Seguridad

1
Seguridad

• Capítulo 15

2
De que o de quien me debo preocupar??

• hay peligro??

3
El Hacker La Vieja Guardia

• Origen del término a finales de los 60.
• Programador con alto dominio de su profesión,
  capaz de solucionar problemas a través de hacks
  (segmentos de código muy ingenioso).
• Verdaderos conocedores de la tecnología de
  cómputo y telecomunicaciones (85-93).
• La búsqueda del conocimiento siempre fue su
  fuerza impulsora.

4
El cracker

• Aquella persona que en forma persistente realiza
  intentos hasta obtener acceso a sistemas
  computacionales. Una vez logrado el acceso
  produce daños a los recursos del sistema atacado.
• No necesariamente tiene el mismo nivel de
  conocimientos que el hacker

5
La nueva generación o los Scripters

• Gente con la capacidad de buscar un programa en
  la red y ejecutarlo.
• No hay una meta fija.
• Necesidad de pertenencia, aunque sea al
  inframundo.
• No hay preocupación por las consecuencias reales
  de sus actos.
• Se sienten muy cool.

6
El Hacker La Visión del Resto de los Usuarios

• Qué es eso?
• Eso pasa solo en las películas.
• Así como los de The Net
• Yo soy hacker.
• Yo apenas sé como se usa una computadora.
• Bill Gates se va a encargar de ellos.

7
Anatomía de un Ataque

• Blanco conocido.
• Quién quiero ser hoy?
• Dónde está la puerta?
• Cómo entro?
• Quién me vigila?
• Estoy en control. Me perteneces.
• A dónde mas puedo ir?

8
Definición de SeguridadComputacional e
implementación
9
Seguridad Computacional

• El conjunto de políticas y mecanismos que nos
  permiten garantizar la confidencialidad, la
  integridad y la disponibilidad de los recursos de
  un sistema.
• En la actualidad, el activo más importante en
  una organización es la información.

10
Confidencialidad
Un sistema posee la propiedad de confidencialidad
si, la información manipulada por éste no es
disponible ni puesta en descubierto para
usuarios, entidades o procesos no autorizados.
11
Integridad
Un sistema posee la propiedad de integridad si,
los datos manipulados por éste no son alterados o
destruidos por usuarios, entidades o procesos no
autorizados.
12
Disponibilidad
Un sistema posee la propiedad de disponibilidad
si, la información es accesible (está disponible)
en el momento en que así lo deseen los usuarios,
entidades o procesos autorizados.
13
Estrategia de Seguridad

• Análisis de vulnerabilidades
• Definición de la Política de Seguridad
• Selección de los mecanismos que permiten
  implantar la Política de Seguridad.
• Evaluación de las medidas tomadas.

14
Política de Seguridad

• Definición del conjunto de reglas que deben
  respetarse para mantener la seguridad de la
  información.
• Depende de los objetivos y metas de la
  organización.

15
Paradigmas

• Existen varios paradigmas
• 1) Paranoico Nada está permitido.
• 2) Prudente Lo que no está expresamente
  permitido, está prohibido.
• 3) Permisivo Lo que no está expresamente
  prohibido, está permitido.
• 4) Promiscuo Todo está permitido.

16
Ejemplo de Política(en lenguaje natural)

• Sólo se permitirá el intercambio de correo
  electrónico con redes de confianza.
• Toda adquisición de software a través de la red
  debe ser autorizada por el administrador de
  seguridad.
• Debe impedirse la inicialización de los equipos
  mediante disco.

17
Las reglas de la política de seguridad

• Sobre los usuarios.
• Sobre la información.
• Sobre los sistemas y equipos.
• Plan de contingencia.
• Cultura de Seguridad Computacional.

18
Reglas para usuarios
8
Nivel 1y 2
Nivel 3
9
Documentoelectrónico
Documentoelectrónico
firma
firma
Huella
Encripción
Opcional
19
Servicios propuestos por OSI

• Norma 7498-2
• Autentificación.
• Control de Acceso.
• Confidencialidad.
• Integridad de Datos.
• No Repudiación.

