Revista Hakin9 n23 04-2007 ES

hakin9
hakin9 de abril...
En abril, como cada mes desde enero del año 2007, hakin9 En breve 06
os trae una serie de artículos nuevos, interesantes y prácti-
cos, que os ayudarán en vuestras actividades profesionales
y que os dejarán conocer mejor algunas parcelas en el Resaltamos las noticias más importantes del mundo
mundo de la seguridad informática hasta este momento de la seguridad de sistemas informáticos.
desconocidas...
Uno de los artículos que seguro vale la pena leer es: Contenido de CD
Registro de Windows, que os enseñará cómo implementar
seguridad sobre el registro de Windows y también como hakin9.live 10
prevenir unos posibles ataques al Editor de Registro de Win-
dows. El autor de texto es un profesional certificado por Intel
Inside y también miembro de la comunidad de codigo seguro Comentamos el contenido y el funcionamiento de
de Microsoft – quién mejor para contarnos sobre este tema. nuestra distribución hakin9.live.
Seguro os resultará muy útil e interesante.
Otro artículo que vale la pena conocer es Bluetooth – La Herramientas
Amenza Azul . Los problemas que puede traernos el uso de
Bluetooth son cada vez más populares, por lo tanto vale la Virus Sort 2000 12
pena conocerlo mas a fondo. Y para los que ya conocen el
tema siempre es conveniente repetir la información.
En nuestra sección de herramientas encontrarán la des- The BlooD
cripción de Virus Sort 2000. Esta herramienta os ayudará Se trata de una herramienta indispensable para todo
a formar vuestra propia base de virus para coleccionarlos aquel coleccionista de virus que desee llevar al día su
e intercambiar con otros aficionados al tema. Al ser Sha- colección y poder intercambiar virus con otros colec-
reware todos podéis probarla. cionistas. VS2000 nos permite crear una base de
En el CD de hakin9 encontraréis nuestro habitual datos de nuestros virus, organizar nuestra colección,
hakin9live – cada vez mas actual y más útil. Tambien encon- ver estadísticas, comparar logs, permite eliminar
traréis aplicaciones profesionales – totalmente gratis solo posibles fakes de nuestra colección, archivos de 0
para los Lectores de hakin9. bites, entre otras muchas cosas.
Aprovechando esta oportunidad quiero invitaros otra vez
más a participar de forma activa en la revista. Los articulos Ataque
en la mayoria de las revistas están preparados por la redac-
ción sin consultar los temas con los Lectores. En hakin9 Registro de Windows 16
puedes ser tú quien decida sobre el contenido final de la
revista. Haciéndote nuestro Betatester recibirás articulos
para leerlos mucho antes que los demas Lectores. Y serás Víctor López Juárez
tú quién nos diga si vale la pena publicarlos. Esta ayuda es En este artículo aprenderás qué es el Registro de Win-
voluntaria – participas cuando tienes tiempo y ganas. dows y su editor, cómo implementar seguridad sobre el
Me gustaría también una vez más invitaros a compartir Registro y cómo atacar el Editor del Registro.
con los lectores de hakin9 vuestras experiencias con herra-
mientas de seguridad informática y participar en nuestros Bluetooth – La Amenaza Azul 24
tests.
También es una buena oportunidad para recordaros la
posiblidad de ser miembro de nuestro Club .PRO. Si tienes Ezequiel Martín Sallis
una empresa relacionada con seguridad IT este Club es para En este artículo aprenderás qué es Bluetooth, cómo
tí. Por un coste de suscripcion anual tienes la publicidad de funciona, cuáles son los ataques mas comunes, etc.
tu empresa en forma de tarjeta de visita, en los 12 números
correspondientes a la suscripción anual. Esto te ayudará Defensa
a dar a conocer a tu empresa con el coste muy bajo.
Si tenéis alguna duda, opinión o comenterio acerca de la Web Services Security 30
revista y su calidad no dudéis en poneros en contacto con
nostros. Todas las opiniones son muy valiosas para nuestra
redacción. José Carlos Cortizo Pérez, Diego Expósito, Diego Peces
Espero que disfrutéis de la compañía de hakin9, ¡buena En este artículo leerás cómo protegerse de los pro-
lectura! blemas básicos de seguridad relacionados con los
Katarzyna Chauca servicios web y lo que deberías tener en cuenta a la
hora de desarrollar tu propio servicio.
4 www.hakin9.org
hakin9
está editado por Software-Wydawnictwo Sp. z o.o.
Dirección: Software-Wydawnictwo Sp. z o.o.
ul. Bokserska 1, 02-682 Varsovia, Polonia
Tfno: +48 22 887 10 10, Fax: +48 22 887 10 11
www.hakin9.org/es
Producción: Marta Kurpiewska marta.kurpiewska@software.com.pl
Distribución: Monika Godlewska monikag@software.com.pl
Administrando la Redactor jefe: Anna Marcinkiewicz anna.marcinkiewicz@software.com.pl
Inseguridad Informática 36 Redactora adjunta: Katarzyna Świnarska
katarzyna.swinarska@software.com.pl
Preparación del CD: Rafał Kwaśny
Composición: Artur Wieczorek artur.wieczorek@software.com.pl
Traducción: Osiris Pimentel Cobas, Mariusz Muszak, Raúl Nanclares,
Jeimy J. Cano
Paulina Stosik
En este artículo aprenderás diseñar y construir sis- Corrección: Jesús Alvárez Rodrígez, Jorge Barrio Alfonso
temas menos inseguros, animar un apostura vigilante Betatesters: Juan Pérez Moya, Jose M. García Alias, Luis Peralta Nieto,
Jose Luis Herrera, Paco Galán
y proactiva en la gestión de la seguridad informática.
Publicidad: adv@software.com.pl
Programas malignos 44 Suscripción: suscripcion@software.com.pl
Diseño portada: Agnieszka Marchocka
Las personas interesadas en cooperación rogamos

Carlos Javier Fornes Cabrera se contacten: cooperation@software.com.pl
En este artículo aprenderás qué es un Virus, Gusano Si estás interesado en comprar la licencia para editar nuestras revistas
y Caballo de Troya. contáctanos:
Monika Godlewska
Ofuscación de Código en Java 56 e-mail: monikag@software.com.pl

tel.: +48 22 887 12 66
fax: +48 22 887 10 11
Imprenta: 101 Studio, Firma Tęgi

Javier Alcubierre Distribuye: coedis, s.l.
En este artículo leerás sobre proteger tu código de Avd. Barcelona, 225
miradas indiscretas, los puntos fuertes y débiles de 08750 Molins de Rei (Barcelona), España
los distintos métodos de ofuscación y sobre imple-
mentar tus propios métodos de ofuscación. La Redacción se ha esforzado para que el material publicado en la revista
y en el CD que la acompaña funcione correctamente. Sin embargo, no se
Para principiantes responsabiliza de los posibles problemas que puedan surgir.
Todas las marcas comerciales mencionadas en la revista son propiedad de
las empresas correspondientes y han sido usadas únicamente con fines
Protege gratis tu Windows 64 informativos.
¡Advertencia!
ANELKAOS Queda prohibida la reproducción total o parcial de esta publicación
Existen antivirus gratuitos que no tienen mucho que periódica, por cualquier medio o procedimiento, sin para ello contar
con la autorización previa, expresa y por escrito del editor.
envidiar a los comerciales, Un soft de protección
desactualizado puede ser el medio para vulnerar tu
sistema
La Redacción usa el sistema de composición automática
Los diagramas han sido elaborados con el programa
Test de consumidores 72 de la empresa
El CD incluido en la revista ha sido comprobado con el programa
Presentamos las opiniones de nuestros Lectores AntiVirenKit, producto de la empresa G Data Software Sp. z o.o.
sobre los programas antivirus.
Entrevista 76 La revista hakin9 es editada en 7 idiomas:

ES PL CZ EN
Anna Marcinkiewicz IT FR DE
Hablamos con Fernando Bahamonde, Presidente de
ISSA-España, nos cuenta sobre hacking y ajedrez,
sobre el mito de ser hacker que no pierde su actuali- Advertencia
dad y muchas cosas más...
¡Las técnicas presentadas en los artículos se pueden usar SÓLO
Próximo número 82 para realizar los tests de sus propias redes de ordenadores!
La Redacción no responde del uso inadecuado de las técnicas
Avance de los artículos que se encontrarán en la descritas. ¡El uso de las técnicas presentadas puede provocar la
siguiente edición de nuestra revista. pérdida de datos!
www.hakin9.org hakin9 Nr 2/2006 5

Breves
Videos y fotos de la Descubren software malicioso para Skype

ejecución de Saddam
que contienen virus
informáticos y spyware
Los crackers han evolucionado en
sus métodos malévolos y están
E l descubrimiento de un Troyano
que infecta Skype, la aplicación
de telefonía VoIP, podría indicar que
A pesar del hecho de que la téc-
nica de propagación de este gusano
es común, obviamente VoIP se está
atacando con campañas masivas los ataques dirigidos están avan- convirtiendo en un buen campo de
de spam con videos y fotos de la
ejecución de Saddam Hussein que
zando junto con la creciente popula- batalla que los autores de códigos
esconden en su interior virus infor- ridad de la VoIP. maliciosos pueden aprovechar. Ade-
máticos y spyware. Recientemente se descubrió un más, la rutina para el robo de con-
Un virus ha sido identificado gusano que ataca a los usuarios de la traseñas, la compresión polimórfica
como Banload y contiene el archivo popular aplicación de telefonía VoIP para evitar la detección, y un país de
Saddam morto.scr, el otro sería el
Skype en la región de Asia Pacífico, origen específico indican que es un
Delf.acc que contiene al archivo
saddam.exe. Estos virus tienen el ob- especialmente en Corea. De acuerdo ataque localizado/dirigido con fines
jetivo de lucrarse mediante el robo con Websense, el gusano utiliza de lucro.
de identidades y claves bancarias Skype Chat para descargar y eje- Trend Micro ya detecta este
para después limpiar las cuentas cutar un archivo llamado sp.exe. Al spyware usando el archivo de patro-
de sus propietarios. parecer, el archivo deposita un Tro- nes más recientes. De acuerdo con
40 años de cárcel yano que roba contraseñas con un las instrucciones manuales para eli-
por... un Spyware gusano integrado que utiliza NTKrnl minarlo, los usuarios afectados sim-
La profesora Julie Amero, de Secure Suite, una compresión rara plemente pueden eliminar el archivo
Windham, situado en el estado de pero no desconocida. detectado y quitar el registro que la
Connecticut, estaba impartiendo
La buena noticia es que aún no entrada crea.
su clase de inglés a los alumnos
de 12 años, cuando de la pantalla se ha reportado una amplia propa- El spyware troyano está hos-
de su ordenador salieron imágenes gación, señaló Jesús Vega, Director pedado en un sitio Web malicioso.
pornográficas. Estos hechos ocu- General de Trend Micro en España A través de la función de Chat se
rrieron en el 2004, y ahora ha sido y Portugal. Aunque eso no significa envía un enlace de dicho sitio a los
declarada culpable de riesgo de que los usuarios de Skype deban contactos de Skype, urgiendo a los
daños a menores por lo que podría
despreocuparse y entrar en los enla- usuarios a entrar en él. De hecho,
ser condenada a cuarenta años de
cárcel. ces que reciben mientras conversan. puede utilizar una forma de inge-
Las imágenes pop-ups que salie- Ya que el software espía no niería social al hacerse pasar por un
ron en el ordenador de la profesora parece explotar algún defecto de programa interesante. Al momento
eran fruto de un Spyware instalado Skype, se requiere de la intervención de desarrollar este boletín, el sitio ya
en el ordenador de la profesora. Las del usuario para enviar el enlace a los no estaba disponible.
imágenes salían de varias páginas
webs, como meetlovers.com y fe- contactos disponibles de un cliente El análisis inicial de la muestra
malesexual.com, entre otras. Para infectado de Skype. Se le notifica al que recibió Trend Labs revela que
la acusación tales imágenes solo usuario infectado que un programa este software espía es un keylogger
salían por que la profesora fre- está tratando de tener acceso y que típico; roba la secuencia de teclas del
cuentaba esas páginas, mientras tiene que aceptarlo. Por lo tanto, los usuario y guarda los datos recopila-
que la defensa argumentó, a través
usuarios no deben permitir que pro- dos en un archivo de texto. Esta rutina
del informático W. Herbert Horner,
el ordenador estaba infectado por gramas sospechosos tengan acceso puede dar a los usuarios maliciosos,
culpa de una inocente web de a Skype y deben evitar también incluidos hackers remotos, acceso
peinados y no por visitar páginas entrar en los enlaces que provengan no autorizado a la cuenta Skype de
pornos. Además el programa anti- de fuentes inesperadas. un usuario infectado, posiblemente
virus del colegio estaba caducado, Actualmente, Trend Micro iden- cuentas bancarias en línea y más.
por lo que la profesora no pudo
tifica el componente que roba con- Probablemente veremos amena-
limpiar su ordenador.
Los abogados de la defensa, traseñas como TSPY_SKPE, que zas adicionales para VoIP en el futuro.
en primera instancia pidieron la no es el primer código malicioso o Después de todo, el Vishing (phis-
anulación del juicio, alegando que software espía que utiliza Skype: en hing sobre VoIP) ya está rondando
el jurado comenzó a discutir el octubre pasado se detectó WORM_ por Internet. Y Wikipedia incluye
caso en un almuerzo en un bar, SKYPERISE.A. una entrada (http://en.wikipedia.org/
pero esta instancia fue rechazada.
Ahora pretenden apelar la decisión La diferencia es que este spyware wiki/VoIP_spam) para un problema
para mostrar la inocencia de su ya emplea una rutina más maliciosa aún no existente de spam vía VoIP,
cliente. (robo de información), en compara- llamado SPIT (Spam over Internet
ción con el gusano reportado en octu- Telephony). Esperemos amenazas
bre que sólo propagaba copias de sí para VoIP similares, si no es que más
mismo a otros usuarios, afirmó Vega. sofisticadas, en el futuro.
6 www.hakin9.org
News
Principales consejos Internet Explorer 6: 284

días inseguro
para estar protegido frente al phishing Un experto en seguridad del Was-
hington Post, publicó un informe
E l phishing se basa en mensajes

de correo electrónico que con-
ducen a sitios Web maliciosos dise-
nio de la página para comprobar que
no hay ningún tipo de variación con
el correspondiente al dominio real
para nada alentador para el nave-
gador de Microsoft.
Según una investigación hecha
por el prestigioso diario Washing-
ñados para robar datos bancarios de de la entidad. Además, cerciórese
ton Post, haber utilizado la versión
usuarios – PandaLabs confirma que de que está realizando una conexión 6 del popular navegador de Micro-
esta amenaza continuará siendo pro- segura. Para ello, debe observar que soft, Internet Explorer, fue inseguro
tagonista durante este nuevo año. se encuentra en pantalla el dibujo durante 284 días, más de un tercio
PandaLabs, el laboratorio anti- del candado cerrado que nos indica del año.
El informe revela que, aún aque-
malware de Panda Software, con- la seguridad de la conexión y que la
llos usuarios que parchearon su
firma que el robo de datos privados URL comienza con las letras https. equipo tan pronto como Microsoft
y confidenciales por Internet, phis- También, en caso de duda, se puede publicó los parches también estu-
hing, es una de las principales ame- comprobar que la certificación de la vieron expuestos a cualquier clase
nazas de cara al nuevo año. La gran Web sea válida, haciendo doble clic de exploits.
cantidad de transacciones económi- en el candado. Para agravar más la situación,
hubo 98 días (el año pasado) en
cas realizadas en las fechas navide- Otra forma de asegurar la co-
los cuales no hubo ningún tipo de
ñas provoca un aumento de fraudes nexión en el sitio Web real de la com- parche disponible para fallas que
online de este tipo. Por ello, Panda- pañía es escribiendo directamente en habían sido detectadas y utilizadas
Labs ofrece una cómoda guía de con- el navegador la dirección de la en- por los hackers para robar datos
sejos para salvaguardar la integridad tidad a la que deseamos acceder, no personales.
económica de los usuarios. a través de hipervínculos que pue- En comparación, los usuarios
del Mozilla Firefox solo estuvieron
Lo primero a tener en cuenta es dan estar dirigidos a sitios Web frau-
nueve días expuestos de manera
que su entidad bancaria nunca se va dulentos que permitan el robo de crítica a la merced de cualquier
a poner en contacto con usted por datos. ciber–delincuente que quisiera
medio del correo electrónico para Además, la revisión periódica del aprovecharse de ellos.
pedirle ningún tipo de contraseña. extracto de las cuentas bancarias Si bien la versión 7 del Explorer
promete más seguridad y menos
Los mensajes de correo electrónico sirve para cerciorarse de que no han
fallas, su tardío lanzamiento (no-
que reciba solicitándole datos o con existido movimientos irregulares de viembre del año pasado) no al-
un enlace que le lleve a una pági- activos en su cuenta, que podrían canzó para que el panorama con
na donde le sean pedidos, bórrelos haber sido provocados por un ataque respecto a las vulnerabilidades no
directamente, ya que es muy probable de phishing. Si observa operaciones fuera tan sombrío.
que se traten de mensajes fraudulen- desconocidas e irregulares en su
Bug crítico en Adobe
tos. extracto, la mejor solución es contac- Reader y Acrobat 7.0.8
Asegúrese también de que la tar con la entidad bancaria con la que Resulta que los programas de
página Web que está visitando es se han realizado las transacciones, Adobe también pueden ser afec-
realmente la de la entidad bancaria de modo que se pueda detallar en tados. Un polaco Piotr Bania ha
descubierto una vulnerabilidad ca-
que desea. Hay que observar el domi- qué han consistido las mismas.
talogada como crítica en Adobe
Reader y Acrobat. Este bug puede
ser explotado por atacantes para
La industria informática alcanza hacerse con un control total del
acuerdo en la definición de Spyware sistema afectado. El fallo se da por
un error de corrupción de memoria
L
cuando se procesan datos malfor-
a Anti–Spyware Coalition, for- se encuentran todos aquellos que se
mados lo que lleva bajo determina-
mada por Microsoft, Symantec, expanden masivamente por correo das circunstancias a la ejecución
Computer Associates, AOL, Yahoo! electrónico, virus y worms (gusanos). arbitraria de comandos por ejemplo
y McAfee, publicó en su sitio Web el Códigos instalados sin autoriza- abriendo un documento especial-
primer documento en el que se define ción ni conocimiento de los usuarios, mente manipulado. Afecta Adobe
conjuntamente el termino Spyware. a través de un bug de seguridad, son Reader 7.0.8 y anteriores, Acrobat
Standard, Profesional, Elements
En el documento se hace una también considerados de alto riesgo,
y 3D versiones 7.0.8 y anteriores.
clasificación de este tipo de códigos así como aquellos que interceptan La solución pasa por actualizar
(que se instalan en el ordenador emails o modifican los niveles de a las versiones 7.0.9 – 8.0.0.
para espiar la actividad de los usua- seguridad del ordenador.
rios) basado en el riesgo que supo- El documento ha levantado cierta
nen. Entre los códigos de alto riesgo polémica en el sector informático.
www.hakin9.org 7
Breves
Un internauta condenado Telefónica pone a disposición de Pymes,

a dos meses de prisión
y a una multa por descargar Negocios y Profesionales una herramienta
películas de software diseñada por ECIJA
Un internauta francés que des-
T
cargaba películas por el sistema elefónica de España continúa mento de Seguridad de la empresa,
de intercambio directo de ficheros avanzando en su objetivo de incluye la Documentación Jurídica
(peer-to-peer) ha sido condenado
a dos meses de cárcel y a una
facilitar la gestión de los negocios necesaria para la adecuación (con-
multa, según la sentencia dada a co- y las pequeñas y las medianas empre- tratos, cláusulas, avisos legales, etc).
nocer por un tribunal de Nantes. sas y para ello lanza al mercado la El uso de esta solución garantiza la
No obstante, esta persona no ten- Solución Ayuda LOPD. Esta solución adecuación a la ley de forma rápida
drá que ingresar en prisión. on-line permite cumplir con las obli- y eficaz a bajo coste, evitando cuan-
El ordenador de este usuario
gaciones impuestas por la normativa tiosas sanciones por parte de la
había llegado a acumular alrededor
de 400 películas, por las que tendrá de protección de datos personales Agencia Española de Protección de
que pagar ahora 10 euros por cada de una forma sencilla y económica. Datos y velando por la profesionali-
una a las asociaciones de edición Para ello, ha trabajado con Ecija, dad y la calidad de servicio.
de obras cinematográficas que se firma de Abogados y Consultoría Las principales ventajas de esta
habían personado como parte civil IT especializada en Protección de solución on-line son la facilidad de
en este proceso.
Datos y en la labor de apoyo y ges- uso puesto que no se requieren
La sentencia tiene en cuenta que
el internauta descargaba películas tión a las empresas. conocimientos técnicos ni jurídicos
para su propio disfrute, sin interés Solución Ayuda LOPD se basa en para su utilización debido a la auto-
lucrativo. Por este motivo se le han una aplicación web (en modo ASP) matización de la mayoría de los
aplicado sanciones reducidas. que analiza la importancia y el grado procesos y los servicios de soporte
El Parlamento francés aprobó de confidencialidad de los datos gratuito. Su implantación supone
definitivamente una ley en junio de
2006 que regula las descargas de
personales que tratan las pymes, un ahorro de costes y garantiza la
obras a través de Internet y con- negocios y profesionales y ofrece las actualización continua, estando cu-
templa en algunos supuestos pe- soluciones necesarias para el cum- bierta la adaptación a la normativa
nas de cárcel y multas. Además, la plimiento tanto de la Ley Orgánica ante posibles cambios legislativos,
ley francesa establece sanciones 15/1999 de Protección de Datos de así como la fiabilidad, ya que la solu-
graduales que pueden llegar a los
Carácter Personal (LOPD) como del ción está desarrollada por un equipo
tres años de cárcel y fuertes mul-
tas para el que comercialice pro- Real Decreto 994/1999, Reglamento de consultores, técnicos y abogados
gramas destinados a fomentar la de Medidas de Seguridad (RMS). especialistas en la protección de
piratería. Además, el servicio proporciona datos personales.
los formularios oficiales de inscripción La Solución Ayuda LOPD puede
Encuentran una denega-
ción de servicio en Snort de ficheros ante la Agencia Española contratarse a través de la Red de
En los últimos días se ha encon- de Protección de Datos, permite Ventas de Telefónica de España,
trado una vulnerabilidad en Snort generar y mantener siempre actuali- los distribuidores autorizados y en
1.x y 2.x que puede ser aprove- zado, y de forma dinámica, el Docu- www.telefonicaonline.com.
chada por atacantes sobre todo
para provocar una denegación de
servicio en el detector de intrusos.
El problema se basa en que el
algoritmo de reconocimiento de
patrones en Snort puede ser abu-
sado para que consuma todos los
recursos y provocar que el ratio
de detección baje hasta ser nulo
a través de paquetes especialmen-
te manipulados.
La vulnerabilidad se ha confir-
mado en la versión 2.4.3 pero otras
podrían verse afectadas. Para evitar
este problema, se recomienda ac-
tualizar a las últimas versiones, o sea,
descargarlas desde la página Web
www.snort.org.
Proyecto Telefónica On-line
8 www.hakin9.org
News
Encuentran múltiples vulnerabilidades Spyware de Nueva

Generación que Elude
en lectores de archivos PDF a los Antivirus
Los hackers y cibercriminales uti-
D iferentes lectores de archivos

