Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
SeguridadInformtica: elanlisisproactivodeamenazas
Autor:SebastinBortnik
copiar,distribuir,exhibir,yejecutarlaobra. hacerobrasderivadasdeella.
Bajolassiguientescondiciones:
http://creativecommons.org/licenses/byncsa/2.5/ar/
-Pg. 2 de 35
HEURISTICAANTIVIRUS SeguridadInformtica:elanlisisproactivodeamenazas.
Resumen La tecnologa est cambiando rpidamente y los virus informticos se han adaptado para aprovechar estos cambios e incrementar los daos causados y, fundamentalmente, su capacidad de propagacin. La velocidad con la que se reproducen los virus ha crecido exponencialmente,msquelacapacidaddeloslaboratoriosantivirusparacombatirlos.Enla ventanadetiempoquesegeneraentreellanzamientodeunnuevovirusylacreacindeuna vacunaparaprevenirlo,seinfectancadavezmsordenadoresylosmtodosoriginariosde prevencinqueseutilizaban,yasoninsuficientes. En el presente trabajo, se expone en qu consisten las nuevas soluciones que han desarrolladoempresasantivirusparaprotegerlossistemas,sinlanecesidaddebrindaruna vacunaespecficaparacadavirusencontrado.Estas,sebasanenlautilizacindebsquedas heursticascomocomplementoalosmtodosyaexistentes.Lostemassonabordadosdesde una perspectiva conceptual, independiente de las implementaciones tcnicas de cada empresa. Amododecierre,seincluyeunmodeloparalacreacindereglasheursticasenseguridad, quesintetizaatravsdeunesquematerico,losconceptosdesarrolladosalolargodetexto. Abstract Technologyischangingrapidlyandcomputerviruseshavetakenadvantageofthesechanges toincreasedamagesand,mainly,itscapacitytospreadmorequickly.Thespeedofviruses propagationhasexponentiallyincreased,fasterthanthecapacityofantiviruslaboratoriesto fightthem.Thereisawindowtimebetweenthelaunchofthenewthreatandtheappearence ofthesignaturetopreventit.Inthemeantime,moreandmorecomputersgetinfected.Asa consequence,theoldtoolstodetectcomputervirusesarenotenough. Thispaperpresentsnewtoolsthatantivirusescompanieshavedevelopedtoprotectcomputers, without the need of signatures of previously captured viruses. It also shows what these solutions consist of. They are based on heuristic research as a complement to the already existingmethods.Thispaperdoesnottakeintoconsiderationthetechnicalimplementationof each vendor, but rather tackles the subject matter from a general view. As a closure, this researchworkincludesamodelforthecreationofheuristicrulesinsecurity,whichsummarizes, throughatheoreticaloutline,theconceptscontainedinthistext. Autor/Author:SebastinBortnik Palabras Clave: heurstica, antivirus, seguridad informtica, virus, malware, mtodos de prevencin,proactivo. KeyWords: heuristic, antivirus, information security, virus, malware, prevention methods, proactive. Fecha/Date:Agostode2007/August2007
-Pg. 3 de 35
INDICE
Introduccin Quesheurstica HeursticaeInformtica HeursticaySeguridadInformtica HeursticaAntivirus Quesunvirus Brevehistoriadelsurgimientodelosvirus Cmofuncionaunvirus VirusoMalware? Ejemplosdevirus Antivirus Heursticaantivirus Aspectosnegativosdelaheurstica Tcnicasheursticas Cmoseevalaunatcnicaheurstica Laheursticareemplazarlaexploracinporfirmas? OtrasaplicacionesenSeguridadInformtica Antispam Firewall FiltrosdeInternet EducacinenSeguridad Conclusin Modelotericoparalacreacindereglasheursticasenseguridad Fuentes 25 25 26 26 27 29 31 13 13 14 15 16 17 19 20 21 21 24 5 7 10 12
-Pg. 4 de 35
INTRODUCCIN
Elconceptodeheursticaespocopopularenlaactualidad,apesardequesuconcepcin provienedelaGreciaantigua.Alolargodelosaossefueintroduciendoelconceptoen diferentesciencias,inclusoenlascienciasdelacomputacin. En el rea de la Seguridad Informtica, el trmino se volvi popular a travs de los softwareantivirus,encargadosdeprotegeranuestroscomputadores,detodotipodevirus (omalware)quepuedaingresarenlydaarlo.Muchosusuarioshabrnescuchadoque ciertoantivirus,utiliza bsquedasheursticassinsaberqusignificatalafirmacinyqu implicanciatieneestoenelrendimientodelsoftware. Existendiversosescritossobrelaaplicacindelaheursticaenantivirus.Sinembargo,se pretendeconelpresentetrabajo,aportarunavisinmsglobal,estudiandoelconcepto desdesusorgenesysusaplicacionesmsalldelainformtica.Enconsecuencia,se presentarn analogas y ejemplos con respecto a las personas y sus decisiones heursticas. Las tcnicas heursticas ya son aplicadas por muchas de las empresas que proveen soluciones antivirus y, de hecho, ya son indispensables para el buen desempeo del softwareylaseguridaddenuestraPc.Desdeya,quelosalgoritmosutilizadosporcada motor antivirus no son publicados y, como se ver, no cualquier heurstica ofrece resultadospositivos.Sinembargo,noespropsitodelpresentecompararyjuzgaralas diferentes empresas antivirus sinosimplementeestudiar elconceptoysusaplicaciones ms all de las implementaciones particulares de cada empresa, que pueden ser evaluadasporcadausuarioenparticular. Enlosltimosaos,teniendoencuentasucrecimientoenlossoftwareantivirus,sehan comenzado a aplicar razonamientos heursticos en otras aplicaciones de la Seguridad Informtica, tales como sistemas de deteccin de intrusos (IDS), antispam y otros. Es decir,laheursticaseencuentraenunaetapadecrecimientoenelreadelaseguridad. Estosedebeanuevascaractersticasdelasamenazasinformticasqueexistenhoyenla redqueobligaronareformularlasestrategiasdedefensayprevencinyaque,comose explicar posteriormente, las utilizadas hasta el momento ya no brindan suficiente proteccin. Como conclusin, he desarrollado un modelo terico para la creacin de reglas heursticasenlaseguridadquepuedeajustarse,tantoparalacreacindeestrategiasde seguridadydesarrollodealgoritmosheursticos,comoastambin,paralacomprensin deestosenaplicacionesyaexistentes.
