Colaboraciones
aquí 
Chat
|
FTPMail
|
Netiquettes
|
Mailing lists
|
FAQs
|
Glosario
Virus Informáticos o de Computadoras, Hoax y Spams
Por ser nuestros Congresos de Cardiología actividades Virtuales, por el auge alcanzado por la navegación por Internet y el intercambio de mensajería electrónica en esta sección les presentamos este tema que es de vital importancia e incluye 6 artículos publicados en los Newsletters del PCVC por los Drs. Karel Morlans y Edgardo Schapachnick y otros nuevos materiales.
Señales de infección por virus informáticos
Técnicas virales de ocultación
Prevención. medidas básicas de seguridad informática
Prevención de virus en Word, Excel y PowerPoint
Como enfrentar un ataque de virus. Programas antivirus
Hasta los años 80, el término "virus" se empleaba solo dentro del campo de las ciencias médicas y biológicas para definir a microorganismos capaces de penetrar en el ser humano y destruir o alterar el contenido genético celular provocando cuadros patológicos específicos. Por similitudes en su modo de acción y efectos, en informática se bautizó como virus a ciertos programas que pueden autoreproducirse, "transmitirse" de una computadora a otra, y desencadenar daños a la información contenida en ella (software) e incluso al mismo equipo (hardware).
Los virus informáticos son programas creados del mismo modo que otros programas. Son una serie de instrucciones que ordenan a las computadoras que hacer, con ordenes especificas para modificar a otro programa, macro, etc. Pueden autoduplicarse y son archivos ocultos o que se escriben sobre otros programas. Están diseñados para activarse al realizarse ciertas funciones, en determinada fecha o mediante mecanismos más complejos y toman el control de la máquina afectada. Además, realizan copias de sí mismos en otro sitio distinto al original ( otro archivo de programa, documento, sector de arranque, etc) que le permita ocultarse. Se transmiten al introducir información a la computadora copiando de disquetes, que contengan al virus, o mediante cualquier otro sistema de copiado de archivos (discos duros, compactos, Zips, módems, comunicación por cable, etc). No incluimos dentro de su definición la capacidad de destrucción o daño que pueden causar, ya que no todos la poseen, una cantidad considerable solamente se reproduce.(1)
En 1949, se publicó en el libro Theory and Organization of Complicated Automata, la primera información acerca de un programa de computo programado para replicarse automáticamente. Von Neuman en 1951 propuso un método para crear programas que se autoreproducían. No se ha establecido con exactitud el origen de los virus informáticos, aunque al parecer pudo estar en los sistemas de computo del gobierno de Estados Unidos. En otoño de 1959 en los laboratorios AT&T Bell nació "Core Wars" (simulación de guerra nuclear) en el que programadores contendientes desarrollaban un software cuya "misión" era acaparar la máxima cantidad de memoria posible mediante la reproducción de sí mismo dejando fuera al contrario, o sea, ganaba quien tuviera la mayor cantidad de memoria ocupada. En 1981 apareció en las computadoras Apple un virus llamado Cloner, cuyo modo de acción era desplegar un poema en la pantalla. En 1983 Fred Cohen expone el concepto de virus como "Un programa que puede infectar a otros programas modificándolos para incluir una versión de sí mismo”. Ese mismo año se hace público el "Core Wars", que se había mantenido entre la elite de estudiantes e investigadores del MIT y del centro de investigaciones de Xerox en Palo Alto.
La publicación de artículos técnicos y la amplia distribución a partir de 1985 de las computadoras personales, con el Sistema Operativo DOS, propiciaron las condiciones para la creación en 1986 del virus "Pakistaní - Brain". Se inició la segunda etapa en la evolución de los virus informáticos, ya con capacidad destructiva. La aparición de nuevos virus informáticos ha tenido un crecimiento casi exponencial. En 1987 se habían reportado unos 12 virus, 1993 culminó con más de 3500, en la actualidad ya son varias decenas de miles. Y la cifra aumenta con unos 350 nuevos virus mensuales. En 1995 se descubrió el primer virus de Macros y se rompió la regla sagrada “un virus no puede existir en un archivo de datos”. En el 2000 se descubrió el primer gusano que utilizaba los ficheros PIF (ficheros estándar de Windows que se utilizan para almacenar información sobre el arranque y ejecución de programas DOS y permiten su ejecución en entorno Windows) para propagarse: el Fable, otro de ellos es el I-Worm.MTX que tanto dió que hacer en el último trimestre de ese año.(2)
En otras máquinas como Macintosh, se reportan algo más de 100 incluyendo los que ya no son operativos por el advenimiento de los Mac-OS de 32 bits. El Unix y sus clones ya tienen sus virus (Linux.Bliss, Linux.Vit.4096, Ramen (3)).
Los virus informáticos son capaces de afectar las tablas de particiones, sector de arranque, archivos ejecutables y de datos e incluso la BIOS de la PC. También algunos se pueden “ocultar” (Stealth) y otros mutar (polimórficos).
Inicialmente, solo podían afectar un tipo de PC y sistema operativo. Ya existen virus multiplataforma y multiprocesador como el “Esperanto”, de solo 4,8 Kb de tamaño. Este, combina código de 16 y 32 bites. Está compilado en tres plataformas distintas, funciona sobre DOS, Windows 3X, Windows 95, Windows 98, Windows NT y en Macintosh. “Corre” en procesadores Intel 80X86 y compatibles, Power PC 6XX/750(G3) y Motorola 680X0.
Señales de infección por virus informáticos
Aunque usted sea una persona precavida y cumpla con las medidas de prevención, detección y descontaminación de virus informáticos no está exento de la posibilidad de que su computadora sufra una infección por estos virus. Esto es debido a la cada vez mayor profusión y creación de este tipo de engendros informáticos, unido a la mayor utilización de los recursos e información disponibles en Internet y del correo electrónico. Por lo tanto usted debe conocer los “síntomas” de estas infecciones.
Aquí les mencionaremos, agrupadas, algunas señales que pueden ser debidas a una infección de este tipo. Si su computadora presenta alguna de ellas, extreme medidas y descarte la presencia de un virus informático en su sistema.
En directorios y archivos:
_La
cantidad de espacio disponible es cada vez menor.
_Aumento de longitud (bytes)
de los archivos
_Algunos archivos desaparecen
del disco (borrados).
_El directorio muestra
archivos desconocidos por el usuario.
_Los archivos son sustituidos por caracteres ilegibles.
_Alteración en la indicación de la hora de un archivo.
En la ejecución de aplicaciones:
_Los
programas tardan mas tiempo
en cargarse o no son operativos.
_Algunas aplicaciones
trabajan mas lentamente que lo normal.
_Al abrir un archivo aparecen
errores que antes no existían.
_Al solicitar la apertura de un archivo aparecen en el menú drivers
que no están instalados.
Funcionamiento del sistema:
_Rendimiento
del sistema reducido.
_La cantidad de memoria disponible
cambia o disminuye continuamente.
_Arranque incompleto del sistema o fallo en el arranque.
_Escrituras inesperadas en una unidad.
_Mensajes de error extraños o no estándar.
_Actividad de pantalla no estándar (animaciones, etc.), fluctuaciones de pantalla.
_Sectores erróneos en
disquetes y en discos duros.
_Cualquier operación extraña que su computadora no realizaba antes y que de
un momento a otro comienza a ejecutar.
_Errores no justificados en la FAT.
Síntomas de macrovirus en Word:
_Los
documentos de Word solo pueden ser guardados como plantillas.
_Los archivos eliminados
no son recuperables.
_Los archivos muestran un cuadro de dialogo con un número 1.
_Nuevas macros, llamadas
AAAZAQ, AAAZFS y PayLoad, aparecen en la lista de macros de Word.
_El archivo Winword.ini contiene la línea ww6=1
_Alteraciones en el archivo Normal.dot a partir de la comparación de esta
plantilla con una copia anterior, previamente guardada en una
carpeta del disco, utilizando
comandos como el FC.EXE o el diff desde el AUTOEXEC.BAT.
_Alteraciones en la carpeta de INICIO (STARTUP) de Microsoft Word, que pueden
ser debidas a la inclusión de nuevas plantillas o de alteraciones en las plantillas
allí contenidas.
Clasificaciones y nomenclaturas de virus hay muchas. Pueden clasificarse según donde se alojan y por el lenguaje o método utilizado en su creación.
Virus
de archivo, de ficheros (Files
virus): Son los que se incorporan a los archivos.
Usan uno o varios
sistemas operativos para propagarse. Pueden infestar todos los tipos
de archivos ejecutables del DOS Estándar: Archivos BAT, SYS, EXE, COM y pueden
afectar otros sistemas como Windows en todas sus versiones e incluyendo sus
drivers, 2OS2, Macintosh
y Unix. También infestan archivos que contienen
código fuente, librerías o módulos de objetos, o archivos de datos.
De acuerdo con el método utilizado para infestar los archivos se agrupan en:
Virus de sobrescritura, parásitos, acompañantes, de enlace o enganche, gusanos,
de OBJ, de LIB y código fuente.
Virus
de sector de arranque maestro (MBR):
Infectan al sector de arranque
de los disquetes o
discos duros.
Virus
mixtos, bimodales o Multipartite:
Son una combinación de virus de archivo y
virus de sector de arranque.
Virus
acompañantes ( Companion Virus): No cambian los
archivos infestados. Crean un clon con el fichero que al ejecutarse
le da el control al virus. Pueden hacerlo de varias maneras, creando un archivo
contraparte ( Ej: se infesta el xcopy.EXE que permanece inalterado y se crea
un archivo xcopy.COM que contiene el
código viral, al ser llamado el xcopy.EXE se ejecuta el xcopy.COM. También
puede encontrarse la combinación BAT-COM-EXE) o sea, utiliza un principio del
MS-DOS que consiste en ejecutar primero un fichero
con extensión COM si existe
otro con el mismo nombre pero con extensión EXE.(1) Otra
variante es renombrando el archivo original sin cambiarlo y adoptando su nombre
el virus.
Macrovirus o Virus Macros: Son virus de archivo. También salvan su código en bases de datos, documentos u hojas de cálculo. Se agrupan aparte por sus peculiaridades. Normalmente infectan la plantilla maestra (Normal.Dot en Word). Los más difundidos de esta clase fueron escritos inicialmente en lenguaje Word Basic (Word 95), les siguieron los de VBA5 (Visual Basic for Applications) en Office 97 y VBA6 en Office 2000.
Retrovirus: Especialmente diseñados para infestar programas antivirales. Incluyen rutinas que les permiten evitar su detección y deshabilitar o dañar determinados antivirus.
Virus de sobrescritura: Sobrescriben el contenido de los ejecutables con su propio código fuente, destruyendo el contenido original. El ejecutable infestado no trabaja apropiadamente y no puede ser restaurado.
Virus parásito: Cambian el contenido de archivos infestados al transferirles su copia y permiten que los archivos sean parcial o completamente utilizables. La copia del virus puede ser agregada al inicio o final del fichero afectado o insertada en el medio.
Virus sin punto de entrada o EPO virus ( Entry Point Obscuring): No graban las instrucciones de paso de control al virus en el encabezamiento de los archivos .COM y no cambian la dirección del punto de entrada en el encabezamiento de los ficheros .EXE. La instrucción para el salto al código viral lo graban en algún punto del medio del archivo infestado, por lo que no toman el control inmediatamente al ejecutarse el fichero, si no después de una llamada a la rutina que contiene la instrucción del salto, que puede ser una rutina poco ejecutada como por ejemplo un mensaje de error específico. Como resultado, el virus puede permanecer "dormido" o "latente" por tiempo muy prolongado y ser activado en condiciones limitadas o muy específicas. Ejemplos: "Lucretia", "Zhengxi", "CNTV", "MidInfector", "NexivDer", "Avatar.Positron", "Markiz".
Virus de enlace o enganche ( Link Virus): Al igual que los acompañantes no cambian el contenido físico de los archivos "diana", pero al inicializarse el fichero infestado fuerzan al SO a ejecutar su código viral. Ej. DirII. Este se graba en el último cluster del disco duro y al infestar un fichero modifica solamente su primer cluster (donde se encuentra el sector correspondiente del directorio) que apuntará al cluster donde está el virus.
Virus OBJ, LIB y código fuente: Virus que infestan compiladores de librerías, módulos de objeto y código fuente. Son más raros y están poco extendidos. unen su código viral a los módulos o librerías en el formato del módulo de objeto o librería infestado. No pueden ejecutarse o extenderse por ellos mismos. Son los ficheros EXE y COM creados como resultado del enlace de ese módulo o librería con otros, los que lo diseminan, por lo que emergen como virus solo en esa segunda etapa. En la infección del código fuente de un programa, el virus agrega su código fuente al del fichero "diana" original. El fichero infestado es capaz de diseminar el virus después de compilado e interconectado.
Virus BAT:
Son de los más antiguos, se basan en la capacidad del
DOS de ejecutar
archivos .BAT de proceso por lotes. Inicialmente fáciles de detectar al estar
escritos en modo texto, no podían ocultarse y tenían un poder limitado. Actualmente
más modernos y versátiles, desarrollados en WinScript (evolución del .BAT para
Windows), los scripts para mIRC y los orientados a Redes como los virus de HTML,
VBS, JavaScript o JScript. Pueden
desconectar al usuario del IRC
y acceder a información sensible de su PC
o su LAN, abrir el
archivo de claves del Windows, bajar el "etc/passwd" en el
caso de sistemas operativos basados en UNIX o abrir una sesión
FTP.
Virus de Java y ActiveX: Un control ActiveX, un plug-in o cualquier elemento
activo no son más que ficheros ejecutables que se añaden a un
navegador para agregarle ciertas características. Al ser ejecutables
pueden contener código malicioso,
por tanto, piénselo bien antes de ejecutar o descargar alguno.
Virus en estado salvaje (in the Wild): Son los virus se encuentran en circulación, los que afectan actualmente un alto porcentaje de las redes y usuarios.
Virus
en el zoológico (In the Zoo) o simplemente domesticados: Son virus
que no se encuentran en circulación. Ejemplo. Virus de la "pelotita"
Virus
de ejecutables: Afectan
archivos ejecutables COM y EXE.
Generadores
de virus: VCL, IVP, "Vice",
"Mutator" y otros generadores de virus.
Virus que crean dependencia: Ej. Monkey (este encripta los datos de la tabla de particiones, si el virus no está residente en memoria, se pierde la información. Eliminarlo significa el suicidio.
Gusano
(Worm). Es casi un virus,
pero no lo es realmente. Se denominan así por su forma de introducirse y arrancar
“secretos” a su PC.
Troyano
o Caballo de Troya: Tampoco
es un virus realmente, sino un programa
que aparentemente realiza una tarea inofensiva y sin que el usuario se dé cuenta
está realizando otra completamente diferente y dañina. En su inicio eran pequeñas
aplicaciones en forma de juegos, aplicaciones
shareware o cracks de aplicaciones que además de cumplir con su tarea
introducían un virus en el sistema o lo dañaban paulatinamente. Actualmente
con el papel preponderante de Internet abren puertas traseras a terceros usuarios.
Tienen 2 elementos diferenciados, el programa servidor que se instala en la
maquina afectada y el programa cliente que controla remotamente al programa
servidor. Siempre que se cargue el sistema
operativo se carga en memoria el programa servidor y al conectarse a
la red abre algunos puertos
(TCP o
UDP altos, por arriba del 1024). Además, el servidor notifica al cliente
cuando se está conectado y en que dirección
IP, en este momento al arrancar el cliente ya puede controlar la maquina
afectada. El poder acceder a toda la información de la PC
no solo permite destruirla sino también su robo o adulteración. Ejemplos
de gusanos son el Back Orifice 2000 (BO2K) (Multiplataforma y permite la administración
remota), NetBus, DeepThroat y el Qaz
(gusano y troyano que infesto la red interna de Microsoft y abre le puerto TCP
7597).(2,
13, 14)
Aunque los buenos programas
antivirus los detectan, se puede sospechar la presencia de un virus si al estar
conectados y no hacer nada observamos que el módem
envía y/o recibe información constantemente. También podemos detectar su presencia
con el comando netstat
en una ventana MS-DOS, que nos brinda información de los puertos abiertos, su
status, etc.(1)
Técnicas virales de ocultación
Los virus utilizan de forma única o combinada diversas técnicas para evitar su detección por el antivirus o los usuarios.