PDF son propensos a múltiples
vulnerabilidades del tipo desbor-
la memoria, acceso no autorizado
a zonas de la memoria y denegación
de servicio.
lizan troyanos y keyloggers para
traspasar la seguridad de los anti-
virus y antispywares. Esto ha oca-
sionado que el 89% de los PCs par-
damiento de búfer. La situación se La corrupción de la memoria con ticulares estén infectados con un
produce debido a que por diseño, la consecuente escritura de datos en promedio de 30 virus informáticos
éstas aplicaciones no comprueban áreas no previstas para ello, pueden o spywares cada uno. Según se
los límites de la información propor- llevar a la ejecución arbitraria de analiza en el informe de Webroot,
cionada por estos archivos, antes de código. empresa de seguridad informática
creadora del producto antispyware
manipular la misma y copiarla a un Hasta ahora se ha comprobado
Spy Sweeper.
búfer con insuficiente tamaño para el problema en los siguientes lecto-
recibirla. res de archivos PDF: Una variante troyana
Un atacante puede explotar estas del virus informático
debilidades para ejecutar código • Adobe Acrobat Reader 7.0.x, Código Rojo ataca redes
informáticas británicas
de forma arbitraria, aunque esto • Adobe Acrobat Reader 6.0.x, y estadounidenses
depende del contexto y del lector • Adobe Acrobat Reader 5.1, Expertos en seguridad en Internet
en concreto. La prueba de concepto • Adobe Acrobat Reader 5.0.x, informan que están vigilantes ante
existente, solo ocasiona una dene- • Adobe Acrobat Reader 4.0.x, la aparición de una variante de
gación de servicio (la aplicación • Adobe Acrobat Reader 3.0, tipo troyana del gusano informático
Código Rojo que detectaron tras
involucrada se congela y deja de • Apple Mac OS X Preview.app
los ataques cometidos en miles de
responder). Otros ataques podrían 3.0.8 (409), terminales repartidas entre Estados
ser implementados a partir de esta • Xpdf 3.0.1 (Patch 2). Unidos y Reino Unido.
situación, y ser empleados para el La variante del Código Rojo fue
robo de información, o la ejecución Sin embargo, siempre hay que tener identificada como Código Rojo C.
de algún código malicioso. en cuenta que otras aplicaciones por la empresa privada de seguri-
dad en Internet, Symantec AntiVi-
El problema se origina al aplicar también podrían ser afectadas, ya rus Research Center, y no tardó en
las especificaciones para los docu- que no se debe a un problema de las causar alarma mundial.
mentos en formato PDF (que es aplicaciones en si mismas, sino a un El UNIRAS, una sección del cen-
una abreviación de Adobe Portable error de diseño de las especificacio- tro del Gobierno británico para coor-
Document Format). La especifica- nes para leer estos archivos. dinar esfuerzos en la defensa de la
infraestructura informática británica
ción 1.3 de Adobe, define una serie No es afectada la versión 8.0 de
contra ataques electrónicos, así
de objetos en forma de árbol con Acrobat Reader. como la compañía de software anti-
jerarquías (es decir, cada objeto Debido a su naturaleza (o sea, virus Network Associates se confe-
se organiza en diferentes ramas, error de diseño), desgraciadamente saron víctimas del nuevo invasor en
cada una dependiente de la anterior no existe una solución concreta para Internet.
hasta llegar a la raíz), formando un este problema. Las consecuencias Código Rojo C tiene poco que ver
con su padre virtual ya que esta
diccionario en forma de catálogo. de su explotación, dependerán de la
nueva versión no desactiva páginas
El catálogo contiene las referencias aplicación y la plataforma utilizada. Web como hacía el Código Ro-
necesarias a objetos y datos que Para protegerse mejor antes de jo, sino que otorga al pirata informá-
componen el contenido del docu- los ataques de virus, se recomienda, tico control remoto sobre las com-
mento y sus atributos. También, como una forma de disminuir los putadoras que infecta por medio de
contiene directivas para definir la riesgos, no abrir documentos PDF un caballo de Troya que introduce
en el sistema.
forma en que el documento debe que no han sido solicitados, o que Su capacidad de dispersión es
ser mostrado al usuario por la apli- vienen de fuentes no comprobadas, hasta seis veces más rápida, y sus
cación. una cosa muy importante es también posibles efectos sobre Internet se
Por un error de diseño, no se mantener actualizado su antivirus. desconocen, siendo más difícil de
contempla en estas especificacio- Una solución temporal también detectar y más complicado de eli-
minar que su predecesor.
nes el uso de nodos o ramas con podría ser utilizar únicamente Acro-
Esta nueva amenaza es más peli-
referencias u objetos inválidos. De bat Reader 8.0.0 como lector, pero grosa que las versiones anteriores
ese modo, cuando el documento ello no asegura al usuario no ser del Código Rojo, a pesar de que es
incorpora un nodo inválido, la afectado por otras consecuencias de improbable que afecte toda la infra-
conducta de la aplicación es ines- este problema. estructura de Internet a corto plazo,
perada. Las consecuencias (entre según el UNIRAS.
otras), pueden ser la corrupción de
www.hakin9.org 9
hakin9.live
Contenido de CD
E
n el disco que acompaña a la revista se en- por eso el Comodo Firewall tenía que pasar muchos
cuentra hakin9.live (h9l) en la versión 3.2.1 tests de seguridad para asegurarse de que tiene una
– aur – distribución bootable de Aurox que poder suficiente para averiguar todos los datos que
incluye útiles herramientas, documentación, tutoriales entran en tu ordenador. Es capaz de clasificar hasta 10
y material adicional de los artículos. Para empezar el 000 aplicaciones según su nivel de seguridad: SAFE,
trabajo con hakin9.live, es suficiente ejecutar el orde- SPYWARE y ADWARE. Pasó el Comodo's Patent In-
nador desde el CD. Después de ejecutar el sistema jection Leak Test que simula la técnica que usan los
podemos registrarnos como usuario hakin9 sin intro- hackers durante los ataques de Troyanos. No necesita
ducir contraseña. ningún cambio de configuración para trabajar con su
El material adicional se encuentra en los siguientes máxima fuerza.
directorios:
Enigma Lite Desktop Edition
• docs – documentación en formato HTML, Enigma Lite Desktop Edition (versión trial de 90 días) es
• art – material complementario a los artículos: scripts, un programa que sirve para almacenar y transferir do-
aplicaciones, programas necesarios, cumentos; lo usan tanto los usuarios individuales para
• tut – tutoriales, tutoriales tipo SWF. proteger sus ordenadores de mesa o portátiles, como
las grandes empresas. Asegura la protección y la priva-
Los materiales antiguos se encuentran en los subdi- cidad de archivos, correos electrónicos, bases de datos
rectorios_arch, en cambio, los nuevos – en los direc- y de todos los documentos. Enigma ofrece una solución
torios principales según la estructura mencionada. En diseñada también para sistemas operativos Microsoft;
caso de explorar el disco desde el nivel de arranque sus componentes están integrados con el Windows.
de hakin9.live, esta estructura está accesible desde el Nuestros lectores reciben el descuento de 50% para la
subdirectorio /mnt/cdrom. versión completa del programa.
Construimos la versión 3.2.1 – aur h9l en base a la
distribución de Aurox 12.0 y de los scripts de generación Net Conceal AntiHistory
automatica (www.aurox.org/pl/live). Las herramientas Net Conceal AntiHistory (versión completa) es un pro-
no accesibles desde el CD se instalan desde el reposi- grama que borra perfectamente historial de tu actividad.
torio de Aurox con el programa yum. Es capaz de borrar las cookies, Temporary Files, infor-
En h9l encontraremos un programa de instalación mación recién escrita, historial de búsqueda, etc. Se lo
(Aurox Live Instaler). Después de instalar en el disco se puede usar con programas Internet Explorer, Windows,
puede emplear el comando yum para instalar progra- MS Office, MSN Messenger, programas de archivo
mas adicionales. (WinZip y WinRAR), programas de P2P (Kazaa, eMu-
le), Google Toolbar y Google Desktop.
Tutoriales y documentación
La documentación está compuesta de, entre otros, tuto- NetConceal Anonymizer
riales preparados por la redacción que incluyen ejerci- NetConceal Anonymizer (versión trial) es un software
cios prácticos de los artículos que esconde tu IP cuando navegas por la red o durante
Suponemos que el usuario emplea hakin9.live. cualquiera actividad tuya en Internet. Se lo puede usar
Gracias a ello evitaremos los problemas relacionados con el Internet Explorer, programas de P2P, o con el
con las diferentes versiones de los compiladores, la e – mail – nadie verá tu autentica dirección de IP. ¡Es-
diferente localización de los archivos de configuración conde tu IP y siéntete seguro!
u opciones necesarias para ejecutar la aplicación en el
entorno dado. eScan Internet Security
Especialmente para nuestros Lectores CD1 contie- Es una solución de seguridad diseñada para proteger
ne aplicaciones comerciales: los ordenadores personales de los virus, spyware, tro-
yan, adware, malware, keyloggers, hackers, spammers,
Comodo Firewall Pro etc. Contiene el escanner de los emails y páginas Web,
Comodo es una empresa especialista líder en seguri- spam blocker para prohibir los emails peligrosos, ges-
dad de Internet y provee la nueva generación de Solu- tión de privacidad, filtro de Pop-ups, etc. Versiones en
ciones de Seguridad para E-commerce. Casi todos los inglés, español, francés, alemán, polaco, chino, islan-
firewalls desgraciadamente tienen algunos agujeros, dés, portugués, italiano y finlandés. l
10 www.hakin9.org
En caso de cualquier problema
con CD rogamos escribid a: Si no puedes leer el contenido
cd@software.com.pl del CD y no es culpa de un daño
mecánico, contrólalo en por lo
menos dos impulsiones de CD.
Virus Sort 2000
Sistema operativo: Windows
Licencia: Shareware
Destino: Catalogador de colecciones de virus
Página de inicio: http://www.infonegocio.com/vbuster/
Herramientas
Como el propio programa dice, Virus Sort 2000 es everything VX Collector Needs. Se trata de
una herramienta indispensable para todo aquel coleccionista de virus que desee llevar al día su
colección y poder intercambiar virus con otros coleccionistas.
VS2000 nos permite crear una base de datos de nues- hacer de nuevo un log con toda la colección para
tros virus, organizar nuestra colección, ver estadísticas, actualizar nuestra base de datos, bastará con hacer
comparar logs, permite eliminar posibles fakes de nues- un log de los nuevos virus, y añadirlos a nuestra base
tra colección, archivos de 0 bites, entre otras muchas de datos.
cosas. • Compare two logs: Compara dos los entre ellos
VS2000 posee una licencia Shareware, pero el único mismos, NO los compara con la base de datos. Crea
pago que hay que efectuar es ceder una cantidad de dos archivos logs, en los cuales están los virus que
virus, la que sea, a su autor, para poder conseguir las faltan en el otro log, es decir, si comparamos los logs:
nuevas versiones, aunque en la Web del autor existe una blood.log y avp.log nos creará dos archivos: uno que
versión algo más antigua. contenga los virus que faltan en el log blood.log y que
se encuentran en avp.log, y otro log de forma vice-
Virus Databases versa.
Como es lógico empezaremos por el principio, y el prin- • Search: Busca virus dentro de nuestra base de datos.
cipio es la pestaña de Virus Databases. En esta pestaña Realmente útil para buscar virus concretos.
esta todo lo relacionado con nuestras bases de datos • Generate Reports: Dentro de esta opción nos encon-
de virus. VS2000 transforma un archivo log en una ba- tramos con muchas más opciones:
se de datos, la cual nosotros podemos modificar, con- – Generate virii lists: Nos crea una lista con todos
sultar, etc. nuestros virus.
– Generate report: Nos crea un archivo log, igual
• Build Database: Desde aquí se hace una base que el creado con el antivirus, de cada una de
de datos a partir de un archivo log. Es necesa- nuestras bases de datos.
rio recordar que VS2000 nos hace una base de – Generate statistics: Crea un informe con los tipos
datos distinta por cada log que tengamos. VS2000 de virus que poseemos, el número de virus de
reconoce los tipos más usuales de log dependien- cada tipo, y el porcentaje. Esta opción también es
do del antivirus, por lo tanto nos realizará una realmente útil.
base de datos para KAV (Kaspersky), otra para – Generate browse list from DATs: Genera una lista
NOD, … Las bases de datos se guardan con la ex- en 2 o 3 columnas en las que aparece el nombre
tensión *.DAT dentro de una carpeta llamada vir- que AVP le da a un virus, el nombre que le da F-
data. Prot y el fichero que tienes en tu colección corres-
• Compare Log: Compara nuestra base de datos con pondiente a ese virus.
otro archivo log. Si queremos comparar un archivo
de KAV con nuestra base de datos, VS2000 lo
comparará con la base de datos de KAV, no con las
demás bases de datos, si es un log de NOD, pues
con la base de datos de NOD. Esto es por la sen-
cilla razón de que todos los antivirus no nombran
a los virus de igual forma. Cuando se hace una
comparación se crea un archivo log con los virus
que faltan en tu base de datos y que si están en el
otro log.
• Add new virii to DAT: Añade nuevos virus desde un
log a nuestra base de datos. Esto es muy útil puesto
que si conseguimos nuevos virus no necesitamos Figura 1. Virus Database
12 www.hakin9.org
Herramientas
– Generate browse list from 2 logs: Al igual que la archivo BAT para que nos haga esa tarea, en lugar de
opción anterior pero con dos logs externos a la que VS2000 nos la haga.
dase de datos. • List of extensions: Pues como se indica, no crea una
– Generate virii count report: Genera un archivo con lista de todas las extensiones de los archivos que hay
el número de virus únicos y totales por cada base en cierto directorio, pero eso si, todas distintas, si
de datos que tengamos. encuentra una extensión que ya esta en la lista, no la
– Generate graphical statistics: Realiza estadísticas vuelve a poner.
gráficas a partir de un archivo generado con la • Find 0 bytes files: Busca archivos de 0 bytes, archivos
opción Generate virii count report antes comen- que aparentemente son normales, pero que no con-
tada y permite guardarlas como *.bmp. El único tienen nada.
inconveniente es que actualmente solo esta dis- • Delete empty directories: Nos busca directorios va-
ponible para KAV y F-Prot. cíos y los elimina.
• Optimize DATs: Ordena los datos de los archivos
*.DAT, de tal forma que realiza las comparaciones de Weed Files
forma mucho más rápida. Se trata de algo parecido a la pestaña Virus Databases
• Process with logs: Con esto podremos hacer muchí- pero en lugar de utilizar archivos logs, utiliza archivos
simas cosas relacionadas con los logs. Las más crc32 o md5.
importantes son: crear un log con los fakes de nues- CRC32 en español seria Código de Redundancia
tro log, crear una lista de virus duplicados,… Cíclica y se utiliza principalmente para detectar y co-
• Process with strings: Desde aquí se podrá modificar rregir errores en archivos. CRC32 realiza un cálculo
el log a nuestro gusto, podremos remplazar una de los archivos mediante cierto algoritmo, y le da un
linea, palabra, etc. por cualquier otro texto, borrar nombre, por lo tanto, no existen dos archivos iguales
líneas que contengan ciertas palabras, etc. con distinto nombre de CRC32. El caso de MD5 sería
• Extra Options: Permite añadir identificaciones similar.
a logs desconocidos, para que VS2000 los pue- Esto es de gran utilidad para evitar tener virus
da comparar, etc. También permite optimizar los duplicados. Como podréis ver, dentro de VS2000 exis-
DATs inmediatamente después de añadir nuevos ten muchísimas aplicaciones para conseguir tener una
virus. colección lo más depurada posible.
Las opciones que podemos encontrar en esta pes-
Manage Files taña son: Create database, Add files hot database,
Desde esta pestaña se podrán realizar todas las opcio- Check for duplicated files y Create log with new files. En
nes relacionadas con los archivos de nuestra colección. este apartado no nos pararemos mucho, puesto que las
A continuación vamos a comentar todas las opciones de opciones son similares a las comentadas anteriormente,
esta pestaña:
• Manage Files: En esta opción encontraremos algu-

nas posibilidades, desde mover archivos, definir un
directorio de destino o desactivar la extracción de
ficheros comprimidos.
• Delete Files: Permite borrar archivos a partir de un
log. Una gran utilidad de eso es la posibilidad de
borrar nuestros virus duplicados mediante el log rea-
lizado con la aplicación comentada en Process with
logs.
• Real Duplicate Remover : Realiza una compara-
Figura 2 Manage Files
ción entre un log de F-Prot y AVP (Kaspersky)
para comprobar cuales están realmente duplica-
dos.
• Pack Request: Nos hace un archivo zip con los virus
que otro trader nos ha pedido, lógicamente nos lo rea-
liza mediante el log que el otro trader nos envíe con el
pedido de virus que el nos realice.
• Extensión Renamer: Nos renombra las extensiones
a sus extensiones reales, por ej. si tenemos un
archivo *.XXX y su extensión real es *.EXE, VS2000
detecta eso y nos pone la extensión real, las extensio-
nes desconocidas pasarán a ser *.VIR, una extensión
neutra. A la vez dispone de la posibilidad de hacer un Figura 3. Weed Files
www.hakin9.org 13
Herramientas
solo cambia el modo de operar, que puede ser desde • Collection Maker Style: C:\VIRUS\J\
un log, o como en ese caso, desde un archivo CRC32 Jerusalem.1808.a\A456725F.COM: Se basa en KAV
o MD5. para nombrar y organizar los archivos.
• Create Directories: C:\VIRUS\AVP\J\Jerusalem\
Fake/Goat Scanner 1808\a\0456ADEF.COM: Muy parecido al anterior,
Como va siendo normal, otra aplicación para depurar pero de una forma mucho mas esquematizada.
nuestra colección. Es muy importante mantener nuestra
Herramientas • Virus Name: C:\VIRUS\J\Jerusalem.1808.a.COM:
colección libre de fakes o basura y para ello esta herra- Basado en el nombre de los virus y ordenado en car-
mienta es la apropiada. Además, su autor va actualizando petas del 0-1 y A-Z.
la base de datos de fakes, para así no tener problemas • Virus Types: C:\VIRUS\Win32\2FA67211.EXE: Se
a la hora de eliminarlos. basa en el tipo de virus para realizar la organización.
Entre las opciones que encontraremos están la de
escasear fakes en archivos, desde un log, escasear Virus Explorer
basura desde archivos o desde un log al igual que con Nos muestra una lista con el nombre, según KAV y F-
los fakes. Prot, de todos los virus de nuestra colección y al lado
En este apartado tampoco nos detendremos mucho la dirección donde se encuentran. Realmente solo hace
puesto que es sumamente sencillo. eso, así que pasemos a la siguiente pestaña.
Virus Organizer Stats

Sin duda una de las herramientas mas importantes, Desde aquí (Figura 4) podremos observar, de forma grá-
¿Qué sería de una colección desorganizada? Desde aquí fica y para cada una de las bases de datos de cada logs,
podemos organizar nuestra colección a partir de un log. las estadísticas de nuestra colección. Podremos saber
Podemos elegir entre 5 tipos distintos de organización, el número de virus totales y únicos que poseemos así
además de tener la posibilidad de comprimir los archivos, como el porcentaje de virus y de warning, generics, que
mover archivos, o en su defecto copiarlos. poseemos.
Los tipos de organización son los siguientes: Vamos a hacer algunas aclaraciones sobre esto.
A lo de virus únicos y totales, veréis, hay veces en las
• Bulk Style: C:\VIRUS\0\04\04ABC903.EXE: Usa que un archivo contiene un único virus, pero en otras
CRC32 o MD5 para nombrar los archivos. ocasiones un solo archivo, puede contener varios virus,
un ej. puede ser un archivo *.txt donde poseamos
los códigos fuente de varios virus, otro puede ser un
archivo *.exe resultado de unir dos virus mediante un
joinner, por lo tanto, virus totales serían el total, y virus
únicos serían aquellos en los cuales un solo archivo
contiene un único virus.
A lo de warning o generics veréis, normalmente KAV
detecta los virus como Infected:, pero en otras ocasio-
nes hace una llamada a un virus mediante Warnings
o advertencias, eso quiere decir que probablemente
ese archivo sea el virus X, pero no con exactitud.
Al igual RAV, NOD o F-Prot tienen sus peculiaridades
Figura 4. Estadísticas de la colección
a la hora de detectar virus, y son recogidas de forma
gráfica en esta pestaña.
Bueno, pues aquí acaba la explicación de esta magni-
fica herramienta, aunque VS2000 esconde muchas más
utilidades, como puede ser la de un servidor FTP, es un
scan de puertos, contiene una librería donde encontrar
información sobre todas las e-zines de información
vírica, información sobre Constructor kits o laboratorios
de virus e información sobre otras utilidades víricas, per-
mite tener nuestra propia base de datos sobre traders,
y un sin fin de utilidades más.
The BlooD
theblood@gmail.com
Figura 5. Página oficial de Virus Trading Center
14 www.hakin9.org
Registro de Windows
Ataque
Víctor López Juárez
Grado de dificultad
Albert Einstein una vez dijo: La formulación de un problema

es más importante que su solución. Un administrador de equipo
como fundamento de seguridad prefiere denegar el acceso
al Editor del Registro a todo usuario que no forme parte de
su grupo.
S
in embargo haciendo uso de ésta res- las configuraciones personales de cada cuenta,
tricción de acceso brindada por Win- como por ejemplo el archivo ntuser.dat que co-
dows no considera las consecuencias rresponde a la clave HKey _Current_User.
prácticas que puede llegar a obtener un ata-
cante si elude dicha restricción. Abriendo el Registro
Primero explicaremos qué es el Registro de Intentaremos abrir el registro de Windows, en
Windows: el registro está conformado por una esta ocasión lo haremos ingresando a la clave
serie de archivos, anteriormente en las versio- HKEY_LOCAL_MACHINE\Software desde su
nes de Windows 3.x el registro se guardaba en ubicación en C:\Windows\System32\Config\
archivos con extensión .ini, más tarde en las Software. Podemos percatarnos que el archivo
ediciones Windows 9x el registro de Windows Software no tiene extensión, lo que nos indica
se denominaba User.dat y System.dat mientras
que en Windows Me estaba conformado por
Classes.dat, User.dat y System.dat. En este artículo aprenderás...
En Windows XP para localizar los archivos
• Qué es el Registro de Windows y su editor,
que conforman el Registro debemos acceder
• Cómo implementar seguridad sobre el registro
a la siguiente ruta dentro del disco local, en que
de Windows,
fue instalado el sistema, comúnmente en C: • Cómo atacar el Editor del Registro de Windo-
\Windows\System32\Config, dentro de ésta car- ws.
peta encontraremos varios archivos que corres-
ponden a nuestro registro, también llamados Lo que deberías saber...
Hives
No todos los archivos que componen el • Bases de programación en lenguaje ensambla-
registro de Windows están ubicados dentro de dor,
esta carpeta, también existen Hives o claves • Poseer conocimientos básicos sobre adminis-
que contienen subclaves y valores ubicados en tración de sistemas Windows.
las carpetas de cada usuario las cuales guardan
16 www.hakin9.org
Registro de Windows
que carece de un programa asociado Tabla 1. Claves de configuración personal

por medio del cual se pueda ejecu-
tar, para solucionarlo hacemos doble Sección del Registro Archivos en C:\Windows\System32\
click sobre el archivo, escogemos la Config
opción Seleccionar el programa de HKEY_LOCAL_MACHINE\SAM Sam, Sam.log, Sam.sav
una lista y por ultimo optamos por HKEY_LOCAL_MACHINE\ Security, Security.log, Security.sav
WordPad, como resultado veremos Security
lo siguiente (Figura 1). HKEY_LOCAL_MACHINE\ Software, Software.log, Software.sav
Es evidente que la aplicación Software
WordPad no es la adecuada para
HKEY_LOCAL_MACHINE\ System, System.alt, System.log,
manipular el registro, para ello Win-
System System.sav
dows creó el Editor del Registro
(Regedit.exe) mediante el cual es HKEY_CURRENT_CONFIG System, System.alt, System.log,
posible acceder al registro y mo- System.sav,
dificarlo bajo un entorno dinámico Ntuser.dat, Ntuser.dat.log
y jerárquico muy parecido al propio HKEY_USERS\DEFAULT Default, Default.log, Default.sav
Explorador de Windows. Aunque el
Editor del Registro permite inspec- se obtiene acceso al Registro de un usuario que logre acceder al editor del
cionar y modificar el Registro, nor- equipo remoto, sólo aparecen dos registro puede llevarse consigo bas-
malmente no necesitaremos hacerlo. claves predefinidas: HKey _Users y tante información relevante sobre las
Microsoft no garantiza solucionar los HKey _Local_Machine. A continua- características de nuestro sistema.
problemas resultantes por el uso in- ción veremos las claves predefinidas La idea de que si accedemos
correcto del Editor del Registro, así utilizadas por el sistema (Tabla 2). a otro sistema y copiamos el Editor del
que utilizaremos esta herramienta Estas claves o también llamadas Registro de Windows ubicado en C:
bajo nuestra responsabilidad. Hives se inician juntamente con \Windows y lo trasladamos al nuestro
el sistema operativo, el cual utiliza obtenemos el contenido del Registro
El Editor del Registro constantemente el registro de Windo- de Windows, es equivocada. Cuando
(Regedit.exe) ws, esto parece ser lógico tomando ejecutemos el Regedit.exe que traji-
Los administradores del sistema pue- en cuenta que éste debe mantenerse mos del otro sistema accederemos
den modificar el Registro a través actualizado por los cambios dinámi- inmediatamente a nuestro Registro.
del Editor del Registro (Regedit.exe cos que pueden surgir al momento Debemos recordar que el Editor del
o Regedt32.exe), directivas de grupo, de utilizar el sistema, por ejemplo Registro es simplemente una herra-
directivas del sistema, archivos de Re- si deseamos renombrar el icono lla- mienta que permite realizar modifi-
gistro (.reg) o mediante la ejecución de mado Mi PC por Hakin9, basta por caciones en el Registro de Windows,
secuencias de comandos (por ejem- renombrarlo una vez y en los próxi- llevando el Editor (Regedit.exe) de un
plo, archivos de comandos de Visual mos inicios de sesión el icono ya apa- ordenador a otro únicamente estare-
Basic o archivo de lotes .bat). recerá renombrado sin necesidad de mos trasladando dicha herramienta
El Editor del Registro esta ubi- guardar los cambios en el sistema, y no el contenido del registro de Win-
cado en el directorio del sistema C: pues el registro lo hace por nosotros. dows de cada sistema, como podría
\Windows\Regedit.exe, al abrirlo Tomando en cuenta el grado de pensarse.
encontraremos un área de explora- importancia que adquiere el registro Ahora bien si entramos en un sis-
ción organizada en carpetas, cada de Windows para el sistema operati- tema como usuario restringido y con-
carpeta representa una clave prede- vo puede ser blanco de ataques o de seguimos acceder al Editor del Re-
terminada del equipo local, cuando backups enteros sin autorización, el gistro (aquí lo aprenderás incluso si el
administrador del equipo es precavido
y previamente denegó el acceso al Edi-
¿Qué es el Registro de Windows? tor) fácilmente podremos exportar todo
El Registro de Windows conforme el Microsoft Computer Dictionary es definido de la
el contenido del registro de Windows
siguiente manera:
y llevarlo a nuestro sistema para exa-
Una base de datos jerárquica central utilizada en Microsoft Windows 9x, Ce y NT
con el fin de almacenar información necesaria para configurar el sistema para uno
minarlo detenidamente. Para lograrlo,
o varios usuarios, aplicaciones y dispositivos de hardware. simplemente debemos estar dentro del
El Registro contiene información que Windows utiliza como referencia continua- Editor, dirigirnos al menú Archivo > Ex-
mente, por ejemplo los perfiles de los usuarios, las aplicaciones instaladas en el equi- portar. Luego en el recuadro llamado
po y los tipos de documentos que cada aplicación puede crear, las configuraciones de Intervalo de Exportación en lugar de
las hojas de propiedades para carpetas y los iconos de aplicaciones, los elementos de seleccionar la opción predeterminada
hardware que hay en el sistema y los puertos que se están utilizando. escogemos Todos, finalmente asignar-
le un nombre al archivo y guardarlo.
www.hakin9.org 17
Ataque
Tabla 2. Las claves utilizadas por el sistema
Carpeta o clave Descripción

predefinida
HKEY_CU- Contiene la raíz de la información de configuración
RRENT_USER del usuario que ha iniciado la sesión. Aquí se almace-
nan las carpetas de usuario, los colores de pantalla
y la configuración del Panel de control. Esta informa-
ción se conoce como perfil de usuario.
HKEY_USERS Contiene la raíz de todos los perfiles de usuario del
equipo. HKEY_CURRENT_USER es una subclave de
HKEY_USERS.
HKEY_LOCAL_ Contiene información de configuración específica del
MACHINE equipo (para cualquier usuario).
HKEY_CLAS- Es una subclave de HKEY_LOCAL_MACHINE\ Figura 2. Cómo obtener un permiso
SES_ROOT Software. Aquí se almacena la información que de escritura, parte 2
asegura que se abre el programa correcto al abrir un
archivo con el Explorador de Windows.
HKEY_CU- Contiene información acerca del perfil de hardware