-Pg. 5 de 35
-Pg. 6 de 35
QUESHEURSTICA
La definicin del trmino heurstica es una tarea compleja, si se tiene en cuenta las diferentesformasdeexpresarloqueexisten,segnelcontextoenelqueseladelimite.Sin embargo,todaslasdefinicionessonvlidasyrefierenaunmismoconcepto.Explorando desde sus orgenes, se concluir en una definicin base para la lectura del presente trabajo. Laetimologadelapalabra,provienedelgriego heursko,esdecir, encontrar,locual ofreceunaprimeraguaenlabsquedadeunadefinicincomn.Delamismapalabra griega proviene el famoso Eureka (lo encontr) mencionado por Arqumedes al encontrarlasolucinalproblemadecomprobarqueunacoronaerarealmentedeoro. ApesarqueeltrminoesutilizadodesdelaGreciaantigua,fuepopularizadoenelao 1 1945porelmatemticoGeorgePlya ensulibroHowtosolveit(Comoresolverlo), quetratasobremtodosparalaresolucindeproblemas,especialmenteenelreadela matemtica.Elautorhacemencinalanecesidaddeestudiarelconceptoyaquehasido 2 comnmente presentada a grandes rasgos, pero rara vez en detalle . En la obra, se presenta el trmino en funcin del descubrimiento matemtico y el autor diferencia la utilizacin del mismo como adjetivo o sustantivo; refirindose a algo que gua el descubrimientoenelprimercasoyaunadisciplinapropiamentedichaqueposeetcnicas queguaneldescubrimiento,siesutilizadaencambiocomosustantivo. Unatcnicaheursticanuncaesutilizadacomoresolucinfinalobsquedadelamejor solucin.Justamentenospermite,antecualquieradeestassituaciones,guiarelaccionar haciaunaposicinfavorableenposdelobjetivo. ComotambinmencionaPlyaensutexto,generalmenteestamosobligadosautilizarel razonamientoheurstico. ApartirdelamencindePlyayalolargodelosaos,elconceptodeheursticacomenz asermsfrecuenteendiferentesreasdeestudioynosoloenlasmatemticas,sino tambinenlalgica,lapsicologa,lafilosofaylacomputacin.Hoyenda,sepueden encontrar diferentes definiciones del mismo concepto, algunas de las cuales se mencionan,parapoderprecisarla. La Real Academia Espaola la define como tcnica de la indagacin y del 3 descubrimiento. Otras posibles formas de definirla son: reglas del sentido comn deducidasdelaexperiencia,procesodeganarconocimientoounresultadodeseadopor conjeturasinteligentes,o,deformamssencilla,elproblemaderesolverproblemas.
1 2
112.Polya,GeorgeHowToSolveIt:ANewAspectofMathematicalMethod
3
-Pg. 7 de 35
Extradodehttp://foro.msgpluslive.es/showthread.php?tid=3689
-Pg. 8 de 35
Esdecir,alaplicarheurstica,sesacrificandemandasdecompletitud;enposdeobtener unasolucinptimaenuntiemporazonable. Nosedebeconfundirlaaplicacindeunadecisinheursticaconelazar,laintuicino aspectos por el estilo. No siempre que se solucione un problema en forma rpida se aplicanreglasheursticas.Lohago,sibasomisdecisionesenlaexperienciayencierto aspectoinductivoalrespecto. Volviendoalprimerejemplo,unapersonaenesasituacinpodratenerunacorazonadade queHaraldMllerviveenBrasilyhastainclusopodraserciertoperonoporelloseha aplicadounrazonamientoheurstico. Diferenciarunaresolucindeunproblemaenformacompletayenformaheursticaesvital paralaobtencinderesultadosysuvaloracin.AsloexplicitatambinensulibroGeorge Plya:Laheursticaesbuenaensmisma.Loqueesmaloesmezclarelrazonamiento heurstico con pruebas rigurosas y, lo que es peor, vender el razonamiento heurstico 5 comounapruebarigurosa .
LahistoriadeEureka HernII,reydeSiracusa,pidiundaasuparienteArqumedes(aprox.287a.C.aprox. 212 a.C.), que comprobara si una corona que haba encargado a un orfebre local era realmentedeoropuro.Elreylepiditambindeformaexpresaquenodaaselacorona. Arqumedesdiovueltasyvueltasalproblemasinsabercomoatacarlo,hastaqueunda,al meterseenlabaeraparadarseunbao,seleocurrilasolucin.Pensqueelaguaque se desbordaba tena que ser igual al volumen de su cuerpo que estaba sumergido. Si medaelaguaquerebosabaalmeterlacorona,conoceraelvolumendelamismaya continuacinpodracompararloconelvolumendeunobjetodeorodelmismopesoquela corona.Silosvolmenesnofueseniguales,seraunapruebadequelacoronanoerade oropuro. Aconsecuenciadelaexcitacinqueleprodujosudescubrimiento,Arqumedessalidel baoyfuecorriendodesnudocomoestabahaciaelpalaciogritando:"Loencontr!Lo encontr!". Lapalabragriega"Eureka!"utilizadaporArqumedes,haquedadodesdeentoncescomo unaexpresinqueindicalarealizacindeundescubrimiento. Alllevaralaprcticalodescubierto,secomprobquelacoronatenaunvolumenmayor
-Pg. 9 de 35
HEURISTICAEINFORMTICA
Unalgoritmoesunconjuntofinitodeinstruccionesopasosquesirvenparaejecutaruna tarea o resolver un problema. Consta de una secuencia de pasos lgicos que permite cumplirunobjetivouobtenerunasolucin. Eninformticaseutilizanconstantementealgoritmosparadiversasfuncionesyobjetivos, aplicndolosacualquiertareadeprogramacin.Aldesarrollarsoftware,sedebencrear algoritmosquesatisfaganlasnecesidadesdelprogramaencuestin. Unproblemadeoptimizacinescualquierquenecesiteencontrar,nosolounasolucin aceptable, sino la mejor. Cualquiera de estos problemas, puede presentarse como un conjuntodeestadosconfuncionesquepermitenpasardeunoaotro;teniendounestado inicialyunestadoobjetivo.Deestaforma,sepuedesimplificardiciendoqueunalgoritmo esunprocesodebsquedadesdeunproblema(estadoinicial)haciaunasolucin(estado objetivo). Sisepiensaenestostrminos,sepuedenclasificarlasbsquedasegnsisonciegaso no;esdecir,sievalan yrecorrentodoelrbol deposibilidades ono.Lasbsquedas heursticas,nopertenecenalasbsquedasaciegas,sinotodolocontrario:seaplicanante laimposibilidaddeemplearunabsquedaqueevaletodaslasposibilidadesyobtengael mejor resultado. Estosedebe siempre aun problema de recursos (seatiempo, costo, memoria,etc.). Alaplicarlasreglasheursticas,sepuedendardosposibilidades: Queelrazonamientopermitaacotarlabsquedayencuentreelresultadoeneste nuevosubconjuntodeestados. Que el razonamiento permita orientar una sucesin dentro de todo el conjunto, parandoenelprimerestadoobjetivoposible.
