Seguridad on-line II - Octubre 2002 |
|
Virus de Hoy, Antivirus de Ayer..
|
A raíz de un artículo anterior, en el que tratamos el tema de la seguridad On Line, hemos recibido numerosas consultas de lectores que nos preguntan sobre lo que se debe hacer para poder disfrutar con seguridad de nuestra nueva autopista de información doméstica. Lo
primero sería tener la mínima precaución de instalar en nuestro sistema
un software que pueda evitarnos disgustos posteriores. Entre ellos, debemos
tener algún programa que sea capaz de detectar si existe algún proceso en
nuestro ordenador que pueda suponernos algún peligro, además de que nos
avise cuando un fichero peligroso trate de instalarse en nuestro ordenador. Este
software también debe ser capaz de detectar todo aquello que pueda parecer
sospechoso, aun sin tener información previa acerca de ello. Si se conoce
al enemigo es fácil verlo, pero ¿si no es así? Por eso, el programa debe
ser capaz de localizar comportamientos peligrosos sin que nadie le haya
dicho antes que ese código es dañino. Además,
ese software debe trabajar a muy bajo nivel, es decir, que en cuanto esté
entrando algo a través del cable, tiene que “enterarse” de lo que está
pasando mucho antes que ningún otro programa y avisarnos. Por ejemplo, en
un correo electrónico que se active simplemente con la vista previa, sin
necesidad de abrir el mensaje ni los ficheros adjuntos, deberíamos recibir
un aviso antes de que el programa lector del correo nos notifique que ha
recibido un mensaje. Otra
característica del programa es que debería ser independiente del resto del
software que se utiliza en el equipo. Es decir, que la protección debe ser
la misma si navegamos por Internet utilizando Microsoft Internet Explorer,
Netscape Navigator u Opera. O si recibo el correo con Eudora, que la
protección funcione también en Outlook Express o Pegasus. Ha
sido difícil no mencionar hasta ahora el tipo exacto de software que
necesitamos, pero lo he conseguido. Se trata, simplemente, de un antivirus.
Aunque muchas personas crean que estos programas únicamente nos van a
proteger de los virus, son también parte fundamental de la protección
contra ataques informáticos. Si yo no permito que entre en mi equipo
ninguna porción de software, nadie va a poder después lanzar un ataque
desde mi sistema, controlar mi equipo o ninguna otra de las tareas
predilectas de los hackers. Si
bien, en principio, los antivirus se diseñan para analizar códigos
maliciosos (es decir, el software que entra en el equipo y encontrar en él
código peligroso), también sirven para detectar troyanos, puertas traseras, etc.
Para ello, bastará con añadirle a su base de datos información
sobre dichos aspectos. Si esto se hace así, cuando un hacker quiera
introducir su programa en mi equipo debe pasar por el filtro de mi
antivirus, que lo detectará y me alertará. Otra
cosa sería que algún programa instalado en el equipo tuviera algún fallo
en su diseño que permitiera, sin introducir nada extraño, servir a las
malas artes. En ese caso, la solución suele estar disponible para tapar el
agujero antes de que nos demos cuenta. Todas las empresas de software están
constantemente actualizando sus productos contra esos posibles errores, así
que la mejor solución sería estar al tanto de las últimas actualizaciones
e instalarlas. En caso de duda, seguro que en la página web del fabricante
de, pongamos, su sistema operativo, encontrará abundante información.
Simplemente por tener su licencia (porque usted no utiliza software pirata,
¿verdad?) tiene derecho a esas actualizaciones. Y ya que hablamos de actualizaciones, debemos recordar que cualquier antivirus debe actualizarse. ¿Cada cuánto? Pues eso depende del fabricante. Cada uno le dirá que debe hacerlo exactamente con la frecuencia que él publique las actualizaciones, pero no podemos perder de vista que si las empresas están encontrando unos 15 nuevos códigos cada día que pueden causarnos problemas, esperar más de dos o tres días para actualizarnos es un correr un riesgo francamente elevado.
Otra
solución bastante común es la instalación de un Firewall personal. El
Firewall estará monitorizando constantemente todos los puertos usados en
nuestro ordenador para vigilar su actividad. Podremos hacer que nunca se
abra un puerto determinado, o que nos alerte cuando alguien está analizando
los puertos que tengamos abiertos. Generalmente
estas herramientas no son sencillas de configurar, y no suele ser fácil
llegar a dominarlas, por lo que no recomiendo su instalación alegremente.
Al contrario de lo que se suele hacer, primero estudie bien el manual y
después instale y configure según sus necesidades. Soluciones Para
poder controlar la seguridad en nuestras conexiones, disponemos de varios
sistemas para saber lo que está pasando en nuestro PC en todo momento.
Evidentemente, si tenemos un Firewall personal y disponemos de un antivirus
actualizado, muchas de estas funciones las realizarán estos programas por sí
solos. Uno
de ellos es comprobar los niveles de seguridad en los navegadores.
Generalmente, se pueden establecer distintas condiciones de seguridad en la
navegación, desde aceptar todo a rechazar prácticamente cualquier cosa que
nos pueda llegar. Lo mejor es buscar un equilibrio entre la navegabilidad
segura y la no navegabilidad. Existe
una poderosa herramienta que nos permite controlar qué conexiones tenemos
abiertas en nuestro ordenador; se llama NBTSTAT, y nos ofrece información
sobre las conexiones que están activas en nuestro PC. Si utilizamos el parámetro
“-a” nos mostrará todas las conexiones. Por ejemplo, si tecleo
“NETSTAT –A” en mi ordenador, veo lo siguiente: TCP
FCUADRA:1588 WWW.PANDASOFTWARE.COM:80
ESTABLISHED Tras
TCP, que nos informa sobre el protocolo usado, la primera palabra nos indica
el nombre de la máquina local, seguido del puerto que se está usando. A
continuación, el sitio al que estoy conectado y su puerto y, por último,
si la conexión está establecida. Los
puertos más usuales son los utilizados por conexiones http (80), correo
electrónico (110 y 25), transferencias FTP (21), conexiones a servidores de
noticias con NNTP (119) o chat a través de IRC (194). Todos los puertos
entre el 0 y el 1.023 están registrados para servicios estándar, y entre
el 1.024 y el 49.151 se han asignado a otras funciones no estándar, pero
conocidas. Sin embargo, los que van del 49.152 al 65535 son dinámicos y se
pueden utilizar para muchas cosas distintas, ¡incluso para que un troyano
ejecute sus acciones! Si alguna vez observa que hay un puerto abierto con
uno de esos números dinámicos, asústese porque algo raro puede estar
pasando. En la dirección http://www.iana.org/assignments/port-numbers se
muestra una lista completa de los puertos. Por
otro lado, los puertos usados por troyanos y demás malware suelen ser
muchos y diversos. Por eso, insertar aquí una lista completa ocuparía todo
el espacio del artículo. De todas formas, su proveedor de antivirus podrá
ayudarle a averiguar si una conexión se ha establecido por un programa de
correo electrónico o por un troyano que intenta entrar en su máquina. Si hemos llegado a la conclusión de que alguien o algo está conectado a nuestro PC sin nuestro consentimiento, deberíamos inmediatamente cortar la conexión. Otra solución, aunque más temeraria, es intentar entrar en la máquina que, presuntamente, nos está atacando, pero podría resultar peligroso. Por eso, lo mejor sería cortar la conexión, revisar con el antivirus todo el sistema y volver a conectar.
Fernando
de la Cuadra |
