Prctica 1: Webquest, seguridad informtica

Punto 1

En la seguridad de las tecnologas de la informacin no suele ser suficiente con conocer las amenazas a los que nos enfrentamos, sino que es necesario adems preparar los sistemas disponer de herramientas adecuadas para prevenirlos y combatirlos.Lo ideal est en encontrar el equilibrio entre funcionalidad y seguridad. Una correcta proteccin exige abordar el problema en diferentes niveles. Desde recomendaciones de seguridad que disminuyan el riesgo al que nos exponemos, pasando por medidas tan bsicas como la correcta actualizacin de los sistemas o la utilizacin de herramientas especficas (antivirus, cortafuegos), hasta la recuperacin del sistema en caso de ser necesario.

Punto 2
I love you
Caractersticas tcnicas Definicin
Difusin Baja

Zone.H
Difusin Baja Dao Medio Dispersibilidad Baja Troyano para la plataforma Windows que descarga otros archivos maliciosos que, a su vez,

Sasser.B
Difusin Alta Dao Medio Dispersibilidad Alta Gusano que se propaga utilizando la vulnerabilidad en el proceso LSASS.Se propaga

Blaster
Difusin Media Dao Alto Dispersibilidad Alta Se trata de un virus con una capacidad de propagacin muy elevada. Esto lo consigue porque

Es un virus de tipo gusano, escrito en Visual Basic Script que se propaga a travs de correo

electrnico y de IRC (Internet Relay Chat). Miles de usuarios de todo el mundo -entre los que se incluyen grandes multinacionales e instituciones pblicas- se han visto infectados por este gusano.

descargan otros archivos maliciosos.

a equipos Windows 2000/XP sin proteger frente a una vulnerabilidad en el servicio LSASS.

hace uso de una vulnerabilidad de los sistemas Windows NT, 2000 XP y 2003 (que son los nicos afectados) conocida como "Desbordamiento de bfer en RPC DCOM ".

Clasificacin Consecuencias

Peligrosidad Mnima Busca en el path del disco duro y en el de todas las unidades de red archivos con extensin vbs, vbe, js, jse, css, wsh, sct y hta. Cuando los encuentra, los sobreescribe con su cdigo, modifica su tamao y les cambia la extensin a VBS, lo que conlleva la prdida de toda la informacin contenida en los archivos.

Peligrosidad Media Descarga ficheros maliciosos que guarda con nombres aleatorios en la carpeta de archivos temporales. A continuacin, ejecuta los ficheros anteriores y los guarda.

Peligrosidad

Alta

Peligrosidad

Alta

Cadas contnuas del proceso LSASS.EXE Trfico excesivo en los puertos TCP 445, 5554 y 9996.

Este gusano explota la vulnerabilidad conocida como "Desbordamiento de Bfer,una vulnerabilidad mediante procedimiento remoto mediante el modelo de objetos distribuidos.Esta vulnerabilidad permite que un atacante remoto obtenga acceso total al sistema atacado y ejecute sobre l cdigo arbitrario.

Punto 3

Mayor Difusin Sasser.B

Mayor Dispersabilidad Sasser.B y Blaster Blaster

Mayor Dao

Mayor Peligrosidad Sasser.B y Blaster

- El que posee mayor velocidad de difusin es el Sasser.B,seguido del Blaster,el Zone.H y el I love you.

- La mayor dispersabilidad la poseen Sasser.B y Blaster,seguidos de Zone.H - El ms daino es el Blaster,y el segundo lugar lo comparten Sasser.B y Zone.H - Por tanto,los ms peligrosos son Sasser.B y Blaster gracias a su velocidad de propagacin y el dao que causan en el oredenador.

Punto 4

Punto 5 Virus Stuxnet

Es el primer rootkit conocido para sistemas de control, y en concreto para el sistema SCADA de Siemens WinCC. Los antecedentes Stuxnet es detectado por primera vez el 17 de junio de 2010 por la empresa antivirus bielorusa VirusBlokAda. Inicialmente se le considera un gusano ya que aprovecha ciertas vulnerabilidades para propagarse e infectar distintas mquinas. Ms adelante Symantec anuncia que tambin cuenta con propiedades de rootkit (el primero orientado a los sistemas de control), ya que es capaz de modificar el comportamiento normal de distintos componentes del sistema de control y oculta su presencia para no ser detectado. Existen dos variantes bsicas de Stuxnet, la primera Stuxnet.A/B, que viene firmada con un certificado legtimo de RealTek. La segunda en cambio viene firmada por un certificado de JMicron, tambin legtimo. Los certificados hacen que sea posible su instalacin de forma transparente para el usuario en mquinas Windows Vista y Windows 7. La primera variante, ha sido sin duda la ms extendida, y de hecho la ms estudiada. Propagacin de Stuxnet La principal va de infeccin es a travs de llaves USB. Stuxnet aprovecha la ya famosa vulnerabilidad 0-day (actualmente existe ya un parche) en el manejo de ficheros, por la que con solo visualizar en Windows Explorer los ficheros de acceso directo contenidos en una llave USB, se ejecuta automticamente cdigo del fichero al que hace referencia dicho acceso directo, en concreto en el caso de Stuxnet unos ficheros .tmp que contienen los binarios de Stuxnet. Otras vas de infeccin son a travs de recursos de red compartidos (concretamente Admin$) en los que la mquina infectada tiene permisos de escritura, y a travs de una vieja conocida, la vulnerabilidad de RPC usada por Conficker y otros gusanos.

Instalacin y rastros Stuxnet crea una serie de ficheros que son visibles con Windows Explorer. Concretamente instala dos drivers en %SystemRoot%\system32\drivers\, mrxcls.sys y mrxnet.sys, as como dos ficheros .pnf en la ruta %SystemRoot%\inf\, oem6c.pnf y oem7a.pnf. Igualmente, se crean

dos servicios no visibles a travs de INICIO>Ejecutar>services.msc llamados MRXCLS y MRXNET, y sendas claves de registro. Por otro lado, una vez que se infecta la mquina, los ficheros .tmp y .lnk de las llaves USB quedan ocultos a Windows Explorer. Soluciones a da de hoy La medida ms efectiva para reducir la probabilidad de infeccin es minimizar el uso de dispositivos USB en este tipo de instalaciones. De todas maneras vamos a repasar otras soluciones que han ido apareciendo y que podis encontrar de forma ms detallada en el whitepaper de Industrial Defender.