En cualquiera de los dos casos, la aplicacin de una tcnica heurstica no garantiza encontrarelmejorresultado,sinounoaceptable,teniendoencuentalaoptimizacindela bsqueda. Laespecificacindequesaceptabledependedecadacasoenparticularyespropiode anlisisparaeldesarrollodecualquierfuncinheurstica. LaInteligenciaArtificial(IA)eslapartedelacomputacinqueseencargadelestudiodel comportamiento inteligente de las mquinas. Las metas a largo plazo de la IA son el desarrollodemquinas(oprogramas)quepuedanhacercosasquehacenloshumanos, inclusomejorqueestos. Como ya se mencion, la heurstica proviene del pensamiento humano, por ende, su aplicacinenlainformticaseencuadraenlaInteligenciaArtificialyesunaaplicacinde lamisma.
-Pg. 10 de 35
Ejemplo Enuna habitacin hay n elementos, cada uno conun valor vi y un peso pi. Setiene adems, unamochilaconunpeso P. Elobjetivoesllenar lamochilaconelmayor valorposible,eligiendoloselementosconvenientes.Situviramos1,2,3o4elementos sera fcil probar todas las alternativas y elegir la de mayor valor. Sin embargo, la 6 explosincombinatoria hacedifcildeevaluartodaslasposiblessolucionesalsermayor el nmero de elementos. Si tuviramos solamente 10 elementos, seran millones las combinacionesposiblesaevaluar.Unatcnicaheursticaquepodramosaplicaresladeir agregando a la mochila, el elemento que aporte mayor valor en proporcin a su peso (vi/pi),deestaforma,sesuponeopresume,encontraremosunasolucin,queaunque ptima, seguramente no la mejor. En trminos matemticos podramos decir que no encontraremos el mximo absoluto de la funcin aunque s, probablemente nos acercaremosal.Dehecho,esnecesarioaplicaralgunaheursticaparaencontraruna solucinenuntiemporazonable.Esdecir,laheursticaaumentalaeficienciadelproceso debsqueda,sacrificando,comoyahemosmencionado,demandasdecompletitud. Sepresentauncasoconnmerosparaejemplificarenformamsclara,comolatcnica heursticapuedenoguiarhacialamejorsolucin.Esteessolounejemploynosedebe concluirquelaheursticanoesefectiva;alcontrario,peroestilentenderelporqudesu utilizacinysuslimitaciones.Nuncaquepodamosencontrarlasolucinreal(enuntiempo prudenteoconlosrecursosprudentes)seaplicarunatcnicaheurstica. Dadoelproblemadelamochilayteniendolossiguientes3elementos,culeslamejor solucinsilamochilapuedesoportarhasta3000grs? Elemento 1 2 3 Peso 1800grs. 600grs. 1200grs. Valor $72 $36 $60
Siseaplicaralatcnicaheursticadesumaralamochilalosobjetosquemsvaloraporten enfuncinasupeso,lasolucinfinalsera$96conlosobjetos2y3(cuyovalorvi/pies de0.06y0.05respectivamentecontra0.04delprimerobjeto). Sin embargo, analizando todas las soluciones posibles (12, 13 y 23) y teniendo en cuentaqueelnmerodeobjetoseschicoyesfactiblehacerlo,seobservaquelamejor solucineraladecolocarenlamochilalosobjetos1y3,obteniendoasunvalorde$132.
Propiedaddelacombinatoriamatemtica(factorialdeN)endonde,alagregarunnuevoelemento,el nmerodecombinacionesposiblescrecemuchomsqueen1,deformaexponencial.
