||||||||||||||||||||

en la fama. Muchos de estos tipos de individuos no suelen se preocupan por “crédito debido” y están más interesados ​en el
anonimato, tal vez una buena elección. Usted no desea conseguir en el lado malo de un hacker Elite; podrían arrugar la
mayoría de las redes y los programas en cuestión de horas si así lo deseaban.

He mencionado antes que ningún sistema es verdaderamente seguro (y utilizo el término “sistema” en términos generales). Los
hackers lo saben y cuentan con ello. Siempre hay una manera de circunnavegar una defensa. Es una batalla constante en el que
los administradores y los atacantes están construyendo constantemente y romper cada vez mejores trampas para ratones. Las
escalas siempre son el depósito de ida y vuelta; un hacker desarrolla una manera de entrar en un sistema, a continuación, un
administrador encuentra una manera de bloquear ese ataque, a continuación, el hacker busca un método alternativo, y así
sucesivamente. Esto parece oler de la gallina y el huevo-qué fue primero? Respuesta: Usted tiene que tomar sobre una base de
caso por caso. Las últimas frases de bromas están ahí por una razón-de convencerlo de que tiene que estar en sus dedos de los
pies; que es necesario revisar los registros de frecuencia; que la necesidad de emplear tantas precauciones de seguridad como
sea posible; que usted necesita para mantenerse al tanto de los últimos ataques y formas de mitigar los riesgos; y que nunca se
debe subestimar el poder y la capacidad de recuperación de un hacker.

Tipos amenaza actor y Atributos

El campo de la seguridad tiene otros tipos de personajes también. Es importante entender los tipos de atacantes que
pueden surgir y sus características y rasgos de personalidad. Tenga en cuenta que estos “actores” pueden encontrar
maneras de acceder a los sistemas y redes simplemente buscando en Internet. Así, algunos ataques pueden ser
perpetrados por personas con poco conocimiento de computadoras y la tecnología. Otros actores han aumentado el
conocimiento y con el conocimiento viene el poder-el tipo de energía que desee estar listo por adelantado. Sin embargo,
todos los niveles de los atacantes pueden ser peligrosas. Vamos a describir varios de los actores ahora.

El primero de estos personajes es el Script kiddie . Se trata de un individuo poco sofisticado con poca o ninguna habilidad
cuando se trata de la tecnología. La persona que utiliza el código que fue escrito por los demás y es de libre acceso en
Internet. Por ejemplo, un script kiddie podría copiar un script PHP malicioso directamente de un sitio a otro; sólo se
requiere el conocimiento de “copiar y pegar”. Es un término despectivo que se asocia a menudo con los juveniles. Aunque
los procesos que utilizan son simples, niños de la escritura pueden a sabiendas (e incluso sin saberlo) infligen una
increíble cantidad de daño a los sistemas inseguros. Estas personas casi nunca tienen el conocimiento interno de un
sistema y por lo general tienen una cantidad limitada de recursos, por lo que la cantidad, la sofisticación y el alcance de
sus ataques se ve limitada. A menudo son los ávidos de emociones y están motivados por la necesidad de aumentar su
reputación en el mundo de la escritura-infantil. hacktivista -una combinación de los términos hackear y activista. Al igual
que con el término

||||||||||||||||||||
||||||||||||||||||||

hacker, el nombre de hacktivistas se suele aplicar a diferentes tipos de actividades; de la piratería para el cambio social, a la
piratería para promover agendas políticas, a ciberterrorismo en toda regla. Debido a la ambigüedad del término, un
hacktivista podría estar dentro de la empresa o un ataque desde el exterior y tendrá una cantidad variable de recursos y
financiación. Sin embargo, el hacktivista suele ser mucho más competente que un script kiddie. Los ciberdelincuentes pueden
funcionar por sí mismos, o pueden ser parte de crimen organizado -una empresa centralizado dirigido por gente motivada
principalmente por el dinero. Los individuos que son parte de un grupo del crimen organizado son a menudo bien financiados
y pueden tener un alto nivel de sofisticación.

Las personas también pueden llevar a cabo ataques cibernéticos para los gobiernos y los estados-nación. En este caso, un
gobierno y sus procesos se conoce como una avanzada persistente amenaza (APT) , aunque este término también puede
referirse al conjunto de la computadora que atacan los propios procesos. A menudo, una entidad APT tiene el más alto nivel
de recursos, incluyendo la inteligencia abierta fuente (OSINT) y las fuentes encubiertas de inteligencia. Esto, junto con la
motivación extrema, hace que el apto de los enemigos más peligrosos.

Las empresas deben estar preparadas para los iniciados y los competidores también. De hecho, podrían ser una y la misma. Una
amenaza en el interior puede ser uno de los más mortíferos para los servidores y redes, sobre todo si la persona es un
administrador de sistemas o tiene autorización de seguridad de la organización.

Debe conocer estos actores y sus motivaciones, pero al final, no importa demasiado lo que se llama al atacante.
Estar preparados para prevenir los ataques básicos y los ataques avanzados y tratar a todos con respeto.

Nota
Para la mayor parte de este libro simplemente voy a utilizar el término atacante para representar cualquier
individuo o grupo que perpetra un ataque a cualquier tipo de tecnología.

Capítulo revisar las actividades

Utilizar las características de esta sección para estudiar y revisar los temas de este capítulo.

Revisar los temas clave

Revisar los temas más importantes en el capítulo, señalado con el icono: tema clave en el margen exterior de la página. Tabla
1-1 enumera una referencia de estos temas clave y el número de página en la que se encuentra cada uno.

Technet24.ir
||||||||||||||||||||
||||||||||||||||||||

Tabla 1-1 Los temas clave para el Capítulo 1

Elemento Número de
Descripción
clave de Tema página

Figura 1-1 La CIA de la seguridad informática 4

Definiciones de la confidencialidad, integridad y disponibilidad

Lista con viñetas 5

Las definiciones de autenticación, autorización y contabilidad

Lista con viñetas 5

Definir términos clave

Definir los siguientes términos clave de este capítulo, y compruebe sus respuestas en el glosario:

seguridad de la información, la confidencialidad, integridad, disponibilidad, autenticación, autorización, contabilidad, no repudio,

la defensa en profundidad, sombrero blanco, hacker ético, sombrero negro, script kiddie, hacktivista, el crimen organizado, la
amenaza persistente avanzada (APT)

Preguntas de revisión

Responder a las siguientes preguntas de repaso. Compruebe sus respuestas con las respuestas correctas que siguen.

1. En seguridad de la información, ¿cuáles son los tres objetivos principales? (Seleccione los tres mejores
respuestas.)

A. Revisión de cuentas

SI. Integridad

C. No repudio
RE. confidencialidad

MI. Evaluación de riesgos

F. Disponibilidad

2. Para protegerse contra ataques maliciosos, ¿qué debe pensar como?

A. Hacker

||||||||||||||||||||
||||||||||||||||||||

SI. administrador de red

C. Spoofer

RE. Auditor

3. Tom envía muchos correos electrónicos que contienen información segura a otras empresas. ¿Qué concepto deben
aplicarse para demostrar que, efectivamente, Tom enviar los e-mails?

A. Autenticidad

SI. No repudio
C. confidencialidad

RE. Integridad

4. Cuál de las siguientes no la A en la CIA reposar por lo que se refiere a la seguridad informática? (Seleccione la mejor
respuesta.)

A. Responsabilidad

SI. Evaluación

C. Disponibilidad

RE. Revisión de cuentas

5. ¿Cuál de los siguientes es el mayor riesgo cuando se trata de almacenamiento extraíble?

A. Integridad de los datos

SI. La disponibilidad de datos

C. Confidencialidad de los datos

RE. La rendición de cuentas de los datos

6. Cuando se trata de la seguridad de la información, cuál es el que en la CIA?

A. Insurrección

SI. Información

C. Indigestión

RE. Integridad

7. Está desarrollando un plan de seguridad para su organización. ¿Cuál de los siguientes es un ejemplo de un
control físico?

A. Contraseña

SI. DRP

C. tarjeta de identificación

RE. encriptación

Technet24.ir
||||||||||||||||||||
||||||||||||||||||||

8. Un usuario recibe un correo electrónico, pero el software de cliente de correo electrónico dice que la firma digital es
válida y el remitente del correo electrónico no puede ser verificada. El posible receptor está preocupado por cuál de los
siguientes conceptos?

A. confidencialidad

SI. Integridad

C. remediación
RE. Disponibilidad

9. entornos de nube a menudo volver a utilizar el mismo hardware físico (como discos duros) para múltiples clientes. Estos
discos duros son utilizados y reutilizados cuando se crean y borran con el tiempo las máquinas virtuales de los clientes.
¿Qué problema de seguridad no plantear esto implicaciones para?

A. La disponibilidad de las máquinas virtuales

SI. Integridad de los datos

C. confidencialidad de los datos

RE. la integridad del hardware

10. ¿Cuál de las siguientes personas utiliza código con poco conocimiento de cómo se
¿trabajos?

A. hacktivista

SI. Script kiddie

C. APTO

RE. Persona enterada

11. Cuando es un sistema completamente seguro?

A. Cuando se actualiza

SI. Cuando se evaluó en busca de vulnerabilidades

C. Cuando todas las anomalías se han eliminado

RE. Nunca

Respuestas y Explicaciones

1. B, D, y F. Confidencialidad, integridad y disponibilidad (conocida como la CIA, la tríada de la CIA, y el triángulo de seguridad)
son los tres objetivos principales cuando se trata de seguridad de la información. Otro de los objetivos dentro de seguridad de
la información es la responsabilidad.

2. A. Para protegerse contra ataques maliciosos, pensar como un hacker. Entonces, proteger y asegurar como un
administrador de red.

||||||||||||||||||||
||||||||||||||||||||

3. SI. Debe utilizar el no repudio para evitar Tom de negar que envió los correos electrónicos.

4. C. La disponibilidad es lo que el A en la CIA representa, como en “la disponibilidad de los datos.” Juntos, el acrónimo
de la confidencialidad, integridad y disponibilidad. A pesar de que la rendición de cuentas es importante ya menudo
se incluye como un cuarto componente de la tríada de la CIA, no es la mejor respuesta. La evaluación y la auditoría
son dos conceptos importantes en la comprobación de vulnerabilidades y la revisión y el registro, pero no se
consideran parte de la tríada de la CIA.

5. C. Para el almacenamiento extraíble, la confidencialidad de los datos es el mayor riesgo a causa de almacenamiento
extraíble se puede retirar fácilmente del edificio y se comparte con los demás. Aunque los otros factores de la tríada de la
CIA son importantes, cualquier robo de almacenamiento extraíble puede destruir la confidencialidad de los datos, y que
hace que sea el mayor riesgo.

6. RE. El I en la CIA es sinónimo de integridad. El acrónimo CIA significa la confidencialidad, integridad y disponibilidad. La
rendición de cuentas es también un principio básico de la seguridad de la información.

7. C. Una tarjeta de identificación es un ejemplo de un control de seguridad física. Las contraseñas y cifrado son ejemplos de
controles técnicos. Un plan de recuperación de desastres (DRP) es un ejemplo de un control administrativo.

8. SI. El destinatario debe estar preocupado por la integridad del mensaje. Si la aplicación cliente de correo
electrónico no puede verificar la firma digital del remitente del correo electrónico, entonces hay una posibilidad
de que el correo electrónico sea interceptada o se viene de una fuente peligrosa separada. Recuerde, la
integridad significa la fiabilidad de los datos, y si es o no se ha modificado o comprometida por un tercero antes
de llegar a su destino final.

9. C. Existe una preocupación sobre la confidencialidad de datos con la computación en nube, porque varios clientes
comparten espacio físico en el disco duro. Una buena parte de los clientes ejecutar sus sistemas basados ​en la
nube en máquinas virtuales. Algunas máquinas virtuales pueden ejecutar en el mismo disco duro (o muy misma
gama de discos duros). Si uno de los clientes tuvieron la idea, que podría intentar romper las barreras entre las
máquinas virtuales, que si no se fija adecuadamente, no sería muy difícil de hacer.

10. SI. Un script kiddie utiliza el código y, probablemente, no entiende cómo funciona y
cuáles serán las repercusiones. Otros actores, como los hackers, hacktivistas, los de adentro, y así sucesivamente
por lo general tienen un mayor nivel de sofisticación cuando se trata de la tecnología. Una amenaza persistente
avanzada (APT) es un conjunto de procesos técnicos o de la entidad que implementa esos procesos. Un TEA es
sólo eso-avanzado y está en el otro lado del espectro del kiddie de la escritura.

Technet24.ir
||||||||||||||||||||
||||||||||||||||||||

11. RE. Un sistema nunca puede ser realmente completamente segura. Las escalas son el depósito siempre
de ida y vuelta; un hacker desarrolla una manera de entrar en un sistema, a continuación, un administrador encuentra una
manera de bloquear ese ataque, y luego el hacker busca un método alternativo. Lo sigue y sigue; estar listo para librar la
batalla eterna!

||||||||||||||||||||
||||||||||||||||||||

CAPITULO 2

Informática de Sistemas de Seguridad Parte I

Este capítulo cubre los siguientes temas: Tipos de software malicioso: Esta parte del capítulo le ayuda a

diferenciar entre las diversas amenazas de software maliciosos que debe tener en cuenta para el examen,

incluyendo virus, gusanos, troyanos, ransomware, correo no deseado, y más.

La entrega de malware: Aquí hablamos de cómo el malware encuentra su camino a los sistemas informáticos. El
malware puede ser entregado a través de sitios web, correo electrónico, medios extraíbles, aplicaciones de terceros y
redes robot.

La prevención y solución de problemas de malware: Finalmente, se discute cómo defenderse contra las amenazas de
malware de una manera proactiva, y cómo solucionar los problemas que se producen en el caso de que las amenazas ya se
han manifestado. Esta es la sección más importante de este capítulo; estudiar con cuidado!

En pocas palabras, la parte más importante de un ordenador son los datos. Los datos deben estar disponibles, sin embargo
asegurada de tal manera para que no pueda ser manipulado. sistemas de seguridad informática es todo acerca de las amenazas
de seguridad que pueden comprometer un sistema operativo y los datos contenidos en ellos. Las amenazas como virus, troyanos,
spyware y otros programas maliciosos son muy frecuentes en la sociedad actual, y por lo tanto, este capítulo es una parte
importante del libro. Las aplicaciones que pueden ayudar a proteger sus computadoras contra amenazas de malware incluyen
antivirus, aplicaciones anti-spyware, o programas de combinación anti-malware. Mediante la implementación de estas
aplicaciones de seguridad y asegurarse de que se actualizan periódicamente, puede evitar la mayoría de los ataques de software
malicioso que puede apuntar a un sistema informático.

Para combatir las diversas amenazas a la seguridad que pueden ocurrir en un sistema informático, en primer lugar hay que
clasificarlos. Entonces tenemos que definir cómo estas amenazas pueden ser entregados al equipo de destino. Después
podemos discutir cómo prevenir amenazas a la seguridad del suceso y solucionar problemas si se producen. Vamos a
empezar con la amenaza informática más común y probablemente el software más mortal-malicioso.

