Sin embargo, Internet hace que sus archivos sean vulnerables a personas
malintencionadas y que se ocultan a través del planeta.
Por necesidad, las redes locales que integran la organización, usualmente se encuentran
conectadas a Internet, lo que hace posible que cualquiera de los ordenadores que la
integran sean susceptibles de ser atacados.
Debido a que no se ha inventado todavía el producto que proporcione una protección total,
se necesitan varios niveles de defensa para proteger su red y sus ordenadores.
Para muchas empresas, desde pocos hasta miles de usuarios utilizando sus ordenadores,
fallas en la seguridad pueden causar pérdidas financieras muy altas así como ruptura en
los procesos administrativos y/o productivos.
Este tipo de cortafuegos es efectivo a la hora de detectar ataques de nivel básico pero
fallan a la hora de bloquear intentos de intrusiones llevadas a cabo por profesionales
pagos, acostumbrados a robar secretos industriales y desarrollos intelectuales, así como
tampoco pueden impedir el accionar de individuos malintencionados que gozan
inflingiendo el mayor daño posible a otras personas e instituciones.
Riesgos potenciales
Los cortafuegos por hardware no son una solución efectiva contra los nuevos ataques
debido a que sus algoritmos son simplemente demasiado primitivos.
La principal falla de los cortafuegos por hardware, es que no están basados en una
aplicación.
Estos cortafuegos no son capaces de analizar las aplicaciones que están conectadas a
Internet, simplemente son capaces de detectar el canal que los programas utilizan. Por
ejemplo, esto permite que un programa malicioso envíe información confidencial usando el
canal habitual del navegador, y esto no será detectado.
Otra falla de los cortafuegos por hardware, es que éstos no pueden filtrar el contenido de
las páginas de Internet, lo que hace posible que las redes no estén seguras de amenazas
provenientes de sitios maliciosos.
Existen pocos cortafuegos por hardware que permiten el filtrado de contenidos de páginas
de Internet, sin embargo, son muy caros y requieren una administración muy costosa y
avanzada.
Ya sea por el desarrollo de la informática móvil, la oficina en casa, los viajes de negocios y
cualquier otra actividad que implique conectarse a su ordenador desde afuera de la
organización a través de Internet y utilizando ordenadores públicos o personales, desde
hoteles, lugares de reunión o desde su propia casa, hace que esto incrementa fuertemente
los riesgos potenciales descritos o cualquier otro tipo de ataque.
Este dúo (cortafuego de uso personal + cortafuego por hardware) hacen que una red de
área local se convierta en una fortaleza impenetrable.
Outpost es, para muchos evaluadores independientes, el cortafuegos bajo Windows más
completo y avanzado del mundo.
Outpost fue diseñado para usuarios finales, sin embargo, es tan poderoso, que muchas
corporaciones y otros tipos de organizaciones lo utilizan para proteger sus redes.
Beneficios de utilizar Outpost Firewall en entornos de área
local:
La última línea de defensa
Outpost no sólo protege su ordenador de todas las amenazas de Internet, sino que
también, por diseño, de amenazas desconocidas.
Outpost es muy fácil de usar y no requiere ningún conocimiento específico para comenzar
a utilizarlo.
Uno de los mayores problemas es que los empleados gastan su tiempo visitando páginas
con contenidos para adultos, jugando en línea o participando en sitios de conversación y
encuentro (Chat y foros).
Utilizando Outpost no sólo es posible controlar los sitios que los empleados visiten, sino
que además no posee ningún costo adicional y es perfecta y éticamente aceptable.
Con Outpost protegiendo su red local, los empleados no se pueden tentar en distraerse de
sus tareas navegando por sitios inapropiados.
Personalización
Con esta tecnología cada organización puede desarrollar sus propios complementos para
ajustar con gran precisión, el funcionamiento de Outpost Firewall a sus particulares
necesidades y entorno de trabajo.
Este documento describe las técnicas que utiliza Outpost Firewall Pro, para prevenir fugas
de información personal y confidencial con fines delictivos.