20
Autentificación

• La autentificación se refiere a demostrar la
  identidad de las entidades involucradas en la
  transacción. Evita que alguien tome la identidad
  de otro. Generalmente toma dos formas
• Autentificación del proveedor de bienes o
  servicios.
• Autentificación del cliente.

21
Autentificación.

• Algunos ejemplos de los mecanismos que permiten
  implementar este servicio son
• login, password.
• Kerberos.
• S/Key.

22
Control de acceso

• Permite definir quién puede tener acceso a
  ciertos recursos, dependiendo de los privilegios
  o atributos que posea.
• Permite proteger los recursos del sistema contra
  el uso no autorizado.
• Se basa en credenciales o atributos .
• Se aplica a los usuarios y procesos que ya han
  sido autentificados.

23
Control de Acceso.

• Como ejemplos de mecanismos para este servicio
  podemos mencionar
• Los permisos en los archivos de Unix.
• Los tickets en Kerberos.
• Los niveles de autorización en un sistema
  militar.

24
Confidencialidad.

• Servicio que garantiza la privacidad de los
  datos
• En local.
• En conexiones.
• En modo no conectado.
• En campos selectos.
• En flujo de datos.

25
Confidencialidad.

• Entre los mecanismos que implementan este
  servicio están
• PGP.
• IPng.
• SSL
• RSA
• DES

26
Integridad de Datos.

• Permite proteger los datos contra ataques
  activos.
• Con recuperación de datos.
• Sin recuperación de datos.
• En campos selectos.
• Los mecanismos principales son CRCs y huellas
  digitales.

27
No Repudiación.

• Permite comprobar las acciones realizadas por el
  origen o destino de los datos.
• Con prueba de origen.
• Con prueba de entrega.
• Los mecanismos principales son los certificados,
  la notarización y las firmas digitales.

28
No repudiación

• Es necesario garantizar que alguien que haya
  recibido un pago no pueda negar este hecho.
• Es necesario garantizar que alguien que haya
  efectuado un pago no pueda negar haberlo hecho.
• Se requiere de Notarios.

29
Tareas de Seguridad y Componentes de un Sistema
Operativo
Interfaz de Usuario
Autenticación
Sistema Operativo
Control de Acceso
Utilidades
Asignación de Recursos
Servicios
Sincronización Concurrencia Comunicación Interbloq
ueos ...
CPU
Bibliotecas y datos del sistema
Memoria y E/S
30
Tipos de amenazas

• Interrupción
• Se destruye un elemento del sistema o se hace
  inasequible o inútil.
• Ataque a la disponibilidad.
• Destrucción del hardware.
• Corte de una línea de comunicaciones.
• Inutilización del sistema de gestión de archivos.

(b) Interrupción
31
Tipos de amenazas

• Interceptación
• Una parte no autorizada consigue acceder a un
  elemento.
• Ataque al secreto.
• Intervención de las conexiones telefónicas para
  conseguir datos de una red.
• Copia ilícita de archivos o programas.

( c) Interceptación
32
Tipos de amenazas

• Modificación
• Una parte no autorizada no sólo consigue acceder,
  sino que falsifica un elemento.
• Ataque a la integridad.
• Cambio de valores en un archivo de datos.
• Alteración de un programa para que se comporte de
  manera diferente.
• Modificación del contenido de los mensajes
  transmitidos en una red.

(d) Modificación
33
Tipos de amenazas

• Invención
• Una parte no autorizada inserta objetos falsos en
  el sistema.
• Ataque a la autenticidad.
• Inserción de mensajes falsos en una red.
• Adición de registros a un archivo.

(e) Fabricación
34
Elementos de un sistema de computadores

• Hardware
• Las amenazas comprenden daños accidentales y
  deliberados.
• Software
• Las amenazas son que el software pueda ser
  eliminado, alterado o dañado.
• Las copias de reserva de las versiones más
  recientes pueden mantener una alta
  disponibilidad.