Stealth u ocultación (Stealth virus): Pueden ocultar su presencia interceptando los servicios de interrupción y retornando información falsa a los softwares antivirus y a los usuarios finales, el programa recibe los datos que espera aunque no correspondan con el estado real del archivo o zona del disco interrogados. Con esto evitan la detección por checksumming, una función matemática de los antivirus que calcula una firma única para cada archivo, que al ser reanalizada si es diferente a la original indica la presencia probable de un virus. Es una técnica muy empleada por los virus de archivo y los virus de sector de arranque . Otras técnicas de ocultación son la no-modificación de la fecha de creación de los archivos; la modificación de la FAT para que no muestre un aumento de tamaño de los ficheros; el alojamiento del código viral en "huecos" (zonas no ocupadas por código útil) del programa infestado; etc.(1)
Encriptación
(Virus codificados): Se distribuyen dentro
de un archivo codificado
que no puede detectarse mediante el uso de un simple programa antivirus. Con
estos virus no vale la búsqueda de cadenas de texto que funcionen como firmas
y permiten su identificación. Con esta técnica los virus encriptan su propio
código basados en una clave
aleatoria por lo general. Estas claves aleatorias se lograron en 1991 cuando
Dark Avenger (programador búlgaro) creó un motor de encriptación que
podía ser incorporado a cualquier virus, de fácil implementación y muy versátil.(1)
Polimorfismo
(Virus Polimorfos): Si la firma de un virus cambia aunque sea mínimamente,
el escaneado de firma será negativo. Inicialmente los virus eran monolíticos
pero después pasaron a ser modulares, y si se cambia un módulo el resultado
del escaneado también será negativo. Con esta técnica los virus polimorfos cambian
de identidad por si solos cada vez que se activan o infestan un nuevo archivo,
de modo que un filtro de identidad fija no pueda detectarlos. Cada mutación
realiza las mismas tareas que su progenitor aunque parezca completamente diferente.
Prevención. Medidas básicas de seguridad informática.
“El único sistema realmente seguro es aquél que esté desconectado de la línea eléctrica, incrustado dentro de un bloque de concreto, encerrado herméticamente en una habitación revestida de plomo y protegido por guardias armados, y, aún así, tengo mis dudas". Eugene H.Spanfford.
Estas palabras referentes a los virus informáticos aunque algo exageradas no son irreales. Lo importante es estar consciente del problema y no ignorarlo, el creer que a nosotros eso no puede pasarnos es cometer el mismo error que cometieron muchos de los afectados por el virus VIH (SIDA), con la diferencia de que perderemos tiempo e información en vez de la vida. Al igual que en la Medicina la mejor cura o tratamiento es la PREVENCION.
Podemos prevenir los efectos dañinos de un ataque viral informático con: Medidas básicas de seguridad informática (esas corren por cuenta de cada usuario y/o administrador de red), información “epidémica” actualizada de los virus nuevos y circulantes, adquisición, actualización y uso sistemático de programas antivirales que hagan el papel de condón informático.
En este tema nos referiremos a las medidas básicas de seguridad informática, las cuales tienen dos objetivos: Prevenir una infección por virus informático y evitar la pérdida de la mayor cantidad posible de información. Si usted piensa que son sencillas y poco útiles, está equivocado. Si piensa que son engorrosas y tediosas, es verdad; pero son útiles y necesarias, para USTED y para los DEMAS.
Medidas básicas para prevención primaria:
_
En el setup de su computadora
fije las opciones de arranque como C: , A: .
_ Prepare un disquete de
arranque “limpio” (verificado contra virus) y
protegido contra escritura.
_ No arranque su computadora con un disquete colocado en torre A que no sea
su disco de arranque, verificado y protegido.
_ No reinicie con CTRL+ALT+DEL con un disquete colocado en torre A. Aún cuando
su ordenador esté configurado para arrancar por torre C, siempre se buscará
primero en la torre A y se leerá el
boot sector del disquete que allí se encuentre. Esto es suficiente para
infestarse con un virus del sector de arranque
(y estos son de los más peligrosos).
_ Revise si todo su sistema si se presenta un funcionamiento anormal, no acostumbrado,
aunque cumpla las recomendaciones anteriores.
_ Realice de manera sistemática copias de respaldo de sus
archivos de trabajo y de las aplicaciones.
En el caso de los archivos de trabajo lo ideal es tener una triple copia de
los mismos, dos de ellas fuera de su
disco duro de trabajo y al menos una fuera de su computadora. Si no
es posible lo anterior por lo menos tenga una copia de los mismos fuera de su
PC.
_ Tenga cuidado al emplear el
comando CHKDSK del DOS. Al comprobar todos los
subdirectorios del disco
y cotejar la cadena de enlace de los
sectores almacenada en la FAT,
da a los virus una oportunidad amplia de contaminar cualquier archivo, incluso
programas no ejecutados.
Ciertos virus provocan errores de asignación
de archivos y aprovechan
la ejecución de CHKDSK /F para dañar irreparablemente los archivos que se intenta
reparar.
_ No utilice disquetes o CD
que no sean suyos sin revisarlos antes.
_ Revise sus disquetes si se utilizaron en otra computadora que no sea la suya,
sobre todo si los utilizo en maquinas conectadas a una Red.
_ Tenga en la computadora solamente los
programas que utilice.
_ Evite la copia ilegal de aplicaciones,
juegos y utilitarios.
_ Instale al menos 1 programa antivirus, esté conectado o no a una red.
_ Mantenga activado siempre el
centinela (TSR) del
programa antivirus. Si tiene más de un
programa antivirus configúrelo para que trabaje SOLO UNO de
los centinelas.
_ Configure el centinela y los programas antivirus para que revisen los mensajes
de correo electrónico
y los archivos comprimidos.
_ Configure el centinela
y los programas antivirus para que descontaminen automáticamente los
archivos infestados o le deniegue su acceso.
_ Chequee periódicamente todo su sistema (una vez a la semana), independientemente
del centinela.
_ Si esta conectada a una red externa emplee un cortafuegos
o firewall.
_ Para aquellos que se encuentran fuera de su ordenador habitual
(por ejemplo con un portátil o en un cibercafé), y dudan si un archivo se encuentra
infectado o no pueden utilizar un producto de TrendMicro (HouseCall) disponible
en varios países (Ej. España: A traves de Hispasec http://www.hispasec.com/housecall)
que permite una revisión antiviral desde la Web de forma gratuita.(16)
_ No envíe por
correo electrónico archivos
anexos por gusto.
_ Evite enviar archivos anexos a
listas de correo electrónico, sino a la/s persona/s que se lo solicite(n).
_ Si le llega un anexo que usted no pidió o no conoce, no lo abra o
ejecute sin revisarlo. Si le quedan dudas BORRELO.
_ Se recomienda desactivar la opción de vista previa en Outlook Express. Hay
reportados gusanos capaces de infestar la PC con
tan solo leer el mensaje portador. Ej. Blebla o Romeo y Julieta y el Bubbleboy.(4)
_ Si va a descargar
un archivo de Internet hágalo de uno de los servidores oficiales de la compañía
productora.
_ Configure su browser
o navegador con las opciones de máxima seguridad, así evitará infecciones de
virus como los de Java-HTML y JavaScript.
_ Se recomienda desactivar el Windows Scripting Host para evitar la acción de
virus desarrollados en VBScript (VBS/Cod, etc).
Medidas
básicas de prevención secundarias:
Cuando ya se ha producido una infección por virus.
_ Arranque su computadora con un disquete
de arranque, verificado contra virus y protegido contra escritura. Esto le permitirá
acceder al disco duro y copiar
a disquetes información vital en muchos casos.
_ Con la opción anterior limítese al DOS,
y solo use los comandos
cd, rd, dir y copy.
_ No ejecute ningún programa,
excepto un antivirus, hasta que descontamine su computadora.
_ Aún cuando descontamine sus aplicaciones,
y estas funcionen adecuadamente, lo ideal es realizar su reinstalación.
_ Si detecta un virus en algún archivo,
revise todos los medios de
almacenamiento, pueden haber más copias del mismo u otros virus.
_ Efectúe un rastreo de cómo "entró” el virus en su computadora. Recuerde
que gran parte de las infecciones son involuntarias desde el punto de vista
humano, resulta conveniente conocer el origen para evitar el mismo problema,
no para castigar.
_ Si no es posible descontaminar el archivo (como pasa con el Happy99) BORRELO
NO LO ABRA.
