jueves, 25 de febrero de 2016

TEMA 4. EJERCICIO 6 SOFTWARE ANTIMALWARE

Busca información sobre dos ejemplos actuales y reales muy peligrosos  de códigos peligrosos maliciosos o malware (troyano, virus, gusanos, PWstealer. etc.), realiza primero una breve definicion y posteriormente analiza y explica: nombre del malware, archivo o método de propagación e infección, mecanismo de reparación manual.

En informática, se denomina caballo de Troya, o troyano, a un software malicioso que se presenta al usuario como un programa aparentemente legítimo e inofensivo, pero que, al ejecutarlo, le brinda a un atacante acceso remoto al equipo infectado.

Los troyanos pueden realizar diferentes tareas, pero, en la mayoría de los casos, crean una puerta trasera (en inglés backdoor) que permite la administración remota a un usuario no autorizado.


Un virus es un malware que tiene por objetivo alterar el funcionamiento normal del ordenador, sin el permiso o el conocimiento del usuario. Los virus, habitualmente, reemplazan archivos ejecutables por otros infectados con el código de este. Los virus pueden destruir, de manera intencionada, los datos almacenados en una computadora, aunque también existen otros más inofensivos, que solo producen molestias.
Los virus informáticos tienen, básicamente, la función de propagarse a través de un software, son muy nocivos y algunos contienen además una carga dañina (payload) con distintos objetivos, desde una simple broma hasta realizar daños importantes en los sistemas, o bloquear las redes informáticas generando tráfico inútil.
El funcionamiento de un virus informático es conceptualmente simple. Se ejecuta un programa que está infectado, en la mayoría de las ocasiones, por desconocimiento del usuario. El código del virus queda residente (alojado) en la memoria RAM de la computadora, incluso cuando el programa que lo contenía haya terminado de ejecutar. El virus toma entonces el control de los servicios básicos del sistema operativo, infectando, de manera posterior, archivos ejecutables que sean llamados para su ejecución. Finalmente se añade el código del virus al programa infectado y se graba en el disco, con lo cual el proceso de replicado se completa.

Un gusano informático (también llamado Worm) es un malware que tiene la propiedad de duplicarse a sí mismo.
Los gusanos utilizan las partes automáticas de un sistema operativo que generalmente son invisibles al usuario.
Los gusanos informáticos se propagan de computadora a computadora, pero a diferencia de un virus, tiene la capacidad a propagarse sin la ayuda de una persona. Lo más peligroso de los worms o gusanos informáticos es su capacidad para replicarse en el sistema informático, por lo que una computadora podría enviar cientos o miles de copias de sí mismo, creando un efecto devastador a gran escala.
A diferencia de un virus, un gusano no necesita alterar los archivos de programas, sino que se encuentra en la memoria y se duplica a sí mismo. Los gusanos casi siempre causan problemas en la red (aunque sea simplemente consumiendo ancho de banda), mientras que los virus siempre infectan o corrompen los archivos de la computadora que atacan.
Los gusanos se basan en una red de computadoras para enviar copias de sí mismos a otros nodos (es decir, a otras terminales en la red) y son capaces de llevar esto a cabo sin intervención del usuario, propagándose utilizando Internet, basándose en diversos métodos,

EJEMPLOS:


Dubbed Android/Lockerpin
Es lo último en amenazas para el sistema operativo Android.
Se inmiscuye en el celular, cambia el PIN (número de identificación personal) de desbloqueo e impide al propietario utilizar su propio dispositivo.
Es como si entrara en tu casa y te cerrara por dentro con llave, quedándote fuera y sin poder entrar.
El malware en cuestión se llama Dubbed Android/Lockerpin y ha sido descubierto por la empresa especializada en antivirus Eset.
Es una variedad de ransomware, un tipo de virus que crea una falsa amenaza en el dispositivo y exige al dueño un rescate a cambio de que pueda volver a usarlo.
Lockerpin suele camuflarse como una supuesta actualización del sistema.
Sin embargo, al instalarla lo que hace el usuario es otorgarle privilegios de administrador.
Con ellos accede a la configuración del celular y modifica el PIN con el que el dueño del aparato desbloquea la pantalla, dejándolo así sin posibilidad de manipular su propio teléfono inteligente.