Fundación Temas
Tipos de software malicioso

El software malicioso, o el malware , es un software diseñado para infiltrarse en un sistema informático

Technet24.ir
||||||||||||||||||||
||||||||||||||||||||

y posiblemente dañarlo sin el conocimiento o consentimiento del usuario. El malware es un término amplio utilizado
por profesionales de la informática para incluir los virus, gusanos, troyanos, spyware, rootkits, adware y otros tipos de
software no deseado.

Por supuesto, no queremos que el malware para infectar nuestro sistema informático, sino para defenderse de ella en primer
lugar hay que definir y categorizar. Entonces podemos poner medidas preventivas en su lugar. También es importante para
localizar y eliminar / malware de cuarentena de un sistema informático en el caso de que no se manifiestan en sí.

Para el examen, lo que necesita saber acerca de varios tipos de software malicioso. En los últimos años, un cambio de énfasis de
los virus a otros tipos de malware, como software espía y ransomware, se ha producido. La mayoría de la gente sabe acerca de
los virus y tienen algún tipo de Ejecución del software antivirus. Sin embargo, muchas personas todavía están confundidos acerca
de los diversos otros tipos de malware, la forma en que se producen, y cómo protegerse contra ellos. Debido a esto, los
profesionales informáticos pasan mucho tiempo problemas de malware de fijación (que no están relacionados con el virus) y los
usuarios de capacitación sobre cómo protegerse contra ellos en el futuro. Sin embargo, los virus siguen siendo un enemigo válida;
vamos a empezar por discutirlas.

Los virus

Un ordenador virus es el código que se ejecuta en un ordenador sin el conocimiento del usuario; infecta el ordenador cuando se
accede al código y ejecutado. Para los virus que hagan su trabajo sucio, primero tienen que ser ejecutados por el usuario de
alguna manera. Un virus también tiene la capacidad reproductiva y se pueden propagar copias de sí mismo en todo el equipo, si
es que se ejecuta en primer lugar, por parte del usuario o de otra manera. Mediante la infección de archivos accedidos por otros
equipos, el virus puede propagarse a los otros sistemas también. El problema es que los ordenadores no pueden llamar a los
enfermos el lunes; que necesitan para estar en funcionamiento lo más posible, más que su humano promedio.

Un ejemplo bien conocido de un virus es el virus del amor. Originario de 2000, este virus podría llegar en un correo electrónico
titulado “Te amo” con un archivo adjunto denominado YOU.TXT.VBS carta de amor de lucro, o entre otras varias permutaciones
de este amor ficticia. Algunos usuarios podrían llegar a pensar que esto era un archivo de texto, pero la extensión .vbs era en
realidad, la abreviatura de script de Visual Basic. Este virus borra archivos, enviar nombres de usuario y contraseñas a su
creador, infectó 15 millones de ordenadores, y supuestamente causó $ 5 mil millones en daños. Educar a los usuarios sobre la
manera de detectar su dirección de correo!

||||||||||||||||||||
||||||||||||||||||||

Nota
A lo largo de este libro me suelen dar ejemplos anteriores de malware y ataques, los que han sido derrotados o al
menos reducido en gran medida. Siempre hay nuevos ataques maliciosos se están desarrollando. Es hasta usted
para mantenerse en la cima de esas amenazas. Un par de búsquedas rápidas de Internet le proporcionará varios
blogs de amenazas y aplicaciones anti-malware que se pueden utilizar para mantenerse al día sobre los últimos
ataques. También recomiendo encarecidamente visitar de forma regular las vulnerabilidades y Exposiciones
Comunes (CVE) Canal de MITRE:

https://cve.mitre.org/cve/ .

Puede encontrarse con varios tipos diferentes de virus:

Sector de arranque: Inicialmente se carga en el primer sector del disco duro; cuando se inicia el ordenador, el virus se
carga en la memoria.

Macro: Por lo general se coloca en los documentos y enviado por correo electrónico a los usuarios con la esperanza de que
los usuarios van a abrir el documento, ejecutando así el virus.

Programa: Infecta archivos ejecutables.

cifrada: Utiliza un sistema de cifrado para cifrar sencilla en sí. El virus consta de una copia cifrada del código de virus (para
ayudar a evitar la detección) y un módulo de descifrado pequeño. Diferentes claves de encriptación se pueden utilizar para
cada archivo que están infectados, pero por lo general sólo hay un código de descifrado.

Polimórfico: Se basa en el concepto de un virus encriptado, pero el módulo de descifrado se modifica con cada
infección. Por lo tanto, se puede cambiar cada vez que se ejecuta en un intento de evitar la detección antivirus.

metamórfica: Al igual que en polimórficos pero reescribe por completo cada vez que se va a infectar a un nuevo
archivo en un nuevo intento para evitar la detección.

Sigilo: Utiliza diversas técnicas para pasar desapercibido por los programas antivirus.

Blindado: Se protege de los programas antivirus engañando al programa en el pensamiento de que está situado en un
lugar diferente de donde reside actualmente. En esencia, se dispone una capa de protección que se puede utilizar en
contra de la persona que trata de analizarlo; se frustrar los intentos por los analistas para examinar su código.

multipartito: Un híbrido de virus de arranque y de programa que ataca el sector de arranque o archivos en primer
sistema y luego ataca a los otros archivos en el sistema.

A veces, lo que parece ser un virus realmente no lo es. Ese es el caso de una falsa alarma de virus. UNA

Technet24.ir
||||||||||||||||||||
||||||||||||||||||||

broma virus es cuando un usuario recibe un mensaje de advertencia de que el equipo está infectado por un virus inexistente.
Puede ser que aparezca dentro de un correo electrónico o como un pop-up en un sitio web. Se trata de una estratagema para
tratar de llegar a los usuarios confiados a pagar por el soporte técnico que no es necesaria. También podría ser un método para
estafadores para acceder a los ordenadores de las personas de forma remota. Hablaremos más sobre engaños en capítulo 17 , “ Ingeniería
Social, Educación del usuario, e Instalaciones de Seguridad “.

lombrices

UNA gusano es muy similar a un virus excepto que se auto-repeticiones, mientras que un virus no lo hace. Lo hace en un
intento de propagarse a otros ordenadores. Los gusanos se aprovechan de agujeros de seguridad en los sistemas operativos
y aplicaciones, incluyendo puertas traseras, que se discuten más adelante. Buscan otros sistemas de la red oa través de
Internet que se están ejecutando las mismas aplicaciones y replicar a esos otros sistemas. Con los gusanos, el usuario no
tiene que acceder y ejecutar el software malicioso. Un virus necesita algún tipo de soporte para llegar a donde quiere ir y
necesita instrucciones explícitas para ser ejecutados, o debe ser ejecutada por el usuario. El gusano no necesita esta
portador o instrucciones explícitas para ser ejecutado.

Un ejemplo bien conocido de un gusano es Nimda (admin hacia atrás), que propagan automáticamente a través de la Internet

en 22 minutos en 2001, causando daños generalizados. Se propaga a través de recursos compartidos de red, e-correo

masivo, y las vulnerabilidades del sistema operativo. A veces, el gusano no lleva una carga útil, lo que significa que de por sí,

no contiene código que pueda dañar un ordenador. Puede o no puede incluir otros tipos de malware, pero incluso si no lo

hace, puede causar una interrupción general de las operaciones de tráfico de la red y de la computadora debido a la propia

naturaleza de sus capacidades auto-replicantes.

Caballos de Troya

caballos de Troya , o, simplemente, troyanos, parecen desempeñar funciones deseables, pero en realidad están realizando
funciones maliciosos detrás de las escenas. Estos no son técnicamente virus y pueden ser fácilmente descargados sin que se
note. También se pueden transferir a un ordenador a través de medios extraíbles, especialmente las unidades flash USB. Un
ejemplo de un troyano es un archivo que está contenida dentro de un programa descargado, como un generador conocido
como “keygen” se utiliza con el software pirateado o otro ejecutable clave. Si los usuarios se quejan de rendimiento del
sistema lento y numerosas alertas antivirus, y se han instalado recientemente un programa cuestionable desde Internet o
desde una unidad flash USB, sus ordenadores podrían estar infectados por un troyano.

Troyanos de acceso remoto (RAT) son el tipo más común de Troya, ejemplos de los cuales incluyen Back
Orifice, NetBus, y SubSeven; su capacidad para permitir una

||||||||||||||||||||
||||||||||||||||||||

atacante privilegios de administración más altos que los del propietario del sistema los hace muy peligrosos. El software actúa
efectivamente como una herramienta de administración remota, que pasa a ser otro nombre para el acrónimo RATA. Estos
programas tienen la capacidad de escanear rural por desprotegidas y hacer todo tipo de cambios en un anfitrión cuando está
conectado. No están diseñadas necesariamente para ser utilizado maliciosamente, pero son fáciles para una persona promedio
para descargar y manipular ordenadores con. Peor aún, cuando un equipo de destino es controlado por un atacante, que podría
convertirse fácilmente en un robot, o simplemente un robot, llevar a cabo los planes del atacante en el comando. Discutiremos los
robots más adelante en este capítulo.

Las ratas también pueden ser codificados en PHP (u otros idiomas) para permitir el acceso remoto a los sitios web. Un ejemplo de

esto es la cáscara web, que tiene muchas permutaciones. Se permite a un atacante remoto para configurar un servidor web sin el

consentimiento del usuario. Muy a menudo, el atacante habrá agrietado la contraseña FTP para subir la rata. Las ratas se utilizan

a menudo para apuntar persistentemente una entidad específica, como un gobierno o una corporación específica. Un ejemplo de

esto es el PlugX RAT. software malintencionado, como esto se conoce como una amenaza persistente avanzada (APT). Los

grupos que tienen enormes recursos a su disposición pueden hacer uso de estos apartamentos para llevar a cabo los objetivos

contra los adversarios de gran escala. APT grupos podrían tomar la forma de grandes facciones de piratas informáticos, e incluso

algunas empresas y gobiernos de todo el mundo.

ransomware
Algunas personas menores de renombre utilizan un software malicioso especialmente tortuosa conocido como

ransomware : un tipo de malware que restringe el acceso a un sistema informático y exige que se pagó un rescate. También
conocido como cripto-malware, que cifra los archivos y / o bloquea el sistema. A continuación, informa al usuario de que con
el fin de descifrar los archivos, o desbloquear el equipo para recuperar el acceso a los archivos, un pago tendría que hacerse
a uno de los varios servicios bancarios, a menudo en el extranjero. A menudo se propaga como un troyano o un gusano, y por
lo general hace uso de cifrado para causar los archivos del usuario a ser inaccesibles. Este uso de la encriptación también se
conoce como extorsión cryptoviral. Un ejemplo de esto es cryptolocker. Este troyano ransomware encripta ciertos archivos de
las unidades de la computadora utilizando una clave pública RSA. (La clave privada contraparte se almacena en el servidor
del creador del malware.) Aunque el troyano puede ser fácilmente derrotado por estar cuarentena o eliminado, los archivos
permanecen cifrados y son casi imposibles de descifrar (dada la fuerza de la clave RSA). El pago se requiere a menudo en
forma de vales, o en la forma de un criptomoneda como Bitcoin. ataques ransomware creció en forma sostenida durante
varios años hasta 2013, cuando cryptolocker (y otros troyanos ransomware similares) aparecieron, ahora cientos de miles de
computadoras en todo el mundo se ven afectados cada año.

Technet24.ir
||||||||||||||||||||
||||||||||||||||||||

Nota
A veces, un usuario tendrá acceso a un sitio web fraudulento sin darse cuenta (o sitio pop-up) que dice que todos los
archivos del usuario han sido cifrados y no se requiere el pago a descifrarlos; algunos logo como el gobierno
imponente acompañará a la declaración. Sin embargo, muchos de estos sitios en realidad no cifrar los archivos del
usuario. En este caso, estamos hablando de la extorsión a secas, sin daño real causado al ordenador o archivos.
Estos tipos de sitios pueden ser bloqueados por los bloqueadores de ventanas emergentes, filtros de phishing, y el
sentido común del usuario al hacer clic buscadas enlaces.

spyware

spyware es un tipo de software malicioso, ya sea descargado sin saberlo, desde un sitio web o instalado junto con algún otro
software de terceros. Por lo general, este malware recopila información acerca del usuario sin el consentimiento del usuario.
Software espía podría ser tan simple como una pieza de código que registra qué sitios web que el acceso, o ir tan lejos como
un programa que registra las pulsaciones del teclado (conocido como un keylogger). El spyware también se asocia con la
publicidad (esas ventanas emergentes que simplemente no va a desaparecer!), Ya veces se relaciona con la publicidad
maliciosa o maliciosa, el uso de la publicidad basada en Internet (legales e ilegales) para distribuir software malicioso.

Spyware posiblemente puede cambiar la configuración del equipo sin ninguna interacción del usuario; por ejemplo, la

reorientación de un navegador para acceder a sitios web distintos a los que quería. adware
por lo general cae en el ámbito de los programas espía, ya que aparece anuncios basados ​en lo que ha aprendido de espiar al
usuario. grayware es otro término general que describe las aplicaciones que se comportan de forma inadecuada, pero sin
consecuencias graves. Se asocia con los programas de software espía, adware y de broma. Muy divertido ... no. Un ejemplo (de
muchos) de los programas espía es el optimizador de Internet, lo que vuelve a dirigir las páginas de error de Internet Explorer a
páginas de publicidad de otros sitios web. Software espía puede incluso ser llevado al siguiente nivel y ser codificada de tal
manera para secuestrar la computadora de una persona. 24Going más allá de esto, el software espía puede ser utilizado para
ciberespionaje, como fue el caso con el Octubre Rojo, que se instala en el ordenador del usuario cuando, sin saberlo, se redirige
a sitios web con PHP páginas especiales que aprovechó una falla de Java, provocando la descarga de la malware.

rootkits
UNA rootkit es un tipo de software diseñado para hacerse con el control de nivel de administrador en un sistema informático
sin ser detectado. El término es una combinación de las palabras “raíz” (es decir, el usuario root en un sistema Unix / Linux o
administrador en un sistema Windows)

||||||||||||||||||||
||||||||||||||||||||

y “kit” (es decir, kit de software). Por lo general, el propósito de un rootkit es para realizar operaciones maliciosas en un equipo
de destino en una fecha posterior sin el conocimiento de los administradores o usuarios de ese equipo. Un rootkit es una
variación en el virus que intenta excavar en los niveles más bajos de los componentes del sistema operativo del sistema
operativo que arranca antes que cualquier servicio anti-malware entrar en juego. Rootkits pueden dirigirse a la UEFI / BIOS,
gestor de arranque, el kernel, y mucho más. Un ejemplo de un rootkit cargador de arranque es el mal criada Ataque; Este
ataque puede extraer las claves de cifrado de un sistema de cifrado de disco completo, que se discuten más adelante. Otro
(más actual) ejemplo es el rootkit Alureon, que afecta el registro de inicio maestro (MBR) y los controladores del sistema de
bajo nivel (como atapi.sys). Este rootkit particular, fue distribuida por una red de bots, y afectó a más de

200.000 (conocidas) sistemas operativos de Microsoft.