RRENT_CONFIG que utiliza el equipo local al iniciar el sistema.
Restringiendo el acceso la clave que deseamos configurar,

y escritura sobre el click derecho y seleccionar la opción
registro de Windows Permisos. (Figura 2 y 3).
Una de las características de segu- De esta manera cualquier admi-
ridad importantes en la serie Win- nistrador del sistema puede otorgar
dows NT permite que el administra- permisos de escritura, agregar
dor del sistema pueda conceder – usuarios o grupos a la lista de permi-
o no – el acceso a las claves del re- sos, asignar permisos a una clave,
gistro a través del editor del registro conceder control total a una clave,
(Regedit.exe). asignar accesos especiales, auditar
Los permisos de escritura sobre la actividad de una clave, agregar Figura 3. Cómo obtener un permiso
el registro comprometen al sistema usuarios o grupos a la lista de audi- de escritura, parte 1
operativo de tal manera que en mu- toría, tomar posesión de una clave,
chas ocasiones son imprescindibles establecer controles de lectura, etc. ya sea con buenas o malas inten-
estos permisos para realizar ataques ciones.
contra el sistema. Por ello es impor- ¡Nadie me toca el Para lograrlo debemos localizar
tante también conocer prácticas de registro! la siguiente clave desde el editor del
seguridades fáciles y eficaces, capa- Como una opción de seguridad más, registro HKEY_CURRENT_USER/
ces de implementar en nuestros sis- el administrador puede restringir el Sof t ware / Microsof t / Windows /
temas. acceso al editor del registro a los CurrentVersion/Policies/System en
Dentro del editor del Registro la usuarios que no forman parte del la ventana de la derecha creamos
administración de seguridad sobre grupo de administradores del equi- un nuevo valor DWord llamado Di-
las claves y subclaves es relativa- po, con la finalidad de impedir que sableRegistryTools, damos doble
mente sencilla, solo basta con elegir cualquier usuario altere el sistema click sobre él y le colocamos el
valor 1. De esta manera la modifica-
ción del registro de Windows que-
dará deshabilitada para el usuario
actual.
Al intentar abrir el editor del registro
veremos lo que aparece en la Figura 4.
Esta es una manera de bloquear
el acceso al registro, aunque no es
Figura 1. Word Pad no es una buena aplicación para abrir un registro la única, otra forma de lograrlo es
18 www.hakin9.org
Registro de Windows
eliminando el propio Editor del Regis- Consecuencias características de seguridad el aplica-

tro (Regedit.exe) de la carpeta de su de la escritura sobre tivo podrá ser instalado. El usuario que
ubicación C:\Windows, así el usuario el registro carece de privilegios no podrá instalar
que acceda al sistema y carezca de La escritura sobre el registro de correctamente aplicaciones.
privilegios difícilmente podrá editar el Windows permite gestionar y perso- De modo que a través de las con-
registro al no encontrar la herramien- nalizar el sistema operativo sin nin- secuencias prácticas que consegui-
ta destinada para ello. Aunque pueda gún problema, de hecho es una posi- mos al editar el registro de Windows
parecer lo contrario, la eliminación bilidad exclusiva dada a los adminis- mediante el regedit.exe obtenemos
del regedit.exe no llevará al colapso tradores del sistema, la cual puede mayores logros que si nos limitára-
del sistema, ya que no se elimina el ser también otorgada a los usuarios mos a personalizar el sistema ope-
registro de Windows (el cual está ma- invitados. rativo a través de las pocas opciones
yormente constituido por los archivos Otra posibilidad simple que gene- que éste nos brinda. Sin embargo,
ubicados en C:\Windows\system32\ ra la escritura sobre el registro, es la siempre es recomendable conocer
config) sino que únicamente pres- capacidad para instalar programas. el área del registro que deseamos
cindimos de la herramienta que lo Cualquier programa al instalarse modificar, porque los cambios inco-
edita. usualmente crea, modifica o elimina rrectos pueden dañar el sistema.
Aun si deliberadamente intenta- claves y subclaves dentro del registro Desde el punto de vista de un ata-
mos borrar los archivos que constitu- de Windows, durante ese proceso de cante, poseer permisos de escritura
yen el registro de Windows ubicados instalación también comprueba ciertos sobre el registro le otorgan ciertas
en C:\Windows\system32\config, el valores en el registro (ese es el punto ventajas, como por ejemplo instalar
sistema operativo lo impediría dada débil que atacaremos más adelante) troyanos o servidores maliciosos y de-
la importancia de los mismos. dependiendo de esos valores y ciertas jarlos a la escucha de cualquier puer-
to o ejecutarlos en segundo plano
cada vez que arranque el sistema,
Ejemplo Práctico inclusive si el administrador inicia el
En este ejemplo colocaremos la palabra Hakin9 en el menú contextual de los archivos sistema en modo a prueba de fallos
con extensión txt, de tal manera que si escogemos la opción Hakin9 se abrirá el archi- un troyano dependiendo de la clave
vo en el programa Notepad.exe tal y como sucede comúnmente. del registro en la que fue asociado,
Para lograrlo, dentro del editor del registro localizamos la siguiente clave Hkey _ se ejecutará de modo invisible.
Local_Machine\Software\Classes\textfile\shell\open. En la ventana de la derecha ya Si poseemos permisos de escri-
existe un valor alfanumérico llamado Predeterminado, hacemos doble click sobre él
tura sobre el registro de Windows
y lo nombramos Hakin9
podemos realizar un sin número de
Ahora cuando hagamos click derecho sobre los archivos *.txt en lugar de ver la
acciones que terminarán alterando
opción convencional llamada Abrir veremos Hakin9 (Figura 5).
Este es un claro ejemplo de cómo es posible personalizar la configuración de el sistema operativo, estás acciones
usuario, a través de la escritura sobre el registro de Windows. dentro del registro pueden ser desde
las más básicas hasta las más peli-
grosas capaces de poner en peligro
la seguridad del sistema.
Crackeando el registro
como usuario sin
privilegios
Las restricciones de seguridad del
registro de Windows son escasa-
mente eficientes. El punto débil que
nos permite explotar la siguiente
Figura 4. El acceso al registro bloqueado vulnerabilidad y acceder al editor
del registro, es el propio sistema de
protección utilizado por los desarro-
lladores de Windows, en particular la
opción a través de la cual es desha-
bilitado el acceso al editor del regis-
tro (Figura 4) es una práctica poco
recomendada por los desarrollado-
res de software comercial, dada su
relativa facilidad para ser vulnerada
Figura 5. Cómo personalizar las configuraciones del usuario por los atacantes.
www.hakin9.org 19
Ataque
Cuando se accede a un sistema que podríamos incurrir al momento programa a nuestro favor, en este
como usuario invitado de manera de modificar el código del programa. caso abriremos el editor del registro
predeterminada carecemos de per- y eliminaremos la protección que nos
misos para escribir sobre el registro, Atacando el Registro impide su acceso, de esa manera
a menos que el administrador haya de- de Windows ¡Vamos tendremos a nuestra disposición el
cidido lo contrario. Las causas princi- a la Práctica! registro de Windows.
pales por las que un administrador de Cuando un programador decide Una utilidad que nos permite abrir
equipo decide deshabilitar el acceso crear cualquier aplicación tiene la un programa y explorar su código en
al editor del registro y consecuente- opción de hacerlo a través de dife- lenguaje ensamblador es W32dasm,
mente la escritura sobre éste, son rentes lenguajes de programación, este programa no necesita instala-
impulsadas mayormente por razones ya sea alto, mediano o bajo nivel, la ción así que como usuario restringi-
de seguridad, las cuales le brindan categoría del nivel de programación do no tendremos ningún problema
una ventaja al propio sistema, ya que depende de los recursos del sistema en abrirlo, dentro de W32Dasm nos
se adquiere un mayor grado de con- que utiliza el lenguaje y el programa- dirigimos al menú Disassembler
fianza en relación a su uso. dor para realizar la aplicación. y seleccionamos la opción Open File
Es por ello que para explotar la Cuando finaliza el proceso de to Disassemble y abrimos nuestra
vulnerabilidad a la que puede estar creación de una aplicación, se com- copia del Editor del Registro desde
expuesto el editor del registro a través pila (convierte a unos y ceros) y se C:\hakin9\regedit.exe, W32Dasm co-
de la restricción de acceso, debemos genera un archivo ejecutable de menzará a desensamblarlo y al ter-
ingresar a un sistema Windows XP en extensión .exe, los cuales a su vez minar veremos el código en lenguaje
calidad de usuario restringido, es de- pueden ser traducidos a un lenguaje ensamblador.
cir sin permisos de acceso y escritura de programación de bajo nivel, como De esta manera podemos per-
en el registro de Windows. por ejemplo lenguaje ensamblador, catarnos como aún con el bloqueo
Antes de empezar debemos verifi- independientemente del lenguaje de
car que el acceso al editor del registro programación original con que hayan
ha sido deshabilitado por el adminis- sido creados. Sin embargo, existen Acceder como un
trador (Figura 4). Ahora debemos aplicaciones que son empaquetadas usuario restringido
crear una carpeta en el directorio C:\ (como sistema de protección) con el Si prefieres acceder como usuario
llamada Hakin9, luego copiamos el motivo de evitar que sean traducidas restringido desde tu ordenador lo pue-
regedit.exe de la carpeta del sistema a lenguaje ensamblador, en otros des hacer ingresando desde la cuenta
(C:\Windows) y lo pegamos en la si- casos la conversión al lenguaje en- de Invitado. Para activarla debes ir
a Inicio>Panel de Control> Cuentas de
guiente ubicación C:\hakin9. samblador de un programa del cual
Usuario> Invitado> Activar la cuenta de
Esta copia que recién acabamos no somos propietarios es ilegal.
Invitado.
de crear nos brinda seguridad, debe- Si abrimos alguna aplicación
mos tomar en cuenta que siempre exitosamente para debugearla en
es recomendable trabajar sobre una lenguaje ensamblador y manejamos
copia del programa y no sobre el ori- conocimientos de este lenguaje, Registros del
ginal, dadas las equivocaciones en podremos modificar el código del
procesador
El procesador necesita de ayuda al
momento de realizar sus tareas, como
por ejemplo ejecutar programas, los re-
gistros lo ayudan precisamente en eso.
Cuando el procesador necesita sumar
posiciones de memoria las dirige a un
registro para realizar operaciones, és-
tos a su vez varían dependiendo de
las funciones específicas que fueron
destinados a realizar.
OFFSET
Un offset sirve para designar inequí-
vocamente una dirección de memoria
conjuntamente con un segmento en
algunas arquitecturas de microproce-
sadores.
Figura 6. La Ventana List Of String Data Items
20 www.hakin9.org
Registro de Windows
de acceso al regedit.exe es posible

desensamblarlo sin inconvenientes.
Una vez abierto el editor del registro
en W32Dasm podemos observar tres
columnas diferenciadas, la primera
representa la dirección de memoria en
la que está la instrucción, la segunda
columna contiene el código de la ins-
trucción en sistema numérico hexade-
cimal, cuya base es 16, mientras que
la tercera columna contiene el código
en lenguaje ensamblador, el que mo-
dificaremos para evadir la protección.
Ahora nos disponemos a bus-
car la cadena de texto que aparece
dentro del mensaje que nos advierte
sobre la restricción: El administrador
ha deshabilitado la modificación del Figura 7. Los datos de Offset necesarios
registro (Figura 4). Mediante W32-
Dasm podemos observar las cade- Es por ello que la cadena de texto que nos dirigimos al menú Refs, luego
nas de texto de un programa y las buscamos puede estar referenciada seleccionamos la opción String Data
referencias a dichas cadenas. varias veces dentro del regedit.exe. Referentes, para encontrar las cade-
Si el editor del registro necesita Una vez identifiquemos la cadena nas de texto.
hacer uso de una cadena de texto, no de texto a buscar El administrador ha Al borde inferior de la ventana
es necesario crear la cadena todas las deshabilitado la modificación del re- List of String Data Items vemos la
veces que la vaya usar, sino que sim- gistro, averiguaremos sus referencias. cadena de texto que estábamos bus-
plemente se hace referencia a la direc- Para ello, teniendo abierto el cando (Figura 6).
ción de memoria donde se encuentra. Editor del Registro desde W32Dasm Damos doble click una sola vez
sobre la cadena de texto (en algu-
nos casos deberíamos dar más de
Ejemplo Práctico un doble click sobre esta cadena,
Una ejemplo simple orientado al hakin9 (haking) que podemos realizar fácilmente
hasta encontrar el salto condicional
basados en lo aprendido en esta práctica, es abrir puertos cada vez que arranca el
sistema sin que el administrador del equipo se de por enterado. Para lograrlo abrimos correcto), presionamos el botón Clo-
el editor del registro y localizamos la siguiente clave se y W32Dasm nos llevará a la esta
dirección de memoria 01008AB4. Si
HKey_Current_User\Software\Microsoft\Windows\CurrentVersion\Run continuamos haciendo doble click
sobre la cadena de texto el progra-
En la ventana de la derecha creamos un nuevo valor Alfanumérico llamado Server
ma nos llevará hacia otras direccio-
(o como prefieras), damos un doble click sobre él y escribimos la ruta de la aplicación-
nes de memoria, tantas veces como
servidor que deseamos dejar a la escucha. De esa manera cada vez que el usuario
inicie sesión lo hará también esa aplicación, más tarde podrás ejecutar el programa- existan referencias a la cadena.
cliente desde cualquier ubicación para establecer conexión. Si nos dirigimos cuatro líneas
arriba de la dirección 01008AB4
veremos dos instrucciones impor-
tantes marcadas de color azul, la
¿Problemas? primera test eax, eax, realiza una
En caso de que no puedas acceder correctamente al editor del registro de Windows, comprobación de estos registros,
deberás revisar los pasos nuevamente, los errores que probablemente te impidan y emite un resultado booleano, es
realizar esta práctica pudieron surgir por diversos motivos relativamente simples,
decir verdadero o falso, dependien-
probablemente la versión del registro de Windows que utilices sea diferente, (en este
do de la comprobación resultante de
caso usamos la de Windows Xp Profesional) o equivocaste el salto condicional o no
los registros. Seguidamente vemos
encuentras el offset correcto.
En esos casos debes abrir la copia del regedit.exe desde W32Dasm ir al menú Refs, la instrucción je 01008ACA (Jump if
y el la ventana donde aparece la cadena de texto El administrador ha deshabilitado la is Equal) es un salto condicional que
modificación del registro, dar doble click mas de una vez sobre ésta y repetir el proceso comprueba el resultado del test, si el
desde ese punto en adelante hasta encontrar el salto condicional correcto, posterior- resultado del test es igual, je salta
mente es probable que tengas un offset distinto al de nuestra practica, pero en el editor hacia 01008ACA, de lo contrario el
hexadecimal solo debes verificar que el offset te dirija al 74 para modificarlo por EB. programa continua con el resto del
código inferior a je. Lo que haremos
www.hakin9.org 21
Ataque
la restricción de acceso al editor del

registro y evadirla simplemente eje-
cutando nuestra querida copia.
Las consecuencias prácticas que
obtenemos derivadas del acceso al
editor del registro de Windows a través
de esta práctica nos permiten tener la
habilidad para modificar ciertos aspec-
tos del sistema operativo, tales como la
apariencia, accesibilidad, los colores,
temas, el escritorio, teclado, mouse,
sonido, protector de pantalla, configu-
ración de la shell del sistema, informa-
ción sobre el usuario actual, programas
instalados, archivos temporales, infor-
Figura 8. Una pantalla de Win Hex – usuario restringido mación de la sesión de usuario, manejo
sobre las aplicaciones que se inician al
para evadir la protección que nos este editor no precisa de instalación cargar el sistema, etc, etc.
restringe el acceso al editor del por lo que como usuario restringido
registro es cambiar ese salto condi- no tendremos ningún problema en Contramedidas
cional JE por un salto incondicional abrirlo. Seguidamente nos dirigimos Implementar software específico que
JMP, de esta manera el regedit.exe al menú File > Open > C:\hakin9\ audite el registro de Windows de ma-
al llegar a esa parte del código com- regedit.exe (Figura 8). nera permanente evitando cualquier
para los registros y salta en todas las Ahora tenemos a nuestra dispo- tipo de modificación sobre éste, de
ocasiones, independientemente del sición el código del editor del registro manera que deniegue los cambios
resultado del test de los registros. de Windows en formato numérico realizados por cualquier usuario. Si
Nos dirigimos hacia el salto con- hexadecimal. Una vez abierto, desde establecemos este tipo de seguridad
dicional y hacemos doble click sobre la posición inicial nos dirigimos al dentro del sistema y prevenimos su
él, vemos como se pinta una línea menú Position > Go to Offset… y en correcta funcionalidad, no será ne-
de color verde, seguidamente to- la opción New position colocamos el cesario hacer cambios en el registro
mamos nota del offset que aparece offset que obtuvimos en W32Dasm de Windows de manera no prevista.
abajo en la barra de estado @offset 00007EAE, finalmente presionamos Espero haberlos alertado sobre
00007EAEh in File: regedit.exe, la OK. El editor hexadecimal nos dirigirá la relativa facilidad que puede tener
h al final indica que dicha cantidad al offset que buscábamos, el cual con- un atacante para evadir la restricción
esta representada en sistema hexa- tiene el salto condicional, (debemos de acceso al registro de Windows,
decimal. Por último anotamos por estar seguros de aparecer en 74 1A), cuando el administrador de equipo
aparte el Offset ya que lo necesita- media vez hayamos encontrado el off- hace uso de las medidas de seguri-
remos más adelante. set correcto colocamos el puntero en dad predeterminadas que nos ofrece
Dentro de W32Dasm no es po- el 7 y lo modificamos tecleando EB, Windows. l
sible modificar de manera directa luego veremos como cambia a color
el código, desde cierto de punto de azul. Finalmente solo resta guardar los
vista es ventajoso porque nos impi- cambios dirigiéndonos al menú File > Sobre el Autor
de cometer errores al momento de Save > Yes. Y eso es todo amigos. Víctor López Juárez es estudiante de la
alterarlo, por ejemplo si deseamos Universidad Rafael Landivar de Guate-
cambiar un salto incondicional de 2 ¡Misión Completa! mala. Está interesado en los diversos
bytes no debemos hacerlo por uno Solo basta comprobar que es posi- temas sobre seguridad informática,
de 5 bytes por la instrucción CALL ble acceder al registro de Windows actualmente es miembro de la Comu-
por ejemplo, sino por otro de la mis- ejecutando el regedit.exe desde C: nidad de Desarrolladores de código
seguro de Microsoft, profesional cer-
ma longitud. En este caso cambiare- \hakin9. Si ejecutamos el regedit.exe
tificado por parte de la empresa Intel
mos el je por jmp, es decir el 741A (la ubicado en C:\Windows aún veremos
Inside en temas como Web Services,
dirección que vemos en la segunda la restricción que nos impide acceder Software Libre y Seguridad, y ex-inte-
columna (Figura 7) por EB1A. a él, la restricción continua porque las grante de la Academia Latinoamerica-
Debemos acudir a otra herra- modificaciones únicamente han sido na de Seguridad Informática. Durante
mienta para realizar las modifica- hechas a nuestra copia ubicada en C: sus tiempos libres participa en foros
ciones necesarias en el código del \hakin9\regedit.exe, la que podremos y comunidades de hackers, también
regedit.exe. Un editor Hexadecimal, trasladar a cualquier sistema operati- desarrolla y diseña sitios Web.
en este caso usaremos el WinHex, vo Windows Xp que tenga habilitada
22 www.hakin9.org
¿Quieres recibir tu revista
regularmente?
¿Quieres pagar menos?
¡Pide suscripción!
por suscripción es más
69 €
barata:
www.hakin9.org/es www.buyitpress.com
Pedido
Por favor, rellena este cupón y mándalo por fax: 0048 22 887 10 11 o por correo: Software-Wydawnictwo Sp. z o. o., Bokserska 1,
02-682 Varsovia, Polonia; e-mail: suscripcion@software.com.pl
Para conocer todos los productos de Software-Wydawnictwo Sp. z o. o. visita www.buyitpress.com
Nombre(s) ......................................................................................... Apellido(s)........................................................................................
Dirección .........................................................................................................................................................................................................
C. P. ................................................................................................... Población, provincia ........................................................................
Teléfono ............................................................................................ Fax ....................................................................................................
E-mail ................................................................................................ Suscripción a partir del N° ..............................................................
Precio de suscripción anual Absender-Daten

de hakin9: 69 €
Realizo el pago con:

□ tarjeta de crédito (EuroCard/MasterCard/Visa/American Express) nO CVC Code
Válida hasta
□ transferencia bancaria a BANCO SANTANDER CENTRAL HISPANO
Número de la cuenta bancaria: 0049-1555-11-221-0160876
IBAN: ES33 0049 1555 1122 1016 0876
código SWIFT del banco (BIC): BSCHESMM Fecha y firma obligatorias:
Bluetooth – La Amenaza
Azul
Ataque
Ezequiel Martín Sallis
Grado de dificultad
El Estándar Bluetooth, nacido en 1994 y formalizado en 1998

