Malware, o pesadelo dos sistemas

Asurmendi Sainz, Jabier

Informatika-ingeniaria eta Bitarlan-en sortzailea

Nos computadores e outros dispositivos dixitais, o programa que entra por baixo do sistema e fai dano coñécese principalmente como virus. Con todo, e sobre todo a medida que se estende Internet, foron aparecendo outras palabras mesturadas co termo virus: phishing, troyano, spam, spyware, vermes, etc. Cada un deles ten diferentes comportamentos e obxectivos. Desta maneira, paira a recompilación de todos estes pequenos programas, ampliouse a denominación de malware ou software malicioso máis xeral.
Malware, o pesadelo dos sistemas
01/05/2008 | Asurmendi Sainz, Jabier | Enxeñeiro informático e fundador de Bitarlan
(Foto: http://www.flickr.com/ photos/23905174\N00/1594411528/)

O que se considerou como o primeiro retrato creouno Robert Thomas Morris en 1972. Coñeceuse como Creeper no monitor do computador "I'm a creeper... catch me if you can!" (Son Aihen-belarra, apájame si podes!) porque de cando en vez mostraba a mensaxe. Por suposto, o primeiro virus trouxo o primeiro programa antivirus: Reper, en eúscaro, segadora. Con todo, a palabra virus non apareceu até 1984.

Que son os virus?

Un virus é un pequeno programa que se reproduce automaticamente e reprodúcese sen coñecemento e autorización dos usuarios, introducindo parte do seu código fonte no código fonte doutras aplicacións. Desta forma, cando se executa a aplicación contaminada, tamén se executa o código fonte introducido polo virus, que se integra noutras aplicacións ou ficheiros. E cando estes ficheiros infectados execútanse noutros sistemas, este sistema tamén se contamina e o código fonte do virus cópiase nos ficheiros do novo sistema. Este é o principal obxectivo do virus: estenderse a si mesmo.

Con todo, popularizáronse polos danos que provocan no sistema multi-virus. É o que se coñece como payload do virus, é dicir, as consecuencias dos virus no sistema. As consecuencias poden ser bromas sinxelas ou danos importantes nos datos ou na rede, por exemplo. Con todo, e segundo crese, un virus informático é potente pola súa capacidade reprodutiva e non pola gravidade dos danos que pode causar no sistema.

Os virus, en xeral, deben saber si un ficheiro está infectado paira evitar que se volva a contaxiar, deixando una firma ou una marca nos arquivos infectados. Pois esa é a vulnerabilidade dos virus paira sobrevivir. De feito, una vez coñecida a marca, os antivirus poden detectar virus e arquivos infectados.

Canto máis precisa é a marca, máis fácil é coñecela e detectala. Por tanto, os programadores de virus tratan de desenvolver as marcas o máis xenéricas posibles e non utilizar determinados caracteres como marcas, senón que tamén poden conter arquivos non contaminados. Isto evitará que todos os arquivos do sistema sexan infectados polo virus, pero á vez dificultará a súa captura. Tamén existiron virus sen firma, como o Xerusalén. Contaxia arquivos repetidamente e colapsa discos duros.

Os virus non son o único risco

Código fonte. É onde o virus insere o seu.
J. Asurmendi

Como xa se mencionou anteriormente, todos os programas nocivos que se poden introducir nos computadores non son virus e actualmente os sistemas están ameazados por varios malware. Entre eles, os troyanos gozan dun certo prestixio. A diferenza dos virus, non teñen capacidade de reprodución automática. De feito, o seu nome histórico indica que é una aplicación prexudicial, pero se introduce no sistema como una aplicación inocua. É dicir, nunha aplicación normal que se pode utilizar normalmente introdúcese un código fonte daniño que ataca: é una aplicación útil paira o usuario, pero por baixo está a executar outras funcións sen que o usuario déase conta.

O primeiro troyano apareceu en 1980, pero antes de que se difundise Internet non se usaba moito, xa que había que distribuílo manualmente. Agora, con todo, son máis fáciles de repartir e son bastante perigosos porque se destrúen máis amodo que os virus. Este é o principal obxectivo dos troyanos: perseverar inconscientemente no sistema paira poder realizar as súas tarefas. Estas tarefas poden consistir en borrar ou substituír datos, recibir información do usuario, monitorizar a pantalla do usuario, dar acceso ao computador, etc.

