Criptografa y seguridad de red

Captulo 19

Software Malicioso

Virus y otros contenidos malintencionados

Los virus informticos tienen mucha publicidad

Es uno de una familia de software malicioso

Sus efectos generalmente son obvios

Han figurado en noticias, ficcin, pelculas (a menudo exageradas)

Obtienen ms atencin de las que merecen

Son una preocupacin

Backdoor o Trapdoor

Es un punto de entrada secreto en un programa

 Permite a quienes lo conocen, el acceso sin tener en cuenta los procedimientos habituales
de seguridad

Han sido utilizados comnmente por los desarrolladores

Una amenaza cuando se deja en programas de produccin que permiten explotados por
atacantes

Muy difcil de bloquear en O/S

Requiere buen desarrollo y actualizacin de software

Bomba lgica

Uno de los tipos ms antiguos de software malicioso

Codificado en el programa legtimo

Se activa cuando se cumplen las condiciones especificadas, por ejemplo:

presencia / ausencia de algn archivo

fecha / hora en particular

usuario particular

Cuando se activa tpicamente el sistema de daos

modificar / borrar archivos / discos, detener la mquina, etc

Caballo de troya

Es un programa con efectos secundarios ocultos

Suele ser superficialmente atractivo

por ejemplo, juego, actualizacin software, etc

Cuando ejecuta realizar algunas tareas adicionales permite al atacante acceder

indirectamente al acceso que no tiene directamente

A menudo se utiliza para propagar un virus / gusano o instalar una backdoor (puerta trasera)

O simplemente para destruir datos

Zombie

Programa que secretamente se apodera de otra computadora en red

 Luego lo usa para lanzar ataques indirectamente

A menudo se utiliza para lanzar ataques distribuidos de denegacin de servicio (DDoS)

Explota fallas conocidas en sistemas de red

Virus

Una pieza de cdigo que se auto-replica y est adjunto a algn otro cdigo

cf: virus biolgico

Se propaga a s mismo y se tiene un autocarga

Lleva cdigo para hacer copias de s mismo

As como cdigo para realizar alguna tarea encubierta

Operacin de un virus

1. inactivo - en espera de un evento de disparo

2. propagacin - replicacin a programas / discos

3. activando - por evento para ejecutar carga til

4. ejecucin - de carga til

detalles usualmente especficos de la mquina / OS

aprovechando las caractersticas / debilidades

Estructura de un virus

program V :=

{goto main;

1234567;

subroutine infect-executable := {loop:

file := get-random-executable-file;

if (first-line-of-file = 1234567) then goto loop

else prepend V to file; }

subroutine do-damage := {whatever damage is to be done}

 subroutine trigger-pulled := {return true if condition holds}

main: main-program := {infect-executable;

if trigger-pulled then do-damage;

goto next;}

next:

Tipos de virus

Se pueden clasificar sobre la base de cmo atacan

virus parsito

virus residente en la memoria

virus del sector de arranque

sigilo

virus polimorfo

virus metamrfico

Macro Virus

Es un cdigo de tipo macro adjunto a algn archivo de datos

Es interpretado por el programa utilizando el archivo

por ejemplo macros de Word / Excel

esp. usando macros de comandos y comandos automticos

El cdigo es ahora independiente de la plataforma

Es una fuente importante de nuevas infecciones virales

Se diferencia entre los archivos de datos y de programa

Clsico trade-off: "facilidad de uso" vs "seguridad"

Hay que tener mejor seguridad en Word, etc.

Ya no son la amenaza dominante en cuanto a los virus

Virus en Email

Se propaga mediante correo electrnico con adjunto que contiene un virus de macro

Cf: Melissa

Se activa cuando el usuario abre el archivo adjunto

O incluso peor, incluso cuando el correo se ve utilizando funciones de secuencias de

comandos en el agente de correo

Se propaga muy rpidamente

Generalmente va dirigido a agentes de correo de Microsoft Outlook y documentos de Word

/ Excel

Se necesita un mejor sistema operativo y aplicaciones de seguridad

Gusanos

Este se replica, pero no infecta el programa

Se extiende normalmente a travs de una red

Cf: Morris Internet Worm en 1988

Llev a la creacin de CERTs (Equipo de respuesta ante Emergencias Informticas)

Este utiliza a usuarios privilegios distribuidos o explotando vulnerabilidades del sistema

