Ir a la portada de Saulo.Net
Artículo
 

 Portada > Publicaciones > Artículos > Artículo

Nueva generación de virus "hackers": ¿cómo protegernos?

La nueva generación de virus liderada por Blaster/Lovsan ha modificado las formas de contagio y, por tanto, las medidas de defensa. Ahora ya no nos contagiamos por lo que hacemos sino por lo que no hacemos. Con los virus clásicos era necesario abrir un archivo adjunto de correo electrónico, ejecutar un programa recibido por IRC, etc. En cambio, con la nueva oleada de virus el usuario que no ha cometido (aparentemente) ninguna imprudencia se puede infectar. ¿Por qué? por lo que no ha hecho: no ha instalado en su máquina las últimas actualizaciones de seguridad y tampoco tiene, o no ha configurado correctamente, un cortafuegos.

Saulo Barajas, VSAntivirus 4sep03.- Bien es cierto que ya existían virus que se aprovechaban de agujeros de seguridad como, por ejemplo, de la vulnerabilidad de las extensiones MIME, que permite que un programa se autoejecute en la vista previa de Outlook sin que el usuario abra el mensaje. Sin embargo, en esta ocasión nos referimos a agujeros de seguridad en los puertos de entrada de nuestra máquina. Estos virus tienen otra novedad añadida: se reproducen no por el correo electrónico sino por barridos de direcciones IP buscando máquinas no protegidas. ¿No es esto lo que hacen los hackers?

Un antivirus no es suficiente

Los nuevos virus se destacan también por sus grandes capacidades de propagación (cuestión de minutos). Y ante todas estas características, las soluciones antivirus de poco nos pueden proteger. Un antivirus clásico actúa cuando el usuario intenta abrir un archivo infectado y reconoce el archivo como infectado porque tiene actualizada su base de datos de virus. Entonces, un virus como Blaster puede modificar archivos en nuestro ordenador sin que el antivirus lo advierta. Los antivirus no son suficiente: necesitamos algo más.

En el caso de usuarios domésticos las medidas básicas son: comprobar si existen nuevas actualizaciones de seguridad regularmente e instalarlas, no abrir archivos sospechosos, instalar un cortafuegos personal y configurarlo adecuadamente y, por último, actualizar el antivirus periódicamente. Las dos últimas medidas constituyen una barrera de seguridad adicional ante lo que son casi siempre errores del usuario (fallos de seguridad no subsanados y archivos infectados que se intentan abrir).

Observemos también que un antivirus clásico sólo protege de los virus conocidos. En cambio, un cortafuegos protege de agujeros de seguridad que todavía no se han parcheado, bien por despiste o desconocimiento del usuario o bien, porque todavía no se ha desarrollado el correspondiente parche. Pero no sólo nos protege ante ataques externos sino también de intentos de conexión hacia Internet procedentes de programas instalados en nuestro ordenador. Este es el caso de los troyanos que extraen información confidencial de nuestra máquina y la envían al equipo del atacante.

Un cortafuegos correctamente configurado es hoy en día un elemento imprescindible en cualquier conexión a Internet. Es importante comprender todos estos conceptos para configurar correctamente la defensa de nuestro equipo.

Configurar correctamente el cortafuegos

Windows XP incluye en el sistema operativo un cortafuegos personal (Internet Connection Firewall, ICF). El resto de usuarios debe recurrir a productos de terceros como ZoneAlarm. Cualquier cortafuegos es válido siempre que esté correctamente configurado. El cortafuegos debe denegar, en principio, todos los intentos de conexión hacia nuestra máquina desde Internet (todos los puertos cerrados).

Sin embargo, si nuestra máquina hace tareas de servidor tendremos que abrir los puertos requeridos. Por ejemplo, en el caso de un servidor web, el cortafuegos debe configurarse para que acepte conexiones al puerto 80 pero a ningún otro puerto más. Nuestro equipo también puede realizar tareas de servidor en programas P2P (compartiendo archivos a todo Internet) o en otro tipo de aplicaciones como Microsoft Messenger. 

El error más común cuando nos encontramos con que una aplicación no funciona es deshabilitar por completo el firewall, en lugar de investigar su configuración correcta. Esto es un terrible error que explica el elevado número de contagios de Blaster entre usuarios de XP, los cuales habían deshabilitado expresamente ICF. Por supuesto, aquellos puertos abiertos en el cortafuegos serán vulnerables si la aplicación que está a la escucha tiene un agujero de seguridad no parcheado o está mal configurada.

Protección de redes

El caso de la protección de redes es algo más complejo, por lo que dedicaremos el resto del artículo. Debemos diferenciar entre los virus que entran desde fuera de la red interna (por Internet) y los que lo hacen desde dentro. El segundo caso a menudo se descuida y puede comprometer toda la seguridad de la red interna.

Los administradores de redes conocen su obligación de estar permanentemente informados sobre las nuevas vulnerabilidades de seguridad, mediante boletines diarios de seguridad, y aplicar aquellos parches que correspondan a sus sistemas. Sin embargo, esta tarea frecuentemente se deja para cuando no hay algo urgente que hacer en la empresa. Los motivos principales son la escasez de personal en el departamento técnico y el desconocimiento de los superiores que no valoran las acciones cuyos resultados "no se ven" inmediatamente.

