\System32\Config, dentro de sta carpeta encontraremos varios archivos que corresponden a nuestro registro, tambin llamados Hives No todos los archivos que componen el registro de Windows estn ubicados dentro de esta carpeta, tambin existen Hives o claves que contienen subclaves y valores ubicados en las carpetas de cada usuario las cuales guardan
las configuraciones personales de cada cuenta, como por ejemplo el archivo ntuser.dat que corresponde a la clave HKey _Current_User.
Abriendo el Registro
Intentaremos abrir el registro de Windows, en esta ocasin lo haremos ingresando a la clave HKEY_LOCAL_MACHINE\Software desde su ubicacin en C:\Windows\System32\Config\ Software. Podemos percatarnos que el archivo Software no tiene extensin, lo que nos indica
En este artculo aprenders...

Qu es el Registro de Windows y su editor, Cmo implementar seguridad sobre el registro de Windows, Cmo atacar el Editor del Registro de Windows.
Lo que deberas saber...

Bases de programacin en lenguaje ensamblador, Poseer conocimientos bsicos sobre administracin de sistemas Windows.
16
www.hakin9.org
Registro de Windows
que carece de un programa asociado por medio del cual se pueda ejecutar, para solucionarlo hacemos doble click sobre el archivo, escogemos la opcin Seleccionar el programa de una lista y por ultimo optamos por WordPad, como resultado veremos lo siguiente (Figura 1). Es evidente que la aplicacin WordPad no es la adecuada para manipular el registro, para ello Windows cre el Editor del Registro (Regedit.exe) mediante el cual es posible acceder al registro y modificarlo bajo un entorno dinmico y jerrquico muy parecido al propio Explorador de Windows. Aunque el Editor del Registro permite inspeccionar y modificar el Registro, normalmente no necesitaremos hacerlo. Microsoft no garantiza solucionar los problemas resultantes por el uso incorrecto del Editor del Registro, as que utilizaremos esta herramienta bajo nuestra responsabilidad.
Tabla 1. Claves de configuracin personal Seccin del Registro HKEY_LOCAL_MACHINE\SAM HKEY_LOCAL_MACHINE\ Security HKEY_LOCAL_MACHINE\ Software HKEY_LOCAL_MACHINE\ System HKEY_CURRENT_CONFIG Archivos en C:\Windows\System32\ Config Sam, Sam.log, Sam.sav Security, Security.log, Security.sav Software, Software.log, Software.sav System, System.alt, System.log, System.sav System, System.alt, System.log, System.sav, Ntuser.dat, Ntuser.dat.log Default, Default.log, Default.sav usuario que logre acceder al editor del registro puede llevarse consigo bastante informacin relevante sobre las caractersticas de nuestro sistema. La idea de que si accedemos a otro sistema y copiamos el Editor del Registro de Windows ubicado en C: \Windows y lo trasladamos al nuestro obtenemos el contenido del Registro de Windows, es equivocada. Cuando ejecutemos el Regedit.exe que trajimos del otro sistema accederemos inmediatamente a nuestro Registro. Debemos recordar que el Editor del Registro es simplemente una herramienta que permite realizar modificaciones en el Registro de Windows, llevando el Editor (Regedit.exe) de un ordenador a otro nicamente estaremos trasladando dicha herramienta y no el contenido del registro de Windows de cada sistema, como podra pensarse. Ahora bien si entramos en un sistema como usuario restringido y conseguimos acceder al Editor del Registro (aqu lo aprenders incluso si el administrador del equipo es precavido y previamente deneg el acceso al Editor) fcilmente podremos exportar todo el contenido del registro de Windows y llevarlo a nuestro sistema para examinarlo detenidamente. Para lograrlo, simplemente debemos estar dentro del Editor, dirigirnos al men Archivo > Exportar. Luego en el recuadro llamado Intervalo de Exportacin en lugar de seleccionar la opcin predeterminada escogemos Todos, finalmente asignarle un nombre al archivo y guardarlo.
HKEY_USERS\DEFAULT
El Editor del Registro (Regedit.exe)
Los administradores del sistema pueden modificar el Registro a travs del Editor del Registro (Regedit.exe o Regedt32.exe), directivas de grupo, directivas del sistema, archivos de Registro (.reg) o mediante la ejecucin de secuencias de comandos (por ejemplo, archivos de comandos de Visual Basic o archivo de lotes .bat). El Editor del Registro esta ubicado en el directorio del sistema C: \Windows\Regedit.exe, al abrirlo encontraremos un rea de exploracin organizada en carpetas, cada carpeta representa una clave predeterminada del equipo local, cuando
se obtiene acceso al Registro de un equipo remoto, slo aparecen dos claves predefinidas: HKey _Users y HKey _Local_Machine. A continuacin veremos las claves predefinidas utilizadas por el sistema (Tabla 2). Estas claves o tambin llamadas Hives se inician juntamente con el sistema operativo, el cual utiliza constantemente el registro de Windows, esto parece ser lgico tomando en cuenta que ste debe mantenerse actualizado por los cambios dinmicos que pueden surgir al momento de utilizar el sistema, por ejemplo si deseamos renombrar el icono llamado Mi PC por Hakin9, basta por renombrarlo una vez y en los prximos inicios de sesin el icono ya aparecer renombrado sin necesidad de guardar los cambios en el sistema, pues el registro lo hace por nosotros. Tomando en cuenta el grado de importancia que adquiere el registro de Windows para el sistema operativo puede ser blanco de ataques o de backups enteros sin autorizacin, el
Qu es el Registro de Windows?
El Registro de Windows conforme el Microsoft Computer Dictionary es definido de la siguiente manera: Una base de datos jerrquica central utilizada en Microsoft Windows 9x, Ce y NT con el fin de almacenar informacin necesaria para configurar el sistema para uno o varios usuarios, aplicaciones y dispositivos de hardware. El Registro contiene informacin que Windows utiliza como referencia continuamente, por ejemplo los perfiles de los usuarios, las aplicaciones instaladas en el equipo y los tipos de documentos que cada aplicacin puede crear, las configuraciones de las hojas de propiedades para carpetas y los iconos de aplicaciones, los elementos de hardware que hay en el sistema y los puertos que se estn utilizando.
www.hakin9.org
17
Ataque
Tabla 2. Las claves utilizadas por el sistema

Carpeta o clave predefinida HKEY_CURRENT_USER Descripcin Contiene la raz de la informacin de configuracin del usuario que ha iniciado la sesin. Aqu se almacenan las carpetas de usuario, los colores de pantalla y la configuracin del Panel de control. Esta informacin se conoce como perfil de usuario. Contiene la raz de todos los perfiles de usuario del equipo. HKEY_CURRENT_USER es una subclave de HKEY_USERS. Contiene informacin de configuracin especfica del equipo (para cualquier usuario). Es una subclave de HKEY_LOCAL_MACHINE\ Software. Aqu se almacena la informacin que asegura que se abre el programa correcto al abrir un archivo con el Explorador de Windows. Contiene informacin acerca del perfil de hardware que utiliza el equipo local al iniciar el sistema.
HKEY_USERS
HKEY_LOCAL_ MACHINE HKEY_CLASSES_ROOT
Figura 2. Cmo obtener un permiso de escritura, parte 2
HKEY_CURRENT_CONFIG
Restringiendo el acceso y escritura sobre el registro de Windows
Una de las caractersticas de seguridad importantes en la serie Windows NT permite que el administrador del sistema pueda conceder o no el acceso a las claves del registro a travs del editor del registro (Regedit.exe). Los permisos de escritura sobre el registro comprometen al sistema operativo de tal manera que en muchas ocasiones son imprescindibles estos permisos para realizar ataques contra el sistema. Por ello es importante tambin conocer prcticas de seguridades fciles y eficaces, capaces de implementar en nuestros sistemas. Dentro del editor del Registro la administracin de seguridad sobre las claves y subclaves es relativamente sencilla, solo basta con elegir
la clave que deseamos configurar, click derecho y seleccionar la opcin Permisos. (Figura 2 y 3). De esta manera cualquier administrador del sistema puede otorgar permisos de escritura, agregar usuarios o grupos a la lista de permisos, asignar permisos a una clave, conceder control total a una clave, asignar accesos especiales, auditar la actividad de una clave, agregar usuarios o grupos a la lista de auditora, tomar posesin de una clave, establecer controles de lectura, etc.
Figura 3. Cmo obtener un permiso de escritura, parte 1

ya sea con buenas o malas intenciones. Para lograrlo debemos localizar la siguiente clave desde el editor del registro HKEY_CURRENT_USER/ Sof t ware / Microsof t / Windows / CurrentVersion/Policies/System en la ventana de la derecha creamos un nuevo valor DWord llamado DisableRegistryTools, damos doble click sobre l y le colocamos el valor 1. De esta manera la modificacin del registro de Windows quedar deshabilitada para el usuario actual. Al intentar abrir el editor del registro veremos lo que aparece en la Figura 4. Esta es una manera de bloquear el acceso al registro, aunque no es la nica, otra forma de lograrlo es
Nadie me toca el registro!
Como una opcin de seguridad ms, el administrador puede restringir el acceso al editor del registro a los usuarios que no forman parte del grupo de administradores del equipo, con la finalidad de impedir que cualquier usuario altere el sistema
Figura 1. Word Pad no es una buena aplicacin para abrir un registro
18
www.hakin9.org
Registro de Windows
eliminando el propio Editor del Registro (Regedit.exe) de la carpeta de su ubicacin C:\Windows, as el usuario que acceda al sistema y carezca de privilegios difcilmente podr editar el registro al no encontrar la herramienta destinada para ello. Aunque pueda parecer lo contrario, la eliminacin del regedit.exe no llevar al colapso del sistema, ya que no se elimina el registro de Windows (el cual est mayormente constituido por los archivos ubicados en C:\Windows\system32\ config ) sino que nicamente prescindimos de la herramienta que lo edita. Aun si deliberadamente intentamos borrar los archivos que constituyen el registro de Windows ubicados en C:\Windows\system32\config , el sistema operativo lo impedira dada la importancia de los mismos.
Consecuencias de la escritura sobre el registro
La escritura sobre el registro de Windows permite gestionar y personalizar el sistema operativo sin ningn problema, de hecho es una posibilidad exclusiva dada a los administradores del sistema, la cual puede ser tambin otorgada a los usuarios invitados. Otra posibilidad simple que genera la escritura sobre el registro, es la capacidad para instalar programas. Cualquier programa al instalarse usualmente crea, modifica o elimina claves y subclaves dentro del registro de Windows, durante ese proceso de instalacin tambin comprueba ciertos valores en el registro (ese es el punto dbil que atacaremos ms adelante) dependiendo de esos valores y ciertas
Ejemplo Prctico
En este ejemplo colocaremos la palabra Hakin9 en el men contextual de los archivos con extensin txt, de tal manera que si escogemos la opcin Hakin9 se abrir el archivo en el programa Notepad.exe tal y como sucede comnmente. Para lograrlo, dentro del editor del registro localizamos la siguiente clave Hkey _ Local_Machine\Software\Classes\textfile\shell\open. En la ventana de la derecha ya existe un valor alfanumrico llamado Predeterminado, hacemos doble click sobre l y lo nombramos Hakin9 Ahora cuando hagamos click derecho sobre los archivos *.txt en lugar de ver la opcin convencional llamada Abrir veremos Hakin9 (Figura 5). Este es un claro ejemplo de cmo es posible personalizar la configuracin de usuario, a travs de la escritura sobre el registro de Windows.
caractersticas de seguridad el aplicativo podr ser instalado. El usuario que carece de privilegios no podr instalar correctamente aplicaciones. De modo que a travs de las consecuencias prcticas que conseguimos al editar el registro de Windows mediante el regedit.exe obtenemos mayores logros que si nos limitramos a personalizar el sistema operativo a travs de las pocas opciones que ste nos brinda. Sin embargo, siempre es recomendable conocer el rea del registro que deseamos modificar, porque los cambios incorrectos pueden daar el sistema. Desde el punto de vista de un atacante, poseer permisos de escritura sobre el registro le otorgan ciertas ventajas, como por ejemplo instalar troyanos o servidores maliciosos y dejarlos a la escucha de cualquier puerto o ejecutarlos en segundo plano cada vez que arranque el sistema, inclusive si el administrador inicia el sistema en modo a prueba de fallos un troyano dependiendo de la clave del registro en la que fue asociado, se ejecutar de modo invisible. Si poseemos permisos de escritura sobre el registro de Windows podemos realizar un sin nmero de acciones que terminarn alterando el sistema operativo, ests acciones dentro del registro pueden ser desde las ms bsicas hasta las ms peligrosas capaces de poner en peligro la seguridad del sistema.
Crackeando el registro como usuario sin privilegios
Figura 4. El acceso al registro bloqueado
Figura 5. Cmo personalizar las configuraciones del usuario
Las restricciones de seguridad del registro de Windows son escasamente eficientes. El punto dbil que nos permite explotar la siguiente vulnerabilidad y acceder al editor del registro, es el propio sistema de proteccin utilizado por los desarrolladores de Windows, en particular la opcin a travs de la cual es deshabilitado el acceso al editor del registro (Figura 4) es una prctica poco recomendada por los desarrolladores de software comercial, dada su relativa facilidad para ser vulnerada por los atacantes.
www.hakin9.org
19
Ataque
Cuando se accede a un sistema como usuario invitado de manera predeterminada carecemos de permisos para escribir sobre el registro, a menos que el administrador haya decidido lo contrario. Las causas principales por las que un administrador de equipo decide deshabilitar el acceso al editor del registro y consecuentemente la escritura sobre ste, son impulsadas mayormente por razones de seguridad, las cuales le brindan una ventaja al propio sistema, ya que se adquiere un mayor grado de confianza en relacin a su uso. Es por ello que para explotar la vulnerabilidad a la que puede estar expuesto el editor del registro a travs de la restriccin de acceso, debemos ingresar a un sistema Windows XP en calidad de usuario restringido, es decir sin permisos de acceso y escritura en el registro de Windows. Antes de empezar debemos verificar que el acceso al editor del registro ha sido deshabilitado por el administrador (Figura 4). Ahora debemos crear una carpeta en el directorio C:\ llamada Hakin9, luego copiamos el regedit.exe de la carpeta del sistema (C:\Windows) y lo pegamos en la siguiente ubicacin C:\hakin9. Esta copia que recin acabamos de crear nos brinda seguridad, debemos tomar en cuenta que siempre es recomendable trabajar sobre una copia del programa y no sobre el original, dadas las equivocaciones en
que podramos incurrir al momento de modificar el cdigo del programa.
Atacando el Registro de Windows Vamos a la Prctica!
Cuando un programador decide crear cualquier aplicacin tiene la opcin de hacerlo a travs de diferentes lenguajes de programacin, ya sea alto, mediano o bajo nivel, la categora del nivel de programacin depende de los recursos del sistema que utiliza el lenguaje y el programador para realizar la aplicacin. Cuando finaliza el proceso de creacin de una aplicacin, se compila (convierte a unos y ceros) y se genera un archivo ejecutable de extensin .exe, los cuales a su vez pueden ser traducidos a un lenguaje de programacin de bajo nivel, como por ejemplo lenguaje ensamblador, independientemente del lenguaje de programacin original con que hayan sido creados. Sin embargo, existen aplicaciones que son empaquetadas (como sistema de proteccin) con el motivo de evitar que sean traducidas a lenguaje ensamblador, en otros casos la conversin al lenguaje ensamblador de un programa del cual no somos propietarios es ilegal. Si abrimos alguna aplicacin exitosamente para debugearla en lenguaje ensamblador y manejamos conocimientos de este lenguaje, podremos modificar el cdigo del
programa a nuestro favor, en este caso abriremos el editor del registro y eliminaremos la proteccin que nos impide su acceso, de esa manera tendremos a nuestra disposicin el registro de Windows. Una utilidad que nos permite abrir un programa y explorar su cdigo en lenguaje ensamblador es W32dasm, este programa no necesita instalacin as que como usuario restringido no tendremos ningn problema en abrirlo, dentro de W32Dasm nos dirigimos al men Disassembler y seleccionamos la opcin Open File to Disassemble y abrimos nuestra copia del Editor del Registro desde C:\hakin9\regedit.exe, W32Dasm comenzar a desensamblarlo y al terminar veremos el cdigo en lenguaje ensamblador. De esta manera podemos percatarnos como an con el bloqueo
Acceder como un usuario restringido
Si prefieres acceder como usuario restringido desde tu ordenador lo puedes hacer ingresando desde la cuenta de Invitado. Para activarla debes ir a Inicio>Panel de Control> Cuentas de Usuario> Invitado> Activar la cuenta de Invitado.
Registros del procesador
El procesador necesita de ayuda al momento de realizar sus tareas, como por ejemplo ejecutar programas, los registros lo ayudan precisamente en eso. Cuando el procesador necesita sumar posiciones de memoria las dirige a un registro para realizar operaciones, stos a su vez varan dependiendo de las funciones especficas que fueron destinados a realizar.
OFFSET
Figura 6. La Ventana List Of String Data Items
Un offset sirve para designar inequvocamente una direccin de memoria conjuntamente con un segmento en algunas arquitecturas de microprocesadores.
20
www.hakin9.org
Registro de Windows
de acceso al regedit.exe es posible desensamblarlo sin inconvenientes. Una vez abierto el editor del registro en W32Dasm podemos observar tres columnas diferenciadas, la primera representa la direccin de memoria en la que est la instruccin, la segunda columna contiene el cdigo de la instruccin en sistema numrico hexadecimal, cuya base es 16, mientras que la tercera columna contiene el cdigo en lenguaje ensamblador, el que modificaremos para evadir la proteccin. Ahora nos disponemos a buscar la cadena de texto que aparece dentro del mensaje que nos advierte sobre la restriccin: El administrador ha deshabilitado la modificacin del registro (Figura 4). Mediante W32Dasm podemos observar las cadenas de texto de un programa y las referencias a dichas cadenas. Si el editor del registro necesita hacer uso de una cadena de texto, no es necesario crear la cadena todas las veces que la vaya usar, sino que simplemente se hace referencia a la direccin de memoria donde se encuentra.
Figura 7. Los datos de Offset necesarios Es por ello que la cadena de texto que buscamos puede estar referenciada varias veces dentro del regedit.exe. Una vez identifiquemos la cadena de texto a buscar El administrador ha deshabilitado la modificacin del registro, averiguaremos sus referencias. Para ello, teniendo abierto el Editor del Registro desde W32Dasm nos dirigimos al men Refs, luego seleccionamos la opcin String Data Referentes, para encontrar las cadenas de texto. Al borde inferior de la ventana List of String Data Items vemos la cadena de texto que estbamos buscando (Figura 6). Damos doble click una sola vez sobre la cadena de texto (en algunos casos deberamos dar ms de un doble click sobre esta cadena, hasta encontrar el salto condicional correcto), presionamos el botn Close y W32Dasm nos llevar a la esta direccin de memoria 01008AB4. Si continuamos haciendo doble click sobre la cadena de texto el programa nos llevar hacia otras direcciones de memoria, tantas veces como existan referencias a la cadena. Si nos dirigimos cuatro lneas arriba de la direccin 01008AB4 veremos dos instrucciones importantes marcadas de color azul, la primera test eax, eax, realiza una comprobacin de estos registros, y emite un resultado booleano, es decir verdadero o falso, dependiendo de la comprobacin resultante de los registros. Seguidamente vemos la instruccin je 01008ACA (Jump if is Equal) es un salto condicional que comprueba el resultado del test, si el resultado del test es igual, je salta hacia 01008ACA , de lo contrario el programa continua con el resto del cdigo inferior a je. Lo que haremos
Ejemplo Prctico
Una ejemplo simple orientado al hakin9 (haking) que podemos realizar fcilmente basados en lo aprendido en esta prctica, es abrir puertos cada vez que arranca el sistema sin que el administrador del equipo se de por enterado. Para lograrlo abrimos el editor del registro y localizamos la siguiente clave
HKey_Current_User\Software\Microsoft\Windows\CurrentVersion\Run
En la ventana de la derecha creamos un nuevo valor Alfanumrico llamado Server (o como prefieras), damos un doble click sobre l y escribimos la ruta de la aplicacinservidor que deseamos dejar a la escucha. De esa manera cada vez que el usuario inicie sesin lo har tambin esa aplicacin, ms tarde podrs ejecutar el programacliente desde cualquier ubicacin para establecer conexin.
Problemas?
En caso de que no puedas acceder correctamente al editor del registro de Windows, debers revisar los pasos nuevamente, los errores que probablemente te impidan realizar esta prctica pudieron surgir por diversos motivos relativamente simples, probablemente la versin del registro de Windows que utilices sea diferente, (en este caso usamos la de Windows Xp Profesional) o equivocaste el salto condicional o no encuentras el offset correcto. En esos casos debes abrir la copia del regedit.exe desde W32Dasm ir al men Refs, y el la ventana donde aparece la cadena de texto El administrador ha deshabilitado la modificacin del registro, dar doble click mas de una vez sobre sta y repetir el proceso desde ese punto en adelante hasta encontrar el salto condicional correcto, posteriormente es probable que tengas un offset distinto al de nuestra practica, pero en el editor hexadecimal solo debes verificar que el offset te dirija al 74 para modificarlo por EB.
www.hakin9.org
21
Ataque
Figura 8. Una pantalla de Win Hex usuario restringido para evadir la proteccin que nos restringe el acceso al editor del registro es cambiar ese salto condicional JE por un salto incondicional JMP, de esta manera el regedit.exe al llegar a esa parte del cdigo compara los registros y salta en todas las ocasiones, independientemente del resultado del test de los registros. Nos dirigimos hacia el salto condicional y hacemos doble click sobre l, vemos como se pinta una lnea de color verde, seguidamente tomamos nota del offset que aparece abajo en la barra de estado @offset 00007EAEh in File: regedit.exe, la h al final indica que dicha cantidad esta representada en sistema hexadecimal. Por ltimo anotamos por aparte el Offset ya que lo necesitaremos ms adelante. Dentro de W32Dasm no es posible modificar de manera directa el cdigo, desde cierto de punto de vista es ventajoso porque nos impide cometer errores al momento de alterarlo, por ejemplo si deseamos cambiar un salto incondicional de 2 bytes no debemos hacerlo por uno de 5 bytes por la instruccin CALL por ejemplo, sino por otro de la misma longitud. En este caso cambiaremos el je por jmp, es decir el 741A (la direccin que vemos en la segunda columna (Figura 7) por EB1A . Debemos acudir a otra herramienta para realizar las modificaciones necesarias en el cdigo del regedit.exe. Un editor Hexadecimal, en este caso usaremos el WinHex, este editor no precisa de instalacin por lo que como usuario restringido no tendremos ningn problema en abrirlo. Seguidamente nos dirigimos al men File > Open > C:\hakin9\ regedit.exe (Figura 8). Ahora tenemos a nuestra disposicin el cdigo del editor del registro de Windows en formato numrico hexadecimal. Una vez abierto, desde la posicin inicial nos dirigimos al men Position > Go to Offset y en la opcin New position colocamos el offset que obtuvimos en W32Dasm 00007EAE, finalmente presionamos OK. El editor hexadecimal nos dirigir al offset que buscbamos, el cual contiene el salto condicional, (debemos estar seguros de aparecer en 74 1A), media vez hayamos encontrado el offset correcto colocamos el puntero en el 7 y lo modificamos tecleando EB, luego veremos como cambia a color azul. Finalmente solo resta guardar los cambios dirigindonos al men File > Save > Yes. Y eso es todo amigos.
la restriccin de acceso al editor del registro y evadirla simplemente ejecutando nuestra querida copia. Las consecuencias prcticas que obtenemos derivadas del acceso al editor del registro de Windows a travs de esta prctica nos permiten tener la habilidad para modificar ciertos aspectos del sistema operativo, tales como la apariencia, accesibilidad, los colores, temas, el escritorio, teclado, mouse, sonido, protector de pantalla, configuracin de la shell del sistema, informacin sobre el usuario actual, programas instalados, archivos temporales, informacin de la sesin de usuario, manejo sobre las aplicaciones que se inician al cargar el sistema, etc, etc.
Contramedidas
Implementar software especfico que audite el registro de Windows de manera permanente evitando cualquier tipo de modificacin sobre ste, de manera que deniegue los cambios realizados por cualquier usuario. Si establecemos este tipo de seguridad dentro del sistema y prevenimos su correcta funcionalidad, no ser necesario hacer cambios en el registro de Windows de manera no prevista. Espero haberlos alertado sobre la relativa facilidad que puede tener un atacante para evadir la restriccin de acceso al registro de Windows, cuando el administrador de equipo hace uso de las medidas de seguridad predeterminadas que nos ofrece Windows. l
Sobre el Autor
Misin Completa!
Solo basta comprobar que es posible acceder al registro de Windows ejecutando el regedit.exe desde C: \hakin9. Si ejecutamos el regedit.exe ubicado en C:\Windows an veremos la restriccin que nos impide acceder a l, la restriccin continua porque las modificaciones nicamente han sido hechas a nuestra copia ubicada en C: \hakin9\regedit.exe, la que podremos trasladar a cualquier sistema operativo Windows Xp que tenga habilitada
Vctor Lpez Jurez es estudiante de la Universidad Rafael Landivar de Guatemala. Est interesado en los diversos temas sobre seguridad informtica, actualmente es miembro de la Comunidad de Desarrolladores de cdigo seguro de Microsoft, profesional certificado por parte de la empresa Intel Inside en temas como Web Services, Software Libre y Seguridad, y ex-integrante de la Academia Latinoamericana de Seguridad Informtica. Durante sus tiempos libres participa en foros y comunidades de hackers, tambin desarrolla y disea sitios Web.
22
www.hakin9.org
Quieres recibir tu revista regularmente? Quieres pagar menos?
Pide suscripcin!
por suscripcin es ms barata:
www.hakin9.org/es www.buyitpress.com
Pedido
69
Por favor, rellena este cupn y mndalo por fax: 0048 22 887 10 11 o por correo: Software-Wydawnictwo Sp. z o. o., Bokserska 1, 02-682 Varsovia, Polonia; e-mail: suscripcion@software.com.pl Para conocer todos los productos de Software-Wydawnictwo Sp. z o. o. visita www.buyitpress.com Nombre(s) ......................................................................................... Apellido(s)........................................................................................ Direccin ......................................................................................................................................................................................................... C. P. ................................................................................................... Telfono ............................................................................................ Poblacin, provincia ........................................................................ Fax ....................................................................................................
E-mail ................................................................................................ Suscripcin a partir del N ..............................................................
Precio de suscripcin anual Absender-Daten de hakin9: 69

Realizo el pago con: tarjeta de crdito (EuroCard/MasterCard/Visa/American Express) nO
CVC Code
Vlida hasta transferencia bancaria a BANCO SANTANDER CENTRAL HISPANO Nmero de la cuenta bancaria: 0049-1555-11-221-0160876 IBAN: ES33 0049 1555 1122 1016 0876
cdigo SWIFT del banco (BIC): BSCHESMM Fecha y firma obligatorias:

Ataque
Ezequiel Martn Sallis
Grado de dificultad
El Estndar Bluetooth, nacido en 1994 y formalizado en 1998 por el Bluetooth-SIG (Special Interest Group). La tecnologa Bluetooth permite la comunicacin inalmbrica, entre diferentes dispositivos que la incorporen sin necesidad de lnea de vista y son el reemplazo esperado de la tecnologa infrarroja.
l Estndar Bluetooth, nacido en 1994 y formalizado en 1998 por el Bluetooth-SIG (Special Interest Group), es una tecnologa inalmbrica de bajo coste, que opera en la banda no licenciada de 2.4Ghz de frecuencia (la misma banda que utilizan algunos estndares de la tecnologa 802.11). Bsicamente posee cuatro canales, tres canales sincrnicos de voz (64 Kbps por canal) y un canal de datos asincrnicos. La velocidad de transmisin de los canales asincrnicos es de 723,2 Kbps mientras que la del canal asincrnico es de 433,9 Kbps. Existen hoy en da tres versiones de Bluetooth: Bluetooth Protocolo V1.1 No provee compatibilidad para coexistir con 802.11, Bluetooth Protocolo V1.2 (2003) Data Rate 1Mbps, Bluetooth Protocolo V2.0 +EDR (Enhanced Data Rate) (2004) Data Rate 3Mbps.
consumo de los equipos y que adems permite ser incorporada en los telfonos mviles y las PDA sin que afecte en exceso al consumo de sus bateras. La tecnologa Bluetooth permite la comunicacin inalmbrica, entre diferentes dispositivos que la incorporen sin necesidad de lnea de vista y son el reemplazo esperado de la tecnologa infrarroja. Sin embargo, la frecuencia en la que opera (2.4 Ghz banda no licenciada),

Qu es Bluetooth, Cmo funciona esta Tecnologa, Cules son sus aplicaciones ms habituales, Cules son los riesgos, Cules son los ataques mas comunes, Algunas herramientas disponibles.