Al ser evaluado en situaciones concretas, Outpost Firewall Pro superó exitosamente las
pruebas de fuga reconocidas, y demostró que brinda mayor seguridad a los usuarios de
ordenadores conectados a Internet.
También ofrece una descripción del funcionamiento de las herramientas utilizadas para
comprobar la eficacia de una aplicación cortafuegos, en la prevención de fugas de
información personal.
Control de componentes
TooLeaky
FireHole
WallBreaker
Ghost
Surfer
LeakTest
Yalta
DNSTester
pcAudit
Thermite
CopyCat
PCFlank LeakTest
Breakout
MBTest
OutBound
Jumper
Descripción
Introducción
La vulnerabilidad de esta información implica que, para los usuarios, es vital conocer y
controlar el tráfico saliente del ordenador, con el fin de evitar transferencias de datos no
autorizadas.
Mientras que los antivirus y las aplicaciones contra programas espía pueden detectar y
remover código malicioso descargado en el ordenador, una aplicación cortafuegos sirve
para propósitos más amplios. Los cortafuegos actúan como un punto de verificación virtual
para los datos en tránsito, y permiten sólo conexiones autorizadas, evitando que
programas maliciosos se conecten a Internet. Si un virus o programa espía ha logrado
ingresar al ordenador, el cortafuegos puede prevenir que ese código malicioso se
comunique o se propague por la red.
Tanto los antivirus como los detectores de programas espía, dependen en su gran
mayoría, de una temprana actualización de firmas para reconocer patrones de amenaza
nuevos, de modo que los creadores de código malicioso están siempre un paso
adelantados, respecto a tecnologías de detección más antiguas. Una aplicación
cortafuegos se diseña para proteger los ordenadores de los daños ocasionados por
amenazas maliciosas nuevas, mientras los desarrolladores de antivirus y herramientas
contra programas espía, en su inmensa mayoría, preparan sus actualizaciones.
Windows XP, especialmente con Service Pack 2 instalado, provee una protección
medianamente robusta - la mejora del módulo de seguridad sirvió para eliminar muchos
puntos débiles previamente explotados por programas maliciosos, y el cortafuegos
integrado ha sido preparado para detectar mejor las amenazas nuevas.
Desafortunadamente, estas mejoras no son suficientes para evitar los agujeros de
seguridad del propio sistema operativo.
En segundo lugar, Windows XP presume que los programas instalados son confiables, y
les permite comunicarse sin restricciones, intercambiar datos, y compartir componentes
internos. Por ejemplo, al pulsar sobre un hipervínculo en un mensaje de correo electrónico,
se abre automáticamente el navegador por defecto en el vínculo especificado.
Obviamente, esto facilita el trabajo, pero al mismo tiempo disminuye la seguridad del
sistema, pues un código malicioso puede llamar y ejecutar una aplicación legítima
utilizando el mismo procedimiento, sin realizar ninguna pregunta. Muchas aplicaciones
cortafuegos, como el integrado de Windows XP, no pueden detectar ese comportamiento
oculto y permiten que el código malicioso utilice la conectividad a Internet de un ordenador.
A continuación hay tres escenarios que muestran el nivel de protección que tendría un
ordenador con diferentes tipos de cortafuegos.
1. Sin cortafuegos
El avanzado control contra fugas de Outpost Firewall Pro detecta y previene los
intentos de programas maliciosos por enviar información directamente. Outpost
Firewall Pro 4.0 también monitoriza la actividad entre las aplicaciones, evitando
que código malicioso utilice las credenciales de una aplicación legítima para
transmitir datos a la red.
Una de las áreas más importante en la protección brindada por los cortafuegos, es el
filtrado de tráfico saliente, el cual, es usado para bloquear todo el tráfico con origen en su
ordenador y destino hacia la red u otros ordenadores y, de esta forma, impedir el accionar
de programas maliciosos como troyanos, Spyware (programas espías) y Adware
(programas que muestran publicidad), cuando estos tratan de acceder a Internet.
Más adelante, encontrará información sobre las distintas técnicas utilizadas por los
delincuentes informáticos para robar datos a través de las defensas externas del
cortafuegos, y cómo Outpost 4.0 protege a los usuarios de cada una de ellas.