por el Bluetooth-SIG (Special Interest Group). La tecnología
Bluetooth permite la comunicación inalámbrica, entre diferentes
dispositivos que la incorporen sin necesidad de línea de vista
y son el reemplazo esperado de la tecnología infrarroja.
E
l Estándar Bluetooth, nacido en 1994 consumo de los equipos y que además permite
y formalizado en 1998 por el Bluetoo- ser incorporada en los teléfonos móviles y las
th-SIG (Special Interest Group), es PDA sin que afecte en exceso al consumo de
una tecnología inalámbrica de bajo coste, que sus baterías.
opera en la banda no licenciada de 2.4Ghz La tecnología Bluetooth permite la comu-
de frecuencia (la misma banda que utilizan nicación inalámbrica, entre diferentes disposi-
algunos estándares de la tecnología 802.11). tivos que la incorporen sin necesidad de línea
Básicamente posee cuatro canales, tres cana- de vista y son el reemplazo esperado de la tec-
les sincrónicos de voz (64 Kbps por canal) y un nología infrarroja. Sin embargo, la frecuencia
canal de datos asincrónicos. La velocidad de en la que opera (2.4 Ghz banda no licenciada),
transmisión de los canales asincrónicos es de
723,2 Kbps mientras que la del canal asincró-
nico es de 433,9 Kbps. En este artículo aprenderás...
Existen hoy en día tres versiones de Blue-
• Qué es Bluetooth,
tooth:
• Cómo funciona esta Tecnología,
• Cuáles son sus aplicaciones más habituales,
• Bluetooth Protocolo V1.1 No provee compa-
• Cuáles son los riesgos,
tibilidad para coexistir con 802.11, • Cuáles son los ataques mas comunes,
• Bluetooth Protocolo V1.2 (2003) Data Rate • Algunas herramientas disponibles.
1Mbps,
• Bluetooth Protocolo V2.0 +EDR (Enhanced Lo que deberías saber...
Data Rate) (2004) Data Rate 3Mbps.
• Nociones Básicas de Comunicaciones Inalám-
Uno de los hechos que hacen que esta tecno- bricas,
logía sea de bajo coste, es la potencia nece- • Nociones Básicas sobre la tecnología Blue-
saria para funcionar, tan sólo 0,1 vatios, que tooth.
sin duda alguna reduce considerablemente el
24 www.hakin9.org
Bluetooth – La Amenaza Azul
debió enfrentarse al temor elemen- go, soportan hasta 200 dispositivos atacante conozca la Mac Address
tal de cualquier comunicación ina- pasivos. (BD_ADDR).
lámbrica, la interferencia, y a fin de Los dispositivos esclavos pueden Básicamente los modelos de
superarla se implementaron las si- a su vez estar interconectados a di- Seguridad de los dispositivos Blue-
guientes características: ferentes Piconet, formando lo que se tooth se clasifican en tres modos
denomina una Scatternet, pero esta primarios:
• Frequency Hoping: Patrón de característica no se aplica al dispo-
saltos predefinido, sitivo Master ya que el mismo solo Modo 1: Sin seguridad
• Saltos de 1 Mhz sobre 79 fre- puede estar en una Piconet. (Modo Default)
cuencias diferentes entre 2.402 Esencialmente, los mecanismos de
GHz y 2.480 Ghhz, Seguridad autentificación y cifrado están des-
• Saltos entre frecuencias más Los dispositivos con Bluetooth tie- habilitados.
rápidos que en otras tecnologías nen básicamente dos estados o mo-
inalámbricas (1600 Saltos por dos posibles: Modo 2: Aplicación/ Nivel
segundo). Servicio
• Modo Descubrimiento, Ocurre en la capa L2CAP, nivel
Este punto a su vez incorpora, una • Modo No Descubrimiento. de servicios. Primero se establece
medida importante desde el punto un canal entre el nivel LM y el de
de vista de la seguridad, ya que Cabe mencionar que si algún dis- L2CAP, inicializando los parámetros
para poder monitorear el tráfico de positivo se encuentra en modo No de seguridad. Como característica,
una comunicación, debemos formar Descubrimiento, igualmente puede el acceso a servicios y dispositivos
necesariamente parte de la misma, ser mapeado siempre y cuando el es controlado por un Gestor de
de lo contrario la única alternativa
viable es la de adquirir costosos Tabla 1. La pila del protocolo Bluetooth está conformada de la siguiente
equipos que puedan monitorear trá- manera:
fico, sin la necesidad de ser parte Radio Layer Es la capa mas baja, define las característi-
de la conexión, algo viable solo para cas de la transmisión, cada dispositivo esta
unos pocos adinerados. clasificado en tres clases diferentes:
• Clase 1 100 Metros Aproximadamente
Bluetooth STACK • Clase 2 10 Metros Aproximadamente
La pila del protocolo Bluetooth está • Clase 3 1 Metro Aproximadamente
conformada de la siguiente manera
Baseband Layer Es la capa física, provee corrección de erro-
(Tabla 1).
res y características de seguridad, a través
de la encriptación de datos, también admi-
Redes
nistra los saltos de frecuencia y los datos
Cuando se conectan más de un dis-
contenidos en la cabecera del paquete
positivo BT compartiendo un mismo
canal de comunicación forman una Link Manager Protocol Es el contenedor de aproximadamente 20
red denominada Piconet. Dichas (LMP) PDU Protocol Data Units, estas unidades
redes están compuestas por un son enviadas desde un dispositivo al otro,
dispositivo Master quien impone la algunas de las más utilizadas son:
frecuencia de saltos para la Piconet, • Power Control
y todos los demás dispositivos son • Autentificación
los denominados Slaves (esclavos). • Calidad de Servicio (QOS)
Las Piconet solo pueden aceptar Host Controller Interface Envía comandos a las dos capas inferiores,
hasta 7 dispositivos Slaves conec- permitiendo una vía para la utilización, de las
tados al mismo tiempo, sin embar- bondades de Bluetooth
The Logical Link Control Controla el link entre dos dispositivos,
and Adaptation Protocol y además es la encargada de proveer los
En la Red
(L2CAP) servicios a los mismos
• www.bluetooth.org, Cable Replacement Pro- Es el protocolo de transporte, envía la señal
• www.trifinite.org, tocol (RFCOMM) montada sobre L2CAP
• www.nruns.com,
Service Discovery Proto- Busca otros dispositivos Bluetooth disponi-
• http://gospel.endorasoft.es,
• http://student.vub.ac.be/~sijansse/
col (SDP) bles y le provee la capacidad de establecer
2e%20lic/BT/Tools/Tools.pdf. una conexión con los mismos, se comunica
directamente con la capa de L2CAP
www.hakin9.org 25
Ataque
Seguridad, por lo cual variando las se comuniquen ambos dispositivos carácter corporativo, pero puede
políticas de seguridad y los niveles sin la necesidad de la intervención brindar al atacante a obtener datos
de confianza se pueden gestionar de los usuarios para que coloquen que permitan desarrollar luego una
los accesos de aplicaciones con nuevamente sus contraseñas. Si estrategia de ataque más efectiva.
diferentes requerimientos de seguri- alguno de los dos dispositivos pier- Desde principios de 2003, co-
dad que operen en paralelo. Otra cade la clave, se debe a realizar todo menzaron a hacerse publicas, algu-
racterística importante de este modo el proceso nuevamente. Todo este nas debilidades y vulnerabilidades
es que no hay ninguna codificación proceso es conocido como empare- que afectaban directamente a esta
adicional de PIN o claves. jamiento o Paring. tecnología.
La primera de ellas, fue descu-
Modo 3: Autentificación vía Riesgos y Ataques en la bierta por la gente de Atstake, y fue
PIN/ Seguridad a nivel MAC/ tecnología Bluetooth denominada War Nibling, y permite
Encriptación Es muy común encontrarse en los descubrir todos los dispositivos que
Ocurre a nivel de Link y todas las archivos almacenados de las PDA estén en el alcance del atacante
rutinas se corren internamente en y en los móviles, los usuarios y las estando estos o no en modo descu-
el chip BlueTooth por lo que nada se contraseñas de los PC y hasta de brimiento.
transmite en texto plano. A diferen- los servidores que para no dejarlos Después y de la mano de Adam
cia del Modo 2, los procedimientos anotados en un papel lo anotan en Laurie y la gente del grupo Trifinite,
de seguridad se inician antes de sus dispositivos móviles. fueron descubiertas las siguientes
establecer algún canal y el cifrado Los lugares de mayor riesgo técnicas:
se basa en la autentificación PIN o donde es fácilmente posible obte-
y seguridad MAC. Básicamente, com- ner información como la mencionada
parte una clave de enlace (clave de anteriormente, son lugares públicos
link) secreta entre dos dispositivos. como por ejemplo: Algunas Herramientas
Para generar esta clave, se usa un Btbrowser (http://www.benhui.net/
procedimiento de paring cuando los • En el cine, bluetooth/btbrowser.html):
dos dispositivos se comunican por • En una plaza con mucha gente,
• Permite descubrir dispositivos BT,
primera vez: • En una biblioteca, • Permite conocer las especificacio-
• En un centro comercial o en un nes técnicas de los mismos,
Proceso de Paring bar, • Permite ver los servicios disponi-
Para comprender el proceso de • En un campo de fútbol, bles por este,
Paring o Emparejamiento, debemos • En alguna tienda de telefonía, • Aplicación en Java soportada por
aclarar que por defecto, la comuni- • En el tren – autobús. varios teléfonos móviles.
cación Bluetooth no se valida, de
Bthdisc (www.trifinite.org):
manera tal que cualquier dispositivo Según estadísticas los usuarios
puede o podría hablar con cualquier sueles utilizar los dispositivos como • Permite descubrir dispositivos BT,
otro. Un dispositivo Bluetooth se pda o teléfonos móviles para lo si- • Informa Clase y Dirección Mac
autentifica con otro si se requiere guiente: Address.
utilizar un determinado servicio (por
ejemplo para el servicio de marca- • 85% Utilizan estos dispositivos Bt_Audit: Scanner con dos funcionalida-
ción por modem). Como ya mencio- para almacenar el día a día del des (http://www.betaversion.net/btdsd/):
namos, la forma de autentificarse negocio, • Scanner para L2CAP
es mediante códigos PIN (cadena • 85% Los utiliza para almacenar • Scanner RFCOMM
ASCII de hasta 16 caracteres de contactos y direcciones relacio-
longitud). Tanto el usuario del dis- nadas con el negocio,
Plataforma Operativa:
positivo cliente como así también • 33% Los utiliza para almacenar
el proveedor del servicio, debe in- PINs y Passwords,
Linux
Sniffing Local:
troducir el código PIN, obviamente, • 32% Para recibir y enviar correo,
en ambos dispositivos el código • 25% Para llevar el detalle de sus • Hcidump
ingresado debe ser exactamente cuentas bancarias,
el mismo. Al finalizar este proceso • 25% Para almacenar información Piconet Sniffing:
correctamente, ambos dispositivos corporativa,
• Hardware o firmware especial.
generan una clave de enlace la cual • Fuente: Pointsec Mobile Techno-
se puede almacenar en el propio logies. Air Sniffing:
dispositivo o en un dispositivo de al-
macenamiento externo. Dicha clave Como podemos ver la información • Frontline (http://www.fte.com/),
será utilizada la siguiente vez que comprometida, puede o no ser de
26 www.hakin9.org
BluePrinting compara contra la base de firmas • Extraer del móvil la agenda tele-
Es una técnica de Fingerprinting peque poseen determinando así el Fa- fónica y calendario entre otros,
ro de dispositivos Bluetooth, permite bricante del dispositivo y su modelo. • Modificar o Borrar entradas en
saber Para el caso de los dispositivos que el calendario, o en los contactos
no se encuentren en Modo Des- telefónicos,
• Fabricante del dispositivo, cubrimiento, existen herramientas • Enviar un mensaje SMS desde el
• Modelo del dispositivo (solo algu- que se basan en ataques de Brute móvil comprometido,
nas veces). Force. • Provocar que el móvil comprome-
tido, realice llamadas telefónicas
Se basa en la dirección Mac Address BlueBug a los números que el atacante
del dispositivo, está compuesta por 6 Es una vulnerabilidad que fue en- desee.
bytes, los primeros 3 indican el fabri- contrada en varios teléfonos móviles
cante y los restantes el modelo con interfaz Bluetooth BlueSnarfing
Las herramientas para estos ata- Permite enviar comandos AT al y Long Distance Snarf
ques buscan dispositivos que se en- móvil, a través de un canal encubier- Este es el ataque que se aprovecha
cuentren en Modo Descubrimien- to de la tecnología Bluetooth, per- del bluebug, y básicamente permite,
to, toma las direcciones Mac, y la mitiendo al atacante: extraer información de un móvil, en
vez de colocarla, varios equipos son
vulnerables a este ataque (Nokia
Algunas Herramientas 6310,6310i entre otros).
Herramienta de auditoría para teléfonos móviles – BLOOVER: En agosto de 2004, lograron
llegar más allá de los limites de al-
• Actualmente por la versión 2, es un aplicación realizada en java, que permite reali-
zar, el ataque de Bluesnarf, directamente desde un móvil, con tecnología Bluetooth
cance de un dispositivo clase uno,
y soporte para aplicaciones Java J2ME MIDP 2.0 VM y JSR-Bluetooth API (Down- logrando extraer y modificar la agen-
load: http://trifinite.org/trifinite_downloads.html). da telefónica y el calendario de un
teléfono móvil a una distancia de
Funcionalidades: 1,78 Km. Utilizando una Portatil bajo
Linux (Con todas las librerías de
• Permite modificar y leer entradas en la agenda telefónica,
Bluetooth), con un adaptador USB
• Permite leer los mensajes de texto, almacenados en el teléfono,
• Permite introducir en el móvil comprometido, un numero telefónico para el redirec-
Bluetooth modificado (Clase 1) y una
cionamiento de llamadas, antena direccional cuyo objetivo
• Ejecutar el Hello Moto Attack, era un Móvil Nokia 6310 Dispositivo
• Ejecutar Bluejacking, (Clase 2).
• Enviar Objetos malformados a través de OBEX.
BlueSmack
BTCrack (www.enruns.com): Es un ataque de Denegación de ser-
• Herramienta recientemente presentada el Hack.Lu 2006,
vicio que aprovecha las debilidades
• Permite romper Claves y Llaves de enlace (PIN y Link Key), en la implementación de Bluetooth,
• Previamente requiere como entrada, los datos sniffeados durante el proceso mas puntualmente en L2CAP. Per-
de paring. mite mal formar un requerimiento
causando que el dispositivo se cuel-
Algunas Debilidades Generales: gue o se reinicie sin necesidad de
establecer un conexión previa.
• El usuario suele relacionar el concepto de PIN con una cadena de caracteres corta
(4), la tecnología lo permite
Es similar al conocido ping de la
• Los ataques de ingeniería social, pueden preceder a los ataques antes descritos muerte, l2ping es una funcionalidad
y facilitar aun mas la tarea del atacante que está presente en las librerías
Bluez, de Linux, y permiten a un ata-
Ej: Nombre del Dispositivo Para continuar ingrese 1234: cante especificar el tamaño del pa-
quete a enviar.
• El algoritmo utilizado para brindar seguridad es Simétrico (misma clave para encrip-
tar que para desencriptar) y no existe un canal seguro de transmisión, el problema
se potenciaría en implementaciones grandes de BT.
BlueBump
• NO existe autentificación de Usuarios, Su fin es robar la link-key del telé-
• NO existen limites para el reintento de ingreso de claves, fono de la víctima, para establecer
• SIN paring previo algunos servicios e información son visibles, posteriores conexiones, sin que este
• Covert Channels, lo note y aparentando ser un dispo-
• Errores de Programación e Implementación. sitivo confiable. Este tipo de ataque
incorpora técnicas de Ingeniería so-
www.hakin9.org 27
Ataque
cial pero fundamentalmente se basa sobre Bluetooth, poseen importantes para el caso el algoritmo utilizado es
en el beneficio de poder regenerar la debilidades. Safer+ de 128bits.
link-key mientras la conexión esta En el caso de Bluetooth, este Haciendo un poco de historia
establecida (Ver mas en Cracking contiene varios elementos, como acerca de las investigaciones lleva-
BT PIN y la reciente herramienta el manejo de llaves de encriptación das a cabo sobre este aspecto, en
BTCrack). y autentificación basada en un PIN, el 2003 Ollie Whitehouse comenzó
los cuales son utilizados en el proce- a hablar de algunas debilidades en
Hello Moto so de Paring y la utilización de estos el proceso de paring que podrían
Es una debilidad en exclusiva de al- reside en la decisión del usuario. permitir romper el PIN, mas ade-
gunos dispositivos Motorola. El algoritmo que brinda seguri- lante algunos investigadores, hi-
La debilidad radica en una mala dad a estas tecnologías es Safer+, cieron mejoras sobre esta técnica
implementación de la relación de con- este es un algoritmo simétrico de en- y encontraron la manera de forzar
fianza que se establece en el proce- criptación por bloque, que permite la a un dispositivo a que reinicie el
so de paring. utilización de llaves de 128, 192 y 256, proceso de paring, por ultimo en el
Permite establecer la relación
de confianza, entre el dispositivo del
atacante y la víctima, si este primero
intenta establecer una conexión al
OPP (Obex Push Profile) y luego la
cancela, el dispositivo del atacante
será agregado a la lista de dispositi-
vos confiable de la víctima.
Todo esto sucede sin que medie
ninguna interacción por parte de la
víctima.
BlueSpam
Es un ataque basado en la búsque-
da de dispositivos en Modo Des-
cubrimiento, a los cuales luego les
enviará mensajes arbitrarios crea-
dos por el atacante. Este tipo de
ataques no requiere la interacción
por parte de la víctima para recibir
el spam.
Figura 1. Página oficial de Nruns
BlueJacking
Es el ataque quizás más inofensivo
pero desde el cual se han sentado
muchas bases para nuevos ata-
ques. Consiste en conectarse a un
dispositivo Bluetooth y colocarle
imágenes, mensajes o contactos al
dueño del dispositivo. También es
utilizado para realizar ingeniería so-
cial y utilizarla en complemento con
otro tipo de ataques que requie-
ran que los equipos estén apareja-
dos.
Cracking BT
PIN y la reciente
herramienta BTCrack
(www.enruns.com)
Tal cual sucedió, con WEP en
802.11, la implementación de los al-
goritmos de encriptación y seguridad Figura 2. Página oficial de Bluetooth
28 www.hakin9.org
2006 Thierry Zoller llevo a cabo la

implementación de una herramien-
ta para Win32 que llevaría todo lo
anterior a la practica (BTCrack)
y además realizo otra propuesta
diferente a la de Shaked y Wool,
para forzar el proceso de re-empa-
rejamiento.
Para poner esto en palabras simp-
les, alguna de las cosas que podrían
suceder seria la siguiente:
Escenario
Dos dispositivos, Un Master y un Sla-
ve, realizar exitosamente el proceso
de emparejamiento, autenticando
esto mediante un PIN.
Primer Paso
El atacante debería en primer lugar
conocer las direcciones MAC de Figura 3. Página oficial de Trifinite
ambos dispositivos, esto no seria
un problema para el atacante ya Cuarto Paso • PIN de 5 Digitos: 0.108 Segun-
que como se menciono más arriba Tomar el output de la información dos,
existen técnicas y herramientas dis- capturada, durante el proceso de em- • PIN de 6 Digitos 4.321 Segun-
ponibles. parejamiento y dárselo como input dos,
al BTCrack, debido a las debilidades • PIN de 9 Digitos 1318 Segundos.
Segundo Paso arriba mencionadas, la herramienta
El atacante debería modificar la dise encargara rápidamente de infor- Es por esto que entre otras recomen-
rección MAC de su dispositivo por la marle al atacante cual es el PIN. daciones el SIG recomienda realizar
del dispositivo Slave. En base a los estudio realizados el proceso de emparejamiento en un
por Thierry Zoller en un equipo Dual- lugar seguro.
Tercer Paso Core P4 de 2Ghz, el tiempo que le
El atacante ahora debería intentar llevaría a la herramienta romper el Conclusión
iniciar con el Master el proceso de PIN es: Las nuevas tecnologías, traen aso-
paring, al mismo tiempo este debería ciadas cientos de riesgos y amena-
estar monitoreando y capturando la • PIN de 4 Digitos: 0.035 Segun- zas para las que muchas veces las
información transmitida. dos, empresas no están preparadas, y lo
que es peor, a veces ni siquiera es-
tán informadas sobre estos peli-
Sobre el Autor gros.
Ezequiel Martín Sallis CISSP/CEH/CCNA/NSP. Desarrollo su carrera en INFO- Muchas corporaciones, dan a sus
SEC, con base en el aprendizaje y actualización continua, ha trabajado durante directivos estos dispositivos, sin
largo tiempo en las consultoras mas prestigiosas, prestando servicios para
tener en cuenta los riesgos aso-
empresas del ámbito Gubernamental, Publico y Privado tanto a nivel nacional
ciados a los que se expone la in-
como internacional.
formación contenida en ellos, es
Actualmente es Emprendedor y Director de ROOT-SECURE SRL, una Consultora
especializada en Seguridad de la Información con bases en la Argentina, y con amplia por esto que hay que crear la con-
experiencia en este campo. ciencia necesaria y tomar medidas
Ha trabajado fuertemente, en tareas relacionadas con INFOSEC, entre las que que permitan mitigar los riesgos
se pueden mencionar, Penetration Test, Vulnerability Assesment, Hardening de Pla- asociados.
taformas, Asesoramiento con la Norma ISO 17799:2005, Management de Proyectos La creatividad, es una de las he-
y otros. rramientas de ataque, contra la que
Es instructor de gran cantidad de capacitaciones tanto a nivel nacional, como muy pocos desarrollan contramedi-
a nivel internacional, entre las que se pueden mencionar CISSP, Ethical Hacking das l
y otras. Ha participado como Orador en gran cantidad de seminarios y eventos inter-
nacionales.
www.hakin9.org 29
Web Services Security
Defensa
José Carlos Cortizo Pérez, Diego Expósito, Diego Peces
Grado de dificultad
El gran crecimiento del comercio electrónico y del B2B (Business

to Business) ha originado la necesidad de nuevas tecnologías
que permitan el intercambio de información y la reutilización de
servicios en distintos sistemas.
T
ecnologías como RPC, RMI, CORBA, Los servicios Web proporcionan ciertas
etc. fueron surgiendo para cubrir estas ventajas para el diseño y posterior desarrollo
carencias pero presentaban tantas li- de aplicaciones:
mitaciones como ventajas. Los servicios Web
proporcionan un modelo distinto en el desa- • Ofrecen transparencia de uso, ya que se
rrollo de aplicaciones distribuidas ya que ofre- basan en protocolos muy aceptados (XML)
cen la capacidad de acceder a información y dan la posibilidad de intercomunicar
y funciones heterogéneas de forma estándar sistemas basados en arquitecturas y pro-
a través de una red, como pueda ser Internet. gramados en lenguajes completamente he-
El surgimiento de los servicios web ha sido terogéneos. Esto es: independencia de la
posible en gran medida gracias al surgimiento máquina y del lenguaje de programación.
y aceptación del XML como metaformato para • Al tener como base el protocolo HTTP, la
el intercambio de información. Gracias a XML comunicación se da sin ningún tipo de pro-
se han podido desarrollar una serie de pro-
tocolos y estándares que forman la base de
los servicios web: SOAP/XML-RPC para el En este artículo aprenderás...
intercambio de datos entre aplicaciones, WS-
• Cómo protegerse de los problemas básicos de
DL como lenguaje de descripción de servicios seguridad relacionados con los servicios web,
y UDDI como registro basado en XML para • Lo que deberías tener en cuenta a la hora de
la descripción, descubrimiento e integración. desarrollar tu propio servicio.
Todos estos protocolos se aglutinan dentro de
SOA (Arquitectura Orientada a Servicios), que Lo que deberías saber...
permite que varias aplicaciones puedan inter-
cambiar información y funcionalidad a pesar de • Ciertos conocimientos de servicios web (al me-
estar en ubicaciones diferentes, estar en má- nos saber lo que es un servicio web y lo que es
quinas de diversas arquitecturas y programa- la arquitectura SOA).
das en diferentes lenguajes de programación.
30 www.hakin9.org
blemas ya que los firewall suelen servar si hubiera plaza para el perio- La arquitectura SOA se com-
tener el puerto http habilitado. do determinado. Realizar esta tarea pone de nodos. Los nodos de una
Con otras tecnologías anteriores manualmente tiene un alto coste en red ofecen a otros nodos o usuarios
(rpc, corba) había que tener cui- tiempo y en recursos, ya que obliga de la red sus recursos en forma de
dado con las configuraciones de a la agencia a tener un empleado servicios independientes, a los que
los firewalls. realizando todas las gestiones ma- se accederá de forma estándar. Es
• Ofrecen la potencia de poder nualmente. Además las posibilidades decir, la idea radica en crear servi-
disponer de funcionalidades e in- de que alguna reserva sea negativa cios independientes que cada nodo
formación que ofrecen los distin- y sea necesario replanificar todo el ofrece al resto de la red, de modo
tos servicios Web que estén físi- viaje son muy grandes, con lo cual el que cualquier nodo con los permisos
camente ubicados en diferentes tiempo necesario para organizar to- adecuados podrá usar uno o varios
lugares geográficos. Con esto do el viaje y la estancia puede crecer servicios con la finalidad de dar solu-
se obtiene como resultado un aun más. Está claro que el cliente ni ción a un problema mayor.
sistema global que aúna las ca- puede, ni quiere, esperar tanto para Después de todo lo visto es
pacidades de todos lo servicios recibir una contestación afirmativa o fácil ver la arquitectura SOA como
Web que invoca. negativa sobre la disponibilidad de un nivel de abstracción superior
su viaje. a la orientación a objetos pues en
Todas estas ventajas se pueden re- ¿Cómo obtener una solución lugar de objetos que proporcionan
sumir en pocas palabras: Los servi- automatizada para realizar todo es- un cierto comportamiento, tenemos
cios Web nos ofrecen transparencia, te proceso? Las compañías aéreas servicios. Pero ya hemos descu-
sencillez y compatibilidad y dotan al ofertan desde hace tiempo servicios bierto como SOA es realmente una
nuevo sistema de funcionalidades de consulta y reserva online para su arquitectura distribuida gracias a pro-
correctas de forma rápida y simple. acceso desde operadores turísticos tocolos como SOAP y WSDL. Otra
Para tratar de comprender de forma (AMADEUS). Por lo tanto, para con- forma de acceder remotamente a fun-
definitiva todo lo comentado ante- sultar la disponibilidad de vuelos ba- cionalidad remota (anterior a SOA)
riormente vamos a ver un ejemplo staría con acceder a los servicios son los RPC (llamada a procedimien-
típico de uso de servicios Web en web de las compañías aéreas ofre- tos remotos). Este protocolo posi-
el ámbito comercial o de negocio ciéndonos información para los vue- bilita ejecutar servicios o código de
(Figura 1). los que nos interesen. Para el tema un programa en otra máquina de
Imaginemos una típica agen- de los hoteles pasa algo parecido. forma remota, siendo para la pri-
cia de viaje. Entre sus ofertas se Así pues, automatizar el proceso mera transparente la comunicación
ofrecen paquetes de vacaciones global no parece ya una tarea tan entre ambos nodos, ya que las RPC
personalizables. Dentro de cada complicada ya que bastaría con encapsulan y ocultan parte del pro-
paquete de viaje se distingue un realizar un programa para satisfacer ceso. Básicamente, en los RPC es
destino, el o los hoteles en los que las restricciones marcadas por el el cliente el que inicia el proceso,
hospedarse, los vuelos de avión usuario que hiciera uso de los servi- dicho nodo solicita al servidor que
y demás particularidades del viaje. cios web de consulta y reservas que ejecute cierta funcionalidad. Éste,
Al ser personalizables, en cada uno nos ofertan las distintas compañías cuando ha terminado su proceso, le
de estos paquetes se puede elegir implicadas en el proceso. Además envía el resultado de dicho servicio
ciertos detalles como pueden ser el utilizar servicios web en lugar de al cliente.
el hotel, los vuelos, el destino, la otras tecnologías nos asegura la co- Los servicios web surgen como
duración, etc. Manejar toda esta in- rrecta interoperabilidad a la hora de mejora del RPC al estandarizar el
formación y gestionar los cientos de acceder a los servicios e información protocolo interno de comunicación.
combinaciones posibles, así como remota de los hoteles y compañías De todas formas los servicios web
asegurar al cliente la oficialidad de aéreas. han ido evolucionando desde sus
sus reservas en hoteles y vuelos inicios, sufriendo una serie de me-
para las fechas exactas se torna en Interoperabilidad y SOA joras y de actualizaciones que se
una tarea demasiado compleja, por Hemos dado mucha importancia en traducen en tres generaciones de
no decir imposible, para la agencia el apartado anterior al concepto de servicios web.
de viajes. Para coordinar todos estos Heterogeneidad que se permite en- La primera generación de ser-
eventos la agencia de viajes deberá tre los sistemas participantes de una vicios web se basaba en la comu-
ponerse en contacto con cada com- transacción gracias a los Servicios nicación nodo a nodo. Un flujo de
pañía de vuelo para averiguar si es Web. SOA (Arquitectura Orientada acciones podría ser el siguiente:
posible y quedan plazas para volar el a Servicios) es la arquitectura que Se lanza una petición de un servicio
día elegido al destino de vacaciones. hace eso posible. En este apartado a un servidor SOAP. Dicho servidor
Tendrá que ponerse en contacto con nos introduciremos en esta arqui- SOAP se encarga de invocar el ob-
la administración de los hoteles y re- tectura. jeto o el proceso determinado que le
www.hakin9.org 31
Defensa
ofrece dicho servicio. Se realiza el multitud de peticiones a distintos no está protegido. Sin embargo este
proceso interno necesario (acceso servicios web. Sin embargo puede punto fuerte para la interoperabi-
a bases de datos, lectura de fiche- suceder que uno de los servicios lidad es visto como un punto muy
ros, etc.) para la consecución del Web nos devuelva una respuesta débil en cuánto a seguridad por al-
servicio. El servidor SOAP detecta negativa, es decir, que nuestro gunos gurús de la seguridad, ya que
el fin del proceso y devuelve la hotel no ha podido ser reservado permite a SOA saltarse los firewalls
respuesta obtenida al Nodo que rea- por falta de habitaciones libres (por (y en gran medida la seguridad).
lizó la petición (a través de http). Un ejemplo). En este caso sería nece- Otro punto oscuro es el tema de la
proceso, como se puede observar, sario deshacer todas las reservas autentificación, autorización y con-
bastante simple. de vuelos, vehículos de alquiler, etc. trol de acceso a servicios web en
En la segunda generación se La tercera generación de servicios función que SOA en sus primeras
da la situación de que el Nodo que web soluciona esto de modo que definiciones del estándar no ofrecía
realiza la petición no se la realiza se agrupan todas las peticiones en de por si.
directamente al servidor SOAP una transacción. Esta transacción
que mantiene el servicio. Realiza la será positiva en caso de que logren Ataques típicos
petición a un tercer servidor SOAP satisfacer todas las restricciones Ante todo hay que tener en cuenta
que será el que realice la verda- necesarias (por ejemplo todas las que, cuando estamos creando servi-
dera petición al servicio oportuno. reservas necesarias para un cliente cios web, lo que estamos haciendo
Este nodo intermedio concentra determinado) y será negativa en ca- es brindar puertas de acceso desde
todas las peticiones de los distintos so contrario, ya que una transacción el exterior a nuestros programas
clientes y concentra en él todas las solo tiene sentido si se cumple en (sistema), por lo que hay que tener
tareas necesarias de comunicación su totalidad (si no tengo el billete de muy en cuenta quiénes van a poder
con el nodo del servicio. En esta avión hasta mi destino, el que tenga acceder a cada funcionalidad y el
generación se encapsulan compor- hoteles libres me da absolutamente que no existan agujeros de seguri-
tamientos comunes de los clientes lo mismo). Hasta que no se consiga dad en el código desarrollado. De
en un nuevo nodo que se encarga de satisfacer todas las peticiones el todas formas los ataques más típi-
distribuir posteriormente las partes resto, aunque estén satisfechas, se cos son:
no comunes a los distintos nodos de mantendrán en espera hasta que
servicio. todas tengan éxito. • Ataque de denegación de servi-
El problema de la 2a generación cio: Un ataque de DOS a un ser-
surge de los procesos demasiado ¿Es SOA inseguro? vicio web es idealmente simple.
complejos que se pueden generar Uno de los puntos fuertes de SOA Lo que se trata es de atacar al
al realizar diversas peticiones. En en cuánto a interoperabilidad es su servidor de aplicaciones o al par-
nuestro ejemplo del operador de habilidad de atravesar firewalls, ya seador XML, no a la lógica del
viajes, para satisfacer los deseos de que la comunicación se realiza a tra- programa, lo cuál sería más com-
nuestro cliente deberíamos realizar vés del puerto 80 que habitualmente plicado. Estos ataques tratan de
consumir mucho tiempo de CPU,
consumir mucha memoria y/o
colapsar el acceso a la base de
datos. Para el tema del consumo
Agencia Viajes de mucha cpu basta con tener
en cuenta que parsear un XML
correctamente no es una tarea
Hotel 1
Hotel 2
trivial, y menos cuándo se tienen
estructuras muy profundas y re-
ferencias a otros documentos
que hacen que se produzcan es-
peras debido a la latencia de la
red durante el parseo. En cuánto
a consumir mucha memoria hay
que tener en cuenta que a pesar
Cliente 1 que consumir toda la memoria
Compańías de un sistema en producción sea
Aéreas una tarea prácticamente impo-
Cliente 2
sible, la gestión de la memoria
(sobre todo en aquellos servicios
Figura 1. Un ejemplo de uso de los servicios Web en el ámbio comercial web implementados en lengua-
32 www.hakin9.org
jes que, como Java, utilizan que nuestro servicio web funcione de por sí autenticar al invocador
recolector de basura) puede correctamente. Algo menos dañino pero, hoy por hoy, existen algunas
hacer que el sistema se vuelva que esto puede ser el acceder a la alternativas para poder hacerlo:
sumamente lento. Para colapsar funcionalidad de un servicio web
las conexiones a Bases de Da- sin ser usuario autorizado, para ello • La nueva especificación de se-
tos nos centramos en el hecho (utilizando el mismo ejemplo) si se guridad (WS-Security) para ser-
que mayoría de las aplicaciones pasa como parámetro de nombre de vicios web permite autenticar los
utilizan colas de conexiones de usuario el texto “t’ OR ‘a’==’a’) esto invocadores.
tamaño fijo, por lo que si se ge- podría derivar en un acceso no auto- • Validar a nivel de capa de trans-
neran tantas peticiones a la base rizado si solo se tiene en cuenta que porte utilizando HTTPS.
de datos como para llenar la cola la consulta sea verdadera (devuelva • Utilizar diferentes servidores
se puede llevar a la aplicación algo) ya que ‘a’ == ‘a’ se cumple SOAP para cada nivel de acce-
a su muerte. Para esto haría fal- siempre. so.
ta encontrar una petición SOAP Algunos de estos ataques típicos • Hacer que el firewall inspeccione
que no requiera autorización pe- (y algunos otros) se deben a las de- los mensajes SOAP e identifique
ro que resulte en una petición bilidades derivadas de utilizar XML roles de usuario, niveles de priva-
fuerte a la base de datos (ejem- en las peticiones cidad, etc.
plo: autenticación inicial de un
usuario). • Documentos XML excesivamen- De todas formas todas estas alter-
• Interceptación y manipulación te largos/profundos (relacionado nativas para autenticar al invocador
de mensajes: Al ser mensajes con los ataques DOS). están fuera del alcance de este
en XML resulta bastante fácil artículo por considerarse un tanto
descifrar y manipular cualquier <etiqueta><etiqueta><etiqueta> avanzadas. Cada una de ellas tiene
mensaje (ataques de reescritura </etiqueta></etiqueta></etiqueta> el suficiente peso como para desa-
de XML). rrollarse en un único artículo.
• Peticiones de cliente falsificadas. • Ataques de Expansión de Enti-
• Respuestas del servidor falsifica- dades: Si la cabecera del docu- Haciendo seguros tus
das. mento XML declara entidades Servicios Web
• Intentos de leer/escribir datos en recursivas y el fichero las refiere, Una vez tenemos claros los ataques
el servidor (sistema de ficheros/ el sistema puede verse afectado más comunes, podemos proceder a
base de datos): Por lo general (dependiendo del servidor de intentar asegurar nuestros servicios
vienen de la mano de ataques aplicaciones podría llegar a ser web. En este punto se expone una
por parámetros y SQL-injection, un ataque Dos). guía de pasos básicos a verificar
que permite que se realicen • Entidades que refieren al sistema cada vez que se desarrolle un ser-
consultas o modificaciones (no de ficheros: Si se declara una vicio web. Algunos de estos puntos
previstas) en la base de datos entidad refiriéndose a un archivo pueden obviarse cuándo se utilizan
debido al sustituir un parámetro local, se puede estar preguntan- algunos aspectos de seguridad más
de entrada por ese parámetro do por la existencia de un fichero avanzados, relacionados con los ser-
y alguna otra instrucción sql que e incluso conseguir una copia vicios web como WS-Security pero,
permita obtener el resultado re- del mismo en el mensaje de res- como bien hemos dicho anterior-
querido. Valga como ejemplo un puesta. mente, estos temas están fuera del
típico método de validación de alcance de este artículo introducto-
usuario. Este método recibe co- Autenticando al rio.
mo parámetro en nombre de usu- invocador
ario y para construir la consulta Poder autenticar al invocador de • Asegurarnos de haber esta-
ejecuta el siguiente código: un servicio web es algo realmente blecido la profundidad máxima
necesario para poder establecer para el parseador XML, de forma
$consulta = “SELECT * FROM usuarios distintas funcionalidades a distintos que cuándo tenga que parsear
WHERE nombre=’” . nombreUsuario; perfiles de usuario. Además, poder documentos XML ideados para
autenticar al invocador nos protege, un ataque Dos, el sistema sea
A este método si le pasamos un en cierta manera, contra otro tipo de capaz de pararse antes de llegar
nombre de usuario del tipo pepe; ataques, ya que para poder realizar a su muerte. Este punto no solo
DROP TABLE usuarios; lo que muchos de ellos sería necesario au- tiene que ver con los servicios
hará es buscar primero el usuario tenticarse y, para ello, tener acceso web, si no con cualquier apli-
pepe y a continuación eliminará la al sistema como usuario, lo cuál no cación en la que necesitemos
tabla que contiene la información es usual en el caso de un atacante. parsear un XML que viene del
de los usuarios lo cuál impedirá SOA en sus comienzos no permitía exterior.
www.hakin9.org 33
Defensa
• Detectar aquellas funcionalidades • Si es posible, recompilar el ser- descubrir quién ha tirado nuestro
que hacen uso más intensivo de vidor de aplicaciones con las sistema, si no también para pre-
bases de datos. Buscar alterna- opciones mínimas necesarias venir los ataques exitosos ya que
tivas al desbordamiento de las para el funcionamiento del mis- analizando los logs podemos
colas de conexiones a la base de mo, esto hará que disminuya el detectar intentos de ataques, pa-
datos. De hecho, es mejor que un número de riesgos potenciales, trones de comportamiento y ex-
determinado método devuelva un ya que muchos posibles ataques traer conocimiento acerca de
error cuándo ve que no va a poder dependen de posibles bugs cómo protegernos ante estos
ejecutar la consulta a una base de o carencias del servidor de apli- ataques. Para esto, resulta muy
datos en un determinado tiempo, caciones. También resulta de interesante conocer técnicas
en lugar de encolar su petición vital importancia establecer los de gestión de datos aplicada
ya que si se desborda la cola de permisos adecuados al servidor a logs.
peticiones a la base de datos, el de aplicaciones desde el sistema
servicio web puede morir. operativo y utilizar al máximo Conclusión
• En todos los sitios dónde alguna todas las facilidades, en cuánto SOA ofrece un marco de desarro-
funcionalidad realice consultas a seguridad, que nos de la pla- llo bastante interesante al permitir
a base de datos a partir de pará- taforma que estemos usando gran interoperabilidad. De todas
metros introducidos por el usua- (por ejemplo los servidores de formas SOA es un arquitectura re-
rio, hay que asegurarse que no aplicaciones basados en Java lativamente reciente y el aspecto de
haya forma de inyectar otras pueden hacer uso de su sistema seguridad ha estado un tanto des-
consultas sql. Para esto, lo mejor de seguridad). cuidado hasta hace poco tiempo.
es utilizar consultas preparadas. • Ocultar toda la información po- En este artículo se ha introducido
Por ejemplo: sible de la arquitectura, servidor la arquitectura SOA y se han visto
de aplicaciones, etc. que se pue- los puntos débiles de la misma,
$consulta = $sql->prepare(“SELECT * de mandar en las cabeceras. estableciendo una guía de puntos
FROM usuarios WHERE nombre = ?”); A pesar de que ofuscar de por relacionados con la seguridad a la
$consulta->execute($usuario); si no sea una buena estrategia, hora de desarrollar nuestro propio
cuántas menos facilidades se le servicio web. A la hora de hacer
De esta forma nos aseguramos que den a los atacantes, menos posi- seguro nuestro servicio web nos
lo que nos mande el usuario sea bilidades de sufrir un ataque. En tenemos que centrar ante todo en
tomado como el valor del campo este sentido también es conve- ofrecer la menor cantidad posible
en la consulta impidiendo de cual- niente personalizar al máximo el de información susceptible a ser
quier forma inyectar cualquier otra servidor de aplicaciones, desde utilizada en un ataque (definición
consulta. cosas tan básicas y evidentes de la funcionalidad, información
como los posibles usuarios de la arquitectura y servidor de
• Seguimiento de las sesiones. y claves por defecto a directorios, aplicaciones, etc.), en asegurarnos
A pesar de que se utilicen iden- etc. Esto nos hace algo inmunes que nuestro sistema es robusto
tificadores de sesión, cualquiera a que esquemas generales de ante ataques por XML, impedir la
que esté escuchando los men- ataque funcionen sobre nuestro inyección de consultas SQL y, como
sajes XML intercambiados puede servicio web. es lógico, asegurarnos la robustez
interceptar uno y robar la sesión. • No permitir la autogeneración de la lógica de negocio del servicio
Para esto es bueno hacer un del WSDL y/o no tener ningún web a desarrollar. l
seguimiento más exhaustivo del WSDL de nuestro servicio web.
usuario, almacenando la ip de Existen muchos medios (mail,
origen para contrastarla con la por ejemplo) de ofrecer el WS-
sesión. Esto es aplicable también DL describiendo las funcionali-
al cliente que invoca al servicio dades de nuestro servicio web Sobre los Autores
Los tres autores son miembros funda-
web, ya que dentro de los ataques a usuarios que realmente quera-
dores y trabajadores de AINetSolutio-
típicos encontrábamos tanto la mos que puedan acceder a las
ns, empresa dedicada a consultoría
manipulación de respuestas co- funcionalidades y de esta forma en el mundo de las redes, seguridad
mo las respuestas enviadas des- evitamos dar información valiosa y gestión de datos. Así mismo, tanto
de un falso servidor. Si desde el a aquellos que quieran atacar José Carlos Cortizo como Diego Ex-
cliente se contrasta la información nuestro sistema. pósito son profesores asociados en la
del origen de las respuestas del • Utilizar logs y monitores de car- Universidad Europea de Madrid y Die-
servidor, nos estaremos asegu- ga para poder auditar y trazar go Peces es consultor de seguridad en
rando de la correcta identidad del los ataques. Esto resulta muy Axpe Consulting.
servidor. importante ya no solo para poder
34 www.hakin9.org
Administrando la
Inseguridad Informática
Defensa
Jeimy J. Cano
Grado de dificultad
Este documento busca repensar la seguridad de la información