6
-Pg. 11 de 35
HEURSTICAYSEGURIDADINFORMTICA
LaSeguridadInformticaeslacaractersticadecualquiersistemaquenosindicaqueest libredetodopeligro,daooriesgoyquees,enciertamedida,fiable.Comolaseguridad absolutaesimposible,sehabladefiabilidad,esdecir,laprobabilidaddequeunsistemase comportecomoseesperadel. Todoprocesoquenospermitapreservarlainformacinylosobjetosdenuestrosistema pertenecealaseguridaddelainformacin. Unsistemaessegurooconfiablecuandosegarantizan3aspectos: Confidencialidad: Loselementosdeunsistemasernaccedidosnicamentepor elementosautorizadosaello. Integridad: Los elementos de un sistema solo pueden ser modificados por las personasautorizadas. Disponibilidad: Los objetos tienen que permanecer accesibles a los elementos autorizados. En el campo de la seguridad tambin se aplican tcnicas heursticas en diferentes aplicacionesdeproteccindelsistema. Retomando el concepto, la seguridad se encarga de proteger a la informacin de las diversas amenazas existentes en su contexto. Comparando con los humanos: cmo determina una persona que algo/alguien es una amenaza para l/ella? Cuando se disponedetodalainformacinessimple.Porejemplounapersonavaporlacalleyse cruza con otra que reconoce haber visto en el noticiero, donde se inform que es un asesinoserialprfugo. Obviamente sereconocer rpido elpeligro, yaquesetiene la certezaqueseestanteunaamenaza,peroestasituacineslamenoscomn. Enlamayoradeloscasos,utilizamosnuestrorazonamientobasadoenlaexperienciayla induccinparadeducir(nosuponeroadivinar!)quealgo/alguienesparanosotrosuna amenaza.Supongaqueunapersonavaporlacalleyseacercaaunperrocualquiera: Cruzarestapersonalacalledebidoaqueelanimallovaamorder?Seguramentese tomaresadecisinenfuncindelarazadelperroylaagresividadmediaasociadaala misma.Esdecir,aunquenosetienelacertezasiesonounaamenaza,ciertoparmetro (enestecasoeldeperteneceraunarazaqueescomnquemuerda)nosindicaquees muyprobablequeaslosea,yquemejorevitarlo. EnSeguridadInformticaocurrelomismo:muchasvecesalnosabersialoqueunose enfrentaesunaamenaza,sedebenaplicartcnicasheursticasparatomarunadecisinal respecto. La idea es muy simple: en la proteccin del sistema se pueden identificar amenazasconocidas(yregistradas)obienpuedenencontrarsesospechososysedebe evitarqueestos,apesardenotenerlacertezadequehayunpeligro,ingresenenel sistema.Ladecisindequessospechosoparanuestrosistema,lecorrespondea losalgoritmosheursticos.
-Pg. 12 de 35
HEURSTICAANTIVIRUS
Quesunvirus Un virus es un programa informtico, creado voluntariamente por alguna persona, que poseelassiguientescaractersticas: Tienelacapacidaddereproducirseasmismo. Producealgndaoenelordenadorinfectado. Actasinqueelusuariosedecuenta.
Cualquiervirusinformtico,ensudefinicinclsica,debeposeerlastrescaractersticas mencionadas.Puedenreplicarseporssolos(esdecir,suvidadependedeellosynode unusuarioqueloscreayloselimina),aligualqueconlosvirushumanosy,asimismo, multiplicarseatravsdediferentesordenadoresyarchivos.Eldaoqueproducenesmuy variable segn los diferentes casos; desde un simple mensaje que moleste al usuario hasta inhabilitar el acceso al sistema operativo son algunas de las variantes que se puedenencontrar.Porltimo,elvirusrealizatodassusaccionessinelconsentimientodel usuarioyesinvisibleaeste,salvoatravsdelosproblemasquelecausesuexistencia. Siseintentadeterminardealgunaforma,sugradodepeligrosidad,puededecirseque para un virus, su capacidad de propagarse es ms determinante que el dao que ocasiona. Existendiferentestiposdevirus,comolosvirusdesectordearranque,queinfectanel sectordebooteodenuestraPc;losvirusdeprogramasejecutablesolosvirusresidentes enmemoria,queestnlatentesmientrasutilizamosnuestroSistemaOperativoparaatacar oinfectarsegnelcaso. Brevehistoriadelsurgimientodelosvirus El concepto de virus siempre fue conocido por los seres humanos (de hecho en la informtica,sellamatambinvacunasalascurasdelosprogramas)y,loscomienzosde losvirusinformticos,lecorrespondenalaInteligenciaArtificialque,desdelasdcadas del40yel50intentabacrearprogramasautoreplicantesaunquesinfinesdainos. En al ao 1959 aparece el precursor del que sera el primer virus informtico y fue simplementeunjuegonombradoCoreWar.Elmismofuedesarrolladoenloslaboratorios de la Bell Computer por Robert Morris, Douglas Mcllroy y Victor Vysottsky. El juego consiste en el enfrentamiento entre 2 o ms programadores trabajando en cdigo 7 mquina conelobjetivodeocupartodalamemoriadelamquinadeloponente. En1972apareceelprimervirus,llamadoCreeper,creadoporRobertMorris.Elprograma emitaenformaregularunmensajeenpantallaconlainscripcin Imacreaper...catch meifyoucan!(soyunaenredadera,atrpamesipuedes).Paraeliminarelvirus,secre
7
http://es.wikipedia.org/wiki/Lenguaje_m%C3%A1quina
-Pg. 13 de 35
Msinfoenhttp://www.kriptopolis.org/elprimerantivirus
-Pg. 14 de 35
recursos del sistema y se reproducen a travs de diferentes medios de comunicacin.Nonecesitandeunarchivohuspedparaseguirvivos. 9 ElprimergusanoqueaparecifueelMorris enelao1988,quellegacolapsar 10 cientosdesistemaspertenecientesaArpaNet .
Troyano:SunombreprovienedelmitodelcaballodeTroya yaqueelobjetivoes el de engaar al usuario. Son archivos que simulan sernormales e indefensos comojuegosoalgntipodesoftwarequetientaalavictimaaejecutarlo;deesta formalograninstalarseenlossistemas. Spyware:Derivandelasaplicacionesbasadasenpublicidad(AdvertisedSoftware
11
Adware).Enestecasosonaplicacionesespas(SpySoftware),yaquenoson instaladas con el consentimiento del usuario y tienen como objetivo robar informacin de este y enviarla a travs de Internet, generalmente con fines publicitarios. Usualmente,sedenominavirusalainfeccindelacomputadora,apesardequeenla mayora de los casos nos encontramos ante un gusano o alguna de las variantes presentadas.Estambinprobablequealgncdigomaliciosopresentecaractersticasde msdeunadelasvariantesexpuestas. Existen ms variantes de virus maliciosos como backdoors, rootkits, exploits pero su 12 explicacinescapaelalcancedelpresente .Lastresvariantesmencionadassonlasms 13 usualesygeneralescuandosehabladeMalware .
9
Msinfosobrelosdaoscausadosygusanosenhttp://snowplow.org/tom/worm/worm.html.
10
PrecursoradeInternet,pertenecientealDepartamentodeDefensadelosEstadosUnidos. http://en.wikipedia.org/wiki/Arpanet
11 12
http://es.wikipedia.org/wiki/Caballo_de_Troyahttp://www.jornada.unam.mx/2005/04/27/029a1eco.php
http://es.wikipedia.org/wiki/Malware#Spyware
13
Paraconocermsvisitarhttp://en.wikipedia.org/wiki/Malwareo
Deaquenadelante,seutilizarnlaspalabrasVirusyMalwareindistintamenteparaidentificarcualquier
archivoconfinesmaliciososhacianuestroordenador.
