Seguridad de las TIC: Conceptos Fundamentales

La seguridad de las Tecnologías de la Información y la Comunicación (TIC) se centra en la protección de elementos mediante:

• Prevención: Para impedir ataques (o dificultarlos, o hacerlos menos atractivos).
• Detección: Para descubrir cuándo, cómo y quién ha realizado un ataque.
• Reacción: Para recuperarse de los efectos de un ataque.

La protección abarca redes y sistemas de información frente a errores humanos, desastres naturales, fallos técnicos y ataques maliciosos.

Seguridad total = Seguridad del componente más vulnerable.

Definiciones Clave

Vulnerabilidad

Debilidad o defecto que puede poner en peligro un sistema.

Amenaza

Posibilidad de aprovechar una debilidad.

Vulnerabilidad de Día Cero

Aquella desconocida para aquellos interesados en mitigarla.

Ataque

Realización de una amenaza.

Vector de Ataque

Medio de aprovechar una vulnerabilidad.

Superficie de Ataque

Conjunto de los distintos vectores de ataque.

Riesgo

Medida del coste de una vulnerabilidad, teniendo en cuenta la probabilidad de un ataque exitoso.

Algunas Vulnerabilidades Comunes

• Software: Sin buenas prácticas de desarrollo.
• Código: Con errores de programación.
• Configuración de recursos: Incorrecta (ej. permisos).
• Trampilla (Backdoor): Agujero de seguridad deliberado.
• Mecanismos de cifrado: Con fallos.
• Contraseñas: Mal elegidas o débiles.
• Comunicación: Sin cifrado.
• Puertos abiertos: No protegidos (ej. Telnet, correo).

Tipos de Ataques

Los ataques se pueden clasificar por:

• Acción: Pasivo o activo.
• Voluntad: Deliberado o accidental.
• Origen: Interno o externo.

Principios de la Seguridad de la Información (C.I.A.)

La protección dada a un sistema de información busca mantener la integridad, disponibilidad y confidencialidad de los recursos, protegiendo redes y servicios frente a modificación, destrucción o revelación no autorizadas, y garantizando que la red cumpla sus funciones correctamente.

Confidencialidad

Impedir que una entidad no autorizada conozca la existencia de datos, los examine o revele, o analice su flujo.

Integridad

Asegurar que los datos no han sido modificados por una entidad no autorizada:

• Los datos almacenados no han sido alterados.
• Los datos recibidos son exactamente los enviados.

Es muy importante la recuperación del original.

Disponibilidad

Evitar que una entidad autorizada no pueda acceder cuando lo desee a un elemento para el que está autorizada.

Autenticación

Asociar una identidad a una entidad. Implica:

• Verificar entidad: Confirmar que la entidad es quien dice ser.
• Identificar entidad: Establecer la identidad de la entidad.

Esto asegura que la transmisión se produce entre entidades legítimas.

Código Seguro y Vulnerabilidades de Programación

El origen de los ataques más relevantes se encuentra a menudo en debilidades del código:

• Desbordamiento de memoria.
• Canonicalización.
• Inyección de código.
• Condiciones de carrera.
• Debilidades criptográficas.

Para mitigar estos riesgos, son cruciales las decisiones de diseño, las buenas prácticas de diseño y las buenas prácticas de programación.

Desbordamiento de Memoria

Ocurre cuando un programa escribe datos que exceden el tamaño reservado para ellos, escribiendo en direcciones adyacentes. Esto puede provocar la corrupción de datos o una transferencia inesperada de control. Se suele localizar en la pila o en el montículo.

Causantes: Vectores, cadenas de caracteres, enteros y desajuste de tamaño entre tipos.

Prevención: Es necesario comprender la disposición de memoria, el lenguaje de programación C y la conversión entre tipos de datos.

Canonicalización

El atacante burla la seguridad utilizando nombres equivalentes al esperado. Un ejemplo sería utilizar una contraseña en mayúsculas y minúsculas, y que ambas variaciones sean válidas.

Inyección de Código

Implica la inserción de código malicioso en un flujo de datos que es interpretado por el sistema.

• Inyección en línea de comandos.
• Inyección de SQL.
• XSS (Cross-Site Scripting): Aprovecha la generación de páginas dinámicas en navegadores (sin modificar las páginas del servidor). El atacante introduce un enlace a un sitio web que quiere atacar. El cliente hace clic en un enlace y va al servidor con los parámetros que se quieren consultar. El ordenador de la víctima ejecuta la dirección que le pasa el servidor, pero el ataque es externo.

Tipos de XSS

• Indirecto: Se ve afectado el que ha suministrado los datos para atacar (el cliente).
• Basado en DOM: Permite acceder a documentos (vulnerabilidad en el cliente).
• Directo: El ataque se dirige al servidor.

CSRF o XSRF (Cross-Site Request Forgery)

El atacante fuerza al navegador del usuario a solicitar una petición a una aplicación web vulnerable, que la realiza porque cree que proviene de un usuario autorizado.

Condiciones de Carrera

El resultado de un proceso depende de manera inesperada y crucial de la secuencia de otros procesos. Ocurre cuando programas o circuitos lógicos no han sido diseñados adecuadamente para su ejecución simultánea con otros.

Es esencial conocer la atomicidad de operaciones, macros y programas. El Sistema Operativo es fundamental en su gestión.

Debilidades Criptográficas

Se suele aprovechar la predictibilidad de los números ‘aleatorios’.

Generador de números aleatorios seguro: Aquel en el que el atacante no puede adivinar el siguiente valor a partir de valores previos.

Principios de Diseño y Programación Segura

Principios de Diseño

• Mediación Completa: Se debe comprobar cada acceso a cada objeto. Implica que hay un método de autenticación infalible disponible para cada petición.
• Mecanismo de lo Mínimo Común: Es aconsejable minimizar la cantidad y el uso de sistemas, recursos o mecanismos compartidos. Minimizar la funcionalidad de los componentes.
• Separación de Privilegio: El acceso a objetos debe depender de más de una condición. Superar un sistema de protección no habilita el acceso completo. Relacionado con la defensa en profundidad: varias capas de seguridad son más difíciles de romper que una sola.
• Diseño Abierto: El mecanismo de protección no depende de la ignorancia del atacante.

Principios de Programación

• Programar defensivamente.
• Actualizar sistemas con parches de seguridad.
• Proteger estructuras de datos y funciones internas.
• Usar criptografía cuidadosamente.
• Aplicar técnicas básicas de ofuscación.

Código Malicioso (Malware)

Conceptos de Propagación

• Autorreplicante: Propagación creando copias de sí mismo.
• Crecimiento de Población: Cambio en el número de copias debido a la autorreplicación (para los no autorreplicantes es 0).
• Parásito: Necesita otro código o ejecutable para existir y actuar.

Troyano

Es un código parásito y no autorreplicante. Está oculto en un programa (anfitrión) aparentemente útil.

• Fin evidente: Conocido por el usuario.
• Fin oculto: Desconocido por el usuario (no deseado, dañino, etc.).

Realiza su función oculta cuando se ejecuta el programa anfitrión. Puede ser necesaria la interacción con el atacante para completar el ataque o conseguir el objetivo.

Componentes Comunes de Virus y Gusanos

• Autorreplicación: Se reproduce para su propagación por distintos medios (dispositivo de almacenamiento, correo, búsqueda de máquinas vulnerables, etc.). A veces solo hay propagación.
• Autodetección: Evita infectar algo ya infectado (no siempre presente).
• Camuflaje/Ocultación: Intenta no ser detectado (no siempre presente).
• Carga (Payload): Cometido específico (crear puerta trasera, obtener información confidencial, mandar correo basura, etc.). No siempre presente. Su ejecución puede depender de circunstancias.

Clasificación del Código Malicioso

Virus

Es autorreplicante y parásito. Al ejecutarse, intenta (no siempre) replicarse en otro anfitrión. Si tiene éxito, lo ‘infecta’ y, cuando este se ejecute, intentará lo mismo. Puede hacer algo más o no, y según las circunstancias (carga + disparador).

Estados del Virus

• Germen: Estado original, antes de replicarse.
• Durmiente: Presente en la máquina, pero todavía no ha infectado (pero puede transmitirse).
• Intento: Falla al intentar replicarse.
• En Propagación: Ha comenzado a replicarse.
• En Ejecución de Carga.

Medios y Tipos de Propagación

• Dentro de la máquina.
• De una máquina a otra.

Tipos según lo que infecta

• De sector de arranque.
• Parásito (de ejecutable).
• Macro (de archivo de datos).

Tipos según estrategia de ocultación

• Esconde indicios de infección.
• Cifrado.
• Mutante.

Gusano (Worm)

Es autorreplicante e independiente. Son similares a los virus en sus estados y mecanismos de ocultación. Generalmente usa la red para expandirse y no necesita intervención humana para actuar.

• Conejo/Bacteria: Solo se replica y propaga.

Bomba Lógica

Consta de dos partes:

• Carga: Acción que debe realizar.
• Disparador: Condición para que se ejecute la carga.

Explota cuando se dan las condiciones del disparador. Puede ser parásito o no.

