1. DEFENSASUno de los conceptos ms importantes es el de la
defensa en profundidad. Puesto que debemos tener varios niveles de
seguridad, de manera que si se viola uno de ellos , an quedan otros
niveles de defensa.Las defensas no son jerrquicas pero comenzaremos
por las exteriores que son ms generales.FIREWALLSUna computadora
conectada a internet est expuesta a dos tipos de peligro: entrantes
y salientes. Los peligros entrantes incluyen crackers que tratan de
entrar a la computadora, as como virus, spyware y dems malware. Los
peligros salientes incluyen informacin confidencial como los nmeros
de tarjeta de crdito, contraseas, devoluciones de impuestos y todo
tipo de informacin corporativa.El firewall es una adaptacin moderna
de un antiguo recurso de seguridad medieval cavar un pozo profundo
alrededor del castillo.Este modelo obligaba a todos los que
entraban y salan del castillo a pasar por un puente levadizo en
donde la polica de E/S poda inspeccionarlos.Hay dos variedades de
firewall: de hardware y software. Por lo general, las empresas que
deben proteger sus LANs optan por firewalls de hardware; los
individuos en su hogar eligen con frecuencia los firewalls de
software.La conexin se conecta al proveedor de red y este a su vez
al firewall de hardware genrico. No pueden entrar paquetes a la Lan
ni salir de ella sin que el firewall lo apruebe
Los firewalls se configuran con reglas descritas en una interfaz
web. En el tipo de firewall ms simple , El firewall sin estado , se
inspecciona el encabezado de cada paquete que pasa por l y se toma
la decisin de aceptar o rechazar el paquete , slo basados en esa
informacin la cual incluye direcciones Ip de origen y destino ,
puertos de origen y destino el tipo de servicio , el protocolo .Los
paquetes entrantes contienen un nmero de puerto de 16 bits , que
especifica cul proceso en la mquina debe recibir el paquete.
Algunos puertos tienen servicios asociados. En especial el puerto
80 se utiliza para web , el puerto 25 para el correo electrnico y
el puerto 21 para el servicio FTP( transferencia de archivos) ,
pero la mayora de los dems puertos estn disponibles para los
servicios definidos por el usuario.
Los firewalls de estado mantienen el registro de las conexiones
y el estado en el que se encuentran. Estos firewalls con mejores
para vencer ciertos tipos de ataques en especial los relacionados
con el establecimiento de conexiones. Hay otros tipos de firewalls
que implementan un IDS (Intrusion Detection System, Sistema de
deteccin de intrusos) dnde no slo se inspecciona encabezados sino
tambin el contenido en busca de material sospechoso.Los firewalls
de software hacen lo mismo que los firewalls de hardware pero en
software. Son filtros que se conectan al cdigo del kernel del
sistema operativo y filtran los paquetes de la misma forma en la
que lo hace el firewall de hardware.LOS ANTIVIRUS Y LAS TCNICAS
ANTI-VIRUSLos virus tratan de ocultarse una vez hayan burlado la
primera barrera de seguridad (firewall). Los virus son como los
rootkits, excepto que la mayora de sus creadores buscan esparcirlos
rpidamente en vez de jugar a las escondidas como los
rootkits.Analizaremos algunas tcnicas usadas por el software
antivirus y la forma en que Virgilio , el escritor de virus
responde a ellos.Explorador de virusLa empresas de software
antivirus tienen laboratorios en los que cientficos dedicados
trabajan largas horas para rastrear y comprender los nuevos
virus.El primer paso es hacer que el virus infecte un archivo que
no hace nada conocido como archivo seuelo (goat file),para obtener
una copia de este virus en su forma ms pura.El siguiente paso es
hacer un listado exacto del cdigo del virus e introducirlo a la
base de datos de virus conocidos. La empresas compiten por el tamao
de su base de datos e inventan nuevos virus para aumentar su tamao
lo cual no es considerada una buena prctica.Una vez instalado el
programa de antivirus lo primero que hace es explorar todos los
archivos ejecutables en busca de cualquier virus de la base de
datos .Entre ms virus haya en la base de datos y ms amplio sea el
criterio de declarar una ocurrencia , habr ms falsas alarmas.
