Autor Tema: 1ª Charla de Seguridad Informatica de daboweb - Iniciación  (Leído 12560 veces)

Desconectado Inscientia

  • Member
  • ***
  • Mensajes: 272
1ª Charla de Seguridad Informatica de daboweb - Iniciación
« en: 12 de Mayo de 2004, 12:12:30 am »
- CHAT TEMÁTICO: SEGURIDAD INFORMÁTICA 1- nivel básico (29-abril-04) -

0- INDICE
1- Las contraseñas
2- NetBios
3- Correo electrónico
4- Virus y antivirus
5- Troyanos y antitroyanos
6- Spyware y anti-spyware
7- Dirección IP y privacidad


1- LAS CONTRASEÑAS
El concepto de la seguridad comienza desde nuestro PC, la seguridad a nivel local es lo primero que debemos cuidar.

Un 90 % de los ataques vienen por las contraseñas. Es conveniente cambiarlas cada 15 días, o por lo menos una vez al mes.
Existen sistemas de fuerza bruta, "join the ripper",  que consisten en un ataque a las contraseñas por medio de un programa que prueba palabras que están en un diccionario hasta que la descubre (normalmente un archivo de texto). Es decir, exploran combinaciones con el fin de hallar la contraseña. Pero en estos diccionarios no están todas las posibles claves, por lo tanto, lo adecuado es poner cosas que no estén en los diccionarios, por ejemplo, una contraseña que no signifique nada, sin sentido, con caracteres ascii como ^y ~, y lo suficientemente larga.

Hay tres tipos de contraseñas que conviene no olvidar de poner en un PC si queremos que tenga una mínima seguridad. Se empieza "down-Top", de abajo a arriba:
- La primera, la de la Bios. Esta es para que en el arranque no se pueda acceder a arrancar el SO (sistema operativo). Es muy conveniente hacerlo ya que hay muchas intrusiones a nivel "local", es el primer sitio que debemos cuidar en vuestra casa. Si quitamos la pila de la Bios eliminaríamos la contraseña, esto implica un mayor trabajo en caso de un ataque.
- Después es importante poner también una contraseña de acceso al sistema (nos centramos en Windows). Dicha contraseña debe constar de, al menos, 8 caracteres para que sea algo segura. Procuraremos mezclar números, letras y también símbolos tipo la @ (pensad que en un ataque por fuerza bruta, una contraseña de menos de 15 caracteres es "rompible", pero tardaría tiempo).
- A continuación hay otro pass a tener en cuenta, el del salvapantallas de Windows. No lo descuidéis, en el trabajo hay verdaderos problemas con este tema, un descuido y podemos sufrir ataques rápidos fortuitos desde casa o el trabajo. Lo del salvapantallas no es una tontería, te vas al baño y...PC abierto, entonces te pueden colar un troyano, ver tus archivos, etc. Lo mejor es activar el salvapantallas con la opción de introducir contraseña para volver a tener acceso al PC.


2- NETBIOS
Veamos otro aspecto que esta trayendo desde siempre muchos problemas: NetBios es uno de los quebraderos de cabeza de la seguridad y un coladero constante de problemas.
Netbios es un protocolo "invisible" para la mayoría, pero que esta ahí. Se usa para compartir archivos e impresoras vía Internet. Opera, normalmente, por el puerto el 139.
Realmente, a no se que estemos en una "Intranet" o "Extranet" no es necesario que esté habilitado. EN Windows XP Se quita desde PANEL DE CONTROL > CONEXIONES DE RED > "COMPARTIR ARCHIVOS E IMPRESORAS EN RED", de ese modo evitaremos que, por un descuido y por compartir los archivos de nuestro disco, nos entren hasta la cocina.

En Windows 98, mirar esto de la web de Agika (tambien habla de XP, NT)

http://webs.ono.com/usr009/Coburn44/Netbios/Netbios.htm




Deshabilitar NetBios no afecta a otras cuentas de usuario, ya que éstas son individuales. Tampoco afecta para compartir archivos en programas P2P, sino que lo que hace es deshabilitar el compartir vía Web o mejor dicho, vía Internet. Es decir, podemos quitarlo y compartir archivos, creando grupos de trabajo, dominios, etc.

En el caso de que NetBios esté abierto, el uso de un password evita que la intrusión sea tan fácil, porque si un intruso ve que tenemos el puerto abierto y netbios "open" intentará acceder, pero si hay un password la cosa se complica porque tendría que intentarlo por "fuerza bruta".




