aplicaciones web maliciosas
En seguridad informática, código malicioso es un término que hace referencia a cualquier conjunto de códigos, especialmente sentencias de programación, que tiene un fin malicioso. Esta definición incluye tanto programas malignos compilados, como macros y códigos que se ejecutan directamente, como los que suelen emplearse en las páginas web (scripts).
Los códigos maliciosos pueden tener múltiples objetivos como:
* Extenderse por la computadora, otras computadoras en una red o por Internet.
* Robar información y claves.
* Eliminar archivos e incluso formatear el disco duro.
* Mostrar publicidad invasiva.
Mínimos cambios en un código malicioso, pueden hacer que ya no sea reconocido como malicioso por un programa antivirus; es por esta razón que existen tantas variantes de los virus, los gusanos y otros malwares. Además, los antivirus todavía no tienen la suficiente "inteligencia" como para detectar códigos maliciosos nuevos.
Virus
Un virus es un programa informático creado para producir algún daño en el equipo y que posee, además, dos características particulares: pretende actuar de forma transparente al usuario y tiene la capacidad de reproducirse a sí mismo. Los virus pueden ingresar en su equipo desde otras computadoras infectadas, a través de medios extraíbles (CD, DVD, etc.) o por medio de una red (local o internet). Existen numerosos tipos de virus:
- Virus archivos: Atacan programas ejecutables, como aquellos que cuentan con extensión ".exe" y ".com"
- Virus script: Se trata de un subtipo de virus archivos, escritos en una variedad de lenguajes de scripting (VBS, JavaScript, BAT, PHP, etc.). Además infectan otros scripts (por ejemplo archivos de servicios y comando de Windows y Linux) o forman parte de virus con múltiples componentes. Los virus script tienen la capacidad de infectar archivos con otros formatos como HTML, tal formato permiten la ejecución de scripts.
- Virus Boot: Atacan los sectores de arranque (el sector de arranque de los medios extraíbles o del disco maestro) y establecen sus propias rutinas de carga en el arranque.
- Virus macro: Atacan documentos en los cuales pueden ser insertados otros comandos (macros). Estos virus habitualmente se hallan incrustados dentro de aplicaciones para procesamiento de texto o generación de hojas de cálculo, debido a que las macros se insertan fácilmente en esta clase de archivos.
Los virus también pueden ser clasificados de acuerdo al modo en que efectúan los ataques. Mientras que los virus de acción directa realizan una acción inmediatamente después de que el objeto infectado es activado, los virus residentespermanecen en el equipo y trabajan en la memoria del mismo.
Gusano
Un gusano es un programa independiente que se replica a través de una red. A diferencia de los virus (los cuales necesitan del archivo infectado para ser copiados y replicarse), el gusano se propaga activamente enviando copias de sí mismo a través de la red local o Internet, la comunicación por correo electrónico o aprovechando errores de seguridad del sistema operativo.
Troyano
Un troyano es un código malicioso que, a diferencia de los virus y gusanos, no puede reproducirse por sí mismo e infectar archivos. Usualmente se encuentra en forma de archivo ejecutable (.exe, .com) y no contiene ningún elemento más, a excepción del propio código del troyano. Por esta razón la única solución consiste en eliminarlo.
Posee varias funciones -desde actuar como keyloggers (se conectan y transmiten las acciones realizadas en el teclado) y eliminar archivos hasta formatear discos. Algunos contienen una funcionalidad especial que instala programas troyanizados, una aplicación cliente-servidor que garantiza al desarrollador acceso remoto a su equipo. A diferencia de muchos programas (legítimos) con funciones similares, se instalan sin consentimiento del usuario.
Adware
El adware frecuentemente es instalado en conjunto con programas de descarga gratuita y el cliente es informado de ello -en la mayoría de los casos- en el acuerdo de licencia del usuario final. Los mensajes publicitarios permiten a los desarrolladores de programas gratuitos obtener ingresos ofreciendo funcionalidades del programa que se encuentran disponibles solo en la versión comercial. En la mayoría de los casos la instalación de adware se encuentra dentro de los lineamientos legales -existen muchos programas de publicidad legítima.
Sin embargo, cuestiones como la asertividad de los anuncios, así como su contenido, resultan en que la legalidad dealgunos adware sea cuestionable.