Obtener una deteccin acertada implica un balance delicado de
heurstica.Otra forma en el que el programa antivirus detecte la
infeccin de archivos es registrar y almacenar en el disco las
longitudes de todos los archivos. Si un archivo creci de tamao
desde la ltima comprobacin , podra estar infectado
Ventajas Gran deteccin de virus polimrficos o desconocidos. Gran
Proteccin Garantizada. Gran facilidad de uso. Buena Apariencia.
Proteccin en tiempo real contra los virus. Fcil de actualizar la
base de virus para una mejor proteccin. Elimina todo fcilmente. Es
Fcil de instalar.Desventajas Utiliza muchos recursos y pone lento
elCPU. Es lento a la hora de escanear. Es apto para computadores
que tengan como mnimo en 512 de Memoria RAM. Las opciones de
conexin, bsqueda y proteccin son muy reducidas y limitadas,
obligando a tener que soportar muchas ejecuciones secundarias no
deseadas del programa. No essoftware libre.
Algunos mtodos de infeccinAadidura o empalme.Por estemtodoel
cdigo del virus se agrega al final del archivo ejecutable a
infectar, modificando lasestructurasde arranque del archivo
anfitrin de manera que el control del programa pase primero al
virus cuando se quiera ejecutar el archivo. Estecambiode secuencia
permite al virus realizar sus tareas especficas y luego pasar el
control al programa para que este se ejecute normalmente. La
principal desventaja de este mtodo es que el tamao del archivo
infectado es mayor al original, lo que permite una fcil
deteccin.Insercin.Los virus que utilizan el mtodo de insercin
buscan alojarse en zonas de cdigo no utilizadas o en segmentos
dedatosdentro de los archivos que contagian, de esta manera la
longitud total del archivo infectado no vara. Este mtodo, parecido
al de empalme, exige mayores tcnicas de programacin de los virus
para poder detectar las zonas posibles de contagio dentro de un
ejecutable, por lo que generalmente no es muy utilizada por los
programadores de virus informticos.Reorientacin.Este mtodo es una
variante interesante del anterior. Bajo este esquema se introducen
centrales virsicas (los cdigos principales del virus) en zonas
fsicas del disco rgido marcadas como defectuosas o en archivos
ocultos del sistema. Estos cdigos virales, al ejecutarse, implantan
pequeos trozos de cdigo en los archivos ejecutables que infectan,
que luego actan como llamadores de las centrales virsicas. La
principal ventaja de este mtodo es que el cuerpo del virus, al no
estar inserto en el archivo infectado sino en otro sitio oculto,
puede tener un tamao bastante grande, aumentando as su
funcionalidad. La desventaja ms fuerte es que la eliminacin de este
tipo de infecciones es bastante sencilla. Basta con borrar archivos
ocultos sospechosos o reescribir las zonas del disco marcadas como
defectuosas.Polimorfismo.Este es el mtodo ms avanzado de contagio
logrado por los programadores de virus. La tcnica bsica usada es la
de insercin del cdigo viral en un archivo ejecutable, pero para
evitar el aumento de tamao del archivo infectado, el virus compacta
parte de su cdigo y del cdigo del archivo anfitrin de manera que la
suma de ambos sea igual al tamao original del archivo. Al ejecutar
el programa infectado acta primero el cdigo del virus
descompactando en memoria las porciones previamente compactadas.
Una variante mejorada de esta tcnica permite a los virus usar
mtodos de encriptacin dinmicos para disfrazar el cdigo del virus y
evitar ser detectados por los antivirus.Sustitucin.El mtodo de
sustitucin, usado con variantes por los Caballos de Troya, es quizs
el mtodo ms primitivo. Consiste en sustituir el cdigo completo del
archivo original por el cdigo del virus. Al ejecutar el programa
infectado el nico que acta es el virus, que cumple con sus tareas
de contagiar otros archivos y luego termina la ejecucin del
programa reportando algn tipo de error. Esta tcnica tiene sus
ventajas, ya que en cada infeccin se eliminan archivos de programas
vlidos, los cuales son reemplazados por nuevas copias del
virus.Tunneling.Es una tcnica usada por programadores de virus y
antivirus para evitar todas las rutinas alserviciode una
interrupcin y tener as un control directo sobre esta. Requiere una
programacin compleja, hay que colocar el procesador en modo kernel.
