Diferencia entre revisiones de «Mantenimiento y Montaje de Equipos Informáticos/Tema 8/Malware y Antivirus»
Contenido eliminado Contenido añadido
Sin resumen de edición Etiqueta: Revertido |
Etiqueta: Revertido |
||
Línea 34:
Google ha descubierto que '''una de cada 10 páginas web''' que han sido analizadas a profundidad '''puede contener los llamados ''drive-by downloads''''', que son sitios que instalan spyware o códigos que '''dan información de los equipos''' sin que el usuario se percate.
Las técnicas conocidas como rootkits modifican el sistema operativo de una computadora para permitir que el
malware permanezca oculto al usuario. Por ejemplo, los rootkits evitan que un proceso malicioso sea visible en la
lista de procesos del sistema o que sus ficheros sean visibles en el explorador de archivos. Este tipo de
modificaciones consiguen ocultar cualquier indicio de que el ordenador esta infectado por un malware.
Troyanos
El término troyano suele ser usado para designar a un malware que permite la administración remota de una
computadora, de forma oculta y sin el consentimiento de su propietario, por parte de un usuario no autorizado.
Este tipo de malware es un híbrido entre un troyano y una puerta trasera, no un troyano atendiendo a la definición.
Keyloggers
Los keyloggers monitorizan todas las pulsaciones del teclado y las almacenan para un posterior envío al creador. Por
ejemplo al introducir un número de tarjeta de crédito el keylogger guarda el número, posteriormente lo envía al autor
del programa y este puede hacer pagos fraudulentos con esa tarjeta. Si las contraseñas se encuentran recordadas en el
equipo, de forma que el usuario no tiene que escribirlas, el keylogger no las recoge, eso lo hacen los stealers. La
mayoría los keyloggers son usados para recopilar contraseñas de acceso pero también pueden ser usados para espiar
conversaciones de chat u otros fines.
Programas anti-malware
Como los ataques con malware son cada vez más frecuentes, el interés ha empezado a cambiar de protección frente a
virus y spyware, a protección frente al malware, y los programas han sido específicamente desarrollados para
combatirlos. Generalmente se aplican a sistemas operativos populares como la familia Windows o OS X
Los programas anti-malware pueden combatir el malware de dos formas:
• Proporcionando protección en tiempo real (real-time protection) contra la instalación de malware en una
computadora. El software anti-malware escanea todos los datos procedentes de la red en busca de malware y
bloquea todo lo que suponga una amenaza.
• Detectando y eliminando malware que ya ha sido instalado en una computadora. Este tipo de protección frente al
malware es normalmente mucho más fácil de usar y más popular.32 Este tipo de programas anti-malware
Mantenimiento y Montaje de Equipos Informáticos/Texto completo 194
escanean el contenido del registro de Windows, los archivos del sistema operativo, la memoria y los programas
instalados en la computadora. Al terminar el escaneo muestran al usuario una lista con todas las amenazas
encontradas y permiten escoger cuales eliminar.
Métodos de protección
Protección a través del número de cliente y la del
generador de claves dinámicas
Siguiendo algunos sencillos consejos se puede aumentar
considerablemente la seguridad de una computadora, algunos son:
• Protección a través del número de cliente y la del generador de
claves dinámicas
• Tener el sistema operativo y el navegador web actualizados.
• Tener instalado un antivirus y un firewall y configurarlos para
que se actualicen automáticamente de forma regular ya que
cada día aparecen nuevas amenazas.
• Utilizar una cuenta de usuario con privilegios limitados, la
cuenta de administrador solo debe utilizarse cuándo sea
necesario cambiar la configuración o instalar un nuevo
software.
• Tener precaución al ejecutar software procedente de Internet o de medio extraíble como CD o memorias USB. Es
importante asegurarse de que proceden de algún sitio de confianza.
• Una recomendación en tablet, teléfono celular y otros dispositivos móviles es instalar aplicaciones de tiendas muy
reconocidas como App Store, Google Play o Nokia Store, pues esto garantiza que no tendrán malware.
• Evitar descargar software de redes P2P, ya que realmente no se sabe su contenido ni su procedencia.
• Desactivar la interpretación de Visual Basic Script y permitir JavaScript, ActiveX y cookies sólo en páginas web
de confianza.