_ Si un archivo es reportado
como sospechoso NO ABRIRLO. Explórelo con otro
programa antivirus o consulte un experto.
Prevención
secundaria en una Red:
_ Desconecte la computadora infestada de la
red y examínela.
_ Revise el servidor. Verifique
primero que la computadora a través de la que hará la revisión no está contaminada.
_ Al hacer la revisión firme con el menor número de atributos posibles, si existiese
alguna infección y usted entra como supervisor o con sus atributos, el
virus los tomará e infectará todo lo que se ejecute. Aumente paulatinamente
la autoridad en sus accesos para ir descontaminando.
_ Detecte el origen de la infección. Busque y revise el "log
file" del administrador de la red para ver el nodo, hora y fecha
del evento.
Prevención de virus en Word, Excel y PowerPoint.
Medidas
de seguridad para virus Macro en Word
_ Amplíe la lista de ficheros
recientemente utilizados: Dicho registro es de utilidad, ya que si se realizaron
cambios en Normal.dot por un virus los documentos
listados tienen una alta probabilidad de estar infectados.
_ Active la opción de Preguntar si guardar cambios en Normal.dot: El usuario
decide si los cambios son salvados o no. Tiene tres inconvenientes: Solo avisa
cuando se concluye el trabajo con Word. No previene que Normal.dot sea infectado
en la memoria, es decir, todavía
es posible abrir un documento infectado y que el virus infecte la
plantilla global. Puede ser desactivada fácilmente por un
virus desde el propio Word.
_ Utilice la función ToolsOptionSave: Esta es una función del Word que una vez
ejecutada activa la protección Preguntar si se guardan los cambios hechos en
la plantilla Normal.dot. Esta función puede incluirse dentro de una
macro AutoExec creada por el usuario en una
plantilla también generada por este, y que deberá ser colocada en la
carpeta INICIO (STARTUP)
del Microsoft Word con el fin de que se active la protección cada vez que Word
sea inicializado. Ventaja: la protección se activa cada vez que se inicia Word.
Tiene los mismos inconvenientes de las anteriores, además, hay que crearla y
conocer como.
_ Función DisableAutoMacros: Es una función del Word que impide que las
automacros sean ejecutadas. Puede incluirse dentro de una macro AutoExec
creada por el usuario en una plantilla. Desventaja: Solo deshabilita las macros
automáticas. Puede combinarse con la opción ToolsOptionSave.
_ Declare Normal.dot como de solo lectura, desde Word. Da la posibilidad de
prevenir la infección de la
plantilla Normal.dot en el disco.
Desventaja: Cada vez que se inicie Word se mostrará en la pantalla un molesto
mensaje de advertencia, algo molesto, que da la posibilidad de abrir la plantilla
con la propiedad de Solo Lectura.
_ Proteja Normal.dot, contra escritura, con palabra Clave. Esta protección asocia
una palabra clave a un documento. Permite que la
plantilla solo sea modificada si se teclea la palabra
clave correcta, de lo contrario será abierto en modo Solo Lectura. Ventaja:
Previene la infección de la plantilla global Normal.dot en el disco y solo puede
ser desactivada por el responsable de la computadora. Desventaja: al iniciar
Word muestra en pantalla un mensaje donde hay que teclear la palabra clave para
que Normal.dot pueda ser modificado.
_ Uso de la tecla Shift: Pulse sostenidamente la tecla Shift izquierda al iniciar
Word o mientras se abre un documento. Esto provoca que ninguna de las automacros
sea ejecutada. Esto previene que los virus que
utilicen las macros AutoExec y AutoOpen puedan propagarse. Si se ejecuta esa
acción al cerrar un documento o salir de Word se logra el mismo objetivo para
la macro AutoClose. Desventajas: Requiere de mucha coordinación de lo contrario
las macros pueden ser
ejecutadas y solo previene la ejecución de las macros automáticas.
_ Utilice el organizador para chequear si los documentos contienen MACROS. Desventajas:
El usuario tiene que decidir si las macros están infectadas o no. Es incómodo
revisar los documentos antes de abrirlos.
_ Active la opción Abrir documentos sin Macros: Solo disponible en Word 8.0
y posterior. Permite abrir documentos creados con Word 8.0 y anteriores sin
que las macros contenidas
se ejecuten si el usuario no lo desea. Desventajas: El usuario es quien
decide si va a abrir el documento con o sin macros. Los usuarios, que
trabajen con macros, tenderán a desactivar la protección en busca de comodidad.
_ Bloquee el proyecto para la visualización: Solo disponible en Word 8.0 y posterior.
Previene que los módulos sean creados, vistos o copiados en un proyecto plantilla.
Normal.dot es un proyecto plantilla y las macros en Visual Basic están contenidas
en módulos.
_ Salve una copia de Normal.dot en otra
carpeta y compárela con la utilizada mediante cualquier utilitario que
lo permita. Esto puede hacerse desde el autoexec.bat
_ Detectar alteraciones en la
carpeta de INICIO (STARTUP) de Microsoft Word, que pueden ser debidas
a la inclusión de nuevas plantillas
o de alteraciones en las plantillas allí contenidas. Este proceso también se
puede hacer desde el AUTOEXEC.BAT y con un DIR.
_ Si tiene que enviar por correo
electrónico algún documento de texto no lo envíe en formato de Word
sino como RTF (Formato de Texto Enriquecido) o TXT, a no ser que sea absolutamente
imprescindible alguna macro
o se lo hayan solicitado. En formato RTF el texto conserva todas las características
de formato del documento de Word original pero no se incluirá ninguna macro.
En formato TXT no se incluyen las macros pero se pierde el formato del documento.
Prevención
de virus Macro en Excel y PowerPoint:
_Active la opción Protección antivirus en macros:
Permite abrir documentos de Excel y PowerPoint sin que las macros contenidas
en ellos puedan ejecutarse. Este método solo está disponible para la versión
97 y posterior del producto. Las desventajas de este método son similares a
las enumeradas para MS-Word.
_Uso de la tecla Shift: Igual efecto e inconvenientes que para MS-Word.
Como enfrentar un ataque de virus. Programas antivirus.
Si su computadora se ha contaminado con un virus lo primero que debe hacer es tener calma y paciencia, no se ofusque por resolverlo de inmediato, sino BIEN.
No importa el tiempo que invierta. Revise todos los medios de almacenamiento. El no hacerlo es un error común que muchas veces se paga caro, ahí puede estar acechando una copia del virus.
Siga estos pasos:
_
Desconecte la computadora de la red
si está enlazada a una.
_ No debe permita el uso de su equipo hasta que tenga la seguridad de haber
erradicado plenamente el o los virus.
_ Verifique la presencia del virus con al menos
dos antivirus, arrancando desde un
disco flexible, verificado contra virus
y protegido contra escritura para tener plena seguridad de que no se encuentra
escondido ninguno en memoria.
Atención: Como
centinela o monitor antiviral solo se debe tener instalado un solo producto
para evitar incompatibilidades.
_ Si no tuvo la precaución de tener copias de resguardo de la información vital
contenida en su equipo, ahora es el momento de hacerlo. Es más seguro hacerlo
desde el DOS, utilizando solo
los comandos dir,
cd y copy, sin utilizar ningún programa.
Recuerde, el responsable de resguardar los datos es el usuario, no el programa
antivirus. Además, aunque este detecte y descontamine su computadora la información
puede ser dañada.
_ Proceda a la descontaminación de su computadora.
_ Los virus modifican los
archivos o la estructura del disco en alguna medida. La remoción del
código
maligno en una aplicación
es una solución temporal. Una "limpieza completa” debe incluir la reinstalación
de aplicaciones para evitar errores en ellas.
_ Rastree la “entrada del virus”.
Detección y protección contra virus en Redes:
Se puede realizar en tres niveles básicos:
_
En la computadora personal: Cada computadora debe tener instalado un
programa antivirus con el
centinela activado (sistema de monitoreo).
_ En el servidor de una
LAN: También debe instalarse
un programa antivirus basado en el servidor. Permiten el trabajo con protocolos
como IPX en redes Netware
o en ambientes Windows NT por ejemplo. Tiene la desventaja de que los archivos
“bajados” por
FTP pasan directamente a las computadoras personales sin pasar por
el servidor de LAN, por lo que no son revisados por su
programa antivirus. Por otro lado, al tener cada sistema de
correo electrónico su forma de encriptación de datos se bloquea
el rastreo de virus.