Una das tarefas dos troyanos é introducir spyware ou aplicacións espías. Os spyware execútanse por si mesmos no sistema e o seu principal obxectivo é obter información do sistema e do usuario: datos, operacións, webs visitadas, información lida, etc. E como a información destas aplicacións envíase a través de Internet, o efecto colateral dos spyware é reducir a velocidade de conexión a Internet.

Do mesmo xeito que o spyware, os backdoor ou portas traseiras tamén poden acceder aos sistemas mediante troyanos. Os troyanos poden ter a porta traseira aberta, de tal maneira que o backdoor pode ser un ficheiro que o usuario descargou e instalado de Internet, sen ser consciente diso. Estes backdoores non son máis que fragmentos de códigos fonte que permiten o acceso aos sistemas contaminantes e permiten ao agresor evitar vías directas de autenticación de acceso ao sistema. Una vez dentro, no computador contaminado pódense monitorizar as operacións do usuario, imprimir, abrir lectores de DVD ou CD-ROM, acceder ou gardar ficheiros, etc.

Outro malware coñecido son os vermes. Do mesmo xeito que os virus, reprodúcense automaticamente, pero a diferenza dos virus, paira reproducirse non deben contaminar outros arquivos, senón que se inician automaticamente co sistema. Desta forma conseguen situar ao usuario na memoria, entre os procesos do sistema, sen darnos conta. O seu obxectivo é divulgar a través de Internet ou da rede local e acceder a outros computadores. Loxicamente, a carga de traballo do proceso de reprodución dos machos fai que se retarde o sistema e a conexión a Internet.

Uno dos máis coñecidos foi Blaster. Un fallo de seguridade dos sistemas MS Windows no seu momento daba lugar a unha rápida expansión na rede local ou a través de Internet, reiniciando o sistema nun minuto.

Cando facer click supón una perda de diñeiro

O primeiro troyano apareceu en 1980, pero antes de que se difundise Internet non se usaba moito, xa que había que distribuílo manualmente.
(Foto: http://www.flickr.com/ photos/mount_otz/217833766/)

As fraudes que se producen en Internet convertéronse nun perigo importante nos últimos tempos e é un problema preocupante, xa que a súa caída pode supor una perda de diñeiro importante. Quizais o oído sexa Phishing (arrantzan, euskaraz). A diferenza dos malware anteriormente mencionados, non se instalan en sistemas nin se reproducen automaticamente. Están situados nun servidor de Internet e deben acceder á súa páxina web a través do navegador.

A forma máis común de acceder a esta dirección é a través dun correo electrónico que, supostamente, foi redactado por unha entidade financeira ou por unha empresa coñecida e que solicita ao lector que acceda á súa páxina web a través dun enlace. Tanto o dominio como o deseño deste sitio web son o máis similares posibles ao da web da entidade real paira enganar ao usuario. E, con calquera escusa, solicita ao usuario uns datos seus que, en xeral, son necesarios paira operar por Internet coa entidade financeira. Desta forma, o agresor pode obter os datos do usuario paira poder operar na súa conta.

Outro malware que incita por Internet é o dialer, pero non está tan estendido. E é que teñen que facer una chamada paira meter o estiércol a través do módem e non se realiza ningunha chamada a través de ADSL ou cable módem e routers. Os dialers son, de feito, pequenos programas que se colgan nas páxinas web. Piden ao usuario que baixe e execute o programa paira poder acceder a algún servizo. Pero ocorre outra cousa: estes pequenos programas fan chamadas a distancia sen que o usuario sáibao. Como consecuencia diso, o usuario recibe una enorme factura do teléfono e o agresor pode obter un beneficio económico. Paira protexerse legalmente, adoitan mencionalo nunha nota tanto do programa como da web, está claro na letra pequena.

Vulnerabilidades de sistemas

Fronte aos malware, a principal debilidade non reside no sistema, senón no comportamento do usuario, xa que a maioría destes malwares válense do que se coñece como enxeñaría social paira contaxiar os sistemas ou meter o estiércol. É dicir, mediante técnicas de manipulación e subjuegos o usuario consegue que se execute una aplicación ou facer clic nun enlace.