35
Elementos de un sistema de computadores

• Datos
• Implica a los archivos.
• La seguridad abarca la disponibilidad, el secreto
  y la integridad.
• El análisis estadístico puede conducir a la
  determinación de la información personal que
  amenaza la privacidad.

36
Elementos de un sistema de computadores

• Redes y líneas de comunicaciones
• Revelar el contenido de mensajes, a través de un
  mensaje por correo electrónico o mediante un
  archivo transferido está sujeta a estas amenazas.
• El cifrado es una forma de enmascarar el
  contenido de un mensaje de forma que si alguien
  capturara el mensaje sería incapaz de extraer su
  información.

37
Elementos de un sistema de computadores

• Redes y líneas de comunicaciones
• Una entidad finge ser una entidad diferente.
• captura pasiva de un dato único y la subsiguiente
  retransmisión para producir un efecto no
  autorizado.
• modificación de mensajes
• se modifica una porción de un mensaje legítimo o
  los mensajes se retrasan o se reordenan para
  conseguir un efecto no autorizado.

38
Servicios de Seguridad

• Servicios de Autenticación
• Identificación de usuarios
• Servicios de Privacidad/Confidencialidad
• Privilegios de acceso
• Niveles de ejecución/lectura/escritura
• Soportados por medio de mecanismos criptográficos.

39
Servicios de Seguridad Autenticación

• Autenticación (quién?)
• Claves (paswords)
• Identificación física
• Tarjetas inteligentes
• Reconocimiento de voz
• Autenticación delegada entornos distribuidos
• Hora permitidas de acceso.

40
Servicios de Seguridad Privacidad/Confidencialida
d

• Derechos de acceso (qué?)
• Objeto gt qué usuarios y qué derechos
• Usuario gt qué objetos y qué derechos
• Formato de definición de dicha relación por
  objeto / por usuario.
• Dominios de Protección
• Conjunto de pares (objeto, derechos)
• Ejemplo D1(datos,RW),(/dev/lp,W)
• Simplificación en UNIX
• Lectura(R), Escritura(W), Ejecución(X)
• Dominios Propietario, Grupo, Otros

41
Control de acceso orientado al usuario

• Conexión
• Requiere un identificador de usuario (ID) y una
  contraseña.
• El sistema permitirá a un usuario conectarse
  sólo si el ID es conocido por el sistema y si la
  contraseña asocidad a dicho ID es correcta.
• Los usuarios pueden revelar sus contraseñas
  accidental o deliberadamente.
• Los piratas informáticos (hackers) son muy
  habilidosos en adivinar contraseñas.
• El esquema ID/contraseña está sujeto a intentos
  de penetración.

42
Control de acceso orientado a los datos

• Asociado con cada usuario, puede haber un perfil
  de usuario que especifique las operaciones y los
  accesos a archivos permisibles.
• El sistema operativo puede hacer valer estas
  reglas.
• El sistema gestor de la base de datos controla el
  acceso a registros específicos o, incluso, partes
  de un registro.

43
Servicios de Seguridad Privacidad/Confidencialida
d

• Matrices de Protección
• Define la relación entre dominios y objetos del
  sistema.
• Problemática
• Puede ser muy grande y dispersa
• Estructura estática (dominios y objetos fijos)
• Soluciones
• Recorrerla por columnas listas de control de
  acceso (ACL)
• Recorrerla por filas capacidades

44
Matriz de acceso

• Sujeto
• Una entidad capaz de acceder a los objetos.
• Objeto
• Cualquier cosa cuyo acceso debe controlarse.
• Derecho de acceso
• La manera en que un sujeto accede a un objeto.

45
Matriz de acceso
Archivo 1
Archivo 2
Archivo 3
Archivo 4
Cuenta 1
Cuenta 2
Propietario R W
Propietario R W
Usuario A
Solicitar crédito
Propietario R W
W
R
R
Solicitar débito
Solicitar crédito
Usuario B
R W
Propietario R W
R
Solicitar débito
Usuario C
(a) Matriz de acceso
Figura 15.4. Estructuras de control de acceso.
46
Listas de control de acceso

• La matriz se puede descomponer en columnas.
• Para cada objeto, una lista de control de acceso
  enumera los usarios y sus derechos de acceso
  permitidos.