Las pruebas de fuga utilizan una amplia variedad de técnicas y mecanismos para evaluar
la eficacia de la aplicación cortafuegos. Son herramientas legítimas que envían
información, con el consentimiento del usuario, a direcciones de prueba aisladas que no
pueden dañar el sistema.
Hay quienes piensan que las pruebas de fuga no recrean amenazas reales, y que son sólo
herramientas de análisis para realizar experimentos de laboratorio. Sin embargo, las
técnicas que utilizan pueden y han sido usadas por programas maliciosos verdaderos, por
lo tanto sirven como un indicador válido de la capacidad real del cortafuegos para manejar
ataques provenientes del exterior.
Existen muchos métodos de penetración y cada herramienta de análisis de fuga utiliza una
o más técnicas para verificar vulnerabilidades en el cortafuegos instalado.
• Sustitución de nombre
• Lanzador de aplicaciones
Los programas que utilizan esta técnica inician una nueva instancia de la
aplicación utilizada para acceder a Internet (usualmente un navegador), con la
dirección del sitio a la que desean conectarse y habitualmente, insertando
parámetros bajo línea de comandos. El proceso puede ocurrir en una ventana
oculta, para que el usuario no advierta la actividad.
• Manipulación de reglas
• Inyección de componentes
• Inyección de procesos
• Intercomunicación DDE
Esta técnica utiliza una aplicación para enviarle comandos a otra (generalmente un
navegador), para que esta última los procese. Utilizando la funcionalidad de
llamadas DDE (Direct Data Exchange, Intercambio directo de datos), los
programas pueden administrar y compartir contenidos entre sí. La técnica DDE se
usa en las pruebas de fuga, para comprobar si el cortafuegos puede reconocer
cuándo un programa está utilizando la comunicación DDE para controlar la
actividad de una aplicación de Internet habilitada.
• Utilización de OLE
Es una idea relativamente nueva, que utiliza la técnica del control OLE entre
programas, en pruebas de fuga. OLE es un mecanismo de Windows, que permite
que un programa administre el comportamiento de otro programa.
• Control de ventanas
Las pruebas de fuga pueden crear una página HTML que apunte a un sitio Web
determinado, y configurarlo como un elemento del Escritorio activo de Windows.
Cuando el mismo está activado, tiene permiso para dirigirse a la dirección
contenida en la página HTML, actuando en nombre del sistema y, por ende,
traspasando los censores del cortafuegos.
• Ataque de sincronización
• Petición recurrente
Algunas aplicaciones maliciosas utilizan servicios del sistema para acceder a
Internet en vez de modificar una aplicación legítima.
Los desarrolladores de cortafuegos tienen que estar un paso delante de los posibles
nuevos peligros, para que los usuarios de la red estén seguros. Outpost Firewall Pro es un
cortafuegos sólido, con antecedentes insuperables en protección ante nuevos tipos de
ataques.
Las siguientes características de Outpost Firewall Pro le permitieron superar cada análisis
de fuga de información a los que fue sometido. Esto demuestra que Outpost Firewall Pro
protege sólidamente a su ordenador de las nuevas técnicas de ataque.
• Control de componentes
Cuando se modifica un módulo de una aplicación, y esta intenta establecer una conexión,
Outpost Firewall Pro consulta al usuario si desea permitir o rechazar dicha conexión.
Algunos troyanos instalan componentes maliciosos dentro de una aplicación legítima (el
navegador, por ejemplo, posee muchos componentes que podrían ser suplantados), y de
esta forma obtienen acceso total a Internet. La función del control de componentes es
asegurar que los elementos constitutivos de una aplicación no sean falsos o maliciosos.
Outpost Firewall Pro le permite elegir el nivel de control de componentes a utilizar:
Puede lograr el mismo efecto, pulsando con el botón secundario del ratón, sobre una
aplicación seleccionada.
El control de componentes debe estar activado para poder visualizar los elementos
controlados.
• Control de procesos ocultos
Muchas aplicaciones que acceden a la red, no lo hacen de una forma directa sino
que se ocultan en otros procesos que requieren conexión a Internet.