3- CORREO ELECTRÓNICO
Hay dos tipos de correo: el correo POP y el correo Web. El POP se descarga al disco duro, el Web se ve por Internet (por ejemplo Hotmail).
Normalmente se usa el correo Web y eso no es muy recomendable porque es más fácil "romper" una cuenta de Hotmail que una de vuestro proveedor. La mayoría de las veces, el problema viene por la famosa pregunta-respuesta secreta. Puede sonar repetitivo pero no deben ponerse respuestas "previsibles", recordemos que el ataque suele ser de algún conocido que maneja datos nuestros. Además, puede intentar valerse de algún "exploit" para comprometer la seguridad del mismo.  Por tanto es aconsejable usar el POP para lo importante y el correo Web para lo demás. El POP es mas fiable, seguro y tiene mas espacio.

Además, es recomendable un filtro "anti spam" que lo que hace es comprobar las direcciones de los mails que entran con otras que están en listas de spammers y, si los detecta, las bloquea. Hay muchos programas anti spam, la mayoría funcionan bien, y es mas rápido que lo de "bloquear remitente".

Es muy importante que cada vez que nos bajemos un archivo o lo veamos sospechoso, le demos a "guardar destino como" y lo bajemos a escritorio a una carpeta que podemos llamar "para escanear" y a continuación lo pasemos por el antivirus. A veces en las presentaciones tipo "PowerPoint" pueden venir virus adjuntos, también en las .src (extensión del salvapantallas), .pif, .bat, .com, etc.

La mayoría de infecciones vienen porque al abrir el mail, por ejemplo en el Outlook Express (se trata correo POP), no damos tiempo a que el antivirus esté actualizado.

Si utilizamos un gestor de correo electrónico debemos saber que si no esta activada la "vista previa" no se abre el correo ni se ejecutan archivos adjuntos si no lo decides tú, por lo tanto no te infectas (en VER > DISEÑO > desactivar "MOSTRAR PANEL VISTA PREVIA"). Independientemente de esta opción, también existe la posibilidad de "no permitir que se abran o guarden archivos adjuntos que puedan contener virus" (en HERRAMIENTAS > OPCIONES > pestaña "SEGURIDAD" > desactivar la casilla correspondiente).
En www.spacesaturn.tk hay un artículo sobre seguridad en Outlook Express, cuya lectura se recomienda.


4- VIRUS Y ANTIVIRUS
Podemos usar dos antivirus teniendo en cuenta que sean compatibles entre sí. Por ejemplo el KAV sólo para escaneos y el NOD como residente siempre activo. En el antivirus, el módulo activo controla todo lo que entra al PC y escanea constantemente en busca de virus.

El problema viene con los "virus durmientes": algunos virus no están activos, sino que esperan a una fecha y el módulo de chequeo activo no lo detecta porque puede que el día de la "activación" del virus (por ejemplo viernes 13) nuestro antivirus no este activo o lo hayamos desactivado, por eso es importante hacer un escaneo semanal a todo el disco. Es decir, lo detectará en el caso de que hagamos el escaneo, puesto que por lo general en modo activo no lo suelen pillar.

Si nuestro antivirus tiene un buen motor heurístico, puede que detecte ese "virus durmiente" aunque éste no esté activo. Pero la heurística es una "ciencia" inexacta: se basa en el control del código y el modo de manifestarse de un posible virus. Hay veces en las que ni el antivirus con la heurística mas potente lo detectaría, por lo tanto, no hay que fiarse totalmente de la heurística aunque ayude bastante, porque mañana podría surgir un virus que ataque de modo "anormal" (como el Blaster) y nos infectaríamos.

Si se activara un virus durmiente, el módulo residente (suponiendo que lo tenga en su base de datos) lo detectaría en ese momento, aunque puede que también ataque al antivirus antes de que éste lo detecte, inutilizando el módulo y creándonos una falsa sensación de seguridad. Esto ocurre porque, a veces, va mas rápido el virus que el módulo porque utiliza menos recursos, consume menos memoria y es más rápido que el propio antivirus.


Una vez detectado y eliminado un virus (tanto de forma manual, por medio de un parche o por el propio antivirus) pueden ocurrir tres cosas:
- que esté eliminado completamente y ya no tengamos ningún problema.
- que esté eliminado pero hayan archivos que estén "corruptos".
- que el virus mute y ataque al antivirus.

Por esto último es recomendable arrancar el PC pulsando "F8" y elegir entrar en "modo seguro con funciones de red" para, de esta forma, escanearse con el antivirus Panda vía Web. El panda active scan descarga un mini módulo por un control active X que hace de mini antivirus. Es muy rápido y esta súper actualizado, mucho mejor que el panda "normal".
Llegados a este punto, si hacemos este escaneo en Panda en modo normal en vez de hacerlo en modo seguro, podríamos temer que un posible virus atacase al mini módulo que instala el escáner del Panda y dicho escaneo fuese inútil. Esto no es muy probable ya que es de lo más resistente que hay para esos casos de infección.