47
Listas de control de acceso
Archivo 1
B
B
C
Prop. R W
R
R W
Archivo 2
C
B
Prop. R W
R
Archivo 3
B
A
Prop. R W
W
Archivo 4
B
C
Prop. R W
R
(b) Lista de control de acceso para archivos de
parte (a)
Figura 15.4. Estructuras de control de acceso.
48
Etiquetas de capacidades de acceso

• Descomposición por filas de la matriz de acceso.
• Especifica los objetos y las operaciones
  autorizadas para un usuario.

49
Etiquetas de capacidades de acceso
Usuario A
Arc. 1
Arc. 3
Prop. R W
Prop. R W
Usuario B
Arc. 1
Arc. 3
Arc. 4
Arc. 2
R
Prop. R W
W
R
Usuario C
Arc. 2
Arc. 1
Arc. 4
Prop. R W
R
R W
( c) Lista de capacidades de acceso para
usuarios de parte (a )
Figura 15.4. Estructuras de control de acceso.
50
Técnicas de intrusión

• El objetivo de los intrusos es obtener acceso al
  sistema o aumentar el conjunto de privilegios
  accesibles en un sistema.
• La información protegida que el intruso obtiene
  es una contraseña.

51
Técnicas de obtención de contraseñas

• Probar las contraseñas empleadas en las cuentas
  estándares que se suministran junto al
  computador.
• Probar exhaustivamente todas las contraseñas
  cortas.
• Probar palabras del diccionario o de una lista de
  contraseñas probables.
• Reunir información sobre los usuarios y
  utilizarlo como contraseña.

52
Técnicas de obtención de contraseñas

• Probar los números de teléfono de los usuarios,
  sus números de cedula y números de habitación.
• Probar todos los números legales de matrículas
  del estado.
• Emplear un caballo de Troya para saltarse las
  restricciones de acceso.
• Intervenir la línea situada entre un usuario
  remoto y el sistema anfitrión.

53
El ID proporciona seguridad

• Determina si el usuario está autorizado para
  obtener acceso al sistema.
• Determina los privilegios que corresponden al
  usuario
• Las cuentas anónimas y sus usuarios tienen
  privilegios más restringidos que los demás.
• El ID se emplea en el control de acceso
  discrecional
• Un usuario les puede conceder permisos para leer
  archivos proporcionando los ID.

54
Estrategias de elección de contraseñas

• Contraseñas generadas por computador
• Los usuarios pueden encontrar dificultades a la
  hora de recordarlas.
• Necesidad de escribirlas.
• Tienen antecedentes de escasa aceptación.

55
Estrategias de elección de contraseñas

• Inspección reactiva de contraseñas
• El sistema ejecuta periódicamente su propio
  averiguador de contraseñas para encontrar
  contraseñas adivinables.
• El sistema cancela todas las contraseñas que se
  adivinen y se lo notifica al usuario.
• Se consumen recursos para realizarlo.
• Un pirata informático puede utilizarla en su
  propia CPU con una copia del archivo de las
  contraseñas.

56
Estrategias de elección de contraseñas

• Inspección proactiva de contraseñas
• En el momento de la selección, el sistema
  comprueba si la contraseña es permisible.
• Con las directrices del sistema, los usuarios
  pueden elegir contraseñas recordables que son
  difíciles de adivinar.

57
Detección de intrusiones

• Supone que el comportamiento del intruso se
  diferencia del comportamiento del usuario
  legítimo.
• Detección de anomalías estadísticas
• Recolección de datos del comportamiento de los
  usuarios legítimos durante un periodo de tiempo.
• Las pruebas estadísticas determinan si el
  comportamiento no es legítimo.

58
Detección de intrusiones

• Detección basada en reglas
• Se construyen reglas para detectar desviaciones
  con respecto a pautas de uso anteriores.
• Un sistema experto persigue comportamientos
  sospechosos.

