Posts tagged ‘software maligno’

16/11/2010

Reputación empresarial y “Actos de Dios”

En el año 2006 una parte importante de las empresas norteamericanas -algunas estimaciones la cifran en un 50%- admitió haber sufrido pérdidas de información vital para el negocio en el transcurso de los 12 meses anteriores. La sustracción de archivos confidenciales (sobre todo con información personal sobre clientes) supone un severo perjuicio para aquellas organizaciones a las que se supone expertas en la gestión de datos confidenciales, como bancos, portales de subastas, librerías online, etc. Del menoscabo de la confianza no tarda en seguirse una sangría de dinero, por efecto de de la pérdida de ventas, multas impuestas por la autoridad e innumerables pleitos y conflictos jurídicos que obligan a pagar minutas astronómicas a los abogados. Además del robo de datos existen otras maniobras que pueden dañar seriamente el prestigio de la empresa: la piratería de producto, el phishing basado en la imitación fraudulenta de logos y portales corporativos y la instalación de código maligno en los servidores web. Un solo incidente de seguridad puede llegar a costar millones de dólares. La publicidad negativa que genera, con la pérdida subsiguiente de prestigio de la marca, los gastos en defensa legal y la pérdida de cuota de mercado en favor de la competencia, no son riesgos meramente anecdóticos sino reales como lo prueba la sección de economía de cualquier periódico.

La empresa moderna se halla expuesta a una competencia brutal en cualquier segmento de mercado en el que decida trabajar. A su vez el cliente se encuentra sometido a un bombardeo incesante de publicidad y consultoría con el objeto de persuadirle para que compre tal o cual servicio. Este ataque por parte de los departamentos de marketing lo irrita, confunde y vuelve impredecible ante las diversas opciones de compra que se le presentan. Por lo general el cliente tenderá a comprar de una casa que le resulte conocida antes que de otra que no. De ahí el valor de las marcas y el hecho de que estas posean hoy una importancia estratégica mucho mayor que en ningún otro momento de la historia.

Los incidentes de seguridad y el robo de datos afectan a las marcas en el sensible entorno de su credibilidad. Porque en los tiempos que corren la reputación no solo es importante. La reputación lo es todo. Sin embargo, a diferencia de las catástrofes naturales, guerras, huelgas salvajes y resto de esos incidentes que en los contratos de seguro figuran mencionados como “actos de Dios”, la pérdida de información en las empresas se puede evitar mediante la introducción de políticas, buenas prácticas y una tecnología de seguridad adecuada. El que quede tanto por hacer, pese a las escalofriantes estadísticas de la delincuencia informática que se van acumulando año tras año, no quiere decir que la prevención sea algo costoso o técnicamente complicado, sino más bien que la negligencia, la estupidez y la tendencia a procrastinar del ser humano también deben ser incluidas en ese apartado contractual referente a los Actos de Dios.

25/06/2010

¿Cuál es la diferencia entre el software antiespía y los antivirus?

Para entenderlo, y de paso comprender también por qué existen programas distintos para ambas cosas, en primer lugar hace falta preguntarse en qué se diferencianlos virus informáticos del llamado software espía. El término “software espía” o “spyware” se refiere a lo que el programa hace -extraer información del ordenador del usuario con fines comerciales o delictivos-, mientras que “virus” implica un fenómeno de expansión incontrolada de software parásito. Obviamente se produce un solapamiento: algunas aplicaciones espía se propagan explosivamente como los virus, mientras que determinados virus funcionan como programas espía. Puesto que ambos tipos de programa coinciden en parte, cabe suponer que el usuario necesita herramientas distintas para protegerse de ellos, pero no es asi. Tanto los programas antiespía como el software antivirus funcionan del mismo modo: rastrean archivos de programa malignos, examinan las ubicaciones del Registro de Windows donde se inician aplicaciones automáticamente durante el arranque, bloquean archivos y los ponen en cuarentena, etc.

La diferencia está en que el software antiespía busca solamente programas fisgones mientras que los antivirus intentan detectar todo tipo de malware. El primero es gratis, mientras que por los segundos a veces hay que pagar licencias o suscripciones. Además las herramientas antispyware funcionan de una manera menos agresiva, mientras que un antivirus analiza todos los archivos leídos y escritos asi como cada programa que quiere ejecutarse. Sin embargo, cualquier antivirus que se precie debe realizar ambos tipos de funciones. ¿Por qué entonces existen dos tipos de herramientas? ¿Simplemente para sacarnos el dinero del bolsillo? ¿O existen razones más complejas relacionadas con el diseño y la evolución histórica de nichos de mercado?

