domingo, 14 de octubre de 2007

¿Qué es un antivirus? (Lección 10)

Después de un tiempo y ahora que ya hemos repasado varios temas relacionados con las amenazas existentes, vamos a hablar en claro de lo que es un antivirus.

Los antivirus nacieron al poco tiempo de la aparición de los virus informáticos, de ahí su nombre. Primero fueron pequeñas utilidades capaces de desinfectar equipos infectados por un virus en particular, para ir convirtiéndose luego en aplicaciones capaces de reconocer decenas de virus informáticos y eliminarlos a todos.

Con el tiempo, han ido evolucionando hacia lo que podría llamarse “antimalware”, dado que ahora no sólo detectan y eliminan virus informáticos, sino que se encargan de proteger a los equipos contra todo tipo de malware, desde troyanos hasta rootkits. Se sigue hablando de antivirus por una cuestión de facilidad de comprensión del termino, pero hace rato que estas aplicaciones han dejado de ser simples detectores de virus.

Para clarificar qué es un antivirus y cómo funcionan, vamos a dedicar algunos párrafos a continuación.

Básicamente, un antivirus es un programa como cualquier otro, que se ejecuta sobre un sistema operativo (por ejemplo, Windows), y cuya función principal es la protección del sistema contra amenazas informáticas de los distintos tipos del malware.

Para lograr eso, utiliza varios métodos, siendo el más común y difundido, la detección basada en firmas. Esto lo logra manteniendo una base de datos interna con todos los malware conocidos por el antivirus, información sobre ellos, y una especie de “huella digital” de cada uno.

Cuando el antivirus analiza un archivo (por ejemplo, cuando abrimos uno nosotros o lo recibimos por email), lo compara contra la base de datos de firmas (recuerden, huellas digitales), y si encuentra que el archivo tiene dicha huella, lo cataloga como malware y lo bloquea, y en caso contrario, lo deja ejecutarse o ser abierto.

Esto hace que los antivirus requieran una constante actualización de su base de datos, para poder ir reconociendo los nuevos malware que aparecen a diario (de a decenas o cientos en muchos casos).

Resumiendo, el antivirus es como una especie de policía revisando fotos de posibles maleantes, y en caso de encontrar uno de ellos, lo “arresta”.

El antivirus es una de las principales armas que tenemos los usuarios para poder protegernos de las amenazas informáticas de hoy en día.

Más adelante hablaremos de otros tipos y formas en que los antivirus intentan detectar aquellos malware que aún no conoce, es decir, que no tiene en su base de datos.

“is”

domingo, 7 de octubre de 2007

El Storm Worm en las primeras planas

Si hay un malware del que se viene hablando largo y tendido en cuanto blog, medio de comunicación, sitio web y demás en estos días es el famoso gusano Storm Worm (también conocido como Peacomm, Nuwar, etc).

Les dejo aquí algunos enlaces para su lectura (estar al día, es un paso más hacia nuestra protección contra el malware):

¡Que les sea provechoso!

“is”

sábado, 6 de octubre de 2007

Nombres de archivos y el malware

Así como recientemente recomendé una serie de artículos del SANS, revisando algo de material viejo, hoy tengo que llamarles la atención y, de paso, aprovechar el tema para explicar algo muy importante en cuestión de malware.

Recientemente uno de los que mantiene el Handler’s Diary de ISC, comentó algunos nombres de archivos que en ese día en particular se estaban usando para distribuir malware.

La lista de archivos puede ser interesante como dato, pero no el recomendar que se les preste especial atención. ¿Por qué? Porque el nombre no hace al animal, sino que lo que lo hace un animal, es lo que realmente es, y no como se llama.

Para clarificar lo anterior, tomemos como ejemplo uno de los nombres de la lista, en este caso, first.exe.

Ahora, vayamos a cualquier archivo que tengamos en nuestra PC, y cambiémosle el nombre (en Windows, click derecho sobre el archivo, opción Cambiar nombre y escribir el que queremos). ¿Esto lo hace un malware?