59
Detección de intrusiones

• Registros de auditoría
• Registros de auditoría nativos
• Todos los sistemas operativos incluyen un
  software de contabilidad que reúne información
  sobre la actividad de los usuarios.
• Registros de auditoría específicos para la
  detección
• Se puede implantar un servicio de recopilación
  que genere registros de auditoría que contengan
  sólo aquella información que sea necesaria para
  el sistema de detección de intrusiones.

60
Programas malignos

• Aquellos que necesitan un programa anfitrión
• Fragmentos de programas que no tienen existencia
  independiente de un programa de aplicación, de
  utilidad o del sistema.
• Independientes
• Programas que por sí mismos pueden ser
  planificados y ejecutados por el sistema
  operativo.

61
Programas malignos
Necesitan programa anfitrión
Independientes
Caballos de Troya
Bombas lógicas
Zombie
Gusano
Virus
Trampillas
Reproducibles
Figura 15.7. Taxonomía de programas malignos.
62
Donde Ocurren los virus

• Grandes redes de comunicaciones
• Gran cantidad de programas
• Interacción entre múltiples usuarios
• Redes mal gestionadas o insuficientemente
  protegidas
• Múltiples servicios de red accesibles desde
  cualquier PC
• Personas dispuestas a introducirse en otros
  equipos

63
Qué es un virus?

• Es un programa
• Semeja la forma de actuar de un virus humano
• Características
• Es dañino
• Es autoreproductor
• Es subrepticio
• Módulos de un virus
• Modulo reproductor
• Modulo de ataque (opcional)
• Modulo de defensa (opcional)

64
Cómo surgen los virus?

• El ciclo de vida de un virus es
• Programación y desarrollo
• Expansión
• Actuación
• Extinción o mutación
• Sus creadores suelen ser personan con muchos
  conocimientos en informática y con diversas
  intenciones

65
Por qué se hace un virus?

• Interés científico
• Hobby
• Propaganda o difusión de quejas
• Orgullo y afán de superación
• Factores psicológicos
• Descubrir falta de protección

66
Tipos de virus

• Según se alojen y reproduzcan
• Virus de sector de arranque
• Virus de archivo
• De acción directa
• De sobreescritura
• De compañía
• Virus de macro
• Virus BAT
• Virus del MIRC

67
Tipos de virus

• Según sus acciones o modo de activación
• Bombas lógicas
• Camaleones (caballos de troya)
• Reproductores
• Gusanos (worms)
• Backdoors

68
Funcionamiento de los virus

• Proceso de infección
• Por archivos
• Por sector de arranque o FAT
• Técnicas de programación
• Stealth (ocultación)
• Tunneling
• Antidebuggers
• Polimórficos o automutación
• Residentes en memoria (TSR)

69
Características de los virus

• Son programas pequeños y eficientes
• Su principal objetivo es la infección
• Se camuflan en el computador infectado
• Reorientando la escritura
• Modificando el tamaño de los ficheros
• Encriptándose
• Mutando
• Son transportados por la red o el intercambio de
  programas

70
Daños que puede hacer un virus

• Daños triviales
• Daños menores
• Daños moderados
• Daños mayores
• Daños severos

71
Qué no es un virus?

• HOAX (avisos falsos)
• BUGS (errores de programa)
• Falsas alarmas de virus
• Programas corruptos

72
Qué es un antivirus?

• Un antivirus es un programa, y como todo programa
  sólo funcionará bien si es adecuado y está bien
  configurado.
• Su función principal es detectar la presencia de
  virus en un computador, y en su caso, poder
  eliminarlo.
• Es deseable que sean eficientes y que no
  entorpezcan el normal funcionamiento de las
  tareas comunes.

73
Técnicas antivirus

• Escaneo (presentan una solución a posteriori, y
  necesitan que el virus sea conocido)
• Algoritmos heurísticos (pueden detectar virus
  nuevos, pero sospechan de demasiadas cosas)
• Chequeadores de integridad (comprueban la validez
  de la información y controlan los cambios
  críticos)
• La mayoría de los antivirus actuales combinan
  todas las técnicas.