-Pg. 15 de 35
ElvirusMelissaaparecienelao1999yllegacolapsarcientosdeservidoresdecorreo alaspocashorasdesupropagacin. MelissaafectabadocumentosdeWord97yWord2000.Sielvirusseejecutaba,enviaba un correo electrnico a los primeros 50 contactos del Outlook Express con asunto Importantmessagefrom<nameofsender>dondenameofsendercorrespondealaPc infectadaqueenvaelcorreo. En el cuerpo del mensaje, solo estaba escrita la siguiente leyenda (traducida al pie al espaol): Hereisthatdocumentyouaskedfor...don'tshowanyoneelse;)TCizzle Aquesteldocumentoquepediste...noselomuestresanadie;)TCizzle El correo contena un adjunto de Word (LIST.DOC) que contena una lista de sitios pornogrficosylospasswordsparaaccederaellos. Elvirusadems,poseadaossecundariosalmodificarlosarchivosqueeranabiertosen elmomentoenquelosminutosdelhorariocoincidieranconelda(ej.18:30un30de Marzo);yagregabalneasdetextoalarchivosinelconsentimientodelusuario. ElvirusMelissaesconsideradodelosprimerosmalwarecondaossignificativosalpoco tiempodelapropagacin.Tuvoadems,diferentesvariantesqueaadanomodificaban pequeosaspectosrespectoaloriginal. Elcdigodelviruspuedeobservarseen 14 http://www.62nds.co.nz/62nds/documents/melissa.txt. Win32/Sober
14
Posiblementeelantivirusdetectalapginacomoamenazaperoelcdigoestentextoplanoporloque
esinofensivo.
-Pg. 16 de 35
EsungusanotroyanoquesepropagabaatravsdeIRC(mensajerainstantnea)yel correoelectrnico.Alejecutarelarchivo,laPcseinfectabaysesucedanlassiguientes acciones: 1) Sereenvaatodaslasdireccionesdelalibretadecorreo. 2) Sedescargaunarchivoparaelrobodeinformacin. 3) Seeliminandistintostiposdearchivos. Elcdigodelviruspuedeobservarseen 15 http://www.62nds.co.nz/62nds/documents/iloveyou.txt. Antivirus Losantivirussonprogramasencargadosdedetectaryeliminarataquesinformticosde virus que quieran, o hayan accedido a nuestra Pc. Actualmente, los software no solo detectanvirus,sinootrostiposdeataquesdeMalware,comolosqueyasemencionaron enlaseccinanterior. Elsoftwaredetectaelarchivo,loeliminaydesinfectaelsistema.Muchasveceslastres accionesnosonposiblesypuedequesolosedetecteelarchivoyseloeliminey,enel peordeloscasos,puedequesolosedetecteelarchivo.Estodependerdelvirusalque seestenfrentando. Losantivirustienenunaseriedemdulosdeproteccinencargadosdeanalizardiferentes tipos de archivos y trfico en nuestro ordenador. Entre estos, los que se encuentran usualmenteson: Anlisisdearchivos:seencargadeverificarlosarchivosquesevanutilizandoen la Pc (abrir, guardar, copiar, etc.). En caso de encontrar Malware, informa automticamentealusuario. Anlisis de archivos por demanda: a pedido del usuario, escanea todos los archivosdelaPc(odeunsectorindicado)enbuscadeMalwarerealizandoun informefinaldearchivosinfectadosencontrados. AnlisisdeltrficodeInternet:verificalaspginasquesonvisitadasylosarchivos queestascontienen.Encasodeencontrarmalware,avisaalusuarioycancelael accesoalapginaweb. Anlisisdelcorreoelectrnico:analizaelcorreoentranteysalientedenuestraPc, eliminandoadjuntosocorreosinfectadosporMalware.
Estossonlosmdulosprincipalesdecualquiermotorantivirus.Conellos,semonitorea prcticamentetodoeltrficodelaPc,enbuscadeMalware,tantoentiemporealmientras
15
Posiblementeelantivirusdetectalapginacomoamenazaperoelcdigoestentextoplanoporloque
esinofensivo.
-Pg. 17 de 35
Debidoalaaltavelocidaddepropagacin(yaparicin)denuevosvirusinformticos,el mtododedeteccinbasadoenfirmassevolvilentoeinsuficiente.ViruscomoelMelissa (antesmencionado)generaronmilesdehostinfectadosalaspocashorasdeserlanzado. 16 ElvirusBagleinfectocasiveintemilordenadoresen4horas ytuvodecenasdevariantes desdesulanzamiento. Elprocesodecreacindefirmaspuedellevarhoras.Segnlasestadsticas,recinapartir delas34horasaparecernlassolucionesenlasprimerasempresasymuchasvecesse debe esperar hasta 20 horas para tener la actualizacin disponible. Por otro lado, la cantidaddevirusnuevosqueaparecendaadaescrecienteyestohacemscomplejala tareadeloslaboratoriosantivirus.Yaen2003,loslaboratoriosantivirusrecibanmsde diezvirusnuevosporda.Hoyesenmero,llegaaserdosotresvecesmayor. La pregunta que surge entonces es: hay probabilidades que en las horas hasta que aparezcalafirmayseactualiceelantivirus,laPcseinfecte?Obviamentelarespuestaes s.Cadavez ms ordenadores estn conectados fulltime aInternet ysenavega yse descarganemailsconstantemente.