_ Instalación de programa
antivirus en la interfase de acceso
(gateway) y Firewalls
de conexión a Internet
operando bajo UNIX. Este programa
monitorea continuamente el tráfico de
correo electrónico (e-mail) y
FTP que se lleva a cabo en la interfase de acceso (gateway)
de Internet, capturando
y aislando virus antes de que lleguen
a la red.
Recomendaciones para seleccionar el programa antivirus para su computadora o red:
_ Debe estar certificado por la ISCA para “curar” el 100 % de los
virus “In the Wild” (estado salvaje, son los que están circulando en
el momento). Esta certificación se realiza mensualmente y es publicada en Internet.
_ Debe tener la opción de exploración o monitoreo en tiempo real (centinela)
y programado (scanner).
_ Debe permitir la revisión preventiva y programada con alarmas de aviso y las
opciones de desinfección automática o de negación de acceso en sistemas de
correo electrónico, fax, broadcast, etc.
_ Debe contar con herramientas de administración desde una consola central,
que administre la red global
heterogénea, grupos o dominios de
servidores y computadoras para llevar a cabo una administración
más sencilla.
_ Debe contemplar las herramientas de protección para que los diferentes niveles
se encuentren integrados.
_ Debe permitir la actualización automática de las nuevas firmas antivirus hasta
servidores y clientes.
_ Debe cubrir a las estaciones de
trabajo por medio de la aplicación instalada a tiempo real, enlenteciendo
lo menos posible el trabajo del equipo.
_ Debe contar con un esquema tipo "cuarentena" en el caso de que alguna
estación no tenga cargada la
aplicación antivirus o la ultima firma para evitar la entrada a su
servidor de red.
_ Debe contar con herramientas de rastreo de puntos de infección alrededor de
la red.
Un firewall o cortafuegos no es infalible en la seguridad informática, pero, si es un muro de protección entre su PC o red interna e Internet. Debe ser instalado como protección contra hackers o virus troyanos en todo sistema que esté conectado a Internet durante largos períodos de tiempo, si brinda acceso remoto a ficheros, servidor web o FTP u otros servicios externos o si utiliza software de conexión remota (como Telnet, PC Anywhere, etc.). Existen cortafuegos de tipo empresarial y de tipo personal.(17)
Ventajas de los cortafuegos:
_ Permite restringir el acceso hacia o desde su red a determinados servicios
y analizar todo el tráfico que pasa a través de él.
_ Los intentos de penetración en su red (hackers) o la tentativa de enviar información
desde ella (Ej. virus troyanos) pueden dar la alerta ya que toda la conexión
debe pasar por él.
_ Permite al ser el único punto de acceso la supervisión y registro de
toda la actividad entre las redes exterior e interior.
_ Algunos tipos de cortafuegos permiten una autenticación más sofisticada que
las contraseñas (tarjetas inteligentes, contraseñas de un solo uso, llaves hardware,
etc).
_ Poseen una función que permite ocultar el rango de direccionamientos internos
de la red al traducir direcciones de redes o NAT (Network Address Translation).
Desventajas:
_ No permiten la detección de ataques
internos como el acceso directo, infección directa o robo de información de
una de las unidades de la red o de la PC.
_ No protege contra ataques de virus o hackers que usan exclusivamente el tráfico
HTTP y explotan errores graves de programas como los del servidor Web.
_ No protege contra ataques de nuevo tipo o desconocidos.
Una
de las características mas destacadas que es dable observar en el que bien pudiera
llamarse "el fenómeno Internet" son los lazos que se generan entre
los integrantes de la red global.
El propio desarrollo del PCVC, el crecimiento que se produce día a día
en los Foros Temáticos, la
evolución de las Listas
Cardiológicas históricas, como Cardio-L, ProCOR, CardioConcert, de las cuales
podemos dar testimonio, son pruebas de ello.
De la mano de este fenómeno, se observa otro, cual es el de una suerte de solidaridad
que se establece entre los participantes, que a su vez se acompaña de un producto
marginal.
Es así, como nuestros buzones de correo reciben periódicamente conmovedores
mensajes que claman por ejemplo, por reunir "240 dadores de sangre"
para el hermano de un científico afectado de una extraña enfermedad de la cual
solo se conocen tres casos en todo el mundo e invita a presentarse en fecha
y hora próximas a un Banco de Sangre de existencia real y piden por favor difundir
entre los conocidos, el contenido del pedido solidario.
Otro visitante frecuente de nuestros buzones de correo
electrónico, son mensajes que nos previenen sobre destructivos virus
que podrían llegar a nuestras computadoras vehiculizados en otros mensajes y
que piden nos hagamos eco del alerta difundiéndolo a toda dirección de correo
que se halle en nuestra agenda y a cuyo propietario deseemos el "bien".
Veamos algunos ejemplos de esto ultimo (el texto original de estos "alertas"
que nos sirven de ejemplo esta escrito en idioma ingles):
Irina HOAX
"Existe un virus informático que se está enviando a través de Internet.
Si Ud. recibe un mensaje de e-mail
con la línea de asunto "Irina", NO lo lea. BORRELO inmediatamente.
Algún inescrupuloso manda a la gente archivos con el titulo "Irina".
Si Ud. recibe este mensaje o archivo, no lo descargue. Tiene un virus
que rescribe su disco rígido, borrando todo lo que hay en él. Por favor sea
cuidadoso y reenvíe este mensaje a todas las personas que le importan.
(Información recibida del Profesor Edward Prideaux, Facultad de Estudios Eslavos,
Londres).
Deeyenda HOAX
"INFORMACION MUY IMPORTANTE, POR FAVOR LEER! Hay un virus informático que
esta siendo enviado a través de Internet.
Si Ud. recibe un mensaje de e-mail
con la línea de asunto "Deeyenda", NO lea el mensaje, BORRELO inmediatamente!
Algún inescrupuloso esta mandando a todo el país un mensaje con el titulo "Deeyenda";
Si Ud. recibe algo como esto NO DESCARGUE EL ARCHIVO! Tiene un virus
que rescribe su disco rígido,
borrando todo lo que hay en él. Por favor sea cuidadoso y reenvié este mensaje
a todas las personas que le importan. Por favor lea el mensaje que sigue. Alex."
Estos mensajes, redactados con un lenguaje apropiado que le otorga credibilidad
por parte de quien lo recibe, son FALSOS y en realidad son la "propia
enfermedad" sobre la cual aparentemente previenen, siendo nuestros propios
sentimientos solidarios la vía de propagación, cuando reenviamos su contenido
a cuanta dirección de correo hallamos a mano.
Estos son los llamados Virus místicos, HOAX o Falsos Virus.
Otros ejemplos que hemos tomado de sitios dedicados a este problema y que aun
circulan entre nosotros podrían ser los siguientes:
* Virus KATIUSKA Hoax
* Irina Hoax
* PKZ300 Warning
* Ghost Warning
* NaughtyRobot Warning
* Join the Crew Warning
* AOL4FREE
* A.I.D.S. Virus Hoax
* Win A Holiday
* BUDSAVER.EXE
Es decir, estos "virus" en realidad no existen. La mejor "vacuna"
contra ellos es ignorar este tipo de mensajes.
¿Cómo reconocerlos?
Esta información proviene textualmente del Computer Incident Advisory Capability
(CIAC) del U.S. Department of Energy
http://ciac.llnl.gov/ciac/CIACHoaxes.html
Hay varios metodos para identificar los virus
HOAX, pero primero consideremos que hace que un "virus" de estas caracteristicas
tenga exito en Internet.
Hay dos factores conocidos que son: (A) lenguaje que impresiona "técnico",
y (B) credibilidad por asociación. Si la advertencia utiliza la jerga técnica
apropiada, la mayoría de las personas, incluyendo quienes estén informados sobre
cuestiones tecnológicas, se inclinan a creer que la advertencia es real. Por
ejemplo, el HOAX "Good Times" dice que "...si el programa
no se detiene, el procesador de la computadora será colocado en un bucle binario
infinito de enésima complejidad, que puede dañar gravemente su procesador...".
La primera vez que Ud. lee esto, le impresiona como si pudiera haber algo de
verdad en él. Si se investiga un poco, se descubre que no existe tal cosa como
un bucle binario infinito de enésima complejidad y que los procesadores están
diseñados para ejecutar bucles durante semanas a la vez sin dañarse.