desde el concepto de la inseguridad, para que, tratando de
aprender de la mente del atacante, se descubra cómo diseñar
y construir sistemas menos inseguros, como una estrategia para
destruir la falsa sensación de seguridad y animar una postura
vigilante y proactiva en la gestión de la seguridad de la información.
L
a única constante en el mundo de la se- sobresalientes de la inseguridad. Si miramos
guridad de la información, es la inseguri- con detalle estas dos consideraciones, no
dad. En este sentido, las organizaciones responden necesariamente a un problema de
luchan día a día para tratar de eliminar o mitigar seguridad tecnológico, sino procedimental y de
las posibles vulnerabilidades que se presentan concientización. Los intrusos saben y com-
en sus infraestructuras tecnológicas o en sus prenden que detrás de las infraestructuras de
procedimientos que apoyan el negocio. seguridad de la información está ese elemento
Revisando los recientes artículos e informes que las organizaciones hoy por hoy se resisten
de vulnerabilidades (WILLIAMS, M. 2006, MI- a entrenar, a formar, a hacer parte formal de
MOSO, M. y SAVAGE, M. 2006, BEAVER, K. su modelo de seguridad, los usuarios. (BEA-
2006, ROITER, N. 2006), se hace evidente que VER, K. 2006). Esta realidad, se manifiesta en
la inseguridad informática es un elemento pro- importantes incrementos de robo de identidad
pio de la dinámica de las organizaciones en ca- y fraudes bancarios a través de Internet que re-
da uno de sus procesos. Mientras las empresas quieren una revisión profunda de nuestra com-
buscan alcanzar un nivel superior de seguridad,
más se encuentran con la problemática de la
inseguridad, pues los procesos en sí mismos, al En este artículo aprenderás...
ser redes de comunicaciones y acuerdos entre
• Cómo diseñar y construir sistemas menos inse-
personas, tecnologías y normas, establecen guros,
relaciones y distinciones que generalmente • Cómo animar un apostura vigilante y proactiva
no son distinguibles, haciendo de la labor de en la gestión de la seguridad informática.
aseguramiento de la información más que una
función tecnológica, acciones humanas y pro- Lo que deberías saber...
cesos administrativos y estratégicos.
Durante el 2006, los robos de información • Concepto de la inversión y las vulnerabilidades
y la exposición de datos (http://attrition.org/ en la seguridad informática.
dataloss/), fueron las manifestaciones más
36 www.hakin9.org
prensión de la seguridad, más allá • La habilidad como la capacidad dustria, en teoría la seguridad es per-
de las fallas y las vulnerabilidades. de hacer, desarrollar y actuar en fecta, en la práctica no, esta expresión
En este sentido, repensar el consecuencia con ese conoci- nos sugiere que si bien, las especifi-
discurso de administración de la miento. caciones matemáticas utilizadas para
seguridad exige de los profesionales • La actitud, como la disposición darle claridad a las relaciones que se
y directivos de seguridad aprender a del individuo frente a los retos establecen entre usuarios y objetos
comprender el dual que combaten: la que propone el área de conoci- son verificables en un escenario ideal,
inseguridad informática. Compren- miento y su manera de enfrentar la realidad de las organizaciones y el
der el lado oscuro implica reconocer y motivar el desarrollo de habili- desarrollo de software desbordan di-
que tenemos que desaprender, que dades complementarias para ir chas expectativas.
nuestras actuales estrategias se más allá de lo que su entorno le La seguridad ha estado basada
limitan a mantener y utilizar más tec- propone. todo el tiempo en la comprensión
nologías, y no a comprender en pro- de tres elementos fundamentales
fundidad las relaciones complejas En ese contexto, desarrollar el hábito y cómo alcanzarlos en cada una de
que exhibe la organización y cómo de la Administración de la Inseguridad las implementaciones de modelos
allí se hace presente o se materiali- Informática – ADINSI – implica hacer de seguridad: confidencialidad, inte-
za la inseguridad. (THE HONEYNET de ésta una pasión, una disciplina gridad y disponibilidad – CID. Con-
PROJECT 2004, TAYLOR, R., CAE- individual que permita a las organi- secuente con lo anterior, cualquier
TI, T., KALL LOPER, D., FRITSCH, zaciones mantener una posición pro- intento para vulnerar alguno de éstos
E. y LIEDERBACH, J. 2006). activa frente a posibles e inesperados elementos, se considerará un intento
En consecuencia, las organiza- eventos, para los cuales puede no o ataque al activo fundamental que
ciones deben reconocer que parte estar preparadas, pero conscientes es la información.
del secreto para incrementar los sobre cómo aprender de ellos. Siguiendo la revisión anterior, se
niveles de seguridad, está en la Basado en lo anterior, se presen- tiene que los ataques se presentan
administración de la inseguridad in- ta este documento que examina los dado que existen escenarios y prác-
formática. Expresado de otra for- conceptos actuales de la seguridad ticas que no aseguran el cumpli-
ma, que tan seguros pueden llegar de la información, algunas conside- miento del CID para la información
a ser, reconociendo siempre que la raciones de inversión en temas de a proteger, característica que en
inseguridad de la información estará seguridad, los cuales serán insumo el mundo de la auditoría se deno-
presente para desafiarlas una y otra para proponer un modelo base para mina riesgo. Un riesgo, de manera
vez. la administración de la inseguridad y general, es todo aquello que no me
Las implicaciones de esta pro- así ver, bajo la mirada de los intrusos, permite el logro de los objetivos; en
puesta exigen desarrollar un hábito tendencias emergentes y estrategias particular, en temas de seguridad de
que busque confrontar la inseguri- consecuentes con este modelo. la información, todo aquello que no
dad de la información y no solamen- me permite cumplir con CID.
te su control o mitigación. En razón Concepto tradicional Generalmente al adelantar un pro-
a lo anterior, desarrollar un hábito de la seguridad de la ceso de administración de la seguri-
requiere según Covey (2005 pág. información dad de la información, se establece
51) tres elementos: el conocimiento, La seguridad de la información desde lo que se denomina un conjunto de
la habilidad y la actitud. los años 60 se ha desarrollado como procesos a revisar y la información
una distinción formal, basada gene- asociada con el mismo. Este proce-
• El conocimiento, como la capa- ralmente en teorías matemáticas, las so se basa por lo general en un pro-
cidad de comprender en detalle cuales terminaron materializadas en grama de protección de activos de la
los aspectos conceptuales rela- implementaciones de software, hard- organización (KOVACICH, G. y HA-
cionados con el área de trabajo ware y productos intermedios. Como LIBOZEK, E. 2006) que considera
donde se ejerce. bien comentaba una persona de la in- las políticas, los procedimientos, los
procesos, los proyectos, los planes
Tabla 1. Características de la Seguridad y de la Inseguridad (Tomado de: y las responsabilidades de cada uno
CANO, J. 2006) de los actores de la organización
frente a los activos. A través de es-
Seguridad Inseguridad
te programa se operacionalizan las
Subjetiva Objetiva medidas requeridas para mitigar los
No tiene cota superior Es posible establecerle cota superior riesgos a los cuales esta expuesta la
Intangible Tangible información.
La valoración de qué tan efectivo
Es una propiedad emergente Es una propiedad inherente
ha sido el proceso de administración
Se require modelarla No se require modelarla
de la seguridad generalmente se
www.hakin9.org 37
Defensa
mide según el número de incidentes respuesta a este interrogante será En un segundo lugar se encuen-
que se han presentado en la dinámi- desarrollada posteriormente. tran las inversiones en tecnologías de
ca de la organización y su negocio. autenticación, autorización, auditoría
Para ello, ejercicios como las prue- Algunas y monitoreo, las cuales de manera
bas de vulnerabilidades, las evalua- consideraciones sobre estratégica soportan y registran los
ciones de seguridad y las auditorías la inversión y las eventos y el acceso a la información
de seguridad (CANO 1997) son refe- vulnerabilidades en dentro de la infraestructura de tecno-
rentes útiles para establecer el grado seguridad informática logías de información de la organi-
en que las vulnerabilidades se hacen Las organizaciones que reconocen zación. En tercer lugar, se identifica
presentes tanto en la infraestructura en la información un activo funda- las inversiones en el tema de ase-
como en los procesos de negocio. mental para desarrollar negocios guramiento de aplicaciones, fortale-
Si revisamos las prácticas actua- y sobrevivir en un mundo global, por cimiento de sistemas operacionales,
les de las organizaciones alrededor lo general establecen presupuestos valoración de la seguridad, las cuales
de una administración de la seguri- que consideran inversiones (general- establecen buenas prácticas que per-
dad de la información, identificamos mente de un dígito) en los temas de miten afianzar la distinción de gestión
una fuerte tendencia al uso de tec- aseguramiento o protección de dicho de la seguridad de la información
nologías y utilización de estándares activo. Dichas inversiones fueron re- Finalmente, las inversiones sobre
o buenas prácticas internacionales visadas por un estudio realizado por revisión y análisis de los datos que
(KUPER, P. 2005), como una es- la firma Stanley Morgan durante el están residentes en la infraestructu-
trategia para avanzar en su lucha 2005 (KUPER, P. 2005), cuyos resul- ra de computación de la empresa, la
contra la inseguridad, pero pocos tados se detallan a continuación. clasificación de la información y las
elementos que procuren entender La firma Stanley Morgan encontró relaciones entre aplicaciones, proce-
esta última. que las mayores inversiones en se- dimientos de operación y control de
En consecuencia con lo anterior, guridad se efectúan en temas de se- datos, uso de estándares internacio-
el concepto de seguridad, como el guridad perimetral, es decir, cajas de nales, entre otras.
proceso formal y riguroso para man- protección de seguridad anti-spam, Al revisar estos resultados, es
tener un sistema de gestión orienta- anti-virus, anti-spyware, las cuales extraño ver que la menor inversión
do a la protección de la información, generalmente viene preconfiguradas se concentra en la esencia misma
sustentado en las estrategias y di- e instaladas, haciendo mucho más de la seguridad informática, los da-
námica de negocio, entra en crisis fácil su uso y puesta en producción. tos, la información, y que la mayor
al saber que la inseguridad presente Dichas cajas generalmente poseen se orienta a la adquisición de tec-
dentro del sistema atenta contra su una interfase de administración que nologías para controlar en el exterior
propio objetivo. La pregunta que sur- permite a los responsables de segu- la aparición de amenazas contra el
ge es: ¿qué hacer frente a la inse- ridad mirar la efectividad del control activo información.
guridad o riesgos inherentes a la de las amenazas para las cuales han Consecuente con este análisis,
realidad de las organizaciones? La sido adquiridas. se adelantó una revisión paralela,
siguiendo la misma estrategia del
estudio de Stanley Morgan, para ver
MAYOR INVERSIÓN
cómo evolucionan las vulnerabilida-
Perimiter ANTI-BOX des, los resultados obtenidos esta-
AntiSPAM/AntiVIRUS/AntiSPYWARE/ blecen reflexiones que presentan en
¿ AntiHACKING ?
los siguientes párrafos.
Las mayores vulnerabilidades se
Network
Estrategia AAA presentan a nivel de los datos, de la
Autenticación/Autorización/Auditoría información, generalmente asociadas
/Monitoreo
con la falta de cultura de seguridad, la
Applications inadecuada disposición de medios de
Mejores prácticas información, inadecuadas prácticas
Aseguramiento/Pruebas de Vulnerabilidades de seguridad asociadas con vulne-
Data rabilidades donde el factor humano
y el incumplimiento de procedimientos
Clasficación de la Información/Estándares
Usuarios/Technologías/Procedimientos
se hacen presentes. Esta realidad se
evidencia en todas las organizacio-
MENOR INVERSIÓN nes en mayor o menor grado, según
los esfuerzos de entrenamiento, infor-
Figura. 1 Análisis de la inversión en Seguridad Informática. [Adaptado de: mación, capacitación y formación del
KUPER, P. 2005] personal de las áreas de negocio.
38 www.hakin9.org
En segundo lugar tenemos las

vulnerabilidades propias a las apli- MENORES VULNERABILIDADES
caciones, las cuales frecuentemente
Perimiter FALLAS DE LOS PROVEEDORES
están enraizadas en problemas con Paraches/Actualizaciones
las herramientas y prácticas de pro-
gramación, lo cual exige comprender
que una aplicación está hecha tanto Network FALLAS A NIVEL DE PROTOCOLOS
para cumplir con la especificación Confidencialidad/Integridad/Disponibilidad
con la cual fue diseñada como para
fallar ante un evento no esperado. Applications
En tercer lugar, tenemos las fallas APLICACIONES INSEGURAS
Prácticas de progranación
a nivel de comunicaciones. Los proto-
colos utilizados en las transmisiones
Data
de información tienen vulnerabili- MALWARE/CULTURA DE SEGURIDAD
dades inherentes, las cuales con el Virus/ Robos de portátiles/Inadecuada
tiempo se han venido detectando disposición de medios de almacenamiento
y corrigiendo, cuando es posible, o li- MAYORES VULNERABILIDADES

mitando la aparición de las mismas
con tecnologías de seguridad que blo-
Figura 2. Análisis de la evolución de las vulnerabilidades
quean tráficos que puedan ser cata-
logados como sospechosos. mación es una disciplina que, sus- • ¿Cómo funciona el sistema?
Finalmente, tenemos las vulnera- tentada en la formalidad original de • ¿Cómo no funciona el sistema?
bilidades propias de los proveedores los años 60’s, se ha fortalecido como • ¿Cómo reacciona ante una falla o
y sus productos, los cuales constan- un mundo tecnológico y normativo, situación inesperada?
temente están trabajando para pro- donde cualquier anormalidad que • ¿Cómo hacerlo fallar?
ducir los parches y actualizaciones se presente es una falla o vulnera-
requeridas para mitigar el riesgo que bilidad que debe ser controlada o mi- De acuerdo con una reciente investi-
pueda comprometer la seguridad de tigada. Esta manera de razonar, ha gación (CANO 2006) y considerando
la organización frente a las amenazas permitido avances importantes en los elementos anteriormente presen-
que cubre dicho software o hardware. las tecnologías de protección, que tados (Figura 1 y 2), se establecen
Como podemos observar al de manera sistemática y asidua ha cinco características que identifican
comparar los dos resultados, el de logrado importantes desarrollos y pro- tanto a la seguridad como a la inse-
inversión y el de vulnerabilidades, se puestas para enfrentar el lado oscu- guridad, las cuales serán analizadas
invierte donde existen menos vulne- ro de la fuerza, la inseguridad. y detalladas a continuación.
rabilidades. Por tanto, la seguridad, Si analizamos estos últimos 40 La seguridad es una realidad
aunque reconocemos que es un pro- años de evolución de la seguridad subjetiva, es decir propia del sujeto.
ceso y no un producto, está siendo ad- informática, podemos ver que las Cada una de las personas tiene una
ministrada en función de los recursos investigaciones se han concentrado manera de comprender y entender
tecnológicos y las posibilidades que en revisar las limitaciones de los la seguridad. Es tan válida la defini-
estos ofrecen. La pregunta es: ¿qué productos y teorías alrededor de la ción de un ciudadano común, como
hacer para remediar esta situación? seguridad, es decir, hemos estado la de un especialista en temas de
estudiando la inseguridad infor- seguridad, pues cada uno de ellos
Repensando la mática como factor base para los comprende la realidad de la seguri-
seguridad de la nuevos desarrollos (HUTCHINSON, dad según su exposición a la misma.
información B. y WARREN, M. 2001 Cap.4). Si Mientras que la inseguridad es obje-
Basado en lo revisado hasta el esto es así, no podemos hablar de tiva, es decir, propia al objeto, una
momento, la seguridad de la infor- seguridad de la información, sin re- realidad perceptible, observable y ve-
conocer su dual, la inseguridad (CA- rificable en el objeto. En este senti-
NO 2004). do, la inseguridad valida la esencia
Agradecimientos
El autor agradece al Dr. Jorge Ramió
En consecuencia, estudiar la misma del análisis de riesgos, pues
Aguirre, a la Maestra Gabriela María inseguridad como estrategia para sólo a través de hechos cumplidos,
Saucedo Meza y al Ingeniero Andrés comprender la seguridad sugiere verificables y comprobables pode-
Ricardo Almanza Junco por su tiempo contextualizar en un escenario real mos medir el nivel de exposición que
y valiosos comentarios que permitieron la incertidumbre inherente del siste- tenemos y cómo podemos advertir
afinar y ajustar las ideas expuestas en ma o realidad a modelar, para revisar mejores medidas de control para
este artículo. entre otros aspectos (SCHNEIER mitigarlo, atomizarlo, minimizarlo
2003, pag. 51): o transferirlo.
www.hakin9.org 39
Defensa
La seguridad no tiene cota su- Al ser la seguridad un intangible, algo tenga las características que
perior, en otras palabras, siempre es necesariamente responde a una pro- perseguimos. Si queremos que los
posible encontrar una medida que sea piedad emergente de un sistema. activos gocen de seguridad, nos
más efectiva y/o eficiente que la an- Una propiedad emergente, es aque- enfocamos en primer lugar a com-
terior. Esto es fruto normal de la evo- lla que tienen los sistemas, fruto de prender los riesgos a los cuales está
lución de las medidas de protección, la relación entre sus elementos y no expuesto, para desarrollar las estra-
que entendiendo ¿cómo no funciona particular a un objeto que lo confor- tegias de seguridad requeridas y así
el sistema? es posible plantear es- ma, en otras palabras, la seguridad lograr un nivel de exposición menor
trategias que mejoren lo actualmente es fruto de la relación existente en- de dichos activos. Por otro lado, la
disponible. Si la inseguridad no tuvie- tre la tecnología, los procesos y los inseguridad no requiere de modelos
se cota superior como la seguridad, individuos, como un todo coherente o diseños específicos o detallados,
los seguros no existirían ni se podrían y alineado que comprende que no ella sabe que todos los objetos la con-
pagar. Es tal nuestra necesidad de es posible alcanzar mayores niveles tienen y sus manifestaciones se pue-
mantener un nivel de protección, que de seguridad sin un entendimiento den manifestar en diferentes grados
debemos tratar de cuantificar el nivel o comprensión de las interrelacio- o impactos. En este sentido la inse-
de inseguridad que podemos admi- nes, muchas veces invisibles, que la guridad es una propiedad inherente
nistrar, siguiendo paradójicamente un seguridad sugiere cuando de protec- a los objetos que advierte la manera
nivel base de prácticas de seguridad ción de activos se trata. de cómo establecer los mecanismos
y la dinámica de los procesos de ne- De otra parte, la inseguridad es mínimos para limitar la materializa-
gocio. En este sentido, podemos esta- una propiedad inherente a los objetos, ción de la misma en un escenario
blecer un límite superior de exposición una realidad que deber ser evidencia- con unos actores y variables.
o riesgo que queremos asegurar, con da y explorada para ser comprendida, Basado en esta exploración de
las condiciones y precauciones que el lo cual nos lleva necesariamente a la los conceptos de seguridad e inse-
asegurador establezca como mínimas aparición de la administración de ries- guridad es posible sugerir que es
para poder validar y pagar los daños gos. Cuando entendemos que en el arriesgado afirmar que podría ad-
como fruto de la materialización del mundo donde nos movemos estamos ministrarse la seguridad cuando la
riesgo, más allá de nuestro debido expuestos a ellos, hacemos evidente inseguridad propia de los objetos
cuidado y diligencia para mantenerlo que la inseguridad está presente en nos muestra elementos reales y tan-
en los niveles establecidos. nuestro vivir y por tanto, es preciso gibles que ofrecen características de
La seguridad es intangible, no advertir una serie de acciones que gestión que pueden llegar a ser ana-
está en los mecanismos de seguri- nos permitan mitigarlos. Es darle res- lizados y cuantificados de tal forma,
dad, no está en los procedimientos, puesta a la pregunta ¿Qué hacer si el que se planteen métricas de insegu-
no está en las personas o en los sistema falla? ridad que basadas en buenas prácti-
cargos. La seguridad, complemen- Cuando se habla de modelar cas de seguridad y control, puedan
taría al tema de la subjetividad o diseñar algo, buscamos que ese alcanzar niveles mínimos permitidos
previamente analizado, es la mani-
festación de que estamos ante un
bien cuyo manejo no es evidente
En la Red:
• BEAVER, K. (2006) Don't Spring a Leak. Information Security Magazine. Enero. Dis-
ni certero gracias a su volatilidad,
ponible en: http://informationsecurity.techtarget.com/magItem/0,291266,sid42_
fruto de la percepción de terceros. gci1154838,00.html,
Por ejemplo, si nos detenemos a ob- • CANO, J. (1997) Auditorías de Seguridad, Evaluaciones de Seguridad y Pruebas
servar la variabilidad de los merca- de penetración: tres paradigmas en la seguridad informática. Disponible en: http://
dos financieros ante incertidumbres www.derechotecnologico.com/estrado/estrado003.html,
geopolíticas, nos percataremos de • CANO, J. (2004) Inseguridad Informática. Un concepto dual en seguridad informá-
cómo se destruye la sensación de tica. http://www.virusprot.com/art47.html,
seguridad de los inversionistas oca- • WILLIAMS, M. (2006) Security threat changing, says Symantec CEO. Disponible
sionando efectos devastadores en en: http://www.networkworld.com/news/2006/110306-security-threat-changing-
says-symantec.html,
los movimientos financieros. En con-
• MIMOSO, M. y SAVAGE, M. (2006) Today's Attackers Can Find the Needle. Infor-
secuencia y complementario con lo
mation Security Magazine. Junio. Disponible en: http://informationsecurity.techtar
anterior, la inseguridad es tangible,
get.com/magItem/0,291266,sid42_gci1191313,00.html,
es posible advertir el robo, la estafa, • ROITER, N. (2006) That Sinking Feeling. Information Security Magazine. Octubre.
el accidente, la catástrofe, es una Disponible en: http://informationsecurity.techtarget.com/magItem/0,291266,sid42_
propiedad que es evidenciable y ve- gci1219723,00.html,
rificable, esa que se puede valorar • SAVAGE, M. (2006) Protect What's Precious. Information Security Magazine.
con hechos y cifras, soportando un Diciembre. Disponible en: http://informationsecurity.techtarget.com/magItem/
análisis real de los daños y efectos 0,291266,sid42_gci1232273,00.html.
que ésta ha tenido.
40 www.hakin9.org
y así mantener asegurados los bie- de la gestión del modelo de seguri- cretos en cada uno de los elementos
nes o activos que se tengan bajo dad (SCHOU, C. y SHOEMAKER, de evaluación y que exige personal
observación y custodia. D. 2007). Si bien este razonamiento especializado en el conocimiento
Si la reflexión anterior es correc- es útil por la manera sistemática de de los objetos evaluados. Como re-
ta se requiere repensar la adminis- aprender del sistema y sus fallas, sultado de este ejercicio tenemos la
tración de la seguridad, por una de presenta limitaciones para desapren- evidencia de los riesgos y controles
inseguridad donde, haciendo eviden- der de sus prácticas aprendidas, requeridos para mitigar la presencia
te cada una de las características de cuando se enfrenta a situaciones de la inseguridad. (KOVACICH, G.
esta última, podamos desaprender inesperadas o no contempladas en y HALIBOZEK, E. 2006)
las prácticas actuales de administra- el modelo. Entender la inseguridad significa
ción del riesgo focalizadas en obje- Para lograr materializar las ideas comprender las relaciones de los ele-
tos, para reconocer en las relaciones presentadas previamente y darle mentos que son objeto de evaluación.
que generan las expectativas de la una posible respuesta a la pregunta Esto implica revisar de manera sisté-
gerencia (COHEN, F. 2005), los pro- planteada: ¿qué hacer frente a la in- mica e inteligente (SCHWANINGER,
cesos de negocio y la infraestructura seguridad o riesgos inherentes a la M. 2006, cap. 1 y 2) los resultados
de computación, una fuente comple- realidad de las organizaciones?, se de la evaluación considerando, como
mentaria para el entendimiento de propone un modelo de administración mínimo, los aspectos de la tecnolo-
las vulnerabilidades en los sistemas. de inseguridad informática basado en gía, los individuos y los procesos, no
dos ideas principales: descubrir la in- para analizar lo que ocurre, sino para
Hacia un modelo de seguridad y entender la inseguridad. comprender porqué ocurre y efectuar
Administración de El descubrir la inseguridad es un diagnóstico de la situación. En po-
Inseguridad Informática utilizar el enfoque tradicional (siste- cas palabras en términos sistémicos,
Los modelos actuales de adminis- mático) de administración de riesgos administrar la variedad y complejidad
tración de seguridad, generalmente que se viene utilizando, donde los que exhibe el sistema.
buscan descubrir y corregir las fallas, ejercicios de valoración de seguri- Cuando se aplican las conside-
pero no generan estrategias forma- dad requieren un conocimiento es- raciones sistemáticas y sistémicas
les para entender la inseguridad; se pecializado, fundado generalmente al mismo tiempo, se comprenden de
concentran en establecer las correc- en herramientas y estrategias prácti- manera complementaria los ejerci-
ciones y los controles requeridos pa- cas para identificar vulnerabilidades, cios tradicionales de seguridad y se
ra mejorar la efectividad y eficiencia orientado a resultados prácticos y con- posibilita un diagnóstico real de una
situación anormal. Este diagnóstico
puede llevarnos a desaprender lo
Librería conocido y a establecer nuevas dis-
tinciones en cualquiera de los niveles
• CANO, J. (2006) Information Insecurity: A dual concept of information security. Pro- de análisis (estratégico, táctico y ope-
ceeding of 2nd Internacional Conference on E-Global Security. Londres, UK. Abril. racional), generando conocimiento
• COHEN, F. (2005) Security Governance: Business Operations, security governan-
que alimente el desarrollo de mejores
ce, risk management and enterprise security architecture. ASP Press.
estrategias de negocio, la aplicación
• COVEY, S. (2005) El octavo hábito. De la efectividad a la grandeza. Editorial Pai-
de estándares y buenas prácticas,
dos.
• HUTCHINSON, B. y WARREN, M. (2001) Information warfare. Corporate attack así como una asertiva ejecución los
and defense in a digital world. Butterworth Heinemann. procedimientos de operación.
• KIELY, L y BENZEL, T (2006) Systemic security management. IEEE Security & El modelo presentado (Figura 3)
Privacy. Noviembre/Diciembre. pretende, que la organización de ma-
• KOVACICH, G. y HALIBOZEK, E. (2006) Security metrics management. How to nera dinámica, comprenda que cada
manage the cost of an assets protection program. Butterworth Heinemann. nivel afecta a su nivel superior, esto
• KUPER, P. (2005) The state of security. IEEE Security & Privacy. Septiembre/ es, lo que se evidencie en el análisis
Octubre y diagnóstico del nivel operacional
• SCHNEIER, B. (2003) Beyond Fear. Thinking Sensibly about security in an uncer-
afecta al nivel táctico y así sucesiva-
tain world. Copernicus Books.
mente, evitando la fragmentación de
• SCHOU, C. y SHOEMAKER, D. (2007) Information Assurance for the enterprise.
la visión de seguridad y promovien-
A roadmap to information security. McGraw Hill.
• SCHWANINGER, M. (2006) Intelligent organizations. Powerful models for syste- do una postura proactiva y global de
mic management. Springer Verlag. la organización, que reconoce en la
• TAYLOR, R., CAETI, T., KALL LOPER, D., FRITSCH, E. y LIEDERBACH, J. seguridad la propiedad emergente
(2006) Digital crime and digital terrorism. Pearson Prentice Hall. fruto del reconocimiento y enten-
• THE HONEYNET PROJECT (2004) Know your enemy. Learning about security dimiento de los riesgos inherentes
threats. Addison Wesley. a cada uno de los objetos que la
conforman.
www.hakin9.org 41
Defensa
Nivel Estratégico
Análisis
Diagnóstico
Des
cubr
iend
Expectativas Objectivos o la
inse
Corporativas de Negocio gur
idad
Arquitectura Cultura Estándares y

