Además de los problemas de seguridad
derivados de errores o descuidos en los programas existen otras amenazas
lógicas, programas creados con la intención de atacar a la
seguridad del sistema, se les suele conocer con el nombre de virus.
Actualmente, los virus son producidos
en cantidades extraordinarias por muchísima gente alrededor del
planeta. Algunos de ellos dicen hacerlo por diversión, otros quizás
para probar sus habilidades. De cualquier manera, hasta se ha llegado a
notar un cierto grado de competitividad entre los autores de estos programas.
Principales síntomas de la presencia de virus:
Cambio de longitud en archivos.
Modificación de la fecha original
de los archivos.
Aparición de archivos o directorios
extraños.
Dificultad para arrancar el PC o no conseguir
inicializarlo.
Bloqueo del teclado.
El PC no reconoce el disco duro.
Ralentización en la velocidad de
ejecución de los programas.
Archivos que se ejecutan mal.
El PC no reconoce las disqueteras.
Se borran archivos inexplicablemente.
Aparecen nuevas macros en documentos de
Word.
La opción "ver macros" se desactiva.
Pide passwords no configurados por el
usuario.
1. Clasificación de las
amenazas
VIRUS
Un virus es una secuencia de código que se inserta en un fichero ejecutable denominado host, de forma que al ejecutarse el programa también se ejecuta el virus. El virus necesita de un programa donde insertarse para poderse ejecutar.
Clasificación de virus según su método de infección
--Virus de fichero.
Este tipo de virus reside en los archivos
de tipo .EXE o .COM y se activan en el momento de la ejecución de
este tipo de archivos o también pueden insertar una copia
de ellos a estos, tomando el control del sistema. Son conocidos también
como Bombas de tiempo ya que se activan con un evento especifico, por ejemplo
una fecha. A la fecha también han aparecido virus que no solo infectan
archivos tipo .exe o .com sino que además infectan plantillas de
word .doc, excel y otros.
-- Virus de sector de arranque (boot).
Infectan el sector de arranque de los
discos. Están ocultos en el primer sector del disco y se cargan
en memoria RAM antes que los archivos de sistemas . De esa manera toman
el control total de las interrupciones, para ocultarse, diseminarse y provocar
daños. Por lo general reemplazan el contenido del sector de arranque
con su propio contenido y desplazan el sector original a otra área
del disco. Para erradicarlos, es necesario inicializar la PC desde un diskette
sin infectar y proceder a removerlo con un antivirus, y en caso necesario
reemplazar el sector infectado con el sector de arranque original. Suelen
ser virus de MSDOS.
-- Virus de e-mail.
Hay dos tipos de virus: los que junto
a un mail hacen llegar un adjunto que necesariamente debe abrirse o ejecutarse
para activar el virus, y los gusanos (worms) que aprovechan los agujeros
de seguridad de programas de correo electrónico para infectar a
las computadoras.
-- Virus de macro.
-- Virus de tabla de partición.
Este tipo de virus infecta el sistema
de archivos y directorios del disco duro, una de sus características
mas notables es que son difíciles de detectar y eliminar.
-- Virus multipartitas.
Este tipo de virus reúne las características
de los anteriores tipos ya que puede infectar tanto archivos como sectores
de arranque al mismo tiempo.
GUSANOS (WORMS)
Son programas capaces de viajar por si
solos a través de redes de computadores para realizar su propósito
una vez alcanzada la máquina. Los gusanos pueden instalar un virus
en la máquina alcanzada, atacarla o simplemente utilizar sus recursos.
Los gusanos son una de las amenazas que
pueden causar mayores daños.
CONEJOS/BACTERIAS
Los conejos son programas que de forma directa no dañan al sistema, sino que se limitan a reproducirse, generalmente de forma exponencial, hasta que la cantidad de recursos consumidos (procesador, memoria, disco...) se convierte en una negación de servicio para el sistema afectado.
