ESCUELA DE INGENIERA DE SISTEMAS CURSO: SEMINARIO I LOS ANTIVIRUS: TENDENCIAS Ing. Carlos Leveau Lujn, MBA Ingeniero de Sistemas Magster en Ingeniera de Sistemas Magster en Administracin Estratgica de Empresas 1. Objetivos del tema
1. Objetivos del tema Competencia General: Conoce los antivirus actuales.
Competencias Especficas: Conoce las caractersticas de los antivirus actuales. Conoce el funcionamiento de los antivirus. Conoce algunos antivirus. 4 2. Conceptos establecidos VIRUS INFORMTICO Es un programa que se copia automticamente y que tiene por objeto alterar el normal funcionamiento del computador. Tienen la funcin de propagarse, replicndose, pero algunos contienen adems una carga daina (payload) con distintos objetivos, desde una simple broma hasta realizar daos importantes en los sistemas, o bloquear las redes informticas generando trfico intil. 5 CMO FUNCIONAN LOS VIRUS INFORMTICOS?
Se ejecuta un programa que est infectado, en la mayora de las ocasiones, por desconocimiento del usuario. El cdigo del virus queda residente (alojado) en la memoria RAM del computador, aun cuando el programa que lo contena haya terminado de ejecutarse. El virus toma entonces el control de los servicios bsicos del sistema operativo, infectando, de manera posterior, archivos ejecutables que sean llamados para su ejecucin. Finalmente se aade el cdigo del virus al del programa infectado y se graba en disco, con lo cual el proceso de replicado se completa. 2. Conceptos establecidos (cont.) 6 TIPOS DE VIRUS
Virus de accin directa: En el momento en el que se ejecutan, infectan a otros programas.
Virus residentes: Al ser ejecutados, se instalan en la memoria de la computadora. Infectan a los dems programas a medida que se accede a ellos. Por ejemplo, al ser ejecutados. Los que infectan el sector de arranque (virus de boot). El sector de arranque es lo primero que lee el computador cuando es encendido. Estos virus residen en la memoria.
Virus multipartite, corresponde a los virus que infectan archivos y al sector de arranque, por lo que se puede decir que es la suma de las dos categoras anteriores.
2. Conceptos establecidos (cont.) Troyano Los troyanos no se pueden considerar virus, ya que no se replican o no hacen copias de s mismos. En realidad son programas que llegan a un computador de forma totalmente normal y no producen efectos realmente visibles o apreciables (por lo menos en ese momento). Pueden llegar acompaados de otros programas y se instalan en nuestro computador. Al activarse puede dejar huecos en nuestro sistema, a travs de los cuales se producen intrusiones. 2. Conceptos establecidos (cont.) GUSANO Es un programa similar a un virus que se diferencia de ste en su forma de realizar las infecciones. Mientras que los virus intentan infectar a otros programas copindose dentro de ellos, los gusanos solamente realizan copias de ellos mismos. 2. Conceptos establecidos (cont.) OTRAS AMENAZAS Virus de Sobre-Escritura Virus de Enlace Virus Falsos Virus de Macros 2. Conceptos establecidos (cont.) CMO NOS AFECTAN? Copiarse a si mismo Borrar archivos Modificar datos al azar Simular problemas con el teclado Hacer ms lenta la mquina Enviar informacin a correos electrnicos
2. Conceptos establecidos (cont.) ANTIVIRUS Programas que permiten analizar memoria y unidades de disco en busca de virus. Una vez que el antivirus ha detectado alguno de ellos, informa al usuario procediendo inmediatamente y de forma automtica a desinfectar los archivos, directorios, o discos que hayan sido vctimas del virus. Tratan de tener controlado el sistema mientras funciona parando las vas conocidas de infeccin y notificando al usuario de posibles incidencias de seguridad.