Rogue
Rogue es un programa que, simulando ser una aplicación anti-malware (o de seguridad), ocasiona los efectos contrarios a esta: instala códigos maliciosos. Por lo general, se trata de ataques que muestran en la pantalla del usuario advertencias llamativas respecto a la existencia de infecciones en su equipo. La persona es invitada a descargar una solución o, en algunos casos, a pagar por ella. Los objetivos varían desde instalar códigos maliciosos en el equipo para obtener información confidencial o dinero a través del ataque.
Muchas variantes de rogue, además, simulan hacer un análisis del sistema, con barra de progreso incluida y minuciosos detalles respecto a la extensa cantidad de amenazas que se encuentran en el equipo. Los resultados nunca son alentadores y obviamente siempre se encuentra un número de amenazas importante para la computadora y, además, se detallan las peligrosas consecuencias en caso de no solucionar el problema con rapidez.
Spyware
El spyware es un programa que se vale de Internet para recolectar piezas de información sensible del usuario sin su conocimiento. Algunos de estos programas buscan información tal como la referente a aplicaciones instaladas y al historial de sitios web visitados. Otros programas del tipo spyware son creados con un objetivo mucho más peligroso: la recolección de información financiera o personal para el robo de identidad.
Riskware
Esta clase de código malicioso incluye todas las aplicaciones que incrementan los riesgos de seguridad. Del mismo modo que la instalación de spyware y adware, la instalación del riskware puede ser confirmada por un acuerdo de licencia. Los "dialers"-programas que desvían la conexión a un número pago preestablecido- son un ejemplo común de riskware. Estos programas pueden ser empleados para realizar el pago de servicios a través de Internet pero frecuentemente son mal utilizados y el desvío de información se produce sin el conocimiento del usuario.
Aplicaciones peligrosas
Se define como aplicación peligrosa a aquel programa legítimo que, habiendo sido instalado por el usuario, podría exponerlo a este a riesgos de seguridad. Ejemplos de estas aplicaciones incluyen keyloggers comerciales o programas para captura de pantalla, herramientas de acceso remoto, programas de pruebas de seguridad y robo de contraseñas.
Hoax
Se denomina hoax a la desinformación deliberada enviada por correo electrónico, y que es difundida con la ayuda de público desprevenido o desinformado. Son diseñados para incitar al usuario a que realice una acción que no debería ejecutar. Los hoaxes maliciosos a menudo aconsejan a los usuarios eliminar archivos válidos del sistema operativo, argumentando que tal archivo es un virus.
En muchos casos remiten a una institución/compañía confiable con el objetivo de llamar la atención del lector. Por ejemplo, " Microsoft advierte que..." o "La OMS anunció..." Estos mensajes habitualmente advierten acerca de consecuencias desastrosas e incluso catastróficas y cuentan con un elemento común - instan al usuario a enviar los mensajes a todos sus contactos, lo cual perpetúa el ciclo vital del hoax. 99.99 % de esta clase de mensajes son engaños.
Scams
En términos generales se define al scam como engaño perpetrado hacia los usuarios de computadoras con el propósito de obtener ganancias financieras o para efectuar un robo de identidad. Uno de los scams más comunes incluye mensaje vía fax no solicitado, un mensaje de correo electrónico o carta proveniente de Nigeria u otra nación de África occidental. Este mensaje aparentará ser una propuesta de negocios legítima pero requerirá un pago por adelantado. La propuesta obviamente es fraudulenta y cualquier pago realizado por el usuario es inmediatamente robado.
Otra forma habitual de scamming incluye la técnica de phishing a través de mensajes de correo electrónico y de sitios web. El propósito del scam es acceder a información sensible, como número de cuenta bancaria, código PIN, etc.
El acceso usualmente es obtenido a través del envío de correos electrónicos en el cual el delincuente se hace pasar poruna persona de confianza o de negocios (institución financiera, compañía de seguros)
El correo electrónico (o sitio web al cual el usuario es direccionado) puede verse como genuino y contener gráficos y elementos que podrían provenir de la fuente a la cual remite. Al usuario se le requerirá el ingreso de datos personales, número de cuenta bancaria o nombres de usuario y contraseñas. Toda esta información, si es enviada, puede ser fácilmente robada y ser objeto de abuso.