La mejor forma de prevenir estos ataques es limitando los recursos de los procesos.
CABALLOS DE TROYA
Es un programa que aparentemente realiza
una función útil para quien lo ejecuta, pero que en realidad
realiza una función que el usuario desconoce, generalmente dañina.
Suelen usarse para capturar datos del sistema y enviarlos a otro sitio
abriendo agujeros en el sistema.
Una manera de descubrir troyanos es comparando
el programa con una copia del original. También se pueden hacer
resúmenes de los programas originales y guardarlos para ir comparándolos
con los resúmenes de control que le hagamos a los programas posteriormente.
APPLETS HOSTILES
Se trata de applets que al descargarlos intentan monopolizar o explotar los recursos del sistema de una forma inapropiada. Esto incluye desde ataques clásicos como negaciones de servicio o ejecución remota de programas en la máquina cliente hasta amenazas mucho más elaboradas, como difusión de virus, ruptura lógica de cortafuegos o utilización de recursos remotos para grandes cálculos científicos.
BOMBAS LÓGICAS
Son similares a los troyanos. Se trata de código insertado en los programas que parecen realizar cierta función útil. Pero mientras que un troyano se ejecuta cada vez que se ejecuta el programa que lo contiene, una bomba lógica sólo se activa bajo ciertas condiciones, como una determinada fecha, la existencia de un fichero con un nombre dado, o el alcance de cierto número de ejecuciones del programa que contiene la bomba; así, una bomba lógica puede permanecer inactiva en el sistema durante mucho tiempo sin activarse y por tanto sin que nadie note un funcionamiento anómalo hasta que el daño producido por la bomba ya está hecho.
CANALES OCULTOS
Es un cauce de comunicación que permite a un proceso receptor y a un emisor intercambiar información de forma que viole la política de seguridad del sistema. Los canales ocultos existen solamente en sistemas con seguridad multinivel.
PUERTAS TRASERAS
Son trozos de código en un programa
que permiten a quién conoce su funcionamiento saltarse los métodos
usuales de autenticación para realizar cierta tarea.
2. Virus de macro
Los virus macro forman el 80% de todos los virus y son los que más rápidamente han crecido en toda la historia de los ordenadores en los últimos 5 años. A diferencia de otros tipos de virus, los virus macro no son exclusivos de ningún sistema operativo y se diseminan fácilmente a través de archivos adjuntos de e-mail, disquetes, bajadas de Internet, transferencia de archivos y aplicaciones compartidas. Los virus macro son, sin embargo, aplicaciones específicas. Infectan las utilidades macro que acompañan ciertas aplicaciones como el Microsoft Word y Excel, lo que significa que un Word virus macro puede infectar un documento Excel y viceversa. En cambio, los virus macro viajan entre archivos en las aplicaciones y pueden, eventualmente, infectar miles de archivos.
Los virus macro son escritos en Visual Basic y son muy fáciles de crear. Pueden infectar diferentes puntos de un archivo en uso. Lo primero que hacen es modificar la plantilla maestra para ejecutar varias macros insertadas por el virus, así cada documento que abramos o creemos, se incluirán las macros "víricas".
Es una familia de virus de reciente aparición
y gran expansión. Estos están programados usando el lenguaje
de macros WordBasic, gracias al cual pueden infectar y replicarse a través
de archivos .DOC. En la actualidad esta técnica se ha extendido
a otras aplicaciones como Excel y a otros lenguajes de macros, como es
el caso de los archivos SAM del procesador de textos de Lotus. Se ha de
destacar, de este tipo de virus, que son multiplataformas en cuanto a sistemas
operativos, ya que dependen únicamente de la aplicación.
Hoy en día son el tipo de virus que están teniendo un mayor
auge debido a que son fáciles de programar y de distribuir a través
de Internet. Aun no existe una concienciación del peligro que puede
representar un simple documento de texto.