[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE----- ------------------------------------------------------------------ UNAM-CERT Departamento de Seguridad en Computo DGSCA- UNAM Nota de Seguridad UNAM-CERT 2003-005 Propagación de Código Malicioso y Actualización de Programas Antivirus ------------------------------------------------------------------------ SISTEMAS AFECTADOS ------------------ * Sistemas que sean susceptibles de ser afectados por virus y gusanos DESCRIPCIÓN ----------- Reportes recientes al UNAM-CERT han alertado sobre dos problemas principales: * La velocidad de propagación de los virus está en incremento. Esto refleja la tendencia hacia tasas mas rápidas de propagación observadas en los pasados años en la autopropagación de código malicioso (por ejemplo gusanos). Iniciando con el gusano Código Rojo (Boletín UNAM-CERT-2001-020 <http://www.unam-cert.unam.mx/Boletines/Boletines2001/boletin-UNAM-CERT-2001-020.html> y UNAM-CERT-2001-024 <http://www.unam-cert.unam.mx/Boletines/Boletines2001/boletin-UNAM-CERT-2001-024.html>) en el 2001, terminando con el gusano Slammer (Boletín UNAM-CERT-2003-004 <http://www.unam-cert.unam.mx/Boletines/Boletines2003/boletin-UNAM-CERT-2003-004.html>) a principios de este año, se ha visto que los tiempos de propagación de estos gusanos se han reducido de horas a minutos. Una tendencia similar de semanas a horas ha surgido en la arena de los virus (código malicioso que no se auto propaga). La efectividad de los programas antivirus sufre como un resultado. Muchos incidentes recientes de código malicioso involucran variantes de W32/BugBear y W32/Sobig que han logrado tasas de propagación significativamente más rápidas que muchos virus vistos anteriormente. Este incremento de velocidad es desafortunadamente también mucho mas rápida que las actualizaciones de firmas y de patrones que las compañías de antivirus realizan, asi mismo se refleja en los métodos de actualización que las compañías de antivirus llevan a cabo (incluyendo actualizaciones de patrones de virus conocidos de forma automatizada). El UNAM-CERT ha recibido reportes de equipos que presentan casos de W32/Sobig.E de diversos usuarios en los cuales las firmas y actualizaciones correspondían a las versiones anteriores de W32/Sobig. Los programas antivirus basados en firmas no son los únicos programas antivirus en riesgo: los programas antivirus que usan la heurística para determinar el comportamiento malicioso pueden ser burlados por técnicas nuevas empleadas por el código malicioso. Los programas antivirus basados en la heurística no son completamente confiables debido a que no siempre pueden bloquear la ejecución de código malicioso. Adicionalmente, estamos enterados de casos donde actualizaciones corruptas de programas antivirus han causado que el programa sea deshabilitado sin el conocimiento del usuario. * En un número de reportes, usuarios que fueron comprometidos pueden haber estado bajo la impresión incorrecta con que solo tener un programa antivirus instalado fue suficiente para protegerlos de todos los ataques de código malicioso. Esto es simplemente una suposición equivocada, y los usuarios deben tener precaución cuando manejen archivos adjuntos en el correo electrónico u otro código o datos de fuentes poco fidedignas. En general, es importante recordar que mientras los fabricantes de software antivirus continuan mejorando la velocidad y confiabilidad de sus mecanismos de actualización de firmas, siempre existirá algún período de tiempo cuando un sistema no tiene firmas para detectar un gusano o virus particular. Muchos documentos de investigaciones recientes que han estimado sobre la magnitud del peor escenario de las tasas de propagación de código malicioso también muestran el riesgo durante el período de tiempo antes que los patrones y firmas para actualizaciones de las compañías de antivirus lo tengan disponible en su sitio. SOLUCIONES ---------- * Aplicar "Defensa a Fondo" Como se mencionó antes, no es suficiente confiar solamente en programas antivirus para una protección completa. Por lo tanto, se recomienda a los usuarios aplicar una estrategia de "defensa a fondo" (donde son utilizadas muchas capas de seguridad o control de acceso) cuando se consideren formas de proteger las computadoras de intrusos. Aunque ésto puede no ser práctico para todos los usuarios, otra forma de lograr defensa a fondo es utilizar diversos programas y sistemas operativos cuando sea posible. Algunas formas adicionales para mejorar la seguridad va mas alla del uso de programas antivirus. Ademas de los pasos siguientes mostrados en esta sección, el UNAM-CERT recomienda a los usuarios caseros revisar los documentos "Home Network Security" <http://www.cert.org/tech_tips/home_networks.html> y "Home Computer Security" <http://www.cert.org/homeusers/HomeComputerSecurity/>. * Ejecutar y mantener un producto antivirus. Debido a que un programa antivirus actualizado no protege contra todo el código malicioso, para muchos usuarios sigue siendo la primer línea de defensa contra ataques de código malicioso. Muchos fabricantes de programas antivirus liberan