Cuando decimos "credibilidad por asociación", nos referimos a quien
es el supuesto remitente que envía la advertencia. Si el conserje de una organización
tecnológica importante envía una advertencia a alguien fuera de la organización,
la gente del exterior tiende a creer la advertencia porque la empresa debería
tener conocimiento de tales asuntos. Aunque la persona que envía el mensaje
no tenga idea de lo que esta hablando, el prestigio de la empresa lo respalda,
dándole una apariencia real. Si un gerente de la empresa envía la advertencia,
el mensaje esta doblemente respaldado por las reputaciones de la compañía y
del gerente.
La gente debería estar especialmente atenta si la advertencia los exhorta a
enviarla a sus amigos. Esto debería ser como una alerta roja indicando que el
mensaje puede ser un HOAX. Otra señal de alerta a la que hay que estar atento
es cuando el mensaje indica que es una advertencia del FCC (Federal Communication
Commission - Comisión Federal de Comunicaciones). Según el FCC, no han difundido,
y nunca lo harán, mensajes de advertencia sobre virus.
No es parte de su trabajo.
Es bueno recordar entonces, que ningún virus puede venir en el texto de un mensaje.
Si, en cambio, puede hacerlo en un
archivo adjunto que recibamos junto a un mensaje y que en estos casos,
la mejor protección es desconfiar y NO EJECUTAR de todo archivo adjunto que
recibamos de fuentes desconocidas y aun conocidas cuando previamente no fuimos
informados del envío.
Las que siguen son direcciones en
Internet donde los interesados pueden continuar investigando el tema:
http://ciac.llnl.gov/ciac/CIACHoaxes.html
http://www.fcc.gov/Bureaus/Miscellaneous/Public_Notices/pnmc5036.txt
Amplia información en castellano: http://www.vsantivirus.com/hoaxes.htm
Otro sitio Web útil es el "Computer Virus Myths home page" que contiene descripciones de varios HOAXES conocidos.
En
la mayoría de los casos, el sentido común debería eliminar los HOAXES de la
Internet.
Actuaciones ante la recepción de correo electrónico no solicitado. Informe de Jesús de Las Heras, Administrador General de RedIRIS, la Red Académica Española, acerca de cómo identificar y proceder con los mensajes de correo no solicitado.
¿Quién no ha encontrado alguna vez
en su buzón de correo electrónico
mensajes con contenidos soeces o amenazadores; anzuelos publicitarios donde
dicen regalar algo, ganar mucho dinero o sexo telefónico barato?; y peor aún
¿quién no ha recibido en su buzón este tipo de mensajes aparentemente procedentes
de algún compañero de nuestro despacho? o ¿enviados desde una dirección desconocida
y recibidos en nuestro buzón como si fueran enviados a nuestro compañero de
despacho? ¿quién no ha perdido algún mensaje valioso al borrar o filtrar este
tipo de correo? El correo basura está continuamente creciendo, inunda nuestros
buzones y disminuye la funcionalidad y credibilidad del correo electrónico como
aplicación.
El correo basura o no solicitado (spam, uce ...) es uno de los múltiples resultados
de la inseguridad y fragilidad del correo electrónico en Internet. Debemos aceptar
y estar informados de que el correo electrónico clásico es un canal inseguro
y fácilmente manipulable. Los protocolos de correo electrónico utilizados por
la mayor parte de los usuarios no pueden garantizar la autentificación del emisor
ni la confidencialidad del contenido. Pero esto no es óbice para que consideremos
la manipulación y falsificación de mensajes como una acción ilegal y punible.
No debemos olvidar que es necesario perseguir este tipo de actividades y una
de las tareas prioritarias por parte de las instituciones que ofrecen el servicio,
es informar de ello a los usuarios. Esta información deberá facilitarse a través
de las Políticas de Uso propias de cada institución (http://www.rediris.es/mail/abuso/insti.html
).
Como ya hemos dicho, prácticamente todas las partes de un mensaje de correo
(cabeceras y trazas) son falsificables pero siempre quedan rastros. Antes de
abordar el correo electrónico falsificado debemos hablar del correo electrónico
válido que es aquel donde el remitente no intenta ocultar el origen del emisor
del mensaje.
Con este documento de divulgación general no pretendemos crear ningún tipo de
alarma sino ofrecer información clara para poder sacar más provecho del correo
electrónico y sobre todo, para tener conciencia de lo que sucede cuando se recibe
o envía un mensaje. En primer lugar veremos la interpretación de la procedencia
de un mensaje con el fin de poder descubrir posibles falsificaciones y a continuación
veremos lo que se debe hacer con el correo electrónico no deseado y comprobaremos
como los indeseables spammers no son anónimos, pues casi siempre existe un rastro
que les delatará.
Valga la ocasión para indicar que la mejor forma de garantizar la procedencia
e integridad de un mensaje es la utilización de PGP, actualmente integrado en
casi todos los clientes de correo electrónico. Para mayor información sobre
este tema consultar http://www.rediris.es/pgp/.
Interpretación de las cabeceras de los mensajes
Si lo intentarais, os sorprendería ver lo sencillo que resulta falsificar un
mensaje y con ello comprobariais la inseguridad del correo electrónico. ¿Alguna
vez habéis probado seguir la pista de la procedencia de algún mensaje que hayáis
recibido? quizá nunca hayáis desplegado las cabeceras de los mensajes que recibís.
La mayor parte de los usuarios sólo ven las clásicas cabeceras From: (Desde:),
To:(Para:), Subject:(Asunto:) y Date:(Fecha:), casualmente las más fácilmente
manipulables. Es recomendable acostumbrarse a echar un vistazo a esas otras
cabeceras que no se suelen leer, sobre todo las que empiezan por "Received:"
pero sin alarmarse sobre la información. Unos mínimos conocimientos nos ayudarán
a interpretar de un vistazo dicha información así como la ayuda de alguna herramienta
habitual como "nslookup", "whois" o similares.
Hacer un estudio exhaustivo de las cabeceras de un mensaje puede llegar a ser
todo un arte ya que la información puede variar aunque tengan un perfil fijo.
Es importante descubrir quién originó el mensaje y la máquina que lo distribuyó
para de esta forma poder saber la identidad real del emisor del mensaje. El
mecanismo del correo electrónico en Internet es sencillo, un mensaje de correo
electrónico sale del programa del emisor, le encarga a un
servidor de correo (servidor SMTP) -similar a un estafeta de correo
postal- la distribución hacía el destino; el mensaje viaja por la red y llega
al buzón del destinatario (login y palabra clave) el cual físicamente está en
el servidor de correo destino (servidor POP
o IMAP). Durante el "viaje"
desde el "Servidor SMTP"
hasta el "Servidor de correo destino" puede haber servidores intermedios por
donde circula el mensaje pero nunca menos de dos.
Debemos tener en cuenta que cuando el mensaje pasa por un servidor de correo
éste imprime una traza en la cabecera del mensaje (Received:) y queda archivada
en un fichero de dicho servidor.
Es decir, los responsables del servicio de correo electrónico deben tener acceso
a esta información y por lo tanto pueden facilitar mucho la labor de investigación.
A un usuario le bastaría con interpretar la última traza impresa en la cabecera
del mensaje cuando éste entra en su servidor.
Lo primero que se debe hacer para leer las cabeceras de un mensaje es habilitar
la correspondiente opción en el
programa de correo. Hay que fijarse exclusivamente en las líneas que
empiezan por la palabra "Received:". El orden de lectura va de abajo hacia arriba,
es decir la primera cabecera "Received:" será la que ofrezca información del
emisor y la última es la entrega en vuestro buzón. Cada una de estas líneas
ha sido impresa por el servidor de correo por donde ha pasado el mensaje. Veamos
un ejemplo, sin olvidar que aunque el perfil de las cabeceras es similar la
información de las trazas "Received:" puede variar:
Ejemplo 1: Mensaje normal
From: "Fernando el Católico" f.catolico@upv.es
To: perico@rediris.es
Date: Tue, 11 Jan 2000 18:58:26 -0600 (Wed 01:58 MET)
Subject: Soy yo y no te engaño
Aparentemente viene de la dirección <f.catolico@upv.es> y es enviado a <perico@rediris.es>.