Y al contrario, si tenemos un archivo que contiene un código malicioso, y le cambiamos el nombre a, por ejemplo, word.exe (el nombre del archivo que nos permite ejecutar el Microsoft Word), ¿esto lo va a hacer dejar de ser un malware?

Es como pensar que por ponerle a nuestro hijo el nombre de un superhéroe o un villano de historietas esto lo va a hacer más o menos “bueno”.

Lo que hace que un archivo sea un malware es su contenido y no el nombre que tiene, por lo que es importante que nos fijemos en otras cosas más allá del nombre en si mismo.

  • Tenemos que tener un antivirus para ver que analice nuestros archivos
  • Tenemos que analizar de donde viene y si lo solicitamos, y sino lo solicitamos, no debemos abrirlo
  • Si el archivo lo recibimos vía correo o mensajero instantáneo o cualquier otro canal de comunicación y tiene una extensión de archivo ejecutable (por ejemplo, .exe), probablemente sea un malware.
  • Y más consejos que se aplican a la seguridad en general… (instalar actualizaciones de software, informarnos, educarnos, etc)

Siempre es importante no confundir, y este tipo de recomendaciones, confunden al usuario promedio de computadoras. A prestar atención, no todo consejo es valido para todos…

“is”

Algunas cosas sobre el robo de identidad

Si hay algo de lo que se habla mucho hoy en día es sobre el robo de identidad, un método ampliamente utilizado para que criminales puedan hacerse con un beneficio económico suplantando a una persona.

Para lograr su propósito, deben poseer información sobre la víctima, toda la información posible, y si aparte pueden tener alguna documentación, mejor.

La razón por la que se habla tanto de algo que es bastante antiguo es que la tecnología brinda nuevas opciones a los criminales para que puedan llevar adelante un robo de identidad.

Existen casos a la antigua, obviamente, como el que se comenta en el blog de Segu-info sobre una argentina que ha tenido varios problemas porque le robaron su documento de identidad.

Pero también se dan casos donde se utiliza la tecnología, como por ejemplo el malware que recolecta información de los equipos infectados, o los ataques para obtener bases de datos de sitios de Internet a través de explotación de vulnerabilidades.

Siguiendo esta última línea de pensamiento, hay veces que los gobiernos en lugar de ayudar contra el robo de identidad, toman acciones que, con un fin distinto, tienen como probable causa indirecta, facilitar las tareas a los atacantes.

Un caso de esto es la decisión del gobierno británico de que sus ciudadanos estén obligados a brindar información privada e importante, como claves criptográficas, PINs de tarjetas de crédito y/o contraseñas, en caso de una investigación judicial.

Lo anterior no hace más que acumular en algún punto de los sistemas informáticos británicos una gran cantidad de información que de ser accedida por atacantes, sería la meca de los ladrones de identidad.

Por ello nos sumamos a campañas como las que piden en Argentina (Campaña Nacional de Prevención del Robo de Identidad), dado que cuánto más se tarde en tomar acciones, más víctimas habrá.

NOTA: Si ni el alcalde de Nueva York se salva de un robo de identidad, mejor que comencemos a pensar dos veces a quienes le damos información privada, y cómo protegemos nuestra computadora.

viernes, 5 de octubre de 2007

Recomendaciones del ISC

ISC es el Internet Storm Center, un sitio web y proyecto que monitorea lo que sucede en Internet para encontrar tendencias en cuestiones de seguridad y tomar iniciativas al respecto.

Entre muchas de sus opciones, encontramos una especie de blog (Handler's Diary), que algunas veces tiene cosas muy interesantes.

En este mes, que nombraron el "Ciber Security Awareness month", están lanzando conceptos y recomendaciones de seguridad en forma diaria (lamentablemente para los hispano-parlantes, en inglés), que tienen explicaciones interesantes en lo que se debe hacer para estar más seguro.

Los primeros son cinco consejos son:

Los consejos están más bien pensados para administradores de sistemas, pero son interesantes para todo lector, por lo que se los recomiendo.

La agenda completa puede encontrarse también en un post del Handler's Diary.

"is"