74
Síntomas de una infección

• El sistema operativo se vuelve lento
• El tamaño de los programas cambia
• Se ocupa espacio sin razón aparente en memoria o
  disco
• Aparecen archivos extraños
• Aparecen mensajes extraños o absurdos
• Hay accesos no controlados al disco duro o las
  disqueteras
• Los programas tardan mucho en cargarse
• Características específicas de infección por un
  determinado virus

75
Cómo prevenir la infección?

• Tener un sistema antivirus y usarlo correctamente
• Revisar cuidadosamente la información que nos
  llega y desconfiar de fuentes no seguras
• Variar la secuencia de arranque para no arrancar
  por error desde el disquete
• Actualizar con frecuencia la base de datos de
  escaneo del antivirus
• Usar los chequeadores de integridad
  proporcionados por los antivirus

76
Resumen

• No todo lo que afecte el normal funcionamiento de
  una computadora es un virus.
• TODO virus es un programa y, como tal, debe ser
  ejecutado para activarse.
• Es imprescindible contar con herramientas de
  detección y desinfección.
• NINGÚN sistema de seguridad es 100 seguro. Por
  eso todo usuario de computadoras debería tratar
  de implementar estrategias de seguridad
  antivirus, no sólo para proteger su propia
  información sino para no convertirse en un agente
  de dispersión de algo que puede producir daños
  graves e indiscriminados.

77
Resumen

• Deberíamos revisar
• Todos los discos nuevos antes de utilizarlos
• Todos los discos que se hayan prestado
• Todos los programas que se obtengan por módem o
  redes
• Revisar periódicamente el computador (se puede
  considerar que una buena frecuencia de análisis
  es, por lo menos, mensual)
• Una lista de lugares dónde acudir
• Un sistema de protección residente

78
(No Transcript)
79
Back Up
80
Función de densidad de probabilidad
Perfil del comportamiento de un usuario autorizado
Perfil del comportamiento de un intruso
Coincidencia en el comportamiento observado o
esperado
Parámetro de medida del comportamiento
Comportamiento medio de un usuario autorizado
Comportamiento medio de un intruso
Figura 15.6. Perfiles de comportamiento de
intrusos y usuarios autorizados.
81
Protección

• Ninguna protección
• Los procedimientos delicados se ejecutan en
  distintos instantes.
• Aislamiento
• Cada proceso opera separadamente de los demás,
  sin compartimiento ni comunicación.

82
Protección

• Compartir todo o nada
• El propietario de un objeto lo declara como
  público o privado.
• Compartir por limitación del acceso
• El sistema operativo comprueba la licencia de
  cada acceso de un usuario específico a un objeto
  específico.
• El sistema operativo actúa como un guarda.

83
Protección

• Compartir por capacidades dinámicas
• Creación dinámica de derechos de compartimento
  para los objetos.
• Uso limitado de un objeto
• Limita no sólo el acceso a un objeto, sino
  también el uso a que se puede dedicar dicho
  objeto.
• Ejemplo se puede permitir a un usuario acceder a
  una base de datos para sacar resúmenes
  estadísticos, pero no determinar valores de datos
  específicos.

84
Protección de la memoria

• Seguridad.
• Asegurar el funcionamiento correcto de los
  diversos procesos que estén activos.

85
Trampillas

• Punto de entrada a un programa que permite a
  alguien que la conoce conseguir el acceso.
• Utilizadas por los programadores para depurar y
  probar los programas
• Evita toda la configuración y autenticación
  necesarias.
• Hay un método para activar el programa en el caso
  de que algo vaya mal en el procedimiento de
  autenticación.

86
Bomba lógica

• Código incrustado en un programa legítimo que
  explota cuando se cumplen ciertas condiciones
• Presencia o ausencia de ciertos archivos.
• Día concreto de la semana.
• Un usuario en particular ejecuta la aplicación.