¿Qué son los sistemas de detección de intrusiones? ¿Qué tipos hay? ¿Qué son los cortafuegos de aplicación web? A estas y otras preguntas son las que da respuesta este post.
Los sistemas de detección de intrusiones (IDS del inglés Intrusion Detection Systems) analizan la información de un ordenador o de la red para detectar acciones maliciosas o comportamientos que puedan comprometer la seguridad de un sistema.
Los IDS se pueden clasificar atendiendo a diferentes criterios.
En primer lugar distinguiremos entre IDS e IPS (Intrusion Prevention System).
Como su nombre indica, los IDS detectan los ataques y lanzan una alarma en caso de detección, pero no impiden que el ataque tenga lugar. De esta manera, se dice que los IDS son pasivos. En contraposición, los IPS son activos y reaccionan ante los ataques, parándolos o modificándolos cuando son detectados, de manera que se impida que el sistema a proteger pueda quedar comprometido. El inconveniente de los IPS es que son capaces de cortar conexiones para que el ataque no tenga éxito. Esto supone que ciertos activos no estén disponibles, lo que puede suponer un problema en algunas ocasiones.
En segundo lugar, los IDS se pueden clasificar atendiendo a su localización. En este caso se habla de HIDS (Host IDS) y NIDS (Network IDS). Los HIDS protegen una máquina dada. Generalmente lo hacen examinando determinados parámetros del sistema operativo y del comportamiento del usuario tales como el uso de CPU y memoria, intentos fallidos de login, monitorización de logs y del sistema de ficheros, etc. Son más adecuados para combatir amenazas internas.
Por otra parte, los NIDS capturan y analizan todo el tráfico de un segmento de red en busca de actividad maliciosa, detectando los ataques que procedan desde el exterior.
En muchos de los casos, lo ideal para proteger un sistema es utilizar una solución combinada con HIDS y NIDS.
la clasificación atendiendo a su modo de funcionamiento. Típicamente se diferencia entre sistemas basados en firmas y basados en anomalías.
Los sistemas basados en firmas buscan firmas de ataques conocidos en una base de datos de firmas usando técnicas de encaje de patrones. Dicha base de datos debe mantenerse adecuadamente actualizada. La principal desventaja de este enfoque es que no es capaz de detectar ataques nuevos que no estén registrados en la base de datos.
El enfoque basado en anomalías soluciona el problema anterior debido a que define un modelo del comportamiento normal del sistema. Una vez que está definido, los comportamientos anómalos se consideran como sospechosos de intrusión. De esta manera es posible detectar nuevos ataques. La desventaja de estos enfoques radica en la dificultad de definir con precisión el comportamiento normal del sistema.
Sin embargo, estos sistemas tienden a dar más falsos positivos (FP), es decir, falsas alarmas. Uno de los grandes retos de los IDS es el de reducir al máximo el número de falsos positivos, a la vez que se maximiza la tasa de ataques detectados.
Como se ha mencionado anteriormente, los NIDS suelen trabajar con tráfico de red en general.
Estos sistemas pueden detectar un gran número de ataques, sin embargo no son suficientes para cuando se trata de la detección de ataques web.
Hoy en día las aplicaciones web forman, cada vez más, parte de nuestras vidas y están expuestas a una gran cantidad de amenazas. Esto unido al hecho de que cada día surgen nuevos ataques web, hace que resulte de gran importancia la toma de medidas de seguridad para proteger adecuadamente nuestras aplicaciones web.
Los cortafuegos de aplicación web (WAF - del inglés Web Application Firewall) son herramientas que trabajan a nivel de aplicación analizando el tráfico HTTP en busca de tráfico malicioso que pueda poner en compromiso el sistema. Por tanto, son adecuados para ayudar a proteger contra los ataques web.
Relay SMB
SMBRelay y SMBRelay2 son programas especiales que poseen la capacidad de llevar a cabo ataques contra equipos remotos. Los programas aprovechan el archivo de protocolo de uso compartido que se encuentra en NetBIOS. Un usuario que comparte cualquier carpeta o directorio localizado dentro de la red LAN probablemente utilice este archivo de protocolo compartido. Dentro de la comunicación de la red local, las contraseñas son intercambiadas.