de Seguridad de Seguridad Buenas prácticas
Infraestructura Prácticas Procedimientos

de Seguridad de Seguridad de Operación
Ent Informática
end
iendo l
a inse
gur
Nivel Operacional idad
Configuración
y Adecuación
Figura 3. Modelo de Administración de la Inseguridad Informática
Si esto es así, la organización de manera estructural el porqué de cuya dinámica de aplicación debe
destruirá estructuralmente la falsa ésta. llevar a una distinción organizacional
sensación de seguridad y la re- Por tanto, se hace necesario sobre la gestión de la inseguridad
emplazará por una estrategia de complementar el modelo de riesgos de la información que se denomi-
aprendizaje permanente sobre los y controles actual, con uno basado na en la teoría information assuran-
incidentes que se presenten, como en las técnicas de hacking, que más ce (SCHOU, C. y SHOEMAKER, D.
la norma misma de la gestión de allá de estar concentrado en los 2007) o aseguramiento de la infor-
éstos. Esto es, tomará ventaja de lo activos a proteger y sus vulnerabi- mación.
que aprende de la inseguridad de la lidades, reconoce las relaciones de Finalmente, el modelo de ADINSI
información, para construir mejores los diferentes componentes del sis- propuesto (Figura 3) es una manera
propuestas de protección, basado tema para responder las preguntas alterna para comprender que exis-
en aquello que ven los intrusos planteadas anteriormente (sección ten tensiones entre las personas,
y las ventajas que ofrecen las tec- repensando la seguridad de la infor- los procesos y la tecnología (KIELY,
nologías. mación). L y BENZEL, T 2006) que deben ser
El modelo de Administración de objeto de revisión permanente y así
Conclusión la Inseguridad Informática (Figura 3) evaluar el impacto de las mismas en
La realidad del creciente número presentado vincula los dos paradig- temas como las expectativas de la
de vulnerabilidades reportadas, in- mas, el de riesgos y controles y el alta gerencia, la arquitectura de se-
cidentes ocurridos y fallas identifica- del hacking, como una manera efec- guridad informática y las prácticas
das nos invita a reflexionar sobre la tiva de procurar una administración de seguridad de las organizaciones.
forma de cómo hemos venido afron- de la protección de la información, l
tando los riesgos que éstas generan
y los impactos de las mismas. En
este sentido, el paradigma actual Sobre el Autor
Jeimy J. Cano, Ph.D, CFE. Miembro investigador del Grupo de Estudios en Comer-
de la seguridad de la información
cio Electrónico, Telecomunicaciones e Informática (GECTI). Facultad de Derecho.
ha entrado en crisis, por lo que se
Universidad de los Andes. Colombia. Miembro Investigador de ALFA-REDI (Red
requiere estudiar en profundidad la
Latinoamericana de Especialistas en Derecho Informático). Ingeniero de Sistemas
mente de los intrusos y sus reflexio- y Computación, Universidad de los Andes. Magíster en Ingeniería de Sistemas
nes para comprender mejor lo que y Computación, Universidad de los Andes. Ph.D in Business Administration, Newport
ocurre ante una falla. Por tanto, no University. Profesional certificado en Computer Forensic Analysis (CFA) del World
es suficiente descubrir la falla puntal Institute for Security Enhacement, USA. Profesional certificado como Certified
y analizar cómo se materializó, sino Fraud Examiner (CFE) por la Association of Certified Fraud Examiners. Contacto:
que se requiere una revisión relacio- jjcano@yahoo.com.
nal de lo que ocurrió para entender
42 www.hakin9.org
Programas malignos
Defensa
Carlos Javier Fornés Cabrera
Grado de dificultad
Todo ordenador o sistema informático está expuesto a una serie

de amenazas de tipo software que, por mucho que intentemos
evitarlas, siempre van a estar ahí. Dichas amenazas son programas
diseñados con el único propósito de causar daños en los sistemas
donde se ejecutan, como por ejemplo borrar el disco duro o estro-
pear el sistema operativo eliminando determinados archivos.
N
o hay ningún sistema seguro salvo fue escrito para las máquinas Apple II, que al
quizás aquel que esté apagado y des- infectarse mostraban el siguiente mensaje en
enchufado de la red eléctrica. pantalla por cada cincuenta veces que se en-
El desarrollo de los códigos malignos ha cendiese la computadora:
venido evolucionando de simples intentos de
demostración de conocimiento informático, Elk Cloner: The program with a personality
por parte de programadores individuales; It will get on all your disks
a verdaderos negocios, con jugosas ganan- It will infiltrate your chips
cias llevados a cabo por mafias con objetivos Yes it's Cloner!
precisos. It will stick to you like glue
Durante los últimos diez años, se vieron
cambiar notablemente los tipos y la velocidad
de propagación de los códigos malignos: des- En este artículo aprenderás...
de los disquetes flexibles que se contagiaban
mediante la inserción manual del disco de una • Qué es un Virus, Gusano y Caballo de Troya,
computadora a otra, hasta técnicas más sofisti- descripción y ejemplos de algunos conocidos,
• Métodos y técnicas, de reproducción e infec-
cadas de códigos que crean réplicas fácilmen-
ción de los principales PM,
te en las redes y el mundo a través de Inter-
• Incidencia en el mundo actual.
net.
Lo que deberías saber...
El origen de los códigos • Breve referencia sobre programas malignos y sus
maliciosos técnicas,
Según plantean algunos autores el primer có- • formato PE, tener una pequeña idea de sobre
digo malicioso fue un virus creado en 1982, co- binarios,
nocido por Elk Cloner, y su autoría corresponde • Conocer las vulnerabilidades de los sistemas
a Rich Skrenta, quien en ese entonces era un operativo en este caso Windows.
muchacho de sólo 14 años de edad. El virus
44 www.hakin9.org
Programas malignos
It will modify RAM too Debe ser capaz de ejecutarse hacen uso de la memoria corres-
Send in the Cloner! a sí mismo. A menudo coloca su pro- pondiente a los programas legíti-
pio código en la ruta de ejecución de mos.
Al tratarse de un período en que In- otro programa. Como resultado, pueden provo-
ternet era un sistema limitado a los Debe ser capaz de replicarse. Por car a menudo un comportamiento
círculos académicos, la propagación ejemplo, puede reemplazar otros ar- irregular en el equipo e incluso hacer
de Elk Cloner se producía mediante chivos ejecutables con una copia del que el sistema deje de responder.
disquetes. archivo infectado. Los virus pueden Además, muchos virus contienen
Sin embargo en la conocida en- infectar tanto equipos de escritorio errores que pueden ocasionar pér-
ciclopedia libre Wikipedia se plantea como servidores de red. didas de datos y bloqueos del sis-
que el primer virus que atacó a una Algunos virus están programa- tema.
máquina IBM Serie 360 (y reconocidos para atacar el equipo dañando
do como tal), fue llamado Creeper, programas, eliminando archivos o re- Existen cinco tipos
creado en 1972 por Robert Thomas formateando el disco duro. Otros no de virus conocidos
Morris. Este programa emitía perió- están creados para causar daño Virus que infectan archivos: este
dicamente en la pantalla el mensaje: alguno, sino para replicarse y dar tipo de virus ataca a los archivos
I'm a creeper, catch me if you can! a conocer su presencia mediante la de programa. Normalmente infectan
(Soy una enredadera, agárrenme si presentación de mensajes de texto, el código ejecutable, contenido en
pueden). vídeo o sonido. Incluso estos virus archivos .com y .exe, por ejemplo.
Para eliminar este problema se benignos pueden crear problemas También pueden infectar otros archi-
creó el primer programa antivirus al usuario del equipo. Normalmente vos cuando se ejecuta un programa
denominado Reaper (Segadora).
Sea como fuere, la denomina- Listado 1. Cambios que realiza un infector de archivo en los ficheros
ción virus informático fue introducida con extensión.exe y .scr
en 1983 por el investigador Fred Co-
hen, quien usó tal concepto para c:\ActSAV32\SAV32 Act.exe
Old date: 3/23/2005 1:26 PM
referirse a sus experimentos de có-
New date: 3/23/2005 1:26 PM
digos autorreproducibles. Sin embar- Old size: 159,744 bytes
go, la producción masiva de tales New size: 337,664 bytes
códigos -y la competencia por crear c:\Documents and Settings\fornes\Desktop\CDSecure.exe
los virus más destructivos, molestos Old date: 8/25/2006 1:05 PM
New date: 8/25/2006 1:05 PM
o ingeniosos- surgió después del lan-
Old size: 1,656,978 bytes
zamiento del libro Neuromancer de New size: 1,836,798 bytes
William Gibson, que sirvió de fuen- c:\Documents and Settings\fornes\Desktop\cv2k4_100fuga.exe
te de inspiración para muchos escri- Old date: 8/21/2006 1:51 PM
tores de virus. New date: 8/21/2006 1:51 PM
Old size: 1,122,959 bytes
El primer virus que llamó la aten-
New size: 1,304,324 bytes
ción mediática a nivel mundial fue c:\Documents and Settings\fornes\Desktop\Pack_Vista_Inspirat_1.1.exe
Jerusalén, que después de propa- Old date: 4/11/2006 1:44 PM
garse de forma silenciosa, liberaba New date: 4/11/2006 1:44 PM
su carga destructiva cada viernes Old size: 27,977,025 bytes
New size: 28,155,140 bytes
13, eliminando archivos en las má-
quinas infectadas.
Con ello se había dado inicio
a la eterna lucha entre los escritores
de códigos malignos y su contra-
parte, las empresas de seguridad
informática y de programas antivi-
rus.
Virus informático
Un virus informático es un pequeño
programa creado para alterar la
forma en que funciona un equipo sin
el permiso o el conocimiento del
usuario. Un virus debe presentar dos Figura 1. Comparación de un fichero entre el original y la muestra infectada
características: con el virus W32.PARITE.A
www.hakin9.org 45
Defensa
infectado desde un disquete, una acción se repetirá, contaminándo- o .scr, estos también quedarían con
unidad de disco duro o una red. lo todo. taminados, comenzando de nuevo
Muchos de estos virus están resi- Como vemos en la descripción, la cadena de reproducción del virus.
dentes en memoria. Una vez que la este virus tiene acción de gusano, En Figura 1 vemos a la izquierda
memoria se infecta, cualquier archi- cuya definición veremos mas ade- el archivo original y a la derecha
vo ejecutable que no esté infectado lante, así que también se copia por el mismo archivo infectado por el
pasará a estarlo. Algunos ejemplos la red en directorios compartidos. virus PARITE.A. El Archivo original
conocidos de virus de este tipo son Esto quiere decir que a la hora de la (izquierda) termina en la dirección
Jerusalén y Parity.a. contaminación si existía otro equipo de memoria 0x00032FF0 y a partir
compartiendo un directorio con la de esta, se copia el código del virus
Ejemplo: Virus Parity.A equipo contaminado (y sin las medi- (derecha).
Virus polimorfico tambien conocido das de seguridad apropiadas), y en Para poder controlar el archi-
como W32/Pate.a.dam. él hubiese algún archivo de tipo .exe vo original infectado (Figura 2), el
Tiene un tamaño de 176,128
bytes. Es un infector de archivos del
tipo parásito ya que se adjunta a otro
programa y se activa cuando ese
programa es ejecutado.
Posee además características de
gusano, ya que puede propagarse
a través de redes.
Cuando se ejecuta, se agrega al
final de todos los archivos con forma-
to PE (Portable Executable), con ex-
tensión .exe y .scr en el directorio de
Windows y todos los subdirectorios
del sistema local, así como a todos
los archivos accesibles en unidades
de red compartidas. En ocasiones el
virus corrompe el archivo infectado, Figura 2. Archivo original
siendo imposible su recuperación.
El virus crea una sección extra en
el archivo PE, con un nombre de tres
letras al azar más el carácter (•).
Crea la siguiente clave en el re-
gistro:
HKCU\Software\Microsoft\Windows\
CurrentVersion\Explorer\PINF
Como es un infector de archivo ve-

remos una muestra de los cambios
que realiza en los ficheros formato
PE (Portable Executable), con ex-
tensión .exe y .scr (Listado 1).
Vemos como aumentan de ta- Figura 2a. Archivo infectado
maños estos archivos, demostran-
do la existencia del virus, a partir de
este momento estos archivos es-
tán infectados y listos para repro-
ducir el virus. Si de alguna manera
estos archivos infectados abando-
nan el equipo contaminado, bien
mediante porque han sido copiados
a un CD-ROM, a una memoria de
tipo flash o de cualquier otra forma,
y es ejecutado en otro equipo, la Figura 3. Primera intrusión del virus en el archivo infestado
46 www.hakin9.org
Programas malignos
virus cambia su punto de entrada

o Entrypoint – primera instrucción
que se va a ejecutar (Figura 2a).
Podemos ver a la Izquierda el des-
plazamiento del archivo o File Offset
cuyo valor es 00033000 en disco,
que precisamente corresponde a la
primera intrusión del virus en el ar-
chivo infestado (Figura 3).
Virus de sector de arranque

Estos virus infectan el área de siste-
Figura 4. Ataque del gusano ‘Code Red’
ma de un disco. Es decir, el registro
de arranque o Master Boot Record por virus del sector de arranque o del otros archivos. Los virus de ma-
(MBR) de los disquetes y los discos sector de arranque maestro no po- cro infectan archivos de Microsoft
duros. Todos los disquetes y discos drán arrancar. Esto se debe a la dife- Office: Word, Excel, PowerPoint
duros (incluidos los que sólo con- rencia en la forma en que el sistema y Access.Actualmente están sur-
tienen datos) tienen un pequeño operativo accede a la información giendo también nuevos derivados
programa en el registro de arranque de arranque, en comparación con en otros programas. Todos estos
que se ejecuta cuando se inicia el Windows 95/98. Si el sistema con virus utilizan el lenguaje de pro-
equipo. Windows NT está formateado con gramación interno de otro pro-
Los virus de sector de arranque particiones FAT, normalmente se grama, creado para permitir a los
se copian en esta parte del disco puede eliminar el virus arrancando usuarios automatizar ciertas tareas
y se activan cuando el usuario inten- desde DOS y utilizando un programa dentro del programa. Debido a la
ta iniciar el sistema desde el disco antivirus. facilidad con que se pueden crear
infectado. Estos virus están resi- Si la partición de arranque es estos virus, existen actualmente
dentes en memoria por naturaleza. NTFS, el sistema deberá recupe- miles de ellos en circulación. Al-
La mayoría se crearon para DOS, rarse utilizando los tres discos de gunos ejemplos de virus de macro
pero todos los equipos, indepen- instalación de Windows NT. Algu- son W97M.Melissa, WM.NiceDay
dientemente del sistema operativo, nos ejemplos de virus del sector de y W97M.Groov.
son objetivos potenciales para este arranque maestro son NYB, AntiExe
tipo de virus. Para que se produzca y Unashamed. Los Gusanos
la infección basta con intentar iniciar Los gusanos son programas que
el equipo con un disquete infecta- Virus múltiples se replican a sí mismos de sistema
do. Posteriormente, mientras el virus Estos virus infectan tanto los regis- a sistema sin utilizar un archivo para
permanezca en memoria, todos los tros de arranque como los archivos hacerlo. En esto se diferencian de
disquetes que no estén protegidos de programa. Son especialmente di- los virus, que necesitan extender-
contra escritura quedarán infectados fíciles de eliminar. Si se limpia el área se mediante un archivo infectado.
al acceder a ellos. Algunos ejemplos de arranque, pero no los archivos, Aunque los gusanos generalmente
de virus del sector de arranque son el área de arranque volverá a infec- se encuentran dentro de otros ar-
Form, Disk Killer, Michelangelo y Sto- tarse. Ocurre lo mismo a la inversa. chivos, a menudo documentos de
ned. Si el virus no se elimina del área de Word o Excel, existe una diferencia
arranque, los archivos que hayan sido en la forma en que los gusanos
Virus de sector limpiados volverán a infectarse. Algu- y los virus utilizan el archivo que
de arranque maestro nos ejemplos de virus múltiples son los alberga.
Estos virus están residentes en One_Half, Emperor, Antrax y Tequila. Normalmente el gusano genera-
memoria e infectan los discos de rá un documento que ya contendrá
la misma forma que los virus del Virus de macro la macro del gusano dentro. Todo
sector de arranque. La diferencia Estos virus infectan los archivos el documento viajará de un equipo
entre ambos tipos de virus es el de datos. Son los más comunes a otro, de forma que el documento
lugar en que se encuentra el có- y han costado a empresas impor- completo debe considerarse como
digo vírico. tantes gran cantidad de tiempo y di- gusano.
Los virus de sector de arranque nero para eliminarlos. Con la lle- Se han hecho muy populares
maestro normalmente guardan una gada de Visual Basic en Microsoft debido al amplio uso actual de In-
copia legítima del sector de arran- Office 97, se puede crear un virus ternet y el correo electrónico. Aun-
que maestro en otra ubicación. Los de macro que no sólo infecte los que los primeros experimentos con
equipos con Windows NT infectados archivos de datos, sino también estos tipos de programas se remon-
www.hakin9.org 47
Defensa
usuario que supuestamente lo en- nándoles un tamaño de 0 bytes, con

viaba. lo cual eran irrecuperables.
El texto invitaba a su lectura, y el En Mayo de 2000 las redes in-
anexo contenía referencias a sitios formáticas de todo el mundo sufrie-
Welcome to http://www.worm.com! web con información pornográfica, ron una gran conmoción cuando
Hacked By Chinese! aunque podía sustituirse por un apareció el célebre gusano I love
documento de la computadora infes- you o Love Setter. Este fue un pro-
tada. De esta forma viajaron por In- grama que explotó varias vías de
ternet documentos con información reproducción, como el correo elec-
Figura 5. La página Web de Inicio sensible. trónica, la mensajería instantánea,
del servidor cambiada por este Un mensaje con estas carac- las salas de conversación o chats,
mensaje terísticas llamó la atención de los servicios de noticias o news-
tan al año 1982 en el Research muchos receptores, quienes tenta- groups, los archivos compartidos
Center de Palo Alto, Estados Uni- dos abrieron el anexo y se conta- en una red o las páginas web en
dos, no fue hasta el 2 de noviem- minaron. Esta técnica de explotar Internet.
bre de 1988 cuando se multiplicó la debilidad de la confianza de los El mensaje tenía como asunto
el primer gusano a través de Inter- seres humanos, conocida como ILOVEYOU (Te quiero, en inglés),
net. ingeniería social, ha sido amplia- y el texto sugería abrir una carta de
Su nombre era Morris, explotó mente usada por los creadores de amor enviada al destinatario, que
múltiples huecos de seguridad y afec- virus. aparecía como anexo en el nombre
tó en pocas horas alrededor de 60. Este fue el gusano que inició la LOVE-LETTER-FOR-YOU.TXT.VBS
000 computadoras, causando pro- lista de los más propagados y dañi- (CARTA DE AMOR PARA TI, en
blemas de conectividad durante va- nos en la historia de los códigos ma- inglés).
rios días. A partir de esa fecha, otros lignos, y en pocos días logró afectar A diferencia del Melissa, el ILO-
códigos maliciosos también hicieron 1.200.000 computadoras con daños VEYOU intentaba enviar un mensaje
irrupción en las redes, pero no fue ascendentes a 1.100 millones de similar a todas las direcciones de co-
hasta los primeros días del mes de dólares, según la publicación Com- rreo que tenía la máquina infectada,
marzo de 1999, cuando apareció puter Economics. por lo cual el nivel de difusión alcan-
Melissa, fue entonces cuando se Ese mismo año, en el mes de ju- zado fue muy alto, alrededor de tres
convirtieron en un verdadero dolor nio, fue reportado el altamente des- millones de computadoras en un día.
de cabeza. tructivo gusano ExploreZip. Al igual Esto, junto a la destrucción de ar-
Melissa logró un alto nivel de in- que el anterior, viajaba en un correo chivos en el disco duro, que realizó
fección por el gran intercambio de electrónico y adjuntaba un archivo mediante la sobre escritura con su
información contenida en archivos de nombre zipped_files. Además, código, provocó daños en todo el
escritos en la aplicación Word de utilizaba el icono de compresión mundo valorados en 8.750.000 dó-
la suite Microsoft Office, y por su del programa WinZip y así daba la lares.
modo de diseminación. Viajó en un impresión de ser la respuesta a un El año 2001 también fue pródigo
correo electrónico con asunto Im- texto previamente enviado por el en gusanos notorios. El primero de
portant Message From <nombre> receptor. ellos, Code Red o Código Rojo, re-
(Mensaje Importante de…), donde Este código infeccioso borraba sultó todo un acontecimiento, tanto
el nombre correspondía al de la además los archivos de extensión por los altos niveles de extensión co-
cuenta de correo electrónico del .c, .h, .cpp, .asm, .doc, .xls, .ppt, asig- mo por las novedosas técnicas que
empleaba. Este código afectó a un
buen número de servidores de Inter-
net de Microsoft (Microsoft Internet
Information Server o IIS), además
de lanzar ataques de denegación de
servicio (DoS).
Se pueden diferenciar dos var-
iantes de la familia Code Red. Ambas
explotaron la vulnerabilidad MS01-
033 en las extensiones ISAPI en
las versiones 4.0 y 5.0 del servicio
IIS (Microsoft Internet Information
Service), logrando afectar, en el se-
gundo caso, 359.000 computadoras
Figura 6. La víctima del ataque del gusano en menos de 14 horas.
48 www.hakin9.org
Programas malignos
La velocidad de diseminación se- • Los primeros 99 hilos los utlizará