Zombis (Bots y Botnets)

• Bot: Programa autónomo que realiza tareas automáticamente (sin que lo sepa el usuario).
• Botnet: Red organizada de programas autónomos capaces de actuar según ciertas instrucciones (de un maestro).

La propagación implica la adquisición de nuevos bots.

Comunicación entre Bots

• Centralizado: Maestro y zombis.
• Distribuido (P2P): Necesita una topología estable.

Truhán/Estafador (Scammer)

Aplicación que intenta asemejarse a otra para engañar y timar. Generalmente busca conseguir una compensación económica por su supuesto uso. A veces asusta al usuario (scareware).

Rescatador (Ransomware)

Impide el acceso a un recurso hasta el pago de un rescate, mediante:

• Cifrado del recurso.
• Bloqueo del acceso a la cuenta o máquina.
• Hacer una copia y eliminar el original.

Criptovirología: El efecto de la carga del virus es irreversible para la víctima, pero reversible para el autor del virus.

Programas Anti Código Malicioso

Las tareas principales de los programas antivirus son:

• Detección.
• Parada.
• Identificación.
• Desinfección.

Detección de Código Malicioso

Los métodos de detección se clasifican según si el código está en ejecución:

Métodos Estáticos (No en ejecución)

• Escáner.
• Escáner con heurística.
• Comprobador de integridad.

Métodos Dinámicos (Sí en ejecución)

• Monitor/Bloqueador de comportamiento.
• Emulador.

Escáner de Firmas

Utiliza una firma (secuencia de bytes que caracteriza cada código malicioso) para el escaneo (proceso de búsqueda de firmas en un archivo).

Tipos de Escaneo

• Por Petición: Iniciado explícitamente por el usuario (al instalar/actualizar, o ante sospecha de infección).
• Por Acceso: Continuamente en ejecución. Escanea cada archivo cada vez que se accede a él. Supone un consumo de recursos y disminuye el rendimiento de la máquina.

Escáner con Heurística

Busca trozos de código que parecen código malicioso.

Pasos

1. Recolección de datos: Buscar firmas cortas indicativas de código sospechoso (evidencia positiva) o de cosas que el código malicioso no hace normalmente (evidencia negativa). Comparar valores de punto de entrada y fin de ejecutable con valores de ejecutables no infectados. Buscar elementos que no cumplan la ley de Benford.
2. Análisis: Puede ser elemental (combinación lineal de resultados de varias heurísticas y comparación con un umbral) o más elaborado (aprendizaje automático, sistemas expertos, minería de datos).

Comprobador de Integridad

Busca cambios no autorizados en archivos.

Procedimiento

Calcula y almacena un valor de verificación para cada archivo. Más adelante (ej., antes de la ejecución) recalcula el valor y lo compara con el almacenado.

Tipos

• Autónomo: La aplicación comprueba valores de verificación (por acceso, periódicamente, etc.).
• Autocomprobación: Los ejecutables se analizan a sí mismos cuando se ejecutan (necesario modificarlos, mecanismo parecido a un virus).
• Consola de Integridad: Comprobación del valor de verificación justo antes de la ejecución (ej., incorporado al núcleo del sistema operativo).

Monitor y Bloqueador de Comportamiento

Sigue el comportamiento del programa en tiempo real. Si encuentra actividad sospechosa, puede evitar que se realice, parar el programa o preguntar al usuario qué hacer.

Emulador

El código analizado se ejecuta en un entorno emulado, evitando daño real.

Tipos de Emulación

• Heurísticas Dinámicas: Los datos se recogen del emulador. Pueden buscar las mismas características que el monitor de comportamiento. Efectivas para encontrar firmas dinámicas de código malicioso mutante.
• Descifrado General: Se confía en el propio mecanismo del código malicioso para descifrarlo, en lugar de intentar hacerlo el antivirus. Se pueden usar heurísticas para detectar cuándo ha ocurrido el descifrado.
• Búsqueda de Firmas: Periódicamente durante y tras la emulación. El aspecto clave es cuándo parar la emulación.