• Utilizar contraseñas de alta seguridad para evitar ataques de diccionario.
Es muy recomendable hacer copias de respaldo regularmente de los documentos importantes a medios extraíbles
como CD o DVD para poderlos recuperar en caso de infección por parte de algún malware.
Otras utilidades
KeyLogger [222]
Una base de datos de un keylogger tipo software.
Un keylogger (derivado del inglés: key (tecla) y logger
(registrador); registrador de teclas) es un tipo de software o
un dispositivo hardware específico que se encarga de
registrar las pulsaciones que se realizan en el teclado, para
posteriormente memorizarlas en un fichero o enviarlas a
través de internet.
Suele usarse como malware del tipo daemon, permitiendo
que otros usuarios tengan acceso a contraseñas importantes,
como los números de una tarjeta de crédito, u otro tipo de
información privada que se quiera obtener.
El registro de lo que se teclea puede hacerse tanto con
medios de hardware como de software. Los sistemas
Mantenimiento y Montaje de Equipos Informáticos/Texto completo 195
comerciales disponibles incluyen dispositivos que pueden conectarse al cable del teclado (lo que los hace
inmediatamente disponibles pero visibles si un usuario revisa el teclado) y al teclado mismo (que no se ven pero que
se necesita algún conocimiento de como soldarlos para instalarlos en el teclado). Escribir aplicaciones para realizar
keylogging es trivial y, como cualquier programa computacional, puede ser distribuido a través de un troyano o
como parte de un virus informático o gusano informático. Se dice que se puede utilizar un teclado virtual para evitar
esto, ya que sólo requiere clics del ratón. Sin embargo, las aplicaciones más nuevas también registran screenshots
(capturas de pantalla) al realizarse un click, que anulan la seguridad de esta medida.
Funcionamiento
Un keylogger tipo hardware.
El registro de las pulsaciones del teclado se puede alcanzar por medio de
hardware y de software:
• Keylogger con hardware. Son dispositivos disponibles en el mercado
que vienen en tres tipos:
• Adaptadores en línea que se intercalan en la conexión del teclado,
tienen la ventaja de poder ser instalados inmediatamente. Sin
embargo, mientras que pueden ser eventualmente inadvertidos se
detectan fácilmente con una revisión visual detallada.
• Dispositivos que se pueden instalar dentro de los teclados estándares, requiere de habilidad para soldar y de
tener acceso al teclado que se modificará. No son detectables a menos que se abra el cuerpo del teclado.
• Teclados reales del reemplazo que contienen el Keylogger ya integrado. Son virtualmente imperceptibles, a
menos que se les busque específicamente.
• Keylogger con software. Los keyloggers de software se dividen en:
• Basado en núcleo: residen en el nivel del núcleo y son así prácticamente invisibles.
• Enganchados: estos keyloggers registran las pulsaciónes de las teclas del teclado con las funciones
proporcionadas por el sistema operativo.
Instalación
Paso Descripción
Ejecutar en el terminal
1 Actualizar repositorios locales sudo apt-get update
2 instalar photrec y testdisk sudo apt-get install logkeys
Configuración en una máquina virtual
Paso Descripción
Ejecutar en el terminal
1 Editar fichero de configuración "gedit /etc/default/logkeys"
y modificamos el contenido del fichero
ENABLED=1 LOGFILE=/var/log/logkeys
DEVICE=/dev/input/event2 #teclado máquna virtual
2 crea fichero de resultados sudo touch /var/log/logkeys
3 cambio permisos del fichero de resultados sudo chmod 0777 /var/log/logkeys
4 reinicia servicio keylogger sudo /etc/init.d/logkeys start
4 al teclear algo, lo comprobamos cat /var/log/logkeys
Mantenimiento y Montaje de Equipos Informáticos/Texto completo 196
Protección
teclado virtual anti keylogger
En algunas computadoras podemos darnos cuenta si están infectadas
por un keylogger (dependiendo de la velocidad y uso de CPU de
nuestro procesador) por el hecho de que el programa registrara cada
una de nuestras teclas de la siguiente manera: FicheroLog =
FicheroLog + UltimaTecla, este evento será ejecutado por el keylogger
cada vez que el usuario presione una tecla. Si bien este evento no será
una carga relevante para nuestro procesador si se ejecuta a una
velocidad normal, pero si mantienes unas 10 teclas presionadas por
unos 30 segundos con la palma de tu mano y tu sistema se congela o su
funcionamiento es demasiado lento podríamos sospechar que un
keylogger se ejecuta sobre nuestro computador. Otro signo de que un
keylogger se está ejecutando en nuestro computador es el problema de
la tilde doble (´´) al presionar la tecla para acentuar vocales, salen dos tildes seguidas y la vocal sin acentuar. Esto
ocurre en keyloggers configurados para otros idiomas.