gún estadísticas de CAIDA, situado para propagarse a otros servido-
en el Centro de Supercomputadoras res web,
de San Diego, fue de 2000 equipos • El hilo número 100 verifica si el
por minuto en el momento álgido sistema Windows NT/2000 es
de propagación. Este hecho ocurrió una versión inglesa.
24 días después de haber sido libe-
rado el parche para solucionar la De ser así, el gusano procederá
vulnerabilidad. La Figura 1 muestra a desconfigurar el sitio Web del sis-
cómo Code Red realiza la búsqueda tema infectado. La página Web de
del equipo vulnerable y su posterior Inicio del servidor se cambiará por
propagación. un mensaje que presenta este as- Figura 7. Esta ventana podía
pecto: aparecer en Windows XP debida
Vulnerabilidad MS01-033 Welcome to http://www.worm. a la acción del gusano Blaster
MS01-033 (Unchecked Buffer in Index com!, Hacked By Chinese!. Este
Server ISAPI Extension Could Enable mensaje en la página infectada, cia de los Estados Unidos migraron
Web Server Compromise). permanecerá activa durante 10 ho- al sistema operativo Linux:
Vulnerabilidad en el archivo IDQ. ras y luego desaparecerá. El men- En enero de 2003 el gusano
DLL, de los servidores Microsoft IIS 5.0. saje no se volverá a mostrar, a me- Slammer explotó una vulnerabilidad
Sistemas Afectados: nos que el servidor sea reinfectado presente en el servicion de resolu-
por otro sistema. ción de Microsoft SQL Server 2000
• Windows 2000 IIS (Versión ingle- Si el sistema no tiene Windows y Microsoft Desktop Engine 2000
sa), NT/2000 en inglés, el hilo 100 se uti- basada en un desbordamiento de
• Windows NT (Versión inglesa). lizará para infectar otros servidores. buffer (MS02-039). Logró afectar
Filtro: Codered: "http or tcp.dstport == Cada hilo del gusano busca el entre 100.000 y 200.000 equipos en
80" archivo c:\notworm. Si lo encuentra, 10 minutos, duplicando la cantidad
En la Figura 4 vemos una mues- el gusano permanecerá inactivo. de equipos comprometidos en po-
tra de la captura de Ethereal en el Si no se encuentra, cada hilo con- cos segundos. La difusión comenzó
momento del ataque del gusano Co- tinuará intentando infectar más ser- transcurridos 183 días a partir de
de Red. Como vemos son simples vidores web (Figura 5). la liberación del parche oficial de
peticiones (GET), utilizadas por el Cada hilo del gusano verifica la seguridad. En la figura 2 se puede
protocolo HTTP para descargar una fecha del sistema del servidor infec- observar la localización de la vícti-
simple pagina Web, con el siguiente tado. ma potencial y su posterior transmi-
formato: sión.
• Si la fecha es posterior al día 20 SIRCAM fue el segundo de los
http://www.maquina victima.com/ del mes, el hilo dejará de buscar afamados de ese año, detectado
scripts/ sistemas para infectar y en su inicialmente el 25 de julio, y se dis-
root.exe?/c+dir+c:\HTTP/1.1 lugar atacará el servidor web de tribuyó con textos escritos en inglés
La Casa Blanca de los Estados y español. El anexo, con doble ex-
El código se guarda como archivo Unidos en www.whitehouse.gov. tensión, contenía un fichero formado
en el disco, sino que a través de El ataque consiste en el envío de por dos archivos, uno con el código
IIS se posiciona en la memoria di- 100 kilobytes de datos al puerto del gusano y otro robado de la com-
námica integrándose en el propio 80 del mencionado sitio web. putadora desde donde era enviado.
sistema. Una vez que Code Red ha Este aluvión de información (410 En esa ocasión los daños evalua-
infectado un servidor, empieza a bus- megabytes cada 4 horas y me- dos fueron del orden de los 1.150
car direcciones IP de forma aleato- dia) provocará la saturación de millones de dólares, sin considerar
ria con el propósito de infectar otros los servicios infectados. el hecho de que creó brechas de
servidores que tengan instalado el • Si la fecha es entre los días 10 confidencialidad al dar a la luz archi-
IIS. y 19 del mes, el gusano no inten- vos con información potencialmente
Una vez que Code Red ha logra- tará atacar al sitio web de la Ca- sensible.
do infectar un servidor Web, actúa sa Blanca y continuará tratando Para finalizar el año, el 8 de di-
de la siguiente forma: de infectar nuevos servidores ciembre se emitieron los primeros
web en todo el mundo. informes del Nimda, que circuló
• Se integra en la plataforma del con formato de página Web, al-
sistema infectado, El 7 de Agosto de 2001, a causa del terado de forma tal que engañó
• Genera 100 hilos (subprocesos) gusano Code Red, los servidores de a Internet Explorer, permitiendo la
del gusano, la Casa Blanca, sede de la Presiden- ejecución del archivo adjunto con
www.hakin9.org 49
Defensa
solo visualizar la vista previa. Los res de correo electrónico limitaban el Existe una nueva tendencia, ca-
daños ocasionados por su acción envío y recepción de archivos ejecu- da vez más utilizada, de explotar las
ascendieron a 635 millones de dó- tables, pero no limitaban los archivos vulnerabilidades o defectos de se-
lares. comprimidos. guridad de los sistemas operativos
Durante el año 2002, los gu- Lo curioso es que si bien el usuar- y aplicaciones.
sanos más distinguidos fueron los io tenía que descomprimir el código
pertenecientes a la familia Klez, del gusano para ejecutarlo, y en mu- Ejemplo de un gusanos
los cuales se mantuvieron alrede- chos casos teclear la palabra clave, que explotan
dor de 12 meses en el primer lugar los creadores de virus inteligente- vulnerabilidadades
de las listas de informes de las mente dispusieron que la palabra En enero de 2003 el gusano Sla-
empresas antivirus. Según el bole- clave viajara dentro del texto del men- mmer explotó una debilidad pre-
tín G2 Security, de Mayo de 2002, saje. sente en el servicio de resolucion
con el nivel de propagación alcan- En general, aunque las principa- de Microsoft SQL Server 2000
zado de la variante Klez.H se lle- les vías de transmisión de los gusa- y Microsoft Desktop Engine 2000
garon a detectar 2.000 copias diar- nos han sido el correo electrónico basada en un desbordamiento de
ias. y los recursos compartidos a través de buffer (MS02-039). Logró afectar
Finalmente, en el transcurso las redes, existen otros como las re- entre 100.000 y 200.000 equipos
del año 2003 nuevos gusanos codes P2P utilizadas para el intercam- en 10 minutos, duplicando la canti-
mo Slammer o Sapphire causaron bio de archivos, e incluso la sencilla dad de equipos comprometidos en
estragos, hasta el punto que Corea vía de los disquetes, cada día más pocos segundos. La difusión co-
del Sur desapareció de Internet, en desuso. menzó transcurridos 183 días a par-
13.000 computadoras de un gran
banco de los Estados Unidos deja-
ron de trabajar, y una línea aérea
americana canceló vuelos por pro-
blemas en los sistemas de compra
y chequeo de billetes. Además, lo-
gró afectar entre 100.000 y 200.000
computadoras en 10 minutos, dupli-
cando la cantidad en pocos segun-
dos.
Famosos también fueron Blas-
ter o Lobezna y los miembros de la
familia Sobig. En el caso de la ver-
sión Sobig.F, aparecida en Agosto,
rompió todos los records históricos Figura 8. Moquina que realiza el ataque
de gusanos que utilizaban como
vía principal el correo electrónico,
pues en su momento álgido fue
detectado un correo portador por
cada 20 transmitidos a través de
Internet.
Otro gusano que basó su éxito
en la ingeniería social superó esta
cifra a inicios de 2004; su nomb-
re Mydoom.A. Entre sus caracte-
rísticas principales se encontraba
que podía viajar en archivos adjun-
tos comprimidos, tendencia se-
guida por sus sucesores como las
variantes de Netsky y Bagle, muy
diseminadas durante este mismo
año.
Esta nueva propensión, más comp-
leja aún con el uso de palabras cla-
ves o contraseñas, se debió a que Figura 9. Captura hecha por el analizador de protocolos de red ‘Ethereal’
los administradores de los servido- escuchando en otra maquina de la red
50 www.hakin9.org
Programas malignos
tir de la liberación del parche de Windows 2000, que no han sido ac- mo víctima la maquina con dirección
seguridad. En la Figura 5 se puede tualizados con el parche correspon- IP 172.16.1.92. Señalado en rojo,
observar la localización de la víc- diente. Durante la infección, el gusa tenemos el paquete en el cual viaja
tima potencial y su posterior trans- no se mantiene activo en memoria el Shellcode, que es el momento en
misión. solamente, no se copia a ningún ar- el cual el gusano explota la vulnera-
chivo bilidad de Buffer Overflow en este
Gusano Slammer No compromete directamente al caso.
usuario individual, debido a que no in- El gusano Blaster explotó un hue-
• Vulnerabilidad que explota MS02- fecta computadoras personales, solo co de seguridad basado en un des-
039, servidores SQL bajo Windows 2000 bordamiento de búfer (MS03-026),
• Buffer Overruns in SQL Server (Microsoft SQL Server 2000 y Micro- presente en el Distributed Compo-
2000 (MS02-039) Resolution soft SQL Server Desktop Engine (MS- nent Object Model (DCOM) que
Service Could Enable Code Exe- DE)). Sin embargo, cómo el MSDE interactúa con el protocolo de Lla-
cution (Q323875), esta integrado no solo con el soft- mada de Procedimiento Remoto
ware del SQL, sino también en Visual o Remote Procedure Call (RPC) de
Sistemas Afectados: Studio .NET y Office XP Developer Windows 2000 y XP. La solución fue
Edition, el gusano podría propa- publicada sólo 26 días antes de su
• Microsoft SQL Server 7.0, garse más allá de los servidores propagación.
• Microsoft Data Engine (MSDE) 1.0, SQL. Un ataque de denegación de
• Microsoft SQL Server 2000, Como vemos el gusano ataca el servicio lanzado por el gusano al si-
• Microsoft Desktop Engine (MSDE) puerto 1433 (SQL). tio en Internet donde se puso a dis-
2000. Filtro Ethereal: Slammer (tcp.dst- posición de los usuarios el parche
port == 1433). de seguridad impidió su descarga
Este gusano se propaga a través de En la Figura 6 vemos una captura durante varias horas. En la Figura 3
los servidores Microsoft SQL bajo del ataque del gusano tomando co- se muestra un ejemplo de la difu-
sión.
Proceso de infección del Blas-
ter en un ambiente virtual utilizando
el mismo exploit que usa el gusano
para crear una shell (Puerta tra-
sera) en el equipo víctima por la
cual el mismo se copia emulando
un servidor FTP. Si el ataque se
realiza con éxito, el gusano tomará
el control de la máquina víctima de
forma remota como usuario Admi-
nistrador, pudiendo realizar cual-
quier tarea. En este caso ejecuta el
comando siguiente para copiarse
el mismo:
TFTP (IP atacante) GET (Blaster)
Después seguirá buscando máqui-

nas hasta encontrar algunas vul-
nerables y repetir de nuevo el pro-
ceso.
El Proceso de Infección se pue-
Figura 10. Captura del estado de los puertos de la víctima. Se ve el puerto de ver en Figura 8, 9, 10, 11.
abierto por el gusano Este ataque (Figura 8) fue reali-
zado por la herramienta que explota
la vulnerabilidad (exploit), pero es el
mismo procedimiento efectuado por
el gusano, con la diferencia que todo
es oculto al usuario.
Figura 11. El gusano obtuvo una ‘shell’ (acceso abierto en el sistema Figura 9 – captura hecha por
víctima) y está listo para copiarse el analizador de protocolos de red
www.hakin9.org 51
Defensa
Su difusión se puede observar en la

Figura 4.
Worm.W32/Passer provoca un
desbordamiento de búfer en el com-
ponente LSASS.EXE, lo que hace
que dicho programa falle y requiera
el reinicio de Windows.
Puede presentarse el siguiente
mensaje (Figura 12).
Para ejecutarse automáticamen-
te cada vez que el sistema es reini-
ciado, el gusano añade a la siguiente
clave del registro de Windows el va-
lor indicado:
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\
Figura 12. Este comunicado aparece cuando el virus provoca el fallo del Microsoft\Windows\CurrentVersion\Run
programa Valor: "avserve.exe" = C:\WINDOWS\

avserve.exe
Vulnerabilidad MS04-011
Vulnerabilidad que explota en buffer
Overflow en el Servicio lsass.exe
(lsasrv.dll)
Explotada por el gusano Sasser
FILTRO : Sasser ---->" dcerpc or
tcp.dstport == 445 "
En el ejemplo se puede observar
el momento en el cual el gusano
inyecta el shellcode en la función
vulnerable de Lsass (DsRolerUp-
gradeDownlevelServe). A partir de
ese momento realiza lo mismo que
Figura 13. Exploit que explota una vulnerabilidad utilizando ‘Ethereal’
otros gusanos de su tipo, se copia
Ethereal escuchando en otra maqui- IP buscando nuevas máquinas vul- él mismo en la máquina víctima
na de la red. Podemos ver el ataque nerables para repetir el proceso al a través de la shell que él mismo
que utiliza la vulnerabilidad de RPC completo. abrió aprovechando la vulnerabili-
(Protocolo DCERPC). Seleccionado El ejemplo anterior es el proceso dad.
esta el shellcode que se utiliza para de propagación del gusano. Cuan- En el transcurso del 2005 la fa-
explotar el Buffer Overflow o desbor- do se copia y posteriormente se milia de los gusanos Zotob comen-
damiento de buffer. ejecuta puede realizar otras accio- zó su propagación valiéndose de
Figura 10 muestra el estado de los nes. la vulnerabilidad en el componente
puertos en la víctima. Se ve el puerto Witty y Passer por su parte co- Plug and Play (MS05-039), cuyo
abierto por el gusano. menzaron su propagación en 2004. parche fue liberado 5 días antes.
En este momento el gusano ob- El primero, altamente destructivo, se En la Figura 5 se muestra su trans-
tuvo una shell (acceso abierto en el valió de una vulnerabilidad (CAN- misión.
sistema víctima) y se encuentra listo 2004-0362) en el Internet Security
para copiarse (Figura 11). Systems Protocol Analysis Modu- -Vulnerabilidad MS05-039
Como el gusano ya tiene una le (PAM), cuya solución fue puesta Explotada por el gusano Zotob.
shell, puede ejecutar comandos re- a disposición de los usuarios sólo un Esta vulnerabilidad solo se pue-
motamente en la maquina víctima día antes. de explotar en equipos con Windo-
como si estuviera físicamente en El segundo se aprovechó de un ws 2000 sin el parche MS05-039
ella. A continuación ejecuta un TFTP desbordamiento de buffer en el ser- instalado. Solamente un usuario au-
(viene por defecto en Windows) y uti- vicio LSASS (MS04-011), amplia- tenticado podría explotarla de forma
liza las opciones del mismo para co- mente empleada por nuevas fami- remota en equipos con Windows XP
piarse en la máquina. Terminado el lias de gusanos como Mytob, cuya y XP con Service Pack 1 instalado (Fi-
proceso el gusano escanea rangos solución fue liberada 17 días antes. gura 14):
52 www.hakin9.org
Programas malignos
FILTRO : MS05-039 "Plug and Play" se ejecuta: Nota del traductor FALTA nos mediante técnicas de ingeniería
Zotob ----->"dcerpc or pnp EL NOMBRE. social que invitan a los incautos a ab-
or tcp.dstport == 445" Como puede comprobarse en los rir mensajes sospechosos, que nun-
casos anteriores, en la mayoría de ca deberían abrir.
Software afectado: los casos fue necesario poco tiempo Ejemplo de gusano de correo
entre la liberación de los correspon- electrónico (Listado 2).
• Microsoft Windows 2000 Service dientes parches de seguridad y su
Pack 4 explotación por un programa malig- Caballos de Troya
• Microsoft Windows XP Service no – incluso se informaron algunos, Los caballos de Troya son imposto-
Pack 1 como en el caso de Fever, en que su res, es decir, archivos que preten-
• Microsoft Windows XP Service creador se adelantó a la solución. den ser benignos pero que de he-
Pack 2 Finalizado el año 2005, son alar- cho, son perjudiciales. Una diferen-
• Microsoft Windows XP Professio- mantes las estadísticas elaboradas cia muy importante con respecto
nal x64 Edition por el Laboratorio Antivirus de Kas- a los virus reales es que no se re-
• Microsoft Windows Server 2003 persky [1], sobre las 10 vulnerabili- plican a sí mismos. Los caballos de
• Microsoft Windows Server 2003 dades más atacadas durante el pa- Troya contienen código dañino que,
Service Pack 1 sado año. En la tabla se aprecian cuando se activa, provoca grandes
• Microsoft Windows Server 2003 varias de las mencionadas (Tabla pérdidas o incluso robo de datos
for Itanium abajo). o de información sensible. Para que
• Microsoft Windows Server 2003 También se encuentran presen- un caballo de Troya se extienda, es
SP1 for Itanium tes otras reportadas en los boleti- necesario dejarlo entrar en el siste-
• Microsoft Windows Server 2003 nes, MS03-007 (17/03/2003), MS04- ma, por ejemplo abriendo un archi-
x64 Edition 007 (10/02/2004), MS04-045 (14/ vo adjunto de correo.
12/2004), MS02-061 (28/02/2003) Se denomina troyano (o caballo
El gusano también abre un servi- y MS01-059 (20/12/2001). de Troya) a un programa malicioso
dor FTP en el puerto TCP 33333 Uno de los problemas más pre- capaz de alojarse en computadoras
por el que otros equipos descarga- ocupantes es el desconocimiento de y permitir el acceso a usuarios exter-
rán una copia del gusano. los usuarios, desconocimiento que nos, a través de una red local o de
El gusano intenta propagarse aprovechan los creadores de gusa- Internet, con el fin de recabar infor-
utilizando la vulnerabilidad en el
servicio Plug and Play de Windows,
descrita en el boletín de seguridad
MS05-039. Para ello puede crear
hasta 300 threads (hilos de eje-
cución o subprocesos) para bus-
car sistemas vulnerables enviando
paquetes SYN por el puerto TCP
445.
Si el ataque tiene éxito (equi-
pos con Windows 2000 sin el par-
che MS05-039), ejecuta un shell
(cmd.exe) en el puerto TCP 8888.
Por este puerto, envía al equipo
remoto los comandos para descar-
garse y ejecutarse a sí mismo. Prime-
ro, copia el archivo 2pac.txt en los
sistemas vulnerables:
Este archivo contiene un script
FTP, que el gusano intentará usar al Figura 14. Vulnerabilidad MSO5-039 explotada por el gusano ‘Zotob’
ejecutar el comando FTP.EXE por el
shell abierto antes, con el resultado que Boletín y parche Fecha Algunos programas
el equipo accedido descargue una de seguridad de liberación malignos que explotan
copia del malware usando el servidor la vulnerabilidad
FTP en el puerto TCP 33333 crea- MS02-039 24/07/2002 Slammer, Sdbot
do antes en el equipo infectado. MS03-026 16/07/2003 Blaster, Gaobot, Nachi
El archivo descargado se guarda
MS05-039 09/08/2005 Zotob, Bozori, Mytob
con el siguiente nombre y después
www.hakin9.org 53
Defensa
mación y/o controlar remotamente la ciones del teclado con el fin de ob- se ha explicado, esta tarea se ha
máquina huésped. tener contraseñas u otra información simplificado, ya que el atacante
Un troyano no es de por sí, un sensible. puede ocultar el troyano dentro de
virus, aún cuando teóricamente pue- La mejor defensa contra los cualquier programa o aplicación.
da ser distribuido y funcionar como troyanos es no ejecutar nada de lo Incluso puede mandar el virus por
tal. La diferencia fundamental entre cual se desconozca el origen y man- correo y ser instalado con sólo
un troyano y un virus consiste en su tener software antivirus actualiza- abrir el mensaje (consultar el ar-
finalidad. Para que un programa sea do y dotado de buena heurística. tículo Las verdades del correo elec-
un troyano solo tiene que acceder Es recomendable también instalar trónico en la publicación iWorld
y/o controlar la maquina huésped sin algún software anti-troyano, de los de Febrero de 1999). Una vez
ser advertido, normalmente bajo una cuales existen versiones gratis. Otra instalado, el servidor abre un puer-
apariencia inocua. solución bastante eficaz contra los to de comunicaciones y se que-
Suele ser un programa pequeño troyanos es tener instalado un firewa- da escuchando peticiones. Es de-
alojado dentro de una aplicación, ll, tambien conocido como cortafue- cir, los comandos que le envía el
una imagen, un archivo de música gos. programa cliente que está utili-
u otro elemento de apariencia ino- Otra manera de detectarlos es zando el atacante desde su orde-
cente, que se instala en el sistema inspeccionando frecuentemente la nador remoto. NetBus abre un puer-
al ejecutar el archivo que lo contie- lista de procesos activos en memo- to TCP, mientras que Back Ori-
ne. Una vez instalado, parece rea- ria en busca de elementos extraños, fice utiliza un puerto UDP. Se
lizar una función útil (aunque cierto vigilar accesos a disco innecesarios, puede cambiar el número del
tipo de troyanos permanecen ocul- etc. puerto por el que atiende el ser-
tos y por tal motivo los programas vidor en ambos casos. También
antivirus o aplicaciones anti-troya- Caballos se puede proteger el acceso al
nos no los eliminan) pero interna- de pura sangre servidor mediante una clave. De
mente realiza otras tareas de las NetBus y Back Orifice tienen mu- esta forma, ya no es suficiente
que el usuario no es consciente, de chos puntos en común. Ambos con tener instalado el cliente del
igual forma que el Caballo de Tro- son caballos de Troya basados troyano y conocer la IP de la má-
ya que los griegos regalaron a los en la idea de cliente-servidor. Han quina infectada, sino que también
troyanos. sido creados para sistemas Micro- será necesario conocer la clave
Este tipo de software se utiliza soft, pero Back Orifice sólo fun- que autoriza el acceso al servi-
habitualmente para espiar, usando ciona en Windows 95/98, mientras dor.
la técnica de instalar un software de que NetBus también lo hace sobre Tanto NetBus como Back Orifi-
acceso remoto que permite monito- NT. El programa servidor, en am- ce ofrecen un entorno gráfico para
rizar lo que el usuario legítimo hace bos casos, debe ser instalado en manejar todas las posibilidades
y, por ejemplo, capturar las pulsa- el ordenador de la víctima. Como del cliente. Lo que significa que
cualquiera que conozca el fun-
Listado 2. Ejemplo Gusano W32.Bagle.M cionamiento básico de Windows,
está en disposición de gestionar,
Nombre: W32.BAGLE.M de forma remota, cualquier recur-
Es una aplicación de 32 bits. Llega con el nombre foto_4265.exe y su tamaño
so del ordenador infectado por el
es de 9.221 bytes.
Cuando se ejecuta crea el siguiente fichero:
troyano. Netbus incluye una he-
c:\WINNT\system32\anti_troj.exe rramienta que permite buscar má-
Accede a Internet Explorer donde agrega la siguiente referencia en la barra quinas, indicando un rango de di-
de direcciones: C:\WINNT\system32\ntimage.gif recciones IP que tengan abierto el
Añade las siguientes claves al registro:
puerto predeterminado del servidor
HKEY_CURRENT_USER\Software\FirstRRRun
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions
de forma muy rápida. De todas for-
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\CmdMapping mas, los piratas informáticos (y los-
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser responsables de seguridad) suelen
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ utilizar herramientas mucho más
MenuOrder\Favorites\Vínculos
sofisticadas para rastrear los posi-
Modifica los valores siguientes:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
bles objetivos.
anti_troj = C:\WINNT\System32\anti_troj.exe � Para Garantizar ejecutarse Ya se ha indicado una de las
al inicio de windows. grandes diferencias entre estos
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run dos troyanos: Back Orifice no co-
anti_troj = C:\WINNT\System32\anti_troj.exe � Para Garantizar ejecutarse
rre en Windows NT. Por otra parte,
al inicio de windows.
Back Orifice es capaz de cifrar la
comunicación entre el cliente y el
54 www.hakin9.org
Programas malignos
servidor, algo que no hace Net- descargadores, que una vez ejecu- De tipo Espías, se hospedan en el
Bus. En cambio, este último per- tados por el usuario intentan des- equipo y aparentemente no hace na-
mite ciertas lindezas adicionales, cargar otros códigos desde Inter- da, pero sin embargo están vigilando
como abrir y cerrar la unidad de net. toda tu actividad, contraseñas, núme-
CD-ROM o modificar las funcio- También estuvieron los ladrones ro de tarjetas de créditos y otros da-
nes de los botones del ratón. Otra de passwords, que usurpan contra- tos importantes. Los recopila los man-
diferencia importante es el tamaño señas empleadas en los sistemas, da por diferentes vías al atacante.
del servidor. y los programas espía, los cuales Programas malignos que esta-
La última versión del servidor auditan las acciones realizadas en fan, simulan ser una sucursal ban-
de NetBus (NetBus Pro 2.0) supera los sistemas afectados. caria imitando una página web de
los 600 Kb, mientras que el servi- La causa fundamental de esta algún banco para que el usuario
dor de Back Orifice 1.2, sólo ocu- mayor propagación de troyanos fue que es su banco real y al introducir
pa 122 Kb. El tamaño resulta im- su empleo en la creación de redes los datos bancarios, los copia y los
portante cuando el atacante quiere de computadoras robots o zombies, envía al atacante.
ocultar el caballo de Troya dentro muy utilizadas en el envío de correo Programas Malignos que chanta-
de una aplicación. Resulta menos basura o spam y en el robo de datos jean, infectan el equipo y solicitan
sospechoso un aumento de 122 Kb personales e información corpo- depositar dinero en algún lugar o des-
que uno de 600 Kb con respecto rativa. cargar una herramienta en Internet
a la aplicación original. Por último, Según Kaspersky Lab, en igual pagando por ella, con el fin de des-
la versión más reciente de NetBus intervalo de tiempo, los gusanos infectar el equipo y hacerlo inmune
presenta nuevas opciones, pero y los virus tuvieron un decremento a este tipo de software.
es su nueva ventana de gestión del uno por ciento en las muestras Cada vez es mayor la creatividad
del cliente, con ayuda en línea in- mensuales, siendo apreciable ade- de algunos autores de códigos ma-
cluida, donde marca la diferencia más la disminución de epidemias lignos, que si bien en algunos casos
con respecto a Back Orifice. La globales causadas por los que se retoman experiencias anteriores, aho-
instalación y la aplicación resultan propagan por medio del correo ra buscan nuevas variantes e incluso
tan profesionales, que su frase de electrónico. campos de acción, como la telefonía
presentación casi parece cierta: En cuanto a este último aspecto, inteligente.
NetBus Pro es una herramienta la organización MessageLabs detec- Según Raimund Genes, director
para la administración remota de tó que 1 de cada 92 mensajes revisa- de sistemas de la compañía Trend
ordenadores, de fácil uso y con un dos desde Mayo a Octubre de 2006 Micro, un código maligno tipo exploit
amigable entorno de gestión. contenía código maligno, cifra muy que se aprovecha de una vulnerabili-
Estadísticas obtenidas por la em- inferior a la relación uno de cada diez dad en Windows Vista no publicada,
presa de Antivirus Kaspersky Lab alcanzada en Abril de 2004. tiene un precio de venta aproximado
durante el primer semestre del año La relación de programas malig- de 50.000 dólares y de entre 20.000
2006, mostraron que la cantidad nos más detectados por su servicio ó 30.000 dólares para otros sistemas
de nuevos códigos del tipo caballo de revisión de mensajes en los últi- y aplicaciones.
de Troya – incluyendo modificacio- mos 12 meses la encabezó el gusa- Los programas malignos que se
nes – se incrementó mensualmen- no Sober.y. emplean en el envío de spam o correo
te en un ocho por ciento, comparado Es importante señalar que aun basura cuestan alrededor de 5.000
con un período similar en 2005. cuando el número de las grandes epi- dólares, mientras que los elaborados
Entre los más frecuentes estu- demias globales decreció, precisa- para crear y controlar las redes zom-
vieron los clasificados como puer- mente a finales de Octubre de 2006 bies o botnets se venden entre 5.000
tas traseras, que abren puertos comenzó la propagación más impor- a 20.000 dólares. Otro tanto sucede
de comunicación para la recepción tante del año, que se trató de una con los utilizados en el robo de infor-
de órdenes enviadas remotamen- familia de códigos malignos llamada mación, con un precio que varía entre
te por un atacante, así como los Warezov, difundidos por e-mail y que 5.000 y 20.000 dólares.
al ser ejecutados por el usuario re- Tal como plantea Sergio Santos,
ceptor intentaron la descarga de otros especialista de Hispasec, y ha veni-
Sobre el Autor componentes desde Internet; aunque do denunciando Eugene Kaspersky,
Carlos Javier Fornés Cabrera su aspecto más interesante y peligro- reconocido experto internacional en
Ingeniero Telecomunicaciones
so fue la cantidad de nuevas variantes la temática, los creadores de progra-
y electronica
diferentes distribuidas en pocas ho- mas malignos tienen así una motiva-
Laboratorio Antivirus Latinoamericano.
SEGURMATICA
ras. ción económica con la creación de un
fornes@segurmatica.cu Existen muchos tipos de códigos producto para un mercado concreto
Ciudad de la Habana – CUBA malignos que no pudiéramos men- que se rige por la ley de la oferta y la
cionarlos en un solo artículo. demanda. l
www.hakin9.org 55
Ofuscación
de Código en Java
Defensa
Javier Alcubierre
Grado de dificultad
Los actuales lenguajes de bytecodes como Java presenta