Comparación de Técnicas de Detección

• Escáner de Firmas:
  • Pros: Identificación precisa del código malicioso encontrado.
  • Contras: Necesaria base de datos de firmas actualizada. Solo encuentra código malicioso conocido (y alguna variante menor).
• Escáner con Heurística:
  • Pros: Encuentra código malicioso conocido y desconocido.
  • Contras: Falsos positivos. El código detectado no es identificado, por lo que si es desinfectado usa métodos genéricos.
• Comprobador de Integridad:
  • Pros: Encuentra código malicioso conocido y desconocido.
  • Contras: Muchos falsos positivos. El valor de verificación almacenado debe corresponder a un estado limpio. No aconsejable para archivos de datos.
• Bloqueador de Comportamiento:
  • Pros: Encuentra código malicioso conocido y desconocido. Se deshace de parte de la ofuscación.
  • Contras: Falsos positivos. Consumo de recursos durante la ejecución. Puede detectar cuando ya se han producido problemas.
• Emulador:
  • Pros: Encuentra código malicioso conocido y desconocido. Se deshace de parte de la ofuscación, en un entorno seguro.
  • Contras: Falsos positivos. Consumo de recursos durante la ejecución. Puede parar antes de que se revele el código malicioso.

Mejoras de Rendimiento

Para optimizar el rendimiento de los programas anti código malicioso se puede:

• Reducir la cantidad de datos analizados en el archivo.
• Reducir la cantidad de archivos analizados.
• Cambiar el algoritmo o su implementación.
• Reducir los requisitos de recursos.

Parada

Hacer que el código malicioso deje de ejecutarse y replicarse. Se debe considerar que el código malicioso puede:

• Ejecutarse en varias tareas para evitar ser parado.
• Descargar más código malicioso, que también debe ser desinfectado o eliminado.
• Parar la herramienta de desinfección.
• Tener una acción especial asociada a la detección de una posible herramienta de desinfección.

Identificación

Se realiza para reducir falsos positivos e identificar el código malicioso de forma concluyente. Su funcionamiento se basa en recopilar toda la información posible.

Cuarentena

Aislar el código malicioso del resto del sistema.

Desinfección

Métodos para restaurar el sistema:

• Restaurar archivos afectados con copias de seguridad.
• Usar un método específico para el código malicioso.
• Usar un método específico para el comportamiento del código malicioso.
• Usar el propio código malicioso (para descifrar).
• Borrar el archivo infectado.

Base de Datos de Virus y Contramedidas del Malware

Base de Datos de Virus

Contiene información por registro:

• Identificador.
• Nombre imprimible para presentar al usuario.
• Datos de verificación.
• Instrucciones de desinfección.

Actualización

El usuario puede preguntar periódicamente o el programa antivirus puede hacerlo automáticamente. El vendedor puede mandar un aviso o una actualización al usuario.

Modo Automático

• Pro: Protección tan pronto como sea posible.
• Contra: El código puede contener errores.

Forma y Frecuencia

• Forma: Copia de la base de datos o solo los cambios (comprimidos).
• Frecuencia: Periódicamente o según aparezcan nuevas amenazas.

Anti-Anti Código Malicioso

Técnicas utilizadas por el malware para evadir la detección y el análisis.

Retrovirus

Código malicioso que intenta deshabilitar el antivirus. Examina procesos en ejecución y elimina aquellos que coinciden con la lista de procesos usados por el antivirus.

Blindaje (Anti-Análisis)

Hacer que el análisis sea difícil.

Métodos Antidepuración (Contra el Análisis Dinámico)

• Detectar el depurador (buscando singularidades o puntos de ruptura).
• Comprobar si hay ejecución paso a paso.

Métodos Antidesensamblaje (Contra el Análisis Estático)

Conseguir que el desensamblaje sea difícil de automatizar:

• Generar código dinámicamente (como un compilador JIT).
• Modificar el código malicioso durante su ejecución.

Tunelado

Soslaya la monitorización. Emplea técnicas similares a las del antivirus para descubrir la monitorización. Examina el código unido a una interrupción concreta para encontrar el código original del SO (o BIOS) y ejecutarlo directamente, saltando programas residentes (incluido el monitor).

Antiemulación

Sobrevivir o durar más que la emulación. Conseguir evadir la detección lo suficiente para que el emulador termine:

• Añadir código que no hace nada o algo inútil.
• Reducir la frecuencia de replicación.
• Retrasar la ejecución del código mediante ofuscación del punto de entrada.
• Burlar o reestructurar el código viral para que no parezca sospechoso.
• Sobrepasar o prever la actuación por si el código malicioso está en emulación.

Ataques a Comprobador de Integridad

• Usar código malicioso que oculta indicios de infección.
• Aprovechar fallos de código.

Ofuscación de Punto de Entrada

Modificar la dirección de comienzo del ejecutable. Puede ser:

• Elección aleatoria.
• Elección controlada de ubicación.
• Sustituir llamadas a la salida del proceso.
• Sustituir una secuencia repetitiva de instrucciones.

Elusión/Evitación

Ubicar (esconder) el código malicioso donde el antivirus no mira (poco eficaz).