La banca electrónica utiliza teclados virtuales para evitar teclear. Al utilizar el ratón, solo registrará las posiciones
del teclado virtual de la sitio web y este teclado varía en cada actualización de la página.
Recuperación de ficheros borrados de la papelera PhotoRec [223]
PhotoRec es una herramienta gratuita y de código abierto utilizada para recuperar archivos perdidos de la
memoria de las cámaras digitales (CompactFlash, Memory Stick, Secure Digital, SmartMedia, Microdrive, MMC,
unidades flash USB, etc), los discos duros y CD-ROMs. Recupera formatos de fotos más comunes, incluyendo
JPEG, y también recupera archivos de audio como MP3, formatos de documentos como OpenDocument, Microsoft
Office, PDF y HTML y formatos de archivo, incluyendo ZIP. El usuario puede añadir nuevos tipos de archivo
indicando la extensión del archivo, una cadena de datos a buscar y la posición de la cadena en el archivo.
Funcionamiento
Los sistemas de archivo FAT, NTFS, ext2/ext3/ext4 guardan los archivos en bloques de datos. El tamaño del bloque
es constante. En general, la mayoría de los sistemas operativos intentan guardar los datos de forma contigua para
minimizar el nivel de fragmentación.
Cuando un archivo es eliminado, la meta información sobre este archivo (Nombre, fecha/hora, tamaño, ubicación del
primer bloque ó cluster, etc.) se pierden; por ejemplo, en un sistema ext3/ext4, los nombres de los archivos
eliminados siguen presentes, pero la ubicación del primer bloque de datos es eliminada. Esto significa que los datos
siguen estando presentes, pero solamente hasta que sean sobreescritos en parte o por completo por un nuevo archivo.
Para recuperar estos archivos 'perdidos', PhotoRec primero intenta encontrar el tamaño del bloque. Si el sistema de
archivos no está dañado, este valor puede ser leído de su índice. Si no lo puede leer, PhotoRec lee toda la partición,
sector por sector.
Mantenimiento y Montaje de Equipos Informáticos/Texto completo 197
Instalación
Paso Descripción
Ejecutar en el terminal
1 Actualizar repositorios locales sudo apt-get update
2 instalar photrec y testdisk sudo apt-get install testdisk
Utilización
Paso Descripción Captura del programa
1 En un terminal sudo photorec
2 Los dispositivos disponibles son listados. Usar las flechas de arriba/abajo para seleccionar el disco que
contiene los archivos perdidos. Presionar Enter para continuar.
3 Seleccionar el tipo de tabla de particionamiento, generalmente el valor por defecto es el correcto ya que
PhotoRec auto-detecta el tipo de tabla de partición.
4 Selección de partición del disco donde están los ficheros a recuperar. Seleccionar:
• Search luego de elegir la partición que contiene los archivos perdidos para comenzar con la
recuperación,
• Options para modificar las opciones,
• File Opt para modificar la lista de archivos recuperados por PhotoRec.
5 Opciones de PhotoRec:
• Paranoid Por defecto, los archivos recuperados son verificados y los inválidos, rechazados.
• Habilitar bruteforce para recuperar más archivos JPEG fragmentados, teniendo en cuenta que esta
opción tiene un alto impacto en el rendimiento del CPU.
• Habilitar Keep corrupted files para conservar los archivos, incluso cuando son inválidos para permitir
el uso de otras herramientas sobre estos datos.
6 Selección de archivos a recuperar. Habilitar o deshabilitar la recuperación de ciertos tipos de archivos con
las flechas ↑ y ↓ para moverse y espacio para seleccionar
7 Tipo de Sistema de ficheros. Una vez que la partición ha sido seleccionada y validada con Search,
PhotoRec necesita saber como los bloques de datos son distribuídos. Al menos que se use ext2/ext3,
seleccionar Other.