Hasta ahora el riesgo que corría nuestro sistema era que un atacante aprovechara el lapso de tiempo entre que se descubre un agujero y se aplica el parche para ganar privilegios en nuestra máquina, ejecutar códigos, obtener información o provocar ataques de denegación de servicio. Es decir, se requería una persona detrás dirigiendo el ataque.

Medidas básicas

Con la nueva generación de virus esto ya no es así: el propio virus busca máquinas vulnerables y se extiende a velocidades crecientes. El riesgo de que nuestra máquina sea afectada es ahora mucho mayor. Ante esto, la tarea de mantener las máquinas actualizadas es más prioritaria que nunca. Ya no hablamos sólo de aplicar el parche de la interfaz de RPC descrito en el boletín MS03-026 para evitar el Blaster, sino de mantener nuestro equipo con todas las actualizaciones críticas de seguridad disponibles. Podemos afirmar sin miedo a equivocarnos que aparecerán nuevos virus que se aprovecharán de agujeros de seguridad distintos al descrito. Lo que buscamos no son medidas para defendernos de un virus concreto, sino de todos los virus con funcionamiento similar a los ya conocidos.

Cada servicio funcionando en un servidor es un riesgo de seguridad potencial, por lo que sólo deberán funcionar los servicios indispensables para las tareas de cada máquina. Y son justamente los servicios activos los únicos que debemos mantener al día sus actualizaciones de seguridad. Cuantos menos servicios tenga un servidor en ejecución, su administración será más sencilla. Sorprendería saber la cantidad de máquinas que son servidores web o servidores de FTP sin necesitarlo. En este supuesto, si el día de mañana aparece un agujero de seguridad para Internet Information Server que permita la ejecución de código arbitrario, las máquinas que tengan este servicio en ejecución serán vulnerables.

Los cortafuegos son una pieza clave para frenar la propagación de la nueva generación de virus. Una correcta configuración filtrará los ataques automatizados de los virus desde Internet a las máquinas de la red interna. En el caso de Blaster, si el cortafuegos no acepta tráfico por el puerto 135, las máquinas que haya detrás estarán protegidas aunque no tengan el correspondiente parche instalado. Pero no podemos confiarnos y olvidarnos de proteger las máquinas internas de la red. Es tan importante una correcta configuración de la seguridad perimetral como de los servidores y estaciones de trabajo de la red interna. Veamos ahora qué pasaría si el ataque se produce desde el interior.

Ataques desde la red interna

Los ataques desde el interior de la red son más frecuentes de lo que podemos suponer. La mayor parte de las redes disponen de una buena seguridad perimetral basada en cortafuegos, sistemas de detección de intrusos (IDS), antivirus en servidores de correo, etc. Pero, ¿qué pasaría si introducimos en la red interna una máquina infectada? El virus se propagaría entre todas aquellas máquinas no configuradas adecuadamente. Esta idea no es tan descabellada: pensemos en un portátil que se infecta en el domicilio del usuario y, posteriormente, es introducido en la red corporativa; o bien, un usuario infectado que se conecta a la red interna mediante una conexión de acceso telefónico o por líneas privadas.

Llegados a este punto, tenemos que buscar medidas que frenen la propagación de virus dentro de la red interna. Algunos virus, como Bugbear, tienen la capacidad de infectar los recursos compartidos de la red. Esto significa que si los discos duros de la red están compartidos a todos y además, sin contraseña, algo que lamentablemente ocurre en numerosas redes, la infección por todas las máquinas será cuestión de segundos. Los puestos de trabajo no deberían tener compartido ningún directorio y, muchos menos, una unidad completa. En su lugar, se debe habilitar un servidor de archivos con los permisos y medidas de seguridad correspondientes. 

No olvidemos tampoco actualizar todas las máquinas con las últimas revisiones de seguridad, deshabilitar los servicios innecesarios, disponer de antivirus actualizados, utilizar contraseñas fuertes, formar a los usuarios, etc. Por supuesto, una posible máquina infectada debe ser desconectada inmediatamente de la red para prevenir males mayores.

Hackers automáticos

Según hemos visto, las productos antivirus ya no son suficientes para enfrentarse a la nueva generación de virus, que utiliza las mismas técnicas que los hackers pero ejecutadas de forma masiva y automatizada. Cada máquina infectada actúa como un atacante más buscando nuevas máquinas vulnerables. Además de los consejos habituales para prevenir infecciones de virus, debemos ahora mantener nuestra máquina siempre actualizada y protegida mediante un cortafuegos correctamente configurado.

Artículo publicado originalmente en: http://www.vsantivirus.com/sb-virus-hackers.htm

 
Estadísticas
¿Cuáles son los artículos más leídos de Saulo.Net?
 
Curso
Cómo particionar eficientemente un disco duro
 
Artículo
Dominio + DNS + web + correo = presencia en Internet
 
Acceso rápido a Saulo.Net
 
Portada
|_ Cursos
|   |_ Redes
|   |_ TCP/IP
|   |_ Discos
|   |_ MS-DOS
|   |_ Diseño web
|_ Artículos
|_ Lista de correo
|   |_ Destacados
|   |_ Leer
|_ Estadísticas
|   |_ de cursos
|   |_ de artículos
|_ Libro de visitas
 
Visita Hotel Madrisol, en el centro de Madrid, junto a la Puerta del Sol
 
Inscripciones online para eventos deportivos eligetudorsal.com

 
© Saulo Barajas, 2000-2016    Contactar con el autor