Nociones Bsicas de Comunicaciones Inalmbricas, Nociones Bsicas sobre la tecnologa Bluetooth.
Uno de los hechos que hacen que esta tecnologa sea de bajo coste, es la potencia necesaria para funcionar, tan slo 0,1 vatios, que sin duda alguna reduce considerablemente el
24
www.hakin9.org
debi enfrentarse al temor elemental de cualquier comunicacin inalmbrica, la interferencia, y a fin de superarla se implementaron las siguientes caractersticas: Frequency Hoping: Patrn de saltos predefinido, Saltos de 1 Mhz sobre 79 frecuencias diferentes entre 2.402 GHz y 2.480 Ghhz, Saltos entre frecuencias ms rpidos que en otras tecnologas inalmbricas (1600 Saltos por segundo).
go, soportan hasta 200 dispositivos pasivos. Los dispositivos esclavos pueden a su vez estar interconectados a diferentes Piconet, formando lo que se denomina una Scatternet, pero esta caracterstica no se aplica al dispositivo Master ya que el mismo solo puede estar en una Piconet.
atacante conozca la Mac Address (BD_ADDR). Bsicamente los modelos de Seguridad de los dispositivos Bluetooth se clasifican en tres modos primarios:
Modo 1: Sin seguridad (Modo Default)
Seguridad
Los dispositivos con Bluetooth tienen bsicamente dos estados o modos posibles: Modo Descubrimiento, Modo No Descubrimiento.
Esencialmente, los mecanismos de autentificacin y cifrado estn deshabilitados.
Modo 2: Aplicacin/ Nivel Servicio
Este punto a su vez incorpora, una medida importante desde el punto de vista de la seguridad, ya que para poder monitorear el trfico de una comunicacin, debemos formar necesariamente parte de la misma, de lo contrario la nica alternativa viable es la de adquirir costosos equipos que puedan monitorear trfico, sin la necesidad de ser parte de la conexin, algo viable solo para unos pocos adinerados.
Cabe mencionar que si algn dispositivo se encuentra en modo No Descubrimiento, igualmente puede ser mapeado siempre y cuando el
Ocurre en la capa L2CAP, nivel de servicios. Primero se establece un canal entre el nivel LM y el de L2CAP, inicializando los parmetros de seguridad. Como caracterstica, el acceso a servicios y dispositivos es controlado por un Gestor de
Tabla 1. La pila del protocolo Bluetooth est conformada de la siguiente manera: Radio Layer Es la capa mas baja, define las caractersticas de la transmisin, cada dispositivo esta clasificado en tres clases diferentes: Clase 1 100 Metros Aproximadamente Clase 2 10 Metros Aproximadamente Clase 3 1 Metro Aproximadamente Es la capa fsica, provee correccin de errores y caractersticas de seguridad, a travs de la encriptacin de datos, tambin administra los saltos de frecuencia y los datos contenidos en la cabecera del paquete Es el contenedor de aproximadamente 20 PDU Protocol Data Units, estas unidades son enviadas desde un dispositivo al otro, algunas de las ms utilizadas son: Power Control Autentificacin Calidad de Servicio (QOS) Enva comandos a las dos capas inferiores, permitiendo una va para la utilizacin, de las bondades de Bluetooth Controla el link entre dos dispositivos, y adems es la encargada de proveer los servicios a los mismos Es el protocolo de transporte, enva la seal montada sobre L2CAP Busca otros dispositivos Bluetooth disponibles y le provee la capacidad de establecer una conexin con los mismos, se comunica directamente con la capa de L2CAP
Bluetooth STACK
La pila del protocolo Bluetooth est conformada de la siguiente manera (Tabla 1).
Baseband Layer
Redes
Cuando se conectan ms de un dispositivo BT compartiendo un mismo canal de comunicacin forman una red denominada Piconet. Dichas redes estn compuestas por un dispositivo Master quien impone la frecuencia de saltos para la Piconet, y todos los dems dispositivos son los denominados Slaves (esclavos). Las Piconet solo pueden aceptar hasta 7 dispositivos Slaves conectados al mismo tiempo, sin embar-
Link Manager Protocol (LMP)
Host Controller Interface
En la Red
www.bluetooth.org, www.trifinite.org, www.nruns.com, http://gospel.endorasoft.es, http://student.vub.ac.be/~sijansse/ 2e%20lic/BT/Tools/Tools.pdf.
The Logical Link Control and Adaptation Protocol (L2CAP) Cable Replacement Protocol (RFCOMM) Service Discovery Protocol (SDP)
www.hakin9.org
25
Ataque
Seguridad, por lo cual variando las polticas de seguridad y los niveles de confianza se pueden gestionar los accesos de aplicaciones con diferentes requerimientos de seguridad que operen en paralelo. Otra caracterstica importante de este modo es que no hay ninguna codificacin adicional de PIN o claves.
se comuniquen ambos dispositivos sin la necesidad de la intervencin de los usuarios para que coloquen nuevamente sus contraseas. Si alguno de los dos dispositivos pierde la clave, se debe a realizar todo el proceso nuevamente. Todo este proceso es conocido como emparejamiento o Paring.
Modo 3: Autentificacin va PIN/ Seguridad a nivel MAC/ Encriptacin
Riesgos y Ataques en la tecnologa Bluetooth
Ocurre a nivel de Link y todas las rutinas se corren internamente en el chip BlueTooth por lo que nada se transmite en texto plano. A diferencia del Modo 2, los procedimientos de seguridad se inician antes de establecer algn canal y el cifrado se basa en la autentificacin PIN y seguridad MAC. Bsicamente, comparte una clave de enlace (clave de link) secreta entre dos dispositivos. Para generar esta clave, se usa un procedimiento de paring cuando los dos dispositivos se comunican por primera vez:
Es muy comn encontrarse en los archivos almacenados de las PDA y en los mviles, los usuarios y las contraseas de los PC y hasta de los servidores que para no dejarlos anotados en un papel lo anotan en sus dispositivos mviles. Los lugares de mayor riesgo o donde es fcilmente posible obtener informacin como la mencionada anteriormente, son lugares pblicos como por ejemplo: En el cine, En una plaza con mucha gente, En una biblioteca, En un centro comercial o en un bar, En un campo de ftbol, En alguna tienda de telefona, En el tren autobs.
carcter corporativo, pero puede brindar al atacante a obtener datos que permitan desarrollar luego una estrategia de ataque ms efectiva. Desde principios de 2003, comenzaron a hacerse publicas, algunas debilidades y vulnerabilidades que afectaban directamente a esta tecnologa. La primera de ellas, fue descubierta por la gente de Atstake, y fue denominada War Nibling, y permite descubrir todos los dispositivos que estn en el alcance del atacante estando estos o no en modo descubrimiento. Despus y de la mano de Adam Laurie y la gente del grupo Trifinite, fueron descubiertas las siguientes tcnicas:
Algunas Herramientas
Btbrowser (http://www.benhui.net/ bluetooth/btbrowser.html): Permite descubrir dispositivos BT, Permite conocer las especificaciones tcnicas de los mismos, Permite ver los servicios disponibles por este, Aplicacin en Java soportada por varios telfonos mviles.
Proceso de Paring
Para comprender el proceso de Paring o Emparejamiento, debemos aclarar que por defecto, la comunicacin Bluetooth no se valida, de manera tal que cualquier dispositivo puede o podra hablar con cualquier otro. Un dispositivo Bluetooth se autentifica con otro si se requiere utilizar un determinado servicio (por ejemplo para el servicio de marcacin por modem). Como ya mencionamos, la forma de autentificarse es mediante cdigos PIN (cadena ASCII de hasta 16 caracteres de longitud). Tanto el usuario del dispositivo cliente como as tambin el proveedor del servicio, debe introducir el cdigo PIN, obviamente, en ambos dispositivos el cdigo ingresado debe ser exactamente el mismo. Al finalizar este proceso correctamente, ambos dispositivos generan una clave de enlace la cual se puede almacenar en el propio dispositivo o en un dispositivo de almacenamiento externo. Dicha clave ser utilizada la siguiente vez que
Segn estadsticas los usuarios sueles utilizar los dispositivos como pda o telfonos mviles para lo siguiente: 85% Utilizan estos dispositivos para almacenar el da a da del negocio, 85% Los utiliza para almacenar contactos y direcciones relacionadas con el negocio, 33% Los utiliza para almacenar PINs y Passwords, 32% Para recibir y enviar correo, 25% Para llevar el detalle de sus cuentas bancarias, 25% Para almacenar informacin corporativa, Fuente: Pointsec Mobile Technologies.
Bthdisc (www.trifinite.org): Permite descubrir dispositivos BT, Informa Clase y Direccin Mac Address.
Bt_Audit: Scanner con dos funcionalidades (http://www.betaversion.net/btdsd/): Scanner para L2CAP Scanner RFCOMM
Plataforma Operativa: Linux

Sniffing Local: Hcidump
Piconet Sniffing: Hardware o firmware especial.
Air Sniffing: Frontline (http://www.fte.com/),
Como podemos ver la informacin comprometida, puede o no ser de
26
www.hakin9.org
BluePrinting
Es una tcnica de Fingerprinting pero de dispositivos Bluetooth, permite saber Fabricante del dispositivo, Modelo del dispositivo (solo algunas veces).
compara contra la base de firmas que poseen determinando as el Fabricante del dispositivo y su modelo. Para el caso de los dispositivos que no se encuentren en Modo Descubrimiento, existen herramientas que se basan en ataques de Brute Force.
Se basa en la direccin Mac Address del dispositivo, est compuesta por 6 bytes, los primeros 3 indican el fabricante y los restantes el modelo Las herramientas para estos ataques buscan dispositivos que se encuentren en Modo Descubrimiento, toma las direcciones Mac, y la
BlueBug
Es una vulnerabilidad que fue encontrada en varios telfonos mviles con interfaz Bluetooth Permite enviar comandos AT al mvil, a travs de un canal encubierto de la tecnologa Bluetooth, permitiendo al atacante:
Extraer del mvil la agenda telefnica y calendario entre otros, Modificar o Borrar entradas en el calendario, o en los contactos telefnicos, Enviar un mensaje SMS desde el mvil comprometido, Provocar que el mvil comprometido, realice llamadas telefnicas a los nmeros que el atacante desee.
BlueSnarfing y Long Distance Snarf
Algunas Herramientas
Herramienta de auditora para telfonos mviles BLOOVER : Actualmente por la versin 2, es un aplicacin realizada en java, que permite realizar, el ataque de Bluesnarf, directamente desde un mvil, con tecnologa Bluetooth y soporte para aplicaciones Java J2ME MIDP 2.0 VM y JSR-Bluetooth API (Download: http://trifinite.org/trifinite_downloads.html).
Funcionalidades: Permite modificar y leer entradas en la agenda telefnica, Permite leer los mensajes de texto, almacenados en el telfono, Permite introducir en el mvil comprometido, un numero telefnico para el redireccionamiento de llamadas, Ejecutar el Hello Moto Attack, Ejecutar Bluejacking, Enviar Objetos malformados a travs de OBEX.
Este es el ataque que se aprovecha del bluebug, y bsicamente permite, extraer informacin de un mvil, en vez de colocarla, varios equipos son vulnerables a este ataque (Nokia 6310,6310i entre otros). En agosto de 2004, lograron llegar ms all de los limites de alcance de un dispositivo clase uno, logrando extraer y modificar la agenda telefnica y el calendario de un telfono mvil a una distancia de 1,78 Km. Utilizando una Portatil bajo Linux (Con todas las libreras de Bluetooth), con un adaptador USB Bluetooth modificado (Clase 1) y una antena direccional cuyo objetivo era un Mvil Nokia 6310 Dispositivo (Clase 2).
BTCrack (www.enruns.com): Herramienta recientemente presentada el Hack.Lu 2006, Permite romper Claves y Llaves de enlace (PIN y Link Key), Previamente requiere como entrada, los datos sniffeados durante el proceso de paring.
BlueSmack
Algunas Debilidades Generales: El usuario suele relacionar el concepto de PIN con una cadena de caracteres corta (4), la tecnologa lo permite Los ataques de ingeniera social, pueden preceder a los ataques antes descritos y facilitar aun mas la tarea del atacante
Ej: Nombre del Dispositivo Para continuar ingrese 1234: El algoritmo utilizado para brindar seguridad es Simtrico (misma clave para encriptar que para desencriptar) y no existe un canal seguro de transmisin, el problema se potenciara en implementaciones grandes de BT. NO existe autentificacin de Usuarios, NO existen limites para el reintento de ingreso de claves, SIN paring previo algunos servicios e informacin son visibles, Covert Channels, Errores de Programacin e Implementacin.
Es un ataque de Denegacin de servicio que aprovecha las debilidades en la implementacin de Bluetooth, mas puntualmente en L2CAP. Permite mal formar un requerimiento causando que el dispositivo se cuelgue o se reinicie sin necesidad de establecer un conexin previa. Es similar al conocido ping de la muerte, l2ping es una funcionalidad que est presente en las libreras Bluez, de Linux, y permiten a un atacante especificar el tamao del paquete a enviar.
BlueBump
Su fin es robar la link-key del telfono de la vctima, para establecer posteriores conexiones, sin que este lo note y aparentando ser un dispositivo confiable. Este tipo de ataque incorpora tcnicas de Ingeniera so-
www.hakin9.org
27
Ataque
cial pero fundamentalmente se basa en el beneficio de poder regenerar la link-key mientras la conexin esta establecida (Ver mas en Cracking BT PIN y la reciente herramienta BTCrack).
Hello Moto
Es una debilidad en exclusiva de algunos dispositivos Motorola. La debilidad radica en una mala implementacin de la relacin de confianza que se establece en el proceso de paring. Permite establecer la relacin de confianza, entre el dispositivo del atacante y la vctima, si este primero intenta establecer una conexin al OPP (Obex Push Profile) y luego la cancela, el dispositivo del atacante ser agregado a la lista de dispositivos confiable de la vctima. Todo esto sucede sin que medie ninguna interaccin por parte de la vctima.
sobre Bluetooth, poseen importantes debilidades. En el caso de Bluetooth, este contiene varios elementos, como el manejo de llaves de encriptacin y autentificacin basada en un PIN, los cuales son utilizados en el proceso de Paring y la utilizacin de estos reside en la decisin del usuario. El algoritmo que brinda seguridad a estas tecnologas es Safer+, este es un algoritmo simtrico de encriptacin por bloque, que permite la utilizacin de llaves de 128, 192 y 256,
para el caso el algoritmo utilizado es Safer+ de 128bits. Haciendo un poco de historia acerca de las investigaciones llevadas a cabo sobre este aspecto, en el 2003 Ollie Whitehouse comenz a hablar de algunas debilidades en el proceso de paring que podran permitir romper el PIN, mas adelante algunos investigadores, hicieron mejoras sobre esta tcnica y encontraron la manera de forzar a un dispositivo a que reinicie el proceso de paring, por ultimo en el
BlueSpam
Es un ataque basado en la bsqueda de dispositivos en Modo Descubrimiento, a los cuales luego les enviar mensajes arbitrarios creados por el atacante. Este tipo de ataques no requiere la interaccin por parte de la vctima para recibir el spam.
Figura 1. Pgina oficial de Nruns
BlueJacking
Es el ataque quizs ms inofensivo pero desde el cual se han sentado muchas bases para nuevos ataques. Consiste en conectarse a un dispositivo Bluetooth y colocarle imgenes, mensajes o contactos al dueo del dispositivo. Tambin es utilizado para realizar ingeniera social y utilizarla en complemento con otro tipo de ataques que requieran que los equipos estn aparejados.
Cracking BT PIN y la reciente herramienta BTCrack (www.enruns.com)
Tal cual sucedi, con WEP en 802.11, la implementacin de los algoritmos de encriptacin y seguridad
Figura 2. Pgina oficial de Bluetooth
28
www.hakin9.org
2006 Thierry Zoller llevo a cabo la implementacin de una herramienta para Win32 que llevara todo lo anterior a la practica (BTCrack) y adems realizo otra propuesta diferente a la de Shaked y Wool, para forzar el proceso de re-emparejamiento. Para poner esto en palabras simples, alguna de las cosas que podran suceder seria la siguiente:
Escenario
Dos dispositivos, Un Master y un Slave, realizar exitosamente el proceso de emparejamiento, autenticando esto mediante un PIN.
Primer Paso
El atacante debera en primer lugar conocer las direcciones MAC de ambos dispositivos, esto no seria un problema para el atacante ya que como se menciono ms arriba existen tcnicas y herramientas disponibles.
Figura 3. Pgina oficial de Trifinite
Cuarto Paso
Segundo Paso
El atacante debera modificar la direccin MAC de su dispositivo por la del dispositivo Slave.
Tercer Paso
El atacante ahora debera intentar iniciar con el Master el proceso de paring, al mismo tiempo este debera estar monitoreando y capturando la informacin transmitida.
Tomar el output de la informacin capturada, durante el proceso de emparejamiento y drselo como input al BTCrack, debido a las debilidades arriba mencionadas, la herramienta se encargara rpidamente de informarle al atacante cual es el PIN. En base a los estudio realizados por Thierry Zoller en un equipo DualCore P4 de 2Ghz, el tiempo que le llevara a la herramienta romper el PIN es: PIN de 4 Digitos: 0.035 Segundos,
PIN de 5 Digitos: 0.108 Segundos, PIN de 6 Digitos 4.321 Segundos, PIN de 9 Digitos 1318 Segundos.
Es por esto que entre otras recomendaciones el SIG recomienda realizar el proceso de emparejamiento en un lugar seguro.
Conclusin
Sobre el Autor
Ezequiel Martn Sallis CISSP/CEH/CCNA/NSP. Desarrollo su carrera en INFOSEC, con base en el aprendizaje y actualizacin continua, ha trabajado durante largo tiempo en las consultoras mas prestigiosas, prestando servicios para empresas del mbito Gubernamental, Publico y Privado tanto a nivel nacional como internacional. Actualmente es Emprendedor y Director de ROOT-SECURE SRL , una Consultora especializada en Seguridad de la Informacin con bases en la Argentina, y con amplia experiencia en este campo. Ha trabajado fuertemente, en tareas relacionadas con INFOSEC, entre las que se pueden mencionar, Penetration Test, Vulnerability Assesment, Hardening de Plataformas, Asesoramiento con la Norma ISO 17799:2005, Management de Proyectos y otros. Es instructor de gran cantidad de capacitaciones tanto a nivel nacional, como a nivel internacional, entre las que se pueden mencionar CISSP, Ethical Hacking y otras. Ha participado como Orador en gran cantidad de seminarios y eventos internacionales.
Las nuevas tecnologas, traen asociadas cientos de riesgos y amenazas para las que muchas veces las empresas no estn preparadas, y lo que es peor, a veces ni siquiera estn informadas sobre estos peligros. Muchas corporaciones, dan a sus directivos estos dispositivos, sin tener en cuenta los riesgos asociados a los que se expone la informacin contenida en ellos, es por esto que hay que crear la conciencia necesaria y tomar medidas que permitan mitigar los riesgos asociados. La creatividad, es una de las herramientas de ataque, contra la que muy pocos desarrollan contramedidas l
www.hakin9.org
29
Web Services Security

Defensa
Jos Carlos Cortizo Prez, Diego Expsito, Diego Peces
Grado de dificultad
El gran crecimiento del comercio electrnico y del B2B (Business to Business) ha originado la necesidad de nuevas tecnologas que permitan el intercambio de informacin y la reutilizacin de servicios en distintos sistemas.
ecnologas como RPC, RMI, CORBA, etc. fueron surgiendo para cubrir estas carencias pero presentaban tantas limitaciones como ventajas. Los servicios Web proporcionan un modelo distinto en el desarrollo de aplicaciones distribuidas ya que ofrecen la capacidad de acceder a informacin y funciones heterogneas de forma estndar a travs de una red, como pueda ser Internet. El surgimiento de los servicios web ha sido posible en gran medida gracias al surgimiento y aceptacin del XML como metaformato para el intercambio de informacin. Gracias a XML se han podido desarrollar una serie de protocolos y estndares que forman la base de los servicios web: SOAP/XML-RPC para el intercambio de datos entre aplicaciones, WSDL como lenguaje de descripcin de servicios y UDDI como registro basado en XML para la descripcin, descubrimiento e integracin. Todos estos protocolos se aglutinan dentro de SOA (Arquitectura Orientada a Servicios), que permite que varias aplicaciones puedan intercambiar informacin y funcionalidad a pesar de estar en ubicaciones diferentes, estar en mquinas de diversas arquitecturas y programadas en diferentes lenguajes de programacin.
Los servicios Web proporcionan ciertas ventajas para el diseo y posterior desarrollo de aplicaciones: Ofrecen transparencia de uso, ya que se basan en protocolos muy aceptados (XML) y dan la posibilidad de intercomunicar sistemas basados en arquitecturas y programados en lenguajes completamente heterogneos. Esto es: independencia de la mquina y del lenguaje de programacin. Al tener como base el protocolo HTTP, la comunicacin se da sin ningn tipo de pro-

Cmo protegerse de los problemas bsicos de seguridad relacionados con los servicios web, Lo que deberas tener en cuenta a la hora de desarrollar tu propio servicio.

Ciertos conocimientos de servicios web (al menos saber lo que es un servicio web y lo que es la arquitectura SOA).
30
www.hakin9.org
blemas ya que los firewall suelen tener el puerto http habilitado. Con otras tecnologas anteriores (rpc, corba) haba que tener cuidado con las configuraciones de los firewalls . Ofrecen la potencia de poder disponer de funcionalidades e informacin que ofrecen los distintos servicios Web que estn fsicamente ubicados en diferentes lugares geogrficos. Con esto se obtiene como resultado un sistema global que ana las capacidades de todos lo servicios Web que invoca.
Todas estas ventajas se pueden resumir en pocas palabras: Los servicios Web nos ofrecen transparencia, sencillez y compatibilidad y dotan al nuevo sistema de funcionalidades correctas de forma rpida y simple. Para tratar de comprender de forma definitiva todo lo comentado anteriormente vamos a ver un ejemplo tpico de uso de servicios Web en el mbito comercial o de negocio (Figura 1). Imaginemos una tpica agencia de viaje. Entre sus ofertas se ofrecen paquetes de vacaciones personalizables. Dentro de cada paquete de viaje se distingue un destino, el o los hoteles en los que hospedarse, los vuelos de avin y dems particularidades del viaje. Al ser personalizables, en cada uno de estos paquetes se puede elegir ciertos detalles como pueden ser el hotel, los vuelos, el destino, la duracin, etc. Manejar toda esta informacin y gestionar los cientos de combinaciones posibles, as como asegurar al cliente la oficialidad de sus reservas en hoteles y vuelos para las fechas exactas se torna en una tarea demasiado compleja, por no decir imposible, para la agencia de viajes. Para coordinar todos estos eventos la agencia de viajes deber ponerse en contacto con cada compaa de vuelo para averiguar si es posible y quedan plazas para volar el da elegido al destino de vacaciones. Tendr que ponerse en contacto con la administracin de los hoteles y re-
servar si hubiera plaza para el periodo determinado. Realizar esta tarea manualmente tiene un alto coste en tiempo y en recursos, ya que obliga a la agencia a tener un empleado realizando todas las gestiones manualmente. Adems las posibilidades de que alguna reserva sea negativa y sea necesario replanificar todo el viaje son muy grandes, con lo cual el tiempo necesario para organizar todo el viaje y la estancia puede crecer aun ms. Est claro que el cliente ni puede, ni quiere, esperar tanto para recibir una contestacin afirmativa o negativa sobre la disponibilidad de su viaje. Cmo obtener una solucin automatizada para realizar todo este proceso? Las compaas areas ofertan desde hace tiempo servicios de consulta y reserva online para su acceso desde operadores tursticos (AMADEUS). Por lo tanto, para consultar la disponibilidad de vuelos bastara con acceder a los servicios web de las compaas areas ofrecindonos informacin para los vuelos que nos interesen. Para el tema de los hoteles pasa algo parecido. As pues, automatizar el proceso global no parece ya una tarea tan complicada ya que bastara con realizar un programa para satisfacer las restricciones marcadas por el usuario que hiciera uso de los servicios web de consulta y reservas que nos ofertan las distintas compaas implicadas en el proceso. Adems el utilizar servicios web en lugar de otras tecnologas nos asegura la correcta interoperabilidad a la hora de acceder a los servicios e informacin remota de los hoteles y compaas areas.
Interoperabilidad y SOA
Hemos dado mucha importancia en el apartado anterior al concepto de Heterogeneidad que se permite entre los sistemas participantes de una transaccin gracias a los Servicios Web. SOA (Arquitectura Orientada a Servicios) es la arquitectura que hace eso posible. En este apartado nos introduciremos en esta arquitectura.
La arquitectura SOA se compone de nodos. Los nodos de una red ofecen a otros nodos o usuarios de la red sus recursos en forma de servicios independientes, a los que se acceder de forma estndar. Es decir, la idea radica en crear servicios independientes que cada nodo ofrece al resto de la red, de modo que cualquier nodo con los permisos adecuados podr usar uno o varios servicios con la finalidad de dar solucin a un problema mayor. Despus de todo lo visto es fcil ver la arquitectura SOA como un nivel de abstraccin superior a la orientacin a objetos pues en lugar de objetos que proporcionan un cierto comportamiento, tenemos servicios. Pero ya hemos descubierto como SOA es realmente una arquitectura distribuida gracias a protocolos como SOAP y WSDL. Otra forma de acceder remotamente a funcionalidad remota (anterior a SOA) son los RPC (llamada a procedimientos remotos). Este protocolo posibilita ejecutar servicios o cdigo de un programa en otra mquina de forma remota, siendo para la primera transparente la comunicacin entre ambos nodos, ya que las RPC encapsulan y ocultan parte del proceso. Bsicamente, en los RPC es el cliente el que inicia el proceso, dicho nodo solicita al servidor que ejecute cierta funcionalidad. ste, cuando ha terminado su proceso, le enva el resultado de dicho servicio al cliente. Los servicios web surgen como mejora del RPC al estandarizar el protocolo interno de comunicacin. De todas formas los servicios web han ido evolucionando desde sus inicios, sufriendo una serie de mejoras y de actualizaciones que se traducen en tres generaciones de servicios web. La primera generacin de servicios web se basaba en la comunicacin nodo a nodo. Un flujo de acciones podra ser el siguiente: Se lanza una peticin de un servicio a un servidor SOAP. Dicho servidor SOAP se encarga de invocar el objeto o el proceso determinado que le
www.hakin9.org
31
Defensa
ofrece dicho servicio. Se realiza el proceso interno necesario (acceso a bases de datos, lectura de ficheros, etc.) para la consecucin del servicio. El servidor SOAP detecta el fin del proceso y devuelve la respuesta obtenida al Nodo que realiz la peticin (a travs de http). Un proceso, como se puede observar, bastante simple. En la segunda generacin se da la situacin de que el Nodo que realiza la peticin no se la realiza directamente al servidor SOAP que mantiene el servicio. Realiza la peticin a un tercer servidor SOAP que ser el que realice la verdadera peticin al servicio oportuno. Este nodo intermedio concentra todas las peticiones de los distintos clientes y concentra en l todas las tareas necesarias de comunicacin con el nodo del servicio. En esta generacin se encapsulan comportamientos comunes de los clientes en un nuevo nodo que se encarga de distribuir posteriormente las partes no comunes a los distintos nodos de servicio. El problema de la 2a generacin surge de los procesos demasiado complejos que se pueden generar al realizar diversas peticiones. En nuestro ejemplo del operador de viajes, para satisfacer los deseos de nuestro cliente deberamos realizar
multitud de peticiones a distintos servicios web. Sin embargo puede suceder que uno de los servicios Web nos devuelva una respuesta negativa, es decir, que nuestro hotel no ha podido ser reservado por falta de habitaciones libres (por ejemplo). En este caso sera necesario deshacer todas las reservas de vuelos, vehculos de alquiler, etc. La tercera generacin de servicios web soluciona esto de modo que se agrupan todas las peticiones en una transaccin. Esta transaccin ser positiva en caso de que logren satisfacer todas las restricciones necesarias (por ejemplo todas las reservas necesarias para un cliente determinado) y ser negativa en caso contrario, ya que una transaccin solo tiene sentido si se cumple en su totalidad (si no tengo el billete de avin hasta mi destino, el que tenga hoteles libres me da absolutamente lo mismo). Hasta que no se consiga satisfacer todas las peticiones el resto, aunque estn satisfechas, se mantendrn en espera hasta que todas tengan xito.
no est protegido. Sin embargo este punto fuerte para la interoperabilidad es visto como un punto muy dbil en cunto a seguridad por algunos gurs de la seguridad, ya que permite a SOA saltarse los firewalls (y en gran medida la seguridad). Otro punto oscuro es el tema de la autentificacin, autorizacin y control de acceso a servicios web en funcin que SOA en sus primeras definiciones del estndar no ofreca de por si.
Ataques tpicos
Ante todo hay que tener en cuenta que, cuando estamos creando servicios web, lo que estamos haciendo es brindar puertas de acceso desde el exterior a nuestros programas (sistema), por lo que hay que tener muy en cuenta quines van a poder acceder a cada funcionalidad y el que no existan agujeros de seguridad en el cdigo desarrollado. De todas formas los ataques ms tpicos son: Ataque de denegacin de servicio: Un ataque de DOS a un servicio web es idealmente simple. Lo que se trata es de atacar al servidor de aplicaciones o al parseador XML, no a la lgica del programa, lo cul sera ms complicado. Estos ataques tratan de consumir mucho tiempo de CPU, consumir mucha memoria y/o colapsar el acceso a la base de datos. Para el tema del consumo de mucha cpu basta con tener en cuenta que parsear un XML correctamente no es una tarea trivial, y menos cundo se tienen estructuras muy profundas y referencias a otros documentos que hacen que se produzcan esperas debido a la latencia de la red durante el parseo. En cunto a consumir mucha memoria hay que tener en cuenta que a pesar que consumir toda la memoria de un sistema en produccin sea una tarea prcticamente imposible, la gestin de la memoria (sobre todo en aquellos servicios web implementados en lengua-
Es SOA inseguro?
Uno de los puntos fuertes de SOA en cunto a interoperabilidad es su habilidad de atravesar firewalls, ya que la comunicacin se realiza a travs del puerto 80 que habitualmente
Agencia Viajes
Hotel 2
Hotel 1
Cliente 1 Compaas Areas
Cliente 2
Figura 1. Un ejemplo de uso de los servicios Web en el mbio comercial
32
www.hakin9.org
jes que, como Java, utilizan recolector de basura) puede hacer que el sistema se vuelva sumamente lento. Para colapsar las conexiones a Bases de Datos nos centramos en el hecho que mayora de las aplicaciones utilizan colas de conexiones de tamao fijo, por lo que si se generan tantas peticiones a la base de datos como para llenar la cola se puede llevar a la aplicacin a su muerte. Para esto hara falta encontrar una peticin SOAP que no requiera autorizacin pero que resulte en una peticin fuerte a la base de datos (ejemplo: autenticacin inicial de un usuario). Interceptacin y manipulacin de mensajes: Al ser mensajes en XML resulta bastante fcil descifrar y manipular cualquier mensaje (ataques de reescritura de XML). Peticiones de cliente falsificadas. Respuestas del servidor falsificadas. Intentos de leer/escribir datos en el servidor (sistema de ficheros/ base de datos): Por lo general vienen de la mano de ataques por parmetros y SQL-injection, que permite que se realicen consultas o modificaciones (no previstas) en la base de datos debido al sustituir un parmetro de entrada por ese parmetro y alguna otra instruccin sql que permita obtener el resultado requerido. Valga como ejemplo un tpico mtodo de validacin de usuario. Este mtodo recibe como parmetro en nombre de usuario y para construir la consulta ejecuta el siguiente cdigo:
que nuestro servicio web funcione correctamente. Algo menos daino que esto puede ser el acceder a la funcionalidad de un servicio web sin ser usuario autorizado, para ello (utilizando el mismo ejemplo) si se pasa como parmetro de nombre de usuario el texto t OR a==a) esto podra derivar en un acceso no autorizado si solo se tiene en cuenta que la consulta sea verdadera (devuelva algo) ya que a == a se cumple siempre. Algunos de estos ataques tpicos (y algunos otros) se deben a las debilidades derivadas de utilizar XML en las peticiones Documentos XML excesivamente largos/profundos (relacionado con los ataques DOS).
de por s autenticar al invocador pero, hoy por hoy, existen algunas alternativas para poder hacerlo: La nueva especificacin de seguridad (WS-Security) para servicios web permite autenticar los invocadores. Validar a nivel de capa de transporte utilizando HTTPS. Utilizar diferentes servidores SOAP para cada nivel de acceso. Hacer que el firewall inspeccione los mensajes SOAP e identifique roles de usuario, niveles de privacidad, etc.
<etiqueta><etiqueta><etiqueta> </etiqueta></etiqueta></etiqueta>
De todas formas todas estas alternativas para autenticar al invocador estn fuera del alcance de este artculo por considerarse un tanto avanzadas. Cada una de ellas tiene el suficiente peso como para desarrollarse en un nico artculo.
Ataques de Expansin de Entidades: Si la cabecera del documento XML declara entidades recursivas y el fichero las refiere, el sistema puede verse afectado (dependiendo del servidor de aplicaciones podra llegar a ser un ataque Dos). Entidades que refieren al sistema de ficheros: Si se declara una entidad refirindose a un archivo local, se puede estar preguntando por la existencia de un fichero e incluso conseguir una copia del mismo en el mensaje de respuesta.
Haciendo seguros tus Servicios Web
Autenticando al invocador
Una vez tenemos claros los ataques ms comunes, podemos proceder a intentar asegurar nuestros servicios web. En este punto se expone una gua de pasos bsicos a verificar cada vez que se desarrolle un servicio web. Algunos de estos puntos pueden obviarse cundo se utilizan algunos aspectos de seguridad ms avanzados, relacionados con los servicios web como WS-Security pero, como bien hemos dicho anteriormente, estos temas estn fuera del alcance de este artculo introductorio. Asegurarnos de haber establecido la profundidad mxima para el parseador XML, de forma que cundo tenga que parsear documentos XML ideados para un ataque Dos, el sistema sea capaz de pararse antes de llegar a su muerte. Este punto no solo tiene que ver con los servicios web, si no con cualquier aplicacin en la que necesitemos parsear un XML que viene del exterior.
$consulta = SELECT * FROM usuarios WHERE nombre= . nombreUsuario;
A este mtodo si le pasamos un nombre de usuario del tipo pepe; DROP TABLE usuarios; lo que har es buscar primero el usuario pepe y a continuacin eliminar la tabla que contiene la informacin de los usuarios lo cul impedir
Poder autenticar al invocador de un servicio web es algo realmente necesario para poder establecer distintas funcionalidades a distintos perfiles de usuario. Adems, poder autenticar al invocador nos protege, en cierta manera, contra otro tipo de ataques, ya que para poder realizar muchos de ellos sera necesario autenticarse y, para ello, tener acceso al sistema como usuario, lo cul no es usual en el caso de un atacante. SOA en sus comienzos no permita
www.hakin9.org
33
Defensa
Detectar aquellas funcionalidades que hacen uso ms intensivo de bases de datos. Buscar alternativas al desbordamiento de las colas de conexiones a la base de datos. De hecho, es mejor que un determinado mtodo devuelva un error cundo ve que no va a poder ejecutar la consulta a una base de datos en un determinado tiempo, en lugar de encolar su peticin ya que si se desborda la cola de peticiones a la base de datos, el servicio web puede morir. En todos los sitios dnde alguna funcionalidad realice consultas a base de datos a partir de parmetros introducidos por el usuario, hay que asegurarse que no haya forma de inyectar otras consultas sql. Para esto, lo mejor es utilizar consultas preparadas. Por ejemplo:
$consulta = $sql->prepare(SELECT * FROM usuarios WHERE nombre = ?); $consulta->execute($usuario);
De esta forma nos aseguramos que lo que nos mande el usuario sea tomado como el valor del campo en la consulta impidiendo de cualquier forma inyectar cualquier otra consulta. Seguimiento de las sesiones. A pesar de que se utilicen identificadores de sesin, cualquiera que est escuchando los mensajes XML intercambiados puede interceptar uno y robar la sesin. Para esto es bueno hacer un seguimiento ms exhaustivo del usuario, almacenando la ip de origen para contrastarla con la sesin. Esto es aplicable tambin al cliente que invoca al servicio web, ya que dentro de los ataques tpicos encontrbamos tanto la manipulacin de respuestas como las respuestas enviadas desde un falso servidor. Si desde el cliente se contrasta la informacin del origen de las respuestas del servidor, nos estaremos asegurando de la correcta identidad del servidor.
Si es posible, recompilar el servidor de aplicaciones con las opciones mnimas necesarias para el funcionamiento del mismo, esto har que disminuya el nmero de riesgos potenciales, ya que muchos posibles ataques dependen de posibles bugs o carencias del servidor de aplicaciones. Tambin resulta de vital importancia establecer los permisos adecuados al servidor de aplicaciones desde el sistema operativo y utilizar al mximo todas las facilidades, en cunto a seguridad, que nos de la plataforma que estemos usando (por ejemplo los servidores de aplicaciones basados en Java pueden hacer uso de su sistema de seguridad). Ocultar toda la informacin posible de la arquitectura, servidor de aplicaciones, etc. que se puede mandar en las cabeceras. A pesar de que ofuscar de por si no sea una buena estrategia, cuntas menos facilidades se le den a los atacantes, menos posibilidades de sufrir un ataque. En este sentido tambin es conveniente personalizar al mximo el servidor de aplicaciones, desde cosas tan bsicas y evidentes como los posibles usuarios y claves por defecto a directorios, etc. Esto nos hace algo inmunes a que esquemas generales de ataque funcionen sobre nuestro servicio web. No permitir la autogeneracin del WSDL y/o no tener ningn WSDL de nuestro servicio web. Existen muchos medios (mail, por ejemplo) de ofrecer el WSDL describiendo las funcionalidades de nuestro servicio web a usuarios que realmente queramos que puedan acceder a las funcionalidades y de esta forma evitamos dar informacin valiosa a aquellos que quieran atacar nuestro sistema. Utilizar logs y monitores de carga para poder auditar y trazar los ataques. Esto resulta muy importante ya no solo para poder
descubrir quin ha tirado nuestro sistema, si no tambin para prevenir los ataques exitosos ya que analizando los logs podemos detectar intentos de ataques, patrones de comportamiento y extraer conocimiento acerca de cmo protegernos ante estos ataques. Para esto, resulta muy interesante conocer tcnicas de gestin de datos aplicada a logs.
Conclusin
SOA ofrece un marco de desarrollo bastante interesante al permitir gran interoperabilidad. De todas formas SOA es un arquitectura relativamente reciente y el aspecto de seguridad ha estado un tanto descuidado hasta hace poco tiempo. En este artculo se ha introducido la arquitectura SOA y se han visto los puntos dbiles de la misma, estableciendo una gua de puntos relacionados con la seguridad a la hora de desarrollar nuestro propio servicio web. A la hora de hacer seguro nuestro servicio web nos tenemos que centrar ante todo en ofrecer la menor cantidad posible de informacin susceptible a ser utilizada en un ataque (definicin de la funcionalidad, informacin de la arquitectura y servidor de aplicaciones, etc.), en asegurarnos que nuestro sistema es robusto ante ataques por XML, impedir la inyeccin de consultas SQL y, como es lgico, asegurarnos la robustez de la lgica de negocio del servicio web a desarrollar. l
Sobre los Autores
Los tres autores son miembros fundadores y trabajadores de AINetSolutions, empresa dedicada a consultora en el mundo de las redes, seguridad y gestin de datos. As mismo, tanto Jos Carlos Cortizo como Diego Expsito son profesores asociados en la Universidad Europea de Madrid y Diego Peces es consultor de seguridad en Axpe Consulting.
34
www.hakin9.org
Administrando la Inseguridad Informtica