Peligro camuflado

"Después de pulsar el botón (de desbloqueo), el dispositivo del usuario queda bloqueado", dice Lukeas Stefanko, investigador de Eset.
De momento el virus se oculta en aplicaciones relacionadas con la pornografía, pero los expertos advierten que, de llegar por ejemplo a Google Play, la plataforma de distribución digital de aplicaciones móviles para Android, la amenaza se extendería rápidamente.
Además, la cuestión no termina ahí.
Un tiempo después de que su celular haya sido infectado con este malwareel usuario recibe un mensaje en una falsa ventana, supuestamente de la policía u otra autoridad.Tras salir del mensaje, la pantalla del celular se desbloqueará.
Para poder volver a utilizar el celular, el usuario tendrá que hacerle un hard reset, restablecerlo de fábrica, esto es, eliminar todo aquello añadido a partir de la configuración inicial.
Con ello se borran todos los datos que el usuario almacenó en el terminal, así como los parámetros personalizados como el patrón de desbloqueo, los códigos de acceso de seguridad, etcétera.
Es la única manera, advierten los expertos.
Y es que, de intentar desinstalar Lockerpin, se generaría un nuevo número PIN de forma aleatoria que reemplazaría al establecido originalmente por el usuario.
Pero para no tener que enfrentarse a una situación así, los expertos recomiendan prevenir y desconfiar de las actualizaciones.



Koobface,
 Es un Gusano informático que ataca a usuarios de las redes sociales Facebook, MySpace, hi5, Bebo, Friendster y Twitter.Koobface intenta en última instancia, luego de una infección exitosa, obtener información sensible de las víctimas, como números de tarjetas de crédito.

Koobface se disemina enviando un mensaje mediante Facebook a las personas que son 'amigos' de la persona cuyo ordenador ha sido infectado. El mensaje contiene un asunto inocuo como (en inglés) "Paris Hilton Tosses Dwarf On The Street", "LOL", "My Friend catched [sic] you on hidden cam" y "My home video :)" seguido de un link. Después de recibido, el mensaje redirecciona al receptor a un sitio externo no afiliado con Facebook, donde se muestra una supuesta actualización del reproductor Flash de Adobe. Si el archivo es descargado y ejecutado, el ordenador será infectado con Koobface. El virus luego comanda las actividades de navegación, dirigiendo a los usuarios a sitios web contaminados cuando intentan acceder a motores de búsqueda como Google, Yahoo, Bing, y Ask.com.

Sus características son las siguientes:
  • Como cualquier gusano, busca alojarse y permanecer en el sistema del usuario, controlando ciertas acciones que en este caso es el login en una de las redes sociales mencionadas y la obtención de credenciales del usuario.
  • Se copia al sistema con distintos nombres según la versión analizada.
  • No tiene características de rootkit o alguna otra que dificulte su remoción.
  • Busca cookies y credenciales de login a las redes sociales.
  • Modifica la clave RUN del registro para autoejecutarse al encender el equipo.
  • Al instalarse por primera vez en el sistema, muestra un mensaje en inglés sobre la invalidez de un codec (“Error installing Codec. Please contact support”) y luego se autoelimina.
Si el usuario ingresa a una de las redes sociales mencionadas el gusano envía un mensaje a todos los contactos del mismo, con un enlace a un Youtube falso como se ve a continuación.


  • El contacto que caiga en la trampa e ingrese al sitio web verá un mensaje mencionado la falta de un codec y al descargarlo se infectará, continuando la cadena. Como puede verse este punto es el único que hace que el gusano tenga relación con una red social.
La solución es sencilla. Con un antivirus podemos eliminarlo.