8 PhotoRec puede buscar archivos en
• WHOLE: toda la partición (útil si la partición esta severamente dañada) ó
• FREE: solamente del espacio no atribuído (unallocated) (Disponible para ext2/ext3,
FAT12/FAT6/FAT32 y NTFS). Con esta opción solamente los archivos eliminados son recuperados.
9 Seleccionar la carpeta donce se ubicarán los archivos recuperados. Es recomendable seleccionar una
unidad distinta a la que será analizada, o de lo contrario se corre peligro de sobreescribir los datos que se
intentan recuperar.
Mantenimiento y Montaje de Equipos Informáticos/Texto completo 198
10 Recuperación en progreso puede tardar varias horas, depende de las opciones elegidas. La cantidad de
archivos recuperados es actualizada en tiempo real. Durante la primera pasada, PhotoRec busca los
primeros 10 archivos para determinar el tamaño de los bloques. Durante la siguiente pasada, los archivos
son recuperados incluyendo algunos archivos fragmentados. Los archivos recuperados son escritos en los
subdirectorios recup_dir.1, recup_dir.2... . Es posible acceder los archivos incluso si la recuperación no
terminó.
11 La recuperación está completa.
Cortafuegos Gufw [224]
Gufw es una interfaz gráfica de software libre para ufw (Uncomplicated FireWall), publicado por primera vez en
Ubuntu 8.04.
Instalación
Paso Descripción
Ejecutar en el terminal
1 Actualizar repositorios locales sudo apt-get update
2 instalar gufw sudo apt-get install gufw
Configurar
Acción Descripción
Captura
Ejecutar y
Activar
Para acceder a Gufw, vete al menú: Sistema->Administración->Configuración Cortafuegos.
Por defecto, el cortafuegos está desactivado.
Para activarlo, simplemente pulsa en Activar y por defecto el tráfico será establecido a
Denegar conexiones entrantes y Permitir conexiones salientes.
Pestaña
Preconfigurada
La pestaña Preconfigurada proporciona opciones para controlar las aplicaciones y servicios
más comunes.
Pestaña Añadir
reglas
Pulsa en el botón Añadir y aparecerá una ventana. Las reglas pueden configurarse para los
puertos TCP, UDP o ambos, incluyendo algunas aplicaciones/servicios preconfigurados. Las
opciones disponibles son Permitir, Denegar, Rechazar y Limitar:
• Permitir: Se permitirá el tráfico entrante para un puerto.
• Denegar: Se denegará el tráfico entrante para un puerto.
• Rechazar: Se rechazará el tráfico entrante para un puerto, informando del rechazo al
sistema que solicita la conexión.
• Limitar: Se limitará el intento de conexiones denegadas. Si una dirección IP intenta iniciar
6 o más conexiones en los últimos 30".
Mantenimiento y Montaje de Equipos Informáticos/Texto completo 199
CCleaner [225]
CCleaner es una aplicación gratuita, de código cerrado, que tiene como propósito mejorar el rendimiento de
cualquier equipo que ejecute Microsoft Windows mediante la eliminación de los archivos innecesarios y las
entradas inválidas del registro de Windows (REGEDIT). También cuenta con la posibilidad de desinstalar
programas desde su interfaz e inhabilitar la ejecución de aplicaciones en el inicio del sistema para mejorar la
velocidad de arranque.
• DLLs compartidas faltantes.
• Extensiones de archivos inválidas.
• Entradas de ActiveX y Class.
• Tipo de Librerías.
• Aplicaciones
• Fuentes
• Rutas de aplicación.
• Archivos de ayuda.
• Instalador
• Programas obsoletos.
• Ejecución en el Inicio.
• Clasificación del menú de Inicio.
• Cache MUI
Instalación
Paso Descripción
Ejecutar en el terminal
1 Desde el sitio web oficial http://www.ccleaner.com/
Utilización
Navegando por las pestañas, se debe buscar las entradas inválidas del registro Windows. Antes de pulsar borrar, se
debe realizar la copia de seguridad que aconseja. Cuando se reinicie varias veces el computador y se realicen
varias tareas y no hay problemas, se puede borrar la copia de seguridad.
|