Los rootkits son difíciles de detectar porque se activan antes de que el sistema operativo se haya iniciado por completo. Un
rootkit puede instalar los archivos ocultos, procesos ocultos, y las cuentas de usuario ocultas. Debido a que los rootkits se
pueden instalar en hardware o software, que pueden interceptar los datos de las conexiones de red, teclados, y así
sucesivamente.

sin archivo de malware

El malware no tiene que residir en el disco duro de un ordenador. También puede residir dentro de la RAM (y
posiblemente en otros lugares). Sin archivo de malware también conocido como no-malware funciones sin poner
ejecutables maliciosos en el sistema de archivos, y en su lugar trabaja en un entorno basado en la memoria. Sonido
potente? Puede ser, pero el atacante en general tendrá que tener acceso remoto al sistema a través de SSH, una rata, o
de otra manera, con el fin de implementar el software malicioso. El término “sin archivo” es algo de un nombre
inapropiado porque el ataque en realidad puede contener archivos. Los sistemas afectados, tales como cajeros
automáticos, a menudo sufren de seguridad de punto final débil, y la organización que posee esos sistemas también
pueden tener políticas de control de acceso ineficaces.

Correo no deseado

¿Alguna vez ha recibido un correo electrónico pidiéndole que envíe dinero a alguna persona extraña en algún país lejano? O un
correo electrónico ofreciendo relojes Rolex muy baratos? O la siguiente mejor acción de penique? Todos estos son ejemplos de
correo no deseado. Correo no deseado es el abuso de los sistemas de mensajería electrónica, tales como correo electrónico,
mensajes de texto, redes sociales, medios de difusión, la mensajería instantánea, y así sucesivamente. Los spammers envían
mensajes masivos no solicitados de manera indiscriminada, por lo general sin beneficio para el spammer real, debido a que la
mayoría del spam o bien se desvía o se ignora. Las empresas con una ética cuestionable aprueban este tipo de comercialización
(por lo general de configurar como un sistema piramidal) para que la gente en la parte superior de la cadena de comercialización
pueden beneficiarse; Sin embargo, no es por lo general vale la pena para la persona real que envíe spam.

Technet24.ir
||||||||||||||||||||
||||||||||||||||||||

La forma más común de spam es correo electrónico no deseado, que es uno de los peores Banes de los administradores de red.

El spam puede obstruir los recursos y posiblemente causar un tipo de denegación de servicio a un servidor de correo electrónico

si hay suficiente de él. También se puede confundir a los usuarios, en un intento de ingeniería social. Y la mayor parte de los virus

basados ​en red se transfieren a través de correos electrónicos no deseados. Uff! El peor tipo de correo basura es cuando una

persona utiliza el servidor de correo electrónico de otra organización para enviar el correo no deseado. Obviamente ilegal, sino

que también podría crear problemas legales para la organización propietaria del servidor de correo electrónico. Un derivado de

correo no deseado, llamado SPIM (spam sobre mensajería instantánea), es el abuso de los sistemas de mensajería instantánea,

salas de chat, y chatear funciones en los juegos específicamente. También se conoce como spam de mensajería, correo no

deseado o IM.

Resumen de amenazas de malware

Tabla 2-1 resume las amenazas de malware analizados hasta este punto.

||||||||||||||||||||
||||||||||||||||||||

Tabla 2-1 Resumen de amenazas de malware

amenaza de
Definición Ejemplo
malware

El código que se ejecuta en un ordenador sin el conocimiento del Amor virus de insecto Ex:

Virus usuario; infecta el ordenador cuando se accede al código y ejecutado. YOU.TXT.VBS carta de

amor de lucro

Nimda propaga a través de

Similares a los virus excepto que se auto-repeticiones, mientras que unidades compartidas de red
Gusano
un virus no lo hace. y envío por correo
electrónico de masas

El acceso remoto
Aparece caballo de Troya para realizar funciones deseadas, pero en realidad es troyano Ex: PlugX
realizar funciones maliciosos detrás de las escenas.

A menudo se propaga a

RansomwareMalware que restringe el acceso a archivos de computadora y través de un troyano

exige un rescate pagado por el usuario.
Ej: cryptolocker

Internet Optimizer (también

desde
El software malicioso un sitio
software web o
espía, yainstalado junto con
sea descargado sinalgún otro software de
saberlo
conocido como DyFuCA)
terceros.

rootkits cargador de
Software diseñado para hacerse con el control de nivel de administrador en un
arranque Ex: El mal
rootkit sistema informático sin ser detectado. Pueden dirigirse a la UEFI / BIOS, gestor
criada Ataque, Alureon
de arranque, y el kernel.

El robo de identidad

El abuso de los sistemas de mensajería electrónica, tales como correo correos electrónicos
Correo no deseado
electrónico, medios de difusión, y mensajería instantánea. (phishing) Lotería de
estafa e-mails

La entrega de malware

Malware no es consciente (... no todavía) y no se acaba de aparecer de la nada; que necesita ser transportado y entregado a
un ordenador o instalado en un sistema informático de alguna manera. Esto se puede hacer de varias maneras. La manera más
simple sería que los atacantes tener acceso físico a un equipo sin protección y llevar a cabo su trabajo de forma local
malintencionado. Pero debido a que puede ser difícil de obtener acceso físico, esto se puede hacer de otras maneras, como se
muestra en las próximas secciones. Algunos de estos métodos también se pueden utilizar

Technet24.ir
||||||||||||||||||||
||||||||||||||||||||

por un atacante para simplemente obtener acceso a un ordenador, hacer modificaciones, y así sucesivamente, además de
entregar el malware.

El método que utiliza una amenaza para acceder a un objetivo que se conoce como una vector de amenazas .
En conjunto, los medios por los cuales un atacante obtiene acceso a un ordenador con el fin de ofrecer software malicioso se
conoce como una vector de ataque . Probablemente el vector de ataque más común es a través del software.

A través del software, Mensajería y Medios

El malware puede ser entregado a través del software de muchas maneras. Una persona que los correos electrónicos de un
archivo comprimido que ni siquiera sabemos que el malware también existe en ese archivo. Los destinatarios del correo
electrónico no tendrán idea de que existe el malware adicional a menos que tengan el software para escanear sus archivos
adjuntos de correo electrónico para ello. El malware también puede ser entregado a través de FTP. Dado que los servidores FTP
son inherentemente insegura, es más fácil de lo que parece 27to subir archivos insidiosos y otro software. El malware se
encuentra a menudo entre las redes peer-to-peer (P2P) y torrentes de bits. El gran cuidado debe ser tomado por los usuarios que
utilizan estas tecnologías. El malware también puede ser embebido dentro, y distribuido por, sitios web mediante el uso de código
que se dañe o malas descargas. Malware incluso puede ser distribuido por la publicidad. Y, por supuesto, los medios extraíbles
pueden victimizar a un ordenador también. Discos ópticos, unidades flash USB, tarjetas de memoria y dispositivos conectados,
como teléfonos inteligentes pueden ser fácilmente manipulados para ejecutar automáticamente el malware cuando se introducen
en el ordenador. (Esto es cuando reproducción automática / ejecución automática no es tu amigo!) El medio extraíble también
podría haber escondido virus o gusanos y, posiblemente, bombas lógicas (discutido más adelante) configurados para establecer
que el malware fuera en momentos específicos.

atacantes potenciales también se basan en un error del usuario. Por ejemplo, si un usuario intenta acceder a un sitio web, pero los
tipos del nombre de dominio incorrecto por error, el usuario podría ser redirigido a una página web por completo no deseado,
posiblemente dañino en la naturaleza. Este tipo de ataque es conocido como Typosquatting o el secuestro de URL. URL significa
Uniform Resource Locator, que es la dirección web que comienza con HTTP o HTTPS. El potencial atacante cuenta con el hecho
de que millones de erratas se llevan a cabo en los navegadores web todos los días. Estos atacantes “en cuclillas” en los nombres
de dominio similares (pero no exactamente). Una vez que el usuario se encuentra en el sitio nuevo y incorrecta, el sistema se
convierte en un blanco fácil para el software espía y otras formas de malware. Algunos navegadores vienen con una función de
seguridad, como herramientas anti-phishing y la capacidad de sitios web de auto-verificación que entró, pero la mejor manera de
protegerse contra esto es para capacitar a los usuarios tener cuidado al escribir los nombres de dominio.

||||||||||||||||||||
||||||||||||||||||||

Nota
Hablando de lo que el usuario escribe, algunos atacantes harán uso de un keylogger para grabar todo lo que el
usuario escribe en el teclado. Esta herramienta puede ser hardware o software basado en, y es a menudo
utilizado por los profesionales de seguridad también. Más sobre keyloggers aparece en capítulo 13 , “ Monitoreo y
Auditoría “.

Otra forma de propagar el malware es el empleo de automatización y web “kits” de software basados ​en ataque también
conocidos como paquetes de exploits. Explotar kits están diseñados para funcionar en servidores web y se encuentran por lo
general en forma de scripts PHP. Su objetivo son las vulnerabilidades del software de los equipos cliente que a menudo existen
dentro de los navegadores web. Un ejemplo de un kit de explotar es el Blackhole explotar kit. Esto se utiliza (y comprado) por
los atacantes potenciales para distribuir software malicioso a los equipos que cumplen determinados criterios, mientras que todo
el proceso se registra y documenta.

Nota

La automatización de los delitos cibernéticos, y el software utilizado para ello, se conocen colectivamente como
software de actividades ilegales.

Botnets y zombies
Sé lo que está pensando, los nombres de estos ataques y métodos de entrega está recibiendo un poco ridículo.
Pero tengan paciencia conmigo; que tengan sentido y son muy en serio. Permítanme explicar-malware puede ser
distribuido a través de Internet por un grupo de ordenadores comprometidos, conocido como botnet , y controlado
por un ordenador principal (donde reside el atacante). Las computadoras comprometidas individuales en la red de
bots son llamados zombis . Esto es porque no son conscientes del malware que se ha instalado en ellos. Esto
puede ocurrir de varias maneras, incluyendo la distribución automatizada del malware de un ordenador a otro
zombi. Ahora imagínese si todos los ordenadores zombi tenían un virus específico u otro tipo de ataque cargado,
y una bomba lógica (definido un poco más tarde) también fue instalado, listo para hacer estallar el malware en un
momento específico. Si esto se hiciera a cientos o miles de ordenadores, un ataque sincronizado de grandes
proporciones podría ser promulgada en casi cualquier objetivo. A menudo, esto se conoce como un sistema
distribuido de denegación de servicio, o DDoS, ataques, y por lo general se perpetúa en el servidor
particularmente popular, que sirve a muchas peticiones. Si un equipo de la red está continuamente explorando
otros sistemas de la red, se está comunicando con un servidor desconocido,

Sin embargo, las redes de bots se pueden utilizar para algo más que derribar un solo objetivo. También pueden ser

Technet24.ir
||||||||||||||||||||
||||||||||||||||||||

utilizado para obtener fraudulentamente la riqueza. Un ejemplo de este tipo de botnet es la botnet ZeroAccess. Se basa
en un troyano que afecta a varios sistemas operativos de Microsoft, y que se usan para la extracción bitcoins o
perpetuar el fraude de clics. Se oculta a muchos programas antivirus mediante el uso de un rootkit (infectar el MBR). En
2012 se estimó que la botnet consistió en hasta 10 millones de ordenadores. Se puede imaginar el poder absoluto de
una red de bots como este, y la cantidad de ingresos que puede traer al mes. Cada par de meses se puede leer acerca
de otro autor intelectual botnet que ha sido puesto a disposición judicial

- sólo para ser sustituido por otro empresario.

Interceptación activa

intercepción activa normalmente incluye un ordenador colocado entre el emisor y el receptor para capturar y posiblemente
modificar información. Si una persona puede escuchar a escondidas sesión de datos de su ordenador, a continuación, que los
datos pueden ser robados, modificado o explotado de otras maneras. Ejemplos de esto incluyen el robo de sesión y ataques
man-in-the-middle (MITM). Para obtener más información sobre estos ataques, vea la sección titulada “ Los ataques maliciosos ”en

Capítulo 7 , “ Protocolos de red y amenazas “.

escalada de privilegios

escalada de privilegios es el acto de explotar un fallo o defecto de diseño en una aplicación de software o firmware para
acceder a los recursos que normalmente han sido protegidos de una aplicación o usuario. Esto se traduce en que un usuario
obtenga privilegios adicionales, más que estaban destinados originalmente por el desarrollador de la aplicación; por ejemplo,
si un usuario regular gana el control administrativo, o si un usuario particular puede leer el correo electrónico de otro usuario
sin autorización.

puertas traseras

puertas traseras se utilizan en los programas de ordenador para eludir la autenticación normal y otros mecanismos de seguridad
en el lugar. Originalmente, puertas traseras fueron utilizados por los desarrolladores como una forma legítima de acceder a una
aplicación, pero poco después de que se llevaron a cabo por atacantes que utilizarían puertas traseras para realizar cambios en
los sistemas operativos, sitios web y dispositivos de red. O el atacante podría crear una aplicación completamente nueva que
actuaría como una puerta trasera, por ejemplo, el orificio trasero, que permite a un usuario para controlar un ordenador Windows
desde una ubicación remota. A menudo, se instala a través de un caballo de Troya; éste en particular se conoce como un troyano
de acceso remoto, o RAT, como se mencionó anteriormente. Algunos gusanos instalar puertas traseras en los ordenadores para
que los spammers remotos pueden enviar chatarra e- mail desde los ordenadores infectados, o lo que un atacante puede intentar
una escalada de privilegios. Desafortunadamente, no hay mucho que se pueda hacer sobre puertas traseras, aparte de la
actualización o un parche en el sistema infectado y mantener en la parte superior de cambios. Sin embargo, si la red

||||||||||||||||||||
||||||||||||||||||||

administradores eran para averiguar acerca de una nueva puerta trasera, deben informar al fabricante del dispositivo o de la
aplicación tan pronto como sea posible. Puertas traseras son menos comunes hoy en día, debido a que su práctica se suele
desalentado por los fabricantes de software y por los fabricantes de dispositivos de red.

