1 SEGURIDAD EN INTERNET. MALWARE En Internet, como en casi todos los ámbitos de la vida, la seguridad, entendida tal cual se recoge en la Real Academia de la Lengua, es prácticamente imposible de conseguir; por lo que en Informática nos conformamos con el concepto de fiabilidad o de sistema suficientemente seguro. Un sistema informático será seguro si cumple las siguientes condiciones: Integridad: la información sólo podrá ser modificada por las entidades autorizadas. Confidencialidad: la información debe ser accesible tan sólo por las entidades autorizadas. No repudio: ofrece protección de un usuario frente a otro que niegue haberse producido una determinada comunicación. El no repudio en origen protege al receptor de que el emisor niegue haber enviado el mensaje; mientras que el no repudio en recepción protege al emisor de que el destinatario niegue haber recibido el mensaje. Con este fin se emplean las firmas digitales, que estudiaremos en capítulos posteriores. 11.1 AMENAZAS A LA SEGURIDAD Una amenaza a la seguridad es cualquier situación que pudiera, en un momento dado, provocar una violación de la seguridad del sistema que afecte a cualquiera de las tres características anteriores. Las cuatro categorías más habituales de ataques a la seguridad son las representadas en la Figura 11.1.
154 DAVID ARBOLEDAS Figura 11.1. Tipos de amenazas a un sistema informático Interrupción: cualquier recurso de un sistema deja de estar disponible o es destruido, lo que elimina la disponibilidad del mismo. Como ejemplo podría citarse la destrucción de un disco duro o el corte de una línea de comunicación. Modificación: una entidad no autorizada no sólo intercepta o accede a un recurso, sino que es capaz de manipularlo, lo que constituye un ataque contra la integridad. Intercepción: una entidad no autorizada accede a un recurso, lo que implica un ataque contra la confidencialidad. Por ejemplo, escuchar una línea para registrar los datos. Fabricación: una entidad no autorizada inserta recursos falsificados en un sistema, lo que implica una violación contra la autenticidad. Estos ataques, a su vez, pueden clasificarse en pasivos (el atacante no altera el flujo de información) o activos (se modifica el flujo de datos). En este capítulo estudiaremos las amenazas que provienen de lo que denominamos malware o software malintencionado, del inglés (malicious software). Este término es muy utilizado para referirse a aquellos programas que tienen como objetivo infiltrarse o dañar un sistema informático sin el consentimiento de la entidad autorizada; incluye virus, gusanos, troyanos, rootkits, spyware y otros programas maliciosos. 11.2 VIRUS El primer virus que atacó a una máquina se denominó Creeper e infectó a un terminal IBM Serie 360 en 1972.
DAVID ARBOLEDAS 155 El término virus se acuñó en 1984 y desde entonces estos han evolucionado enormemente y son cada vez más sofisticados. Algunos son inofensivos y otros pueden llegar a eliminar información del disco duro o incluso borrar la tabla de particiones del mismo (Figura 11.2). Figura 11.2. Ejemplo de un virus que nos lleva a www.youtube.com cuando se teclea www.google.com (phishing) El virus es un malware que infecta generalmente ficheros ejecutables, aunque existen para imágenes y videos. Este malware cambia el punto de entrada de la aplicación para que en primer lugar se ejecute el virus y luego la aplicación. Una vez que el virus se carga en memoria RAM, permanece en ella aun cuando el programa infectado haya finalizado de ejecutarse. En este punto el virus toma el control del ordenador e infectará a todos aquellos archivos que se ejecuten a posteriori, con lo que el proceso de replicación queda completado. Un virus afecta al sistema operativo para el que ha sido diseñado y en mayor o menor medida pueden atacar a todos: Windows, GNU/Linux, Mac Os X, etc. Existen dos grandes clases de contagio. En la primera, el usuario, en un momento dado, ejecuta o acepta de forma inadvertida la instalación del virus. En la segunda, el programa malicioso actúa replicándose a través de las redes. En este caso se habla de gusanos. Los métodos para disminuir los riesgos asociados a los virus se clasifican en activos o pasivos. Activos: fundamentalmente el empleo de los programas llamados antivirus, cuyo objetivo primordial es detectar la mayor cantidad de amenazas informáticas que puedan afectar a un ordenador (virus, spyware, rootkits y otras) y bloquearlas antes de que la misma pueda infectar un equipo, o poder eliminarla tras la infección. Resulta evidente que para que nos mantenga suficientemente protegidos tendremos que disponer de una licencia que permita actualizaciones periódicas. Pasivos: entre estos métodos los más importantes son: no abrir mensajes provenientes de una dirección electrónica desconocida, no descargar software de direcciones que no sean de confianza y mantener una política de copias de seguridad, para garantizar la recuperación de datos y particiones si no ha llegado a funcionar ninguna otra medida.