Esto permite que dichas aplicaciones burlen la protección de los cortafuegos
tradicionales, ya que el proceso no forma parte de las mismas, y por lo tanto, las
restricciones del cortafuegos no serán aplicadas.
Es necesario destacar que esta técnica también es utilizada por aplicaciones legítimas (por
ejemplo Microsoft Internet Explorer), para ejecutar tareas habituales (como verificar si
existen actualizaciones) de un modo más amigable para el usuario, sin distraerlo
innecesariamente de sus actividades. Lamentablemente, esta tecnología también puede
ser aprovechada por código malicioso, para enviar a Internet información privada del
usuario.
Outpost Firewall Pro le permite controlar los procesos ocultos, y también los que son
ejecutados por una aplicación legítima.
Esto asegura que ninguna aplicación pueda violar su privacidad, enviando información
confidencial de su ordenador hacia la red.
Muchos troyanos y virus utilizan sofisticadas técnicas que les permiten modificar el
código de una aplicación legítima mientras esta es ejecutada en memoria y de esa
forma, pueden burlar a los cortafuegos comunes bajo una técnica conocida como
inyección de código o vulnerabilidad Copycat.
Outpost Firewall Pro controla las funciones que se utilizan para inyectar código malicioso
en procesos que se encuentren en la memoria del ordenador. Gracias a esto, Outpost
Firewall Pro previene que aplicaciones maliciosas utilicen esta técnica para transmitir
información personal hacia Internet.
Herramientas analizadas
Nuevo módulo de protección de datos en Outpost Firewall Pro 4.0
Outpost 4.0 incluye doce nuevas características contra fugas, que hacen que el robo de
datos sea un asunto del pasado. Pulse en el menú Opciones, de la ventana principal de
Outpost y, posteriormente, en Aplicación, Anti-Leak. que le permitirá configurar el nivel
de protección deseado, evitando comportamientos no autorizados de las aplicaciones:
Más adelante veremos cómo trabajan estas nuevas funciones en el contexto de diversas
pruebas de fuga, brindando a su ordenador una protección en varios niveles.
Herramientas utilizadas: pruebas de fuga
En Firewall Leak Tester y PC Flank hay una gran variedad de información sobre el tema.
Hasta hoy, ningún cortafuegos había logrado superar todos las pruebas de fuga existentes.
Outpost Firewall Pro 4.0 supera cada una de las pruebas sin inconvenientes, demostrando
su gran capacidad de mantener alejados a los delincuentes informáticos.
• Descripción:
Esta es una prueba de fuga fácil de superar, que utiliza la técnica de sustitución de
nombre, intentando cambiarse su denominación por la de un programa autorizado
del ordenador (por ejemplo, Internet Explorer), y establecer una conexión saliente
con un servidor remoto disimulada bajo un nombre legítimo.
Esta prueba vulneraría cortafuegos que sólo se basan en el nombre para identificar
una aplicación, y que no realizan otro tipo de control (por ejemplo, verificación de
identidad). Si bien es una prueba fácil, algunos cortafuegos no logran pasarla.
Respuesta de Outpost:
Outpost investiga los identificadores o huellas digitales que subyacen bajo el
nombre de cada programa.
• TooLeaky
TooLeaky
Técnica de fuga utilizada: Lanzador de
aplicaciones
Descripción:
Esta prueba es una versión un poco más sofisticada que la anterior, que abre el
navegador Web por defecto en una ventana oculta, mediante la siguiente línea de
comandos: iexplore.exe http://grc.com/lt/leaktest.htm?PersonalInfoGoesHere
Un programa malicioso que utilice dicha técnica podría enviar una contraseña o el
número de una tarjeta de crédito, entre otras posibilidades.
Si la prueba se ejecuta sin inconvenientes, significa que el cortafuegos ha fallado
pues no logró interceptar un proceso ilegítimo encapsulado en un proceso legítimo.
Las aplicaciones cortafuegos que confían en una aplicación por defecto, sin
investigar quién solicitó su ejecución, ni qué parámetros de conexión adicionales
se suministran, no logran pasar esta prueba.