16
Lahistoriasinfin:VirusBaglePg.10 http://www.esetla.com/press/informe/historia_sin_fin_virus_bagle.pdf
-Pg. 18 de 35
19
VerseccinHeursticaySeguridad http://www.avcomparatives.org/index.html?http://www.avcomparatives.org/seiten/comparatives.html
-Pg. 19 de 35
Es imposible eliminar totalmente ambos efectos, aunque es deseable minimizarlos lo mximoposible.Siempreunabsquedaheursticademorarmsqueunsimpleescaneo basadoenfirmasyesimposibleafirmarquenoexistirnfalsospositivos.Unfalsopositivo puedegenerarlealusuariomsproblemasqueunsimplevirus. Otralimitacinqueexistean,esqueunaamenazaencontradaatravsdeunabsqueda heurstica,nopodrserreparadasinosimplementeeliminadaopuestaencuarentena,a
20
Otroejemplo,ademsdelosyamencionados,elvirusStrationquetuvocientosdevariantes.
http://www.rompecadenas.com.ar/articulos/1452.php
-Pg. 20 de 35
Existen diferentes tcnicas para realizar implementaciones y algoritmos especficos de bsquedasheursticasenmotoresantivirus.Cualquieradeellasrespondealaideabsica antesexplicada:identificarpatronesconocidosdemalwareenarchivosquenofiguranen labasedefirmasyclasificarloscomounaposibleamenaza.Algunasdeellasson: FirmasGenricas:Permitelaidentificacindetodaunafamiliadevirus(eloriginal ysusvariantes)atravsdeunanicavacunagenrica. Reconocimientodecdigocompilado:Analizalasinstruccionesqueseledarnal sistemaybuscaaquellascomunesensoftwaremalicioso. Desensamblado: Analiza el cdigo fuente y busca tcnicas de desarrollo comnmenteencontradasencdigosmaliciosos. Desempaquetamiento:Escomnlautilizacindeempaquetadoresparamodificar la apariencia de los virus. Esta tcnica consiste en desempaquetarlo para as poderanalizarelcdigofuente.
Cmoseevalaunatcnicaheurstica Paratestearelrendimientodelosalgoritmosheursticosencualquierantivirus,serealizan lasllamadasEvaluacionesretrospectivas. Estas consisten en detener las actualizaciones para el software durante un periodo determinado de tiempo y, luego de ello, someter al antivirus al anlisis de cdigos maliciososnuevosrecolectadosenesemismoperiodosintenerlosensubasedefirmas. Deestaforma,soloatravsdesuheursticaelantiviruspodrreconocerlasamenazas. El resultado de este test es un porcentaje de deteccin que, como antes nombramos, todavaenpromedionoseencuentraenvaloresmuyaltos.
21
PertenecientealantivirusNOD32.Msinfoenhttp://blogs.esetla.com/laboratorio/2007/07/28/alguem mandoucartaovirtual/
22
ExtradodeAsfuncionaunaheursticaantivirus.deSergioHernandoen
http://www.sahw.com/wp/archivos/2006/07/03/asifuncionaunaheuristicaantivirusprimeraparte/ http://es.wikipedia.org/wiki/Heur%C3%ADstica_en_antivirus
-Pg. 21 de 35
FalsosPositivos
-Pg. 22 de 35
Rendimientodelescaner
25
Msalldelresultadopuntualdeestaevaluacin,esimportanteevaluarlostresaspectos paraconocerrealmenteelrendimientoheursticodeunproducto. Unaheursticamuyparanoicadetectarmuchosvirusperotambintendrunaltogrado 26 defalsospositivos . Unaheursticamuylivianatendrmuypocosfalsospositivosperounbajoporcentajeenla deteccindecdigosmaliciosos. Unaheursticamuycomplejapodrtenervaloresaceptablesenlasprimerasdosvariables perodisminuirenformanotableelrendimientodenuestrosistema. Ningunodelostrescasosesloquesepretende.Aldesarrollaralgoritmosheursticosse buscaelequilibrioentrelastresvariables:altogradodedeteccin,bajogradodefalsos positivosybuenrendimiento. Quedaallectorconocerotrasevaluacionesyhacerunseguimientodeestasalolargode losmesesparairevaluandoasucriteriolosdiferentesantivirus.Adems,lasevaluaciones retrospectivascomolaaqupresentada,evalansololaheursticadeunproducto.Una evaluacin como esta, debe ser acompaada de otra que evale el rendimiento del productoatravsdelasbasesdefirmas.
25 26
ElmismoestmedidoenMB/sec.Amsvalor,mayorrendimiento. VerNoticiaHeursticasprimitivas(antivirus).http://blog.hispasec.com/laboratorio/189
-Pg. 23 de 35
-Pg. 24 de 35
OTRASAPLICACIONESENSEGURIDADINFORMTICA
Elmismoconceptoaplicadoenlossoftwareantivirus,sefueaplicandoenotrosaplicativos delaSeguridadInformtica.Muchosdeellosyafuncionabancontcnicasreactivasy,en los ltimos aos, comenzaron a complementarse con nuevas tcnicas genricas de deteccindeamenazasparabrindarunasolucinintegral. Acontinuacin,sepresentanalgunasaplicacionesyunabreveexplicacindecmohan empezadoaimplementarelconceptodeheurstica,solopresentadoenformagenrica parapodercompararloconlautilizacinquedanaestastcnicaslosantivirus. AntiSpam Spamesunmensajenosolicitadoporeldestinatarioqueseenvaenformamasiva.El objetivodelmismoesofreceralgntipodeproductooservicio. Apesardequeelmediomscomn,yelqueseexplicaracontinuacin,eselcorreo electrnico,existenotrosmediosdondeestnapareciendomensajesnodeseadoscomo foros,blogsocelularesporcitaralgunos.Actualmente,msdel50%delcorreorecibidoen unacuenta,esSpam. Unantispamesunprogramaqueseencargadeidentificaraquelloscorreosnodeseadosy diferenciarlosdelcorreoordinario.ElfuncionamientobsicodelSpameslautilizacinde blacklists (listas negras), que son listas de direcciones de correo o direcciones IP que estncatalogadascomoSpammers.Deestaforma,elantispampuedefiltrarloscorreos 27 queprovengandedireccionesquefigurenenlalistanegraqueutilice .Lasimilitudentre estatcnicaylabasedefirmasenlosantivirusesclara:unatcnicareactivaquerequiere conocerlaamenaza(enestecasosudireccin)antesdepoderatacarla. Laimplementacindealgoritmosdedeteccinproactivaparaprevenirelspamconsisteen unaseriedereglasparaidentificar,analizandoelcontenidodeuncorreoelectrnico,si esteesunspam.Seanalizanlosremitentes(siestnfalseadosono),elasuntodelcorreo, laspalabras,ciertasfrasescomunes,lapuntuacin,etc. Segnlasimlitudconlosmensajesnodeseadosyaconocidossecatalogaonoalcorreo comosospechoso. Aligual que conlos virus,lastcnicasheursticasenelspamposeenfalsospositivos. Cualquierlectorhabrencontradoalgunavezensucorreonodeseadoalgnmailqueno eraSpam. FireWall Esunelementodehardwareosoftwarequecontrolaeltrficoentredosredesdiferentes. Aligualqueconelspam,losfirewallposeendesdesusorgenescomportamientosms estticos:bloqueodepuertos,bloqueodeciertostiposdepaquetes,etc.