En este modo de funcionamiento, tras ejecutarse cada instruccin se
produce la INT 1. Se coloca una ISR (Interrupt Service Routine)
para dicha interrupcin y se ejecutan instrucciones comprobando cada
vez si se ha llegado a donde se quera hasta recorrer toda la cadena
de ISRs que halla colocando el parche al final de la cadena.Los
virus utilizan el tunneling para protegerse de los mdulos
residentes de los antivirus que monitorean todo lo que sucede en la
mquina para interceptar todas las actividades "tpicas" de los
virus.
COMPROBADORES DE IDENTIDAD
Es un mtodo completamente distinto para detectar virus. Un
programa antivirus que funciona de esta manera explora primero el
disco duro .Una vez de que est convencido que el disco duro est
limpio calcula la suma de la comprobacin para cada archivo
ejecutable .Despus escribe en un archivo llamado sumacomp la lista
de sumas de comprobacin .La prxima vez que se ejecuta vuelve a
calcular todas las sumas de comprobacin y verifica que coincidan
con lo que hay en dicho archivo. Un archivo infectado en la lista
se podr identificar de inmediato,Sim embargo es posible crear un
virus que elimine el archivo de comprobacin. O peor an que calcule
la suma de comprobacin del archivo infectado y reemplace la entrada
anterior en el archivo de sumas de comprobacin. El programa
antivirus puede tratar de ocultar el archivo de sumas de
comprobacin pero no es probable que funcione si es que el creador
del virus realiza un estudio minucioso .Una mejor idea sera
firmarlo digitalmente para que sea ms fcil detectar su alteracin
.Comprobacin de integridadComo ya habamos anticipado los
comprobadores de integridad verifican que algunos sectores
sensibles del sistema no sean alterados sin el consentimiento del
usuario. Estas comprobaciones pueden aplicarse tanto a archivos
como al sector de arranque de las unidades de almacenamiento.Para
poder realizar las comprobaciones el antivirus, primero, debe tener
unaimagendel contenido de la unidad de almacenamiento desinfectada
con la cual poder hacer despus las comparaciones. Se crea entonces
un registro con las caractersticas de los archivos, como puede ser
su nombre, tamao, fecha de creacin o modificacin y, lo ms
importante para el caso, elchecksum, que es aplicar un algoritmo al
cdigo del archivo para obtener un valor que ser nico segn su
contenido (algo muy similar a lo que hace la funcin hash en los
mensajes). Si un virus inyectara parte de su cdigo en el archivo la
nueva comprobacin del checksum sera distinta a la que se guard en
el registro y el antivirus alertara de la modificacin. En el caso
del sector de booteo el registro puede ser algo diferente. Como
existe un MBR por unidadfsicay un BR por cada unidadlgica, algunos
antivirus pueden guardarse directamente una copia de cada uno de
ellos en un archivo y luego compararlos contra los que se
encuentran en las posiciones originales.Una vez que el antivirus
conforma un registro de cada uno de los archivos en la unidad podr
realizar las comprobaciones de integridad. Cuando el comprobador es
puesto en funcionamiento cada uno de los archivos sern escaneados.