Si desplegamos el resto de cabeceras veremos:
(2) Received: from vega.upv.es (vega.cc.upv.es [158.42.4.1]) by chico.rediris.es
(8.9.3/8.9.3) with ESMTP id SAA05366 for <perico@rediris.es>; Tue, 11 Jan
2000 18:58:38 +0100 (MET)
(1) Received: from fons (enano.har.upv.es [158.42.108.72]) by vega.upv.es (8.8.4/8.8.5)
with ESMTP id SAA12517; Tue, 11 Jan 2000 18:58:37 +0100 (MET)
La primera línea para interpretar
es la (1) que indica que el mensaje ha sido emitido desde la máquina con
dirección IP [158.42.108.72] que tiene asignado el
nombre (resolución inversa en el DNS) "enano.har.upv.es", es decir es
una máquina conectada a la red local del dominio upv.es. El cliente de correo
electrónico de este usuario utiliza la máquina "vega.upv.es" como servidor de
correo saliente (servidor SMTP). Esta transacción se realizó el "11 Jan 2000
18:58:37 +0100 (MET)". Esta línea (1) ha sido añadida por el servidor
de correo "vega.upv. es" por lo que podemos creer que sea correcta.
La cabecera (2) nos indica que el servidor "vega.upv.es" se ha conectado al
servidor "chico.rediris.es" como paso final para depositarlo en el buzón <perico@rediris.es>.
La transacción fue realizada el "11 Jan 2000 18:58:38 +0100 (MET)", es decir
1 segundo después.
Como conclusión podemos considerar que muy probablemente las cabeceras de este
mensaje no hayan sido manipuladas y que el mensaje haya sido generado en el
PC "enano.har.upv.es", pero
no podemos garantizar que el mensaje sea de "Fernando el Católico" <f.catolico@upv.es>.
Si las direcciones son de dominios
de universidades españolas, como el del ejemplo UPV.ES, es muy problable que
sean válidas.
Ejemplo 2: Mensaje falsificado
Este es un mensaje que se recibe en
el buzón <perico@rediris.es> y las cabeceras clásicas son:
From: <perico@rediris.es>
To: "Fernando el Católico" <f.catolico@upv.es>
Date: Tue, 11 Jan 2000 18:58:26 -0600 (Wed 01:58 MET)
Subject: Soy yo y sí te engaño
Este mensaje se ha recibido en el
buzón <perico@rediris.es> y aparentemente proviene de él mismo y va dirigido
a: <f.catolico@upv.es>, todo un follón. Evidentemente nos hace sospechar
y debemos investigar y desplegar las cabeceras y veremos algo así como:
(2) Received: from vega.upv.es (vega.cc.upv.es [158.42.4.1]) by chico.rediris.es
(8.9.3/8.9.3) with ESMTP id SAA05366 for <perico@rediris.es>; Tue, 11 Jan
2000 18:58:38 +0100 (MET)
(1) Received: from fons (enano.har.upv.es [158.42.108.72]) by vega.upv.es (8.8.4/8.8.5)
with ESMTP id SAA12517; Tue, 11 Jan 2000 18:58:37 +0100 (MET)
Vemos que la traza (2) dice "for <perico@rediris.es>" (no siempre existe) e indica que el mensaje iba encaminado a dicha dirección aunque el campo To: que solemos ver tenga el valor: [To:"Fernando el Católico" <f.catolico@upv.es>]. Unicamente podemos asegurar que dicho mensaje ha sido emitido desde el PC identificado con las siguientes coordenadas: enano.har.upv.es [158.42.108.72] y que es ahí donde se ha producido la falsificación.
Las cabeceras From: y To: que son
las únicas que la gente suele visualizar, son falsificables aunque evidentemente
hay que tener unos pequeños conocimientos y algún motivo para hacerlo. No quiere
decir que todo el mundo se dedique a hacer falsificaciones, pero sí hay que
tener en cuenta que la posibilidad existe.
Estas falsificaciones son las que pudieran resultar más interesantes pero evidentemente
hay muchas otras variaciones que requieren más habilidad en la falsificación.
Se puede falsificar todo, desde las fechas de transmisión hasta la propia información
de trazas "Received:" pero al final siempre queda una pista que nos permite
identificar por lo menos el servidor de correo de donde salió el mensaje. Igual
que todas las máquinas disponen de una direción IP para transitar por Internet,
también deben de tener una entidad (empresa, organismo, etc.) que se responsabilice
de las mismas. El problema viene cuando estas máquinas no tienen una
dirección IP fija (accesos dial-up vía red telefónica básica) lo que
imposibilita la labor de identificar al emisor, aún así siempre existe un responsable
de direcciones IP (Proveedores de acceso a Internet).
Todas las máquinas deben tener un dueño y/o un responsable.
Este es un mensaje completo con las
cabeceras desplegadas, lo que un programa de correo electrónico suele mostrar
son los campos Date:, From:, To: y Subject:. Veamos quien envió el mensaje y
a quien va dirigido.
Received: from hkbulib.hkbu.edu.hk
(hkbulib.hkbu.edu.hk [158.182.30.1])
by chico.rediris.es (8.9.3/8.9.1) with ESMTP id JAA18473
for <heras@REDIRIS.ES>; Mon, 7 Feb 2000 09:50:31 +0100 (MET)
Received: by hkbulib.hkbu.edu.hk id QAA0000017827; Mon, 7 Feb 2000 16:50:41
+0800 (HKT)
Message-id: 200002070850.QAA0000017827@hkbulib.hkbu.edu.hk
Reply-to: srchzznngnz@mailexcite.com
Content-type: text
----[las cabeceras de abajo son las únicas que se suelen ver]----
From: srchzznngnz@mailexcite.com
Date: Mon, 7 Feb 2000 16:50:41 +0800 (HKT) (09:50 MET)
To: srchzznngnz@mailexcite.com
Subject: Submit Your Site or Home Page
Sería un mensaje dirigido a <heras@REDIRIS.ES> y enviado directamente desde
la máquina (hkbulib.hkbu.edu.hk [158.182.30.1]). ¿Qué usuario lo envió? Eso
sólo podrá conocerse consultando los ficheros donde se dejan las trazas de los
correos y en teoría sólo están accesibles a los responsables de dicha máquina...
¡en Hong Kong!.
Otro ejemplo real un poco más complejo.
Received: from ainnet.ain.es ([193.146.125.2])
by chico.rediris.es (8.9.3/8.9.1) with SMTP id MAA18844
for <heras@rediris.es>; Wed, 9 Feb 2000 12:18:42 +0100 (MET)
Received: from xx (unverified [130.206.1.3]) by ainnet.ain.es (EMWAC SMTPRS
0.83) with SMTP id <B0000191785@ainnet.ain.es>; Wed, 09 Feb 2000 12:27:27
+0100
Received: from xxxxxx (xxxxx [1.1.4.3])
by yyyyyyyyyy with ESMTP id JAA18473
Received: by xx.xx.xx id QAA0000017827; Mon, 7 Feb 2000 16:50:41 +0800 (HKT)
Message-id: <200002070850.QAA0000017827@xx.xx.xx>
Reply-to: srchzznngnz@mailexcite.com
Content-type: text
---[las cabeceras de abajo son las únicas que se suelen ver]----
From: xxxxx____@xxxxx.com
To: xxxx____@xxxxx.xx
Date: Mon, 25 Feb 1999 16:50:41
¿A quién va dirigido? ¿qué máquina es la emisora? ¿qué máquina distribuyó el mensaje? ¿en qué fecha fue emitido? ¿a quién deberías dirigirte para denunciar este mensaje? si respondes a este mensaje (Reply) ¿a qué dirección sería enviada?.
Recomendaciones
La dirección de correo electrónico que nos ofrecen en nuestra institución (universidad,
centro de investigación, etc.) debe ser utilizada con unos criterios y normas
de uso perfectamente definidas para llevar a cabo nuestra labor profesional
en dicha institución ahora bien podemos disponer de otra dirección privada para
nuestras actividades personales (*@hotmail.com, *@arrakis.es etc.).
Lo más importante es que cada una de estas direcciones se utilicen usando unos
parámetros (servidor SMTP,
POP/IMAP,
claves) diferentes ya que están implicados en ello una serie de recursos (máquinas,
líneas de comunicación etc.) determinados. La dirección privada debe utilizarse
con los servidores del
correspondiente proveedor de Internet y la dirección institucional con los servidores
apropiados. No se deben mezclar ambos entornos.