Publicado por en No hay comentarios:

jueves, 18 de febrero de 2016

PREGUNTAS TEMA 3


1- Investiga sobre la finalidad y opciones de uso de la aplicación Windows SteadyState. ¿Qué opciones de configuración segura facilita?

Windows SteadyState permite gestionar hosts y devolverlos a su “estado original” una vez han sido utilizados. Se trata del sucesor de Shared Computer Toolkit, una herramienta ya existente, a la que se le han añadido diversas nuevas opciones. Esta aplicación nos permite gestionar diversos perfiles de usuario, modificando su configuración de forma agrupada, definiendo los permisos para cada uno de ellos, por lo que podremos limitar el acceso a ciertas opciones, como el panel de control o la gestión de red. Una vez realizadas estos bloqueos, será facilitar devolver el ordenador al estado inicial, simplemente reiniciándolo, aunque también podemos definir cuanto tiempo se mantendrán los cambios en el disco. Por ejemplo, en un aula de informática se podrían resetear cada vez que haya nuevos alumnos. Windows SteadyState funciona con Windows XP  y Windows Vista con el SP2 instalado y su descarga y uso son gratuitos. 

Permite la siguiente configuración: 

Configuración de privacidad:

  •  No mostrar los nombres de usuario en el cuadro de diálogo "Iniciar sesión en Windows": Con esta opción evitamos que todos los usuarios salgan listados al iniciar del sistema de tal forma que el usuario sólo podrá acceder a aquellas cuentas que conoce y le restringe a la hora de poder acceder a cuentas menos restrictivas en cuanto a permisos (Administrador ). 
  •  Impedir que inicien sesión los perfiles de usuario móviles o bloqueados que no se encuentren en el equipo: Con esta opción impedimos que el usuario pueda acceder a una cuenta de red o una existente que NO tenga perfil creado (el perfil suele crearse al iniciar por primera sesión en una cuenta y contiene todos los archivos para que dicha cuenta funcione correctamente; por defecto se guarda en C:/Documents and settings/nombre_cuenta_usuario en Windows XP y en C:/Users/nombre_cuenta_usuario en Windows Vista y 7). Un ejemplo de este tipo de cuentas es la cuenta de Invitado, creada al instalar Windows pero carece de perfil hasta que un usuario accede por primera vez. 
  • No almacenar en caché copias de perfiles móviles o bloqueados de usuarios que iniciaron sesión anteriormente en el equipo: Con esta opción hacemos que los dos tipos de cuentas comentadas en el anterior punto (en red y sin perfil) en el caso de que sean accedidas no conserven ningún dato en el disco duro (el perfil de la cuenta existirá de forma local durante el uso de la misma, una vez cerrada la sesión todos esos datos desaparecerán).

 Configuración de seguridad: 
  • Quitar el nombre de usuario Administrador de la pantalla de bienvenida: Está opción es parecida a la primera configuración de privacidad que hemos visto (No mostrar los nombres ) pero con dos diferencias; sólo se aplica a la cuenta de administrador y sólo para la pantalla de bienvenida.
  • Quitar las opciones Apagar y Desactivar del cuadro de diálogo "Iniciar Sesión en Windows" y la pantalla de bienvenida: Con esta opción imposibilitamos el apagado, hibernación, etc del diálogo Iniciar Sesión en Windows y la pantalla de bienvenida.
  • No permitir que Windows calcule y almacene contraseñas con valores hash de LAN manager: El hash de LAN Manager es el cifrado que utilizan Windows Xp  y Vista para asegurar la compatibilidad con versiones anteriores de Windows. Si se activa esta opción se aumentará la seguridad del sistema. 
  • No almacenar nombres de usuario o contraseñas empleadas para iniciar sesión en Windows Live ID o en el dominio: Activar esta opción supone un aumente de seguridad en el sistema ya que al no quedarse guardadas los credenciales de Windows Live ni los del usuario en el dominio se evita que los usuarios conozcan los datos de los usuarios que previamente han estado conectados en el equipo.
  • Impedir que los usuarios creen carpetas y archivos en la unidad C:: Activar esta opción supone un aumento de la seguridad ya que en C: suelen ubicarse los archivos de programa y del sistema operativo y de esta forma se garantiza que no se realizarán cambios (ya sea por malware o por el mal uso del usuario) en dichos archivos. 
  • Impedir que los usuarios abran documentos de Microsoft Office desde Internet Explorer: Aumenta la seguridad al permitir únicamente abrir archivos de Office desde el propio programa. 
  • Impedir el acceso de escritura a los dispositivos de almacenamiento USB: Activar esta opción aumenta la seguridad ya que evita que un usuario pueda llevarse información/documentos de otro usuario. Bloquea la opción de escritura en el dispositivo pero no el de lectura. 
Otras configuraciones
  •  Activar la pantalla de bienvenida (Windows XP únicamente): Nos permite establecer si queremos usar la pantalla de bienvenida como método de acceso al sistema por parte de los usuarios.