Nuevamente se aplica la funcin checksum y se obtiene un valor que
es comparado contra el que se guard en el registro. Si
ambosvaloresson iguales el archivo no sufri modificaciones durante
el perodo comprendido entre el registro de cheksum antiguo y la
comprobacin reciente. Por el otro lado, si los valores checksum no
concuerdan significa que el archivo fue alterado y en ciertos casos
el antivirus pregunta al usuario si quiere restaurar las
modificaciones. Lo ms indicado en estos casos sera que un usuario
con conocimientos sobre su sistema avale que se trata realmente de
una modificacin no autorizada y por lo tanto atribuible a un
virus-, elimine el archivo y lo restaure desde la copia de
respaldo.La comprobacin de integridad en los sectores de booteo no
es muy diferente. El comprobador verificar que la copia que est en
uso sea igual a la que fue guardada con anterioridad. Si se
detectara una modificacin en cualquiera de estos sectores, se
preguntar al usuario por la posibilidad de reconstruirlos
utilizando las copias guardadas. Teniendo en cuenta que este sector
en especial es un punto muy vulnerable a la entrada de los virus
multipartidos, los antivirus verifican constantemente que no se
hagan modificaciones. Cuando se detecta una operacin de escritura
en uno de los sectores de arranque, el programa tomacartasen el
asunto mostrando en pantalla un mensaje para el usuario indicndole
sobre qu es lo que est por suceder. Por lo general el programa
antivirus ofrece algunas opciones sobre como proceder, como evitar
la modificacin, dejarla continuar, congelar el sistema o no tomar
ninguna medida (cancelar).Para que esta tcnica sea efectiva cada
uno de los archivos deber poseer su entrada correspondiente en el
registro de comprobaciones. Si nuevos programas se estn instalando
o estamos bajando algunos archivos desde Internet, o algn otro
archivo ingresa por cualquier otro dispositivo de entrada, despus
sera razonable que registremos el checksum con el comprobador del
antivirus. Incluso, algunos de estos programas atienden con mucha
atencin a lo que el comprobador de integridad determine y no dejarn
que ningn archivo que no est registrado corra en el sistema.
COMPROBADORES DEL COMPORTAMIENTO
Es la tercera estrategia que utiliza el software antivirus. Con
ese mtodo el programa antivirus vive en memoria mientras que la
computadora est funcionando y atrapa por s slo las llamadas al
sistema, de esta manera monitorea toda la actividad tratando de
detectar algo sospechoso.COMO EVITAR LOS VIRUSMejor seguro que
arrepentidoEs mucho ms fcil evitar los virus que tratar de
rastrearlos por ello mostraremos unos cuantos lineamientos para
usuarios individuales .1. Elegir un sistema operativo que ofrezca
un alto nivel de seguridad con un lmite slido entre el modo kernel
y el modo usuario y contraseas separadas para cada usuario .2.
Instalar slo software legal.3. Comprar software antivirus y usarlo
segn las indicaciones .4. No hacer click en archivos adjuntos de
correo electrnico.5. Puede realizarse copias frecuentes de archivos
clave en un medio externo como disco flexible, Cd con el fin de
tener la oportunidad de restaurar los archivos antes de ser
infectados.6. Resistir la tentacin de descargar y ejecutar el nuevo
software ostentoso y gratuito de una fuente desconocidaAdems
algunos fabricantes deberan tener en cuenta lo siguiente: Los
sistemas operativos deben ser simples. Hay que olvidarse del
contenido activo Debe haber una forma de proteger contra escritura
ciertos cilindros del disco. La memoria flash slo debera
modificarse al activar un interruptor externo, algo que slo
ocurrira cuando el usuario instale una actualizacin del BIOS.FIRMA
DE CDIGOOtra manera de impedir que el malware entre en la
computadora es ejecutar solo el software de distribuidores
confiables. Esta basado en la criptografa de clave pblica. Un
distribuidor de software genera un par (clave pblica y clave
privada) la segunda clave la guarda con recelo
Las pginas web pueden contener cdigo como los controles activeX,
pero tambin cdigo en diversos lenguajes de secuencias de comandos.
A menudo este cdigo est firmado en cuyo caso el navegador examina
la firma de manera automtica.
ENCARCELAMIENTOConfiar pero verificar Aunque una pieza de
software est firmada es conveniente verificar que su comportamiento
sea correcto.