frecuentemente información actualizada, herramientas o bases de datos de virus para ayudar a detectar y recuperar de código malicioso, incluyendo W32/Bugbear.B y W32/Sobig.E. Por lo tanto, es importante que los usuarios mantengan su programa antivirus actualizado. El UNAM-CERT mantiene una lista parcial de fabricantes de antivirus:. # http://www.pandasoftware.es # http://www.bitdefender-es.com # http://www.trendmicro.com <http://www.trendmicro.com/> # http://esp.sophos.com # http://www.ravantivirus.com # http://securityresponse.symantec.com # http://www.viruslist.com Muchos paquetes antivirus soportan actualización automática de definición de virus. El UNAM-CERT recomienda usar estas actualizaciones automáticas cuando estén disponibles. * No ejecutar programas de origen desconocido Nunca descargar, instalar o ejecutar programas a menos que conozca que son creados por una persona o compañía en la cual confie. Usuarios de correo electrónico deben ser cautelosos de archivos adjuntos inesperados, mientras que los usuarios de salones de conversación (IRC por sus siglas en inglés), mensajería instatánea (IM por sus siglas en inglés) y servicios de archivos compartidos deben ser particularmente cautos de seguir vínculos o ejecutar programas enviados a ellos por otros usuarios, debido a que son métodos usados comúnmente entre los intrusos para intentar construir redes de agentes de negación de servicio distribuido (DDoS por sus siglas en inglés). * Deshabilitar o asegurar archivos compartidos Las mejores prácticas dictan una política de mínimos privilegios . Por ejemplo, si una computadora con Windows no esta destinada para realizar funciones de servidor (por ejemplo compartir archivos o impresoras con otros usuarios), "Compartir archivos e impresoras para Redes Windows" debe ser deshabilitado. Para los usuarios que exportan recursos compartidos, asegurarse que es requerida la autenticación de usuarios y que cada cuenta tienen una contraseña bien elegida. Además, considerar usar un firewall para controlar las computadoras que pueden acceder a estos recursos compartidos. De forma predeterminada, Windows NT, 2000 y XP crean ciertos recursos administrativos compartidos de forma oculta. Ver "HOW TO: Create and Delete Hidden or Administrative Shares on Client Computers" <http://support.microsoft.com/default.aspx?scid=kb;en-us;Q314984&sd=tech> para una mejor guía en el manejo de este tema. * Usar un Firewall El UNAM-CERT también recomienda usar un firewall como un dispositivo de red o un programa de firewall personal. En algunas situaciones, estos productos son capaces de alertar a los usuarios del hecho de que su máquina ha sido comprometida. Además, tienen la habilidad de bloquear intrusos de acceder a puertas traseras sobre la red. Sin embargo, un firewall no puede detectar o detener todos los ataques, así que es importante continuar con las prácticas de cómputo seguro. * Recuperarse de un sistema comprometido Si cree que un sistema bajo su control administrativo ha sido comprometido, siga los pasos en Pasos para la recuperación de un sistema Unix o NT comprometido <http://www.cert.org/tech_tips/win-UNIX-system_compromise.html>. ------------------------------------------------------------------------ * Referencias * Paxson, V., Staniford, S., Weaver, N. "How to 0wn the Internet in Your Spare Time" http://www.icir.org/vern/papers/cdc-usenix-sec02/index.html * Moore, D., Paxson, V., Savage, S., Shannon, S., Staniford, S., Weaver, N. "The Spread of the Sapphire/Slammer Worm" http://www.cs.berkeley.edu/~nweaver/sapphire/ ------------------------------------------------------------------------ INFORMACIÓN ----------- Este documento se encuentra disponible en su formato original en la siguiente direccion: http://www.cert.org/incident_notes/IN-2003-01.html http://www.seguridad.unam.mx http://www.unam-cert.unam.mx Para mayor informacion acerca de esta nota de seguridad contactar a: UNAM CERT Equipo de Respuesta a Incidentes UNAM Departamento de Seguridad en Computo DGSCA - UNAM E-Mail : unam-cert en seguridad unam mx http://www.unam-cert.unam.mx http://www.seguridad.unam.mx ftp://ftp.seguridad.unam.mx Tel : 56 22 81 69 Fax : 56 22 80 43 - -- Juan Carlos Guel Lopez UNAM-CERT Equipo de Respuesta a Incidentes UNAM DGSCA, UNAM E-mail: unam-cert en seguridad unam mx Circuito Exterior, C. U. Tel.: 5622-81-69 Fax: 5622-80-43 Del. Coyoacan WWW: http://www.seguridad.unam.mx 04510 Mexico D. F. WWW: http://www.unam-cert.unam.mx -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 iQEVAwUBPwdzz3AvLUtwgRsVAQHFWQf9EDl4dA5t+8u794aN1PlRzUxq90xgD2YF 2sDOiu6xVOAwK65W7Xuce/yj4arJEHNqEPLMfGrDbDAyGHaYWIDhzvprNl/TiKEc QXpH02Dn8mNrkLHzcoVUmpaKvzM06Vr4KkkdeZdbJyCK759WuW5fkzict6qM9NKg RgbtRLwzY0GC/EyybDn+Ido8Nct6CXyAn0G4JxWkWdN5Kf+xbKZ0l9wnuNxcapOA ovtAksXBuLi/+BeeY03bktFo90bg16eaGCA4iciFyi998yJsVgIXZwIEvdv8xgt0 7vPGsQpfl1zQnGmLcMZqbXcqeP23lY4Gc4QkJD7M2AHhwHsBIHf6FA== =bZcI -----END PGP SIGNATURE----- -- Lista de soporte de LinuxPPP Dirección email: Linux en linuxppp com Dirección web: http://mail.linuxppp.com/mailman/listinfo/linux Reglas de la lista: http://linuxppp.net/reglas.html