Cuando los primeros espías aparecieron en escena con una finalidad comercial -hacer aparecer pop-ups en el navegador o redirigir el tráfico a determinadas páginas sin consentimiento del usuario- algunos programadores desarrollaron herramientas gratuitas de detección y eliminación para ponerlas al servicio de una comunidad agobiada por esta nueva e intrusiva forma de contaminación publicitaria. Los fabricantes de antivirus, que trabajaban en un segmento de negocio ya consolidado, tardaron en incorporar software antiespía a sus productos porque temían a las demandas de otras empresas. Hubo casos en los que se llegó a juicio porque una aplicación antiespía bloqueaba programas normales cuyo cometido era facilitar tareas de administración remota o actualización de software, o cuantificar respuestas comerciales a los anuncios mostrados por el navegador. De este modo los antiespía gratuitos lograron hacerse un hueco en el mercado, y asi es como hoy tenemos a ambos: el antivirus como producto de primera clase con funciones de seguridad global y los antiespía gratuitos -o muy económicos- especializados en un solo tipo de amenaza, de gran importancia por ser también la más frecuente.

Al usuario normal no le interesan este tipo de cosas: solo quiere saber cuál de los dos debería utilizar. Y la respuesta es que ambos. Lo único que debe tener en cuenta es que no resulta conveniente tener más que un solo antivirus instalado en su ordenador, debido al elevado consumo de recursos -¿Algún usuario de Panda entre los lectores?- y al hecho de que los productos de las diferentes casas tienen la mala costumbre de interferirse entre sí. Pero sí es posible, y hasta recomendable, tener una herramienta antiespía funcionando en paralelo con el antivirus. Se puede incluso añadir una segunda (p. ej. Ad-Aware después de Windows Defender, o a viceversa), sin problemas de incompatibilidad ni de penalización del rendimiento. Cuatro ojos vigilan más que dos.

(Extractado de Scott Mueller y Brian Knittel: “Upgrading and Repairing Microsoft Windows” – Que 2005)

24/05/2009

Rootkits de cuarta generación

RootkitcodeMicrosoft Inc. forma parte de la conspiración mundial, del contubernio, del Número de la Bestia y de toda suerte de manejos relacionados con ese comodín mediático que denominamos el Eje del Mal, otorgándole después el significado que mejor convenga. Pero no por sus oscuras manipulaciones para limitar la competrencia empresarial, porque de eso nadie se ve libre ni justificado para lanzar la primera piedra. Todos, salvo Linus Torvalds, han sido cocineros antes que monjes. Y algunos incluso madamas de burdel. No, lo que convierte a los sistemas operativos de Microsoft en un heile Welt burgués apoyado sobre cimientos tenebrosos es la conjunción de dos hechos que constituyen el signo de los tiempos: primero, casi todo el mundo tiene Windows 2000, XP o Vista instalado en su ordenador, y lo utiliza para casi todo: el ocio, el trabajo, los negocios, las relaciones interpersonales y la seguridad nacional. Segundo, los sistemas poseen unas determinadas características de diseño y funcionamiento (hasta cierto punto inevitables) que los hacen vulnerables al ataque de los rootkits.

¿Hemos leído bien? ¿Nos está diciendo que los virus no son la principal lacra del universo Windows? Pues eso, ni más ni menos. Los virus, la publicidad no deseada y el spam se combaten mal que bien con la prudencia del usuario y software especializado. Pero para comprender lo que significa la amenaza de los rootkits, imagine que su ordenador le miente ocultando archivos o falseando la cifra sobre espacio disponible en el disco duro, que le espía y le roba sus datos, que cuando usted no mira realiza tareas de fondo a las órdenes de una red delictiva o de una agencia gubernamental. Imagínese que no hay modo de detectarlo, salvo llamando a la experta en software maligno Joanna Rutkowska, de la empresa Invisible Things. Entonces sí que comenzará a preocuparse.

Los primeros rootkits fueron diseñados a finales de los 80 del siglo pasado para sistemas Unix, y consistían en versiones modificadas de comandos típicos como ‘ls’ o ‘ps’, que al ser ejecutados ocultaban los archivos y procesos del pirata. Para protegerse de ellos los administradores solían comparar los programas instalados con listas de hashes o utilizar comandos ‘limpios’ desde diskettes o CD-ROMs. Hacia el cambio de milenio comenzaron a extenderse los denominados rootkits de segunda generación, en los que se modificaba el flujo de ejecución a base de alterar las estructuras de datos del kernel, más difíciles de detectar, ya que el sistema engañaba al usuario aun estando limpios los comandos.

Los rootkits de tercera generación, mucho más recientes, son capaces de alterar las estructuras de datos del kernel de modo dinámico, modificando la memoria a través del objeto //PhysicalMemoryDevice. Finalmente existe una cuarta generación de software malicioso, descubierto en 2006, que explota las características hardware de virtualización de los nuevos procesadores de AMD, funcionando en modo hipervisor por debajo del propio sistema operativo. Asi, un rootkit como blue pill, diseñado por Joanna Rutkowska para MS-Vista, podría atrapar una instancia en ejecución del sistema operativo en una máquina virtual, actuando como hipervisor y obteniendo un control absoluto de la máquina. La única defensa practicable contra este tipo de rootkits consiste en desactivar en la BIOS las extensiones de virtualización.

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.