Con todo, nos sistemas existen características que os fan máis vulnerables aos ataques de malware. Por exemplo, o denominada desbordamento do buffer overflow ou buffer é una debilidade moi utilizada polos malware. Este erro prodúcese cando a estrutura deseñada paira almacenar os datos nun espazo da memoria permite almacenar máis datos dos incluídos na súa capacidade. Algúns malwares aprovéitano paira executar o código fonte.

Outra das debilidades é que si se utiliza o mesmo sistema operativo en todos os computadores dunha rede, se se consegue acceder a el tamén se conseguirá acceder a todos os computadores da rede.

As fraudes en Internet poden supor una perda de diñeiro se conseguen obter os datos das contas correntes.
De arquivo

Así mesmo, a concesión de permisos a programas e usuarios do sistema por encima dos estritamente necesarios pode ser contraproducente. Moitas veces concédense permisos de xestión do sistema ao usuario que non é administrador do sistema, por defecto na configuración dalgúns sistemas.

Medidas de protección

Moitas das medidas que se poden adoptar paira protexer o sistema poden derivarse do anterior. O principal é que non se executen aplicacións que non se coñezan ben e que non se dean datos sen certificar a quen se están facilitando, e por suposto, que non se dean máis datos dos necesarios. Hai que ter en conta que as entidades financeiras nunca solicitan por correo electrónico os datos de acceso aos seus sitios web.

Ademais, pódense adoptar outras medidas sinxelas de seguridade, por exemplo, cos permisos que require o que só estamos a traballar, ou iniciar sesión con usuarios con máis permisos só cando se necesita instalar una aplicación ou cambiar algunha configuración do sistema. Cando se reciba un ficheiro a través de Internet ou outra vía, asegurarase a ausencia de virus e realizaranse copias de seguridade dos datos relevantes. Así mesmo, é importante manter actualizado o sistema operativo.

Técnicas sinxelas de virus
Overwrite (Sobreescritura) : O código fonte do virus é a forma máis sinxela de introducilo nos arquivos que se queren infectar e a máis fácil de atrapar. O virus copia o seu código fonte sobre o contido do inicio do ficheiro destino. Queda prohibido o uso do ficheiro infectado, polo que é moi fácil detectar a presenza do virus.
Prepending (Copia inicial) : O código fonte do virus insérese ao comezo do ficheiro de destino. Con esta técnica conséguese que se execute o código fonte do virus cando se executa o ficheiro infectado e que este último siga sendo útil.
(Foto: Stock.Xchng)
Appending (Copia ao final) : É a mesma idea que o exemplo anterior, pero non tan pesada no tempo como a anterior. Mediante a programación insérese un salto ao comezo do ficheiro paira a execución do virus e un salto ao final do virus ao código fonte do ficheiro infectado.
Conpanion (Lagoa) : Esta técnica axuda ao arquivo que se quere contaminar en lugar de modificalo. Paira iso, en xeral, cópiase o ficheiro orixinal nun ficheiro oculto e o virus no ficheiro orixinal.
Publicidade non desexada
Se algo abriu o camiño á publicidade nos últimos anos, Internet abriulle, e diso valéronse algúns anunciantes, entidades de publicidade e particulares, para que os anuncios difúndanse a un prezo reducido. E paira iso os desarrolladores de malware tamén crearon produtos. As de tipo Adware son una das máis custosas, xa que se instalan no sistema e abren xanelas de anuncios. E a necesidade de ver as xanelas de anuncios non é o suficientemente pesada, e os adware fan que tanto a conexión a Internet como o rendemento do sistema sexan relativamente lentos. As xanelas que se abren automaticamente mentres se navega por Internet, aínda que poden resultar incómodas, non son tan molestas como as demais e ademais non se instalan no sistema.
Neste grupo non podían faltar os spam, que enchen as caixas de correos electrónicas sen medida. Na actualidade, o tráfico xerado polo spam é moito maior que o xerado polas mensaxes non lixo. Entre as mensaxes que se reciben diariamente, a porcentaxe destas mensaxes publicitarias non desexados é moi elevado. Neste caso, os servidores de correo electrónico están obrigados a instalar medios anti-spam paira poder recibir menos mensaxes non desexadas polo usuario.
Asurmendi Sainz, Jabier
Servizos
242
2008
Servizos
039
Software; Internet
Artigo
50%
Babesleak
Eusko Jaurlaritzako Industria, Merkataritza eta Turismo Saila