El programa recin adquirido se ejecuta como un proceso que en la
figura se denomina prisionero. El carcelero es un proceso confiable
que monitorea el comportamiento del prisionero.DETECCIN DE INTRUSOS
BASADOS EN MODELOSOtro mtodo para defender una maquina es instalar
un IDS Intrusion Detection System .Hay dos tipos: uno se concentra
en inspeccionar los paquetes de redes entrantes y el otro se enfoca
en buscar anomalas del CPU.IDS basado en host se le conoce como
deteccin de intrusos basada en modelos estticos y se puede
implementar mediante el uso de la tcnica de encarcelamiento. La
forma ms simple para aprender esto es hacer que el compilador lo
genere, que el autor del programa lo firme y adjunte su
certificado.ENCAPSULAMIENTO DE CODIGO MOVILPostScript es un
Lenguaje de Descripcin de Pgina, empleado en impresoras lser y como
formato de transporte de archivos grficos. PostScript fue
desarrollado por John Warnock y Chuck Geschke, actualmente de Adobe
Systems y fue introducido en 1982. PostScript utiliza un lenguaje
de programacin OO completo para describir una imagen para que pueda
ser impresa. Esto lo diferenci de otros lenguajes que slo usaban
secuencias de escapes de bajo nivel. PostScript trata a las imgenes
(incluso las fuentes) como colecciones de objetos geomtricos en
lugar de mapas de bits.Cuando hablamos de trminos informticos, los
cuales no son pocos, debemos tener en cuenta uno muy importante, el
cual se refiere a la seguridad de nuestros equipos y que
probablemente salga en muchos temas o conversaciones entre
informticos y/o usuarios avanzados. Es lo que se denomina Sandbox o
Caja de arena, un mecanismo de seguridad que nos permite el
aislamiento de los programas para ser analizados en cuanto a
comportamiento malintencionado, tal como el malware, spyware, etcEn
realidad, el objetivo de los programas de tipo Sandbox, permiten
ejecutar cualquier programa en una porcin enjaulada de nuestro
disco duro, evitando la propagacin del software malintencionado a
otras partes del mismo.Algunos ejemplos de programas que cumplen
este objetivo son los siguientes:Mquina virtual:Emula un ordenador
completo, en el que un sistema operativo convencional se puede
iniciar y ejecutar como lo hara en hardware real. El sistema
operativo "invitado" es un recinto de seguridad, al no ejecutarse
de forma nativa en la mquina, y slo poder acceder a los recursos
fsicos mediante el programa emulador (algunos ejemplos sonVMware
Workstation,Windows Virtual PCoVirtual Box, entre otros).Uno de los
usos domsticos ms extendidos es ejecutar sistemas operativos para
probarlos. De esta forma podemos ejecutar un sistema operativo que
queramos testear (Linux, por ejemplo) desde nuestro sistema
operativo actual (Windows, por ejemplo) sin necesidad de instalarlo
directamente en nuestro ordenador y sin miedo a que se desconfigure
el sistema operativo primario.Jaula:Conjunto de recursos limitados
e impuestos a los programas por el ncleo del sistema operativo.
Puede incluir restricciones de ancho de banda, cuotas de disco,
acceso a la red, as como un listado de nombres de archivos
restringidos, como los de sistema.Estas jaulas se generan desde el
propio sistema operativo o bien con la instalacin de programas,
comoSandboxie, que ejecutan las aplicaciones en un espacio aislado,
que les impide realizar cambios permanentes en otros programas y
datos en el ordenador.SEGURIDAD DE JAVA
Introduciremos la seguridad desde un punto de vista terico, segn
los siguientes puntos: Criptologa. En este apartado daremos una
breve introduccin a los campos de la criptografa y el
criptoanlisis, presentando su terminologa, las herramientas
disponibles y sus aplicaciones. Tcnicas criptogrficas. En este
punto estudiaremos con ms detalle algunas de las herramientas
presentadas anteriormente, indicando sus caractersticas
principales: grado de seguridad, implementaciones, disponibilidad,
etc. Certificados digitales. Descripcin de qu son los certificados
digitales, las entidades certificadoras y las infraestructuras de
clave pblica. Protocolos de red seguros. En este apartado
describiremos los protocolo SSL y TLS.