87
Caballos de Troya

• Programa útil que contiene un código oculto que,
  cuando se invoca, lleva a cabo alguna función
  dañina o no deseada.
• Se pueden utilizar para efectuar funciones
  indirectamente que un usuario no autorizado no
  podría efectuar directamente.
• El usuario puede conceder permiso de acceso a sus
  archivos para que puedan ser leídos por cualquier
  usuario.

88
Virus

• Programa que puede infectar a otros programas,
  alterándolos.
• La alteración incluye una copia del programa de
  virus.
• El programa infectado puede seguir infectando a
  otros programas.

89
Gusanos

• Emplean conexiones de la red para extenderse de
  un sistema a otro.
• Servicio de correo electrónico
• El gusano divulga una copia de sí mismo a otros
  sistemas.
• Capacidad de ejecución remota
• El gusano ejecuta una copia de sí mismo en otro
  sistema.
• Capacidad de conexión remota
• El gusano se conecta a un sistema remoto como un
  usuario y después emplea órdenes para copiarse a
  sí mismo de un sistema a otro.

90
Zombies

• Programa que secretamente toma posesión de otro
  computador conectado a Internet.
• Utiliza ese computador para lanzar ataques que
  hacen difícil detectar a su creador.

91
Etapas de un virus

• Fase latente
• El virus está inactivo.
• Fase de propagación
• El virus hace copias idénticas a él en otros
  programas o en ciertas áreas del sistema del
  disco.

92
Etapas de un virus

• Fase de activación
• El virus se activa para llevar a cabo la función
  para la que está pensado.
• Puede producirse por múltiples sucesos del
  sistema.
• Fase de ejecución
• Se lleva a cabo la función.

93
Tipos de virus

• Parásitos
• Se enganchan a archivos ejecutables y se
  reproducen.
• Al ejecutar el programa infectado, busca otros
  archivos ejecutables que infectar.
• Residentes en la memoria
• Se alojan en la memoria principal como parte de
  un programa del sistema residente.
• Una vez en la memoria, infecta todos los
  programas que se ejecutan.

94
Tipos de virus

• Del sector de arranque
• Infecta el sector de arranque (boot record).
• Se propaga cuando el sistema arranca desde el
  disco que contiene el virus.
• Clandestino
• Diseñado para esconderse de la detección mediante
  un software antivirus.
• Puede utilizar compresión.

95
Tipos de virus

• Polimorfo
• Muta con cada infección, haciendo imposible la
  detección por la firma del virus.
• El motor de mutación crea una clave de cifrado
  aleatoria para cifrar el resto del virus.
• Dicha clave se almacena junto con el virus.

96
Virus de macros

• Independiente de la plataforma
• La mayoría infecta documentos de Microsoft Word.
• Infectan documentos, no trozos de código
  ejecutable.
• Se extienden fácilmente.

97
Virus de macros

• Una macro es un programa ejecutable incrustado en
  un documento de procesador de texto u otro tipo
  de archivo.
• Macros autoejecutables en Word
• Autoejecutable
• Se ejecuta cuando arranca Word.
• Automacro
• Se ejecuta cuando se produce un suceso definido,
  como la apertura o cierre de un documento.
• Macro de orden
• Se ejecuta cuando el usuario invoca esta orden
  (por ejemplo Guardar).

98
Métodos antivirus

• Detección.
• Identificación.
• Eliminación.

99
Descifrado genérico

• Emulador de CPU
• Las instrucciones de un archivo ejecutable las
  interpreta un emulador en vez de hacerlo el
  procesador.
• Exploración de la firma del virus
• Explora el código objetivo buscando virus
  conocidos.
• Módulo de control de emulación
• Control de ejecución del código objetivo.

100
Sistema de inmunización digital

• Desarrolado por IBM.
• La razón de este desarrollo fue el aumento de la
  amenaza de virus difundidos a través de Internet.
• Sistemas de correo integrados.
• Sistemas de programas móviles.