Respuesta de Outpost:
Esto significa que Outpost controla cada programa que se abre en un ordenador, y
verifica los permisos de ejecución de aplicaciones con acceso a Internet; a pesar
de que la solicitud del programa sea legítima.
• WallBreaker
WallBreaker
Técnica de fuga utilizada: Lanzador de
aplicaciones
• Descripción:
o Primera prueba:
o Segunda prueba:
o Tercera prueba:
-> cmd -> explorer -> iexplore, y cuyo objetivo es tratar de simular un
programa malicioso que intenta esconderse ejecutando otros procesos
antes de acceder a Internet.
o Cuarta prueba:
Respuesta de Outpost:
Outpost Firewall Pro detecta fácilmente todos los intentos que realiza WallBreaker
para engañar al cortafuegos, protegiendo efectivamente al ordenador contra este
tipo de técnicas de lanzamiento.
• Ghost
Ghost
Técnica de fuga utilizada: Lanzador de
aplicaciones
• Descripción:
• Para eludir al cortafuegos, Ghost utiliza las técnicas de lanzamiento junto con
manipulación de direcciones URL y de identificadores de proceso. Envía
información al navegador y cambia continuamente su PID al cerrarse e iniciarse
sucesivamente muchas veces.
Respuesta de Outpost:
Esto significa que Outpost puede detectar si una aplicación trata de cambiar su
número de PID y desorientar al cortafuegos. Outpost simplemente preguntará al
usuario si es correcto autorizar una aplicación que modifica constantemente su
identificador para acceder a Internet, ya sea directamente o utilizando un programa
externo habilitado.
• YALTA
Descripción:
• Clásica:
• Avanzada:
Outpost verifica los permisos de una aplicación antes de autorizar que realice una
acción generalmente permitida, y alerta al usuario cuando detecta comportamiento
sospechoso.
• DNStester
DNSTester
Técnica de fuga utilizada: Manipulación de reglas
• Descripción:
Respuesta de Outpost:
Outpost Firewall Pro 4.0 verifica los permisos de las aplicaciones para acceder al
servicio cliente de DNS, y solicita una respuesta del usuario cando detecta una
petición inapropiada, protegiendo al ordenador de esta amenaza.
• FireHole
FireHole
Técnica de fuga utilizada: Inyección de
componentes
Descripción:
Respuesta de Outpost:
Cuando Outpost detecte una aplicación que intenta inyectar una porción de código
dentro de otro proceso, y acceder a la red a través del mismo, el usuario será
notificado y decidirá si acepta o rechaza el proceso.
• pcAudit
pcAudit
Técnica de fuga utilizada: Inyección de
componentes
Descripción:
Cuando la prueba finaliza con un resultado negativo (falla), pcAudit muestra una
página de resultados muy informativa y fácil de comprender: se muestra el
escritorio del usuario, junto con el texto ingresado y datos clave acerca del
ordenador anfitrión.
Respuesta de Outpost:
Esto significa que Outpost ha prevenido con éxito que la prueba pcAudit envíe
datos del ordenador a la red.
Descripción:
Respuesta de Outpost:
Los usuarios de Outpost que utilizan Windows 2000, pueden estar seguros de que
Outpost supera con seguridad la prueba de fuga Comodo Parent Injection.
• Thermite
Thermite
Técnica de fuga utilizada: Inyección de procesos
Descripción:
Respuesta de Outpost:
• CopyCat
Copycat
Técnica de fuga utilizada: Inyección de procesos
Descripción:
Respuesta de Outpost:
Descripción:
Respuesta de Outpost:
Outpost Firewall Pro obtiene el puntaje máximo (10 puntos) al verificar las seis
pruebas:
• Surfer
Surfer
Técnica de fuga utilizada: Intercomunicación DDE
Descripción:
Para engañar a los cortafuegos, Surfer se crea en un escritorio oculto para luego
ejecutar Internet Explorer sin ninguna dirección de Internet; por lo tanto, no existe
intento de conexión a la red. Posteriormente, Surfer inicia otra instancia de si
mismo y cierra la primera; después utiliza el protocolo DDE para enviarle una línea
de comandos a Internet Explorer. De esta forma, Surfer no le envía comandos
directamente al navegador mientras el mismo es ejecutado.
