Controlado desde el
19/10/97 por NedStat
|
| Advertencia del CERT sobre virus y antivirus
|
| |
VSantivirus No. 1095 Año 7, Lunes 7 de julio de 2003
Advertencia del CERT sobre virus y antivirus
http://www.vsantivirus.com/cert-in-2003-01.htm
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
Propagación de Código Malicioso y Actualización de Antivirus
Un reciente informe del CERT (Computer Emergency Response Team), advierte sobre dos problemas que preocupan a los especialistas.
El primero se refiere a la velocidad de propagación del código malicioso, con un claro incremento. Los tiempos de propagación de los nuevos gusanos se han reducido de horas a minutos. Lo mismo ocurre con los virus (que no se auto propagan).
Variantes recientes de gusanos como el "BugBear" o el "Sobig", han logrado altas tasas de propagación en muy poco tiempo. En casi todos los casos, han sido mucho más rápidos que las actualizaciones o firmas de nuevos virus que realizan los distintos fabricantes.
Según el CERT, los programas antivirus basados en firmas no son los únicos en riesgo. También lo están muchos de los que usan la heurística para detectar comportamientos maliciosos, los que pueden ser burlados por nuevas técnicas usadas por los virus. Los antivirus basados en la heurística no son totalmente confiables debido a que no siempre pueden bloquear la ejecución de código maligno. Por otra parte, existen muchos casos donde el propio antivirus es desactivado, sin el conocimiento del usuario.
El segundo problema se presenta en recientes reportes recibidos por el CERT, donde algunos usuarios parecían haber tenido la falsa impresión de que con solo tener un programa antivirus instalado era suficiente para protegerse. Para el CERT, esto es una suposición equivocada. Los usuarios deberían tener precaución cada vez que manejan archivos adjuntos en el correo electrónico, o cualquier otra clase de códigos o datos que provengan de fuentes poco confiables o desconocidas.
En general, es importante recordar que mientras los fabricantes de antivirus continúan mejorando la velocidad y confiabilidad de sus mecanismos de actualización, siempre existirá un corto período de tiempo en que un sistema puede no tener las firmas actualizadas para detectar un nuevo gusano o virus en particular. Investigaciones recientes han estimado el riesgo que existe durante este período de tiempo en que las actualizaciones de los antivirus no están aún disponibles.
Las soluciones planteadas por el CERT son las siguientes:
Aplicar una "Defensa a Fondo"
Como se mencionó, no es suficiente confiar solamente en programas antivirus para una protección completa. Por lo tanto, se recomienda a los usuarios aplicar una estrategia de "defensa a fondo" (donde son utilizadas muchas capas de seguridad o control de acceso) cuando se consideren formas de proteger las computadoras del ataque de intrusos. Aunque esto puede no ser práctico para todos los usuarios, otra forma de implementar esta defensa a fondo es utilizando diversos programas y sistemas operativos cuando sea posible. Algunas formas adicionales para mejorar la seguridad va mas allá del uso de los programas antivirus.
Ejecutar y mantener un producto antivirus
Aunque un programa antivirus actualizado no protege contra todo el código malicioso, para muchos usuarios sigue siendo la primer línea de defensa. Muchos fabricantes liberan frecuentemente, herramientas e información para ayudar a detectar y recuperar un equipo infectado. Y es importante que los usuarios mantengan sus programas antivirus actualizados. El CERT recomienda usar las actualizaciones automáticas cuando las mismas estén disponibles.
No ejecutar programas de origen desconocido
Nunca se debe descargar, instalar o ejecutar programas a menos que se esté seguro que son creados por una persona o compañía en la cual se confíe. Los usuarios de correo electrónico deben ser cautelosos ante los archivos adjuntos no solicitados, mientras que los usuarios de IRC, mensajería instantánea y servicios de intercambio de archivos (P2P), deben ser particularmente cautos antes de seguir enlaces o ejecutar programas enviados por otros usuarios, debido a que estos son los métodos más usados por los atacantes a la hora de construir redes dedicadas al ataque de negación de servicio distribuido (DDoS), donde cientos o miles de computadoras, atacan blancos específicos.
Deshabilitar o asegurar archivos compartidos
Se debe seguir una política de mínimos privilegios. Por ejemplo, si una computadora con Windows no esta destinada para realizar funciones de servidor (por ejemplo compartir archivos o impresoras con otros usuarios), opciones como "Compartir archivos e impresoras para Redes Windows" deben ser deshabilitadas. Y quienes comparten sus recursos, deben asegurarse que se utilice la autenticación de usuarios y que cada cuenta tenga una contraseña fuerte. Además, se debe considerar el uso de un cortafuegos para controlar las computadoras que puedan acceder a estos recursos compartidos.
De forma predeterminada, Windows NT, 2000 y XP crean ciertos recursos administrativos compartidos de forma oculta.
Ver: "HOW TO: Create and Delete Hidden or Administrative Shares on Client Computers"
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q314984&sd=tech
Usar un cortafuegos
El CERT recomienda usar un cortafuegos, que puede ser un dispositivo de red o un software de uso personal. En algunas situaciones, estos productos son capaces de alertar a los usuarios del hecho de que su máquina ha sido comprometida. Además, tienen la habilidad de bloquear a los intrusos que pretendan acceder a puertas traseras.
Más información:
CERT Incident Note IN-2003-01
Malicious Code Propagation and Antivirus Software Updates
http://www.cert.org/incident_notes/IN-2003-01.html
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
 
|
|