101
Máquina cliente infectada de virus
Máquina cliente
Máquinas de análisis de virus
Máquina administrativa
Analizar el comportamiento y estructura del virus
Máquina cliente
Red privada
Extraer firma
Máquina cliente
Deducir prescripción
Máquina administrativa
Cliente
Otra red privada
Cliente
Cliente
Usuario individual
Figura 15.8. Sistema de inmunización digital.
102
Virus de correo electrónico

• Se activa cuando el destinatario abre un archivo
  adjunto a un correo electrónico.
• Se activa abriendo el correo que contiene el
  virus.
• Utiliza el lenguaje de guiones Visual Basic.
• Se propagan a todas las direcciones de correo
  electrónico conocidas en la máquina infectada.

103
Sistemas de confianza

• Seguridad multinivel
• Información organizada en categorías.
• No leer arriba
• Sólo puede leer objetos de un nivel de seguridad
  menor o igual.
• No escribir abajo
• Sólo escribe objetos de un nivel de seguridad
  mayor o igual.

104
Archivo de auditoría
Monitor de referencia (política)
Sujetos
Objetos
Sujeto credencial de seguridad Objeto
clasificación de seguridad
Figura 15.9. Concepto de monitor de referencia.
105
Defensa contra caballos de Troya
Roberto
Roberto LE
CPE 170KS Archivo de datos
Programa
Alicia LE RobertoE
Alicia
Archivo bolsillo trasero
Programa
(a)
Figura 15.10. Caballo de Troya y Sistema
Operativo Seguro.
106
Defensa contra caballos de Troya
Roberto
Roberto LE
CPE 170KS Archivo de datos
Programa
Alicia LE RobertoE
Alicia
Archivo bolsillo trasero
Programa
(b)
Figura 15.10. Caballo de Troya y Sistema
Operativo Seguro.
107
Defensa contra caballos de Troya
Monitor de referencia
Roberto
Roberto LE
CPE 170KS Archivo de datos
Programa
Alicia LE RobertoE
Alicia
Programa
Archivo bolsillotrasero
(c)
Figura 15.10. Caballo de Troya y Sistema
Operativo Seguro.
108
Defensa contra caballos de Troya
Monitor de referencia
Roberto
Roberto LE
CPE 170KS Archivo de datos
Programa
Alicia LE RobertoE
Alicia
Programa
Archivo bolsillotrasero
(d)
Figura 15.10. Caballo de Troya y Sistema
Operativo Seguro.
109
Seguridad en Windows 2000

• Esquema de control de accesos
• Nombre/contraseña.
• La señal de acceso se asocia al objeto que
  representa al proceso, indicando los privilegios
  que un usuario puede tener asociados.

110
Señal de acceso

• ID de seguridad
• Identifica unívocamente al usuario en todas las
  máquinas de la red (nombre de conexión).
• SID de grupo
• Lista de los grupos a los que pertenece el
  usuario.
• Privilegios
• Lista de servicios del sistema sensibles a la
  seguridad que el usuario puede pedir.

111
Señal de acceso

• Propietario por omisión
• Si un proceso crea otro objeto, este campo
  especifica quién es el propietario.
• ACL por omisión
• Lista inicial de protecciones que se aplican a
  los objetos que crea el usuario.

112
Descriptores de seguridad

• Indicadores
• Definen el tipo y el contenido de un descriptor
  de seguridad.
• Propietario
• El propietario del objeto puede realizar en
  general cualquier acción sobre el descriptor de
  seguridad.
• Lista de Control de Acceso del Sistema (SACL)
• Especifica los tipos de operación sobre el objeto
  que deben generar mensajes de auditoría.
• Lista de Control de Acceso Discrecional (DACL)
• Determina qué usuario y grupos pueden acceder al
  objeto y para qué operaciones.

113
Eliminar
Leer control
Escribir DAC
Escribir propietario
Tipos de acceso genéricos
Sincronizar
Tipos de acceso estándar
Tipos de acceso específicos
Seguridad del sistema de acceso
Máximo permitido
Todo genérico
Ejecución genérica
Escritura genérica
Lectura genérica
Figura 15.12. Máscara de acceso.