Bombas lógicas

UNA bomba lógica es el código que ha, de alguna manera, ha insertado en el software; que está destinado a iniciar uno de los
muchos tipos de funciones maliciosas cuando se cumplan criterios específicos. Las bombas lógicas borrar la línea entre
malware y un sistema de entrega de malware. De hecho, son el software no deseado, pero están destinados a activar los virus,
gusanos o troyanos en un momento específico. Troyanos se embarcó en una determinada fecha también se denominan bombas
de tiempo . La bomba lógica garrapatas de distancia hasta que la hora exacta, la fecha, y se han cumplido otros parámetros. Así,
algunos de los peores bombas no incorporan una explosión alguna. La bomba lógica podría estar contenida dentro de un virus o
se carga por separado. bombas lógicas son más comunes en las películas de lo que son en la vida real, pero ocurren, y con
consecuencias graves; pero más a menudo que no, se detectan antes de que se partió. Si usted, como administrador de
sistemas, sospecha que ha encontrado una bomba lógica, o una porción del código de una bomba lógica, debe notificar a su
superior inmediato y comprobar las políticas de su organización para ver si debe tomar cualquier otra acción. Acción podría
incluir la colocación de los procesos de recuperación de desastres de red en modo de espera; notificar al proveedor de software;
y la gestión de cerca el uso del software, incluyendo, quizás, retirándola del servicio hasta que se mitiga la amenaza. bombas
lógicas son el primo mal del huevo de Pascua. Huevos de Pascua históricamente han sido un adicional platónico que se añadió
a un sistema operativo o una aplicación como una especie de broma; menudo, se perdió por el control de calidad y
posteriormente liberado por el fabricante del software. Un ejemplo anterior de un huevo de Pascua es la capacidad de forzar
una victoria en solitario de Windows XP pulsando la tecla Alt + Shift + 2 teclas a la vez. Huevos de Pascua no se documentan
normalmente (de ser lanzado en el último minuto por los programadores de humor) y están destinados a ser inofensivo, pero
hoy en día no están permitidos por las compañías de software responsables y se exploran a fondo para. Debido a que un huevo
de Pascua (y quién sabe qué más) posiblemente puede deslizarse pasado el control de calidad, y debido a la creciente
preocupación por el malware en general, muchas empresas han adoptado la idea de informática de confianza, que es un
concepto más reciente que establece normas para cómo el software está diseñado, codificado, y se analiza el control de
calidad. Por desgracia, en lo que va de software, el día del huevo de Pascua ha pasado.

La prevención y solución de problemas malware

Ahora que sabemos que los tipos de malware, y las formas en que se pueden entregar a un ordenador, vamos a
hablar de cómo detenerlos antes de que sucedan, y cómo solucionar

Technet24.ir
||||||||||||||||||||
||||||||||||||||||||

si ellos ocurren. Desafortunadamente, dado el número de ordenadores que va a trabajar, van a suceder.

Si un sistema se ve afectado por el malware, podría ser lento en su tiempo de respuesta o mostrar ventanas emergentes no
deseadas y páginas incorrectas; o aplicaciones (y tal vez incluso todo el sistema) podrían bloquear o apagar de forma
inesperada. A menudo, el malware utiliza recursos de CPU y de memoria directa o detrás de las escenas, haciendo que el
sistema funcione más lento de lo habitual. En general, un técnico debe buscar un comportamiento errático de la computadora,
como si tuviera una mente propia! Vamos a repasar los virus y software espía, buscar la forma de prevenirlos, y finalmente a
discutir cómo pueden solucionarse si se producen.

La prevención y solución de problemas Los virus

Podemos hacer varias cosas para proteger un sistema de computadora de virus. En primer lugar, cada equipo debe tener una
fuerte protección de puntos finales plataforma significado que el software antivirus debe estar ejecutándose en él. Hay muchos
proveedores de protección antivirus, además de los fabricantes de sistemas operativos a menudo software AV paquete con el
sistema operativo o ofrecen descargas gratuitas. En segundo lugar, el software antivirus debe actualizarse, lo que significa que el
software requiere una licencia vigente; este se renueva cada año con la mayoría de los proveedores. Al actualizar, asegúrese de
actualizar el motor de AV y las definiciones si usted lo está haciendo de forma manual. De lo contrario, ajuste el software de AV
para actualizar automáticamente a intervalos periódicos, por ejemplo, cada día o cada semana. Es una buena idea programar
escaneos completos regulares del sistema dentro del software AV.

Mientras las definiciones han sido actualizados, por lo general los sistemas antivirus localizar los virus junto con otro
malware como gusanos y troyanos. Sin embargo, estos sistemas no suelen localizar bombas lógicas, rootkits y actividad
de botnets. En lugar de esto, tener en cuenta que el software AV es importante, pero no es una panacea.

A continuación, queremos para asegurarse de que el ordenador tiene las últimas actualizaciones disponibles. Esto va para el
sistema operativo y las aplicaciones. Puertas traseras en los sistemas operativos y otras aplicaciones no son infrecuentes, y los
fabricantes de sistemas operativos suelen lanzar soluciones para estas violaciones de la seguridad. Windows ofrece el programa
de Windows Update. Esto debe estar habilitado y que o bien debe comprobar si hay actualizaciones de forma periódica o
configurar el sistema para comprobar si hay actualizaciones de forma automática. Puede ser que su organización tiene reglas que
gobiernan cómo funciona Windows Update. Si es así, configurar las actualizaciones automáticas de acuerdo con la política de su
empresa.

También es importante asegurarse de que un servidor de seguridad está disponible, se activa, y actualizada. Un cortafuegos
cierra todos los puertos de entrada a la computadora o red en un intento de bloquear a los intrusos. Por ejemplo, Firewall de
Windows es una característica basada en software integrado incluido en Windows. Esto se ilustra en Figura 2-1 . Se puede ver
que el servidor de seguridad en la figura está habilitado para redes privadas y públicas clientes /. Siempre comprobar la
funcionalidad

||||||||||||||||||||
||||||||||||||||||||

del servidor de seguridad de punto final!

Figura 2-1 Firewall de Windows en Windows 10

También puede ser que tenga un firewall basado en hardware; por ejemplo, uno que se incluye en una pequeña oficina en casa
router de la oficina / (SOHO). Mediante el uso de ambos, que tiene dos capas de protección contra diversos ataques que podrían
incluir una carga útil con malware. Tenga en cuenta que puede que tenga que establecer excepciones para los programas que
necesitan para acceder a Internet. Esto se puede hacer por el programa, o el puerto utilizado por el protocolo, y se puede
configurar para permitir que las aplicaciones específicas para comunicarse a través del firewall, manteniendo el resto de los
puertos cerrados.

Otra manera de ayudar a prevenir el virus es utilizar lo que llamo la “separación de OS y datos”. Este método requiere dos
unidades de disco duro. El sistema operativo está instalado en la unidad C: y los datos se almacenan en la unidad D: (o cualquier
otra letra que utiliza para la segunda unidad). Este compartimenta el sistema y los datos, lo que hace más difícil para los virus se
propaguen y más fácil para aislarlos durante el escaneado. También permite una fácil reinstalación sin tener que realizar copias
de seguridad de datos! Una manera menos costosa de lograr esto es mediante el uso de dos particiones en la misma unidad.

Technet24.ir
||||||||||||||||||||
||||||||||||||||||||

Nota
Hay virus que pueden afectar a otros tipos de sistemas operativos. Android, iOS y otros sistemas
de escritorio como MacOS y Linux son todos susceptibles, aunque históricamente no se han
dirigido tanto como los sistemas Windows.

El cifrado es una excelente manera de proteger los datos que de otro modo se vería comprometida (o perdidos), debido a la
actividad del virus en un ordenador. Los sistemas operativos Windows hacen uso del Sistema de cifrado de archivos (EFS), que
puede cifrar archivos de forma individual. Cuando se cifra un archivo de esta manera, el nombre del archivo se muestra de color
verde en el Explorador de Windows o el Explorador de archivos. Impide el acceso de texto sin cifrar, y se opone a la
modificación en la mayoría de los casos. El cifrado de este tipo probablemente no va a evitar que los virus se produzca, pero
puede ayudar a proteger los archivos individuales se vean comprometidas. Hablaremos más sobre el cifrado en capítulo 14 , “ Encriptación
y hashing Conceptos “, Y capítulo 15 , “ Protocolos de PKI y encriptación “.

Por último, educar a los usuarios en cuanto a cómo los virus pueden infectar un sistema. Instruirlos sobre la manera de detectar
sus correos electrónicos, y diles que no abrir archivos adjuntos desconocidos. Mostrarles cómo escanear medios extraíbles antes
de copiar los archivos a su ordenador, o configurar el ordenador para escanear automáticamente los medios extraíbles. A veces
funciona la educación del usuario; a veces no lo hace. Una forma de hacer que la educación del usuario más eficaz es tener un
entrenador técnica educar a sus usuarios, en lugar de hacerlo usted mismo. O bien, considerar la creación de tutoriales
interactivos de aprendizaje en línea. Estos métodos pueden proporcionar un entorno de aprendizaje más atractivo.

Mediante el uso de todas estas técnicas, la infección por virus puede ser severamente reducida. Sin embargo, si un equipo
está infectado por un virus, desea saber qué buscar, para que pueda “curar” el ordenador.

Éstos son algunos de los síntomas típicos de virus:

Equipo funciona más lento de lo habitual.

El equipo se bloquea con frecuencia o deja de responder por completo. Equipo se reinicia

por sí mismo o se bloquea con frecuencia.

Los discos duros, unidad óptica y aplicaciones no son accesibles o no funcionan correctamente.

producen sonidos extraños.

Recibe mensajes de error inusuales. Visualizar o

imprimir la distorsión se produce.

||||||||||||||||||||
||||||||||||||||||||

Nuevos iconos aparecen o viejos iconos (y aplicaciones) desaparecen. Hay una doble extensión en un archivo

adjunto a un correo electrónico que fue abierto; Por ejemplo: .txt.vbs o .txt.exe.

Los programas antivirus no se ejecutarán o no pueden ser instalados. Los archivos se han

dañado o carpetas se crean automáticamente. las capacidades del sistema de restauración

se han eliminado o desactivado.

Aquí es un procedimiento recomendado para la eliminación de malware en general:

1. Identificar los síntomas de malware.

2. sistemas infectados cuarentena.

3. Deshabilitar Restaurar sistema (en Windows).

4. Remediar los sistemas infectados:

a. Actualizar el software anti-malware.

si. Usar técnicas de exploración y de eliminación (por ejemplo, el modo y de preinstalación entornos seguros).

5. Programar análisis y actualizaciones de ejecución.

6. Activar Restaurar sistema y crear un punto de restauración (en Windows).

7. Educar a los usuarios finales.

Antes de hacer cualquier cambio en el equipo, asegúrese de hacer una copia de seguridad de datos críticos y verificar que las
últimas actualizaciones se han instalado en el sistema operativo y el software AV. A continuación, realice una búsqueda completa
del sistema mediante la utilidad de exploración del software antivirus; si lo permite el software, ejecutar la exploración en modo
seguro. Otra opción es mover la unidad afectada a una “máquina limpia”, un equipo que no está conectado a ninguna red, y se
utiliza exclusivamente para el propósito de la exploración en busca de malware. Esto se puede hacer mediante el uso de un kit
convertidor de USB o un sistema de unidad extraíble, o esclavizando la unidad afectada a otro puerto en el disco duro de otro
ordenador. A continuación, ejecute el software antivirus en esa máquina limpia para escanear esa unidad. talleres de reparación de
PC utilizan este concepto de máquina limpia aislada.

Con suerte, el software antivirus detecta y pone en cuarentena el virus en el sistema. En el caso de que la exploración del software
antivirus no encuentra el tema, o si el software antivirus ha sido infectado y no se ejecuta, puede probar a usar un escáner en línea
gratis.

En casos raros, puede que tenga que borrar archivos individuales y eliminar entradas del registro.

Technet24.ir
||||||||||||||||||||
||||||||||||||||||||

Esta podría ser la única solución cuando un nuevo virus ha infectado a un sistema y no existe una definición antivirus liberado.
Las instrucciones sobre cómo eliminar los virus de esta forma se pueden encontrar en los sitios web de los fabricantes de
software AV.

Cuando se trata de virus de sector de arranque, el software AV sigue siendo la mejor opción. El software antivirus puede utilizar
una unidad flash USB de arranque o un disco de arranque para llevar a cabo la exploración del sector de arranque, o podría tener
blindaje de arranque construido en algunos programas de UEFI / BIOS tienen la capacidad de escanear el sector de arranque del
disco duro en el arranque.; esto podría tener que ser activado en la configuración UEFI / BIOS primero. También puede utilizar
entornos de recuperación y la línea de comandos para reparar el sector de arranque.

Otra posibilidad es el uso de herramientas basadas en Linux que pueden descargarse gratuitamente y discos en vivo de Linux

como Knoppix, que se pueden utilizar para arrancar y reparar el equipo. Tenga en cuenta que los entornos de recuperación y

otros métodos de línea de comandos no podrían solucionar el problema; que podrían hacer que el disco duro de funcionar

dependiendo del tipo de virus. Por lo tanto, lo mejor es utilizar primero varias utilidades del software AV que ha comprado para el

sistema.

La prevención y solución de problemas gusanos y troyanos

Gusanos y troyanos pueden prevenirse y localizado averías de la misma manera como los virus. Hay programas gratis en línea
para los troyanos, pero en la mayoría de los casos, las exploraciones de software AV estándar para gusanos y troyanos, además
de los virus (y tal vez otros programas maliciosos, así). Por lo general, el software de AV puede detectar fácilmente troyanos de
acceso remoto, que se han mencionado anteriormente en el capítulo, ya sea mediante la detección de aplicación real del atacante
o detectando cualquier archivo .exe que forman parte de la aplicación y se utilizan en el ordenador de la víctima.

La prevención es una cuestión de mantenimiento y cuidado de la interacción del usuario con el ordenador. Mantener el software
AV hasta la fecha es importante, una vez más, pero aún más importante se convierte en la capacidad del usuario para utilizar el
equipo correctamente a desplazarse únicamente a sitios web legítimos y para detectar el correo electrónico con cuidado.

Solucionar estos tipos de malware se realiza básicamente de la misma forma que con los virus. El software malicioso
debe ser puesto en cuarentena y / o eliminado si es posible con el software de AV o con técnicas avanzadas
mencionadas en el apartado anterior. Las mismas técnicas de prevención y solución de problemas se aplican a
ransomware ya que se entrega a menudo en la forma de un troyano.

La prevención y solución de problemas Spyware

La prevención de software espía funciona de la misma manera que se evita que los virus cuando se trata de actualizar el
sistema operativo y el uso de un servidor de seguridad. También, porque el software espía es

||||||||||||||||||||
||||||||||||||||||||

tan comunes como los virus, las compañías antivirus y fabricantes OS añadir componentes anti-spyware a su
software. Aquí hay algunas cosas más que usted puede hacer para proteger su equipo con la esperanza de prevenir
el spyware:

El uso (o descarga) y la actualización incorporado en los programas anti-spyware, como Windows Defender.
Asegúrese de mantener el software anti-spyware actualizado.