156 DAVID ARBOLEDAS 11.3 GUSANOS Un gusano es un software malicioso que posee la propiedad de duplicarse a sí mismo. Los gusanos utilizan las partes automáticas de un sistema operativo que generalmente transcurren en un segundo plano y resultan invisibles al usuario. El primer gusano informático de la historia data de 1988, cuando Morris infectó a una gran parte de los servidores existentes. A diferencia de un virus, un gusano no precisa alterar los archivos de programas, sino que reside en la memoria y se duplica a sí mismo. Los gusanos se apoyan en una red para enviar copias suyas a otros nodos y son capaces de realizarlo sin intervención del usuario. Casi siempre causan problemas en la red, aunque sólo se trate de ocupar ancho de banda, mientras que los virus siempre infectan o corrompen los archivos del ordenador que atacan. Es algo usual detectar la presencia de este tipo de malware en un sistema cuando, debido a su incontrolada replicación, los recursos se consumen hasta el punto de que las tareas ordinarias del mismo se hacen excesivamente lentas o simplemente no pueden ejecutarse. Los métodos más eficaces para protegerse de los gusanos son el empleo de suites completas de seguridad, el uso de cortafuegos y el mantenimiento de las actualizaciones del sistema operativo. 11.4 TROYANOS Se denomina troyano a un programa malicioso capaz de alojarse en una máquina y permitir el acceso remoto no autorizado, a través de una red, con el fin de recabar información confidencial y sensible o controlar el ordenador anfitrión. Un troyano no es un virus, aunque se distribuya y funcione como tal. La principal diferencia es su finalidad. Al contrario que un virus, que es un huésped destructivo, un troyano actúa de forma normalmente inocua para permitir el control remoto del ordenador anfitrión sin que se advierta al legítimo usuario. Suele ser un programa de pequeño tamaño que se aloja dentro de un ejecutable, un archivo de sonido, una imagen o una canción. Habitualmente se emplean para espiar lo que el propietario realiza con la máquina, como por ejemplo capturar las pulsaciones del teclado para obtener contraseñas. Funciona, en este caso, como un spyware. Los troyanos están compuestos principalmente por tres programas: un cliente, que envía las órdenes que se deben ejecutar en la computadora infectada, un servidor, situado en la computadora infectada y que recibe las órdenes del cliente y las ejecuta y, por último, un editor del servidor, que permite modificar el servidor para que haga en el ordenador de la víctima lo que el pirata desee. Atendiendo a la forma en la que se realiza la conexión entre el cliente y el servidor se pueden clasificar en:
DAVID ARBOLEDAS 157 Troyanos de conexión directa: el cliente se conecta al servidor. Troyanos de conexión inversa: el servidor se conecta al cliente. La conexión inversa tiene claras ventajas sobre la conexión directa, puesto que traspasa la mayoría de los cortafuegos al no analizar los paquetes que salen de la máquina. Las medidas básicas para evitar infectarse por troyanos son las mismas que para el caso de virus y gusanos. 11.5 ROOTKITS Un rootkit es una herramienta, o un grupo de ellas, que se emplean una vez que se ha conseguido entrar en un sistema; es decir, cuando ya se ha obtenido una cuenta de root (superusuario), de ahí su nombre. Existen rootkits para una amplia variedad de sistemas operativos: Microsoft Windows,GNU/Linux, Solaris, etc. Los objetivos que persigue son fundamentalmente tres: Ocultación: ellas mismas como herramientas pretenden hacerse indetectables, al igual que las acciones que el intruso lleve a cabo sobre la máquina atacada. Control del sistema: facilitan posteriores entradas al sistema con privilegios de root o administrador, modificando comandos o dejando puertas traseras abiertas. Éstas son un código con el que se pretende saltarse los procedimientos normales de autenticación en el sistema, con lo que el acceso remoto futuro a la máquina será mucho más fácil. Obtención de datos: pueden incluir herramientas para interceptar datos de los ordenadores o de la red. Asimismo, dependiendo de la parte del sistema que modifican, podemos tener rootkits de: Aplicaciones: sustituyen determinados ficheros, sustituyéndolos directamente o empleando parches o código inyectado. Librerías: emplean las librerías del sistema operativo para contener los troyanos. Núcleo o kernel: son los más peligrosos, ya que actúan desde el núcleo del sistema operativo añadiendo o modificando alguna parte del mismo. La detección de rootkits puede llegar a ser bastante compleja, ya que precisamente se diseñan para ocultarse. El mejor método para hacerlo es apagar el sistema que se considere infectado y arrancarlo desde un CD o DVD. Un rootkit inactivo no puede ocultar su presencia. Los fabricantes de aplicaciones de seguridad
158 DAVID ARBOLEDAS han ido integrando los detectores de rootkits en los productos tradicionales de detección de virus. Hay, sin embargo, varios programas disponibles para detectar específicamente rootkits. En los sistemas basados en Unix, Chkrootkit (http://www.chkrootkit.org/); y para Windows, Blacklight, de F-Secure (ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe). 11.6 SPYWARE Un programa espía es un software que se instala furtivamente en un ordenador para recopilar información sobre las actividades realizadas en éste. La función más común que tienen estos programas es la de recopilar información sobre el usuario y distribuirlo a empresas publicitarias u otras organizaciones interesadas. Entre la información usualmente recabada por este software se encuentran: los mensajes, contactos y la clave del correo electrónico; direcciones web visitadas, tiempo durante el cual el usuario se mantiene en dichas web y número de veces que las visitan; así como cualquier tipo de información intercambiada. Los programas espía pueden ser instalados en un ordenador mediante un virus, un troyano que se distribuye por correo electrónico, o bien puede estar oculto en la instalación de un programa aparentemente inocuo. Algunos programas descargados de sitios no confiables pueden tener instaladores con spyware y otro tipo de malware. Las cookies son archivos en los que se almacena información sobre un usuario de Internet en su propio ordenador, y se suelen emplear para asignar a los visitantes de un sitio de Internet un número de identificación individual para su reconocimiento posterior. Así que el software que transmite información de las cookies, sin que el usuario consienta la respectiva transferencia, puede considerarse una forma de spyware. Entre los síntomas más claros de infección por Spyware, podemos citar: Cambio de la página de inicio con la imposibilidad de modificarla. Aparición de ventanas emergentes, incluso sin estar conectados y sin tener el navegador abierto. Barras de búsquedas de sitios como la de Alexa o Hotbar, que no se pueden eliminar. La navegación por la red se hace cada día más lenta y con más problemas. Denegación de servicios de correo y mensajería instantánea. El empleo de una buena suite de seguridad para Internet es la mejor medida de protección frente al software espía.