2. Investiga sobre la finalidad y opciones de uso de la aplicación Keepass Password Safe. ¿Qué opciones de configuración segura facilita? ¿Es posible recordar las contraseñas de sitios web y acceder sin teclearlas?
  •  Permite  almacenar tus contraseñas en una base de datos altamente cifrada, que sólo puede desbloquearse con una llave maestra o una clave de disco.
  • Una base de datos consta de un único archivo que puede transferirse de un ordenador a otro fácilmente. KeePass Password Safe admite grupos de contraseñas, en los que puedes ordenar tus contraseñas.
  • Arrastrar y soltar contraseñas en casi cualquier otra ventana. La función de introducción automática escribe tu información de inicio de sesión en otras ventanas automáticamente (basta con pulsar un atajo de teclado). Es posible copiar rápidamente las contraseñas o nombres de usuario en el portapapeles de Windows simplemente haciendo doble clic en el campo específico en la lista de contraseñas.
  • Importar datos de diversos formatos como CSV, TXT de CodeWallet y CounterPanes PwSafe. La lista de contraseñas puede exportarse a diversos formatos (incluyendo los archivos TXT, HTML, XML y CSV). También puedes imprimir la lista de contraseñas (base de datos completa o sólo la vista actual).
  • Acompañado por un generador de contraseñas aleatorias fuertes (puedes definir los caracteres de salida posibles, la longitud etc.).
  • Traducido a otros idiomas fácilmente (más de 20 idiomas están disponibles ya). Tiene un marco de plugin, muchos plugins que proporcionan funciones adicionales como funciones de copia de seguridad, características de red todo disponible desde la página de inicio de KeePass.
¿Qué opciones de configuración segura facilita?
La seguridad del gestor de contraseñas depende de varios parámetros: 
  • La robustez de la clave maestra elegida.
  • La seguridad del algoritmo de cifrado utilizado.
  • La calidad del código fuente de la aplicación. 
  • La forma de almacenar la clave cuando el usuario la solicita.
  • La existencia de virus u otro tipo de malware en nuestro ordenador
  • La solidez de la clave maestra y del gestor de contraseñas sirven de poco si tenemos un keylogger instalado. 


¿Es posible recordar las contraseñas de sitios web y acceder sin teclearlas?

 Si que es posible recordar las contraseñas de sitios web y acceder sin teclearlas. La mayoría de los navegadores de Internet actuales, como Firefox o Internet Explorer, llevan incorporado un gestor de contraseñas en forma de plugin que opcionalmente se puede proteger mediante una contraseña maestra. De esta manera cuando visitamos una página web que requiere autenticación, el navegador escribe automáticamente el usuario y la clave en los campos correspondientes sin necesidad de que el usuario intervenga. También existen aplicaciones independientes del navegador de Internet que tienen el mismo cometido y a menudo son más seguras, como KeePass Password Safe (open source). Una opción especialmente conveniente es instalar el programa en una memoria USB para llevarlo con nosotros. Esto sólo es posible si el gestor de contraseñas elegido dispone de una versión portátil. 