Ajustar la configuración de seguridad del navegador web. Por ejemplo, desactivar (o límite) las cookies, crear y configurar las
zonas de confianza, active el phishing filtros, restringir sitios web no deseados, activar la comprobación automática de sitios
web, deshabilitar secuencias de comandos (como JavaScript y ActiveX), y que el navegador Borrar todos caché al salir .
Todas estas cosas pueden ayudar a filtrar las solicitudes fraudulentas en línea para los nombres de usuario, contraseñas e
información de tarjetas de crédito, que también se conoce como página web spoofing. la configuración de seguridad más altos
también pueden ayudar a defenderse de secuestro de sesión, que es el acto de tomar el control de una sesión de usuario
después de obtener o generar un ID de autenticación. Hablaremos más sobre la seguridad en el navegador web Capítulo 5 , “ Seguridad
de las aplicaciones “.

Desinstalar las aplicaciones innecesarias y desactivar los servicios innecesarios (por ejemplo, los servicios de
escritorio remoto o FTP si no se utilizan).

Educar a los usuarios sobre cómo navegar por la web de forma segura. La educación del usuario es en realidad el método
del número uno de la prevención de malware! El acceso sólo sitios cree que es seguro, y sólo descarga los programas de
sitios web de confianza. No haga clic en OK o Aceptar para cerrar una ventana; en cambio, presione Alt + F4 en el teclado
para cerrar esa ventana, o utilizar el Administrador de tareas para cerrar de aplicaciones. Tenga cuidado con los sitios web
de intercambio de archivos y el contenido almacenado en esos sitios. Tenga cuidado con los correos electrónicos con
enlaces a software descargable que podrían ser maliciosos.

Considere tecnologías que desalientan el software espía. Por ejemplo, utilice un navegador que es menos susceptible a los

programas espía, y considerar el uso de máquinas virtuales. Comprobar la seguridad de los sitios que visita mediante la

comprobación del certificado, o simplemente en busca de HTTPS en la URL.

Éstos son algunos de los síntomas comunes de software espía:

página de inicio por defecto del navegador web ha sido modificado. Un sitio web en

particular surge cada vez que realice una búsqueda. parecen excesivas ventanas

emergentes.

La actividad del adaptador de red parpadea con frecuencia cuando el equipo no debe estar transmitiendo datos.

Los programas antivirus y firewall se apagan automáticamente. Los nuevos programas,

los iconos y los favoritos aparecen.

problemas impares se producen dentro de las ventanas (sistema lento, aplicaciones comporta de forma extraña,

Technet24.ir
||||||||||||||||||||
||||||||||||||||||||

y tal).
La consola de Java aparece al azar.

Para solucionar y reparar los sistemas infectados con software espía, primero desconecte el sistema de Internet (o simplemente
de la red de área local). Entonces, intente desinstalar el programa desde el área de Panel de control o configuración del sistema
operativo. Algunos de los programas de software espía menos malicioso puede ser desinstalado totalmente sin ningún tipo de
daño residual. Asegúrese de reiniciar el ordenador después y verificar que el software espía en realidad fue desinstalado! A
continuación, escanear su sistema con el software antivirus para eliminar cualquier virus que pudiera haber infestado el sistema,
lo que podría interponerse en el camino de un éxito eliminación de software espía. Una vez más, en Windows, hacer esto en el
entorno de recuperación (por ejemplo, el modo seguro) si el software AV ofrece esa opción.

Nota
En algunos casos, el modo seguro no es suficiente, y que necesita para arrancar desde una unidad flash USB o
disco con un sistema operativo de arranque o kernel (Knoppix, por ejemplo) y vuelva a ejecutar las exploraciones.

A continuación, escanear el ordenador con el software anti-spyware de su elección en un intento de poner en cuarentena
y eliminar el software espía. Puede utilizar otros programas para eliminar el malware, pero tenga cuidado con estos
programas, ya que probablemente tendrá que modificar el Registro. Retire sólo lo que es parte de la infección.

Por último, es necesario asegurarse de que el malware no volverá a surgir en su sistema. Para ello, comprobar los ajustes de la
página de inicio de su navegador, compruebe que el archivo HOSTS no ha sido secuestrado (que se encuentra en C: \
WINDOWS \ system32 \ drivers \ etc), y asegúrese de que los sitios web no deseados no se han añadido a los sitios
pertenecientes al navegador de confianza.

||||||||||||||||||||
||||||||||||||||||||

software maligno

Los virus, spyware y otros tipos de malware a veces se agrupan en el término software
maligno. A pesar de todos los ataques antes mencionados son, en efecto malicioso, algunos
tipos de software maligno no son maliciosos en su intención, pero el usuario pierde una
cierta cantidad de control cuando los utilizan. Un ejemplo de esto es una barra de
herramientas comercial que ayuda en el proceso de compra, pero a la vez registra cuando la
persona que estaba de compras y lo que fue comprado, y envía esa información al servidor
principal del software maligno sin el conocimiento o consentimiento del usuario. Otro
ejemplo es cuando un usuario instala un programa en particular que es legítimo excepto por
el hecho de que se instala otro programa (posiblemente el software espía o scareware) sin
el consentimiento del usuario. En pocas palabras, software maligno es un software que hace
cosas que no desea que haga, a menudo sin su consentimiento.

La prevención y solución de problemas Rootkits

Un rootkit instalado con éxito permite a los usuarios no autorizados a tener acceso a un sistema y actuar como usuario root o
administrador. Los rootkits se copian en un ordenador como un archivo binario; este archivo binario puede ser detectado por los
programas antivirus basados ​en firmas y basados ​en heurísticas, que se discuten en Capítulo 3 , “ Informática de Sistemas de
Seguridad de la Parte II .”Sin embargo, después de ejecutar el rootkit, que puede ser difícil de detectar. Esto se debe a que la
mayoría de los rootkits son conjuntos de programas que trabajan juntos que pueden hacer muchas modificaciones al sistema.
Cuando la subversión del sistema operativo se lleva a cabo, el sistema operativo no se puede confiar, y es difícil saber si sus
programas antivirus funcionar correctamente, o si alguno de sus otros esfuerzos tienen ningún efecto. Aunque los fabricantes de
software de seguridad están tratando de detectar rootkits funcionamiento, es dudoso que van a tener éxito. La mejor manera de
identificar un rootkit es el uso de medios extraíbles (una unidad flash USB o un disco especial de rescate) para arrancar el equipo.
De esta manera, el sistema operativo no está en funcionamiento, y por lo tanto el rootkit no se está ejecutando, por lo que es
mucho más fácil de detectar por los medios de comunicación externa. A veces, los rootkits se esconden en el MBR. A menudo,
fabricantes de sistemas operativos recomiendan el lavado del MBR (volver a escribir, por ejemplo, dentro de las opciones de
recuperación del sistema u otro entorno de recuperación) y luego escanear con el software antivirus. Esto depende del tipo de
rootkit. El uso de GPT en lugar de MBR ayuda a disuadir a los rootkits. Sugiero utilizar GPT siempre que sea posible.

Desafortunadamente, debido a la dificultad de eliminar un rootkit, la mejor manera de combatir los rootkits es volver a
instalar todo el software (o volver a la imagen del sistema). En general, un técnico de PC, al detectar un rootkit, hará
exactamente eso, porque por lo general tarda menos tiempo

Technet24.ir
||||||||||||||||||||
||||||||||||||||||||

de tratar de solucionar todos los problemas de rootkit, además de que puede verificar que el rootkit se ha eliminado por
completo.

La prevención y solución de problemas de Spam

El Internet tiene que ser conservado, al igual que nuestro medio ambiente. Puede sonar loco, pero es verdad. Sólo hay tanto
espacio para almacenar información, y sólo un ancho de banda mucho que se puede utilizar para transferir datos. Se estima que el
spam provoca mil millones de dólares en el fraude, daño, pérdida de productividad, y así sucesivamente todos los años; además
de las redes de bots y redes P2P, es uno de los mayores devoradores de recursos de Internet. Lo peor es que la mayoría de los
spammers no soportan la carga de los costos involucrados; otra persona por lo general lo hace. Así que la clave es bloquear el
spam tanto como sea posible, informar de los que lo hacen, y formar a sus usuarios. Aquí hay varias maneras de implementar
controles de seguridad anti-spam y, con suerte, reducir el spam:

Utilice un firewall spam / filtro: Esto se puede comprar como software para el servidor o como un dispositivo basado en
hardware. Estos aparatos controlan la actividad de spam y crear y actualizar listas blancas y negras, todos los cuales se
pueden descargar en el dispositivo automáticamente. Los administradores de red también deben bloquear todos los correos
electrónicos que incluyen archivos adjuntos que no cumplan con las normas de la empresa. Por ejemplo, algunas empresas
permiten solamente .zip, .txt, .doc, .docx y al pasar por su filtro de archivos adjuntos de correo electrónico (o

. cremalleras solamente). Si su empresa utiliza una empresa de alojamiento web para su página web y de correo electrónico,
que compañía probablemente tiene muchas opciones de filtrado de correo no deseado. Y en el lado del cliente, puede
configurar los programas de Outlook y otros electrónico a un mayor nivel de seguridad contra el spam; esto es por lo general
en el área Opciones de correo electrónico no deseado, como se muestra en Figura 2-2 . Los filtros de spam también pueden ser
instalados en los clientes individuales. Muchos suites de antivirus populares han incorporado en el filtrado de correo no
deseado. Asegúrese de que está activado! A modo de ejemplo, mi cuenta de correo electrónico personal (que trato de
mantener en privado) tiene un filtro en la empresa de alojamiento web, además de mi paquete de software anti-malware filtra
los correos electrónicos, y Outlook está establecido en alto en la basura página Opciones de correo electrónico, y por
supuesto, sigo teniendo por lo menos varios mensajes de spam a mi bandeja de entrada todos los días!

||||||||||||||||||||
||||||||||||||||||||

Figura 2-2 Opciones de correo electrónico no deseado de Outlook poner a valor máximo nivel de seguridad

Cierre retransmisiones de correo abiertas: Los servidores SMTP pueden configurarse como retransmisiones de correo abiertas ,
que permite a cualquier usuario de Internet para enviar correo electrónico a través del servidor SMTP. Aunque esto es
deseable para los clientes de la empresa que gestiona el servidor SMTP, no es deseable que la compañía tenga un relé
electrónico completamente abierto. Así, retransmisiones de correo abiertas o bien deben estar cerradas o configurados de
tal manera que solo los clientes y usuarios debidamente autenticados pueden usarlos. retransmisiones de correo abiertas
son también conocidos como relés abiertos SMTP.

Eliminar los enlaces de direcciones de correo electrónico de la página web de la compañía: Sustituirlos por formularios
en línea (por ejemplo, las formas seguras de PHP) que permiten a una persona a ponerse en contacto con la compañía pero
no ver ninguna de las direcciones de correo electrónico de la empresa. Utilice una publicidad separada dirección de correo
electrónico para cualquier literatura o anuncios. Considere cambiar esto a menudo; la gente de marketing ya podrían hacer
esto como una forma de cables de seguimiento. Llevarlo al siguiente nivel, considere un servicio de correo electrónico.

Utilizar listas blancas y negras: Las listas blancas son listas seguras de las direcciones de correo electrónico o dominios de
correo electrónico enteras que son de confianza, mientras que las listas negras son listas de direcciones de correo electrónico
o dominios de correo electrónico que no son de confianza. Estas listas se pueden configurar en los servidores de correo electrónico, el co

Technet24.ir
||||||||||||||||||||
||||||||||||||||||||

electrodomésticos, y dentro de los programas cliente de correo como Outlook.

Capacitar a sus usuarios: Haga que crear y utilizar una dirección de correo electrónico gratuito siempre que se publico en
los foros, portales de soporte técnico, y grupos de noticias, y les ordenan no utilizan su correo electrónico de su empresa
para cualquier cosa excepto con fines relacionados con la empresa. Asegúrese de que la pantalla de su correo electrónico
con cuidado; Esto también se conoce como investigación de antecedentes de correo electrónico. E-mail con archivos
adjuntos debe considerarse volátiles a menos que el usuario sabe exactamente de dónde viene. Capacitar a sus empleados
nunca para hacer una compra de un correo electrónico no solicitado. Además, explicar el razonamiento detrás del uso de
copia oculta (CCO) al enviar un correo electrónico a varios usuarios. No hay que irse por las ramas; todos sabemos que esto
es lo más difícil pedir de una empresa y sus empleados que tienen cosas más importantes que hacer. Sin embargo, algunas
compañías hacen cumplir esto como hábitos de correo electrónico de los usuarios de política y el monitor. Algunas empresas
tienen una política en el lugar en el que los usuarios deben crear una lista “segura”. Esto significa que sólo las direcciones de
esa lista pueden enviar correo electrónico al usuario y hacer que aparezca en la bandeja de entrada.

No se puede guardar Cada equipo contra el malware!

En una nota final y triste, a veces los ordenadores se vuelven tan infectado con malware que no se pueden guardar. En
este caso, los datos deben ser respaldados (si es necesario mediante la eliminación del disco duro y esclavizando a otro
sistema), y el sistema operativo y las aplicaciones vuelven a instalar. El UEFI / BIOS del ordenador también debe ser
flasheado. Después de la reinstalación, el sistema debe ser revisado a fondo para asegurarse de que no hubo efectos
residuales y que el disco duro del sistema lleva a cabo correctamente.

Resumen de las técnicas de prevención de malware

Tabla 2-2 resume las técnicas de prevención de malware analizados hasta este punto.

||||||||||||||||||||
||||||||||||||||||||

Tabla 2-2 Resumen de las técnicas de prevención de malware

amenaza de malware Técnicas de prevención

Ejecutar y actualizar el software antivirus. Analiza

todo el sistema periódicamente. Actualizar el

Virus
sistema operativo. Utilice un firewall.

Ejecutar y actualizar el software antivirus. Analiza

Gusano
todo el sistema periódicamente.

Ejecutar y actualizar el software antivirus. Analiza

caballo de Troya todo el sistema periódicamente. Realizar un análisis

de Troya periódicamente.

Ejecutar y actualizar software anti-spyware. Analiza todo

el sistema periódicamente. Ajustar la configuración del

spyware
navegador web.

Considere tecnologías que desalientan el software espía.

Ejecutar y actualizar el software antivirus. Utilizar

rootkit
programas detectores de rootkit.

Utilice un filtro de spam.

Configurar listas blancas y negras. Cierre

Correo no deseado
retransmisiones de correo abiertas. Capacitar a sus

usuarios.

Resumen del capítulo

amenazas a la seguridad del ordenador pueden ser entregadas a través de software o dentro de un correo electrónico, a través de
ordenadores zombis que forman parte de una red de bots, mediante el uso de paquetes de exploits, ya través de puertas traseras
y el acto de escalada de privilegios. La idea es que el atacante quiere ya sea hacer que el equipo inútil o obtener acceso
administrativo a la misma. La razón, más a menudo que no, es que el atacante quiere información confidencial, como secretos de
la compañía, números de tarjetas de crédito, o incluso la información gubernamental clasificada. Pero también podría ser que el
atacante simplemente quiere crear el caos.