Pero además de realizar un correcto uso del correo electrónico y una vez que
ya sabemos interpretar las cabeceras, se recomienda utilizar los servidores
oficiales asociados a nuestra dirección de correo electrónico. Esta práctica
aportará algo más de garantía a los receptores sobre la fiabilidad del emisor.
Si bien hay que hacer hincapié de nuevo en que sólo el uso de técnicas de criptografía
de clave pública/privada como es PGP garantizará al máximo la veracidad del
emisor de un mensaje.
¿Qué hacer con los mensajes no deseados que recibimos?
Una vez que ya sabemos interpretar
la información que contienen las cabeceras de los mensajes pasemos a otro aspecto.
Para enviar una queja acerca de un correo no deseado hay que saber a qué dirección
enviarla, para ello basta con saber interpretar las cabeceras de los mensajes
y disponer de alguna herramienta que nos ofrezca información de las direcciones
de correo electrónico de los responsables.
La mayor parte de los usuarios al recibir estos mensajes no deseados los borran
al ser esto lo más rápido pero si se desea actuar de forma efectiva contra este
tipo abusos debemos hacer o evitar hacer lo siguiente:
No se debe:
* Enviar ningún mensaje cuando se
ofrezca la posibilidad de darse de baja de la "supuesta" lista o ponerse en
contacto con el "supuesto" emisor. Pues aunque muchas de ellas son falsas, muchas
otras son correctas y al responder lo único que generalmente se consigue es
capturar la dirección de correo electrónico correcta para posteriores envíos
de correo basura.
* Enviar quejas a direcciones que no estemos seguros de que son las que realmente
han distribuido el mensaje.
* Tratar con violencia al spammer. Lo peor sería estereotipar a estas personas
como terroristas pues les daría más fuerza.
* Poner filtros en los
programas de correo electrónico para borrar automáticamente el correo basura.
Si no se sabe muy bien lo que se hace se pueden perder mensajes que no interesaba
filtrar.
* Distribuir el mensaje a otras personas o listas.
* Ignorarlos. Es necesario denunciarlo y para ello debemos colaborar todos los
usuarios y responsables del servicio de correo electrónico de cada institución
de RedIRIS.
Sí se debe:
* Investigar la dirección del emisor
o del responsable de la máquina o del dominio que ha permitido la difusión de
dicho mensaje.
* Disponer de dos mensajes tipo en castellano y en inglés, que se utilicen como
contenido de la denuncia o queja.
* Si no se quiere hacer nada, mejor que borrarlo es enviárselo al responsable
del servicio de correo electrónico de su organización para que sea él quien
actúe. La dirección para enviar este tipo de incidentes dentro de tu institución
(dominio) debe ser: abuse@dominio.es y si no existe debes recordarle al <postmaster@dominio.es>
que lo cree.
Ahora bien ¿cómo localizar las direcciones a las que hay que enviar el mensaje
de queja?. Lo más importante es identificar los dominios implicados en la distribución
de este tipo de mensajes basura. La mayor parte del correo basura con contenido
en castellano no suele utilizar técnicas de falsificación de trazas aunque sí
de direcciones, lo que facilita mucho la labor.
Una vez localizados los dominios implicados en la distribución hay que localizar
las direcciones de los responsables que por defecto suelen estar en:
* postmaster@dominio.xx
* abuse@dominio.xx donde xx es el top-domain correspondiente (.es, .com, etc.)
Existen varias herramientas (whois,
nslookup, etc.) así como direcciones de páginas web que te permiten localizar
a los responsables de un dominio. En el caso de un dominio registrado bajo .es
se puede consultar el siguiente URL: http://www.nic.es/whois/
.
Pongamos un ejemplo:
Received: from m1smtpsp01.wanadoo.es
(m1smtpisp01.wanadoo.es [62.36.220.21])
by chico.rediris.es (8.9.3/8.9.1) with ESMTP id HAA04592
for <perico@rediris.es>; Tue, 8 Feb 2000 07:20:11 +0100 (MET)
Received: from maria.ctv.es (maria.ctv.es [212.25.129.25])
by m1smtpsp01.wanadoo.es (8.9.3/8.9.3) with ESMTP id HAA00488;
Tue, 8 Feb 2000 07:19:01 +0100 (MET)
Received: from default (ctv21225132171.ctv.es [212.25.132.171])
by maria.ctv.es (8.9.3/8.9.1) with SMTP id HAA19285;
Tue, 8 Feb 2000 07:16:16 +0100 (MET)
Message-id: <200002080616.HAA19285@maria.ctv.es>
---[las cabeceras de abajo son las únicas que se suelen ver]----
Date: Tue, 8 Feb 2000 07:16:16 +0100 (MET)
From: jordi <tu@ctv.es>
To: Lista de destinatarios oculta <tu@ctv.es>
Subject:!!!!teletrabajo!!!!
Como se concluye de las cabeceras,
este mensaje fue enviado al buzón <perico@rediris.es> que es la víctima,
fue emitido desde una dirección del dominio "ctv.es" y por lo tanto utiliza
el servidor de ese dominio "maria.ctv.es" y para llegar al destinatario usa
otro servidor de correo m1smtpisp01.wanadoo.es.
¿Cómo deberíamos actuar? En primer lugar no enviando nada a la dirección <tu@ctv.es>
que se sospecha que está falsificada y a continuación buscando las direcciones
de los responsables de los dominios ctv.es y wanadoo.es que serían: postmaster@ctv.es,
abuse@ctv.es, abuse@wanadoo.es, postmaster@wanadoo.es además como son dominios
".es" las encontraremos en: http://www.nic.es/whois
.
Hay diversos lugares en la red que facilitan mucho toda esta labor. Simplemente
enviándoles el mensaje basura que hemos recibido incluidas las trazas localizan
los dominios implicados y sus responsables y al final generan de forma automática
el envío del mensaje con nuestra queja. Los hay accesibles por correo electrónico,
como "abuse.net" o vía Web como "spamcop.net". De todas formas antes de usarlos,
es importante saber lo que se hace para evitar enviar mensajes a personas que
nada tienen que ver con nuestro problema.
Quizá os preguntéis ¿Cómo han podido conocer mi dirección de correo electrónico?
¿existe algún tipo de legislación que nos proteja del correo no deseado?, ¿qué
más se puede hacer además de enviar nuestras quejas?, son temas que se salen
de este informe divulgativo. Recordad: No uséis el correo electrónico para las
distribuciones masivas, independientemente del contenido, molesta a mucha gente
y puede llegar a ser ilegal. No coloquéis en el campo "To:" de un mensaje decenas
o cientos de direcciones para difundir algo que os interesa, existen alternativas
y vuestros responsables del servicio de correo electrónico os darán las mejores
soluciones.
Autores: Dr. Karel Morlans Hernández, Dr. Edgardo Schapachnick, Tec. José P. Barreto
Actualizada:
Referencias:
1-
Cáceres Javier. Virus y otros parásitos. PC World. España, 2000: (165) 164.
2- http://www.avp.ch/avpve/
3- http://members.home.net/dtmartin24/ramen_worm.txt
4- http://www.avp.ch/avpve/worms/email/blebla.stm
5- http://www.avp.ru/news.asp?tnews=0&nview=4&id=150&page=0
6- http://www.avp.ch/avpve/worms/email/3dstars.stm
7- http://www.symantec.com/avcenter/venc/data/wnt.energy.worm.html
8- http://www.f-secure.com/v-descs/universe.shtml
9- http://www.datafellows.com/v-descs/hybris.htm
10- http://www.f-secure.com/v-descs/sonic.htm
11- http://www.f-secure.com/v-descs/hybris.htm
12- http://members.es.tripod.de/virusattack/index3.htm?especiales/
13- http://www.sarc.com/avcenter/venc/data/qaz.trojan.html
14- http://www.hispasec.com/unaaldia.asp?id=655
15- http://www.avp.ch/avpve/newexe/win32/doser.stm
16- http://www.hispasec.com/notas_prensa.asp?id=70
17- Seguridad en la red. PC Magazine. España, 2000:
(139) 126.
Colaboraciones
aquí
|
Dr. Florencio
Garófalo
Presidente Comité Organizador |
Dr. Raúl
Bretal
Presidente Comité Científico |
Dr. Armando
Pacher
Presidente Comité Técnico - CETIFAC |
|
Copyright© 1999-2001 Federación Argentina de Cardiología Todos los derechos reservados |
||
Esta empresa colaboró para la realización del Congreso:
