SEGURIDAD INFORMÁTICA: CONOZCA AL ENEMIGO
El nombre fue heredado de LA ILIADA, en el cual los griegos para lograr entrar a la ciudad de Troya, construyen un enorme caballo de madera y lo dejan como "regalo" a los troyanos. Estos llevan el caballo como trofeo al interior de la ciudad fortificada y lo celebran. Cuando los troyanos están distraídos o adormilados por el licor, un grupo de soldados griegos fuertemente armados, ocultos en la armazón del caballo, salen y .... En el mundo de la informática sucede lo mismo, los programadores dañinos para entrar a su sistema, construyen un vistoso, útil o llamativo programa, lo entregan como "regalo" a los usuarios. Estos llevan el programa como curiosidad al interior de sus sistemas fortificados con antivirus y firewalls, y lo ejecutan. Cuando los usuarios están distraídos trabajando, un grupo de instrucciones fuertemente dañinas, ocultas en el armazón del vistoso programa, se ejecutan y .... Los caballos troyanos pueden ser muchísimas veces más peligrosos que un virus, por estas razones: 1. Un virus debe ser pequeño y rápido (es decir, pocas instrucciones). Use lenguajes como ensamblador, C o scripts. 2. Un virus no es un invitado, luego el autor debe ingeniárselas para poder entrar a un sistema hostil (antivirus, firewalls). 3. Un virus debe cargar con código para auto replicarse. 4. Su fama es su peor debilidad, un virus no dura mucho porque la presión de los usuarios, la prensa y las empresas de informática y ahora el sistema judicial terminan por extinguirlo. Es muy común para nosotros, recibir por el correo programas tipo broma como una oveja saltarina o una rana en una licuadora. Ahora imaginen que un programador malicioso hiciera algo similar pero que ocultara una carga explosiva en su interior. Un caballo de Troya tiene ciertas ventajas: 1. Puede ser lo grande que quiera (salvo limitantes en transmisión de archivos por correo electrónico). No debe ser necesariamente rápido. El programador es libre de seleccionar el lenguaje de programación. 2. Es un invitado, tiene pase de cortesía. El usuario no se imagina que el llamativo software es un traidor. 3. No necesita código de auto replicado, los mismos usuarios se encargan de distribuirlos a otros. 4. ¿Cual fama? Los virus son los que mojan prensa, los caballos troyanos pueden pasar desapercibidos por meses y años. Traigo dos historias sobre caballos troyanos que me fueron cercanas: 1. Cuando estudiaba Ingeniería de Sistemas, vimos Cobol. Hacíamos los programas con un editor texto DOS, y lo compilábamos y ejecutábamos con un pequeño shell .BAT, el shell por dentro era así: [C:\COBOL] type comp.bat rmcobol85 %1.cbl runcobol85 %1 Eso fue hace varios años (no recuerdo bien las instrucciones), lo que si recuerdo fue que un gracioso, modificó el programa y ya lucía así: [C:\COBOL] type comp.bat del *.cbl rmcobol85 %1.cbl runcobol85 %1 Ningún antivirus, ningún programa de seguridad con lo último en heurísticas e inteligencia artificial podría detectar este tipo de daño (borrar archivos *.cbl). Sólo afectó a un compañero mío, cuando vio que sus programas de Cobol se habían esfumado: ¿Quien fue el #$$%? Pero para detectarlo simplemente había que mirar como era el shell, pero en el afán de terminar los programas, la gente siempre escribía "comp" y confiaba que todo marchara bien. 2. ¿Creen que DOS o Windows son terrenos inseguros? Si piensa que eso es cierto, solo observen el bromista que cambió el comando 'l' (shell para llamar a ls -lia) de UNIX (opera igual en Linux). Shell normal: $ cat l ===> ls -lia (lista los archivos) Shell modificado para destruir: $ cat l ===> rm -R -f * (fuércese el borrado de todo incluyendo subdirectorios). Un caballo troyano no necesariamente debe ser un programa que trate de destruir datos o hacer daño, también puede tener otros usos inesperados. Por ejemplo, suponga que un amigo le ha enviado un extraño programa que sirve para intercambiar música en formato MP3, en un principio el programa logra su cometido y usted está contento, bajando y enviando música por Internet. Pero usted sin saberlo, cuando ejecuta el programa, este recolecta información de su PC como: 1. Que sistema operativo o hardware usa, o; 2. Que programas hay instalados, o; 3. La lista de sus Favoritos (Bookmarks), o, 4. El historial de navegación por Internet, o, 5. Sus direcciones de correo, etc.. Una vez que el programa ha recolectado esta información (sin que usted se percate), lo envía a un servidor en Internet, aprovechando el momento en que usted este bajando un archivo de música. Habrá mucha gente que matará por esta información ya que es mas precisa que cualquier cookie o encuesta web. Los antivirus o el sistema operativo o el paquete de seguridad cuidan que no hayan operaciones de escritura sobre componentes críticos del sistema, pero las actividades anteriormente descritas son lecturas y en la mayoría de los casos son normales luego ninguna alarma se dispararía. Creo que la mayoría en nuestras casas tenemos un lugar para guardar objetos de poco o ningún uso, algunos usan el ático o el sótano. Y por lo general siempre éste está desordenado y lleno de polvo. Para entrar a ese sitio hay que hacerlo con desconfianza porque es un cálido hogar para insectos, artrópodos (arañas y alacranes) y hasta es posible encontrar ratas, ratones y serpientes. No ocurre lo mismo con lugares como la sala para mirar TV o nuestro baño, los cuales tienen una frecuencia de limpieza mucho más alta que un sótano y están mejor ordenados. Igual sucede con nuestros equipos de cómputo, si no mantenemos un orden y una política de limpieza, le sucederá lo mismo que al sótano, podrá llenarse de virus, gusanos y caballos troyanos. ¿Es candidato para ser atacado por un caballo troyano, virus, gusano o código maligno? Responda a estas preguntas: Si o No
1. ¿Desde que recibió el equipo a finales de 1997 nunca lo ha formateado y
reinstalado Windows?