Cualquiera que sea la razón, asegúrese de conocer las señales de advertencia para los distintos tipos de malware que pueden
surgir: a partir de bloqueos causados ​por virus y reinicia a spyware- causadas modificaciones del navegador web. Si el malware
infecta a una computadora, asegúrese de poner en práctica el procedimiento de extracción adecuado; ya sea la que aparece en
este capítulo, o uno que se proporciona a usted por políticas escritas de su organización.

Technet24.ir
||||||||||||||||||||
||||||||||||||||||||

Sin embargo, la prevención es la clave para un entorno empresarial productiva. Comprender las técnicas de prevención
de virus, gusanos, troyanos, spyware y ransomware. Revisar periódicamente los métodos para asegurarse de que está
implementando la mejor y más hasta la fecha las estrategias posibles. Yo digo a menudo: “Una onza de prevención vale
una libra de curación”, por citar Benjamin Franklin. Este es un caso en que sólo un poco de tiempo dedicado a los
sistemas de seguridad y educar a los usuarios podría ahorrar una Organización horas -posiblemente días, y tal vez una
gran cantidad de dinero en el proceso.

Capítulo revisar las actividades

Utilizar las características de esta sección para estudiar y revisar los temas de este capítulo.

Revisar los temas clave

Revisar los temas más importantes en el capítulo, señalado con el icono: tema clave en el margen exterior de la página. Tabla
2-3 enumera una referencia de estos temas clave y el número de página en la que se encuentra cada uno.

Tabla 2-3 Los temas clave para el Capítulo 2

Elemento clave de Tema Descripción Número de página

Lista con viñetas Tipos de virus 20

Tabla 2-1 Resumen de las amenazas de malware 25

lista numerada procedimiento de eliminación de malware 34

Tabla 2-2 Resumen de las técnicas de prevención de malware 41

Definir términos clave

Definir los siguientes términos clave de este capítulo, y compruebe sus respuestas en el glosario:

malware, virus, gusanos, caballos de Troya, Troya de acceso remoto (RAT), ransomware, software espía, adware, grayware,
rootkits, spam, vector de amenazas, vector de ataque, Typosquatting, botnet, zombi, intercepción activa, una escalada de
privilegios, puertas traseras, bomba lógica , bomba de tiempo, la retransmisión de correo abierto

||||||||||||||||||||
||||||||||||||||||||

Completar los escenarios del mundo real

Completar los escenarios del mundo real que se encuentran en el sitio web complementario ( www.pearsonitcertification.com/title/97807
). Va a encontrar un PDF que contiene el escenario y preguntas, así como el apoyo a los vídeos y simulaciones.

Preguntas de revisión

Responder a las siguientes preguntas de repaso. Compruebe sus respuestas con las respuestas correctas que siguen.

1 . Un grupo de computadoras comprometidas que tengan instalado el software por un gusano o un troyano es conocido
como cuál de las siguientes?

A. botnet
SI. Virus

C. rootkit
RE. Zombi

2 . ¿Cuál de las siguientes amenazas a la seguridad informática se pueden actualizar automáticamente y de forma remota?
(Seleccione la mejor respuesta.)

A. Virus
SI. Gusano

C. Zombi
RE. Malware

3 . Se le ha dado la tarea de detección de virus en un PC. ¿Cuál es el mejor de los métodos siguientes?

A. entorno de recuperación

SI. Doble arranque en Linux

C. Sólo símbolo del sistema

RE. Arranque en Windows normalmente

4 . ¿Cuál de los siguientes es un síntoma común de software espía?

A. Archivos infectados

SI. El ordenador se apaga

C. aplicaciones de congelación

RE. Ventanas emergentes

Technet24.ir
||||||||||||||||||||
||||||||||||||||||||

5 . Dan es un administrador de red. Un día se da cuenta de que su servidor DHCP está inundado de
información. Lo analiza y descubre que la información proviene de más de 50 equipos de la red. ¿Cuál
de las siguientes es la razón más probable?
A. Virus

SI. Gusano

C. Zombi
RE. script PHP

6 . ¿Cuál de los siguientes no es un ejemplo de software malicioso?

A. rootkits
SI. spyware

C. Los virus

RE. Navegador

7 . ¿Qué tipo de ataque utiliza más de un ordenador?

A. Virus

SI. DoS

C. Gusano

RE. DDoS

8 . ¿Qué es un ataque malicioso que se ejecuta al mismo tiempo todas las semanas?

A. Virus

SI. Gusano

C. ransomware
RE. Bomba lógica

9 . ¿Cuál de estos es una verdadera declaración relativa a la interceptación activa?

A. Cuando un equipo se pone entre un emisor y un receptor

SI. Cuando una persona escucha una conversación

C. Cuando una persona se ve a través de archivos

RE. Cuando una persona se endurece un sistema operativo

10 . ¿Cuál de los siguientes tipos de escáneres puede localizar un rootkit en un ordenador?

A. escáner de imágenes

SI. Escáner de código de barras

C. escáner de malware

||||||||||||||||||||
||||||||||||||||||||

RE. escáner de adware

11 . ¿Qué tipo de malware no requiere un usuario para ejecutar un programa para distribuir el
¿software?

A. Gusano

SI. Virus

C. caballo de Troya

RE. Sigilo

12 . Listas blancas, listas negras, y el cierre de los relés abiertos son todas las técnicas de mitigación
frente a qué tipo de amenaza?
A. spyware
SI. Correo no deseado

C. Los virus

RE. Las redes de bots

13 . ¿Cómo se propagan mayoría de los virus basados ​en la red?

A. Por disco óptico

SI. A través de correo electrónico

C. Por unidad flash USB

RE. Por mensajes instantáneos

14 . ¿Cuál de los siguiente define la diferencia entre un caballo de Troya y un gusano?

(Seleccione la mejor respuesta.)

A. Gusanos auto-replicarse, pero los caballos de Troya no lo hacen.

SI. Los dos son lo mismo.

C. Los gusanos se envían a través del correo electrónico; Los troyanos no son.

RE. Los troyanos son ataques maliciosos; gusanos no lo son.

15 . ¿Cuál de los siguientes tipos de virus se esconde su código para ocultar a sí misma?

A. stealth virus
SI. virus polimórfico
C. Gusano

RE. virus blindado

dieciséis . ¿Cuál de los siguientes tipos de malware se muestra al usuario como legítimo pero
en realidad permite el acceso no autorizado al ordenador del usuario?

Technet24.ir
||||||||||||||||||||
||||||||||||||||||||

A. Gusano

SI. Virus

C. Trojan
RE. Correo no deseado

17 . Cuál de las siguientes sería considerada efectos perjudiciales de una falsa alarma de virus?
(Seleccione los dos mejores respuestas.)

A. recursos de soporte técnico se consumen por el aumento de llamadas de los usuarios.

SI. Los usuarios están en riesgo de robo de identidad.

C. Los usuarios son engañados para cambiar la configuración del sistema.

RE. La capacidad de los servidores de correo electrónico está consumido por el tráfico de mensajes.

18 . Uno de sus compañeros de trabajo se queja de rendimiento del sistema es muy lento y dice que una
se están mostrando gran cantidad de mensajes de antivirus. El usuario admite la instalación de software pirata
recientemente y descargar e instalar un keygen ilegal para activar el software. ¿Qué tipo de malware ha afectado
el ordenador del usuario?

A. Gusano

SI. Bomba lógica

C. spyware
RE. Trojan

19 . Un usuario se queja de que estaban navegando por Internet cuando el equipo comenzó
actuando de manera irregular y accidentado. Reinicie el equipo y observar que el rendimiento es muy lento.
Además, después de ejecutar un comando netstat nota literalmente cientos de conexiones salientes a varios
sitios web, muchos de los cuales son sitios bien conocidos. Cuál de las siguientes ha ocurrido?

A. El equipo está infectado con software espía.

SI. El equipo está infectado con un virus.

C. El equipo es ahora parte de una red de bots.

RE. El equipo ahora está infectado con un rootkit.

20 . Uno de los usuarios no estaba siendo cuidado al navegar por Internet. El usuario era
redirigido a un sitio de warez, donde una serie de pop-ups apareció. Después de hacer clic en una ventana emergente por
accidente, se produjo una descarga dirigida de software no deseado. ¿Qué hace la descarga más probable es que
contiene?

A. spyware
SI. DDoS

||||||||||||||||||||
||||||||||||||||||||

C. Pitufo
RE. Puerta trasera

MI. Bomba lógica

21 . Usted es el administrador de la red para una pequeña organización sin mucho en el camino
de las políticas de seguridad. Al analizar el rendimiento de sus servidores a encontrar varias cadenas de mensajes han
sido recibidos por la empresa. ¿Qué tipo de control de seguridad en caso de que poner en práctica para solucionar el
problema?

A. antivirus
SI. Anti-spyware

C. firewalls basados ​en host

RE. Anti-spam

22 . Usted es el administrador de seguridad para su organización y acaba de completar una

auditoría de servidor de rutina. No te diste cuenta cualquier actividad anormal. Sin embargo, otro analista de seguridad de
la red se encuentra conexiones a los puertos no autorizados fuera de la red de la organización. El uso de herramientas de
seguridad, el analista descubre procesos ocultos que se ejecutan en el servidor. Cuál de las siguientes más probable es
que se ha instalado en el servidor?

A. Correo no deseado

SI. rootkit
C. Puerta trasera

RE. Bomba lógica

MI. ransomware

Respuestas y Explicaciones
1 . A. Una botnet es un grupo de computadoras comprometidas, por lo general trabajan juntos, con el malware que fue
instalado por un gusano o un caballo de Troya. Un equipo individual dentro de una red de bots se conoce como un zombi
(entre otras cosas). Un virus es un código que puede infectar archivos de una computadora. Un rootkit es un tipo de
software diseñado para ganar acceso de administrador a un sistema.

2 . C. Zombies (también conocidos como ordenadores zombi) son sistemas que han sido comprometidos sin el conocimiento
del propietario. Un requisito previo es el equipo debe estar conectado a Internet para que el hacker o ataques maliciosos
pueden hacer su camino a la computadora y ser controlado de forma remota. Zombies múltiples que trabajan en concierto
con frecuencia forman una red de bots. Vea la sección “ La entrega de malware ”Anteriormente en este

Technet24.ir
||||||||||||||||||||
||||||||||||||||||||

capítulo para obtener más información.

3 . A. Debe utilizar un entorno de recuperación. Muy a menudo, este sería el incorporado en Windows. Muchos fabricantes
sugieren usar esto, y más específicamente el modo seguro. Sin embargo, también podría ser un disco de rescate Linux
o unidad flash. Eso no es un verdadero arranque dual sin embargo. Un doble de carga real cuando Windows y Linux
están instalados en el disco duro. Símbolo del sistema solamente no es suficiente, ni es necesario para algunos
escenarios de análisis de virus. Arranque en Windows normalmente equivale a no hacer nada. Recuerde utilizar un
entorno de recuperación cuando se escanean en busca de virus.

4 . RE. Las ventanas emergentes son comunes a los programas espía. El resto de las respuestas son los síntomas más
comunes de virus.

5 . SI. Un gusano es muy probablemente la razón por la que el servidor está siendo bombardeado con información por
parte de los clientes; tal vez se perpetúa por una red de bots. Debido a que los gusanos auto-replicarse, el daño puede
convertirse rápidamente crítico.

6 . RE. Un navegador web (por ejemplo, Internet Explorer) es el único que aparece en la lista, no es un ejemplo de software
malicioso. A pesar de que un navegador puede verse comprometida en una variedad de formas de software
malintencionado, la aplicación en sí no es el software malicioso.

7 . RE. Un DDoS, o distribuido de denegación de servicio, ataque utiliza varios equipos para realizar su ataque, por lo
general perpetuado en el servidor. Ninguna de las otras respuestas utilizar varios equipos.

8 . RE. Una bomba lógica es un ataque malicioso que se ejecuta en un momento específico. Los virus se ejecutan
normalmente cuando un usuario sin darse cuenta los ejecuta. Los gusanos pueden replicar la libre a voluntad.
Ransomware es un tipo de malware que restringe el acceso a los archivos (o sistemas enteros) y exige ser pagado un
rescate.

9 . A. intercepción activa normalmente incluye un ordenador situado entre el emisor y el receptor para capturar información.
Todas las demás declaraciones referidas a la intervención activa son falsas. Si una persona escucha una conversación
que puede considerarse espionaje. Cuando una persona se ve a través de archivos podría ser normal o malicioso.
Cuando una persona se endurece un sistema operativo, esa persona está haciendo que sea más seguro. Se discuten
estos conceptos a medida que avanzamos a través del libro.

10 . C. escáneres de malware pueden localizar rootkits y otros tipos de malware. Estos tipos de
escáneres se encuentran a menudo en el software anti-malware de fabricantes tales como McAfee, Symantec, y así
sucesivamente. escáneres de programas publicitarios (a menudo gratis) pueden escanear sólo el adware. Siempre
tienen algún tipo de software en ejecución anti-malware en los equipos cliente en vivo!

11 . A. Gusanos auto-replicarse y no requieren de un usuario para ejecutar un programa para distribuir

||||||||||||||||||||
||||||||||||||||||||

el software a través de redes. Todas las otras respuestas requieren la intervención del usuario. Cautela refiere a un
tipo de virus.

12 . SI. Cerrando transmisiones abiertas, listas blancas, listas negras y son todas las técnicas de mitigación
esa dirección de correo no deseado. Spam de correo electrónico es un grave problema para todas las empresas y se debe
filtrar tanto como sea posible.

13 . SI. El correo electrónico es la principal razón por la que los virus basados ​en redes distribuidas. Toda una persona
tiene que hacer es doble clic en el archivo adjunto en el correo electrónico, y el virus se haga su trabajo, que es lo más
probable que se propague a través de la libreta de direcciones del usuario. medios extraíbles, como discos ópticos y las
unidades flash USB se propagan los virus, pero no son tan comunes como el correo electrónico. Un virus también se puede
propagar si se incorpora en un enlace dentro de un mensaje instantáneo, o como un adjunto a la IM. Esto es definitivamente
algo para proteger contra, pero no es tan común como el virus de correo basadas en correo electrónico, sobre todo en las
redes de las organizaciones más grandes.

14 . A. La diferencia principal entre un caballo de Troya y un gusano es que los gusanos se

auto-replicarse sin la intervención del usuario; Los troyanos no se auto-replicarse.

15 . RE. Un virus blindado intenta hacer difícil para el desmontaje de un antivirus

Programa de software. Se frustra los intentos de exploración de código. virus ocultos intentan evitar la detección por el
software antivirus completo. Los virus polimórficos cambian cada vez que se ejecutan. Los gusanos no son virus.

dieciséis . C. Un troyano o un caballo de Troya, parece ser legítimo y parece que va a realizar
funciones deseables, pero en realidad está diseñado para permitir el acceso no autorizado al ordenador del usuario.