3- ¿Qué utilidad tienen las aplicaciones “congelador” del sistema operativo como DeepFreeze? 

DeepFreeze es un controlador del núcleo que protege la integridad del disco duro redirigiendo la información que se va a escribir en el disco duro o partición protegida, dejando la información original intacta. Las escrituras redirigidas desaparecen cuando el sistema es reiniciado, restaurando el equipo a su estado original. Esto permite a los usuarios realizar cambios originales en el equipo, por ejemplo para probar cambios potencialmente inestables o malignos, sabiendo que al reiniciar el sistema volverán a desaparecer.Para realizar cambios el sistema se debe descongelar, desactivando DeepFreeze, de forma que los siguientes cambios sean permanentes.DeepFreeze puede restaurar ciertos daños provocados por malware y virus ya que tras el reinicio cualquier cambio hecho por el software malicioso debería quedar eliminado del sistema al ser revertido al estado original (junto con cualquier otro tipo de modificaciones que se hayan hecho). Sin embargo, esto no impide que un virus ó malware se desarrolle mientras que no se reinicie el sistema, ó que el virus afecte a una partición que no esté protegida, o que se coloque en el registro del DeepFreeze como archivo que estaba previamente en el sistema. Además de que daña el sistema operativo cuando la pc tiene ausencia de energía de un momento a otro.


Busca alguna otra aplicación disponible para Windows y otra para Gnu/Linux
  • Toolwiz Time Freeze, Windows
  • OfrisLinux
¿Es posible instalar aplicaciones y guardar datos teniendo activada este tipo de aplicación?
Mientras el sistema está activo podremos realizar todos los cambios que queramos en el mismo, pero al reiniciar el sistema estos se borraran.
Por lo tanto si nos olvidásemos la contraseña de DeepFreeze, nos veríamos obligados a ejecutar algún tipo de crack para desactivarla o iniciar el sistema en modo de fallos con F8, ejecutar un msconfing y desactivar el inicio quitando la pestaña de este programa. Iniciaremos Windows normalmente y ya no estará congelado.


¿Qué protección ofrece?
Crea un punto de restauración del sistema que impide la permanencia de programas dañinos una vez que se reinicie el equipo.
Publicado por en No hay comentarios:

miércoles, 17 de febrero de 2016

TEMA 3. PRÁCTICA 3.4 CONTRASEÑA EN EL SECTOR DE ARRANQUE

Cuando tenemos instalados varios Sistemas Operativos en el disco duro  para seleccionar con que sistema operativo se inicia hay que emplear un gestor de arranque. Uno de los más populares y empleados con sistemas operativos GNU/Linux es GRUB.

Si hacemos la practica utilizando una maquina virtual de Virtual Box tenemos que mantener pulsada la tecla shift. Selecionamos recovery mode para acceder a las opciones de recuperación del sistema.



Aqui vemos que podemos acceder a una consola con privilegios de root.
con passwd root cambiamos la contraseña de root



Como recomendación se propone añadir la contraseña encriptada al menú de edición para imposibilitar la edición por cualquier usuario no autorizado. También añadir la contraseña encriptada en modo recuperación

Para generar contraseñas encriptadas lo hacemos como se muestra en las  siguientes imágenes:
Abrimos un terminal conectándonos como root


 Copiamos la contraseña encriptada que se ha generado  y modificamos el siguiente archivo introduciendo la secuencia siguiente:




Publicado por en No hay comentarios:

TEMA 3. PRACTICA 3.3 CONFIGURAR CONTRASEÑA DE LA BIOS

Vamos a entrar en el Setup de nuestra BIOS. Para ello utilizamos una maquina virtual a través de Virtual PC. Cuando encendemos la maquina pulsamos la tecla SUPR para acceder a la BIOS.