2. Conceptos establecidos (cont.) ANTIVIRUS El antivirus detecta y bloquea los intentos de los usuarios maliciosos para infectar tu computadora. El problema es que actualmente, el antivirus ya no puede mantener el mismo ritmo que los intrusos. Se liberan diariamente tantas versiones nuevas de malware (virus) que ningn antivirus puede detectar y protegerte de todas. Por esta razn, es posible que una computadora se infecte aun teniendo instalada la ltima versin del antivirus. 3. Desarrollo del tema FUNCIONAMIENTO DE UN ANTIVIRUS DETECCIN DE FIRMA Funcionan como el sistema inmunolgico humano, buscan en la computadora firmas (patrones o identificadores nicos) de agentes patgenos e infecciones digitales. Buscan en un diccionario de virus conocido y, si una parte de un archivo coincide con un patrn del diccionario, el software antivirus trata de neutralizarlo. El diccionario requiere actualizarse, como al vacunarte contra la gripe, para brindar proteccin contra las nuevas cepas de virus. El antivirus slo puede proteger de aquello que reconoce como amenaza. El problema es que aparecen nuevos virus tan rpido, que los desarrolladores de antivirus no pueden seguirles el paso. La computadora es vulnerable durante el tiempo que transcurre entre la identificacin de un nuevo virus y la actualizacin del diccionario que realizan los fabricantes. Por esto es importante mantener el antivirus actualizado en todo momento. 3. Desarrollo del tema FUNCIONAMIENTO DE UN ANTIVIRUS DETECCIN DE COMPORTAMIENTO Con este enfoque, los antivirus no intentan identificar virus conocido, sino analizar el comportamiento del software instalado en la computadora. Cuando un programa acta de manera sospechosa, tal como tratar de acceder a un archivo protegido o modificar otro programa, el antivirus detecta esta actividad y enva una alerta. Este modo de deteccin brinda proteccin contra nuevos tipos de virus que todava no existen en los diccionarios. Su inconveniente es que puede generar un gran nmero de falsas alarmas. Esto puede causar incertidumbre sobre qu permitir y qu no, y con el tiempo insensibilizarte a las advertencias. Incluso, podras llegar a pasar por alto las advertencias dando clic en Aceptar en todas ellas, dejando tu computadora expuesta a infecciones y ataques. 3. Desarrollo del tema TENDENCIAS DE LOS ANTIVIRUS Los antivirus tradicionales, utilizan una base de datos almacenada en nuestro ordenador y que se actualiza cada cierto tiempo para comparar los ficheros escaneados sospechosos, en busca de cdigos maliciosos que coincidan con los datos incluidos en dichas bases de datos por personal y equipos de desarrolladores del antivirus en cuestin.
La Nube es una metfora de Internet: el usuario supera los lmites de su propio ordenador para llevar a cabo acciones en un entorno descentralizado. Aplicaciones en la Nube son, por ejemplo, las redes P2P, como BitTorrent o Gnutella.
3. Desarrollo del tema TENDENCIAS DE LOS ANTIVIRUS Antes del concepto de la nube, el procesamiento y almacenamiento de datos se hacan en tu computadora; en cambio, computacin en la nube -cloud computing en ingls- permite una separacin funcional entre los recursos que se utilizan y los recursos de tu computadora, esto es: se utilizan recursos en un lugar remoto y que se acceden por Internet.
Por su parte, los antivirus en la nube, revolucionan este concepto y no usan tales bases para realizar las comparaciones, sino que se conectan directamente a la red de la comunidad de usuarios para consultar y compartir esos cdigos nocivos.
La ventaja que ofrecen los antivirus en la Nube con respecto a los antivirus tradicionales, es que la contribucin masiva de cientos de miles de usuarios, hace que los virus y otras amenazas se detecten y eliminen ms rpido.
3. Desarrollo del tema TENDENCIAS DE LOS ANTIVIRUS Los ordenadores de millones de usuarios, se conectan entre s a travs de estas redes para crear lo que se denomina ''Inteligencia Colectiva'', aunque si es necesario dejar claro, que para que los antivirus en la nube sean eficaces, el ordenador debe de estar conectado a Internet, ya que para identificar un virus, el ordenador correspondiente debe de enviar el cdigo sospechoso detectado a una amplia red de ordenadores que comparten informacin similar.
Para explicarlo un poco mejor, diremos que si un ordenador detecta un programa o fichero peligroso, el antivirus en la Nube propagar la muestra de cdigo obtenido por la Nube (algo parecido al P2P), y en unos minutos, todos los ordenadores conectados a la red, podrn identificar y eliminar ese nuevo cdigo casi de inmediato, cosa que los antivirus tradicionales, requieren de una futura actualizacin para poder reconocer dicho cdigo. 3. Desarrollo del tema VENTAJAS DE LOS ANTIVIRUS EN LA NUBE Respuesta casi inmediata. Consumo de recursos mnimo. Facilidad de uso. 3. Desarrollo del tema DESVENTAJAS DE LOS ANTIVIRUS EN LA NUBE Tasa de falsos positivos ms alta de lo normal. (Su vista es muy corta) Dependencia de Internet. 19 4. EJEMPLOS ANTIVIRUS EN LA NUBE
Panda Cloud Antivirus. Immunet Protect. Trend Micro HouseCall.
5. Conclusiones 1. Los antivirus tradicionales son los ms utilizados por los usuarios. 2. Los mayora de antivirus tienen 2 funciones: deteccin de firmas, deteccin de comportamiento. 3. La tendencia de los antivirus es hacia la utilizacin de los servicios en la nube, pero an falta mucho por desarrollar en este campo. 4. Los antivirus que utilizan la nube, an teniendo muchos reflejos, los desarrolladores expertos en seguridad deberan de utilizar esta tecnologa como complemento de los antivirus tradicionales.
6. Referencias Bibliogrficas Direcciones de internet: