ESET Latinoamrica, Av. Del Libertador 6250, 6to. Piso Buenos Aires, C1428ARS, Argentina Tel. +54 (11) 4788 9213 Fax. +54 (11) 4788 9629 info@eset-la.com, www.eset-la.com
ndice
Introduccin .................................................................................................................... 3 Proteccin contra el malware ........................................................................................ 3
Antivirus .............................................................................................................................................................................................4 Metodologas de deteccin .................................................................................................................................................. 5 Heurstica ......................................................................................................................................................................................6 Falsos positivos ..........................................................................................................................................................................7 Proteccin del correo electrnico............................................................................................................................................ 8 Identificacin de un correo falso ......................................................................................................................................... 9
Conclusin ..................................................................................................................... 16
Explicado, en los mdulos anteriores, todo el escenario de amenazas existente, el presente trabajo expone buenas prcticas de seguridad tendientes a prevenir problemas de infeccin, minimizando la cantidad de potenciales vctimas a travs de consejos tiles para cada una de las tecnologas y servicios ms populares.
Introduccin
Al igual que las tecnologas de informacin y comunicacin, los cdigos maliciosos se encuentran en constante evolucin aumentando considerablemente el nivel de complejidad y agresin en cada una de sus acciones maliciosas. Es por ello que la visin y filosofa de ESET contemplan la proteccin de manera proactiva, no slo a travs de sus soluciones de seguridad sino tambin a travs de la educacin, ofreciendo diferentes fuentes de informacin. Teniendo en cuenta los mltiples aspectos que presenta el malware actual, es necesario incorporar como hbito, en cuanto al uso de tecnologas de informacin, buenas prcticas tendientes a prevenir potenciales problemas de infeccin y maximizar el grado de proteccin en los entornos de informacin. El presente mdulo expone diferentes medidas de seguridad tendientes a prevenir problemas causados por ejecucin de malware, minimizando el impacto sobre potenciales vctimas a travs de consejos tiles para cada una de las tecnologas y los servicios ms populares. La mayor parte de las buenas prcticas presentadas a lo largo del mdulo estn redactadas para las plataformas masivamente utilizadas, especficamente diferentes versiones de Microsoft Windows. Sin embargo, algunos de los consejos presentados tambin pueden ser empleados en otras plataformas como GNU/Linux y Mac OS.
Antivirus
Un antivirus es un software que posee como funcin detectar, identificar y prevenir o eliminar, cdigos maliciosos. Aunque su nombre proviene de su relacin con los virus informticos, en la actualidad son soluciones antimalware que poseen proteccin contra gusanos, troyanos, virus, etc. 1; es decir, todo tipo de cdigos maliciosos. Como se menciona en la definicin, cuando un antivirus detecta un cdigo malicioso, se pueden tomar acciones de prevencin o eliminacin del mismo. Esto depender de que el malware haya infectado el sistema o no. Si el sistema ya se encuentra afectado, el antivirus deber eliminar el cdigo malicioso. Si el sistema an no ha sido daado, el antivirus prevendr la infeccin. La prevencin es la caracterstica ms deseable y el objetivo primario de un antivirus (y del usuario) debe ser evitar que un sistema se infecte. Los antivirus cuentan con dos mtodos de anlisis: Bajo demanda: se realiza una exploracin de archivos, memoria y sectores de arranque cuando el usuario lo solicita. En acceso: se realiza la exploracin automtica de todos los archivos y sectores de memoria accedidos durante el uso de la computadora. Para este mtodo, el AV debe estar en modo residente permanentemente.
Dado que es ejecutado de forma manual, al utilizarse slo el anlisis bajo demanda, el usuario no contar con proteccin total respecto a la prevencin contra amenazas. El anlisis en acceso ofrece tanto prevencin como eliminacin de amenazas que se encuentren ya instaladas en el sistema. Por lo tanto, es recomendable tener activado el monitor en tiempo real de la solucin antivirus instalada. Un antivirus protege los siguientes componentes del sistema donde est instalado: Sistema de archivos: anlisis de los archivos presentes en el sistema. Comunicaciones: anlisis del trfico de la red que es accedida desde el sistema. En este contexto se entiende comunicaciones como cualquier tipo de conexin que se realice a travs de cualquier puerto de comunicacin y que permita a un sistema interactuar con el exterior (web, correo, redes P2P, mensajera, etc.).
Cuando un antivirus detecta una amenaza, pueden realizarse las siguientes acciones: Desinfeccin: es el mtodo ms antiguo y consiste en desinfectar un archivo que ha sido modificado por un virus e intentar volverlo a su estado anterior a la infeccin. Slo funciona con los virus, ya que otras amenazas no modifican archivos (gusanos, troyanos, etc.). Eliminacin: este procedimiento intenta quitar del sistema el cdigo malicioso que ha sido encontrado. Slo funciona con gusanos, troyanos y cualquier otro tipo de malware que no infecta archivos. Cuarentena: es una carpeta donde son colocados los archivos detectados como dainos y no pueden ser ejecutados. De esta forma, el cdigo malicioso no afectar el sistema, pero el usuario podr acceder a l si lo considera necesario. Un cdigo malicioso que se encuentra en cuarentena no es un peligro para el sistema.
Metodologas de deteccin Desde sus orgenes, los antivirus cuentan con un mtodo de deteccin basado en firmas. Este consiste en una base de datos generada por el fabricante que permite al software determinar si un archivo es o no una amenaza. El sistema es sencillo: se coteja cada archivo a analizar con la base de datos y, si existe coincidencia (es decir, existe en la base una firma que se corresponde con el archivo), se identifica el material como cdigo malicioso. El proceso de generacin de firmas es el siguiente: 1. 2. 3. 4. Aparece un nuevo cdigo malicioso El laboratorio antivirus recibe la muestra Se crea la vacuna (firma) para el nuevo cdigo malicioso El usuario actualiza el producto con la nueva base de firmas y comienza a detectar el malware
Recin a partir del ltimo paso el sistema estar protegido contra esta amenaza. Es decir, que la deteccin por firmas es un mtodo reactivo de proteccin. La demora para generar una firma es variable, y depende del tiempo que tarde en ser descubierta por el laboratorio, de las caractersticas del cdigo malicioso y la dificultad para generar la firma. De una u otra forma, se puede afirmar que la demora puede oscilar entre las 2 y las 10 horas; dependiendo tambin de las diversas casas antivirus, y las caractersticas de trabajo de sus laboratorios. Ntese tambin que si el usuario no actualiza su base de firmas, no estar protegido, incluso si el laboratorio ya hubiera creado la firma para un cdigo malicioso. A esta razn se debe la importancia de mantener los antivirus actualizados.
Debido a la alta velocidad de propagacin de nuevos cdigos maliciosos, y la gran cantidad de estos que aparecen, el mtodo de deteccin basado en firmas se volvi, con el pasar de los aos, lento e insuficiente. El malware se difunde como una epidemia, y las probabilidades de infeccin antes de descargar una firma son muy altas. Por lo tanto, se pueden resumir las tres principales desventajas del mtodo basado en firmas: Alto riesgo de infeccin previo a la creacin de la firma No es posible detectar virus desconocidos (nuevos, que no han sido captados an por el laboratorio) El sistema debe poseer una firma por cada variante de una amenaza (las pequeas modificaciones a un archivo malicioso requieren de una nueva firma)
Heurstica Por estos motivos aparecen los mtodos de deteccin heurstica, como complemento a la deteccin basada en firmas. Es importante comprender que, a la fecha, la deteccin heurstica es un complemento a la deteccin por firmas, y para una ptima proteccin son necesarios ambos mtodos, y as es como trabajan la gran mayora de los antivirus en la actualidad. La tcnica de deteccin heurstica emplea una serie de algoritmos inteligentes que permiten detectar cdigos maliciosos nuevos y desconocidos. El anlisis heurstico posee un comportamiento basado en reglas para diagnosticar que un archivo es potencialmente ofensivo. El motor analtico trabaja a travs de su base de reglas, comparando el archivo con criterios que indican un posible malware, y se asigna cierto puntaje cuando localiza una semejanza. Si la calificacin iguala o supera un umbral determinado, el archivo es sealado como amenaza y procesado de acuerdo con ello. De igual modo que un analista humano de malware intentara determinar la peligrosidad de un determinado programa, analizando sus acciones y caractersticas (por ejemplo: modifica el registro, se carga al inicio de sesin, etc.), el anlisis heurstico realiza el mismo proceso de toma de decisiones inteligentes, actuando como un investigador virtual de malware. Para graficar ms claramente los dos mtodos de deteccin con los que trabaja un antivirus, puede imaginarse un guardia de seguridad en un aeropuerto, y sus formas de detectar amenazas (personas peligrosas) en el mismo: El guardia de seguridad puede tener un listado de personas peligrosas. Es la base de datos de las fuerzas de seguridad de cualquier pas, en donde se posee una foto y nombre de aquellas personas que son conocidas por cometer delitos, y que deben ser detenidas en caso de aparecer en el aeropuerto. La base de datos (el listado) refiere a la deteccin por firmas en un antivirus: solo pueden ser detectadas aquellas amenazas que ya son conocidas previamente.
Sin embargo, un guardia de seguridad tambin utiliza su inteligencia para detectar posibles amenazas, principalmente mediante el anlisis del comportamiento de las personas. Una persona con lentes de sol en plena noche, un viajero que observa con detalle al personal, o cualquier otro tipo de accin similar, puede generar la sospecha del guardia de seguridad que, si considera suficiente la informacin, tomar las acciones necesarias para la proteccin y asumir a la persona como una amenaza.
En resumen, mientras que una amenaza detectada por una base de firmas exhibe la seguridad de que se trata de un cdigo malicioso, ya que previamente fue legitimado por una persona, el anlisis heurstico posee una relativa certeza al respecto como afirmarlo. A pesar de esta aparente desventaja, los algoritmos heursticos ofrecen proteccin donde la exploracin por firmas no puede darla. La exploracin heurstica no depende de la actualizacin de la base de firmas, aunque debe mantenerse actualizado el software antivirus, a fin de contar con los ltimos algoritmos de deteccin heurstica. Falsos positivos El otro factor de riesgo para los algoritmos heursticos son los falsos positivos. As como cualquier antivirus trabaja para minimizar los falsos negativos (es decir, amenazas que no son detectadas), en el caso de la heurstica es necesario minimizar tambin los falsos positivos, archivos que no son cdigos maliciosos, y son detectados como tales. El motivo de tal aparicin resulta lgico: al trabajar la heurstica con grados de certeza, y anlisis inteligente, puede ocurrir que se haga una deteccin errnea de un archivo. Con la base de firmas esto ocurre en un nivel muy bajo, porque solo se detectan amenazas conocidas que ya han sido catalogadas como tales por el laboratorio. Sin embargo es indispensable que los algoritmos heursticos posean optimizacin para disminuir la tasa de falsos positivos, ya que estos son altamente perjudiciales para los usuarios, dado que podran causar que aplicaciones detectadas como un falso positivo no puedan ser ejecutadas, y crear la sospecha de que el software de seguridad no detecta las amenazas al 100% o est fallando. Por lo tanto, las heursticas de los antivirus deben ser evaluadas, no solo por sus capacidades de deteccin, sino tambin por sus rendimientos y cantidad de falsos positivos. Por caso, el laboratorio independiente AV-Comparative,s 2 al momento de evaluar la deteccin proactiva de los productos, toma en cuenta la relacin entre el porcentaje de deteccin con la cantidad de falsos positivos generados durante las pruebas.
http://www.av-comparatives.org/
Identificacin de un correo falso Los siguientes son aspectos a tener en cuenta para ayudar a identificar un correo falso que simula provenir de una entidad bancaria, financiera, red social o cualquier otra fuente requiriendo datos del usuario: Direccin del remitente: prestar especial atencin a la direccin que aparece como remitente. Debe recordarse que la direccin de un e-mail falso puede parecer legtima. Forma del saludo: muchos mensajes falsos comienzan con saludos genricos sin personalizacin hacia un usuario determinado. Urgencia y/o amenaza: este es uno de los elementos ms importantes, ya que generalmente este tipo de correos se aprovecha del temor para lograr sus propsitos. Estos mensajes falsos suelen comunicar la necesidad urgente de actualizar y ampliar los datos del usuario. La mayora amenazan con la discontinuidad o inhabilitacin de un servicio especfico. Recordar que las empresas nunca solicitan datos sensibles por correo electrnico. Cuando llega un correo que solicita informacin como nombre de usuario, clave, nmero de tarjeta de crdito o cuenta, es probable que sea un mensaje falso. Enlaces en el cuerpo del correo: en la mayora de los casos se incluyen enlaces con apariencia legtima, pero que llevan a sitios falsos. Revisar la URL del sitio citada en el correo y comprobar que es la empresa a la que se refiere. Para estar seguro que se ingresa a un sitio legtimo, comprobar que la URL que aparece en la barra de direcciones sea igual a la utilizada habitualmente.
Desconfiar de los correos que dicen ser emitidos por entidades que brindan servicios y solicitan modificacin de datos sensibles, ya que suelen ser mtodos de Ingeniera Social. No hacer clic sobre enlaces que aparecen en el cuerpo de los correos electrnicos, ya que pueden direccionar hacia sitios web clonados o hacia la descarga de malware. Asegurarse de que la direccin del sitio web al cual se accede comience con el protocolo HTTPS. La S final, significa que la pgina web es segura y que toda la informacin depositada en la misma viajar de manera cifrada. Verificar la existencia de un certificado digital en el sitio web. El certificado digital se despliega en pantalla al hacer clic sobre la imagen del candado. Revisar que el certificado digital no haya caducado, ya que el mismo podra haber sido manipulado intencionalmente con fines maliciosos. Si se tiene dudas sobre la legitimidad de un correo, comunicarse telefnicamente con la compaa o entidad que presuntamente lo enva, para descartar la posibilidad de ser vctimas de un engao. Jams enviar contraseas, nmeros de tarjetas de crdito u otro tipo de informacin sensible a travs del correo electrnico, ya que la comunicacin podra ser interceptada y robada. Habituarse a examinar peridicamente la cuenta bancaria, a fin de detectar a tiempo alguna actividad extraa relacionada con la manipulacin de la cuenta o transacciones no autorizadas. Denunciar casos de phishing (dentro de lo posible) en la entidad de confianza, ya que adems de cortar la actividad del sitio malicioso, se colabora con la seguridad general de la navegacin en Internet.
Home Banking
Al acceder a Internet se puede ser vctima de innumerables amenazas y engaos. Esto toma nfasis al tratarse de la manejo de informacin sensible como la banca en lnea (o e-banking). Para prevenir este tipo de amenazas es fundamental seguir los pasos ya descriptos para evitar el phishing, principal riesgo actual al acceder a informacin en lnea 3. Uso de teclados virtuales
Para ms informacin consultar el curso Seguridad en las transacciones comerciales en lnea en la Plataforma Educativa.
Los teclados virtuales son mini-aplicaciones generalmente encontrados en sitios web que requieren alta tasa de seguridad (como pginas de home banking o financieros) y cuya funcionalidad es simular un teclado real. El uso del mismo se realiza a travs del mouse, permitiendo escribir lo que generalmente se realizara con el teclado convencional. La seguridad brindada por estos dispositivos radica en que permiten evitar los keyloggers, ya que al no presionar ninguna tecla se evita la grabacin de lo que se escribira. En la siguiente imagen pueden observarse los puntos ms importantes a verificar para garantizar una navegacin segura en la pgina web de las entidades financieras:
An as, para elevar un grado ms la seguridad, generalmente estos teclados mezclan aleatoriamente sus teclas de modo tal que un carcter no aparezca siempre en la misma posicin, haciendo que sea intil para los delincuentes registrar el movimiento y el clic del mouse. Para superar esta barrera de seguridad los nuevos troyanos han comenzado a tomar imgenes y videos de las acciones del usuario, pero al momento de desarrollar el presente curso, an no es demasiado comn su utilizacin.