Existenvariaslistasnegras.Diferentessolucionesutilizanalgunasdeellas.Algunasdireccionesweb son:http://dsbl.org/listinghttp://www.au.sorbs.net/lookup.shtmlhttp://spamcop.net/bl.shtml
27
-Pg. 25 de 35
Los falsos positivos aqu tambin son simples de graficar. El ingreso a un sitio sobre psicoanlisispuedeserprohibidosiseposeeunapolticamuyexigenteyseencuentran muchaspalabrasrelacionadasconelsexo. EducacinenSeguridad Con el pasar de los aos, cada vez son ms las amenazas que aprovechan una vulnerabilidad del sistema que no est protegida por ninguno de los software antes mencionados:laignoranciadelusuario. Esporelloqueesindispensablelaeducacinhacialaseguridad.Muchasamenazascomo 28 29 elphishing ,enmarcadasenlaIngenieraSocial ,aprovechanlaignoranciadelusuario paraejecutarelataqueconsuinconcientecolaboracin. Obviamente un usuario no puede poseer una lista de qu es una amenaza y qu no. Aunqueparezcaexagerado,todoloreferenteaeducacinenSeguridadpretendequelas personas utilicen sus capacidades de razonamiento heurstico para protegerse a s mismos.Obviamentenoesimportantequeelusuariolodimensioneenestostrminopero sbrindarles los conocimientos para poder identificar una posible amenaza ytomar los resguardossuficientesparaprotegersedeello.
28
29
Msinfo:http://es.wikipedia.org/wiki/Phishing Msinfo:http://www.esetla.com/pub/mvis.pdf
-Pg. 26 de 35
CONCLUSIN
Hace un tiempo, se hablaba de la necesidad de implementar tcnicas de deteccin genricasenlossoftwareantivirus.Hoy,convariosaosdeexperienciaaparecen,ami criterio,dosdesafosimportantesenelcampodelaSeguridadInformtica: Modificarlaestructuradelosantivirus priorizandocadavezmslasbsquedas heursticasy,principalmente,optimizarlosalgoritmosdeestasparaobteneraltos rendimientosymejoresresultadosenlaprevencindemalware. Implementar laprevencin proactivaatravsdealgoritmos heursticos en otras aplicacionesdelaSeguridadInformtica.
Los avances informticos y la popularizacin de Internet, han sido ms rpidamente aprovechadosporloscreadoresdemalwarequeporlasempresasantivirus.Losmtodos reactivosatravsdefirmas,efectivosdurantemuchotiempo,yasoninsuficientespara protegerlaPc.Laimplementacindebsquedasheursticascomomtododeprevencin hasidodesumautilidad,especialmenteenlasempresasquehanpuestoelejeenelloy hanlogradoaltaefectividadenlaprevencinproactiva.Sinembargo,losnmerosindican quehayqueseguirtrabajandoalrespecto.Crearymejoraralgoritmosinteligentesesuna tareamuchomscomplejaquecrearvacunasparavirusconocidos,peroeslarealidad quehoynostocaenfrentar. No obstante, considero que la optimizacin de los resultados es un paso que debe ir acompaadodeuncambioestructuralyeducativoencuantoalautilizacindecualquier software antivirus. Los efectos colaterales de la heurstica, principalmente los falsos positivos,noseranunproblemasignificativoparalosusuariossisellevaranaporcentajes razonables, y si estos fueran concientes de los mtodos de bsqueda que posee el antivirus. Unusuarioqueconozcalascapacidadesdedeteccingenricadesusoftware,nodebera molestarsealverensuPc,unavisocomoelsiguiente: Elmotordebsquedahadetectado,atravsdesuscapacidadesheursticas,unarchivo sospechosoquepodraserunaamenazaparasuordenador Obviamente,elmensajeaqupropuestoesbastantemsextensoquelosbreves,ypor momentosinentendibles,avisosquearrojanlosantivirusenlaactualidadaldetectaruna amenaza.Esjustamenteporelloqueconsideroprimordiallaeducacindelosusuariosal respecto.Deestaforma,lossoftwareantiviruspodrnmodificarsuestructuraparatrabajar interactivamenteconelusuario.Unusuariomedionuncapodrentenderenprofundidadel funcionamientodeunantivirusperoslasideasfundamentalesylosconceptos.Hoyen da este, la nica certeza que tiene sobre su antivirus es que busca virus en su computadora.Elmismousuarioenmuchasocasiones,nosabequhaceranteelalerta devirus,niqubotnseleccionarcuandoseleofrecemsdeunaaccin.Esporello,que
-Pg. 27 de 35
-Pg. 28 de 35
Supongaqueseseleccionaunabasede200gusanosdealtapropagacinenlosltimos meses.Ensegundotrmino,sedebencaracterizarindividualmente.Estepasoeselms arduoycomplejoenlaelaboracindereglasydesubuenarealizacindependerelresto delproceso. Unavezlistadastodaslascaractersticas,sedeberealizar,comotercerpaso,unfiltrode seleccin.Esteconsisteenagruparlascaractersticascomunesyordenarlassegnsu aparicin y, considerar solo las caractersticas que tengan una frecuencia de aparicin razonable.Porejemplo,elenvomasivodeemailsseguramenteaparecerenlamayora delosgusanosanalizados.Sinembargociertascaractersticasconbajafrecuencia,que aparezcanenmenosde10gusanosporejemplo,puedendejardetenerseencuentapara lossiguientespasos. Elcuartopasoconsisteenponderaratravsdeunvalordepeligrocadaunadelas caractersticas. Esto se hace segn las frecuencias de aparicin. Una caracterstica encontradaen100gusanostendreldoblevalordepeligroqueunaencontradaen50 gusanos. Esto, en la realidad, puede variar y hacerse exponencial segn los mtodos especficosquesecreenparalaponderacindevariables. Porltimo,sedebedecidirapartirdequvalordepeligroacumulado,unelemento, serconsideradounaamenaza.Esdecir,nosecalificaraunobjetoungusanosolo porque encuentro una lnea de cdigo sospechosa. Se deben reunir un conjunto de caractersticas que indicaran que el elemento es sospechoso. Este valor es el que se
-Pg. 29 de 35
elemento
Paracadacaractersticaenlabasededatos Seencuentraenelelementolacaracterstica? Sis Sino Sumar al valor de peligro el valor asociadoalacaracterstica
Mensajedealerta
En resumen, para el elemento que se desea analizar se buscan cada una de las caractersticasquefiguranenlabasededatosyseacumulanlosvaloresindividualesde aquellasquecoincidanyseanencontradasenl.Enelcasoqueelvalordepeligrototal supere el criterio de seleccin, se considera al elemento una amenaza a travs de la bsquedaheursticaysedeberindicarunalerta.Obviamente,enelcasodequeelvalor depeligronosealosuficientementealto,elelementoseconsiderarseguroyseconfiar enl. Elmodeloaqupresentado,lohecreadomientrasavanzabaeneldesarrollodeltrabajoy mehasidodeutilidadresumirlasideasenlycomprendermejorlarelacinentrelas variables y conceptos que se interrelacionan en la utilizacin de reglas heursticas en seguridad.
