[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE-----
------------------------------------------------------------------
UNAM-CERT
Departamento de Seguridad en Computo
DGSCA- UNAM
Nota de Seguridad UNAM-CERT 2003-005
Propagación de Código Malicioso y Actualización de Programas Antivirus
------------------------------------------------------------------------
SISTEMAS AFECTADOS
------------------
* Sistemas que sean susceptibles de ser afectados por virus y
gusanos
DESCRIPCIÓN
-----------
Reportes recientes al UNAM-CERT han alertado sobre dos problemas
principales:
* La velocidad de propagación de los virus está en incremento.
Esto refleja la tendencia hacia tasas mas rápidas de
propagación observadas en los pasados años en la
autopropagación de código malicioso (por ejemplo gusanos).
Iniciando con el gusano Código Rojo (Boletín
UNAM-CERT-2001-020
<http://www.unam-cert.unam.mx/Boletines/Boletines2001/boletin-UNAM-CERT-2001-020.html>
y UNAM-CERT-2001-024
<http://www.unam-cert.unam.mx/Boletines/Boletines2001/boletin-UNAM-CERT-2001-024.html>)
en el 2001, terminando con el gusano Slammer (Boletín
UNAM-CERT-2003-004
<http://www.unam-cert.unam.mx/Boletines/Boletines2003/boletin-UNAM-CERT-2003-004.html>)
a principios de este año, se ha visto que los tiempos de
propagación de estos gusanos se han reducido de horas a minutos.
Una tendencia similar de semanas a horas ha surgido en la
arena de los virus (código malicioso que no se auto propaga).
La efectividad de los programas antivirus sufre como un
resultado. Muchos incidentes recientes de código malicioso
involucran variantes de W32/BugBear y W32/Sobig que han
logrado tasas de propagación significativamente más rápidas
que muchos virus vistos anteriormente. Este incremento de
velocidad es desafortunadamente también mucho mas rápida que
las actualizaciones de firmas y de patrones que las compañías
de antivirus realizan, asi mismo se refleja en los métodos de
actualización que las compañías de antivirus llevan a cabo
(incluyendo actualizaciones de patrones de virus conocidos de
forma automatizada). El UNAM-CERT ha recibido reportes de
equipos que presentan casos de W32/Sobig.E de diversos
usuarios en los cuales las firmas y actualizaciones
correspondían a las versiones anteriores de W32/Sobig.
Los programas antivirus basados en firmas no son los únicos
programas antivirus en riesgo: los programas antivirus que
usan la heurística para determinar el comportamiento malicioso
pueden ser burlados por técnicas nuevas empleadas por el
código malicioso. Los programas antivirus basados en la
heurística no son completamente confiables debido a que no
siempre pueden bloquear la ejecución de código malicioso.
Adicionalmente, estamos enterados de casos donde
actualizaciones corruptas de programas antivirus han causado
que el programa sea deshabilitado sin el conocimiento del
usuario.
* En un número de reportes, usuarios que fueron comprometidos
pueden haber estado bajo la impresión incorrecta con que solo
tener un programa antivirus instalado fue suficiente para
protegerlos de todos los ataques de código malicioso. Esto es
simplemente una suposición equivocada, y los usuarios deben
tener precaución cuando manejen archivos adjuntos en el correo
electrónico u otro código o datos de fuentes poco fidedignas.
En general, es importante recordar que mientras los
fabricantes de software antivirus continuan mejorando la
velocidad y confiabilidad de sus mecanismos de actualización
de firmas, siempre existirá algún período de tiempo cuando un
sistema no tiene firmas para detectar un gusano o virus
particular. Muchos documentos de investigaciones recientes que
han estimado sobre la magnitud del peor escenario de las tasas
de propagación de código malicioso también muestran el riesgo
durante el período de tiempo antes que los patrones y firmas
para actualizaciones de las compañías de antivirus lo tengan
disponible en su sitio.
SOLUCIONES
----------
* Aplicar "Defensa a Fondo"
Como se mencionó antes, no es suficiente confiar solamente en
programas antivirus para una protección completa. Por lo tanto, se
recomienda a los usuarios aplicar una estrategia de "defensa a
fondo" (donde son utilizadas muchas capas de seguridad o control de
acceso) cuando se consideren formas de proteger las computadoras de
intrusos. Aunque ésto puede no ser práctico para todos los usuarios,
otra forma de lograr defensa a fondo es utilizar diversos programas
y sistemas operativos cuando sea posible. Algunas formas adicionales
para mejorar la seguridad va mas alla del uso de programas antivirus.
Ademas de los pasos siguientes mostrados en esta sección, el
UNAM-CERT recomienda a los usuarios caseros revisar los documentos
"Home Network Security"
<http://www.cert.org/tech_tips/home_networks.html> y "Home Computer
Security" <http://www.cert.org/homeusers/HomeComputerSecurity/>.
* Ejecutar y mantener un producto antivirus.
Debido a que un programa antivirus actualizado no protege contra
todo el código malicioso, para muchos usuarios sigue siendo la
primer línea de defensa contra ataques de código malicioso.
Muchos fabricantes de programas antivirus liberan frecuentemente
información actualizada, herramientas o bases de datos de virus para
ayudar a detectar y recuperar de código malicioso, incluyendo
W32/Bugbear.B y W32/Sobig.E. Por lo tanto, es importante que los
usuarios mantengan su programa antivirus actualizado. El UNAM-CERT
mantiene una lista parcial de fabricantes de antivirus:.