Se debe verificar que los archivos a descargar no se encuentren sometidos a mtodos de engao como doble extensin, debido a que se trata de una tcnica muy empleada por el malware. Controlar que exista coherencia entre el tamao original del archivo descargado y el tamao aproximado que debera tener, para descartar la posibilidad de que se est en presencia de troyanos. Asegurarse de que la carpeta de intercambio de archivos contenga slo los archivos que se desea compartir. Revisar la configuracin de seguridad del programa cliente. Esto ayuda a maximizar la seguridad durante el proceso de descarga de archivos.
No compartir la contrasea con nadie. El carcter de sta es privado, con lo cual lo recomendable es que solo la conozca el usuario que la ha creado. Cuando se accede al mensajero desde lugares pblicos, conviene deshabilitar la opcin de inicio automtico para que la informacin de usuario y contrasea no queden almacenadas en el sistema. Esto evita que terceros inicien sesin de manera automtica. No compartir informacin confidencial a travs de este medio ya que la misma puede ser interceptada y robada con fines delictivos.
http://www.eset-la.com/remote-administrator/
En sistemas Windows se sugiere deshabilitar la ejecucin automtica de dispositivos, ya que muchos cdigos maliciosos aprovechan esta funcionalidad para ejecutarse, de esa manera, sin que sea necesaria la intervencin del usuario.
Conclusin
Ningn sistema puede declararse como 100% seguro, y esto se debe a que una cadena es tan fuerte como su eslabn ms dbil. A raz de las amenazas que aparecen da a da es muy importante que todo sistema se encuentre protegido por una solucin antivirus, con capacidades proactivas de deteccin, y la educacin del usuario minimiza las posibilidades de infeccin. Si un sistema se encuentra correctamente configurado y protegido las posibilidades de que el mismo se vea vulnerado son mucho menores.
Copyright 2011 por ESET, LLC y ESET, spol. s.r.o. Todos los derechos reservados. Las marcas registradas, logos y servicios distintos de ESET, LLC y ESET, spol. s.r.o., mencionados en este curso, son marcas registradas de sus respectivos propietarios y no guardan relacin con ESET, LLC y ESET, spol. s.r.o. ESET, 2011 Acerca de ESET Fundada en 1992, ESET es una compaa global de soluciones de software de seguridad que provee proteccin de ltima generacin contra amenazas informticas. La empresa cuenta con oficinas centrales en Bratislava, Eslovaquia y oficinas de coordinacin regional en San Diego, Estados Unidos; Buenos Aires, Argentina y Singapur. Tambin posee sedes en Londres (Reino Unido), Praga (Repblica Checa), Cracovia (Polonia), San Pablo (Brasil) y Distrito Federal (Mxico). Adems de su producto estrella ESET NOD32 Antivirus, desde el 2007 la compaa ofrece ESET Smart Security, la solucin unificada que integra la multipremiada proteccin proactiva del primero con un firewall y anti-spam. Las soluciones de ESET ofrecen a los clientes corporativos el mayor retorno de la inversin (ROI) de la industria como resultado de una alta tasa de productividad, velocidad de exploracin y un uso mnimo de los recursos. Desde el 2004, ESET opera para la regin de Amrica Latina en Buenos Aires, Argentina, donde dispone de un equipo de profesionales capacitados para responder a las demandas del mercado en forma concisa e inmediata y un laboratorio de investigacin focalizado en el descubrimiento proactivo de variadas amenazas informticas. La importancia de complementar la proteccin brindada por tecnologa lder en deteccin proactiva de amenazas con una navegacin y uso responsable del equipo, junto con el inters de fomentar la concientizacin de los usuarios en materia de seguridad informtica, convierten a las campaas educativas en el pilar de la identidad corporativa de ESET, cuya Gira Antivirus ya ha adquirido renombre propio. Para ms informacin, visite www.eset-la.com