17 . A y C. Debido a que un virus puede afectar a muchos usuarios, recursos de soporte técnico pueden ser
consumida por un aumento en las llamadas de teléfono del usuario. Esto puede ser perjudicial para la empresa porque todas
las empresas tienen un número limitado de personal de soporte técnico. Otro efecto negativo es que los usuarios involuntarios
pueden ser engañados para cambiar algunas de sus configuraciones de sistemas informáticos. El término clave en la
pregunta es “falsa alarma de virus.” El equipo de asistencia técnica también podría ser inundado por asistencia e-mails de los
usuarios, pero no hasta el punto en que se consume la capacidad del servidor de correo electrónico. Si el servidor de correo
electrónico es consumido por el tráfico de mensajes, que sería un efecto perjudicial causado por la persona que envió el virus
y por el propio virus, pero no necesariamente por el engaño. Aunque los usuarios pueden estar en riesgo de robo de
identidad, que no es uno de los efectos más perjudiciales de la falsa alarma de virus.

18 . RE. Un troyano se instala probablemente (desconocido para el usuario) como parte de la keygen
paquete. Las descargas ilegales a menudo contienen el malware de esta naturaleza. En este punto, el equipo se vea
comprometida. No sólo es infectado, pero los individuos maliciosos podría ser

Technet24.ir
||||||||||||||||||||
||||||||||||||||||||

acceder a él de forma remota.

19 . C. El ordenador es probable que ahora forma parte de una red de bots. La razón el sistema está funcionando
lentamente se debe probablemente al hecho de que hay cientos de conexiones salientes a distintos sitios web. Esta es
una señal sólida de un equipo que se ha convertido en parte de una red de bots. Software espía, virus, rootkits y podrían
hacer que el equipo funcione con lentitud, pero no van a crear cientos de conexiones salientes.

20 . A. Las respuestas anteriores, la descarga más probable es que contenga el software espía. Podria
contener otros tipos de malware, así, como virus, troyanos, gusanos, y así sucesivamente. El resto de las respuestas son
tipos de ataques de red y métodos de acceder a la computadora para dejar caer una carga útil de software malicioso. Un
DDoS es un ataque distribuido de denegación de servicio, que utiliza muchas computadoras para atacar a un solo objetivo.
Smurf es un ejemplo de un DDoS. Hablaremos más sobre esto en Capítulo 7 . Puertas traseras son las vulnerabilidades de
código que pueden permitir a un hacker (o incluso el programador) el acceso administrativo a un sistema operativo. bombas
lógicas son formas de entrega de malware; que se basan en el tiempo.

21 . RE. Las cadenas de mensajes son mensajes de correo electrónico (similares a la letra de cadena arcaico) que están siendo
difundido en la red. Por lo tanto, los controles de seguridad anti-spam deben implementarse. Esto sería un tipo de control
preventivo. Los programas antivirus y encontrar virus de cuarentena, gusanos y caballos de Troya, pero a menos que sean
parte de un paquete de software de AV, no van a comprobar el correo electrónico. herramientas anti-spyware intentarán evitar
que el spyware se instala en el ordenador. firewalls basados ​en host bloquear ataques de venir a través de puertos
específicos, pero no se pondrá al día los mensajes de spam. Sin embargo, un HIDS (basado en host intrusión sistema de
detección) posiblemente podría detectar correo no deseado, y un HIPS (sistema de prevención de intrusiones basado en host)
incluso podría prevenir o ponerlo en cuarentena. Discutiremos firewalls basados ​en host, HIDS y caderas más en Capítulo 3 .

22 . SI. Lo más probable, se instala un rootkit. Estos pueden evadir muchas exploraciones de rutina, por lo que hay
no es culpa aquí. Es sólo que se requiere más análisis en profundidad para encontrar el rootkit. Los procesos ocultos son el
principal indicador del rootkit. El spam es simplemente el acoso por correo electrónico (y otros sistemas de mensajería), por
decirlo con suavidad. Puertas traseras están programados formas de eludir la seguridad de un sistema operativo. Una
bomba lógica es el código que define cuándo un determinado tipo de malware se ejecutará. Ransomware es cuando un
equipo es rehén operacionalmente retenida; archivos no son recuperables por el usuario (ya que han sido cifrados) hasta
que se pague un rescate. Es importante ejecutar en profundidad explora periódicamente. Pueden llevar mucho tiempo, pero
pueden descubrir muchas amenazas y vulnerabilidades que de otra manera pasarían desapercibidas. Discutiremos estos
tipos de análisis más en Los capítulos 12 y 13 .

||||||||||||||||||||
||||||||||||||||||||

Technet24.ir
||||||||||||||||||||
||||||||||||||||||||

CAPÍTULO 3

Informática de Sistemas de Seguridad de la Parte II

Este capítulo cubre los siguientes temas: Aplicaciones Implementación de la seguridad: En esta sección, aprenderá

a seleccionar, instalar y configurar aplicaciones de seguridad como cortafuegos personales, programas antivirus y

sistemas de detección de intrusiones basado en host. Usted será capaz de distinguir entre las diferentes herramientas y

decidir cuál es la mejor para las diferentes situaciones que se verá en el campo.

Asegurar hardware de ordenador y periféricos: Aquí nos adentramos en la física: cómo proteger el hardware de un
ordenador, UEFI / BIOS, dispositivos inalámbricos, y los dispositivos periféricos tales como dispositivos USB.

Seguridad de los dispositivos móviles: En esta sección, vamos a discutir la forma de proteger los dispositivos móviles
y los datos que contienen. Mediante el uso de screenlocks, encriptación, borrado remoto utilidades, buenas políticas
BYOD, y más, podemos proteger los dispositivos contra ataques maliciosos, el robo y la pérdida de datos.

En el capítulo anterior hemos hablado de software malicioso, que es una de las mayores amenazas para la seguridad de los
sistemas informáticos. Pero no se detiene allí; su ordenador se puede acceder por otros medios, incluso a través de UEFI /
BIOS y los dispositivos externos. Y “equipo” no sólo significa que la computadora de escritorio en el escritorio de un usuario.
También significa que los ordenadores portátiles, tabletas y teléfonos inteligentes, de hecho cualesquiera otros sistemas o
dispositivos que tienen capacidad de procesamiento y un sistema operativo. Estas amenazas pueden ser eliminados
mediante la implementación de una configuración adecuada de la UEFI / BIOS, y la disponibilidad de las aplicaciones de
seguridad en cada uno de los equipos cliente en la red, ya sean ordenadores de sobremesa, ordenadores portátiles,
dispositivos móviles o dispositivos IO.

Fundación Temas
Aplicaciones Implementación de la seguridad

En el capítulo anterior, hablamos de plataformas de protección de punto final; suites de malware es decir, anti-. Estos conjuntos
de aplicaciones suelen tener antivirus, anti-spyware, antispam y componentes. A menudo, también tienen un firewall integrado,
conocido como un servidor de seguridad personal. Y tal vez el paquete de aplicaciones también tiene un sistema incorporado de
detección de intrusiones (IDS), una pieza de software que monitoriza y analiza el sistema en un intento de detectar

||||||||||||||||||||
||||||||||||||||||||

actividades maliciosas. El tipo de IDS que un equipo cliente tendría una basado en host sistema de detección de intrusos
(HIDS) . Pero hay otros tipos de servidores de seguridad de software independientes y HIDSs; cubrimos estos en sólo un poco.
Otro tipo de seguridad incorporado es el bloqueador de pop-up. Integrado en los navegadores web y el navegador add-ons, los
bloqueadores de pop-up ayudan a los usuarios a evitar los sitios web que podrían ser maliciosos. Vamos a discutir estas
aplicaciones de seguridad en un poco más de profundidad, a partir de los cortafuegos personales.

Personales firewalls de software

Los cortafuegos personales Ejemplos de las aplicaciones que protegen a un equipo individual del tráfico de Internet no deseado.

Lo hacen a través de un conjunto de reglas y políticas. Algunos servidores de seguridad personales (también conocidas como

firewalls basados ​en host) guían al usuario permiso para permitir que las aplicaciones particulares para acceder a Internet.

Además, algunos servidores de seguridad personales tienen la capacidad de detectar intrusiones a un ordenador y bloquear esas

intrusiones; esta es una forma básica de un HIDS que hablamos más sobre en la siguiente sección. Los ejemplos de los

cortafuegos personales basados ​en software son los siguientes:

Firewall de Windows: Integrado en Windows, la versión básica es accesible desde el Panel de control o mediante la
tipificación firewall.cpl en el cuadro de diálogo Ejecutar o Símbolo del sistema. La versión avanzada, Firewall de Windows con
seguridad avanzada, se puede acceder tecleando wf.msc en el cuadro de diálogo Ejecutar o Símbolo del sistema. Esta versión
avanzada permite a un usuario realizar configuraciones más detalladas, tales como reglas personalizadas.

Alarma de zona: Originalmente un producto gratuito que todavía está disponible (ver el siguiente enlace), este fue
comprado por Check Point y ahora también se ofrece como parte de un conjunto de aplicaciones de seguridad. Ir https://www.zoneal
.

PF (filtro de paquetes) y IPFW (IP Firewall): PF es el servidor de seguridad basado en la línea de comandos dentro del OS
X versión 10.10 y superior y MacOS. Su predecesor, IPFW, estaba disponible en OS X a través de 10.9, pero está desfasada
y en 10.7. Algunas versiones OS X y MacOS también incluyen un servidor de seguridad gráfica titulada “Firewall.” PF y IPFW
también se utilizan en FreeBSD.

iptables: Se usa en los sistemas Linux. Se utiliza para configurar las tablas proporcionadas por el servidor de seguridad del
kernel Linux y sus reglas. Puede ser extendido en el uso de diversas herramientas de configuración y de terceros add-ons.

suites de aplicaciones anti-malware de Symantec, McAfee, Kaspersky, y así sucesivamente incluyen cortafuegos personales.
Esto se ha convertido en una tendencia común, y se puede esperar para ver las aplicaciones de cortafuegos personales
incorporados en la mayoría de los conjuntos de aplicaciones anti-malware en el futuro.

Debido a que son de software, y debido a la cada vez mayor nivel de los ataques de Internet, cortafuegos personales
deben ser actualizados con frecuencia, y en muchos casos es preferible tener

Technet24.ir
||||||||||||||||||||
||||||||||||||||||||

ellos de actualización automática, aunque esto depende de las políticas de la organización. Como software, un cortafuegos
personal puede utilizar algunos de los recursos del ordenador. A finales de 1990 y principios de 2000, hubo algunas quejas de
que determinadas suites anti-malware utilizan demasiada energía de la CPU y la RAM, a veces hasta el punto de chocar la
computadora; en algunos casos esto era debido a los recursos utilizados por el servidor de seguridad. Hoy en día, algunas suites
anti-malware sigue funcionando mejor que otros, dependiendo del escenario. Por lo tanto, un administrador de sistemas
inteligentes selecciona una plataforma de protección de punto final que tiene un tamaño reducido, y que mejor funciona con los
sistemas operativos y aplicaciones de la organización. Algunas organizaciones optan por no utilizar los cortafuegos personales
en los equipos cliente y en lugar de centrarse más en los servidores de seguridad basados ​en la red y otras medidas de
seguridad. La elección de si usar cortafuegos personales, servidores de seguridad basados ​en la red, o ambos puede variar,
pero un análisis cuidadoso debe ser realizado antes de tomar una decisión. Por ejemplo, tener una organización que acepta
pagos con tarjeta de crédito por teléfono y realiza las transacciones a través de Internet. Los equipos individuales que se utilizan
para llevar a cabo las transacciones necesita tener instalado un firewall personal con los puertos apropiados filtradas con el fin
de cumplir con los reglamentos financieros.

Los cortafuegos personales (como cualquier aplicación de software) también pueden ser objeto de un ataque. Si gusanos u otros
programas maliciosos en peligro un sistema, el servidor de seguridad podría verse afectada. Esto sólo refuerza el concepto de que
antivirus suites debe actualizarse con frecuencia; actualizaciones diarias serían la solución óptima.

Un escenario común para la seguridad en las pequeñas oficinas y oficinas en casa es tener un cuatro puertos SOHO router
/ firewall protege la red y cortafuegos personales actualizados en cada equipo cliente. Esta combinación proporciona dos
niveles de protección para el usuario medio. Este enfoque de defensa en capas es normalmente suficiente para redes más
pequeñas, pero las redes más grandes suelen concentrarse más en el cortafuegos de red (s) e IDS basados ​en red (s) que
en los cortafuegos personales, aunque es común ver a los dos niveles de seguridad del cortafuegos en la mayor redes
también.

Host-Based Sistemas de Detección de Intrusos

Vamos a empezar por hablar de los sistemas de detección de intrusos (IDS) en general. Un IDS se utiliza para supervisar un
sistema individual ordenador o una red, o una parte de una red, y analizar los datos que pasa a través de identificar
incidentes, ataques, y así sucesivamente. Usted debe tener en cuenta dos tipos de IDS para el examen:

sistema de detección de intrusiones basado en host (HIDS): Cargado en una computadora individual, analiza y
controla lo que sucede dentro de ese equipo, por ejemplo, si se han realizado cambios en integridad de los archivos. Un
HIDS se instala directamente dentro de un sistema operativo, por lo que no es considerado como un dispositivo “en
línea”, a diferencia de otras soluciones basadas en la red IDS. Una de las ventajas de utilizar un HIDS es que puede

||||||||||||||||||||
||||||||||||||||||||

interpretar el tráfico cifrado. Las desventajas incluyen su precio de compra, su operación intensiva en recursos, y su
almacenamiento local por defecto de la base de datos de objetos HIDS; Si algo le sucede a la computadora, la base
de datos no estará disponible.

Red de sistema de detección de intrusos (NIDS): Se pueden cargar en el ordenador, o puede ser un dispositivo
autónomo, sino que comprueba todos los paquetes que pasan a través de las interfaces de red, lo que le permite “ver”
más de un ordenador; debido a esto, un NIDS es considerado como un dispositivo “en línea”. Las ventajas incluyen el
hecho de que es menos costoso y menos recursos, y toda una red puede ser escaneado de actividad maliciosa en
lugar de sólo una computadora. Por supuesto, la desventaja es que un NIDS no puede controlar por las cosas que
suceden dentro de un sistema operativo. Para obtener más información sobre las soluciones NIDS, consulte la
sección “ NIDS Versus PELLIZCOS ”en

Capítulo 8 , “ Red de seguridad perimetral “.

A continuación se presentan dos tipos principales de monitoreo que un IDS puede llevar a cabo:

anomalía estadística: Se establece una línea base de rendimiento basado en las evaluaciones normales de tráfico de la red
y, a continuación, compara la actividad del tráfico de red actual con la línea de base para detectar si está dentro de los
parámetros de línea de base. Si el tráfico es muestreada fuera de los parámetros de línea de base, se activa una alarma y se
envía al administrador.

basada en firmas: El tráfico de red se analiza para determinar los patrones de ataque predeterminados, que son conocidos

como firmas. Estas firmas se almacenan en una base de datos que deben ser actualizados regularmente para tener efecto.