-Pg. 30 de 35
FUENTES
Bibliografa HARLEY,DAVID;SLADE,ROBERT;GATTIKER,URSVirusesRevealed: UnderstandingandCounterMaliciousSoftware.McGrawHillCompanies(2001). ISBN0072130903 PAJARES,MARTINSANZ;SANTOSPEAS,MATILDE.InteligenciaArtificiale ingenieradelconocimiento.Alfaomega(2006).ISBN9701511662. POLYA,GEORGE.HowToSolveIt:ANewAspectofMathematicalMethod. PrincetonUniversityPress(1973).ISBN0691023565. RUSSELL,STUART;NORVIG,PETER.InteligenciaArtificial,unenfoque moderno.PearsonPrenticeHall(2004).ISBN842054003X
SitiosWeb AlertaAntiVirus http://alertaantivirus.red.es/ AvComparatives http://www.avcomparatives.org/ BlogLaboratorioEset http://blogs.esetla.com/laboratorio/ EnciclopediaVirus http://www.enciclopediavirus.com/home/ Eureka http://ciencianet.com/eureka.html Kriptopolis http://www.kriptopolis.org/ RealAcademiaEspaola http://www.rae.es/ SeguInfo http://www.seguinfo.com.ar VirusList
-Pg. 31 de 35
Papers ATOCHA,ALISEDA"Heurstica,hiptesisydemostracinenmatemticas" http://www.filosoficas.unam.mx/~Tdl/atocha.htm BENJUMEAPULIDO,MIGUELA.EUREKA,EUREKA,elprincipiode Arqumedesvistodesdelaperspectivadeundilogoclsico. http://personales.ya.com/casanchi/rec/arqui01.pdf BORGHELLO,CRISTIANF.Cronologadelosvirusinformticos http://www.esetla.com/press/informe/cronologia_virus_informaticos.pdf BORGHELLO,CRISTIANF.GuabsicadeutilizacindemediosInformticos deformasegura Pertenecientealcursoonlinedeseguridadenhttp://edu.esetla.com/ BORGHELLO,CRISTIANF.Lahistoriasinfin:VirusBagle http://www.esetla.com/press/informe/historia_sin_fin_virus_bagle.pdf GORDON,SARAHTheAntiVirusStrategySystem http://www.research.ibm.com/antivirus/SciPapers/Gordon/Strategy.html#GENERAL GORDON,SARAHWhatisWild? http://vx.netlux.org/lib/pdf/What%20is%20Wild%3F.pdf GORDON,SARAH;FRASERHOWARDAntivirusSoftwareTestingfortheNew Millenium http://csrc.nist.gov/nissc/2000/proceedings/papers/038.pdf HARLEY, DAVID; LEE, ANDREW Anlisis heurstico: detectando malware desconocido http://www.esetla.com/press/informe/analisis_heuristico_ detectando_ malware_desconocido.pdf HERNANDO,SERGIOAsfuncionaunaheursticaantivirus http://www.sahw.com/wp/archivos/2006/07/03/asifuncionaunaheuristicaantivirus primeraparte/ KUMAR,SANDEEP;SPAFFOR,EUGENEH.AGenerisVirusScannerinC++
-Pg. 32 de 35
-Pg. 33 de 35
HEURSTICAANTIVIRUS(Artculo)MorenoPrez,Arnolodo http://alertaantivirus.red.es/virus/ver_pag.html?tema=V&articulo=6&pagina=4 HEURSTICADELOSANTIVIRUS(Artculo) http://www.zonavirus.com/datos/articulos/19/Heur%C3%ADstica_Antivirus.asp HOWCOMPUTERVIRUSESWORK(VideoArtculo) http://www.howstuffworks.com/virus.htm LOS LABORATORIOS DE ANTIVIRUS, DESBORDADOS POR LA MULTIPLICACINDEPROGRAMASPELIGROSOS(Artculo) http://www.mnsoft.net/es_seguridad_los_laboratorios_de_antivirus_ desbordados_por_la_multiplicacion_de_programas_peligrososno9.html RICHARDMARKO,deESET(Entrevista) http://www.enciclopediavirus.com/enciclopedia/articulo.php?id=343 http://www.wikilearning.com/entrevistawkccp49111.htm TESTDEANTIVIRUS(PginaWebdeEicar) http://www.eicar.org/anti_virus_test_file.htm
-Pg. 34 de 35
-Pg. 35 de 35