Ahora vamos a la pestaña Security para poder configurar las contraseñas. En Change Supervisor Password creamos una nueva contraseña de Administrador. Introducimos la contraseña dos veces y pulsamos OK.





Ahora vamos a cambiar las opciones del usuario normal, ya que por defecto tiene pleno acceso a la Bios. Vamos a configurarlo para que solo pueda visualizar. Para ello vamos a User acces Level y marcamos View only.

Ya por último  configuramos para que siempre que se inicie la máquina nos pida la contraseña. Lo hacemos mediante la opción Password check seleccionando Always.



Hay que destacar que la seguridad de la BIOS también es vulnerable ya que, por ejemplo si sacamos la pila de la CMOS restauramos la BIOS a valores de fábrica y por tanto las contraseñas desaparecen.  También hay software que permite ejecutar y borrar las contraseñas


Publicado por en No hay comentarios:

jueves, 4 de febrero de 2016

TEMA 3. PRÁCTICA 2: PELIGROS DE LAS DISTRIBUCIONES LIVE!

Hay innumerables sistemas operativos arrancables desde unidades extraíbles USB, CD o DvD en modo Live sin necesidad de instalarlos en disco duro. Incluyen muchas aplicaciones de recuperación de datos y contraseñas de usuarios.
Desde las opciones de configuración de la BIOS podemos hacer que arranque en primer lugar desde cualquiera de las unidades extraibles.

VULNERABILIDADES:

  • Ultimate Boot CD (UBCD): Posee en un entorno simulado de Windows aplicaciones como antivirus, recuperación de datos, aplicaciones de recuperacion y borrado de contraseñas de la BIOS , borrado y restitución de nuevas contraseñas de usuarios de sistemas Windows instaladas en Windows e incluso creación de cuentas de usuario administrador.
  • Backtrack: distribución específica  con un conjunto de herramientas de auditorías de seguridad, entre otras algunas permiten escalada de privilegios de sistemas Windows (ophcrack) y GNU/Linux (John to the ripper).
  • Slax: Distribución basada en Slackware, muy ligera y además arrancable desde USB. Permite acceder a los sistemas de ficheros instalados en disco.
  • Wifiway y Wifislax: distribuciones orientadas a realizar auditorías wireless, como recuperación de contraseñas.

Publicado por en No hay comentarios:

TEMA 3: PRACTICA CONFIGURACIÓN DE CONTRASEÑAS SEGURAS

 En Windows las directivas de cuentas nos permiten configurar el comportamiento que tienen éstas ante una serie de sucesos. Desde las directivas vamos a poder controlar de una forma más eficiente la forma de acceder a nuestro ordenador.
Desde la ventana Directivas de Seguridad y cuentas a través del comando gpedit.msc o desde Panel de control/herramientas administrativas/directivas de seguridad local



  • Ahora vamos a directivas de grupo local


  • Escogemos directivas de cuenta 


  • En  directivas de contraseña encontramos las siguientes opciones configurables:





  • Establece el numero de contraseñas a recordar. Los ususarios no pueden usar la misma contraseña hasta que pasen en este caso 3 veces.




  • Al habilitar esta opción obligamos a que las contraseñas tengan como mínimo seis caracteres y usen mayúsculas, minúsculas y caracteres especiales.



  • Establecemos que en este caso la longitud mínima debe de ser de 7 caracteres:



  • Establecemos la duración máxima de la contraseña:



  • Establecemos la duración mínima  que debe de estar activa la contraseña. Se hace con el fin de evitar  que el usuario cambie repetidamente la contraseña para volver a su contraseña "original".




  • En directiva de bloqueo de contraseña podemos configurar lo siguiente: 





  • En esta pantalla establecemos el numero de intentos fallidos antes de que la contraseña se bloquee:



  • Establece en minutos el tiempo que ha de pasar  para restablecer la cuenta de bloqueos



  • Establece en  minutos el tiempo que la cuenta debe permanecer bloqueada:




Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)