Muchos ataques de hoy en día tienen sus propias firmas distintas. Sin embargo, sólo se detectará el ataque específico que

coincide con la firma. actividad maliciosa con una firma ligeramente diferente podrían perderse. Para obtener más información

acerca de los diferentes tipos de metodologías de monitoreo, consulte la sección “ Las metodologías de seguimiento ”en capítulo

13 , “ Monitoreo y Auditoría .”Las soluciones IDS tienen que ser exacta y actualizada con frecuencia para evitar la identificación

errónea de tráfico legítimo o, peor aún, la identificación errónea de los ataques. A continuación se presentan dos tipos principales

de errores de identificación que necesita saber para el examen:

Falso positivo: El IDS identifica actividad legítima como algo malicioso.

Falso negativo: El IDS identifica un ataque como actividad legítima. Por ejemplo, si el IDS no tiene la firma
de un ataque en particular en su base de datos, el IDS lo más probable es que no detecte el ataque,
creyendo que es legítimo, y el ataque seguirá su curso sin ninguna advertencia IDS.

Algunos conjuntos de aplicaciones antivirus tienen una funcionalidad básica HIDS, pero las soluciones verdaderas HIDS son
aplicaciones individuales e independientes que monitorean los archivos de registro, la verificación de la integridad del archivo, las
políticas de seguimiento y detección de rootkits, y alertar al administrador en tiempo real de cualquier cambio en el host. Todo
esto se hace en un esfuerzo para detectar actividades maliciosas como

Technet24.ir
||||||||||||||||||||
||||||||||||||||||||

envío de correo basura, zombi / actividad de botnets, robo de identidad, registro de pulsaciones, y así sucesivamente. Tres
ejemplos de aplicaciones HIDS se incluyen los siguientes:

Trend Micro OSSEC ( https://ossec.github.io/index.html ): Una solución libre con versiones para varias
plataformas.

Verisys ( www.ionx.co.uk/products/verisys ): A HIDS comerciales archivo de solución de monitoreo de integridad

para Windows.

Tripwire ( https://www.tripwire.com/products/tripwire-file-integrity-monitoring/ ): Otra solución

HIDS comercial.

Hay varias normas de cumplimiento que requieren el tipo de integridad de los archivos de seguimiento que un HIDS puede
proporcionar, incluyendo PCI DSS y NIST 800-53. Al seleccionar un HIDS, asegurarse de que cumple los criterios de
cualesquiera normas de cumplimiento que su organización debe cumplir.

Es importante proteger la base de datos HIDS ya que esto puede ser un objetivo para los atacantes. Debe bien ser encriptada,
almacenada en algún tipo de memoria de sólo lectura, o almacenado fuera del sistema.

Si un IDS observa un incidente, se notifica a los sistemas o administrador de red para que pudiera poner en cuarentena y
solucionar el problema. se desarrollaron sistemas Sin embargo, con el tiempo, la necesidad de la prevención se ha
vuelto más deseables, y así de prevención de intrusiones (IPSS) y la detección de intrusiones y sistemas de prevención
(IDPSS). Para el sistema de ordenador local, esto se conoce como IPS basado en host, o HIPS. Estos no sólo detectan
incidentes y ataques, sino que también tratan de evitar que hagan daño real al ordenador oa la red. Una vez más, las
empresas típicas como McAfee y Symantec (y los mencionados HIDS / proveedores HIPS) ofrecen sistemas de
prevención de intrusiones basado en host. También existen implementaciones descargables para Linux que impiden
ejecución de código malintencionado, como Security-Enhanced Linux (SELinux). Es un conjunto de modificaciones del
kernel desarrollado originalmente por la Agencia Nacional de Seguridad (NSA), pero fue liberado a la comunidad de
código abierto para su descarga. Hablamos más sobre esto en

Capítulo 11 , “ Métodos y Modelos de Control de Acceso “.

Un administrador de seguridad puede revisar los registros de un IDS basado en host en cualquier momento. Sin embargo, si el
equipo se ha cerrado, el administrador no será capaz de revisar la información relativa a los procesos del sistema y los procesos
de red, ni la información almacenada en la memoria, porque todos esos elementos son volátiles. HIDS registros que hacen
referencia al almacenamiento de archivado, el MBR (o GPT), el disco del sistema, correo electrónico, etc. aún estarán disponibles
para su revisión. Mediante la revisión de los registros de un HIDS, un administrador de seguridad puede averiguar si el ordenador
ha sido comprometido por el malware, o si se está comunicando con una red de bots.

Bloqueadores de ventanas emergentes

||||||||||||||||||||
||||||||||||||||||||

Para un sitio web para generar ingresos, un webmaster menudo anuncia otros productos y servicios, el cobro de tarifas a la
organización que crea estos productos y servicios. La única manera en que una organización puede anunciar continuamente en el
sitio web es si es positiva se obtendrá una cierta cantidad de clics de respuesta para sus anuncios. Sin embargo, los usuarios de
Internet aprenden rápidamente a definir qué ventanas son anuncios y cuáles no lo son. Para que los anunciantes deben crear
constantemente nuevas y emocionantes maneras de hacer publicidad de sus productos. La ventana emergente tradicional basado
en JavaScript no le va tan bien de un trabajo como antes debido a que muchos navegadores web han incorporado en los
bloqueadores de ventanas emergentes, pero todavía ver un montón de ellos en Internet, tal vez en otros formatos como flash. Ellos
pueden tomar su peaje en la productividad del usuario y pueden ser perjudiciales para el ordenador del usuario. Por ejemplo,
algunos anuncios pop-up, si se hace clic, obligan al usuario a ir a uno o más sitios web independientes que podrían tener código
dañino. O peor aún, la propia emergente podría tener código malicioso incorporado; tal vez el botón Cerrar en el anuncio lanza
algún otro proceso por completo. Algunos atacantes crean sitios web maliciosos enteros con pop-ups sólo para infectar a los
ordenadores que puedan. Usted puede preguntar: “¿Por qué tomar ventaja de los usuarios?” Algunos atacantes podrían
responder: “Porque ellos están allí para ser aprovechado!” No es que yo apruebo este comportamiento, pero esta mentalidad es
contagiosa, por lo que las ventanas emergentes y todos sus primos común; Por lo tanto, los administradores de sistemas deben
tratar todo lo posible para bloquear las ventanas emergentes. Una forma de hacerlo es con una la propia emergente podría tener
código malicioso incorporado; tal vez el botón Cerrar en el anuncio lanza algún otro proceso por completo. Algunos atacantes
crean sitios web maliciosos enteros con pop-ups sólo para infectar a los ordenadores que puedan. Usted puede preguntar: “¿Por
qué tomar ventaja de los usuarios?” Algunos atacantes podrían responder: “Porque ellos están allí para ser aprovechado!” No es
que yo apruebo este comportamiento, pero esta mentalidad es contagiosa, por lo que las ventanas emergentes y todos sus primos
común; Por lo tanto, los administradores de sistemas deben tratar todo lo posible para bloquear las ventanas emergentes. Una
forma de hacerlo es con una la propia emergente podría tener código malicioso incorporado; tal vez el botón Cerrar en el anuncio
lanza algún otro proceso por completo. Algunos atacantes crean sitios web maliciosos enteros con pop-ups sólo para infectar a los
ordenadores que puedan. Usted puede preguntar: “¿Por qué tomar ventaja de los usuarios?” Algunos atacantes podrían
responder: “Porque ellos están allí para ser aprovechado!” No es que yo apruebo este comportamiento, pero esta mentalidad es
contagiosa, por lo que las ventanas emergentes y todos sus primos común; Por lo tanto, los administradores de sistemas deben
tratar todo lo posible para bloquear las ventanas emergentes. Una forma de hacerlo es con una “Debido a que están ahí para ser
aprovechado!” No es que yo apruebo este comportamiento, pero esta mentalidad es contagiosa, por lo que las ventanas
emergentes y todos sus primos comunes; Por lo tanto, los administradores de sistemas deben tratar todo lo posible para bloquear
las ventanas emergentes. Una forma de hacerlo es con una “Debido a que están ahí para ser aprovechado!” No es que yo apruebo
este comportamiento, pero esta mentalidad es contagiosa, por lo que las ventanas emergentes y todos sus primos comunes; Por lo
tanto, los administradores de sistemas deben tratar todo lo posible para bloquear las ventanas emergentes. Una forma de hacerlo
es con una bloqueador de elementos emergentes . Estos se pueden activar ya sea dentro o añadirse a la mayoría de los navegadores web.

Cuando se trata de las aplicaciones enumeradas anteriormente y complementos, bloqueo de pop-up se conoce como filtrado de

anuncios , pero esto puede ser llevado a otro nivel, conocido como el filtrado de contenidos.

Los filtros de contenido bloquear archivos externos que utilizan JavaScript o imágenes de la carga en el navegador. El filtrado
de contenidos sigue siendo cada vez más importante ya que los anunciantes se vuelven más y más inteligente. La mayoría de
las versiones de los navegadores web más nuevos ofrecen algún tipo de filtrado, además de los programas basados ​en proxy
como Squid pueden filtrar el contenido (entre otros

Technet24.ir
||||||||||||||||||||
||||||||||||||||||||

cosas) para varios equipos. Para más información sobre los servidores proxy, consulte la sección “ Cortafuegos y
Seguridad de Red ”en Capítulo 8 .

Por supuesto, los anunciantes han ideado algunos trucos nuevos en un intento de conseguir más allá de los bloqueadores de
ventanas emergentes y filtros de contenido: basados ​en flash pop-ups, pop-under anuncios, HTML dinámico (DHTML) rondan los
anuncios, y así sucesivamente. Los anunciantes siguen luchando por el espacio publicitario con nuevos tipos de anuncios
inteligentes, por lo que los administradores de sistemas deben estar preparados para actualizar los navegadores web de sus
clientes y los complementos del explorador de forma regular.

La pérdida de datos Sistemas de Prevención

prevención de pérdida de datos (DLP) es un concepto que se refiere a la vigilancia de datos en uso, datos en movimiento y
datos en reposo. Un sistema DLP realiza una inspección de contenido y está diseñado para evitar el uso no autorizado de los
datos, así como prevenir la fuga de datos fuera de la computadora (o red) que reside en. Los sistemas DLP pueden ser
software o en hardware soluciones basadas y vienen en tres variedades :

sistemas DLP de punto final: Estos sistemas se ejecutan en un equipo individual y son por lo general basada en software.
Ellos monitorean datos en uso, como las comunicaciones de correo electrónico, y pueden controlar lo que los flujos de
información entre distintos usuarios. Estos sistemas también pueden utilizarse para inspeccionar el contenido de
dispositivos de almacenamiento masivo basados ​en USB o bloquear los dispositivos de que se accede por completo
mediante la creación de reglas dentro del software.

sistemas DLP de red: Estos pueden ser soluciones en software o basadas en hardware y, a menudo están instalados en
el perímetro de la red. Ellos inspeccionan los datos que están en movimiento.

sistemas DLP de almacenamiento: Estos por lo general se instalan en centros de datos o salas de servidores como de
software que inspecciona los datos en reposo.

soluciones DLP basados ​en la nube son ofrecidos por la mayoría de los proveedores de nube para proteger contra las
violaciones de datos y el mal uso de los datos. Estos a menudo se integran con el software, la infraestructura y servicios de la
plataforma, y ​pueden incluir cualquiera de los sistemas mencionados anteriormente. Cloud- DLP basado es necesario que las
empresas que han aumentado traer su propio uso del dispositivo (BYOD) (discutido más adelante en este capítulo), y que los
datos de la tienda y operar la infraestructura dentro de la nube.

Al igual que con las soluciones HIDS, las soluciones DLP deben ser precisos y actualizados para reducir el número de falsos
positivos y falsos negativos. La mayoría de los sistemas de alerta al administrador de seguridad en el caso de que había una
posibilidad de fuga de datos. Sin embargo, es hasta el administrador para determinar si la amenaza era real.

Asegurar hardware de ordenador y periféricos

||||||||||||||||||||
||||||||||||||||||||

Ahora que el sistema operativo está mejor asegurada, vamos a hablar acerca de cómo proteger el hardware, el BIOS
y los dispositivos periféricos externos.

Hay un gran número de dispositivos que pueden conectarse a un sistema informático, como unidades flash USB, discos
duros externos SATA y discos ópticos, sólo por mencionar algunos. ¿Qué pasa si usted quiere evitar que la gente usando
conexiones USB y dispositivos conectados por USB en el ordenador sin necesidad de utilizar una solución DLP? Bueno,
hay que subyace en el firmware sin que nuestro ordenador no podía correr; Estoy hablando de la BIOS, que puede
asegurar estos puertos y dispositivos. Sin embargo, el BIOS debe estar asegurado, así!

Nota
Mientras que las implementaciones de firmware UEFI como reemplazar, o el trabajo en conjunto con, el BIOS en
muchos ordenadores nuevos, los fabricantes todavía tienden a referirse a la versión de firmware de la BIOS. Por
simplicidad en este libro normalmente utilizo el término “BIOS” para referirse tanto a la BIOS y UEFI. Sin embargo,
si una determinada tecnología funciona solamente en la UEFI, se describirá como tal.

Fijación de la BIOS

El BIOS puede ser víctima de ataques maliciosos; para personas maliciosas, sino que también puede actuar como la puerta de
entrada al resto del sistema. ¡Protegerlo! De lo contrario, puede que el ordenador no arranca, o algo peor. Las siguientes son
algunas maneras de hacerlo:

Actualizar el BIOS: Intermitente es un término que describe la actualización de la BIOS. Al actualizar el BIOS a la última
versión, puede evitar posibles vulnerabilidades y errores del BIOS que pudieran ocurrir. Una actualización del BIOS (y más
reciente placa base) también pueden protegerse mejor contra la interferencia electromagnética (EMI) y pulsos
electromagnéticos (EMP). Toda nueva emisión de tarjetas madre al menos una versión nueva del BIOS dentro de los
primeros seis meses del lanzamiento de la placa base. Normalmente, se actualizar el BIOS antes de hacer cualquier
cambio en las configuraciones de BIOS.

Utilice una contraseña de BIOS: La contraseña que bloquea las personas no deseadas de acceder a la BIOS es la
contraseña de supervisor. No se debe confundir con la contraseña de usuario (o la contraseña de encendido) empleado para
que el BIOS se puede verificar la identidad de un usuario antes de acceder al sistema operativo. Ambos de estos se muestran
en la Figura 3- 1 . Debido a que la contraseña del BIOS algunos ordenadores se puede borrar mediante la apertura de la
computadora (y, o bien quitar la batería o de cambiar el puente del BIOS), algunas organizaciones optan por utilizar cables o
un dispositivo de bloqueo similar que disuade a una persona de abrir el ordenador de bloqueo.

Technet24.ir
||||||||||||||||||||