SMBRelay recibe una conexión sobre el puerto UDP 139 y 445, transmite los paquetes intercambiados entre un cliente y el servidor y los modifica. Luego de conectarse y autenticarse, el cliente es desconectado. SMBRelay crea una nueva dirección IP virtual. Esta puede ser accedida mediante el comando “net use \\192.168.1.1“. La dirección puede emplearse por cualquiera de las funciones de red de Windows. SMBRelay transmite la comunicación del protocolo SMB exceptuando la inherente a negociación y autenticación. Los atacantes remotos pueden usar la dirección IP mientras el equipo cliente se encuentre conectado.
SMBRelay2 trabaja con el mismo principio que SMBRelay, exceptuando que utiliza los nombres NetBIOS en lugar de direcciones IP. Ambos pueden llevar a cabo ataques “man-in-the- middle”. Estos ataques permiten a los atacantes remotos leer, insertar y modificar mensajes intercambiados entre dos puntos de comunicación sin ser notificados. Los equipos expuestos a esta clase de ataques suelen dejar de responder o reiniciarse inesperadamente. Para evitar los ataques recomendamos que utilice contraseñas o claves de autenticación.
Defenderte contra los ataques de las Aplicaciones Webs
Keanini de ncircle dice que la mejor protección para las aplicaciones Webs maliciosas, es además una de las más difíciles de salvaguardar: educar a los usuarios sobre la necesidad de la seguridad online.
La regla numero uno es simple: si tienes cualquier duda, no des clic. Esta regla sencilla es la que mejor ayuda a la gente e no contraer un malware, pero parece que también es una de las más difíciles de seguir por lo usuarios. Dar clic en un enlace sin prestar atención sobre su seguridad es casi inevitable.
La regla número dos de defensa es mantener tu software al día: la mayoría del software puede prevenir los archivos maliciosos y bloquearlos, pero la más fuerte protección está en la actualización del software de seguridad, misma que puede identificar las amenazas actuales.
Las aplicaciones Web maliciosas explotan sus vulnerabilidades dentro de tu sistema operativo y la tercera parte de aplicaciones comprometen toda la integridad del PC. Debes permitir las Actualizaciones Automáticas para Windows y el resto del software que permita la actualización automática. Aplica las nuevas actualizaciones tan pronto como estén disponibles, en caso de que un código malicioso esté circulando en la red, puede ser que en el momento que el desarrollador esté generando un parche.
Tan rápido como los ataques web se desarrollan, los creadores de exploradores han añadido características de seguridad para proteger tu sistema. Los más populares navegadores tienen características que ayudan a identificar un verdadero dominio root de un website, y tener control de autobloqueó de sitios con código malicioso. Si estás usando un navegador desactualizado, aunque te puede proteger de los viejos malwares, te dejará desprotegido de los nuevos.
Keanini de ncircle dice que la mejor protección para las aplicaciones Webs maliciosas, es además una de las más difíciles de salvaguardar: educar a los usuarios sobre la necesidad de la seguridad online.
La regla numero uno es simple: si tienes cualquier duda, no des clic. Esta regla sencilla es la que mejor ayuda a la gente e no contraer un malware, pero parece que también es una de las más difíciles de seguir por lo usuarios. Dar clic en un enlace sin prestar atención sobre su seguridad es casi inevitable.
La regla número dos de defensa es mantener tu software al día: la mayoría del software puede prevenir los archivos maliciosos y bloquearlos, pero la más fuerte protección está en la actualización del software de seguridad, misma que puede identificar las amenazas actuales.
Las aplicaciones Web maliciosas explotan sus vulnerabilidades dentro de tu sistema operativo y la tercera parte de aplicaciones comprometen toda la integridad del PC. Debes permitir las Actualizaciones Automáticas para Windows y el resto del software que permita la actualización automática. Aplica las nuevas actualizaciones tan pronto como estén disponibles, en caso de que un código malicioso esté circulando en la red, puede ser que en el momento que el desarrollador esté generando un parche.
Tan rápido como los ataques web se desarrollan, los creadores de exploradores han añadido características de seguridad para proteger tu sistema. Los más populares navegadores tienen características que ayudan a identificar un verdadero dominio root de un website, y tener control de autobloqueó de sitios con código malicioso. Si estás usando un navegador desactualizado, aunque te puede proteger de los viejos malwares, te dejará desprotegido de los nuevos.
No hay comentarios:
Publicar un comentario