2. ¿Los nuevos virus que detecta su antivirus son "Viernes 13" y "Stoned"?
3. ¿En C:\Windows\Temp tiene archivos de datos importantes?
4. ¿En todos los subdirectorios tiene archivos de datos?
5. ¿Usted cuando hace un backup lo hace completo de unidades C: D: E: , en
vez del directorio de datos?
6. ¿Hace meses o años que no ve un papal tapiz porque la pantalla esta llena
de accesos directos?
7. ¿Y la mayoría de accesos directos apuntan a documentos o programas
inexistentes?
8. ¿Tiene como 80 programas instalados y solo usa si mucho 3?
9. ¿El espacio libre en disco se mide en KB, en vez de MB?
10. ¿En el raiz de C:\ tiene archivos .doc, .xls, .mp3, .ppt, .exe
(instaladores)?
11. ¿Mantiene aun su buzón de correo en C:\WINDOWS\Application
Data\Identities\{C2E907E0-07D4-11D4-A8F8-0050046748D3}\Microsoft\Mail?
(debería moverlo a un directorio de datos!!)
12. ¿Hay mas "cookies" en su historial de navegación que galletas en el
inventario de Nabisco?
13. ¿"Scandisk" y "Defrag" son miembros de la liga de fútbol?
14. ¿Ha instalado versiones pre-alfa, alfa, pre-beta, beta 1, beta 2,
release candidate 1, RC2, de variado software?
15. ¿Al lado del reloj digital en la barra de tareas de Windows hay mas de
10 iconos?
16. ¿Solo le falta un loro y un parche en el ojo para ser un completo
pirata?
17. ¿Todo el software de prueba (shareware) ya lo ha "crackeado" para evitar
su vencimiento?
18. ¿Y para "crackear" este software acostumbra bajar los "crackers" de
sitios warez?
19. ¿Todo archivo adjunto que recibe de las amigas (o amigos) por correo los
abre inmediatamente?
20. ¿Instala y prueba cada programa que vienen en los CDs que traen las
revistas que compra?
21. ¿Cada vez que arranca Windows siempre le muestra un mensaje de error,
pero usted lo ignora y continua trabajando?
22. ¿Tiene la última tarjeta de video aceleradora OpenGL, DirectX, 32MB, 32
bits colores, 1024*768 y lo último en pantallas de 19 pulgadas y aun así no
ha podido salir de VGA, 640*480 y 16 colores?
23. ¿Cada vez que prende el equipo y ve un mensaje de error, se acuerda de
retirar el disquete de la unidad de disco?
24. ¿Ignora todos los mensajes de advertencia al correr plug-ins o ActiveX
que Internet Explorer emite?
25. ¿Piensa que las historias de virus como "ILOVEYOU" son de otros países,
lejos de uno?
26. ¿Las Norton Utilities u otros utilitarios son para gente rara u
obsesionada con los computadores?
27. ¿Su familiar o amigo, el "informático", queda mudo cuando usted le
comenta lo que le pasa a su PC?
28. ¿Su contraseña de correo o acceso, sigue siendo el apodo cariñoso de "su
primer amor"?
29. ¿Tiene mas de 4000 mensajes de correo almacenados?
30. ¿Máximo tiene 4 carpetas de correo: Bandeja de Entrada, Salida,
Eliminados y Enviados y esta ahí todo el correo personal, de negocios,
basura, ofertas, etc..?
31. ¿Quedó frió del susto con el script visual que envié en Caballos
Troyanos Parte 3? ¿Pensó que lo había perdido todo?
Nota: Cuando me hicieron esa broma, en fracción de segundos pensé: "Bueno,
otra vez reinstalar Windows y bajar mis documentos del Zip drive".Cuídese y añadan más preguntas!! Caballos Troyanos famosos A diferencia de sus parientes los virus, los caballos troyanos no mojan prensa (¿será que su nombre no es publicitario?) siendo que pueden ser mas potentes y destructivos que los virus. Sin embargo, a toda regla hay su excepción y hubo un caballo troyano que mojó prensa, su nombre: BackOrifice. BackOrifice, debe su nombre a una parodia que le hacen a Microsoft BackOffice. ¿Que hace? Supongamos dos usuarios: A y B. A es maligno y B la pobre victima. A le envía un pequeño programa a B ya sea por disquete, CD-ROM o correo. B ingenuamente al ejecutarlo hace que este se instale en su PC (Windows 95/98/NT/2000). El programa es sigiloso, ocupa muy poca memoria, es rápido, no se nota. Ahora A con un programa desde su PC puede controlar remotamente el computador de B (ejecutar procesos, enviar/recibir archivos, capturar pantallas, adivinar contraseñas, etc..). B no se percata de ello. ¿Interesante no? El mismo principio tienen herramientas comerciales como PC Anywhere de Symantec. Salvo que estas cuestan, son legales. Dependiendo del punto de vista, puede ser un programa maligno o benigno. Yo lo vi benigno: durante un tiempo use BackOrifice para controlar un computador Windows a distancia (evitaba tener que desplazarme físicamente hasta allá y no tenia fondos para comprar una herramienta comercial). Es libre, estable, hay tutoriales, código fuente esta disponible y se le pueden instalar Plug-ins para hacerlo más poderoso. Consígalo en http://www.cultdeadcow.com/tools Mas información en Español la encontré aquí http://www.perantivirus.com/sosvirus/backorif.htm |