Ampliamente utilizado por los piratas informticos para crear PC zombie, posteriormente
utilizado para nuevos ataques, por ejemplo DDoS

El problema principal es la falta de seguridad de los sistemas permanentemente conectados

Operacin de un gusano

Las fases del gusano es como las de los virus:

Latente

Propagacin

Busca a otros sistemas para infectar

Establece conexin con el sistema remoto de destino

Se replica a si mismo en un sistema remoto

Desencadenante
 Ejecucin

Gusano Morris

Es el gusano clsico ms conocido

Fue publicado por Robert Morris en 1988

Esta orientado a sistemas Unix

Utiliza varias tcnicas de propagacin

cracking simple de la contrasea del archivo pw local

Explota un error en un dominio finger.

Explota una falla trapdoor en un dominio de servicio de correo

Si cualquier ataque tiene xito, entonces se replica a si mismo

Ataques de gusanos recientes

Hay una nueva oleada de ataques desde mediados de 2001

Cdigo rojo: utilizando el error MS IIS

detecta IPs aleatorios para sistemas que ejecutan IIS

tena tiempo de activacin para el ataque de denegacin de servicio

2 onda infecta a 360000 servidores en 14 horas

Code Red 2 - Puerta trasera instalada

Nimda - mltiples mecanismos de infeccin

SQL Slammer - servidor MS SQL atacado

Sobig.f - servidores abiertos abiertos atacados

Mydoom - gusano de correo masivo + puerta trasera

Tecnologa gusanil (XD)

multiplataforma

multiexplotacin

propagacin ultrarrpida
 polimrfico

metamrfico

vehculos de transporte

explotacin de da cero

Contramedidas de virus

La mejor contramedida es la prevencin

Pero por lo general no es posible

Por lo tanto se necesitan realizar uno o ms de:

Detecciones de virus en el sistema infectado

Identificaciones de virus infectantes especficos

RemoveAll - restaurar el sistema a estado limpio

Software Antivirus

Primera generacin

Con escner que utiliza la firma del virus para identificarlos

O cambio en la duracin de los programas

Segunda generacin

Utiliza reglas heursticas para detectar la infeccin viral

O utiliza el hash crypto del programa para detectar cambios

Tercera generacin

Los programas residentes en memoria identifican virus por acciones

Cuarta generacin

Paquetes con una variedad de tcnicas antivirus

P. ej., escner y trampas de actividad, controles de acceso

La carrera de armamentos contina

Tcnicas Anti-Virus Avanzadas

 Descifrado genrico

Utiliza un simulador de CPU para comprobar la firma y el comportamiento del

programa antes de ejecutarlo

Sistema inmunolgico digital (IBM)

Emulacin de uso general y deteccin de virus

Cualquier virus que entra en org es capturado, analizado, deteccin / blindaje creado
para l, eliminado

Sistema inmunolgico digital

Software de Bloqueo de Comportamiento

Integrado con host del Sistema Operativo

Monitorea el comportamiento del programa en tiempo real

por ejemplo, acceso a archivos, formato de disco, modificaciones ejecutables, cambios

de configuracin del sistema, acceso a la red

Para posibles acciones maliciosas

Si se detecta puede bloquear, finalizar o replicar de forma correcta

Tiene ventaja sobre los escneres

 Pero el cdigo malicioso se ejecuta antes de la deteccin

Ataques distribuidos de denegacin de servicio (DDoS)

Los ataques DDoS (Distributed Denial of Service) constituyen una amenaza de seguridad
significativam haciendo que los sistemas en red no estn disponibles

Inundando con trfico intil

Usando un gran nmero de "zombies"

Creciente sofisticacin de los ataques

Tecnologas de defensa que hacen frente a esos intentos

Construir una red de ataque DDoS

Debe infectar gran nmero de zombies

Es necesario:

Un software para implementar el ataque DDoS

Una vulnerabilidad sin parches en muchos sistemas

Una estrategia de escaneado para encontrar sistemas vulnerables

aleatorio, hit-list, topolgico, subred local

Contramedidas DDoS

Hay tres grandes lneas de defensa:

1. prevencin y prevencin de ataques (antes)

2. ataque de deteccin y filtrado (durante)

3. ataque origen traceback & ident (despus)

amplia gama de posibilidades de ataque

por lo tanto, es necesaria la evolucin de las contramedidas