Defensa
Jeimy J. Cano
Grado de dificultad
Este documento busca repensar la seguridad de la informacin desde el concepto de la inseguridad, para que, tratando de aprender de la mente del atacante, se descubra cmo disear y construir sistemas menos inseguros, como una estrategia para destruir la falsa sensacin de seguridad y animar una postura vigilante y proactiva en la gestin de la seguridad de la informacin.
a nica constante en el mundo de la seguridad de la informacin, es la inseguridad. En este sentido, las organizaciones luchan da a da para tratar de eliminar o mitigar las posibles vulnerabilidades que se presentan en sus infraestructuras tecnolgicas o en sus procedimientos que apoyan el negocio. Revisando los recientes artculos e informes de vulnerabilidades (WILLIAMS, M. 2006, MIMOSO, M. y SAVAGE, M. 2006, BEAVER, K. 2006, ROITER, N. 2006), se hace evidente que la inseguridad informtica es un elemento propio de la dinmica de las organizaciones en cada uno de sus procesos. Mientras las empresas buscan alcanzar un nivel superior de seguridad, ms se encuentran con la problemtica de la inseguridad, pues los procesos en s mismos, al ser redes de comunicaciones y acuerdos entre personas, tecnologas y normas, establecen relaciones y distinciones que generalmente no son distinguibles, haciendo de la labor de aseguramiento de la informacin ms que una funcin tecnolgica, acciones humanas y procesos administrativos y estratgicos. Durante el 2006, los robos de informacin y la exposicin de datos (http://attrition.org/ dataloss/ ), fueron las manifestaciones ms
sobresalientes de la inseguridad. Si miramos con detalle estas dos consideraciones, no responden necesariamente a un problema de seguridad tecnolgico, sino procedimental y de concientizacin. Los intrusos saben y comprenden que detrs de las infraestructuras de seguridad de la informacin est ese elemento que las organizaciones hoy por hoy se resisten a entrenar, a formar, a hacer parte formal de su modelo de seguridad, los usuarios. (BEAVER, K. 2006). Esta realidad, se manifiesta en importantes incrementos de robo de identidad y fraudes bancarios a travs de Internet que requieren una revisin profunda de nuestra com-

Cmo disear y construir sistemas menos inseguros, Cmo animar un apostura vigilante y proactiva en la gestin de la seguridad informtica.

Concepto de la inversin y las vulnerabilidades en la seguridad informtica.
36
www.hakin9.org
Inseguridad Informtica
prensin de la seguridad, ms all de las fallas y las vulnerabilidades. En este sentido, repensar el discurso de administracin de la seguridad exige de los profesionales y directivos de seguridad aprender a comprender el dual que combaten: la inseguridad informtica. Comprender el lado oscuro implica reconocer que tenemos que desaprender, que nuestras actuales estrategias se limitan a mantener y utilizar ms tecnologas, y no a comprender en profundidad las relaciones complejas que exhibe la organizacin y cmo all se hace presente o se materializa la inseguridad. (THE HONEYNET PROJECT 2004, TAYLOR, R., CAETI, T., KALL LOPER, D., FRITSCH, E. y LIEDERBACH, J. 2006). En consecuencia, las organizaciones deben reconocer que parte del secreto para incrementar los niveles de seguridad, est en la administracin de la inseguridad informtica. Expresado de otra forma, que tan seguros pueden llegar a ser, reconociendo siempre que la inseguridad de la informacin estar presente para desafiarlas una y otra vez. Las implicaciones de esta propuesta exigen desarrollar un hbito que busque confrontar la inseguridad de la informacin y no solamente su control o mitigacin. En razn a lo anterior, desarrollar un hbito requiere segn Covey (2005 pg. 51) tres elementos: el conocimiento, la habilidad y la actitud. El conocimiento, como la capacidad de comprender en detalle los aspectos conceptuales relacionados con el rea de trabajo donde se ejerce.
La habilidad como la capacidad de hacer, desarrollar y actuar en consecuencia con ese conocimiento. La actitud, como la disposicin del individuo frente a los retos que propone el rea de conocimiento y su manera de enfrentar y motivar el desarrollo de habilidades complementarias para ir ms all de lo que su entorno le propone.
En ese contexto, desarrollar el hbito de la Administracin de la Inseguridad Informtica ADINSI implica hacer de sta una pasin, una disciplina individual que permita a las organizaciones mantener una posicin proactiva frente a posibles e inesperados eventos, para los cuales puede no estar preparadas, pero conscientes sobre cmo aprender de ellos. Basado en lo anterior, se presenta este documento que examina los conceptos actuales de la seguridad de la informacin, algunas consideraciones de inversin en temas de seguridad, los cuales sern insumo para proponer un modelo base para la administracin de la inseguridad y as ver, bajo la mirada de los intrusos, tendencias emergentes y estrategias consecuentes con este modelo.
Concepto tradicional de la seguridad de la informacin
La seguridad de la informacin desde los aos 60 se ha desarrollado como una distincin formal, basada generalmente en teoras matemticas, las cuales terminaron materializadas en implementaciones de software, hardware y productos intermedios. Como bien comentaba una persona de la in-
Tabla 1. Caractersticas de la Seguridad y de la Inseguridad (Tomado de: CANO, J. 2006) Seguridad Subjetiva No tiene cota superior Intangible Es una propiedad emergente Se require modelarla Inseguridad Objetiva Es posible establecerle cota superior Tangible Es una propiedad inherente No se require modelarla
dustria, en teora la seguridad es perfecta, en la prctica no, esta expresin nos sugiere que si bien, las especificaciones matemticas utilizadas para darle claridad a las relaciones que se establecen entre usuarios y objetos son verificables en un escenario ideal, la realidad de las organizaciones y el desarrollo de software desbordan dichas expectativas. La seguridad ha estado basada todo el tiempo en la comprensin de tres elementos fundamentales y cmo alcanzarlos en cada una de las implementaciones de modelos de seguridad: confidencialidad, integridad y disponibilidad CID. Consecuente con lo anterior, cualquier intento para vulnerar alguno de stos elementos, se considerar un intento o ataque al activo fundamental que es la informacin. Siguiendo la revisin anterior, se tiene que los ataques se presentan dado que existen escenarios y prcticas que no aseguran el cumplimiento del CID para la informacin a proteger, caracterstica que en el mundo de la auditora se denomina riesgo. Un riesgo, de manera general, es todo aquello que no me permite el logro de los objetivos; en particular, en temas de seguridad de la informacin, todo aquello que no me permite cumplir con CID. Generalmente al adelantar un proceso de administracin de la seguridad de la informacin, se establece lo que se denomina un conjunto de procesos a revisar y la informacin asociada con el mismo. Este proceso se basa por lo general en un programa de proteccin de activos de la organizacin (KOVACICH, G. y HALIBOZEK, E. 2006) que considera las polticas, los procedimientos, los procesos, los proyectos, los planes y las responsabilidades de cada uno de los actores de la organizacin frente a los activos. A travs de este programa se operacionalizan las medidas requeridas para mitigar los riesgos a los cuales esta expuesta la informacin. La valoracin de qu tan efectivo ha sido el proceso de administracin de la seguridad generalmente se
www.hakin9.org
37
Defensa
mide segn el nmero de incidentes que se han presentado en la dinmica de la organizacin y su negocio. Para ello, ejercicios como las pruebas de vulnerabilidades, las evaluaciones de seguridad y las auditoras de seguridad (CANO 1997) son referentes tiles para establecer el grado en que las vulnerabilidades se hacen presentes tanto en la infraestructura como en los procesos de negocio. Si revisamos las prcticas actuales de las organizaciones alrededor de una administracin de la seguridad de la informacin, identificamos una fuerte tendencia al uso de tecnologas y utilizacin de estndares o buenas prcticas internacionales (KUPER, P. 2005), como una estrategia para avanzar en su lucha contra la inseguridad, pero pocos elementos que procuren entender esta ltima. En consecuencia con lo anterior, el concepto de seguridad, como el proceso formal y riguroso para mantener un sistema de gestin orientado a la proteccin de la informacin, sustentado en las estrategias y dinmica de negocio, entra en crisis al saber que la inseguridad presente dentro del sistema atenta contra su propio objetivo. La pregunta que surge es: qu hacer frente a la inseguridad o riesgos inherentes a la realidad de las organizaciones? La
MAYOR INVERSIN Perimiter
respuesta a este interrogante ser desarrollada posteriormente.
Algunas consideraciones sobre la inversin y las vulnerabilidades en seguridad informtica
Las organizaciones que reconocen en la informacin un activo fundamental para desarrollar negocios y sobrevivir en un mundo global, por lo general establecen presupuestos que consideran inversiones (generalmente de un dgito) en los temas de aseguramiento o proteccin de dicho activo. Dichas inversiones fueron revisadas por un estudio realizado por la firma Stanley Morgan durante el 2005 (KUPER, P. 2005), cuyos resultados se detallan a continuacin. La firma Stanley Morgan encontr que las mayores inversiones en seguridad se efectan en temas de seguridad perimetral, es decir, cajas de proteccin de seguridad anti-spam, anti-virus, anti-spyware, las cuales generalmente viene preconfiguradas e instaladas, haciendo mucho ms fcil su uso y puesta en produccin. Dichas cajas generalmente poseen una interfase de administracin que permite a los responsables de seguridad mirar la efectividad del control de las amenazas para las cuales han sido adquiridas.
ANTI-BOX AntiSPAM/AntiVIRUS/AntiSPYWARE/ AntiHACKING ?
Network
Estrategia AAA Autenticacin/Autorizacin/Auditora /Monitoreo
Applications Mejores prcticas Aseguramiento/Pruebas de Vulnerabilidades Data Clasficacin de la Informacin/Estndares Usuarios/Technologas/Procedimientos MENOR INVERSIN
Figura. 1 Anlisis de la inversin en Seguridad Informtica. [Adaptado de: KUPER, P. 2005]
En un segundo lugar se encuentran las inversiones en tecnologas de autenticacin, autorizacin, auditora y monitoreo, las cuales de manera estratgica soportan y registran los eventos y el acceso a la informacin dentro de la infraestructura de tecnologas de informacin de la organizacin. En tercer lugar, se identifica las inversiones en el tema de aseguramiento de aplicaciones, fortalecimiento de sistemas operacionales, valoracin de la seguridad, las cuales establecen buenas prcticas que permiten afianzar la distincin de gestin de la seguridad de la informacin Finalmente, las inversiones sobre revisin y anlisis de los datos que estn residentes en la infraestructura de computacin de la empresa, la clasificacin de la informacin y las relaciones entre aplicaciones, procedimientos de operacin y control de datos, uso de estndares internacionales, entre otras. Al revisar estos resultados, es extrao ver que la menor inversin se concentra en la esencia misma de la seguridad informtica, los datos, la informacin, y que la mayor se orienta a la adquisicin de tecnologas para controlar en el exterior la aparicin de amenazas contra el activo informacin. Consecuente con este anlisis, se adelant una revisin paralela, siguiendo la misma estrategia del estudio de Stanley Morgan, para ver cmo evolucionan las vulnerabilidades, los resultados obtenidos establecen reflexiones que presentan en los siguientes prrafos. Las mayores vulnerabilidades se presentan a nivel de los datos, de la informacin, generalmente asociadas con la falta de cultura de seguridad, la inadecuada disposicin de medios de informacin, inadecuadas prcticas de seguridad asociadas con vulnerabilidades donde el factor humano y el incumplimiento de procedimientos se hacen presentes. Esta realidad se evidencia en todas las organizaciones en mayor o menor grado, segn los esfuerzos de entrenamiento, informacin, capacitacin y formacin del personal de las reas de negocio.
38
www.hakin9.org
En segundo lugar tenemos las vulnerabilidades propias a las aplicaciones, las cuales frecuentemente estn enraizadas en problemas con las herramientas y prcticas de programacin, lo cual exige comprender que una aplicacin est hecha tanto para cumplir con la especificacin con la cual fue diseada como para fallar ante un evento no esperado. En tercer lugar, tenemos las fallas a nivel de comunicaciones. Los protocolos utilizados en las transmisiones de informacin tienen vulnerabilidades inherentes, las cuales con el tiempo se han venido detectando y corrigiendo, cuando es posible, o limitando la aparicin de las mismas con tecnologas de seguridad que bloquean trficos que puedan ser catalogados como sospechosos. Finalmente, tenemos las vulnerabilidades propias de los proveedores y sus productos, los cuales constantemente estn trabajando para producir los parches y actualizaciones requeridas para mitigar el riesgo que pueda comprometer la seguridad de la organizacin frente a las amenazas que cubre dicho software o hardware. Como podemos observar al comparar los dos resultados, el de inversin y el de vulnerabilidades, se invierte donde existen menos vulnerabilidades. Por tanto, la seguridad, aunque reconocemos que es un proceso y no un producto, est siendo administrada en funcin de los recursos tecnolgicos y las posibilidades que estos ofrecen. La pregunta es: qu hacer para remediar esta situacin?
MENORES VULNERABILIDADES Perimiter FALLAS DE LOS PROVEEDORES Paraches/Actualizaciones
Network
FALLAS A NIVEL DE PROTOCOLOS Confidencialidad/Integridad/Disponibilidad
Applications
APLICACIONES INSEGURAS Prcticas de progranacin
Data
MALWARE/CULTURA DE SEGURIDAD Virus/ Robos de porttiles/Inadecuada disposicin de medios de almacenamiento MAYORES VULNERABILIDADES
Figura 2. Anlisis de la evolucin de las vulnerabilidades macin es una disciplina que, sustentada en la formalidad original de los aos 60s, se ha fortalecido como un mundo tecnolgico y normativo, donde cualquier anormalidad que se presente es una falla o vulnerabilidad que debe ser controlada o mitigada. Esta manera de razonar, ha permitido avances importantes en las tecnologas de proteccin, que de manera sistemtica y asidua ha logrado importantes desarrollos y propuestas para enfrentar el lado oscuro de la fuerza, la inseguridad. Si analizamos estos ltimos 40 aos de evolucin de la seguridad informtica, podemos ver que las investigaciones se han concentrado en revisar las limitaciones de los productos y teoras alrededor de la seguridad, es decir, hemos estado estudiando la inseguridad informtica como factor base para los nuevos desarrollos (HUTCHINSON, B. y WARREN, M. 2001 Cap.4). Si esto es as, no podemos hablar de seguridad de la informacin, sin reconocer su dual, la inseguridad (CANO 2004). En consecuencia, estudiar la inseguridad como estrategia para comprender la seguridad sugiere contextualizar en un escenario real la incertidumbre inherente del sistema o realidad a modelar, para revisar entre otros aspectos (SCHNEIER 2003, pag. 51): Cmo funciona el sistema? Cmo no funciona el sistema? Cmo reacciona ante una falla o situacin inesperada? Cmo hacerlo fallar?
Repensando la seguridad de la informacin
Basado en lo revisado hasta el momento, la seguridad de la infor-
Agradecimientos
El autor agradece al Dr. Jorge Rami Aguirre, a la Maestra Gabriela Mara Saucedo Meza y al Ingeniero Andrs Ricardo Almanza Junco por su tiempo y valiosos comentarios que permitieron afinar y ajustar las ideas expuestas en este artculo.
De acuerdo con una reciente investigacin (CANO 2006) y considerando los elementos anteriormente presentados (Figura 1 y 2), se establecen cinco caractersticas que identifican tanto a la seguridad como a la inseguridad, las cuales sern analizadas y detalladas a continuacin. La seguridad es una realidad subjetiva, es decir propia del sujeto. Cada una de las personas tiene una manera de comprender y entender la seguridad. Es tan vlida la definicin de un ciudadano comn, como la de un especialista en temas de seguridad, pues cada uno de ellos comprende la realidad de la seguridad segn su exposicin a la misma. Mientras que la inseguridad es objetiva, es decir, propia al objeto, una realidad perceptible, observable y verificable en el objeto. En este sentido, la inseguridad valida la esencia misma del anlisis de riesgos, pues slo a travs de hechos cumplidos, verificables y comprobables podemos medir el nivel de exposicin que tenemos y cmo podemos advertir mejores medidas de control para mitigarlo, atomizarlo, minimizarlo o transferirlo.
www.hakin9.org
39
Defensa
La seguridad no tiene cota superior, en otras palabras, siempre es posible encontrar una medida que sea ms efectiva y/o eficiente que la anterior. Esto es fruto normal de la evolucin de las medidas de proteccin, que entendiendo cmo no funciona el sistema? es posible plantear estrategias que mejoren lo actualmente disponible. Si la inseguridad no tuviese cota superior como la seguridad, los seguros no existiran ni se podran pagar. Es tal nuestra necesidad de mantener un nivel de proteccin, que debemos tratar de cuantificar el nivel de inseguridad que podemos administrar, siguiendo paradjicamente un nivel base de prcticas de seguridad y la dinmica de los procesos de negocio. En este sentido, podemos establecer un lmite superior de exposicin o riesgo que queremos asegurar, con las condiciones y precauciones que el asegurador establezca como mnimas para poder validar y pagar los daos como fruto de la materializacin del riesgo, ms all de nuestro debido cuidado y diligencia para mantenerlo en los niveles establecidos. La seguridad es intangible, no est en los mecanismos de seguridad, no est en los procedimientos, no est en las personas o en los cargos. La seguridad, complementara al tema de la subjetividad previamente analizado, es la manifestacin de que estamos ante un bien cuyo manejo no es evidente ni certero gracias a su volatilidad, fruto de la percepcin de terceros. Por ejemplo, si nos detenemos a observar la variabilidad de los mercados financieros ante incertidumbres geopolticas, nos percataremos de cmo se destruye la sensacin de seguridad de los inversionistas ocasionando efectos devastadores en los movimientos financieros. En consecuencia y complementario con lo anterior, la inseguridad es tangible, es posible advertir el robo, la estafa, el accidente, la catstrofe, es una propiedad que es evidenciable y verificable, esa que se puede valorar con hechos y cifras, soportando un anlisis real de los daos y efectos que sta ha tenido.
Al ser la seguridad un intangible, necesariamente responde a una propiedad emergente de un sistema. Una propiedad emergente, es aquella que tienen los sistemas, fruto de la relacin entre sus elementos y no particular a un objeto que lo conforma, en otras palabras, la seguridad es fruto de la relacin existente entre la tecnologa, los procesos y los individuos, como un todo coherente y alineado que comprende que no es posible alcanzar mayores niveles de seguridad sin un entendimiento o comprensin de las interrelaciones, muchas veces invisibles, que la seguridad sugiere cuando de proteccin de activos se trata. De otra parte, la inseguridad es una propiedad inherente a los objetos, una realidad que deber ser evidenciada y explorada para ser comprendida, lo cual nos lleva necesariamente a la aparicin de la administracin de riesgos. Cuando entendemos que en el mundo donde nos movemos estamos expuestos a ellos, hacemos evidente que la inseguridad est presente en nuestro vivir y por tanto, es preciso advertir una serie de acciones que nos permitan mitigarlos. Es darle respuesta a la pregunta Qu hacer si el sistema falla? Cuando se habla de modelar o disear algo, buscamos que ese
algo tenga las caractersticas que perseguimos. Si queremos que los activos gocen de seguridad, nos enfocamos en primer lugar a comprender los riesgos a los cuales est expuesto, para desarrollar las estrategias de seguridad requeridas y as lograr un nivel de exposicin menor de dichos activos. Por otro lado, la inseguridad no requiere de modelos o diseos especficos o detallados, ella sabe que todos los objetos la contienen y sus manifestaciones se pueden manifestar en diferentes grados o impactos. En este sentido la inseguridad es una propiedad inherente a los objetos que advierte la manera de cmo establecer los mecanismos mnimos para limitar la materializacin de la misma en un escenario con unos actores y variables. Basado en esta exploracin de los conceptos de seguridad e inseguridad es posible sugerir que es arriesgado afirmar que podra administrarse la seguridad cuando la inseguridad propia de los objetos nos muestra elementos reales y tangibles que ofrecen caractersticas de gestin que pueden llegar a ser analizados y cuantificados de tal forma, que se planteen mtricas de inseguridad que basadas en buenas prcticas de seguridad y control, puedan alcanzar niveles mnimos permitidos
En la Red:
BEAVER, K. (2006) Don't Spring a Leak. Information Security Magazine. Enero. Disponible en: http://informationsecurity.techtarget.com/magItem/0,291266,sid42_ gci1154838,00.html, CANO, J. (1997) Auditoras de Seguridad, Evaluaciones de Seguridad y Pruebas de penetracin: tres paradigmas en la seguridad informtica. Disponible en: http:// www.derechotecnologico.com/estrado/estrado003.html, CANO, J. (2004) Inseguridad Informtica. Un concepto dual en seguridad informtica. http://www.virusprot.com/art47.html, WILLIAMS, M. (2006) Security threat changing, says Symantec CEO. Disponible en: http://www.networkworld.com/news/2006/110306-security-threat-changingsays-symantec.html, MIMOSO, M. y SAVAGE, M. (2006) Today's Attackers Can Find the Needle. Information Security Magazine. Junio. Disponible en: http://informationsecurity.techtar get.com/magItem/0,291266,sid42_gci1191313,00.html, ROITER, N. (2006) That Sinking Feeling. Information Security Magazine. Octubre. Disponible en: http://informationsecurity.techtarget.com/magItem/0,291266,sid42_ gci1219723,00.html, SAVAGE, M. (2006) Protect What's Precious. Information Security Magazine. Diciembre. Disponible en: http://informationsecurity.techtarget.com/magItem/ 0,291266,sid42_gci1232273,00.html.
40
www.hakin9.org
y as mantener asegurados los bienes o activos que se tengan bajo observacin y custodia. Si la reflexin anterior es correcta se requiere repensar la administracin de la seguridad, por una de inseguridad donde, haciendo evidente cada una de las caractersticas de esta ltima, podamos desaprender las prcticas actuales de administracin del riesgo focalizadas en objetos, para reconocer en las relaciones que generan las expectativas de la gerencia (COHEN, F. 2005), los procesos de negocio y la infraestructura de computacin, una fuente complementaria para el entendimiento de las vulnerabilidades en los sistemas.
Hacia un modelo de Administracin de Inseguridad Informtica
Los modelos actuales de administracin de seguridad, generalmente buscan descubrir y corregir las fallas, pero no generan estrategias formales para entender la inseguridad; se concentran en establecer las correcciones y los controles requeridos para mejorar la efectividad y eficiencia
de la gestin del modelo de seguridad (SCHOU, C. y SHOEMAKER, D. 2007). Si bien este razonamiento es til por la manera sistemtica de aprender del sistema y sus fallas, presenta limitaciones para desaprender de sus prcticas aprendidas, cuando se enfrenta a situaciones inesperadas o no contempladas en el modelo. Para lograr materializar las ideas presentadas previamente y darle una posible respuesta a la pregunta planteada: qu hacer frente a la inseguridad o riesgos inherentes a la realidad de las organizaciones?, se propone un modelo de administracin de inseguridad informtica basado en dos ideas principales: descubrir la inseguridad y entender la inseguridad. El descubrir la inseguridad es utilizar el enfoque tradicional (sistemtico) de administracin de riesgos que se viene utilizando, donde los ejercicios de valoracin de seguridad requieren un conocimiento especializado, fundado generalmente en herramientas y estrategias prcticas para identificar vulnerabilidades, orientado a resultados prcticos y con-
Librera
CANO, J. (2006) Information Insecurity: A dual concept of information security. Proceeding of 2nd Internacional Conference on E-Global Security. Londres, UK. Abril. COHEN, F. (2005) Security Governance: Business Operations, security governance, risk management and enterprise security architecture. ASP Press. COVEY, S. (2005) El octavo hbito. De la efectividad a la grandeza. Editorial Paidos. HUTCHINSON, B. y WARREN, M. (2001) Information warfare. Corporate attack and defense in a digital world. Butterworth Heinemann. KIELY, L y BENZEL, T (2006) Systemic security management. IEEE Security & Privacy. Noviembre/Diciembre. KOVACICH, G. y HALIBOZEK, E. (2006) Security metrics management. How to manage the cost of an assets protection program. Butterworth Heinemann. KUPER, P. (2005) The state of security. IEEE Security & Privacy. Septiembre/ Octubre SCHNEIER, B. (2003) Beyond Fear. Thinking Sensibly about security in an uncertain world. Copernicus Books. SCHOU, C. y SHOEMAKER, D. (2007) Information Assurance for the enterprise. A roadmap to information security. McGraw Hill. SCHWANINGER, M. (2006) Intelligent organizations. Powerful models for systemic management. Springer Verlag. TAYLOR, R., CAETI, T., KALL LOPER, D., FRITSCH, E. y LIEDERBACH, J. (2006) Digital crime and digital terrorism. Pearson Prentice Hall. THE HONEYNET PROJECT (2004) Know your enemy. Learning about security threats. Addison Wesley.
cretos en cada uno de los elementos de evaluacin y que exige personal especializado en el conocimiento de los objetos evaluados. Como resultado de este ejercicio tenemos la evidencia de los riesgos y controles requeridos para mitigar la presencia de la inseguridad. (KOVACICH, G. y HALIBOZEK, E. 2006) Entender la inseguridad significa comprender las relaciones de los elementos que son objeto de evaluacin. Esto implica revisar de manera sistmica e inteligente (SCHWANINGER, M. 2006, cap. 1 y 2) los resultados de la evaluacin considerando, como mnimo, los aspectos de la tecnologa, los individuos y los procesos, no para analizar lo que ocurre, sino para comprender porqu ocurre y efectuar un diagnstico de la situacin. En pocas palabras en trminos sistmicos, administrar la variedad y complejidad que exhibe el sistema. Cuando se aplican las consideraciones sistemticas y sistmicas al mismo tiempo, se comprenden de manera complementaria los ejercicios tradicionales de seguridad y se posibilita un diagnstico real de una situacin anormal. Este diagnstico puede llevarnos a desaprender lo conocido y a establecer nuevas distinciones en cualquiera de los niveles de anlisis (estratgico, tctico y operacional), generando conocimiento que alimente el desarrollo de mejores estrategias de negocio, la aplicacin de estndares y buenas prcticas, as como una asertiva ejecucin los procedimientos de operacin. El modelo presentado (Figura 3) pretende, que la organizacin de manera dinmica, comprenda que cada nivel afecta a su nivel superior, esto es, lo que se evidencie en el anlisis y diagnstico del nivel operacional afecta al nivel tctico y as sucesivamente, evitando la fragmentacin de la visin de seguridad y promoviendo una postura proactiva y global de la organizacin, que reconoce en la seguridad la propiedad emergente fruto del reconocimiento y entendimiento de los riesgos inherentes a cada uno de los objetos que la conforman.
www.hakin9.org
41
Defensa
Nivel Estratgico
Anlisis Diagnstico
Des c ubr iend o la
Expectativas Corporativas
Objectivos de Negocio
inse
gur
idad
Arquitectura de Seguridad
Cultura de Seguridad
Estndares y Buenas prcticas
Ent end ien
Infraestructura de Seguridad
do l a inse
Prcticas de Seguridad Informtica
Procedimientos de Operacin
Nivel Operacional
gur idad
Configuracin y Adecuacin
Figura 3. Modelo de Administracin de la Inseguridad Informtica Si esto es as, la organizacin destruir estructuralmente la falsa sensacin de seguridad y la reemplazar por una estrategia de aprendizaje permanente sobre los incidentes que se presenten, como la norma misma de la gestin de stos. Esto es, tomar ventaja de lo que aprende de la inseguridad de la informacin, para construir mejores propuestas de proteccin, basado en aquello que ven los intrusos y las ventajas que ofrecen las tecnologas. de manera estructural el porqu de sta. Por tanto, se hace necesario complementar el modelo de riesgos y controles actual, con uno basado en las tcnicas de hacking, que ms all de estar concentrado en los activos a proteger y sus vulnerabilidades, reconoce las relaciones de los diferentes componentes del sistema para responder las preguntas planteadas anteriormente (seccin repensando la seguridad de la informacin). El modelo de Administracin de la Inseguridad Informtica (Figura 3) presentado vincula los dos paradigmas, el de riesgos y controles y el del hacking, como una manera efectiva de procurar una administracin de la proteccin de la informacin, cuya dinmica de aplicacin debe llevar a una distincin organizacional sobre la gestin de la inseguridad de la informacin que se denomina en la teora information assurance (SCHOU, C. y SHOEMAKER, D. 2007) o aseguramiento de la informacin. Finalmente, el modelo de ADINSI propuesto (Figura 3) es una manera alterna para comprender que existen tensiones entre las personas, los procesos y la tecnologa (KIELY, L y BENZEL, T 2006) que deben ser objeto de revisin permanente y as evaluar el impacto de las mismas en temas como las expectativas de la alta gerencia, la arquitectura de seguridad informtica y las prcticas de seguridad de las organizaciones. l
Conclusin
La realidad del creciente nmero de vulnerabilidades reportadas, incidentes ocurridos y fallas identificadas nos invita a reflexionar sobre la forma de cmo hemos venido afrontando los riesgos que stas generan y los impactos de las mismas. En este sentido, el paradigma actual de la seguridad de la informacin ha entrado en crisis, por lo que se requiere estudiar en profundidad la mente de los intrusos y sus reflexiones para comprender mejor lo que ocurre ante una falla. Por tanto, no es suficiente descubrir la falla puntal y analizar cmo se materializ, sino que se requiere una revisin relacional de lo que ocurri para entender
Sobre el Autor
Jeimy J. Cano, Ph.D, CFE. Miembro investigador del Grupo de Estudios en Comercio Electrnico, Telecomunicaciones e Informtica (GECTI). Facultad de Derecho. Universidad de los Andes. Colombia. Miembro Investigador de ALFA-REDI (Red Latinoamericana de Especialistas en Derecho Informtico). Ingeniero de Sistemas y Computacin, Universidad de los Andes. Magster en Ingeniera de Sistemas y Computacin, Universidad de los Andes. Ph.D in Business Administration, Newport University. Profesional certificado en Computer Forensic Analysis (CFA) del World Institute for Security Enhacement, USA. Profesional certificado como Certified Fraud Examiner (CFE) por la Association of Certified Fraud Examiners. Contacto: jjcano@yahoo.com.
42
www.hakin9.org
Programas malignos
Defensa
Carlos Javier Forns Cabrera
Grado de dificultad
Todo ordenador o sistema informtico est expuesto a una serie de amenazas de tipo software que, por mucho que intentemos evitarlas, siempre van a estar ah. Dichas amenazas son programas diseados con el nico propsito de causar daos en los sistemas donde se ejecutan, como por ejemplo borrar el disco duro o estropear el sistema operativo eliminando determinados archivos.
o hay ningn sistema seguro salvo quizs aquel que est apagado y desenchufado de la red elctrica. El desarrollo de los cdigos malignos ha venido evolucionando de simples intentos de demostracin de conocimiento informtico, por parte de programadores individuales; a verdaderos negocios, con jugosas ganancias llevados a cabo por mafias con objetivos precisos. Durante los ltimos diez aos, se vieron cambiar notablemente los tipos y la velocidad de propagacin de los cdigos malignos: desde los disquetes flexibles que se contagiaban mediante la insercin manual del disco de una computadora a otra, hasta tcnicas ms sofisticadas de cdigos que crean rplicas fcilmente en las redes y el mundo a travs de Internet.
fue escrito para las mquinas Apple II, que al infectarse mostraban el siguiente mensaje en pantalla por cada cincuenta veces que se encendiese la computadora:
Elk Cloner: The program with a personality It will get on all your disks It will infiltrate your chips Yes it's Cloner! It will stick to you like glue

Qu es un Virus, Gusano y Caballo de Troya, descripcin y ejemplos de algunos conocidos, Mtodos y tcnicas, de reproduccin e infeccin de los principales PM, Incidencia en el mundo actual.
El origen de los cdigos maliciosos

Segn plantean algunos autores el primer cdigo malicioso fue un virus creado en 1982, conocido por Elk Cloner, y su autora corresponde a Rich Skrenta, quien en ese entonces era un muchacho de slo 14 aos de edad. El virus
Breve referencia sobre programas malignos y sus tcnicas, formato PE, tener una pequea idea de sobre binarios, Conocer las vulnerabilidades de los sistemas operativo en este caso Windows.
44
www.hakin9.org
Programas malignos
It will modify RAM too Send in the Cloner!
Al tratarse de un perodo en que Internet era un sistema limitado a los crculos acadmicos, la propagacin de Elk Cloner se produca mediante disquetes. Sin embargo en la conocida enciclopedia libre Wikipedia se plantea que el primer virus que atac a una mquina IBM Serie 360 (y reconocido como tal), fue llamado Creeper, creado en 1972 por Robert Thomas Morris. Este programa emita peridicamente en la pantalla el mensaje: I'm a creeper, catch me if you can! (Soy una enredadera, agrrenme si pueden). Para eliminar este problema se cre el primer programa antivirus denominado Reaper (Segadora). Sea como fuere, la denominacin virus informtico fue introducida en 1983 por el investigador Fred Cohen, quien us tal concepto para referirse a sus experimentos de cdigos autorreproducibles. Sin embargo, la produccin masiva de tales cdigos -y la competencia por crear los virus ms destructivos, molestos o ingeniosos - surgi despus del lanzamiento del libro Neuromancer de William Gibson, que sirvi de fuente de inspiracin para muchos escritores de virus. El primer virus que llam la atencin meditica a nivel mundial fue Jerusaln, que despus de propagarse de forma silenciosa, liberaba su carga destructiva cada viernes 13, eliminando archivos en las mquinas infectadas. Con ello se haba dado inicio a la eterna lucha entre los escritores de cdigos malignos y su contraparte, las empresas de seguridad informtica y de programas antivirus.
Debe ser capaz de ejecutarse a s mismo. A menudo coloca su propio cdigo en la ruta de ejecucin de otro programa. Debe ser capaz de replicarse. Por ejemplo, puede reemplazar otros archivos ejecutables con una copia del archivo infectado. Los virus pueden infectar tanto equipos de escritorio como servidores de red. Algunos virus estn programados para atacar el equipo daando programas, eliminando archivos o reformateando el disco duro. Otros no estn creados para causar dao alguno, sino para replicarse y dar a conocer su presencia mediante la presentacin de mensajes de texto, vdeo o sonido. Incluso estos virus benignos pueden crear problemas al usuario del equipo. Normalmente
hacen uso de la memoria correspondiente a los programas legtimos. Como resultado, pueden provocar a menudo un comportamiento irregular en el equipo e incluso hacer que el sistema deje de responder. Adems, muchos virus contienen errores que pueden ocasionar prdidas de datos y bloqueos del sistema.
Existen cinco tipos de virus conocidos
Virus que infectan archivos: este tipo de virus ataca a los archivos de programa. Normalmente infectan el cdigo ejecutable, contenido en archivos .com y .exe, por ejemplo. Tambin pueden infectar otros archivos cuando se ejecuta un programa
Listado 1. Cambios que realiza un infector de archivo en los ficheros con extensin.exe y .scr
c:\ActSAV32\SAV32 Act.exe Old date: 3/23/2005 1:26 PM New date: 3/23/2005 1:26 PM Old size: 159,744 bytes New size: 337,664 bytes c:\Documents and Settings\fornes\Desktop\CDSecure.exe Old date: 8/25/2006 1:05 PM New date: 8/25/2006 1:05 PM Old size: 1,656,978 bytes New size: 1,836,798 bytes c:\Documents and Settings\fornes\Desktop\cv2k4_100fuga.exe Old date: 8/21/2006 1:51 PM New date: 8/21/2006 1:51 PM Old size: 1,122,959 bytes New size: 1,304,324 bytes c:\Documents and Settings\fornes\Desktop\Pack_Vista_Inspirat_1.1.exe Old date: 4/11/2006 1:44 PM New date: 4/11/2006 1:44 PM Old size: 27,977,025 bytes New size: 28,155,140 bytes
Virus informtico
Un virus informtico es un pequeo programa creado para alterar la forma en que funciona un equipo sin el permiso o el conocimiento del usuario. Un virus debe presentar dos caractersticas:
Figura 1. Comparacin de un fichero entre el original y la muestra infectada con el virus W32.PARITE.A
www.hakin9.org
45
Defensa
infectado desde un disquete, una unidad de disco duro o una red. Muchos de estos virus estn residentes en memoria. Una vez que la memoria se infecta, cualquier archivo ejecutable que no est infectado pasar a estarlo. Algunos ejemplos conocidos de virus de este tipo son Jerusaln y Parity.a.
Ejemplo: Virus Parity.A
Virus polimorfico tambien conocido como W32/Pate.a.dam. Tiene un tamao de 176,128 bytes. Es un infector de archivos del tipo parsito ya que se adjunta a otro programa y se activa cuando ese programa es ejecutado. Posee adems caractersticas de gusano, ya que puede propagarse a travs de redes. Cuando se ejecuta, se agrega al final de todos los archivos con formato PE (Portable Executable), con extensin .exe y .scr en el directorio de Windows y todos los subdirectorios del sistema local, as como a todos los archivos accesibles en unidades de red compartidas. En ocasiones el virus corrompe el archivo infectado, siendo imposible su recuperacin. El virus crea una seccin extra en el archivo PE, con un nombre de tres letras al azar ms el carcter (). Crea la siguiente clave en el registro:
HKCU\Software\Microsoft\Windows\ CurrentVersion\Explorer\PINF
accin se repetir, contaminndolo todo. Como vemos en la descripcin, este virus tiene accin de gusano, cuya definicin veremos mas adelante, as que tambin se copia por la red en directorios compartidos. Esto quiere decir que a la hora de la contaminacin si exista otro equipo compartiendo un directorio con la equipo contaminado (y sin las medidas de seguridad apropiadas), y en l hubiese algn archivo de tipo .exe
o .scr, estos tambin quedaran con taminados, comenzando de nuevo la cadena de reproduccin del virus. En Figura 1 vemos a la izquierda el archivo original y a la derecha el mismo archivo infectado por el virus PARITE.A . El Archivo original (izquierda) termina en la direccin de memoria 0x00032FF0 y a partir de esta, se copia el cdigo del virus (derecha). Para poder controlar el archivo original infectado (Figura 2), el
Figura 2. Archivo original
Como es un infector de archivo veremos una muestra de los cambios que realiza en los ficheros formato PE (Portable Executable), con extensin .exe y .scr (Listado 1). Vemos como aumentan de tamaos estos archivos, demostrando la existencia del virus, a partir de este momento estos archivos estn infectados y listos para reproducir el virus. Si de alguna manera estos archivos infectados abandonan el equipo contaminado, bien mediante porque han sido copiados a un CD-ROM, a una memoria de tipo flash o de cualquier otra forma, y es ejecutado en otro equipo, la
Figura 2a. Archivo infectado
Figura 3. Primera intrusin del virus en el archivo infestado
46
www.hakin9.org
Programas malignos
virus cambia su punto de entrada o Entrypoint primera instruccin que se va a ejecutar (Figura 2a). Podemos ver a la Izquierda el desplazamiento del archivo o File Offset cuyo valor es 00033000 en disco, que precisamente corresponde a la primera intrusin del virus en el archivo infestado (Figura 3).
Virus de sector de arranque
Estos virus infectan el rea de sistema de un disco. Es decir, el registro de arranque o Master Boot Record (MBR) de los disquetes y los discos duros. Todos los disquetes y discos duros (incluidos los que slo contienen datos) tienen un pequeo programa en el registro de arranque que se ejecuta cuando se inicia el equipo. Los virus de sector de arranque se copian en esta parte del disco y se activan cuando el usuario intenta iniciar el sistema desde el disco infectado. Estos virus estn residentes en memoria por naturaleza. La mayora se crearon para DOS, pero todos los equipos, independientemente del sistema operativo, son objetivos potenciales para este tipo de virus. Para que se produzca la infeccin basta con intentar iniciar el equipo con un disquete infectado. Posteriormente, mientras el virus permanezca en memoria, todos los disquetes que no estn protegidos contra escritura quedarn infectados al acceder a ellos. Algunos ejemplos de virus del sector de arranque son Form, Disk Killer, Michelangelo y Stoned.
Figura 4. Ataque del gusano Code Red por virus del sector de arranque o del sector de arranque maestro no podrn arrancar. Esto se debe a la diferencia en la forma en que el sistema operativo accede a la informacin de arranque, en comparacin con Windows 95/98. Si el sistema con Windows NT est formateado con particiones FAT, normalmente se puede eliminar el virus arrancando desde DOS y utilizando un programa antivirus. Si la particin de arranque es NTFS, el sistema deber recuperarse utilizando los tres discos de instalacin de Windows NT. Algunos ejemplos de virus del sector de arranque maestro son NYB, AntiExe y Unashamed. otros archivos. Los virus de macro infectan archivos de Microsoft Office: Word, Excel, PowerPoint y Access.Actualmente estn surgiendo tambin nuevos derivados en otros programas. Todos estos virus utilizan el lenguaje de programacin interno de otro programa, creado para permitir a los usuarios automatizar ciertas tareas dentro del programa. Debido a la facilidad con que se pueden crear estos virus, existen actualmente miles de ellos en circulacin. Algunos ejemplos de virus de macro son W97M.Melissa, WM.NiceDay y W97M.Groov.
Los Gusanos
Virus mltiples
Virus de sector de arranque maestro
Estos virus estn residentes en memoria e infectan los discos de la misma forma que los virus del sector de arranque. La diferencia entre ambos tipos de virus es el lugar en que se encuentra el cdigo vrico. Los virus de sector de arranque maestro normalmente guardan una copia legtima del sector de arranque maestro en otra ubicacin. Los equipos con Windows NT infectados
Estos virus infectan tanto los registros de arranque como los archivos de programa. Son especialmente difciles de eliminar. Si se limpia el rea de arranque, pero no los archivos, el rea de arranque volver a infectarse. Ocurre lo mismo a la inversa. Si el virus no se elimina del rea de arranque, los archivos que hayan sido limpiados volvern a infectarse. Algunos ejemplos de virus mltiples son One_Half, Emperor, Antrax y Tequila.
Virus de macro
Estos virus infectan los archivos de datos. Son los ms comunes y han costado a empresas importantes gran cantidad de tiempo y dinero para eliminarlos. Con la llegada de Visual Basic en Microsoft Office 97, se puede crear un virus de macro que no slo infecte los archivos de datos, sino tambin
Los gusanos son programas que se replican a s mismos de sistema a sistema sin utilizar un archivo para hacerlo. En esto se diferencian de los virus, que necesitan extenderse mediante un archivo infectado. Aunque los gusanos generalmente se encuentran dentro de otros archivos, a menudo documentos de Word o Excel, existe una diferencia en la forma en que los gusanos y los virus utilizan el archivo que los alberga. Normalmente el gusano generar un documento que ya contendr la macro del gusano dentro. Todo el documento viajar de un equipo a otro, de forma que el documento completo debe considerarse como gusano. Se han hecho muy populares debido al amplio uso actual de Internet y el correo electrnico. Aunque los primeros experimentos con estos tipos de programas se remon-
www.hakin9.org
47
Defensa
Welcome to http://www.worm.com! Hacked By Chinese!
Figura 5. La pgina Web de Inicio del servidor cambiada por este mensaje
tan al ao 1982 en el Research Center de Palo Alto, Estados Unidos, no fue hasta el 2 de noviembre de 1988 cuando se multiplic el primer gusano a travs de Internet. Su nombre era Morris, explot mltiples huecos de seguridad y afect en pocas horas alrededor de 60. 000 computadoras, causando problemas de conectividad durante varios das. A partir de esa fecha, otros cdigos maliciosos tambin hicieron irrupcin en las redes, pero no fue hasta los primeros das del mes de marzo de 1999, cuando apareci Melissa, fue entonces cuando se convirtieron en un verdadero dolor de cabeza. Melissa logr un alto nivel de infeccin por el gran intercambio de informacin contenida en archivos escritos en la aplicacin Word de la suite Microsoft Office , y por su modo de diseminacin. Viaj en un correo electrnico con asunto Important Message From <nombre> (Mensaje Importante de), donde el nombre corresponda al de la cuenta de correo electrnico del
usuario que supuestamente lo enviaba. El texto invitaba a su lectura, y el anexo contena referencias a sitios web con informacin pornogrfica, aunque poda sustituirse por un documento de la computadora infestada. De esta forma viajaron por Internet documentos con informacin sensible. Un mensaje con estas caractersticas llam la atencin de muchos receptores, quienes tentados abrieron el anexo y se contaminaron. Esta tcnica de explotar la debilidad de la confianza de los seres humanos, conocida como ingeniera social, ha sido ampliamente usada por los creadores de virus. Este fue el gusano que inici la lista de los ms propagados y dainos en la historia de los cdigos malignos, y en pocos das logr afectar 1.200.000 computadoras con daos ascendentes a 1.100 millones de dlares, segn la publicacin Computer Economics. Ese mismo ao, en el mes de junio, fue reportado el altamente destructivo gusano ExploreZip. Al igual que el anterior, viajaba en un correo electrnico y adjuntaba un archivo de nombre zipped_files . Adems, utilizaba el icono de compresin del programa WinZip y as daba la impresin de ser la respuesta a un texto previamente enviado por el receptor. Este cdigo infeccioso borraba adems los archivos de extensin .c, .h, .cpp, .asm, .doc, .xls, .ppt, asig-
Figura 6. La vctima del ataque del gusano
nndoles un tamao de 0 bytes, con lo cual eran irrecuperables. En Mayo de 2000 las redes informticas de todo el mundo sufrieron una gran conmocin cuando apareci el clebre gusano I love you o Love Setter. Este fue un programa que explot varias vas de reproduccin, como el correo electrnica, la mensajera instantnea, las salas de conversacin o chats, los servicios de noticias o newsgroups, los archivos compartidos en una red o las pginas web en Internet. El mensaje tena como asunto ILOVEYOU (Te quiero, en ingls), y el texto sugera abrir una carta de amor enviada al destinatario, que apareca como anexo en el nombre LOVE-LETTER-FOR-YOU.TXT.VBS (CARTA DE AMOR PARA TI, en ingls). A diferencia del Melissa, el ILOVEYOU intentaba enviar un mensaje similar a todas las direcciones de correo que tena la mquina infectada, por lo cual el nivel de difusin alcanzado fue muy alto, alrededor de tres millones de computadoras en un da. Esto, junto a la destruccin de archivos en el disco duro, que realiz mediante la sobre escritura con su cdigo, provoc daos en todo el mundo valorados en 8.750.000 dlares. El ao 2001 tambin fue prdigo en gusanos notorios. El primero de ellos, Code Red o Cdigo Rojo, result todo un acontecimiento, tanto por los altos niveles de extensin como por las novedosas tcnicas que empleaba. Este cdigo afect a un buen nmero de servidores de Internet de Microsoft (Microsoft Internet Information Server o IIS), adems de lanzar ataques de denegacin de servicio (DoS). Se pueden diferenciar dos variantes de la familia Code Red. Ambas explotaron la vulnerabilidad MS01033 en las extensiones ISAPI en las versiones 4.0 y 5.0 del servicio IIS (Microsoft Internet Information Service), logrando afectar, en el segundo caso, 359.000 computadoras en menos de 14 horas.
48
www.hakin9.org
Programas malignos
La velocidad de diseminacin segn estadsticas de CAIDA , situado en el Centro de Supercomputadoras de San Diego, fue de 2000 equipos por minuto en el momento lgido de propagacin. Este hecho ocurri 24 das despus de haber sido liberado el parche para solucionar la vulnerabilidad. La Figura 1 muestra cmo Code Red realiza la bsqueda del equipo vulnerable y su posterior propagacin.
Los primeros 99 hilos los utlizar para propagarse a otros servidores web, El hilo nmero 100 verifica si el sistema Windows NT/2000 es una versin inglesa.
Vulnerabilidad MS01-033
MS01-033 (Unchecked Buffer in Index Server ISAPI Extension Could Enable Web Server Compromise). Vulnerabilidad en el archivo IDQ. DLL, de los servidores Microsoft IIS 5.0. Sistemas Afectados: Windows 2000 IIS (Versin inglesa), Windows NT (Versin inglesa). Filtro: Codered: "http or tcp.dstport == 80" En la Figura 4 vemos una muestra de la captura de Ethereal en el momento del ataque del gusano Code Red. Como vemos son simples peticiones (GET), utilizadas por el protocolo HTTP para descargar una simple pagina Web, con el siguiente formato:
http://www.maquina victima.com/ scripts/ root.exe?/c+dir+c:\HTTP/1.1
De ser as, el gusano proceder a desconfigurar el sitio Web del sistema infectado. La pgina Web de Inicio del servidor se cambiar por un mensaje que presenta este aspecto: Welcome to http://www.worm. com!, Hacked By Chinese!. Este mensaje en la pgina infectada, permanecer activa durante 10 horas y luego desaparecer. El mensaje no se volver a mostrar, a menos que el servidor sea reinfectado por otro sistema. Si el sistema no tiene Windows NT/2000 en ingls, el hilo 100 se utilizar para infectar otros servidores. Cada hilo del gusano busca el archivo c:\notworm. Si lo encuentra, el gusano permanecer inactivo. Si no se encuentra, cada hilo continuar intentando infectar ms servidores web (Figura 5). Cada hilo del gusano verifica la fecha del sistema del servidor infectado. Si la fecha es posterior al da 20 del mes, el hilo dejar de buscar sistemas para infectar y en su lugar atacar el servidor web de La Casa Blanca de los Estados Unidos en www.whitehouse.gov. El ataque consiste en el envo de 100 kilobytes de datos al puerto 80 del mencionado sitio web. Este aluvin de informacin (410 megabytes cada 4 horas y media) provocar la saturacin de los servicios infectados. Si la fecha es entre los das 10 y 19 del mes, el gusano no intentar atacar al sitio web de la Casa Blanca y continuar tratando de infectar nuevos servidores web en todo el mundo.
Figura 7. Esta ventana poda aparecer en Windows XP debida a la accin del gusano Blaster cia de los Estados Unidos migraron al sistema operativo Linux: En enero de 2003 el gusano Slammer explot una vulnerabilidad presente en el servicion de resolucin de Microsoft SQL Server 2000 y Microsoft Desktop Engine 2000 basada en un desbordamiento de buffer (MS02-039). Logr afectar entre 100.000 y 200.000 equipos en 10 minutos, duplicando la cantidad de equipos comprometidos en pocos segundos. La difusin comenz transcurridos 183 das a partir de la liberacin del parche oficial de seguridad. En la figura 2 se puede observar la localizacin de la vctima potencial y su posterior transmisin. SIRCAM fue el segundo de los afamados de ese ao, detectado inicialmente el 25 de julio, y se distribuy con textos escritos en ingls y espaol. El anexo, con doble extensin, contena un fichero formado por dos archivos, uno con el cdigo del gusano y otro robado de la computadora desde donde era enviado. En esa ocasin los daos evaluados fueron del orden de los 1.150 millones de dlares, sin considerar el hecho de que cre brechas de confidencialidad al dar a la luz archivos con informacin potencialmente sensible. Para finalizar el ao, el 8 de diciembre se emitieron los primeros informes del Nimda, que circul con formato de pgina Web, alterado de forma tal que enga a Internet Explorer, permitiendo la ejecucin del archivo adjunto con
El cdigo se guarda como archivo en el disco, sino que a travs de IIS se posiciona en la memoria dinmica integrndose en el propio sistema. Una vez que Code Red ha infectado un servidor, empieza a buscar direcciones IP de forma aleatoria con el propsito de infectar otros servidores que tengan instalado el IIS. Una vez que Code Red ha logrado infectar un servidor Web, acta de la siguiente forma: Se integra en la plataforma del sistema infectado, Genera 100 hilos (subprocesos) del gusano,
El 7 de Agosto de 2001, a causa del gusano Code Red, los servidores de la Casa Blanca, sede de la Presiden-
www.hakin9.org
49
Defensa
solo visualizar la vista previa. Los daos ocasionados por su accin ascendieron a 635 millones de dlares. Durante el ao 2002, los gusanos ms distinguidos fueron los pertenecientes a la familia Klez, los cuales se mantuvieron alrededor de 12 meses en el primer lugar de las listas de informes de las empresas antivirus. Segn el boletn G2 Security, de Mayo de 2002, con el nivel de propagacin alcanzado de la variante Klez.H se llegaron a detectar 2.000 copias diarias. Finalmente, en el transcurso del ao 2003 nuevos gusanos como Slammer o Sapphire causaron estragos, hasta el punto que Corea del Sur desapareci de Internet, 13.000 computadoras de un gran banco de los Estados Unidos dejaron de trabajar, y una lnea area americana cancel vuelos por problemas en los sistemas de compra y chequeo de billetes. Adems, logr afectar entre 100.000 y 200.000 computadoras en 10 minutos, duplicando la cantidad en pocos segundos. Famosos tambin fueron Blaster o Lobezna y los miembros de la familia Sobig. En el caso de la versin Sobig.F, aparecida en Agosto, rompi todos los records histricos de gusanos que utilizaban como va principal el correo electrnico, pues en su momento lgido fue detectado un correo portador por cada 20 transmitidos a travs de Internet. Otro gusano que bas su xito en la ingeniera social super esta cifra a inicios de 2004; su nombre Mydoom.A . Entre sus caractersticas principales se encontraba que poda viajar en archivos adjuntos comprimidos, tendencia seguida por sus sucesores como las variantes de Netsky y Bagle, muy diseminadas durante este mismo ao. Esta nueva propensin, ms compleja an con el uso de palabras claves o contraseas, se debi a que los administradores de los servido-
res de correo electrnico limitaban el envo y recepcin de archivos ejecutables, pero no limitaban los archivos comprimidos. Lo curioso es que si bien el usuario tena que descomprimir el cdigo del gusano para ejecutarlo, y en muchos casos teclear la palabra clave, los creadores de virus inteligentemente dispusieron que la palabra clave viajara dentro del texto del mensaje. En general, aunque las principales vas de transmisin de los gusanos han sido el correo electrnico y los recursos compartidos a travs de las redes, existen otros como las redes P2P utilizadas para el intercambio de archivos, e incluso la sencilla va de los disquetes, cada da ms en desuso.
Existe una nueva tendencia, cada vez ms utilizada, de explotar las vulnerabilidades o defectos de seguridad de los sistemas operativos y aplicaciones.
Ejemplo de un gusanos que explotan vulnerabilidadades
En enero de 2003 el gusano Slammer explot una debilidad presente en el servicio de resolucion de Microsoft SQL Server 2000 y Microsoft Desktop Engine 2000 basada en un desbordamiento de buffer (MS02-039). Logr afectar entre 100.000 y 200.000 equipos en 10 minutos, duplicando la cantidad de equipos comprometidos en pocos segundos. La difusin comenz transcurridos 183 das a par-
Figura 8. Moquina que realiza el ataque
Figura 9. Captura hecha por el analizador de protocolos de red Ethereal escuchando en otra maquina de la red
50
www.hakin9.org
Programas malignos
tir de la liberacin del parche de seguridad. En la Figura 5 se puede observar la localizacin de la vctima potencial y su posterior transmisin.
Gusano Slammer
Vulnerabilidad que explota MS02039, Buffer Overruns in SQL Server 2000 (MS02-039) Resolution Service Could Enable Code Execution (Q323875),
Sistemas Afectados: Microsoft SQL Server 7.0, Microsoft Data Engine (MSDE) 1.0, Microsoft SQL Server 2000, Microsoft Desktop Engine (MSDE) 2000.
Este gusano se propaga a travs de los servidores Microsoft SQL bajo
Windows 2000, que no han sido actualizados con el parche correspondiente. Durante la infeccin, el gusa no se mantiene activo en memoria solamente, no se copia a ningn archivo No compromete directamente al usuario individual, debido a que no infecta computadoras personales, solo servidores SQL bajo Windows 2000 (Microsoft SQL Server 2000 y Microsoft SQL Server Desktop Engine (MSDE)). Sin embargo, cmo el MSDE esta integrado no solo con el software del SQL, sino tambin en Visual Studio .NET y Office XP Developer Edition, el gusano podra propagarse ms all de los servidores SQL. Como vemos el gusano ataca el puerto 1433 (SQL). Filtro Ethereal: Slammer (tcp.dstport == 1433). En la Figura 6 vemos una captura del ataque del gusano tomando co-
mo vctima la maquina con direccin IP 172.16.1.92. Sealado en rojo, tenemos el paquete en el cual viaja el Shellcode, que es el momento en el cual el gusano explota la vulnerabilidad de Buffer Overflow en este caso. El gusano Blaster explot un hueco de seguridad basado en un desbordamiento de bfer (MS03-026), presente en el Distributed Component Object Model (DCOM ) que interacta con el protocolo de Llamada de Procedimiento Remoto o Remote Procedure Call (RPC ) de Windows 2000 y XP. La solucin fue publicada slo 26 das antes de su propagacin. Un ataque de denegacin de servicio lanzado por el gusano al sitio en Internet donde se puso a disposicin de los usuarios el parche de seguridad impidi su descarga durante varias horas. En la Figura 3 se muestra un ejemplo de la difusin. Proceso de infeccin del Blaster en un ambiente virtual utilizando el mismo exploit que usa el gusano para crear una shell (Puerta trasera) en el equipo vctima por la cual el mismo se copia emulando un servidor FTP. Si el ataque se realiza con xito, el gusano tomar el control de la mquina vctima de forma remota como usuario Administrador, pudiendo realizar cualquier tarea. En este caso ejecuta el comando siguiente para copiarse el mismo:
TFTP (IP atacante) GET (Blaster)
Figura 10. Captura del estado de los puertos de la vctima. Se ve el puerto abierto por el gusano
Figura 11. El gusano obtuvo una shell (acceso abierto en el sistema vctima) y est listo para copiarse
Despus seguir buscando mquinas hasta encontrar algunas vulnerables y repetir de nuevo el proceso. El Proceso de Infeccin se puede ver en Figura 8, 9, 10, 11. Este ataque (Figura 8) fue realizado por la herramienta que explota la vulnerabilidad (exploit), pero es el mismo procedimiento efectuado por el gusano, con la diferencia que todo es oculto al usuario. Figura 9 captura hecha por el analizador de protocolos de red
www.hakin9.org
51
Defensa
Su difusin se puede observar en la Figura 4. Worm.W32/Passer provoca un desbordamiento de bfer en el componente LSASS.EXE, lo que hace que dicho programa falle y requiera el reinicio de Windows. Puede presentarse el siguiente mensaje (Figura 12). Para ejecutarse automticamente cada vez que el sistema es reiniciado, el gusano aade a la siguiente clave del registro de Windows el valor indicado:
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\
Figura 12. Este comunicado aparece cuando el virus provoca el fallo del programa
Microsoft\Windows\CurrentVersion\Run Valor: "avserve.exe" = C:\WINDOWS\ avserve.exe
Vulnerabilidad MS04-011
Figura 13. Exploit que explota una vulnerabilidad utilizando Ethereal
Ethereal escuchando en otra maquina de la red. Podemos ver el ataque que utiliza la vulnerabilidad de RPC (Protocolo DCERPC). Seleccionado esta el shellcode que se utiliza para explotar el Buffer Overflow o desbordamiento de buffer. Figura 10 muestra el estado de los puertos en la vctima. Se ve el puerto abierto por el gusano. En este momento el gusano obtuvo una shell (acceso abierto en el sistema vctima) y se encuentra listo para copiarse (Figura 11). Como el gusano ya tiene una shell, puede ejecutar comandos remotamente en la maquina vctima como si estuviera fsicamente en ella. A continuacin ejecuta un TFTP (viene por defecto en Windows) y utiliza las opciones del mismo para copiarse en la mquina. Terminado el proceso el gusano escanea rangos
IP buscando nuevas mquinas vulnerables para repetir el proceso al completo. El ejemplo anterior es el proceso de propagacin del gusano. Cuando se copia y posteriormente se ejecuta puede realizar otras acciones. Witty y Passer por su parte comenzaron su propagacin en 2004. El primero, altamente destructivo, se vali de una vulnerabilidad (CAN2004-0362) en el Internet Security Systems Protocol Analysis Module (PAM), cuya solucin fue puesta a disposicin de los usuarios slo un da antes. El segundo se aprovech de un desbordamiento de buffer en el servicio LSASS (MS04-011), ampliamente empleada por nuevas familias de gusanos como Mytob, cuya solucin fue liberada 17 das antes.
Vulnerabilidad que explota en buffer Overflow en el Servicio lsass.exe (lsasrv.dll) Explotada por el gusano Sasser FILTRO : Sasser ---->" dcerpc or tcp.dstport == 445 " En el ejemplo se puede observar el momento en el cual el gusano inyecta el shellcode en la funcin vulnerable de Lsass (DsRolerUpgradeDownlevelServe). A partir de ese momento realiza lo mismo que otros gusanos de su tipo, se copia l mismo en la mquina vctima a travs de la shell que l mismo abri aprovechando la vulnerabilidad. En el transcurso del 2005 la familia de los gusanos Zotob comenz su propagacin valindose de la vulnerabilidad en el componente Plug and Play (MS05-039), cuyo parche fue liberado 5 das antes. En la Figura 5 se muestra su transmisin.
-Vulnerabilidad MS05-039
Explotada por el gusano Zotob. Esta vulnerabilidad solo se puede explotar en equipos con Windows 2000 sin el parche MS05-039 instalado. Solamente un usuario autenticado podra explotarla de forma remota en equipos con Windows XP y XP con Service Pack 1 instalado (Figura 14):
52
www.hakin9.org
Programas malignos
FILTRO : MS05-039 "Plug and Play" Zotob ----->"dcerpc or pnp or tcp.dstport == 445"
Software afectado: Microsoft Windows 2000 Service Pack 4 Microsoft Windows XP Service Pack 1 Microsoft Windows XP Service Pack 2 Microsoft Windows XP Professional x64 Edition Microsoft Windows Server 2003 Microsoft Windows Server 2003 Service Pack 1 Microsoft Windows Server 2003 for Itanium Microsoft Windows Server 2003 SP1 for Itanium Microsoft Windows Server 2003 x64 Edition
El gusano tambin abre un servidor FTP en el puerto TCP 33333 por el que otros equipos descargarn una copia del gusano. El gusano intenta propagarse utilizando la vulnerabilidad en el servicio Plug and Play de Windows, descrita en el boletn de seguridad MS05-039. Para ello puede crear hasta 300 threads (hilos de ejecucin o subprocesos) para buscar sistemas vulnerables enviando paquetes SYN por el puerto TCP 445. Si el ataque tiene xito (equipos con Windows 2000 sin el parche MS05-039), ejecuta un shell (cmd.exe) en el puerto TCP 8888. Por este puerto, enva al equipo remoto los comandos para descargarse y ejecutarse a s mismo. Primero, copia el archivo 2pac.txt en los sistemas vulnerables: Este archivo contiene un script FTP, que el gusano intentar usar al ejecutar el comando FTP.EXE por el shell abierto antes, con el resultado que el equipo accedido descargue una copia del malware usando el servidor FTP en el puerto TCP 33333 creado antes en el equipo infectado. El archivo descargado se guarda con el siguiente nombre y despus
se ejecuta: Nota del traductor FALTA EL NOMBRE. Como puede comprobarse en los casos anteriores, en la mayora de los casos fue necesario poco tiempo entre la liberacin de los correspondientes parches de seguridad y su explotacin por un programa maligno incluso se informaron algunos, como en el caso de Fever, en que su creador se adelant a la solucin. Finalizado el ao 2005, son alarmantes las estadsticas elaboradas por el Laboratorio Antivirus de Kaspersky [1], sobre las 10 vulnerabilidades ms atacadas durante el pasado ao. En la tabla se aprecian varias de las mencionadas (Tabla abajo). Tambin se encuentran presentes otras reportadas en los boletines, MS03-007 (17/03/2003), MS04007 (10/02/2004), MS04-045 (14/ 12/2004), MS02-061 (28/02/2003) y MS01-059 (20/12/2001). Uno de los problemas ms preocupantes es el desconocimiento de los usuarios, desconocimiento que aprovechan los creadores de gusa-
nos mediante tcnicas de ingeniera social que invitan a los incautos a abrir mensajes sospechosos, que nunca deberan abrir. Ejemplo de gusano de correo electrnico (Listado 2).
Caballos de Troya
Los caballos de Troya son impostores, es decir, archivos que pretenden ser benignos pero que de hecho, son perjudiciales. Una diferencia muy importante con respecto a los virus reales es que no se replican a s mismos. Los caballos de Troya contienen cdigo daino que, cuando se activa, provoca grandes prdidas o incluso robo de datos o de informacin sensible. Para que un caballo de Troya se extienda, es necesario dejarlo entrar en el sistema, por ejemplo abriendo un archivo adjunto de correo. Se denomina troyano (o caballo de Troya) a un programa malicioso capaz de alojarse en computadoras y permitir el acceso a usuarios externos, a travs de una red local o de Internet, con el fin de recabar infor-
Figura 14. Vulnerabilidad MSO5-039 explotada por el gusano Zotob
Boletn y parche de seguridad MS02-039 MS03-026 MS05-039
Fecha de liberacin 24/07/2002 16/07/2003 09/08/2005
Algunos programas malignos que explotan la vulnerabilidad Slammer, Sdbot Blaster, Gaobot, Nachi Zotob, Bozori, Mytob
www.hakin9.org
53
Defensa
macin y/o controlar remotamente la mquina husped. Un troyano no es de por s, un virus, an cuando tericamente pueda ser distribuido y funcionar como tal. La diferencia fundamental entre un troyano y un virus consiste en su finalidad. Para que un programa sea un troyano solo tiene que acceder y/o controlar la maquina husped sin ser advertido, normalmente bajo una apariencia inocua. Suele ser un programa pequeo alojado dentro de una aplicacin, una imagen, un archivo de msica u otro elemento de apariencia inocente, que se instala en el sistema al ejecutar el archivo que lo contiene. Una vez instalado, parece realizar una funcin til (aunque cierto tipo de troyanos permanecen ocultos y por tal motivo los programas antivirus o aplicaciones anti-troyanos no los eliminan) pero internamente realiza otras tareas de las que el usuario no es consciente, de igual forma que el Caballo de Troya que los griegos regalaron a los troyanos. Este tipo de software se utiliza habitualmente para espiar, usando la tcnica de instalar un software de acceso remoto que permite monitorizar lo que el usuario legtimo hace y, por ejemplo, capturar las pulsa-
ciones del teclado con el fin de obtener contraseas u otra informacin sensible. La mejor defensa contra los troyanos es no ejecutar nada de lo cual se desconozca el origen y mantener software antivirus actualizado y dotado de buena heurstica. Es recomendable tambin instalar algn software anti-troyano, de los cuales existen versiones gratis. Otra solucin bastante eficaz contra los troyanos es tener instalado un firewall, tambien conocido como cortafuegos. Otra manera de detectarlos es inspeccionando frecuentemente la lista de procesos activos en memoria en busca de elementos extraos, vigilar accesos a disco innecesarios, etc.
Caballos de pura sangre
NetBus y Back Orifice tienen muchos puntos en comn. Ambos son caballos de Troya basados en la idea de cliente-servidor. Han sido creados para sistemas Microsoft, pero Back Orifice slo funciona en Windows 95/98, mientras que NetBus tambin lo hace sobre NT. El programa servidor, en ambos casos, debe ser instalado en el ordenador de la vctima. Como
Listado 2. Ejemplo Gusano W32.Bagle.M

Nombre: W32.BAGLE.M Es una aplicacin de 32 bits. Llega con el nombre foto_4265.exe y su tamao es de 9.221 bytes. Cuando se ejecuta crea el siguiente fichero: c:\WINNT\system32\anti_troj.exe Accede a Internet Explorer donde agrega la siguiente referencia en la barra de direcciones: C:\WINNT\system32\ntimage.gif Aade las siguientes claves al registro: HKEY_CURRENT_USER\Software\FirstRRRun HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\CmdMapping HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ MenuOrder\Favorites\Vnculos Modifica los valores siguientes: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run anti_troj = C:\WINNT\System32\anti_troj.exe Para Garantizar ejecutarse al inicio de windows. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run anti_troj = C:\WINNT\System32\anti_troj.exe Para Garantizar ejecutarse al inicio de windows.
se ha explicado, esta tarea se ha simplificado, ya que el atacante puede ocultar el troyano dentro de cualquier programa o aplicacin. Incluso puede mandar el virus por correo y ser instalado con slo abrir el mensaje (consultar el artculo Las verdades del correo electrnico en la publicacin iWorld de Febrero de 1999). Una vez instalado, el servidor abre un puerto de comunicaciones y se queda escuchando peticiones. Es decir, los comandos que le enva el programa cliente que est utilizando el atacante desde su ordenador remoto. NetBus abre un puerto TCP, mientras que Back Orifice utiliza un puerto UDP. Se puede cambiar el nmero del puerto por el que atiende el servidor en ambos casos. Tambin se puede proteger el acceso al servidor mediante una clave. De esta forma, ya no es suficiente con tener instalado el cliente del troyano y conocer la IP de la mquina infectada, sino que tambin ser necesario conocer la clave que autoriza el acceso al servidor. Tanto NetBus como Back Orifice ofrecen un entorno grfico para manejar todas las posibilidades del cliente. Lo que significa que cualquiera que conozca el funcionamiento bsico de Windows, est en disposicin de gestionar, de forma remota, cualquier recurso del ordenador infectado por el troyano. Netbus incluye una herramienta que permite buscar mquinas, indicando un rango de direcciones IP que tengan abierto el puerto predeterminado del servidor de forma muy rpida. De todas formas, los piratas informticos (y losresponsables de seguridad) suelen utilizar herramientas mucho ms sofisticadas para rastrear los posibles objetivos. Ya se ha indicado una de las grandes diferencias entre estos dos troyanos: Back Orifice no corre en Windows NT. Por otra parte, Back Orifice es capaz de cifrar la comunicacin entre el cliente y el
54
www.hakin9.org
Programas malignos
servidor, algo que no hace NetBus. En cambio, este ltimo permite ciertas lindezas adicionales, como abrir y cerrar la unidad de CD-ROM o modificar las funciones de los botones del ratn. Otra diferencia importante es el tamao del servidor. La ltima versin del servidor de NetBus (NetBus Pro 2.0 ) supera los 600 Kb, mientras que el servidor de Back Orifice 1.2 , slo ocupa 122 Kb. El tamao resulta importante cuando el atacante quiere ocultar el caballo de Troya dentro de una aplicacin. Resulta menos sospechoso un aumento de 122 Kb que uno de 600 Kb con respecto a la aplicacin original. Por ltimo, la versin ms reciente de NetBus presenta nuevas opciones, pero es su nueva ventana de gestin del cliente, con ayuda en lnea incluida, donde marca la diferencia con respecto a Back Orifice. La instalacin y la aplicacin resultan tan profesionales, que su frase de presentacin casi parece cierta: NetBus Pro es una herramienta para la administracin remota de ordenadores, de fcil uso y con un amigable entorno de gestin. Estadsticas obtenidas por la empresa de Antivirus Kaspersky Lab durante el primer semestre del ao 2006, mostraron que la cantidad de nuevos cdigos del tipo caballo de Troya incluyendo modificaciones se increment mensualmente en un ocho por ciento, comparado con un perodo similar en 2005. Entre los ms frecuentes estuvieron los clasificados como puertas traseras, que abren puertos de comunicacin para la recepcin de rdenes enviadas remotamente por un atacante, as como los
Sobre el Autor
Carlos Javier Forns Cabrera Ingeniero Telecomunicaciones y electronica Laboratorio Antivirus Latinoamericano. SEGURMATICA fornes@segurmatica.cu Ciudad de la Habana CUBA
descargadores, que una vez ejecutados por el usuario intentan descargar otros cdigos desde Internet. Tambin estuvieron los ladrones de passwords, que usurpan contraseas empleadas en los sistemas, y los programas espa, los cuales auditan las acciones realizadas en los sistemas afectados. La causa fundamental de esta mayor propagacin de troyanos fue su empleo en la creacin de redes de computadoras robots o zombies, muy utilizadas en el envo de correo basura o spam y en el robo de datos personales e informacin corporativa. Segn Kaspersky Lab, en igual intervalo de tiempo, los gusanos y los virus tuvieron un decremento del uno por ciento en las muestras mensuales, siendo apreciable adems la disminucin de epidemias globales causadas por los que se propagan por medio del correo electrnico. En cuanto a este ltimo aspecto, la organizacin MessageLabs detect que 1 de cada 92 mensajes revisados desde Mayo a Octubre de 2006 contena cdigo maligno, cifra muy inferior a la relacin uno de cada diez alcanzada en Abril de 2004. La relacin de programas malignos ms detectados por su servicio de revisin de mensajes en los ltimos 12 meses la encabez el gusano Sober.y. Es importante sealar que aun cuando el nmero de las grandes epidemias globales decreci, precisamente a finales de Octubre de 2006 comenz la propagacin ms importante del ao, que se trat de una familia de cdigos malignos llamada Warezov, difundidos por e-mail y que al ser ejecutados por el usuario receptor intentaron la descarga de otros componentes desde Internet; aunque su aspecto ms interesante y peligroso fue la cantidad de nuevas variantes diferentes distribuidas en pocas horas. Existen muchos tipos de cdigos malignos que no pudiramos mencionarlos en un solo artculo.
De tipo Espas, se hospedan en el equipo y aparentemente no hace nada, pero sin embargo estn vigilando toda tu actividad, contraseas, nmero de tarjetas de crditos y otros datos importantes. Los recopila los manda por diferentes vas al atacante. Programas malignos que estafan, simulan ser una sucursal bancaria imitando una pgina web de algn banco para que el usuario que es su banco real y al introducir los datos bancarios, los copia y los enva al atacante. Programas Malignos que chantajean, infectan el equipo y solicitan depositar dinero en algn lugar o descargar una herramienta en Internet pagando por ella, con el fin de desinfectar el equipo y hacerlo inmune a este tipo de software. Cada vez es mayor la creatividad de algunos autores de cdigos malignos, que si bien en algunos casos retoman experiencias anteriores, ahora buscan nuevas variantes e incluso campos de accin, como la telefona inteligente. Segn Raimund Genes, director de sistemas de la compaa Trend Micro, un cdigo maligno tipo exploit que se aprovecha de una vulnerabilidad en Windows Vista no publicada, tiene un precio de venta aproximado de 50.000 dlares y de entre 20.000 30.000 dlares para otros sistemas y aplicaciones. Los programas malignos que se emplean en el envo de spam o correo basura cuestan alrededor de 5.000 dlares, mientras que los elaborados para crear y controlar las redes zombies o botnets se venden entre 5.000 a 20.000 dlares. Otro tanto sucede con los utilizados en el robo de informacin, con un precio que vara entre 5.000 y 20.000 dlares. Tal como plantea Sergio Santos, especialista de Hispasec, y ha venido denunciando Eugene Kaspersky, reconocido experto internacional en la temtica, los creadores de programas malignos tienen as una motivacin econmica con la creacin de un producto para un mercado concreto que se rige por la ley de la oferta y la demanda. l
www.hakin9.org
55
Ofuscacin de Cdigo en Java

Defensa
Javier Alcubierre
Grado de dificultad
Los actuales lenguajes de bytecodes como Java presenta muchas ventajas, pero uno de los inconvenientes que poseen es que son fciles de descompilar, lo que permite no solo obtener el cdigo mquina sino obtener cdigo de alto nivel similar al escrito por el programador.
sto supone una ayuda apreciable para desentraar el funcionamiento interno del programa. Pero no solo est en peligro ese cdigo que tantas horas nos ha costado construir y que preferimos que siga oculto, adems puede servir como valiosa fuente de informacin para posibles ataques contra nuestra aplicacin. Desgraciadamente el alto nivel de los lenguajes mquina usados en estas mquinas virtuales y su rigidez en lo que consideran un cdigo valido y seguro para ejecutar, nos deja con pocas opciones usar tcnicas que intenten confundir al descompilador. Solo nos queda intentar confundir al humano que usa el descompilador. El fin de la ofuscacin es complicar la vida al curioso que descompilar nuestro cdigo, en lugar de encontrarse con un relativamente sencillo de entender cdigo de alto nivel choca con un cdigo confuso y difcil de desentraar. La ofuscacin no impide que se pueda acabar sacando el cdigo original, pero dificulta el trabajo. Con suerte lo dificulta tanto que el curioso pronto pierde su curiosidad. Un error es pensar que el atacante quiere todo el cdigo de nuestra aplicacin, lo ms
probable es que solo est interesado en una pequea parte del cdigo e incluso que no est interesado para nada en copiar el cdigo, que su nico fin sea descubrir como funciona alguna parte de nuestro cdigo, quien sabe con que fin. A lo largo de este artculo vamos a ver como funcionan las diferentes tcnicas de ofuscacin y algunos de sus puntos dbiles. Para empezar necesitaremos un archivo que proteger en este caso nuestro fin ser proteger el archivo math.java (Listado 1) de posibles ataques de los curiosos. Para ello usare-

A proteger tu cdigo de miradas indiscretas, Los puntos fuertes y dbiles de los distintos mtodos de ofuscacin, A implementar tus propios mtodos de ofuscacin.

Conocimientos de Java, Conocimientos bsicos de ensamblador.
56
www.hakin9.org
Cdigo Java
mos varias herramientas y recursos, se podra haber hecho con menos herramientas, pero creo que ser til que el lector pueda conocer cuantas ms mejor.
Nuestras armas
Antes de empezar la batalla es bueno que conozcamos un poco nuestras armas, por desgracia explicar el funcionamiento de todas ellas va ms all del fin, y del espacio, de este artculo. Se van a usar varias aplicaciones, no quiere decir que sean las nicas que hay o que sean las mejores, para elegirlas se ha procurado valorar su calidad, fama, comodidad de uso, que sean fciles de conseguir, que estn bien documentadas y a ser posible que su cdigo est disponible por si el lector quisiera profundizar ms en su funcionamiento. La direccin de la pgina web de cada una de las aplicaciones se puede encontrar en el recuadro En la Red al final del artculo, desde esas direcciones podris descargar los programas adems de encontrar completa informa-
cin de como instalarlos y manuales de uso. La primera herramienta que usaremos ser el ya de sobras conocido JDK de Sun, por lo que nos ahorraremos explicar qu es y cmo funciona. Para desensamblar los .class a cdigo ensamblador usaremos Jasper, de esa forma obtendremos un archivo de texto que podremos modificar a mano. Para volver a convertir este lenguaje ensamblador a bytecodes usaremos Jasmin ya que el lenguaje ensamblador que usan ambos programas es idntico. Probaremos que resultado dan nuestras tcnicas descompilando con JODE, que a su vez tambin permite ofuscar cdigo. Aunque procuraremos hacer nuestra propias tcnicas, en la parte de ofuscacin de nombres se ha optado por usar ProGuard una excelente aplicacin que adems de ofuscar permite optimizar y reducir el tamao de los ficheros de bytecodes. Una vez que se ha pasado lista a todas nuestras tropas vamos a empezar a usarlas. Empezaremos por compilar nuestro cdigo, en este
caso el fichero math.java (Listado 1). Para ello basta con tener instalado el JDK y ejecutar el siguiente comando:
javac math.java
Una vez obtenido math.class los vamos a descompilar usando JODE, para ello, desde usamos el comando (cuidado de no sobrescribir el math.java original):
java jode.decompiler.Main math > math.java
Podemos ver el resultado en el Listado 2. El cdigo obtenido es casi similar al original, aunque el nombre de las variables es ms inteligible, resulta sencillo de entender. Nuestro fin es que este cdigo resulte tan difcil de entender como podamos. Veamos ahora como es el cdigo a nivel de lenguaje mquina, para ello desensamblaremos el .class usando Jasper. El comando es muy sencillo:
java jar Jasper.jar math.class
Listado 1. Cdigo de ejemplo sobre el que se va a trabajar

import java.io.*; public class math{ public int factorial(int numero){ for(int indice = numero-1; indice > 1; indice--) numero = indice * numero; return numero; } public int rand(int inicio, int fin){ return (int)(Math.random() * fin) + inicio; } public int equal(int a, int b){ if(a == b) return 0; else if(a > b) return 1; else return -1; } public static void main(String args[]){ System.out.println("New math"); math m = new math(); System.out.println("Call math.factorial()"); System.out.println(m.factorial(5)); System.out.println("Call math.rand()"); System.out.println(m.rand(0,5)); System.out.println("Call math.equal()"); System.out.println(m.rand(1,5)); } }
Se genera un archivo math.j con el cdigo en ensamblador en forma de texto plano. En el recuadro En la Red podis encontrar un link a una referencia completa de este lenguaje. El resultado es demasiado grande como para incluirlo por lo que solo incluiremos la funcin rand que podis ver en el Listado 3. Viendo el cdigo vamos a intentar explicar algunas bases del lenguaje ensamblador usado y de la propia mquina virtual de Java. Si nos fijamos en la primera lnea del Listado 3, veremos que es donde se declara el nombre del mtodo rand.
.method public rand(II)I
Las dos I entre parntesis indica que recibe dos parmetros de tipo Integer y la I fuera de los parntesis que el mtodo devuelve a su vez un Integer.
.limit stack 4
www.hakin9.org
57
Defensa
Indica la cantidad de espacio en la pila que va a usar esta funcin. La pila esta dividida en distintos bloques cada uno de un tamao de un Integer. Java opera directamente sobre la pila.
.limit locals 3
Con esto ya tenemos suficiente para trabajar en los prximos apartados.
Ofuscacin de nombres
Listado 3. Mtodo rand (int inicio, int fin) en lenguaje maquina

.method .limit stack .limit locals .line invokestatic iload_2 i2d dmul d2i iload_1 iadd ireturn .end method public rand(II)I 4 3 12 java/lang/Math /random()D
Indica el nmero de variables locales usadas en el mtodo.

.line 12
Es un etiqueta de depuracin, indica a que numero de lnea del cdigo fuente original corresponden las siguientes instrucciones en cdigo mquina. Los operandos van precedidos de una letra i, l, d, f que indica si operan sobre datos de tipo integer, long, double o float respectivamente. Estas mismas letras se usan para las instrucciones de conversin para indicar el tipo de origen y el de destino. Por ejemplo i2d convierte el primer elemento de la pila de tipo integer a tipo double .
La primera de las tcnicas que vamos a ver consiste en ofuscar los nombres de los mtodos, clases y paquetes, cambindolos por otros menos descriptivos como pueden ser a, b, c. La idea es simple pero puede llegar a causar ms de un dolor de cabeza en quien intenten entender el cdigo fuente. Es ms sencillo entender el significado de una funcin llamada factorial(int n) que una cuyo nombre es a(int n). En el primer caso el nombre te escribe claramente su funcin mientras que en el segundo no queda ms remedio que analizar el cdigo de la funcin. Vamos a ver como funciona con nuestro ejemplo math.java (Listado 1), para ello vamos a usar ProGuard. Para poder usar ProGuard necesitamos crear un archivo de configuracin que le indique a ProGuard con que ficheros trabajar y como hacerlo. El fichero, al que llamare-
Listado 2. Resultado de descompilar math.class

public class math { public int factorial(int i) { for (int i_0_ = i - 1; i_0_ > 1; i_0_--) i = i_0_ * i; return i; } public int rand(int i, int i_1_) { return (int) (java.lang.Math.random() * (double) i_1_) + i; } public int equal(int i, int i_2_) { if (i == i_2_) return 0; if (i > i_2_) return 1; return -1; } public static void main(String[] strings) { System.out.println("New math"); math var_math = new math(); System.out.println("Call math.factorial()"); System.out.println(var_math.factorial(5)); System.out.println("Call math.rand()"); System.out.println(var_math.rand(0, 5)); System.out.println("Call math.equal()"); System.out.println(var_math.rand(1, 5)); } }
mos math.pro, podemos verlo en el Listado 4. En la primera lnea se indica el nombre del jar a ofuscar, en la segunda el nombre que tendr el .jar con el cdigo ofuscado. La opcin de -libjars indica que libreras usa la aplicacin. Como solo queremos ofuscar tenemos que indicar que no realice optimizaciones ni reduzca el cdigo para ello usamos -dontshrink y -dontoptimize. Por ltimo la opcin de keepclasseswithmembers sirve para evitar que ofusque el mtodo main ya que es necesario para que se pueda ejecutar la aplicacin. Como ProGuard funciona con archivos .jar tendremos que crear nuestro propio jar a partir de math.class, para ello una vez compilado usando:
javac math.java
Crearemos el jar con:

jar cvfM math.jar math.class
Ahora ya podemos ejecutar ProGuard.

java -jar proguard.jar @math.pro
Por ltimo extraeremos el fichero math.class de math.jar

Jar xf math_out.jar
Obtendremos el fichero math.class, solo queda comprobar los nombre de los mtodos que contiene, el
58
www.hakin9.org
Cdigo Java
resultado lo podemos ver en el Listado 5.

javap math
Uno de los principales puntos dbiles de esta tcnica es que no se pueden ocultar los puntos de entrada, la funcin main sigue teniendo la misma firma:
public static void main(String args[])
Se puede ver que ha llamado a dos mtodos de la misma manera pese a ser diferentes, lo que puede complica aun ms el descifrar el funcionamiento del programa.
Es necesario para que la mquina virtual de Java sepa por donde tiene
Listado 4. Archivo de configuracin para ofuscar nombres usando ProGuard

-injars math.jar -outjars math_out.jar -libraryjars <java.home>\lib\rt.jar -dontshrink -dontoptimize -keepclasseswithmembers public class * { public static void main(java.lang.String[]); }
Listado 5. Firmas obtenidac con javap despus de ofuscar nombres

public class math extends java.lang.Object{ public math(); public int a(int); public int a(int, int); public int b(int, int); public static void main(java.lang.String[]); }
Listado 6. Clase para cifrar y descifrar cadenas de texto

import java.math.BigInteger; public class Cipher { public static BigInteger descipher(byte[] text, byte[] key) { BigInteger a = new BigInteger(text); BigInteger b = new BigInteger(key); a = a.divide(b); return a; } public static BigInteger cipher(String text, String key) { BigInteger a = new BigInteger(text.getBytes()); BigInteger b = new BigInteger(key.getBytes()); a = a.multiply(b); return a; } public static void main(String args[]) { if (args.length < 2) { System.out.println("java cipher text key"); System.exit(1); } byte[] c = cipher(args[0], args[1]).toByteArray(); System.out.print("{"); for (int i=0; i<c.length-1; i++) System.out.print(c[i] + ", " ); System.out.print(c[c.length-1] + "}" ); } }
que empezar a ejecutar la aplicacin. Este problema se repite muchas veces, cada vez que implementemos interfaces por ejemplo. Esto da una importante pista a nuestro curioso que le proporciona un hilo del que tirar para deshacer la madeja. Pero tambin nos podemos encontrar con el mismo problema a la inversa, pongamos el caso de que estamos desarrollando una librera de uso general, los usuarios de esta se sorprenderan mucho si las funciones se llamaran a, b, c, la ofuscacin no solo molestara al curioso tambin al resto de los usuarios. Otro problema es que no se pueden ofuscar los nombres de los mtodos de la API de Java, lo cual da ms pistas de lo que hace la funcin. Una posible forma de evitar esto es mapear todos los mtodos de la API en otra clase, cambiando as su nombre. Esta estrategia solo durar hasta que nuestro curioso encuentre la clase donde se mapean las llamadas a los mtodos. Una idea interesante para aplicar a este mtodo es usar un poco de ingenio y en lugar de sustituir los nombre por a, b, c hacerlo por nombre con sentido pero que no describan la funcin real. Por ejemplo podramos llamar a nuestras funciones odd , add , div, y si viramos solo el main nos haramos una idea equivocada de cmo funciona el programa. Esta idea solo durar hasta que se compruebe el cdigo de estos mtodos pero hemos podido hacer perder un buen montn de tiempo al curioso. Sin alejarnos mucho de esta lnea otro buen truco es usar como nombre de variables palabras reservadas de Java como while, if, do. El compilador no permite usar palabras reservadas como nombre de funciones, pero la mquina virtual no da problemas si se encuentra con una clase cuyas funciones se llaman como alguna palabra reservada. El truco es cambiar el nombre a nivel de cdigo mquina. Al descompilar se encontrar que no podr volver a compilar sin cambiar el nombre de todos los mtodos y sus respectivas llamadas, por desgracia actualmente
www.hakin9.org
59
Defensa
este mtodo funciona con pocos descompiladores ya que detectan que el nombre es una palabra reservada y lo cambian ProGuard da la opcin de indicarle un archivo de diccionario del que sacar las nuevos nombres para los mtodos que renombre. Para usar esta opcin hemos de aadir la siguiente lnea a math.pro.
-obfuscationdictionary nombre_de_diccionario
ProGuard, en el directorio \examples\ dictionaries, incluye varios ejemplos de diccionarios que son simples archivos de texto plano con las palabras a utilizar.
Cifrado de cadenas
El siguiente mtodo que vamos a ver es el cifrado de cadenas, la idea es cifrar las cadenas de texto contenidas en el cdigo fuente de la aplicacin. Pese a que muchos ofuscadores ya no incorporan este mtodo por considerarlo ineficaz, resulta til, si nos fijamos en el ejemplo de nada servir ofuscar el nombre de las clases si antes de llamarlas mostramos su nombre o describimos que hacen en un mensaje de texto. El ejemplo puede parecer exagerado, pero las cadenas de texto usadas en cada mtodo pueden dar muchas pistas sobre su funcin, sobre todo los mensajes de error. Este mtodo se considera ineficaz ya que al tener que incluir el c-
digo necesario para descifrar las cadenas nuestro curioso puede usarlo y descifrar por su cuenta nuestras cadenas, adems de que no es necesario entender los mensajes de texto para entender el programa. Usado junto con la ofuscacin de nombres puede dar buenos resultados. El mayor problema que tiene es la carga que supone descifrar las cadenas. Sin embargo, hay veces en que este mtodo puede compensar, por ejemplo cuando se usan cadenas de texto en forma de scripts o comandos, el ejemplo ms fcil de entender es con las sentencias SQL que se almacenan en forma de cadenas de texto. Puesto que mucho ofuscadores ya no implementan esta caracterstica vamos a crear nuestra propia clase de cifrado. El ejemplo usa un cifrado muy sencillo, pero que aporta una ventaja, el mtodo usado no parece a simple vista un cifrado y descifrado de cadenas. Realmente no es necesario romperse la cabeza con complejos mtodos de cifrado, nuestro curioso no va a atacar el algoritmo de cifrado, va a buscar como el mtodo de descifrado y lo va a usar directamente. El cdigo de nuestro mtodo de cifrado se pude ver en el Listado 6, la idea principal es que parezca una operacin con BigInteger en lugar de un cifrado de cadenas. Su funcionamiento es muy sencillo convierte el texto a cifrar y la clave en un array de bytes que usa para inicializar
Listado 8. Mtodo factorial(int numero) en lenguaje maquina

.method public factorial(I)I .limit stack 2 .limit locals 3 .line 6 iload_1 iconst_1 isub istore_2 LABEL0x4: iload_2 iconst_1 if_icmple LABEL0x13 .line iload_2 iload_1 imul istore_1 .line 6 iinc 2 -1 goto LABEL0x4 .line 8 LABEL0x13: iload_1 ireturn .end method
una variable de tipo BigInteger, para el texto y otra para la clave. Posteriormente opera con las dos variables, en este caso las multiplica pero se podra usar cualquier otra operacin o mezcla de operaciones siempre y cuando sean reversibles. El BigInteger obtenido se vuelve a convertir en un array de bytes, que ser el que se usar en lugar del texto original. Para entenderlo mejor vamos a cifrar la clsica cadena Hello World! , para ello usaremos nuestra clase Cipher.java, por lo que habr que compilarla.
javac Cipher.java
Listado 7. Ejemplo de hola mundo con cadenas de texto cifradas

import java.math.BigInteger; public class hello { public static BigInteger descipher(byte[] text, byte[] key) { BigInteger a = new BigInteger(text); BigInteger b = new BigInteger(key); a = a.divide(b); return a; } public static void main(String args[]) { byte[] c ={29, -123, -30, -71, 71, -40, 113, -21, 80, 43, 26, -92, 59, -102, 41, 86, 79}; String text = new String(descipher(c, "hello".getBytes()).toByteArray()); System.out.println(text); } }
Luego cifraremos la cadena de texto usando como contrasea la palabra hello como contrasea.
java Cipher "Hello World!" key > hello.txt
Con estos pasos habremos obtenido un archivo hello.txt con el siguiente contenido:
{29, -123, -30, -71, 71, -40, 113, -21, 80, 43, 26, -92, 59, -102, 41, 86, 79}
60
www.hakin9.org
Cdigo Java
Que no es otra cosa que la cadena cifrada, que se tendr que pasar junto con la clave al mtodo de descifrado para obtener el texto original. El descifrado funciona exactamente igual que el cifrado, difiere en las operaciones que se realizan ya que hay que deshacer el cifrado, en este caso basta con dividir. En el Listado 7 se puede ver un hola mundo con la cadena cifrada. Para simplificar el ejemplo y facilitar su comprensin se han cometido algunos errores que no se deben de cometer en un caso real. Para empezar el mtodo de descifrado no debe llamarse descipher ni nada parecido, la clave usada no debe de ponerse directamente en forma de cadena de texto y por ltimo se debe de intentar ocultar en todo lo posible que el valor devuelto por ese mtodo se convierte en una cadena de texto.
Ofuscacin de cdigo
La ofuscacin del cdigo consiste en enrevesar tanto el cdigo que resulte difcil de entender tanto por las personas como por los programas de desensamblado o descompilado. Se puede realizar por dos vas, ofuscando el cdigo de alto nivel y ofuscando el cdigo mquina. La primera va puede parecer la ms sencilla, pero convertir el cdigo fuente en algo inteligible requiere experiencia e imaginacin, bien aplicada puede ser realmente difcil de descifrar, aunque un curioso suficientemente motivado podra desentraar poco a poco el funcionamiento del cdigo. Este primer mtodo se la dejo al lector para que haga sus pruebas y desarrolle sus trucos, es fcil encontrar gran cantidad de ejemplos, sobretodo en leguaje C, de cdigo ofuscado. Nos vamos a ocupar de la segunda va, la de ofuscar a nivel de cdigo mquina. La idea es modificar el cdigo de tal forma que el descompilador sea incapaz de obtener cdigo de alto nivel a partir del de bajo nivel. Para ello vamos a jugar con el flujo del cdigo de tal manera que le sea imposible al descompilador reconstruirlo. Para ello tenemos que buscar instrucciones a nivel de cdigo m-
quina que no tengan equivalente en lenguaje de alto nivel. Si miramos el listado de instrucciones vemos que podemos usar la instruccin goto que realiza un salto incondicional a una etiqueta. Pero solo con eso no es suficiente, el desensamblador es capaz de organizar el cdigo para prescindir de la sentencia goto. Debemos evitar que el ensamblador sepa que camino va seguir el cdigo, para ello usaremos sentencias de salto condicional. Es muy importante que en los bloques de cdigo que incluyamos no alteremos la pila, hemos de dejarla tal y como estaba antes de ejecutar nuestro cdigo. Tampoco podemos sobrepasar el tamao de la pila, y no podemos saltar a ninguna parte del cdigo en el que pueda haber variables no inicializadas. Vamos a ver un ejemplo, como el mtodo factorial de math.java. Para ello como ya hemos visto desensamblamos usando Jasper, el cdigo del mtodo desensamblado est en el Listado 8 y en el Listado 9 el cdigo modificado. Si nos fijamos solo incluimos dos bloques de cdigo, uno al principio con una condicin que enva al principio del cdigo del mtodo o salta casi al final del mtodo, justo antes del segundo bloque, que hace lo mismo o manda al principio del cdigo o salta al final de la aplicacin. La condicin comprueba si los dos ltimos datos almacenados en la pila son iguales y si lo son salta. Se puede ver que la condicin se cumplir siempre ya que en las operaciones anteriores hemos almacenados dos ceros en las pilas. Por lo que en el primer bloque se saltar al inicio del cdigo original del mtodo y en el segundo al final del mtodo con lo que todo se ejecutara con normalidad, pero el descompilador no lo sabe y tendr que encontrar la manera de pasar ese cdigo a Java, sin embargo Java no permite los saltos dentro del cdigo y el descompilador no es lo suficientemente hbil como para encontrar otra solucin. Podemos ver que a pesar de los cambios el programa funciona correctamente
incluyendo las modificaciones en math.j y ensamblando el cdigo con Jasmin.

Java Jasmin math.j
As comprobaremos que la ejecucin se realiza sin ningn problema. Sin embargo al intentar descompilarlo nos llevamos una sorpresa, en el Listado 10 se puede ver el cdigo del mtodo factorial descompilado con JODE. Es inteligible y no compila, y eso que hemos usado un ejemplo bastante simple. Combinando varios bloques de estos a lo largo del cdigo de un mtodo, podemos hacer el cdigo indescifrable para el descompilador. El punto dbil de este sistema es que el curioso siempre podr desensamblar el cdigo e intentar arreglar Listado 9. Cambios introducidos en factorial (int numero) para ofuscar su cdigo
.method public factorial(I)I .limit stack 4 .limit locals 3 .line 6 iconst_0 iconst_0 if_icmpeq LABELo1 goto LABEL0x13 LABELo1: iload_1 iconst_1 isub istore_2 LABEL0x4: iload_2 iconst_1 if_icmple LABEL0x13 .line 7 iload_2 iload_1 imul istore_1 .line 6 iinc 2 -1 goto LABEL0x4 .line 8 LABEL0x13: iconst_0 iconst_1 if_icmpeq LABELo1 goto LABELfin LABELfin: iload_1 ireturn .end method
www.hakin9.org
61
Defensa
el cdigo para que el descompilador funcione.
Otras tcnicas
Para cerrar este artculo se van a comentar algunas tcnicas ms para complicar la vida a los diversos curiosos.
No incluir informacin de depuracin
Es una buena idea compilar el cdigo Java usando el parmetro g: none, as se evita que se incluya informacin de depurado en los bytecodes. Eso dificultara la pruebas para entender el funcionamiento de la aplicacin.
ventajas. La primera es que no es una solucin aplicable de manera genrica ya que en muchos entornos no se podr aplicar. Aparte de esto el principal problema que se presenta es la carga de trabajo que tendra que soportar nuestro equipo remoto. Tambin hay que tener en cuenta que mucha gente no se fiara de una aplicacin que enve sus datos a no se sabe donde. Otro factor a tener en cuenta es el retardo que introduce la transferencia de datos y su ejecucin en remoto.
log usando mensajes propios, o cifrados, que solo tengan sentido para quien se va a ocupar de mantener la aplicacin y no para el usuario.
Implementar bugs de los desensambladores
Incluir cdigo dependiente del sistema
Ejecutar el cdigo en remoto
La forma ms segura de evitar que desensamblen el cdigo es no drselo. Para ello lo que podemos hacer es ejecutar la parte del cdigo que queramos proteger en un equipo remoto que consideremos seguro. Esta solucin asegura que ningn ojo indiscreto pueda ver el cdigo. Pero presenta ms inconvenientes que Listado 10. Resultado obtenido de descompilar factorial (int numero)
public int factorial(int i) { IF (false == false) GOTO flow_8_0_ GOTO flow_30_1_ flow_8_0_: int i_0_ = i - 1; for (;;) { IF (i_0_ <= 1) GOTO flow_30_1_ i = i_0_ * i; i_0_--; } flow_30_1_: IF (false == true) GOTO flow_8_0_ GOTO flow_35_2_ flow_35_2_: GOTO flow_38_3_ flow_38_3_: int i_1_ = i; GOTO flow_39_4_ flow_39_4_: int i_1_; return i_1_; GOTO END_OF_METHOD }
Otra forma de complicar la vida a los curiosos es implementar parte de la aplicacin en forma de cdigo ejecutable tradicional, mucho ms difcil de analizar y entender y que permite tcnicas de proteccin ms eficaces. Con ello se pierde una caracterstica fundamental de Java su independencia de plataforma por lo que habr que generar cdigo ejecutable para todas las posible plataformas donde se pueda ejecutar la aplicacin.
Cifrar las clases
Cifrar las clases imposibilita que estas puedan ser directamente descompiladas, pero presenta los mismo problemas que se comentaba para el cifrado de cadenas, es reversible e introduce una demora la aplicacin. Sin embargo, har que muchos curiosos desistan.
En las pginas web de la mayora de los desemsambladores, se pueden encontrar una lista de bugs. Podemos usar esta informacin en su contra. Incluir en nuestras clases esos bugs, aunque sea en forma de cdigo basura puede dificultar e incluso imposibilitar el descompilar el programa. Por desgracia este mtodo tiene dos pegas. Tienen fecha de caducidad ya que solo es eficaz hasta que el bug se corrija y puede resultar bastante costoso implementar bugs de todos los descompiladores ms usados, ya no hablemos de implementar algn bug de todos los existentes. Hay que recordar un punto y es que todas las tcnicas usadas son reversibles. Sin embargo un uso inteligente y bien combinado de ellas puede crear serias dificultades a cualquier curioso que quiere ojear nuestro cdigo. Pese a los mtodos aqu explicados y las herramientas que actualmente existen, la mejor forma de ofuscar cdigo sigue siendo la imaginacin de cada uno.
Conclusin
Ocultar errores y logs
Muchos logs sirven, entre otras cosas, para saber que ha fallado en caso de que la aplicacin no funcione correctamente, lo malo es que se pueden usar para obtener informacin e incluso permiten trazar el funcionamiento de la aplicacin. Hay que evitar ante todo mostrar en pantalla o almacenar en el log las excepciones y aun menos usar el mtodo printStackTrace() que muestra una traza completa de ejecucin en el punto del programa que ha fallado. Sin embargo en muchos casos es necesario mantener estos logs. La mejor opcin es mantener el
En un lenguaje como Java resulta difcil proteger el cdigo de los curiosos, pero las tcnicas de ofuscacin pueden dificultarle tanto la labor que desista. No hay ninguna tcnica infalible y la mejor opcin es combinar varias de ellas. Pero ante todo la mejor tcnica es usar la imaginacin propia e intentar engaar al curioso. l
Sobre el Autor
Javier Alcubierre es diplomado en Ingeniera Informtica de Sistemas y licenciado en Ingeniera Informtica. Siempre se ha sentido atrado por la seguridad informtica y sus distintas vertientes.
62
www.hakin9.org
GlobalTrust
Enigma Lite Desktop Edition

Los documentos empresariales y los datos personales son un patrimonio importante que hay que proteger frente al robo, el malo uso y el acceso no autorizado por parte de los usuarios, tanto dentro como fuera de la organizacin. Adems, la mayora de la informacin personal y empresarial es transferida mediante mensajes de correo electrnico o redes geogrficas.
La suite Enigma Lite Desktop Edition ofrece una solucin modular y escalable para asegurar el almacenamiento y la transferencia de documentos; no slo satisface los requerimientos de usuarios individuales, protegiendo su ordenador de sobremesa o su porttil, sino que tambin satisface los de redes geogrficas o locales de grandes organizaciones. Enigma permite aplicar las polticas de seguridad ms estrictas y asegurar la proteccin y la privacidad de archivos, correos electrnicos, bases de datos y de todo el flujo de documentos. De acuerdo al Cdigo de Privacidad, los datos digitales sensibles (pe. datos judiciales, informacin relacionada con la salud) tienen que encriptarse o hacerse inaccesibles mediante el uso de soluciones tecnolgicas que estn actualmente disponibles en el mercado. El Cdigo tambin preve estrictas sanciones en el caso de que se incumpla la ley.
POR QU ENIGMA? (MERCADO ITALIANO)

En Italia hay una gran demanda de soluciones fciles de utilizar capaces de proteger los documentos en formato electrnico y los datos personales almacenados en ordenadores personales (especialmente porttiles) y archivos de organizacin de los siguientes dominios: Militar (e.g. Encriptacin de Documentos Clasificados), Financiero (e.g. No repudiation Digital Messaging), ISP (e.g. Transacciones on-line seguras y Almacenamiento), Integrador de Sistema (e.g. Solucin de Gestin de Documentos segura), Universidad y otras instituciones de educacin, Empresa, Vendedores (SW/HW), y otros.
Figura 1. Cupn
POR QU ENIGMA? (CAMBIOS LEGALES)

En Italia se han introducido leyes y reglamentos nuevos, como el decreto legislativo 196/2003, tambin conocido como El Cdigo de Privacidad, impuesto para proteger los datos personales frente a riesgos tales como la destruccin, perdida o el acceso no autorizado: sta es la razn por la que instituciones, grandes empresas, PYMES y profesionales tienen que cumplir las medidas mnimas de seguridad en lo referente al procesamiento de datos.
Figura 2. Pgina Web de Enigma
de fecha, destruccin segura, verificacin de autenticidad y validacin de certificados digitales.
Acerca de GlobalTrust GlobalTrust es una autoridad de certificacin y registro, reconocida a nivel mundial, capaz de emitir todo tipo de certificados y tecnologas de seguridad digital; usando las tcnicas de seguridad ms avanzadas, autenticacin, verificacin y cobertura mediante seguros. GlobalTrust es una autoridad independiente en la proteccin frente ataque provenientes de la Red. Gracias a su tecnologa, GlobalTrust permite asegurar las transacciones on-line a organizaciones de cualquier tamao, siempre teniendo en cuenta la relacin calidad/precio.
EST INTEGRADO CON SISTEMAS WINDOWS Y MICROSOFT OFFICE

Enigma Lite Desktop Edition es una solucin diseada para sistemas operativos Microsoft: los componentes de Seguridad de los Documentos del Escritorio estn completamente integrados con sistemas operativos Windows y los componentes de software del servidor se instalan en sistemas MS Windows Server.
Pero la oferta de productos y soluciones competitivas es inadecuada, ya que las existentes (BestCrypt, Signo y principalmente PGP) son poco conocidas o no estn muy extendidas.
FUNCIONALIDAD ENIGMA
Seguridad Interna y Privacidad mayores Enigma Lite Desktop Edition es la mejor solucin para gestionar datos personales de acuerdo a las leyes de privacidad (D.Lgs. n. 196/2003). Enigma Lite Desktop Edition le permite centralizar todas las operaciones que requieran la seguridad de documentos personales o empresariales: firmas digitales, criptografa, almacenamiento seguro, estampacin
EST INTEGRADO CON APLICACIONES PKI
Contacto:
Pgina del producto: http://www.globaltrust.it/ http://www.enigmatrust.org, Sitio Web: http://www.globaltrust.it/.
Enigma Lite Desktop Edition usa los mecanismos criptogrficos ms avanzados y es compatible con los estndares X.509 y SSL v.3.0, permitiendo el uso y la gestin de identidades y certificados digitales. Adems, Enigma es compatible con los estndares Common Access Card (CAC) y PKCS#11 (Cryptographic Token Interface Standard) para el uso SmartCards y llaves USB.
Publicidad
Protege gratis tu Windows

Para principiantes
ANELKAOS
Grado de dificultad
Analizamos seis antivirus gratuitos para los sistemas operativos de Microsoft. Existen soluciones gratuitas contra los virus y gusanos de Internet lo suficientemente potentes como para mantener al margen de nuestros ordenadores a la mayora de estos archivos maliciosos.
e conocen innumerables mtodos de ataque contra los sistemas de los usuarios domsticos como tambin existen innumerables medidas para mitigarlos que por lo general, no se utilizan. La automatizacin de estos mtodos culmina en los virus cuya finalidad suele ser obtener informacin privada, aprovechar la capacidad de almacenamiento o procesamiento ajenos, el ancho de banda, etc., por lo que es muy recomendable escanear cualquier tipo de soft descargado de la red, incluso proveniente de webs oficiales (por ejemplo, durante este ao el servidor de descargas de la compaa Genius fue troyanizado explotando la vulnerabilidad WMF de los visitantes que accedan para descargar drivers). Es evidente que nunca debemos dejar la ardua tarea de proteger un sistema solamente a un antivirus ya que lo ms probable es que se vea desbordado y se vulnere con bastante facilidad. Pero en ltima instancia, ser el encargado de analizar los comportamientos anmalos de un archivo, tanto en disco como en memoria, avisando al usuario de un posible ataque contra su sistema o su intimidad. Cuando en las noticias informticas se habla de redes de bots de decenas de miles
de ordenadores, se trata de PCs como el tuyo, con un simple archivo de unos cuantos Kilobytes de una fuente poco fiable que no ha pasado ningn tipo de control antes de ser ejecutado. La peligrosidad de la mayora de los virus se subestima. Sobretodo en sistemas Windows donde la importancia de mantener el sistema operativo actualizado es vital para no se infectados. De dnde provienen los nmeros de cuenta y de tarjetas de crdito que manejan los phisers? Es mas que evidente que de engaar

Existen antivirus gratuitos que no tienen mucho que envidiar a los comerciales, Un soft de proteccin desactualizado puede ser el medio para vulnerar tu sistema.

Un antivirus no es capaz de proteger todos los puntos vulnerables de un sistema, Un antivirus facilita la deteccin de algunos archivos maliciosos.
64
www.hakin9.org
Antivirus Gratuitos
a los usuarios mediante pginas fraudulentas pero existe otro gran porcentaje que salen de ordenadores infectados con keyloggers y diferentes tipos de troyanos. Por muchos medios de proteccin que utilice tu banco, no sirven de nada si se introducen desde ordenadores fcilmente vulnerables.
Las modas lo cambian todo, hasta los virus
Hemos pasado de virus bastante sencillos creados para propagarse en masa e infectar al mayor nmero de mquinas posibles o simplemente robar las contraseas del correo a autnticos monstruos de la programacin capaces de grabar el audio a travs del micrfono de la vctima o incluso mostrar en tiempo real lo que ocurre a travs de su webcam sin que esta se percate de su funcionamiento. Son tcnicas totalmente reprobables que incurren en delitos contra la intimidad y de revelacin de secretos pero que se dan con mayor asiduidad de la que parece. Lo mas preocupante es que cualquiera sin los mas mnimos conocimientos de programacin puede acceder y configurar a su gusto este tipo de herramientas de ataque. Presentamos una serie de antivirus gratuitos que pueden evitar en algunos casos este tipo de situaciones.
Se valorar positivamente una buena gestin de memoria del producto analizado y de que manera optimiza los ciclos del procesador para el anlisis de los archivos. No hay que olvidar que un PC simplemente es una herramienta y no podemos derrochar la mayor parte de los recursos en los servicios de herramientas de proteccin por lo que este parmetro ser importante. En esta comparativa se analizaran archivos maliciosos habitualmente utilizados por atacantes con dudosa intencionalidad que es realmente de quien debe proteger un antivirus. El anlisis se centrar en la deteccin de un grupo de troyanos, keyloggers, puertas traseras y rootkits mas o menos conocidos. A pesar de ello, los resultados os sorprendern diciendo bastante poco a favor de los antivirus. Hay que destacar que tener un antivirus correctamente instalado y actualizado no garantiza que no existan virus en dicho sistema ya que ningn antivirus es capaz de detectar el 100% de los virus.
rabilidad de otro programa, servicio web o sistema operativo. Existen varias categoras en funcin del tipo de vulnerabilidad que exploten. Los programamos para introducir y ejecutar una shellcode, escalar privilegios, obtener una consola de sistema remoto, etc.
SHELLCODE
Glosario de trminos para no iniciados en seguridad
Una shellcode es un conjunto de instrucciones, programadas generalmente en lenguaje ensamblador, que se suelen inyectar directamente en la pila mediante un exploit para conseguir que el sistema en el que se introduce, ejecute la serie de instrucciones programadas. El microprocesador solo entiende sistema binario (unos y ceros) que traduce desde la memoria. Cada instruccin lleva asignado un cdigo en sistema hexadecimal que lo hace mas legible que el binario directamente. Las mas pequeas tan solo ocupan 22 bytes y se utilizan principalmente para devolver una consola del sistema. En ocasiones los crackers introducen en ellas instrucciones no documentadas.
Parmetros de valoracin
Realizamos una comparativa un poco atpica ya que por lo general, se comparan aspectos que no garantizan que un antivirus sea mejor que otro como puede ser el diseo de su interfaz grfica, su usabilidad, portabilidad, etc. No es la finalidad de este artculo ya que damos por hecho que nuestros lectores son perfectamente capaces de utilizar todas las opciones que ofrece cada uno de los productos descritos. Nos centraremos en la seguridad que estos ofrecen. Las caractersticas que hacen a un antivirus superior a otro bsicamente son que detecte un mayor nmero de amenazas y sea ligero y transparente para el usuario.
Termino informtico referente a una cada del sistema. Se produce al realizar operaciones invlidas, bucles infinitos o saturar la memoria del PC (normalmente la RAM aunque tambin es posible la memoria de las tarjetas grficas o de sonido) hasta que salta una excepcin del sistema operativo que generalmente termina con un reinicio del PC o cuelgue.
BUFFER OVERFLOW
Vulnerabilidad que se produce cuando en el valor de una variable se escribe un valor demasiado grande sobrescribiendo las direcciones de memoria siguientes. La finalidad de este ataque es efectuar un salto a cdigo arbitrario.
HEAP OVERFLOW
VULNERABILIDAD
Fallo de diseo o implementacin que compromete la seguridad de un programa o del sistema en el que se encuentra instalado. Las vulnerabilidades se catalogan segn su gravedad. No se debe instalar nunca un programa con vulnerabilidades crticas conocidas sin que exista un parche que lo corrija.
Vulnerabilidad que se produce cuando en el valor de una variable se escribe un valor demasiado grande sobrescribiendo el valor de otra dentro la memoria reservada para un programa o rea de memoria dinmica.
ROOTKIT
EXPLOIT
Cdigo, programa o tcnica utilizada para explotar cualquier tipo de vulne-
Conjunto de herramientas que tras ser instaladas garantizan el acceso remoto posterior a un atacante ocultado a los usuarios legtimos sus actividades. Permiten el control total del sistema atacado. Los antivirus no suelen ser capaces de detectarlos.
www.hakin9.org
65
Para principiantes
KEYLOGGER
Programa generalmente malicioso que captura las teclas pulsadas almacenndolas en un archivo o envindolas directamente por red. Esta funcin es habitualmente implementada en gran parte de virus.
TROYANO
Programa malicioso con modelo cliente-servidor que sirve para acceder a los ordenadores que tengan el servidor en ejecucin. Posibilitan el robo de archivos, contraseas, imgenes a travs de webcam, sonido a travs del micrfono, y el control del resto de perifricos.
GUI
Acrnimo de Graphic User Interface o Interfaz Grfica de Usuario . Es la forma interactiva de presentar informacin ante el usuario que tiene un programa o sistema operativo. La usabilidad de un GUI es la medida de lo fcil rpido y agradable que es utilizarlo.
UPX
Acrnimo de the Ultimate Packer for eXecutables es un empaquetador de ejecutables con licencia GNU, portable y de alto rendimiento. Generalmente tiene un ratio de compresin mejor que WinZip. UPX soporta diferentes formatos de ejecutables, incluyendo programas de Windows y DLLs
ClamWin
Probamos el antivirus gratuito ms conocido en Internet en su versin 0.88.4 totalmente funcional sobre arquitecturas de 64 bits. Una de las grandes virtudes de este desarrollo GNU es la oportunidad de descargar su cdigo fuente con el fin de revisarlo, personalizarlo o mejorarlo. Cualquier programador de C++ o Python puede aportar ideas, sugerencias y mejoras en la web oficial del producto sin fines de lucro. Su instalador tan solo ocupa 5,46 Mbytes. Al iniciar la instalacin, podemos elegir entre la tpica, personalizada o completa: con un tamao en disco
de entre 21,7 Mbytes y 22,4 Mbytes. Tambin es posible personalizar los mdulos que se desean cargar, mientras que la instalacin completa incluye la descarga de los archivos de ayuda, que de momento slo estn disponibles en tres idiomas, ingls, ruso y francs en formato chm. ClamWin utiliza el motor de anlisis ClamAV y, siempre que tengamos conexin, nos notificar de si existen nuevas versiones del antivirus, as como de actualizaciones diarias. Se puede configurar las actualizaciones a travs de un proxy. Respecto a su rendimiento, detecta gran parte de spyware y se integra en los mens de Explorer y Outlook, por lo que es posible un anlisis rpido de un archivo sin ms que pulsar el botn derecho. Asimismo, brinda la posibilidad de programar anlisis a determinados directorios desde el men Tools/ Preferences/Scheduled Scans/Add especificando la frecuencia de estos. Tpicamente, se deberan examinar las carpetas que almacenan los archivos temporales del sistema operativo, los temporales del navegador, las cookies y las carpetas de descargas. Una opcin interesante es la notificacin por correo electrnico de las infecciones, es decir, podemos dejar nuestro PC conectado y ser advertidos va mail al instante de ser detectado un fichero malicioso (requiere servidor SMTP). Por otro lado, ClamWin permite incluir o excluir ciertas extensiones del anlisis, pero recomiendo no excluir ningn tipo de archivo, ya que se pueden cambiar las cualidades de prcticamente cualquier tipo. Por ejemplo, es posible construir un MP3 que realmente contenga un vdeo o un cdigo malicioso para ser interpretado por nuestro reproductor y que ste lo ejecute, o bien hacer uso de Alternate Data Stream en NTFS ocultando al usuario medio cierta informacin, etc. El proceso residente del antivirus se llama ClamTray.exe y es bastante ligero, funciona con tan slo un par de megas de RAM pero la proteccin a tiempo real es bastante deficiente.
Por el contrario dispone de un motor de bsqueda en el anlisis bajo demanda superior en algunos casos a ciertos antivirus comerciales. Como curiosidad, la Interfaz grfica de usuario contiene un fallo mediante el cual es posible realizar un crash del sistema debido a que no existe un lmite establecido en el nmero de llamadas al GUI. Viene a ocupar una cantidad importante de memoria, del orden de entre los 7 y los 25 Mbytes. En la ltima versin analizada se corrige una vulnerabilidad crtica de ejecucin de cdigo arbitrario en libclamav/upx.c en la funcin memcpy() explotando un heap overflow . Se poda aprovechar mediante archivos ejecutables comprimidos con UPX dejando completamente vulnerable el equipo o programando el exploit para abusar de esta vulnerabilidad.
FICHA
Valoracin 4,2 Calidad/Precio 4,2
Contacto
Clam Antivirus http://www.clamwin.com
Lo mejor
Manual disponible en formatos chm, pdf, existen foros de ayuda en ingls y permite su ejecucin desde un CD o unidad USB.
Lo peor
No incluye enciclopedia de virus, mala proteccin a tiempo real.
AVG Free Edition
La versin 7.1.405 del antivirus gratuito de la compaa Grisoft est disponible desde el 11 de Agosto y tiene un instalador de 16,9 Mbytes ofreciendo al usuario dos tipos de instalacin, la personalizada y la estndar. Personalizando la instalacin ofrece la posibilidad de cargar diversos plugins de anlisis de clientes de correo ya sea The Bat! , Outlook, Eudora o cualquier otro cliente de correo. El manual oficial se encuentra
66
www.hakin9.org
Antivirus Gratuitos
en http://free.grisoft.cz.softw/70free/ doc/avg _fre_ref_en_71_5.pdf. Tras su instalacin, aparece la gua de primera ejecucin la cual ayuda al usuario a actualizar el antivirus, crear un disco de recuperacin, escanear el PC y finalmente registrarse si se desea. En primer lugar se debe proceder a la actualizacin ya sea desde Internet o desde una carpeta accesible desde el PC. En la actualizacin desde Internet se muestra un formulario que mantiene informado en todo momento al usuario con el trfico descargado. Respecto al disco de rescate es preferible realizarlo desde el propio sistema operativo para evitar conflictos entre sistemas de archivos y permisos NTFS por lo que continuo con el siguiente paso. En tercer lugar ofrece la posibilidad de escanear todo el PC en busca de virus, comenzando por la tabla de particiones, sector de arranque, registro del sistema operativo, claves de registro con procesos y servicios en ejecucin, libreras de linkado dinmico, archivos de sistema y el resto de archivos por este orden de prioridad. Finalmente AVG Free ofrece la posibilidad de registrarse para conseguir acceso a los foros de discusin y soporte tcnico del antivirus, recibir informacin de la familia de productos de Grisoft. En la versin Professional est disponible en castellano al igual que muchas otras opciones deshabilitadas en la versin Free tales como el anlisis de avanzado, reporte de archivos protegidos por contrasea, ajuste de la prioridad del proceso de exploracin, etc. El Control Center de AVG posee un entorno grfico bastante vistoso y sencillo con siete paneles de configuracin donde podremos configurar las propiedades de cada uno. El Test Control dispone de tres opciones principales, escanear todo el PC, escanear ciertas carpetas o unidades extrables como disquetera, pendrive, unidades de CD o DVD, y comprobar si existen nuevas versiones. Dispone de un men que presta acceso a centro de control que sirve para configurar las opcio-
nes de los anlisis. Dentro de la proteccin a tiempo real ofrece una opcin muy interesante y que dota de gran eficiencia a este antivirus, se trata del On-close scanning o escaneo de una aplicacin que se cierra, es recomendable marcar este checkbox, de otra forma, solo se escanean las aplicaciones al ser abiertas. Virus Vault, o jaula de virus ser el lugar del disco duro donde se muestren los archivos infectados. Por defecto se reserva el 20% de la capacidad de la particin en el que se instala. En el botn Test Result del Test Center podemos ver los registros de todos los anlisis realizados accediendo a una enciclopedia de virus online sin mas que utilizar el evento doble clic sobre el archivo infectado detectado. Sus mtodos de proteccin son varios que paso a detallar. AVG Free realiza un anlisis heurstico, es decir, aplica un algoritmo de bsqueda optimizado reduciendo al mnimo el tiempo de ejecucin, consumiendo por tanto el menor nmero de ciclos de reloj del microprocesador. La eficiencia de estos mtodos de anlisis se utiliza en la mayora de los antivirus de pago, se consiguen optimizando las funciones matemticas de bsqueda y sirven para que no se abuse del microprocesador en el escudo residente. La deteccin genrica se reduce a comparar los archivos con la base de firmas del antivirus. Este antivirus utiliza 5 procesos independientes pero ninguno de ellos suele superar los 8 Mbytes en memoria a no ser en tiempo de anlisis con una carga considerable. El proceso avgb.dat se corresponde con el Test Center. avgw.exe y avgcc.exe se ejecutan con los privilegios del usuario de la sesin mientras que el resto (avgamsrv.exe, avgem.exe y avgupsvc.exe) lo hacen con privilegios de sistema ya que son los tres servicios (Alert Manager Server, E-mail Scanner y Update Service) que instala este antivirus. Es posible reducir la carga del Con-
trol Center en memoria gracias a la vista en modo reducido que se puede seleccionar en el men View o pulsando F3. Adems dispone tambin de la solucin anti-spyware ewido. Si se instala en un sistema junto con Norton Internet Security no se debe instalar el plugin para Microsoft Office para evitar conflictos entre ambos programas.
FICHA
Contacto
Grisoft http://free.grisoft.com 902 36 46 95
Lo mejor
Existen mltiples hot keys para un rpido acceso a cada opcin de los diferentes mens. Muy configurable. Manual muy completo.
Lo peor
La seleccin del lenguaje est bloqueada a ingls en la versin Free.
BitDefender 8 Free Edition
SoftWin es una empresa de soft que se dedica a la deteccin de archivos maliciosos con sus diferentes productos BitDefender. Su antivirus utiliza el mismo motor de bsqueda que otras versiones comerciales de BitDefender certificado por ICSA. Se desarrolla en Barcelona con el apoyo de los laboratorios principales en Estados Unidos y Rumania. Como siempre, dispone de la instalacin tpica, completa y personalizada. El espacio requerido en disco alcanza un mximo de 37MBytes y un mnimo de 12 Mbytes. Tras la instalacin realiza un anlisis volcando el contenido de los resultados muy detallados a un fichero en texto plano visible pulsando el botn Show reports o tambin podemos visualizar y gestionar todos los registros de anlisis en la pestaa Reports.
www.hakin9.org
67
Para principiantes
Este antivirus suele salir bastante bien parado en las comparativas por su alto ndice de deteccin de archivos maliciosos pero la realidad es bien distinta. No posee proteccin residente por lo que es relativamente sencillo burlarlo sin que el usuario se percate. No recomiendo en absoluto un antivirus sin este tipo de proteccin a pesar de tener un excelente ratio de localizacin de virus debido a su excelente motor de bsqueda. Tambin es necesario modificar los permisos de usuario debido una poltica bastante restrictiva de permisos, esto es una virtud aunque no lo parezca. Prcticamente todas las alertas pueden configurarse para que BitDefender responda a la aparicin de cualquier tipo de archivo malicioso que detecte. bdmcon.exe consume unos 9 MB y junto con bdss.exe que con sume aproximadamente 26 MB de memoria forman el grueso del antivirus. xcommsvr.exe es el proceso que utilizan varios componentes del antivirus para comunicarse, es mas ligero, suele utilizar 3 MB cuando mantiene los buffer de transmisin vacos. Existen otros dos procesos mas en ejecucin con un consumo de memoria de menos de 1 MB, son bdnagent.exe y bdswitch.exe. Otro aspecto a destacar es el Self-repairing la recuperacin del antivirus ante ataques contra la integridad de sus archivos sin necesidad de descargarlos de nuevo. Si tenemos conexin el antivirus intentar contactar con los servidores de BitDefender para determinar si hay disponible alguna nueva versin del antivirus o de las firmas este nos avisa. Adems dispone de un modulo capaz de reparar, modificar o desinstalar los propios archivos del antivirus. Esta herramienta es de gran ayuda si se da el caso de que nuestro antivirus sea atacado directamente por un cracker.
Contacto
SoftWin www.bitdefender.com support@bitdefender.com 93 217 91 28
Lo mejor
Actualizaciones frecuentes, motor rpido.
Lo peor
No dispone de proteccin residente.
Avast! 4 Home Edition
Analizamos la versin 4.7.844 de Automated Vulnerability Analysis Support Tool (AVAST ), el antivirus gratuito, de uso privado y no comercial de Alwil Software. Tiene un periodo de 60 das para registrar va web el producto poder utilizarlo durante 14 meses con cada registro. Puedes registrarte de forma gratuita cuantas veces quieras. Tras la instalacin se pregunta al usuario si desea programar una bsqueda de virus al inicio del sistema. Si respondemos afirmativamente al reiniciar el PC se ejecuta una bsqueda de archivos maliciosos antes incluso de cargar ciertos servicios de Windows. El anlisis es algo lento pero muy exhaustivo. El programa de instalacin instalar los mdulos de proteccin para los siguientes componentes: Mensajera instantnea, Proteccin P2P, Correo de internet, Outlook/Exchange, Escudo de Red, Proteccin Web, Proteccin Estndar, Extensin del idioma espaol, Ayuda en espaol.
FICHA
Inicialmente configuraremos el escner por acceso de Avast! (icono con a del rea de notificacin de la barra de tareas). Aumentaremos la sensibilidad del escner moviendo la barra de desplazamiento hasta Alto. Pulsando en el botn Detalles pasamos a visualizar todos los mdulos residentes instalados configu-
rndolos por separado ofreciendo la posibilidad de pausar, detener e iniciar los mdulos por separado. Con cada cambio el antivirus pregunta si se desea mantener ese cambio en el estado del mdulo de forma permanente o solo en la sesin actual. Cada uno de los mdulos dispone de un contador de escaneos, infecciones y tiempo que lleva operativo, este ltimo contador es muy til para saber si en algn momento se ha detenido alguno de los mdulos por un atacante. Una vez configurado de esta forma y con las opciones personalizadas que cada usuario estime oportunas a su sistema podemos actualizar las firmas de virus (Vps). Accediendo al Interfaz de Usuario Simple de Avast! desde el men de programas podemos configurar el tipo de escaneo bajo demanda en tres niveles (rpido, estndar y minucioso). Recomiendo marcar el checkbox de archivos comprimidos para evitar que se oculten virus en archivos de este tipo. Tras arrancar el antivirus desde el sistema operativo realiza un anlisis de memoria e inicio analizando todo cuanto est en la memoria RAM. Incluso analiza el archivo pagefile.sys . Al detectar cualquier tipo de archivo malicioso ofrece la posibilidad de mover al Bal para que no sea posible su ejecucin pero por otra parte, la versin analizada, permite copiarlo al mismo directorio del antivirus lo que podra suponer un riesgo para el usuario. La BDRV (Virus Recovery Database) es un generador de una base de datos de integridad para la recuperacin de archivos implementado por Avast! para verificar si se ha corrompido alguno de los archivos del sistema. Esta comprobacin se realiza cada 3 semanas o cada vez que se activa el protector de pantalla y si un virus modificase alguno de los archivos de sistema seria detectado y reparado, en principio. Es muy recomendable utilizar la BDRV en el caso de usar Thunderbird ya que bajo ciertas circunstancias, avast! es capaz de corromper toda la bandeja de entrada.
68
www.hakin9.org
Antivirus Gratuitos
Tambin dispone de proteccin a nivel del ncleo del sistema operativo para detectar mdulos maliciosos que hagan llamadas al kernel. An as no ha sido capaz de detectar el keylogger utilizado en esta comparativa. Los procesos que utiliza este antivirus requieren un uso de memoria muy bajo, debido al procesamiento modular tan ramificado que utiliza el avast! . ashSimp.exe es el interfaz que junto con AshDisp.exe forman los procesos que ejecuta el usuario; mientras que ashServ.exe necesitar casi 11 MB para su correcto funcionamiento, un poco excesivo, requiriendo privilegios de sistema junto con ashWebSv.exe y aswUpdSv para las tareas que realizan (actualizacin, servicios de acceso al kernel, etc). Con cada deteccin de archivos maliciosos Avast! dispone de una enciclopedia de virus para conocer mas detalladamente la amenaza detectada que junto con su completo manual de obligada lectura para una configuracin correcta forma la documentacin de este antivirus. La versin Professional configurada para una proteccin mxima da problemas con la opcin del proxy transparente de Avast! si se utiliza el cortafuegos Zone Alarm. El dia 8 de septiembre se publica una vulnerabilidad crtica en el motor de las versiones anteriores a la 4.7.869 para estaciones de trabajo y 4.7.660 en la versin para servidores segn la cual, al procesar archivos con compresin LHA y nombres de archivos y directorios extendidos, se puede provocar un desbordamiento en el buffer del motor permitiendo as la ejecucin arbitraria de cdigo. Como curiosidad existe una web dedicada a la creacin de skins para el antivirus con numerosas muestras. http://www.avast.com /eng /skins. html.
Contacto
Alwil Software http://www.avast.com support@asw.cz +420 274 005 666
Lo mejor
Sencillez y buena tasa de deteccin. Ayuda en castellano.
Lo peor
Consumo excesivo de recursos en las actualizaciones y buffer overflow en el motor del antivirus.
Avira AntiVir Personal Edition Classic
Avira, los compradores germanos del archiconocido CIA Commander, ofrecen la versin 7 (6.35 en realidad) de su antivirus gratuito. Este producto dispone de dos tipos de instalacin, una completa y otra personalizada donde permite seleccionar tres mdulos: AntiVir Personal Edition Classic Mdulos de instalacin del antivirus, AntiVir Guard Modulo de proteccin residente, Shell Extension Integracin en el men de Windows Explorer.
FICHA
Una vez instalado se actualiza automticamente desde Internet. Abriendo el centro de control del antivirus observamos un sencillo interfaz de pestaas. Dirigindonos al men Extras seleccionando Configuration o pulsando [ F8 ] desde el Control Center del antivirus accedemos a la configuracin del escner. Marcando el checkbox con la etiqueta Expert mode se habilitan los niveles de prioridad del escaneo de gran utilidad si se requiere el procesador para ejecutar otras tareas simultaneas. Marcaremos el radio button para el anlisis de todos los tipos de archivos por mayor seguridad. Navegando hasta Guard dentro del rbol repetiremos la misma operacin para que analice todos los tipos de archivo en la proteccin a tiempo real. Marcando General en el rbol
ahora seleccionaremos los tipos de programas que desearemos analizar segn su categora. Si el usuario desconoce alguna de las opciones del antivirus existe una pequea descripcin de cada una en la parte inferior de la ventana que aparece tras utilizar el evento click sobre la zona de la opcin desconocida. Tambin se puede acceder a la ayuda (en ingls) del antivirus pulsando [ F1] en cualquier momento. Volviendo a la ventana principal, marcando en la pestaa Guard podemos comprobar si se ha accedido a algn archivo malicioso ya que este antivirus analiza por defecto cada archivo en el que se lee o escribe. Tambin dispone de un modulo capaz de reparar, modificar o desinstalar su antivirus. Esta herramienta es de gran ayuda si un atacante malintencionado vulnera el antivirus como veremos en la parte final del anlisis al antivirus de Avira. Otra de las pestaas interesantes es Quarentin donde podemos ver los virus enviados a la zona de cuarentena con la posibilidad de enviar archivos sospechosos a Avira para un anlisis mas especializado. Tambin permite aislar los archivos de ejecucin para analizarlos con futuras actualizaciones y restaurarlos si finalmente no se consideran maliciosos o eliminarlo. La ligereza de este antivirus es una caracterstica a destacar ya que solo necesita un proceso en ejecucin continua llamado avgnt.exe que necesita poco mas de 5 MB para funcionar. Si accedemos al Control Center entra en ejecucin avcenter.exe que requiere aproximadamente 8 MB. En el anlisis bajo demanda aparece la ventana del Luke Filewalker que desvela al usuario informacin extra sobre el escaneo. Permite guardar un registro de anlisis muy detallado en archivos de texto plano y acceder a una enciclopedia on-line de virus. El principal problema es que a fecha de la realizacin de esta comparativa existe una vulnerabilidad en el proceso update.exe que permite escribir valores arbitrarios en memoria, lo que posibilita la ejecucin
www.hakin9.org
69
Para principiantes
de cualquier cdigo con privilegios de SYSTEM. Esto se conoce como una escalada de privilegios local y es utilizada por los crackers para hacerse con el control total de un sistema una vez que consiguen ejecutar comandos en remoto con privilegios restringidos. La vulnerabilidad se encuentra en la barra de control de progreso de update.exe que permite aceptar mensajes PBM_GETRANGE y PBM_SETRANGE de usuarios independientemente de sus privilegios y no verifica el parmetro IParam. Es conveniente habilitar la proteccin de memoria DEP de Windows y seguir una estricta poltica de usuarios ya que de momento el fabricante no ha corregido esta vulnerabilidad.
FICHA
Contacto
Avira Web oficial: http://www.free-av. com En castellano: http://original. avira.com +49 754 500 400
Lo mejor Lo peor
Muy ligero para el sistema.
Vulnerabilidad de escalada de privilegios local sin corregir a fecha de esta comparativa.
eTrust EZ Antivirus
De forma gratuita, tras registrarse en http://www.my-etrust.com/microsoft/ Computer Associates ofrece durante un ao el antivirus con las certificaciones de ICSA, West Coast Labs y Virus Bulletin. En el momento de realizar esta comparativa solo estaba disponible la versin 7.1 en castellano por lo que las pruebas se realizaron con la versin 7.2 en ingles. El proceso de instalacin es trivial por su sencillez. El acceso al Internet Security Center requiere del proceso caiss.
exe que utiliza 4,6 MB. Incluye versiones anteriores de EZ Armor, y EZ Antivirus y la posibilidad de instalar el resto de mdulos que conforman la suite de seguridad compuesta por el antivirus versin 7.2.0.0 con licencia vlida durante un ao, cortafuegos, anti-spam y el anti-espas Pest-Patrol (estos tres ltimos disponibles en la web de eTrust en su versin de prueba de 30 das). El interfaz del antivirus se carga mediante el proceso CAV.exe que requiere aproximadamente 12 MB de memoria en funcin de la tarea a realizar. Es sencillo pero directo, cuatro botones muestran las principales tareas, escanear el PC, programar un escaneo, seleccionar archivos y carpetas a escanear o configuracin. En las pestaas estn dispuestas otras funciones como actualizar, herramientas y la ayuda con solucionador de problemas y enciclopedia de virus. En la pestaa Update encontramos los botones de actualizar el antivirus, programador de actualizaciones y configuracin del proxy si no queremos conectar directamente a Internet. Dentro de la pestaa Tools podemos ver los objetos aislados dentro de la zona de cuarentena, los registros del escner y de actualizacin completamente detallados. Si se diera el caso de una infeccin es recomendable pulsar el botn System Report para crear un informe de la situacin del ordenador envindolo al soporte tcnico para un anlisis exhaustivo. Este antivirus destaca por el eficiente uso de memoria que hace con dos motores de bsqueda simultneos. Con su instalacin, cuatro procesos se cargan en memoria: CAVRid.exe: 2,8 MB, CAVTray.exe: 4 MB, Caissdt.exe: 5,35 MB, VetMsg.exe: 3,7 MB.
antivirus gratuito en servidores de correo. Se integra perfectamente con Microsoft Exchange y permite su actualizacin a travs de proxy con autenticacin. Los usuarios que hayan probado el scanner online de la compaa Computer Associates deberan saber que recientemente se han descubierto dos vulnerabilidades crticas en su servicio WebScan ; una permite la ejecucin remota de cdigo mediante la explotacin de un buffer overflow mientras que la otra es debida a que no se validan correctamente ciertos parmetros lo que permite comprometer la integridad del control ActiveX del antivirus online. Es recomendable desinstalar todos los archivos generados por esta herramienta en el PC del usuario y mas tarde seguir las instrucciones de la web oficial del fabricante.
FICHA
Valoracin 7 Calidad/Precio 7
Contacto
Computer Associates www.ca.com/es/ 91 768 70 00
Lo mejor
Interfaz sencillo e intuitivo con manual disponible tras su instalacin en formato chm. Uso eficiente de memoria.
Lo peor
Baja tasa de deteccin en tiempo real. Tiempo excesivo en anlisis completos.
Opinin sobre antivirus gratuitos
Esta certificado para funcionar con Windows Server 2003 Standard, Enterprise y Data Center Editions por lo que es una buena apuesta como
La verdadera amenaza y la realidad sobre los antivirus Son el Yin y el Yang de la informtica, los chicos malos siempre juegan con ventaja mientras que las empresas de antivirus van siguiendo las pautas que marcan los virus. Esta carrera, liderada desde su comienzo por los creadores de
70
www.hakin9.org
Antivirus Gratuitos
virus, es una continua persecucin en la que por lo general, aparece un virus innovador, se detecta y sus programadores lo consiguen hacer indetectable de nuevo. Realmente es sencillo manipular un virus conocido y hacerlo indetectable a cualquiera de estos antivirus analizando su firma o mediante mtodos de ofuscacin por lo que tener un PC con antivirus no implica que no pueda contener ningn tipo de virus. El suculento mercado de los antivirus no es tal como se intenta vender. Incluso un antivirus desactualizado podra facilitar a un atacante malintencionado la manera de vulnerar un sistema tomando el control completo de este. Los antivirus comerciales, en su gran mayora, tampoco ofrecen grandes ventajas a parte de una buena atencin al cliente. Las ltimas versiones de los ms aclamados como son Kaspersky y Nod-32, recientemente eran pasto de los hackers quienes explotando desbordamientos o realizando escaladas de privilegios en estos programas eran capaces de hacerse con el control de los ordenadores en los cuales estaban instalados. Cualquier archivo es susceptible de ser malicioso, por ello, aconsejo el servicio de anlisis de ficheros de Virustotal que ofrece de forma gratuita Hispasec Sistemas en la web http://www.virustotal.com donde se analizar cualquier archivo con multitud de motores antivirus. Tambin existen herramientas similares para anlisis con mltiples antivirus como KIMS 1.2, desarrollado por Thor, cuya ltima versin pblica puede descargarse de http:// remotecontrolstudio.net. La ventaja de este programa es que siguien-
do algunos pasos descritos en el manual, se puede integrar prcticamente cualquier herramienta de deteccin. Una recomendacin para mejorar el rendimiento de los antivirus muy a tener en cuenta por los usuarios domsticos que utilizan usualmente los P2P es mantener lo que se llama higiene de disco. Bsicamente esto se reduce a defragmentar y buscar clusters defectuosos habitualmente. De otra forma, se puede pasar un tiempo excesivo (de varias horas con el tamao de los discos duros actuales) realizando un escaneo en busca de archivos potencialmente peligrosos. Volviendo a la comparativa, una alternativa muy provechosa es ClamWin ya que podemos instalarlo comodamente en un pendrive y analizar cuantos PCs necesitemos sin perder tiempo en instalarlo en cada uno de ellos pero no detecta archivos maliciosos con compresin 7z. Destacamos el motor el potente motor del antivirus BitDefender que unido a un buen ratio de deteccin hacen de esta herramienta gratuita una de las mas interesantes actualmente. Es una verdadera pena que no disponga de proteccin en tiempo real ni anlisis del correo electrnico pero si estn disponibles en su versin de pago. La solucin gratuita de Alwil Software tambin ha dado excelentes resultado en comparacin con el resto ya que ha sido capaz de hallar algunos troyanos modificados para hacerlos indetectables. Har las delicias de los lectores que dan mucha importancia a la esttica con sus numerosos skins en la web detallada en su anlisis. Tambin dispone de protecciones para mensajera instantnea y P2P.
Sobre el Autor...
ANELKAOS estudia Ingeniera Industrial en Espaa, lleva 13 aos coleccionando virus siendo creador de un buen nmero de ellos y mtodos de intrusin que no son pblicos. Es un apasionado de los rootkits y la inseguridad informtica. Colabora principalmente en elhacker.net y en el live CD Wifislax. Se puede contactar con l a travs de http://foro.elhacker.net.
Recordad que un antivirus no sirve prcticamente para nada en un sistema mal configurado por lo que en prximas entregas de esta revista os ensearemos a defender Windows con una configuracin avanzada consiguiendo un grado de seguridad muy alto. Lo mejor : Estos productos son una alternativa econmica a algunos antivirus mas caros y no por ello mucho mejores. Son bastante rpidos en detectar las amenazas mas habituales como pueden ser troyanos conocidos, virus que explotan vulnerabilidades en los sistemas operativos parcheadas hace tiempo, etc. Si en algn momento vuestros PCs funcionan mas lentos de lo habitual, realizan operaciones extraas cuando no se trabaja con ellos, no permiten abrir o cerrar algunos documentos la instalacin y el anlisis con uno de estos productos es vital para determinar si la causa posible de ese comportamiento es debida a un virus. BitDefender y avast! destacan por el servicio de proteccin de integridad de archivos de que disponen. Lo peor : No os dejis engaar por la falsa sensacin de seguridad que intentan vender algunas compaas de antivirus. Cuando un fabricante dice que su producto detecta el 100% de los virus se refiere a los virus conocidos y de ciertas bases de datos en las que por supuesto, no estn incluidos los virus recin creados. En la tabla de caractersticas podis ver que los antivirus analizados configurados en grado mximo de proteccin no han conseguido detectar mi rootkit KAOS, diversas shells inversas o el Kernel Keylogger. Ningn producto es capaz de detectar todos los virus existentes por lo que un antivirus es una medida de seguridad muy relativa. Adems es posible que instalando versiones antiguas de estos productos vuestros PCs sean atacados explotando las vulnerabilidades descritas en los anlisis individuales de cada antivirus como por ejemplo Avira AntiVir para el que no es muy complicado realizar el exploit. l
www.hakin9.org
71
Test de consumidores Los programas Antivirus

DPI Diseo de Programacin e Integracin. Desarrollamos software personalizado de gestin de oficinas, diseamos pginas web optimizadas para buscadores y realizamos consultoras de software y hardware con soluciones de ahorro de costes mediante software libre. Usamos las ventajas de las nuevas tecnologas en beneficio de los negocios, aumentando la productividad de su empresa gracias a la informtica.
El nombre del Antivirus y la empresa productora?
Linux: Cortamos el problema de raz y no usamos Windows, que es la fuente del 99,999 de los virus. Adems trabajamos con usuarios sin privilegios sobre la mquina y otras medidas bsicas del sentido comn que dificultan la propagacin y la permanencia aun en el caso de producirse un problema de estos. Antivir XP: Si tenemos que hacer pruebas con Windows usamos Antivir XP de Avira.
Cules son los puntos ms fuertes del Antivirus?
Linux: Al no tener, el ordenador nos va mas deprisa, y es una tarea menos en memoria haciendo cosas descontroladas. Antivir XP: Como el antivirus es ligero y molesta poco, haciendo su trabajo en silencio.
Y los dbiles? Hay algo que se debera cambiar o mejorar?
El precio y si est adecuado a los servicios ofrecidos por el producto?
Linux: No se puede mejorar. Antivir XP: Quitara ese popup de publicidad. Que se pudiera desactivar mas caractersticas que realmente no necesitamos siempre en todos los equipos.
Linux: 0 , si. Es adecuado. Antivir XP: 0 , funciona bien. ltimamente abre un popup al da, lo que es muy molesto.
Recomendara este producto a otras personas? A quin especialmente?
Cul fue el motivo de elegir esta marca y si cree Usted que su eleccin ha sido buena?
Linux: Si, no hemos tenido ningn problema. Antivir XP: Freeware, serio. ltimamente no tan serio con el detalle este del popup. Si tuviera que buscar otra vez quizs no lo elegira.
El producto ha cumplido con sus expectativas?

Linux: Si. Antivir XP: Si, hasta estas ultimas actualizaciones donde ha aparecido publicidad molesta.
Linux: Si, pero solo a empresas que adems cuenten con personal tcnico. No usar el antivirus puede mandar el mensaje equivocado de que no hay que hacer nada, y podra ser catastrfico usado junto con Windows y usuarios no conscientes. Antivir XP: No, debido a los cambios a peor mencionados. Como empresa no estoy tan seguro, pues algunos de nosotros todava lo preferimos a todos los dems. Especialmente al Norton, pues hemos visto mquinas destrozadas por virus y troyanos con el Norton impotente o indiferente. No es el nico que hace que el ordenador vaya mas lento, mete problemas de compatibilidad pero no consigue su objetivo de proteger a los equipos.
Franciso Jos Gomez Rodrguez Estudiante de Ingeniera Tcnica en Informtica de Gestin. Universidad Politcnica de Madrid Becario en Telefnica I+D . Divisin de Arquitectura de Seguridad.