5- TROYANOS Y ANTI-TROYANOS
Además de los virus, están los troyanos: programas de código "malicioso" que se dedican a hacer de puente entre el PC de un atacante y nuestro ordenador. Los antivirus suelen fallar con los troyanos en muchos casos. El Kaspersky y el NOD 32 son de los mejores con ellos, pero lo mejor es tener un antitroyanos como por ejemplo el The Cleaner (más información www.daboweb.com/troyanos.htm

Si tenemos un troyano dentro y nos lo detectan, las entradas pueden ser interminables, es por eso que el uso de un firewall (muro virtual entre el ordenador y la red) se hace imprescindible, además de para otras muchas cosas. El firewall vigilará cualquier conexión entrante y saliente entre Internet y el PC.


6- SPYWARE Y ANTI-SPYWARE
El spyware o software espía instala como un "mini troyano"  y se dedica a enviar información por un puerto previamente abierto, normalmente UDP (user datagram protocol, no necesita "envío-recibo" de conexión) a un servidor o máquina que recoge los datos de nuestros hábitos de navegación (paginas vistas, direcciones de e-mail, etc.), para luego spammear sin cesar a nuestra máquina. Además, puede cambiar la página de inicio del navegador y llevarnos a una dirección no deseada cada vez que se inicie el navegador web.

Algunos antivirus empiezan a tener dentro firmas de spyware pero no se ponen de acuerdo, es por ello que se recomienda el uso de softs tipo el Ad-Aware o Spybot para eliminarlo.

Si el spyware es muy complejo puede abrir cualquier puerto y no dejar de recibir información y nuevas "cosas" para instalar en el PC (de ahí la importancia de tener un firewall). Diríamos que es como un troyano aunque sin intervención directa de otro usuario, pero en definitiva es todo un ataque contra la privacidad.

En resumen: el software espía es una violación de la privacidad, abre puertos que pueden ser explotados, puede instalar páginas de inicio no deseadas, ralentiza nuestra conexión y consume ancho de banda (más información en www.daboweb.com/spyware.htm


7- DIRECCIÓN IP Y PRIVACIDAD
La IP es como el documento de identidad del PC, es algo que asigna nuestro proveedor de acceso a la red de forma aleatoria. Con la IP la seguridad se compromete en gran manera, porque para hacer un ataque es a por lo primero que se va, y el rastro que dejamos nos puede jugar una mala pasada.

Las hay de dos tipos: estáticas o dinámicas.
- Las estáticas o fijas, son por ejemplo las de un Server. Ese Server tiene una IP y por medio de las DNS resuelve que www.daboweb.com es la IP XXX (explicado en plan de andar por casa) y te lleva a la web.
- La mayoría son dinámicas:
.............- Las que son por medio de módem cambian cada vez que te conectas, lo cual es muy bueno para la seguridad.  Lo negativo es que con las IPs de módem tradicional, por impulsos o línea telefónica, nos pueden colar un dialer o programa que desvía la conexión a internet a través de números de tarifa especial (más elevada que la conexión normal).
.............- Las de ADSL o cable cambian pero no tan a menudo, con lo cual, en el caso de que haya un ataque o troyano o fallo que hayan detectado desde fuera, nos intentarán atacar pero hasta que cambie la IP. La periodicidad con que se produce este cambio es aleatoria, depende del uso que haya en la red en ese momento.

Algo que puede complicarnos la vida en más de una ocasión es, por ejemplo, un foro que tenga las IPs visibles. En ese caso, un hacker rastrea los foros de novatos, mira las preguntas que haces y ve la IP, empieza a escanear y te ataca. Tenemos entonces mayor peligro si tenemos ADSL o cable y la IP no cambia cada poco, por lo que se hace a veces indispensable el ocultarla por medio de proxys o webs de navegación anónima p ej, proxomitron y www.anonymizer.com

Aún así, no es imposible llegar hasta la IP de un usuario. Por ejemplo, para saber la de alguien que haya hecho una trastada, la policía puede solicitar saber quien se enrutó ese día y en ese momento, luego contactan con el proveedor y éste les dará la información. Por tanto, la manera mejor manera de navegar anónimamente (y mas lenta) es hacerlo tras una cadena de proxys o a través de "shockets", tema que se tratará más extensamente en próximos chats.

 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License