# http://www.pandasoftware.es
# http://www.bitdefender-es.com
# http://www.trendmicro.com <http://www.trendmicro.com/>
# http://esp.sophos.com
# http://www.ravantivirus.com
# http://securityresponse.symantec.com
# http://www.viruslist.com
Muchos paquetes antivirus soportan actualización automática de
definición de virus. El UNAM-CERT recomienda usar estas
actualizaciones automáticas cuando estén disponibles.
* No ejecutar programas de origen desconocido
Nunca descargar, instalar o ejecutar programas a menos que conozca
que son creados por una persona o compañía en la cual confie.
Usuarios de correo electrónico deben ser cautelosos de archivos
adjuntos inesperados, mientras que los usuarios de salones de
conversación (IRC por sus siglas en inglés), mensajería instatánea
(IM por sus siglas en inglés) y servicios de archivos compartidos
deben ser particularmente cautos de seguir vínculos o ejecutar
programas enviados a ellos por otros usuarios, debido a que son
métodos usados comúnmente entre los intrusos para intentar construir
redes de agentes de negación de servicio distribuido (DDoS por sus
siglas en inglés).
* Deshabilitar o asegurar archivos compartidos
Las mejores prácticas dictan una política de mínimos privilegios .
Por ejemplo, si una computadora con Windows no esta destinada para
realizar funciones de servidor (por ejemplo compartir archivos o
impresoras con otros usuarios), "Compartir archivos e impresoras
para Redes Windows" debe ser deshabilitado.
Para los usuarios que exportan recursos compartidos, asegurarse que
es requerida la autenticación de usuarios y que cada cuenta tienen
una contraseña bien elegida. Además, considerar usar un firewall
para controlar las computadoras que pueden acceder a estos recursos
compartidos.
De forma predeterminada, Windows NT, 2000 y XP crean ciertos
recursos administrativos compartidos de forma oculta. Ver "HOW TO:
Create and Delete Hidden or Administrative Shares on Client
Computers"
<http://support.microsoft.com/default.aspx?scid=kb;en-us;Q314984&sd=tech>
para una mejor guía en el manejo de este tema.
* Usar un Firewall
El UNAM-CERT también recomienda usar un firewall como un dispositivo
de red o un programa de firewall personal. En algunas situaciones,
estos productos son capaces de alertar a los usuarios del hecho de
que su máquina ha sido comprometida. Además, tienen la habilidad de
bloquear intrusos de acceder a puertas traseras sobre la red. Sin
embargo, un firewall no puede detectar o detener todos los ataques,
así que es importante continuar con las prácticas de cómputo seguro.
* Recuperarse de un sistema comprometido
Si cree que un sistema bajo su control administrativo ha sido
comprometido, siga los pasos en Pasos para la recuperación de un
sistema Unix o NT comprometido
<http://www.cert.org/tech_tips/win-UNIX-system_compromise.html>.
------------------------------------------------------------------------
* Referencias
* Paxson, V., Staniford, S., Weaver, N. "How to 0wn the Internet
in Your Spare Time"
http://www.icir.org/vern/papers/cdc-usenix-sec02/index.html
* Moore, D., Paxson, V., Savage, S., Shannon, S., Staniford, S.,
Weaver, N. "The Spread of the Sapphire/Slammer Worm"
http://www.cs.berkeley.edu/~nweaver/sapphire/
------------------------------------------------------------------------
INFORMACIÓN
-----------
Este documento se encuentra disponible en su formato original en la
siguiente direccion:
http://www.cert.org/incident_notes/IN-2003-01.html
http://www.seguridad.unam.mx
http://www.unam-cert.unam.mx
Para mayor informacion acerca de esta nota de seguridad contactar a:
UNAM CERT
Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Computo
DGSCA - UNAM
E-Mail : unam-cert en seguridad unam mx
http://www.unam-cert.unam.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel : 56 22 81 69
Fax : 56 22 80 43
- --
Juan Carlos Guel Lopez
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
DGSCA, UNAM E-mail: unam-cert en seguridad unam mx
Circuito Exterior, C. U. Tel.: 5622-81-69 Fax: 5622-80-43
Del. Coyoacan WWW: http://www.seguridad.unam.mx
04510 Mexico D. F. WWW: http://www.unam-cert.unam.mx
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8
iQEVAwUBPwdzz3AvLUtwgRsVAQHFWQf9EDl4dA5t+8u794aN1PlRzUxq90xgD2YF
2sDOiu6xVOAwK65W7Xuce/yj4arJEHNqEPLMfGrDbDAyGHaYWIDhzvprNl/TiKEc
QXpH02Dn8mNrkLHzcoVUmpaKvzM06Vr4KkkdeZdbJyCK759WuW5fkzict6qM9NKg
RgbtRLwzY0GC/EyybDn+Ido8Nct6CXyAn0G4JxWkWdN5Kf+xbKZ0l9wnuNxcapOA
ovtAksXBuLi/+BeeY03bktFo90bg16eaGCA4iciFyi998yJsVgIXZwIEvdv8xgt0
7vPGsQpfl1zQnGmLcMZqbXcqeP23lY4Gc4QkJD7M2AHhwHsBIHf6FA==
=bZcI
-----END PGP SIGNATURE-----
--
Lista de soporte de LinuxPPP
Dirección email: Linux en linuxppp com
Dirección web: http://mail.linuxppp.com/mailman/listinfo/linux
Reglas de la lista: http://linuxppp.net/reglas.html