AVG Free Edition GRISOFT.
Gratuito Esta completamente adecuado a los servicios por supuesto.
Lo eleg por su trayectoria y por ser gratuito, considero que es suficientemente potente como para pretegerme y lo ha demostrado con el tiempo, apareciendo en los rackings por encima de otros programas de pago.
72
www.hakin9.org
Antivirus El producto ha cumplido con sus expectativas?

un poco anticuado y eso a la gente no le gusta, a mi personalmente tampoco me molesta en exceso. A veces las actualizaciones fallan. Levanta demasiados procesos para el control del sistema. No se si la fiabilidad es total con un numero de procesos elevado.
Por supuesto ha estado siempre a la altura. Considero que es siempre ha respondido a mis necesidades y nunca ha dejado mi ordenador saturado. Escanea el correo entrante de forma rpida y eficaz.
Es muy ligero en cuanto a consumo de recursos del sistema. Se actualiza todos los das. Los escaneos no son especialmente pesados. Escanea los archivos en tiempo real y en memoria casi ni se nota.
Y los dbiles?Hay algo que se debera cambiar o mejorar?
Creo que debera mejor en el aspecto de interfaz, esta
Lo recomiendo a cualquier persona que quiera un antivirus que no sea pesado para el sistema y que adems sea capaz de protegerle con ciertas garantas. No olvidemos que paquetes completos de seguridad como el de Zone Alarm tienen grandes errores y son de pago. Se lo recomiendo a gente exigente que adems sepa valorar el software libre.
Diego Rivero Trabaja como administrador de sistemas y redes. Actualmente estudia Ingeniera Tcnica, Informtica de Sistemas.
En primer lugar tengo que decir que utilizo los dos sistemas operativos como suele ser habitual, el consabido sistema del seor Puertas (Gates) por las circunstancias y Linux por devocin. En la actualidad y para mis PC de casa utilizo utilizo AVAST 4.7 en Gindo$ de la empresa Alwil software y para Linux en la actualidad no tengo aunque utilic en su tiempo Panda para Linux. En mi trabajo la empresa utiliza McAfee VirusScan Enterprise en su versin 8.0i, ya que evidentemente trabaja con el omnipresente Window$.
que considero esenciales, que son la seguridad, la eficiencia y la velocidad de proceso. En mi modesta opinin creo que s que la eleccin fue buena ya que como he dicho antes detecta de manera aceptable todo tipo de virus y otro software malintencionado. En definitiva me parece un buen antivirus. Respecto del antivirus que utiliza mi empresa el McAfee de momento est dando unos resultados muy buenos aunque en mi opinin su motor ralentiza el ordenador un poco, sobre todo si la mquina en la que se halla no es muy potente, mi primer ordenador se quedaba colgado cuando lo instal, pero eso fue hace tiempo y era la versin para ordenador personal.
En mi caso, en mis pc de casa que utilizo Avast, si que es adecuado ya que utilizo la versin Home que es gratuita en esta empresa. Me explico, para mis ordenadores de casa y teniendo en cuenta el nivel de seguridad que necesito pienso que si es el ms adecuado. Ofrece el escaneo en segundo plano, correo, etc., un buen nivel de Heurstica y actualizaciones peridicas. En el caso de mi vida laboral con el McAfee todo va muy bien, tienes un antivirus y casi ni te enteras de que lo tienes. Su precio es 38$.
Despus de probar y analizar unos cuantos programas antivirus, al final suele ocurrir como en todos o casi todos los productos y no me refiero a nicamente a la informtica ni al software, o sea que ni lo ms caro es lo mejor y no ms barato es lo peor. En mi caso particular me decid por Avast por que era como se suele decir las tres b, bueno bonito y barato, ofreciendo un buen compromiso entre unos parmetros
Cuando lo instal pens que se trataba de uno ms de los antivirus gratuitos que existen en el mercado, pero poco despus me di cuenta de que era tan eficiente como el que ms. No es que yo sea muy exigente pero me gusta saber que estoy protegido como cualquier hijo de vecino y respecto a los virus informticos dicen que hay que ser un poco paranoico pues bueno, el antivirus cumple al cien por cien con mis expectativas ya que ni tengo los datos que tiene la NASA y los que me interesan procuro hacer copias de seguridad, as que pienso que me da la proteccin que necesito. Respecto del que utiliza mi empresa supongo que tambin cumple las expectativas ya que lo siguen utilizando desde hace tiempo y no hemos tenido problemas de seguridad importantes, al menos que se sepa.
Como ya he dicho antes tiene muchas cosas a su favor, como pueden ser una buena velocidad de ejecucin, proteccin en segundo plano, escaneo sobre la marcha de
www.hakin9.org
73
pginas web, proteccin residente y una interfaz simple, en la que no caben complicaciones. Creo que la velocidad de ejecucin, las bibliotecas de virus que se actualizan muy peridicamente y el hecho de que no ralentiza el ordenador cuando se halla trabajando en modo residente son las mejores cualidades de este programa. McAfee es una de las empresas punteras en el mundo de los antivirus as que Qu se puede decir de uno de los lderes?, pienso que lo mejor que se puede decir es que pasa desapercibido que no es poco y slo te das cuenta cuando lo necesitas. mala si pensamos que cuando hay un virus si que nos salta la alarma, adems muy sonora y avisndote de viva voz en espaol. Por otra parte tambin sera bueno que se mejorase la interfaz de usuario, la considero demasiado simple y espartana, aunque tiene lo necesario, debera ofrecer ms opciones y siendo un poco ms vistosa ganara mucho.
Por supuesto que todo es susceptible de ser mejorado y en el caso de los antivirus siempre, pero como es natural lo que el consumidor final necesita es un buen compromiso entre la versatilidad, la seguridad y la fluidez. En el caso de Avast, pienso que su punto dbil es el hecho de informes instantneos cuando hacemos un escaner de un archivo en particular mediante el botn derecho del ratn, cosa que no es del todo
Por supuesto y de hecho lo hago a diario en mi trabajo, a los compaeros que me preguntan por un buen programa antivirus, pero claro para uso personal, en los ordenadores de casa, ya que para el uso en una empresa yo empleara una suite de proteccin que englobase otros mltiples parmetros y dando por supuesto que se realizan copias de seguridad de los datos que sean susceptibles de ser protegidos especialmente adems de mantenerlos en lugares a los que el acceso sea lo ms restringido posible y con una poltica de contraseas adecuada. Todo depende de lo paranoico que sea uno respecto de la seguridad y los datos que tengamos almacenados.
Jos Carlos de Arriba Rodrguez, estudiante de 4 ao de Ingeniera Informtica. Contacto: josecarlosdear@hotmail.com.
Sin duda alguna, Kaspersky Anti-Virus, de la empresa Kaspersky Lab.
de archivos y la monitorizacin de los procesos en memoria. No me podra olvidar de la facilidad, calidad y rapidez de las actualizaciones de las bases de virus. La tasa de falsos positivos es extraordinariamente baja, sin aumentar con ello la tasa de falsos negativos.
Precio oficial de la versin Kaspersky Anti-Virus 6.0 Professional: 40, me parece perfectamente adecuado a las caractersticas y servicios que nos ofrece el Anti-Virus, lo que se traduce en una ms que aceptable relacin calidad-precio.
Creo que la mayor difusin y publicidad de los AV es por el mtodo de boca en boca, especialmente en foros. Despus de leer comparativas y opiniones sobre diferentes antivirus decid probar este producto. Pese a que se le tachaba de un alto consumo de recursos, las opiniones sobre su calidad y eficacia me hicieron decidirme por probarlo.
Todo se resume en que a da de hoy, desde que lo prob nunca he tenido la menor intencin de usar ningn otro software AV en mi ordenador personal, pese a que si haya hecho pruebas con otros con el nico fin de valorarlos.
Creo que las mayores crticas de Kaspersky es por el alto comsumo de recursos, pero yo creo que la relacin consumo-eficacia es mucho ms que proporcional, y el consumo de recursos prcticamente es impercidible por un usuario con un PC de calidad media. Si quizs pueda notarse en ordenadores un poco antiguos, pero lo que si est claro que para la eficiencia en la monitorizacion a tiempo real y xito en las detecciones un pequeo precio hay que pagar. Por mi parte mejorara el mtodo de gestin de la exclusin de archivos/carpetas para el anlisis y por supuesto la que parece ser la espina clavada: el estar por detrs de NOD32 en el gran trabajo que han realizado sobre la heurstica. Otra de las cosas a mejorar creo que sera la proteccin activa sobre las modificaciones no autorizadas en el registro del sistema y algo que creo a da de hoy es la pesadilla de todos los anti-virus, que no es otra que la deteccin de archivos maliciosos cuando estos estn encriptados.
En mi opinin el gran punto fuerte de Kaspersky reside en sus monitorizaciones en tiempo real, tanto sobre el protocolo HTTP en trfico de Internet, el control sobre el sistema
Creo que este producto es recomendado para todos los usuarios de un ordenador personal, exceptuando aquellos que posean una mquina de muy bajas prestaciones, a los que recomendara NOD32 por el menor consumo de recursos.
74
www.hakin9.org
SUSCRIPCIN PRO
Ms informacin: es@hakin9.org ; tel.: 00 48 22 887-13-45 Hay algo que me llama la atencin, y es que parece que en cuanto a la eleccin y cantidad de uso de los distintos antivirus se pueden apreciar claramente dos sectore: mientras que en usuarios de nivel medio-bajo la antigedad y nombre de productos como McAfee, Panda o Norton les da una clara ventaja, los usuarios de nivel medio-alto se decantan claramente por NOD32 o el propio Kaspersky. Creo que poco a poco tanto NOD32 como Kaspersky irn ganando cuota de mercado en el primer sector. TECNOZERO es una empresa madrilea dedicada a prestacin de servicios informticos y tambin a la implantacin y desarollo ode nuevas tecnologas para las pymes. Ofrece servicios de asesoramiento, mantenimiento informtico, hosting, diseo Web, equipamiento y seguridad informtica.
I-SEC Information Security Inc.
Somos una Empresa dedicada y comprometida ntegramente con la Seguridad de la Informacin. Nuestros Servicios se adaptan a la estructura de su empresa, recomendndole qu es lo mejor para su crecimiento. Contacto: www.i-sec.org
rtica Soluciones Tecnolgicas
Depende de si es servidor o estacin de trabajo, y en el caso de tratarse de un servidor depende de su funcin en la red. Por destacar uno Panda Web Admin Antivirus de la compaa Panda Software.
rtica es una empresa de consultora de capital nacional formada por profesionales con experiencia en el mundo de las Tecnologas de Informacin. Nuestro mbito de actuacin est centrado en diversos sectores: industria, banca, proveedores de Internet, y telecomunicaciones. Contacto: http://www.artica.es
Flagsolutions
Entorno a los 240 por actualizaciones durante 2 aos. S considero que es un importe razonable.
Administracin web, buen soporte tcnico y precio.
FLAG solutions es una consultora tecnolgica que se apoya en 4 pilares bsicos:la seguridad informtica, la ingeniera de sistemas, el diseo corporativo y la formacin especializada para empresas. Proporcionamos soluciones rentables tanto para la pequea como para la grande empresa. Contacto: www.flagsolutions.net
Ecija Consulting
En mi opinin hay poca diferencia entre las compaas antivirus, puesto que los servicios que ofrecen son casi idnticos. Creo que la eleccin entre una y otra compaa se basan exclusivamente en las experiencias que se han tenido con las versiones anteriores. El producto responde como es de esperar, por lo que si lo considero como una buena eleccin.
Somos una consultora IT lder en asesoramiento integral de empresas. Nuestro equipo formado por abogados, consultores y tcnicos, nos ha permitido especializarnos en el campo de la seguridad informtica, aportando a nuestras soluciones el valor aadido del conocimiento de la materia desde el punto de vista jurdico. Contacto: www.ecija.com, buzon@ecija.com
Administracin desatendida, va web y centralizada.
Seguridad0
El ralentizamiento general del sistema, tras implantar un antivirus. No cre que sea especfico de este producto en concreto, sino comn a este tipo de software. Adems de esto est el hecho de que cada ao aproximadamente hay que cambiar el producto por uno nuevo, que en esencia es exactamente igual pero con un ms bonito.
Seguridad0 es una empresa espaola dedicada a la distribucin de productos de seguridad informtica y la formacin. Ms informacin en su web corporativa: www.seguridad0.es. Cuentan con una web dedicada a la divulgacin de noticias de seguridad informtica: www.seguridad0.com
Kinetic Solutions
Si. Administradores de pequeas redes que deseen centralizar su solucin antivirus de manera simple y econmica. l
Empresa especializada en implantacin de soluciones de seguridad informtica con valor agregado, brindamos servicios profesionales de proteccin y deteccin a intrusiones informticas. Somos especialistas en diferentes materias de seguridad de la informacin para atender a nuestros clientes de organizaciones privadas y gubernamentales en Espaa y Sudamrica. Contacto: info@kineticsl.com
Entrevista
Entrevistamos a Fernando Bahamonde, Presidente de ISSA-Espaa

Hablamos con Fernando Bahamonde, Presidente de ISSAEspaa, que nos presenta el mbito de actuacin de esta organizacin internacional, nos cuenta sobre hacking y ajedrez, sobre el mito de ser hacker que no pierde su actualidad y muchas cosas ms...
Fernando Bahamonde
hakin9: Cmo conoci ISSA? Cul fue su primer contacto con esta organizacin? Qu es lo que ms le ha atrado a ISSA? Fernando Bahamonde: A principios del 2002 un colega de los EE.UU me coment algo acerca de la asociacin pero, por desgracia, mi tiempo disponible en esos momentos como siempre en este mundo, era escaso y muy limitado. Sin embargo, a finales del mismo ao retom el tema y me encontr que en aquel momento no exista ninguna asociacin que abarcase a los profesionales del campo de la seguridad en las tecnologas de informacin en Espaa, y ver que no estaba formalizado ningn captulo de dicha asociacin en Espaa, me puse en contacto con ellos para ver si caba la posibilidad de crear un captulo nacional que aglutinase a todas las personas del sector y pudiesen tener un foro comn, en aquel momento ramos tres personas diferentes las que estbamos interesados en la creacin del captulo en Espaa, as que nos pusieron en contacto y juntando a algunos amigos y conocidos llevamos adelante la creacin del captulo Espaol, fundando la Asociacin Espaola para la Seguridad en los Sistemas de Informacin, para posteriormente ser reconocidos como captulo Espaol de ISSA Internacional.
En mi opinin el principal atractivo de ISSAEspaa es que se trata de una asociacin independiente, en la que tienen cabida todos los profesionales y personas involucradas dentro del rea de la seguridad, desde Chief Security Officers de empresas a estudiosos del campo de la seguridad, teniendo adems la gran ventaja de que entre los socios actuales existe una gran representacin de todos los campos que abarca este mundo, desde personas especializadas en criptografa a personas dedicadas a la seguridad casi fsica. Lo cual supone un gran atractivo de cara al enriquecimiento comn, ya que no solo nos centramos en un rea especfica, sino que concebimos la seguridad como un entorno global que afecta a todas las reas de negocio y de los procesos. Como ejemplo yo siempre pongo el mismo De qu vale un firewall si alguien puede entrar en el CPD y llevarse una copia de seguridad?, por ello es evidente que una composicin multidisciplinar en una asociacin como la nuestra es algo fundamental. h9: Podra decirnos algo sobre ISSA-Espaa? Qu tipo de organizacin es? A qu se dedica principalmente ? Qu tipo de eventos organiza?
76
www.hakin9.org
Entrevista a Fernando Bahamonde
F.B.: ISSA-Espaa podra englobarse en dos puntos, por una parte es una asociacin sin animo de lucro y por otra es una asociacin que aglutina a los profesionales del sector, por ello estamos ante dos planteamientos similares pero no excluyentes uno de otro. En cuanto al funcionamiento interno, somos una organizacin con una estructura bsicamente plana, donde existe (a mi apreciacin, quizs pueda ser mejorable) una excelente interaccin entre asociados y la junta directiva. El mbito de actuacin de ISSA-Espaa, al igual que su orientacin, puede enclavarse en dos ejes principales, por una parte nos encontraramos con la concienciacin y estudio de diferentes mbitos y escenarios de la seguridad. Y por otra, la formacin continua y networking de nuestros asociados, ya que por el momento contamos con medios de comunicacin bastante fluidos entre ellos, pero estamos desarrollando nuevas vas y mtodos de intercorrelacin entre los asociados, para que exista un mayor eje de debate y comunicacin entre ellos y sus reas de inters. Nuestra asociacin no esta formalmente relacionada con una certificacin profesional como otras asociaciones similares, aunque en nuestras acciones se encuentra la certificacin dentro de estas, dado que la actual tendencia de mercado es la solicitud de ellas para los distintos puestos dentro de las reas de seguridad y en los distintos proyectos que aparecen en el mercado. Nuestra poltica de eventos se ha modificado un poco con respecto a aos anteriores, pero nos centramos en distintas reas. Las cuales podramos englobar en tres tipos distintos: Eventos de difusin, como los organizados dentro del DISI (Da Internacional de la Seguridad de Informacin) o en INFOSECURITY, eventos de claro contenido de difusin y concienciacin dentro de distintas reas, enfocados a todas las reas y sectores, con un especial foco
en los responsables de seguridad de organizaciones y empresas. Eventos de formacin propios. En esta rea comenzamos en este ao y prevemos presentar en breve un calendario de eventos de formacin esponsorizados por ISSA-Espaa orientados a sus miembros y con acceso a terceros. Eventos de formacin de terceros. Eventos de formacin facilitados por terceras empresas en los cuales los miembros de ISSA-Espaa tienen interesantes ventajas. h9: En el mundo de la Seguridad Informtica hay mucha demanda de eventos de este tipo? Principalmente,quin participa en ellos? F.B.: Actualmente existen diferentes programas de formacin, pero basados bsicamente en programas de postgrado o bien en certificaciones profesionales, as como eventos puntuales independientes u organizados por fabricantes. Pero bien, es cierto que el mercado demanda cada vez mas eventos de formacin e informacin cada vez mas profesionalizados. En la actualidad tenemos bsicamente tres tipos de perfiles de asistentes a los eventos de seguridad, en primer lugar nos encontramos con personal de direccin y ejecutivo que buscan conocer de primera mano los ltimos adelantos en la materia, las nuevas amenazas y sus soluciones, un pblico exigente en cuanto a la calidad de la informacin facilitada y con un enfoque puro de negocio. En segundo lugar nos encontramos a personal de departamentos de TI que persiguen vas de mejora en sus procesos y desarrollos, con un perfil tcnico elevado, con problemas y cuestiones concretas, y en tercer lugar nos encontramos a personas que estn trabajando en el rea de las TI, pero sin dedicacin al rea de seguridad y estudiantes que buscan ampliar sus conocimientos los cuales demandan conocimiento y muchas veces un foro donde discutir sus ideas.
Figura 1. Pgina oficial de ISSA-SPAIN
Figura 2. Pgina oficial de ISSA-SPAIN
www.hakin9.org
77
Entrevista
h9: ISSA-Espaa coopera tambin con otras organizaciones espaolas que actan dentro del campo de la seguridad informtica? F.B.: ISSA-Espaa colabora con distintas asociaciones y entidades en la bsqueda de la mejora del campo de la seguridad, nuestra colaboracin comprende desde el simple soporte y ayuda en el desarrollo de la seguridad en todos los mbitos a la creacin de comisiones y mesas de trabajo sobre problemticas concretas, no cerramos nunca las puertas a colaboraciones e iniciativas encaminadas dentro del rea de la seguridad. Nuestro afn como asociacin profesional, busca tambin la colaboracin con otras asociaciones similares y buscamos siempre que estas sean de beneficio tanto para nuestros asociados como para el pblico en general. h9: Podra contarnos algo sobre los planos de ISSA-Espaa para el ao 2007? Cules van a ser sus iniciativas ms importantes? Qu objetivos se han marcado a alcanzar? F.B.: En Diciciembre del ao pasado, abord la presidencia de ISSA-Espaa con un programa claro y para mi de obligado cumplimiento, con en el cual se pretende que la asociacin tenga un papel ms activo dentro de la comunidad de la seguridad informtica, con proyectos de formacin, desarrollo y concienciacin que iremos desarrollando a lo largo de este ao, sin descuidar en ningn momento las dems labores de la asociacin, como el networking (el cual es muy necesario en esta actividad, dado que no somos muchos los actores involucrados y opino que debemos tener un espacio mutuo de relacin), las relaciones con los dems captulos internacionales, dado que ello nos aportar otros puntos de vista a los problemas que actualmente sufrimos en nuestro rea a nivel nacional, y sobre todo tener un punto comn de conexin entre aquellos que trabajamos, estudiamos e investigamos en este rea. Como iniciativa ms importante en este momento estamos planteando la creacin de una mesa de trabajo entre los profesionales de un sector especfico, para juntar en una misma mesa a diferentes partes y enfocar los problemas de ese sector, iniciativa que pensamos abordar con distintos sectores de la industria y economa. h9: En su opinin hoy en da hay ms asociaciones que renen a hackers, en el sentido tradicional de esta palabra, o asociaciones del tipo de ISSA? Cul es la relacin entre ellas? Son dos mundos diferentes o ms bien realidades que se entrelazan? F.B.: Es evidente que buscado en el underground nos encontramos con muchos grupos hackers, pero no los veo como grupos asociativos como puede ser ISSA-Espaa, sino que mas bien son ncleos de gente con inquietudes similares que se renen para intercambiar conocimiento, numricamente evidentemente son mucho ms numerosas que las asociaciones de profesionales de la seguridad informtica (aunque muchos de los anteriores acaban recalando en asociaciones profesionales).
Bajo mi punto de vista todos somos hackers, pues nos puede la investigacin y la curiosidad en muchos aspectos, evidentemente son numerosas las denominadas asociaciones o grupos hacker, pero se han de diferenciar de aquellos grupos que buscan aspectos lucrativos por la va maliciosa. Evidentemente las barreras entre el mundo de la seguridad informtica y el uso de los conocimientos para la comisin de delitos es muy marcada. Claro est que el profesional ha de gestionar la seguridad de los sistemas y para ello evidentemente ha de conocer sus amenazas y riesgos, si no qu gestionara? Si estuvisemos en un mundo perfecto, no sera necesario el uso de sistemas de proteccin, yo calificara siempre que son mundos superpuestos, en los que los maliciosos han cruzado una lnea tica y moral de difcil vuelta atrs, que en ocasiones les puede lastrar y ocasionar problemas, y otros que usamos los conocimientos para un bien y beneficio comn. No obstante, hoy en da a mi opinin se ha de hablar de mafias del cibercrimen cuando nos referimos a amenazas altamente peligrosas. La gente con tica y moral no traspasa la barrera. h9: Usted mismo en algn momento de su vida se consideraba hacker? Cree Usted que la magia de ser hacker es muy fuerte entre los profesionales de seguridad informtica? Hay muchos profesionales que guardan el espritu del hacker durante toda la vida o en general es una aventura de juventud? F.B.: Quien diga que no que levante la mano, pero no creo que NADIE en algn momento haya tenido su momento de hacker en mayor o menor medida, pero siempre ha sentido curiosidad por algo y lo ha investigado, si no difcilmente puede tener el pensamiento y la capacidad necesaria para determinar un grado de seguridad. Para mi opinin la denominacin hacker hace ms referencia a una forma de pensar y a una visin, no es un patrn de accin malicioso por necesidad, sino una forma y actitud frente al conocimiento, que no ha de ser peyorativo ni de una actitud ilegal. Realmente creo que con el tiempo vas teniendo otras perspectivas, pero siempre prevalece ese espritu (necesario en los que administran y revisan la seguridad) de conocer ms all de los lmites preestablecidos y pensar como tu posible contrincante. Mal comparado esto es como el ajedrez, tienes que adivinar el movimiento del contrario. Es por ello por lo que siempre un profesional perfecto de este rea ha de estar actualizado y disponer de una visin en muchos casos de 360, ya que ha de conocer a que se enfrenta y cuales son las posibles amenazas que ha de gestionar. Por desgracia muchas veces esa focalizacin es imposible, por lo cual nunca puede existir un experto en seguridad integral, no se puede estar permanentemente estudiando y a la vez trabajando, por lo cual se pierde esa visin total y se produce una parcelizacin o ms bien llammosle especializacin en reas determinadas. l
78
www.hakin9.org
Pginas recomendadas
Una especie de portal para la gente a que le gusta la informtica y la seguridad. Si te gusta este mundo, te gustar elhacker.net. http://www.elhacker.net
CyruxNET all encontrars la informacin detallada sobre las tcnicas hack ms populares. http://www.cyruxnet.org
Sitio de noticias que brinda la ms variada informacin en cuanto al mundo de los mviles, enlaces, contactos, y mucho ms. www.diginota.com
Un lugar de encuentro para todos interesados en temas de seguridad www.daboweb.com
Hack Hispano, comunidad de usuarios en la que se tratan temas de actualidad sobre nuevas tecnologas, Internet y seguridad informtica. http://www.hackhispano.com
Un espacio libre para compartir: descargas, software, programas oscuros, dudas, noticias, trucos... y ms cosas a ritmo de blues. http://www.viejoblues.com
Aqu encontrars todo lo que debes saber www.segu-info.com.ar
Tecnologa, informtica e Internet. All encontrars enlaces, foros, fondos de escritorio y una biblioteca repleta de artculos interesantes... http://www.hispabyte.net
Indaya teaM fue creada por un grupo de personas amantes de la informtica para ayudar a todos los que se interesan por la informtica. http://www.indaya.com
Web especializada en artculos tcnicos sobre Linux. Aqu encontrars las ltimas noticias sobre Linux y Software Libre, foros. www.diariolinux.com
Seguridad0 es un magazine gratuito de seguridad informtica. Tiene una periodicidad semanal, aunque se anaden noticias a diario. http://www.seguridad0.com
DelitosInformaticos.com revista digital de informacin legal sobre nuevas tecnologas. www.delitosinformaticos.com
Pginas recomendadas
Si tienes una pgina web interesante y quieres que la presentemos en nuestra seccin de Pginas recomendadas contctanos: es@hakin9.org
www.buyitpress.com
Suscrbete a tus revistas favoritas y pide los nmeros atrasados!
Regalos para nuevos suscriptores!
Ahora te puedes suscribir a tus revistas preferidas en tan slo un momento y de manera segura. Te garantizamos: precios preferibles, pago en lnea, rapidez en atender tu pedido. Suscripcin segura a todas las revistas de Software-Wydawnictwo!
Pedido de suscripcin
Por favor, rellena este cupn y mndalo por fax: 0048 22 887 10 11 o por correo: Software-Wydawnictwo Sp. z o. o., Bokserska 1, 02-682 Varsovia, Polonia; e-mail: suscripcion@software.com.pl
Nombre(s) ................................................................................................... Apellido(s) ..................................................................................................
Direccin .............................................................................................................................................................................................................................. C.P. .............................................................................................................. Telfono ..................................................................................................... Poblacin .................................................................................................... Fax ...............................................................................................................
Suscripcin a partir del No ................................................................................................................................................................................................... e-mail (para poder recibir la factura) .................................................................................................................................................................................. o Renovacin automtica de la suscripcin
Ttulo
Linux+DVD (2 DVDs) Mensual con dos DVDs dedicado a Linux Hakin9 cmo defenderse? (1 CD) Mensual para las personas que se interesan por la seguridad de sistemas informticos Linux+Pack (2 o 3 DVDs) Las distribuciones de Linux ms populares MSCoder (1 CD) Independent magazine for developers using Microsoft platforms
nmero de ejemplares al ao
nmero de suscripciones
a partir del nmero
Precio
12
69
12
69
65
38
En total
Realizo el pago con:
tarjeta de crdito (EuroCard/MasterCard/Visa/American Express) nO
CVC Code
transferencia bancaria a BANCO SANTANDER CENTRAL HISPANO

Nmero de la cuenta bancaria: 0049-1555-11-221-0160876 IBAN: ES33 0049 1555 1122 1016 0876 cdigo SWIFT del banco (BIC): BSCHESMM Fecha y firma obligatorias:
Vlida hasta
hakin9 24
Prximo nmero
En el nmero siguiente, entre otros:
Securizacin de aplicaciones PHP

Defensa
En este artculo, muy prctico y de una gran importancia para todas las personas que hacen aplicaciones PHP, aprenderis como escribir cdigo seguro y hacer seguro cdigo antiguo. En el artculo preparado por los especialistas de la empresa DPI - Diseo Programacin e Integracin, encontraris una buena informacin sobre este tema tan importante e infelizmente poco averiguado. El objetivo principal de este texto prctico y a la misma vez divertido, es hacer los programadores principiantes de PHP tener un poco ms cuidado y pensar en trminos de seguridad.
Ataques DoS en redes WiFi

Ataqve
El artculo describir mediante ejemplos prcticos y teora los diversos ataques de denegacin de servicio existentes en las redes 802.11 as como las posibles soluciones que ayuden a mitigar dichos ataques respectivamente. El lector conocer la diversidad de ataques DoS existentes en las redes WiFi, as como las herramientas de las que dispone un atacante para llevar dichos ataques. Tambin aprenders las diversas contramedidas que se podran utilizar para mitigar los efectos en cada caso.
Introduccin a Single Sign-on

Defensa
A medida que la World Wide Web ha ido creciendo, tanto en Internet como en las redes institucionales privadas, ha surgido un problema colateral asociado al acceso restringido a recursos situados dentro de esas redes. Si al comienzo de los aos 90 lo realmente importante era realizar pginas web con contenido y enlaces de inters, en la actualidad esto se da por supuesto, y se empieza a pensar en acceder a contenidos situados dentro de redes privadas o en plataformas software instaladas en dichas subredes, cuyo acceso debe ser por lo general limitado de algn modo. Lo mismo ocurre en empresas en las que se ofrecen varios servicios software con identificacin. La solucin ideal para integrar la autenticacin de todos estos servicios en uno se conoce como "single sign-on", y en este artculo veremos en qu consiste.
En CD:

Hakin9.live: distribucin bootable de Linux tutoriales: ejercicios prcticos de los problemas tratados en los artculos documentacin adicional versiones completas de aplicaciones comerciales
Informacin actual sobre el prximo nmero http://www.hakin9.org/es El nmero est a la venta desde principios de Mayo de 2007.
La redaccin se reserva el derecho a cambiar el contenido de la revista.

Revista Hakin9 n23 042007 ES

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Revista Hakin9 n23 042007 ES

Cargado por

Copyright:

Formatos disponibles

hakin9

Resaltamos las noticias ms importantes del mundo de la seguridad de sistemas informticos.

Comentamos el contenido y el funcionamiento de nuestra distribucin hakin9.live.

Herramientas Virus Sort 2000

Ataque Registro de Windows

Bluetooth La Amenaza Azul

Defensa Web Services Security

Administrando la Inseguridad Informtica

En este artculo aprenders qu es un Virus, Gusano y Caballo de Troya.

Ofuscacin de Cdigo en Java

Para principiantes Protege gratis tu Windows

Presentamos las opiniones de nuestros Lectores sobre los programas antivirus.

La revista hakin9 es editada en 7 idiomas:

Avance de los artculos que se encontrarn en la siguiente edicin de nuestra revista.

Videos y fotos de la ejecucin de Saddam que contienen virus informticos y spyware

Descubren software malicioso para Skype

40 aos de crcel por... un Spyware

Principales consejos para estar protegido frente al phishing

Internet Explorer 6: 284 das inseguro

Bug crtico en Adobe Reader y Acrobat 7.0.8

La industria informtica alcanza acuerdo en la definicin de Spyware

Encuentran una denegacin de servicio en Snort

Proyecto Telefnica On-line

Encuentran mltiples vulnerabilidades en lectores de archivos PDF

Spyware de Nueva Generacin que Elude a los Antivirus

Enigma Lite Desktop Edition

Net Conceal AntiHistory

eScan Internet Security

Comodo Firewall Pro

En caso de cualquier problema con CD rogamos escribid a: cd@software.com.pl

Virus Sort 2000

Figura 1. Virus Database

Figura 2 Manage Files

Figura 3. Weed Files

Figura 4. Estadsticas de la coleccin

Figura 5. Pgina oficial de Virus Trading Center

En este artculo aprenders...

Lo que deberas saber...

El Editor del Registro (Regedit.exe)

Tabla 2. Las claves utilizadas por el sistema

HKEY_LOCAL_ MACHINE HKEY_CLASSES_ROOT

Figura 2. Cmo obtener un permiso de escritura, parte 2

Restringiendo el acceso y escritura sobre el registro de Windows

Figura 3. Cmo obtener un permiso de escritura, parte 1

Nadie me toca el registro!

Figura 1. Word Pad no es una buena aplicacin para abrir un registro

Consecuencias de la escritura sobre el registro

Crackeando el registro como usuario sin privilegios

Figura 4. El acceso al registro bloqueado

Figura 5. Cmo personalizar las configuraciones del usuario

que podramos incurrir al momento de modificar el cdigo del programa.

Atacando el Registro de Windows Vamos a la Prctica!

Acceder como un usuario restringido

Registros del procesador

Figura 6. La Ventana List Of String Data Items

Quieres recibir tu revista regularmente? Quieres pagar menos?

E-mail ................................................................................................ Suscripcin a partir del N ..............................................................

Precio de suscripcin anual Absender-Daten de hakin9: 69

Bluetooth La Amenaza Azul

En este artculo aprenders...

Lo que deberas saber...

Bluetooth La Amenaza Azul

Modo 1: Sin seguridad (Modo Default)