El protocolo DDE también podría ser utilizado en una instancia de Internet Explorer
que se encuentre activa en memoria. Esta forma sería menos oculta, pero
técnicamente es posible.
Respuesta de Outpost:
Outpost controla los comandos que recibe una aplicación a través de la interfaz
DDE, de modo que puede proteger el sistema del usuario determinando si la
actividad es legítima.
• PCFlank Leaktest
PCFlank Leaktest
Técnica de fuga utilizada: Control de aplicaciones
utilizando automatización OLE
Descripción:
Respuesta de Outpost:
Breakout
Técnica de fuga utilizada 1 : Mensajes de
Windows
Breakout
Técnica de fuga utilizada 2 : Modificación del
Escritorio activo de Windows
Descripción:
Respuesta de Outpost:
• MBtest
MBtest
Técnica de fuga utilizada: Acceso directo a la
interfaz de la red
Descripción:
La prueba de fuga MBtest genera una gran cantidad de paquetes erráticos, y los
envía al adaptador de red, atravesando el control TCP/IP del cortafuegos. De este
modo intenta evadir las técnicas de prevención de fugas.
Respuesta de Outpost:
OutBound
Técnica de fuga utilizada: Acceso directo a la
interfaz de la red
Descripción
Jumper
Técnica de fuga utilizada: Modificación del registro
del sistema
Descripción
La prueba Jumper utiliza dos técnicas para eludir los sensores del cortafuegos: el
lanzamiento de aplicaciones y la modificación del registro. La prueba manipula el
registro, y engaña a Windows para que cargue los componentes de Jumper la
próxima vez que se ejecute Windows Explorer.
Respuesta de Outpost:
Outpost monitoriza las áreas de sistema críticas del ordenador, impidiendo que se
realicen modificaciones maliciosas en las entradas de registro.
Cuadro comparativo
Los campos con el valor SI, indican que el cortafuegos detecta y bloquea el análisis de
fuga considerado.
Los campos con el valor ?, indican un resultado dudoso. Ver el apartado DNStester para
más información.
Outpost Outpost Outpost Outpost Windows
Prueba Técnica Firewall Firewall Firewall Firewall Firewall
Pro 4.0 Pro 2.5 Pro 2.1 Free 1.0 XP SP2
Firewall
Leakage Sustitución SI -- -- -- --
Tester
Lanzamiento de
TooLeaky SI SI SI -- --
aplicaciones
Lanzamiento de
WallBreaker SI SI -- -- --
aplicaciones
Lanzamiento de
Ghost SI SI -- -- --
aplicaciones
Manipulación de
YALTA SI SI -- -- --
reglas
Falsificación de
DNStester SI ? ? ? ?
peticiones DNS
Inyección de
FireHole SI SI SI -- --
componentes
Inyección de
pcAudit SI SI -- -- --
componentes
Comodo
Inyección de
Parent SI -- -- -- --
procesos
Injection
Inyección de
Thermite SI SI -- --
procesos
Inyección de
CopyCat SI SI -- --
procesos
AWFT Atelier
Inyección de
Web Firewall SI (10/10) SI (10/10) SI (5/10) -- --
procesos
Tester
Intercomunicación
Surfer SI SI -- -- --
DDE
Control de
aplicaciones
PCFlank
utilizando SI -- -- -- --
LeakTest
automatización
OLE
Mensajes de
SI -- -- -- --
Windows
Breakout
Modificación de
SI -- -- -- --
Escritorio activo
Acceso directo a la
MBTest SI -- -- -- --
interfaz de la red
Acceso directo a la
Outbond ? -- -- -- --
interfaz de la red
Modificación del
Jumper SI -- -- -- --
registro del sistema
Conclusión
Como se verifica en el resumen superior, Outpost Firewall Pro 4.0 supera todas las
pruebas de fuga conocidas.
Con Outpost Firewall Pro 4.0 usted tiene la certeza de estar protegido de acuerdo a sus
necesidades, sin tener que preocuparse de que alguien pueda robar o descargar su
información personal.