muchas ventajas, pero uno de los inconvenientes que poseen
es que son fáciles de descompilar, lo que permite no solo obtener
el código máquina sino obtener código de alto nivel similar al
escrito por el programador.
E
sto supone una ayuda apreciable para probable es que solo esté interesado en una
desentrañar el funcionamiento interno pequeña parte del código e incluso que no
del programa. Pero no solo está en esté interesado para nada en copiar el código,
peligro ese código que tantas horas nos ha que su único fin sea descubrir como funciona
costado construir y que preferimos que siga alguna parte de nuestro código, quien sabe
oculto, además puede servir como valiosa fuen- con que fin.
te de información para posibles ataques contra A lo largo de este artículo vamos a ver
nuestra aplicación. como funcionan las diferentes técnicas de
Desgraciadamente el alto nivel de los len- ofuscación y algunos de sus puntos débiles.
guajes máquina usados en estas máquinas Para empezar necesitaremos un archivo que
virtuales y su rigidez en lo que consideran un proteger en este caso nuestro fin será prote-
código valido y seguro para ejecutar, nos deja ger el archivo math.java (Listado 1) de posi-
con pocas opciones usar técnicas que intenten bles ataques de los curiosos. Para ello usare-
confundir al descompilador. Solo nos queda
intentar confundir al humano que usa el des-
compilador. En este artículo aprenderás...
El fin de la ofuscación es complicar la vida
• A proteger tu código de miradas indiscretas,
al curioso que descompilar nuestro código,
• Los puntos fuertes y débiles de los distintos
en lugar de encontrarse con un relativamente métodos de ofuscación,
sencillo de entender código de alto nivel choca • A implementar tus propios métodos de ofusca-
con un código confuso y difícil de desentrañar. ción.
La ofuscación no impide que se pueda acabar
sacando el código original, pero dificulta el tra- Lo que deberías saber...
bajo. Con suerte lo dificulta tanto que el curioso
pronto pierde su curiosidad. • Conocimientos de Java,
Un error es pensar que el atacante quiere • Conocimientos básicos de ensamblador.
todo el código de nuestra aplicación, lo más
56 www.hakin9.org
Código Java
mos varias herramientas y recursos, ción de como instalarlos y manuales caso el fichero math.java (Listado 1).
se podría haber hecho con menos de uso. Para ello basta con tener instalado
herramientas, pero creo que será útil La primera herramienta que usa- el JDK y ejecutar el siguiente co-
que el lector pueda conocer cuantas remos será el ya de sobras conocido mando:
más mejor. JDK de Sun, por lo que nos ahorra-
remos explicar qué es y cómo fun- javac math.java
Nuestras armas ciona. Para desensamblar los .class
Antes de empezar la batalla es a código ensamblador usaremos Jas- Una vez obtenido math.class los va-
bueno que conozcamos un poco per, de esa forma obtendremos un mos a descompilar usando JODE,
nuestras armas, por desgracia ex- archivo de texto que podremos modi- para ello, desde usamos el coman-
plicar el funcionamiento de todas ficar a mano. Para volver a convertir do (cuidado de no sobrescribir el
ellas va más allá del fin, y del espa- este lenguaje ensamblador a byteco- math.java original):
cio, de este artículo. Se van a usar des usaremos Jasmin ya que el len-
varias aplicaciones, no quiere decir guaje ensamblador que usan ambos java jode.decompiler.Main
que sean las únicas que hay o que programas es idéntico. Probaremos math > math.java
sean las mejores, para elegirlas se que resultado dan nuestras técnicas
ha procurado valorar su calidad, descompilando con JODE, que a su Podemos ver el resultado en el Lis-
fama, comodidad de uso, que sean vez también permite ofuscar código. tado 2. El código obtenido es casi
fáciles de conseguir, que estén bien Aunque procuraremos hacer nuestra similar al original, aunque el nombre
documentadas y a ser posible que propias técnicas, en la parte de ofus- de las variables es más inteligible,
su código esté disponible por si el cación de nombres se ha optado por resulta sencillo de entender. Nuestro
lector quisiera profundizar más en su usar ProGuard una excelente aplica- fin es que este código resulte tan difí-
funcionamiento. La dirección de la ción que además de ofuscar permite cil de entender como podamos.
página web de cada una de las apli- optimizar y reducir el tamaño de los Veamos ahora como es el código
caciones se puede encontrar en el ficheros de bytecodes. a nivel de lenguaje máquina, para ello
recuadro En la Red al final del artí- Una vez que se ha pasado lista desensamblaremos el .class usan-
culo, desde esas direcciones po- a todas nuestras tropas vamos a em- do Jasper. El comando es muy sen-
dréis descargar los programas ade- pezar a usarlas. Empezaremos por cillo:
más de encontrar completa informa- compilar nuestro código, en este
java –jar Jasper.jar math.class
Listado 1. Código de ejemplo sobre el que se va a trabajar

Se genera un archivo math.j con el
import java.io.*; código en ensamblador en forma de
public class math{
texto plano. En el recuadro En la Red
public int factorial(int numero){
for(int indice = numero-1; indice > 1; indice--) podéis encontrar un link a una refe-
numero = indice * numero; rencia completa de este lenguaje.
return numero; El resultado es demasiado grande
} como para incluirlo por lo que solo
public int rand(int inicio, int fin){
incluiremos la función rand que po-
return (int)(Math.random() * fin) + inicio;
} déis ver en el Listado 3.
public int equal(int a, int b){ Viendo el código vamos a inten-
if(a == b) tar explicar algunas bases del lengua-
return 0; je ensamblador usado y de la propia
else if(a > b)
máquina virtual de Java.
return 1;
else Si nos fijamos en la primera línea
return -1; del Listado 3, veremos que es donde
} se declara el nombre del método rand.
public static void main(String args[]){
System.out.println("New math");
.method public rand(II)I
math m = new math();
System.out.println("Call math.factorial()");
System.out.println(m.factorial(5)); Las dos I entre paréntesis indica
System.out.println("Call math.rand()"); que recibe dos parámetros de tipo
System.out.println(m.rand(0,5)); Integer y la I fuera de los paréntesis
System.out.println("Call math.equal()");
que el método devuelve a su vez un
System.out.println(m.rand(1,5));
} Integer.
}
.limit stack 4
www.hakin9.org 57
Defensa
Indica la cantidad de espacio en la Con esto ya tenemos suficiente

pila que va a usar esta función. La para trabajar en los próximos apar- Listado 3. Método rand
pila esta dividida en distintos blo- tados. (int inicio, int fin) en lenguaje
ques cada uno de un tamaño de un maquina
Integer. Java opera directamente Ofuscación de nombres .method public rand(II)I
sobre la pila. La primera de las técnicas que va- .limit stack 4
mos a ver consiste en ofuscar los .limit locals 3
.limit locals 3 nombres de los métodos, clases .line 12
invokestatic java/lang/Math
y paquetes, cambiándolos por otros
/random()D
Indica el número de variables locales menos descriptivos como pueden iload_2
usadas en el método. ser a, b, c. La idea es simple pero i2d
puede llegar a causar más de un dmul
.line 12 dolor de cabeza en quien intenten d2i
iload_1
entender el código fuente. Es más
iadd
Es un etiqueta de depuración, indica sencillo entender el significado de ireturn
a que numero de línea del código una función llamada factorial(int .end method
fuente original corresponden las n) que una cuyo nombre es a(int
siguientes instrucciones en código n). En el primer caso el nombre mos math.pro, podemos verlo en el
máquina. te escribe claramente su función Listado 4.
Los operandos van precedidos mientras que en el segundo no En la primera línea se indica el
de una letra i, l, d, f que indica queda más remedio que analizar el nombre del jar a ofuscar, en la se-
si operan sobre datos de tipo código de la función. Vamos a ver gunda el nombre que tendrá el .jar
integer, long, double o float respec- como funciona con nuestro ejem- con el código ofuscado. La opción
tivamente. Estas mismas letras se plo math.java (Listado 1), para ello de -libjars indica que librerías usa
usan para las instrucciones de vamos a usar ProGuard. la aplicación. Como solo queremos
conversión para indicar el tipo de Para poder usar ProGuard ne- ofuscar tenemos que indicar que no
origen y el de destino. Por ejemplo cesitamos crear un archivo de con- realice optimizaciones ni reduzca el
i2d convierte el primer elemento figuración que le indique a ProGuard código para ello usamos -dontshrink
de la pila de tipo integer a tipo con que ficheros trabajar y como y -dontoptimize. Por último la opción
double . hacerlo. El fichero, al que llamare- de –keepclasseswithmembers sirve
para evitar que ofusque el método
Listado 2. Resultado de descompilar math.class main ya que es necesario para que
se pueda ejecutar la aplicación.
public class math
Como ProGuard funciona con ar-
{
public int factorial(int i) {
chivos .jar tendremos que crear nues-
for (int i_0_ = i - 1; i_0_ > 1; i_0_--) tro propio jar a partir de math.class,
i = i_0_ * i; para ello una vez compilado usando:
return i;
}
javac math.java
public int rand(int i, int i_1_) {
return (int) (java.lang.Math.random() * (double) i_1_) + i;
} Crearemos el jar con:
public int equal(int i, int i_2_) {
if (i == i_2_) jar cvfM math.jar math.class
return 0;
if (i > i_2_)
return 1;
Ahora ya podemos ejecutar Pro-
return -1; Guard.
}
public static void main(String[] strings) { java -jar proguard.jar @math.pro
System.out.println("New math");
math var_math = new math();
System.out.println("Call math.factorial()");
Por último extraeremos el fichero
System.out.println(var_math.factorial(5)); math.class de math.jar
System.out.println("Call math.rand()");
System.out.println(var_math.rand(0, 5)); Jar xf math_out.jar
System.out.println("Call math.equal()");
System.out.println(var_math.rand(1, 5));
}
Obtendremos el fichero math.class,
} solo queda comprobar los nombre
de los métodos que contiene, el
58 www.hakin9.org
Código Java
resultado lo podemos ver en el Lis- Uno de los principales puntos que empezar a ejecutar la aplicación.
tado 5. débiles de esta técnica es que no se Este problema se repite muchas ve-
pueden ocultar los puntos de entra- ces, cada vez que implementemos
javap math da, la función main sigue teniendo la interfaces por ejemplo. Esto da una
misma firma: importante pista a nuestro curioso
Se puede ver que ha llamado a dos que le proporciona un hilo del que
métodos de la misma manera pese public static void main(String args[]) tirar para deshacer la madeja. Pero
a ser diferentes, lo que puede com- también nos podemos encontrar
plica aun más el descifrar el funcio- Es necesario para que la máquina con el mismo problema a la inversa,
namiento del programa. virtual de Java sepa por donde tiene pongamos el caso de que estamos
desarrollando una librería de uso ge-
neral, los usuarios de esta se sor-
Listado 4. Archivo de configuración para ofuscar nombres usando prenderían mucho si las funciones
ProGuard se llamaran a, b, c, la ofuscación no
solo molestaría al curioso también al
-injars math.jar
-outjars math_out.jar resto de los usuarios.
-libraryjars <java.home>\lib\rt.jar Otro problema es que no se pue-
-dontshrink den ofuscar los nombres de los mé-
-dontoptimize todos de la API de Java, lo cual da
-keepclasseswithmembers public class * {
más pistas de lo que hace la función.
public static void main(java.lang.String[]);
} Una posible forma de evitar esto
es mapear todos los métodos de la
API en otra clase, cambiando así su
Listado 5. Firmas obtenidac con javap después de ofuscar nombres nombre. Esta estrategia solo durará
hasta que nuestro curioso encuentre
public class math extends java.lang.Object{ la clase donde se mapean las llama-
public math();
das a los métodos.
public int a(int);
public int a(int, int); Una idea interesante para aplicar
public int b(int, int); a este método es usar un poco de in-
public static void main(java.lang.String[]); genio y en lugar de sustituir los nom-
} bre por a, b, c hacerlo por nombre
con sentido pero que no describan la
función real. Por ejemplo podríamos
Listado 6. Clase para cifrar y descifrar cadenas de texto llamar a nuestras funciones odd , add ,
div, y si viéramos solo el main nos
import java.math.BigInteger;
public class Cipher {
haríamos una idea equivocada de
public static BigInteger descipher(byte[] text, byte[] key) { cómo funciona el programa. Esta
BigInteger a = new BigInteger(text); idea solo durará hasta que se com-
BigInteger b = new BigInteger(key); pruebe el código de estos métodos
a = a.divide(b);
pero hemos podido hacer perder un
return a;
}
buen montón de tiempo al curioso.
public static BigInteger cipher(String text, String key) { Sin alejarnos mucho de esta línea
BigInteger a = new BigInteger(text.getBytes()); otro buen truco es usar como nom-
BigInteger b = new BigInteger(key.getBytes()); bre de variables palabras reserva-
a = a.multiply(b);
das de Java como while, if, do. El
return a;
}
compilador no permite usar palabras
public static void main(String args[]) { reservadas como nombre de funcio-
if (args.length < 2) { nes, pero la máquina virtual no da
System.out.println("java cipher text key"); problemas si se encuentra con una
System.exit(1);
clase cuyas funciones se llaman co-
}
byte[] c = cipher(args[0], args[1]).toByteArray();
mo alguna palabra reservada. El tru-
System.out.print("{"); co es cambiar el nombre a nivel de
for (int i=0; i<c.length-1; i++) código máquina. Al descompilar se
System.out.print(c[i] + ", " ); encontrará que no podrá volver a com-
System.out.print(c[c.length-1] + "}" );
pilar sin cambiar el nombre de todos
}
}
los métodos y sus respectivas lla-
madas, por desgracia actualmente
www.hakin9.org 59
Defensa
este método funciona con pocos digo necesario para descifrar las ca-
descompiladores ya que detectan denas nuestro curioso puede usarlo Listado 8. Método factorial(int
que el nombre es una palabra reser- y descifrar por su cuenta nuestras numero) en lenguaje maquina
vada y lo cambian cadenas, además de que no es ne- .method public factorial(I)I
ProGuard da la opción de indi- cesario entender los mensajes de .limit stack 2
carle un archivo de diccionario del texto para entender el programa. .limit locals 3
que sacará las nuevos nombres para Usado junto con la ofuscación de .line 6
iload_1
los métodos que renombre. Para nombres puede dar buenos resul-
iconst_1
usar esta opción hemos de añadir la tados. El mayor problema que tiene isub
siguiente línea a math.pro. es la carga que supone descifrar las istore_2
cadenas. Sin embargo, hay veces en LABEL0x4:
-obfuscationdictionary que este método puede compensar, iload_2
iconst_1
nombre_de_diccionario por ejemplo cuando se usan ca-
if_icmple LABEL0x13
denas de texto en forma de scripts .line
ProGuard, en el directorio \examples\ o comandos, el ejemplo más fácil de iload_2
dictionaries, incluye varios ejemplos entender es con las sentencias SQL iload_1
de diccionarios que son simples que se almacenan en forma de cade- imul
istore_1
archivos de texto plano con las pala- nas de texto.
.line 6
bras a utilizar. Puesto que mucho ofuscadores iinc 2 -1
ya no implementan esta caracterís- goto LABEL0x4
Cifrado de cadenas tica vamos a crear nuestra propia .line 8
El siguiente método que vamos a ver clase de cifrado. El ejemplo usa un LABEL0x13:
iload_1
es el cifrado de cadenas, la idea es cifrado muy sencillo, pero que aporta
ireturn
cifrar las cadenas de texto conte- una ventaja, el método usado no pa- .end method
nidas en el código fuente de la apli- rece a simple vista un cifrado y des-
cación. Pese a que muchos ofusca- cifrado de cadenas. Realmente no
dores ya no incorporan este método es necesario romperse la cabeza una variable de tipo BigInteger,
por considerarlo ineficaz, resulta útil, con complejos métodos de cifrado, para el texto y otra para la clave.
si nos fijamos en el ejemplo de nada nuestro curioso no va a atacar el Posteriormente opera con las dos
servirá ofuscar el nombre de las cla- algoritmo de cifrado, va a buscar co- variables, en este caso las multiplica
ses si antes de llamarlas mostramos mo el método de descifrado y lo va pero se podría usar cualquier otra
su nombre o describimos que hacen a usar directamente. operación o mezcla de operaciones
en un mensaje de texto. El ejemplo El código de nuestro método de siempre y cuando sean reversibles.
puede parecer exagerado, pero las cifrado se pude ver en el Listado 6, El BigInteger obtenido se vuelve
cadenas de texto usadas en cada la idea principal es que parezca una a convertir en un array de bytes, que
método pueden dar muchas pistas operación con BigInteger en lugar de será el que se usará en lugar del tex-
sobre su función, sobre todo los un cifrado de cadenas. Su funciona- to original. Para entenderlo mejor va-
mensajes de error. miento es muy sencillo convierte el mos a cifrar la clásica cadena Hello
Este método se considera inefi- texto a cifrar y la clave en un array World!, para ello usaremos nuestra
caz ya que al tener que incluir el có- de bytes que usa para inicializar clase Cipher.java, por lo que habrá
que compilarla.
Listado 7. Ejemplo de hola mundo con cadenas de texto cifradas
javac Cipher.java
import java.math.BigInteger;
public class hello {
Luego cifraremos la cadena de texto
public static BigInteger descipher(byte[] text, byte[] key) {
BigInteger a = new BigInteger(text);
usando como contraseña la palabra
BigInteger b = new BigInteger(key); hello como contraseña.
a = a.divide(b);
return a; java Cipher "Hello World!"
}
key > hello.txt
public static void main(String args[]) {
byte[] c ={29, -123, -30, -71, 71, -40, 113, -21, 80, 43, 26, -92, 59,
-102, 41, 86, 79}; Con estos pasos habremos obtenido
String text = new String(descipher(c, "hello".getBytes()).toByteArray()); un archivo hello.txt con el siguiente
System.out.println(text); contenido:
}
}
{29, -123, -30, -71, 71, -40, 113, -21,
80, 43, 26, -92, 59, -102, 41, 86, 79}
60 www.hakin9.org
Código Java
Que no es otra cosa que la cadena quina que no tengan equivalente en incluyendo las modificaciones en
cifrada, que se tendrá que pasar lenguaje de alto nivel. Si miramos el math.j y ensamblando el código con
junto con la clave al método de des- listado de instrucciones vemos que Jasmin.
cifrado para obtener el texto original. podemos usar la instrucción goto
El descifrado funciona exacta- que realiza un salto incondicional Java Jasmin math.j
mente igual que el cifrado, difiere en a una etiqueta. Pero solo con eso no
las operaciones que se realizan ya es suficiente, el desensamblador es Así comprobaremos que la ejecu-
que hay que deshacer el cifrado, en capaz de organizar el código para ción se realiza sin ningún problema.
este caso basta con dividir. prescindir de la sentencia goto. De- Sin embargo al intentar descompilar-
En el Listado 7 se puede ver un bemos evitar que el ensamblador lo nos llevamos una sorpresa, en el
hola mundo con la cadena cifrada. sepa que camino va seguir el códi- Listado 10 se puede ver el código del
Para simplificar el ejemplo y facilitar go, para ello usaremos sentencias método factorial descompilado con
su comprensión se han cometido de salto condicional. Es muy impor- JODE. Es inteligible y no compila,
algunos errores que no se deben de tante que en los bloques de código y eso que hemos usado un ejemplo
cometer en un caso real. Para empe- que incluyamos no alteremos la pila, bastante simple.
zar el método de descifrado no debe hemos de dejarla tal y como esta- Combinando varios bloques de
llamarse descipher ni nada parecido, ba antes de ejecutar nuestro códi- estos a lo largo del código de un mé-
la clave usada no debe de ponerse go. Tampoco podemos sobrepasar todo, podemos hacer el código in-
directamente en forma de cadena de el tamaño de la pila, y no podemos descifrable para el descompilador.
texto y por último se debe de intentar saltar a ninguna parte del código El punto débil de este sistema es
ocultar en todo lo posible que el valor en el que pueda haber variables no que el curioso siempre podrá desen-
devuelto por ese método se convier- inicializadas. Vamos a ver un ejem- samblar el código e intentar arreglar
te en una cadena de texto. plo, como el método factorial de
math.java. Listado 9. Cambios
Ofuscación de código Para ello como ya hemos visto introducidos en factorial (int
La ofuscación del código consiste en desensamblamos usando Jasper, el numero) para ofuscar su código
enrevesar tanto el código que resulte código del método desensamblado
difícil de entender tanto por las per- está en el Listado 8 y en el Lista- .method public factorial(I)I
.limit stack 4
sonas como por los programas de do 9 el código modificado. Si nos
.limit locals 3
desensamblado o descompilado. fijamos solo incluimos dos bloques .line 6
Se puede realizar por dos vías, de código, uno al principio con una iconst_0
ofuscando el código de alto nivel condición que envía al principio del iconst_0
y ofuscando el código máquina. código del método o salta casi al if_icmpeq LABELo1
goto LABEL0x13
La primera vía puede parecer la final del método, justo antes del se-
LABELo1:
más sencilla, pero convertir el código gundo bloque, que hace lo mismo o iload_1
fuente en algo inteligible requiere ex- manda al principio del código o salta iconst_1
periencia e imaginación, bien aplicada al final de la aplicación. La condición isub
puede ser realmente difícil de desci- comprueba si los dos últimos datos istore_2
LABEL0x4:
frar, aunque un curioso suficientemen- almacenados en la pila son iguales
iload_2
te motivado podría desentrañar poco y si lo son salta. Se puede ver que iconst_1
a poco el funcionamiento del código. la condición se cumplirá siempre ya if_icmple LABEL0x13
Este primer método se la dejo al lector que en las operaciones anteriores .line 7
para que haga sus pruebas y desarro- hemos almacenados dos ceros en iload_2
iload_1
lle sus trucos, es fácil encontrar gran las pilas. Por lo que en el primer
imul
cantidad de ejemplos, sobretodo en bloque se saltará al inicio del código istore_1
leguaje C, de código ofuscado. Nos original del método y en el segundo .line 6
vamos a ocupar de la segunda vía, la al final del método con lo que todo iinc 2 -1
de ofuscar a nivel de código máquina. se ejecutara con normalidad, pero el goto LABEL0x4
.line 8
La idea es modificar el código de tal descompilador no lo sabe y tendrá
LABEL0x13:
forma que el descompilador sea in- que encontrar la manera de pasar iconst_0
capaz de obtener código de alto nivel ese código a Java, sin embargo iconst_1
a partir del de bajo nivel. Para ello Java no permite los saltos dentro if_icmpeq LABELo1
vamos a jugar con el flujo del código del código y el descompilador no es goto LABELfin
LABELfin:
de tal manera que le sea imposible al lo suficientemente hábil como para
iload_1
descompilador reconstruirlo. encontrar otra solución. Podemos ireturn
Para ello tenemos que buscar ver que a pesar de los cambios el .end method
instrucciones a nivel de código má- programa funciona correctamente
www.hakin9.org 61
Defensa
el código para que el descompilador ventajas. La primera es que no es log usando mensajes propios, o ci-
funcione. una solución aplicable de manera frados, que solo tengan sentido para
genérica ya que en muchos entor- quien se va a ocupar de mantener la
Otras técnicas nos no se podrá aplicar. Aparte de aplicación y no para el usuario.
Para cerrar este artículo se van esto el principal problema que se
a comentar algunas técnicas más presenta es la carga de trabajo que Implementar bugs de
para complicar la vida a los diversos tendría que soportar nuestro equipo los desensambladores
curiosos. remoto. También hay que tener en En las páginas web de la mayoría
cuenta que mucha gente no se fiara de los desemsambladores, se pue-
No incluir información de una aplicación que envíe sus da- den encontrar una lista de bugs.
de depuración tos a no se sabe donde. Otro factor Podemos usar esta información en
Es una buena idea compilar el có- a tener en cuenta es el retardo que su contra. Incluir en nuestras clases
digo Java usando el parámetro –g: introduce la transferencia de datos esos bugs, aunque sea en forma
none, así se evita que se incluya in- y su ejecución en remoto. de código basura puede dificultar
formación de depurado en los byte- e incluso imposibilitar el descompilar
codes. Eso dificultara la pruebas Incluir código el programa. Por desgracia este mé-
para entender el funcionamiento de dependiente del sistema todo tiene dos pegas. Tienen fecha
la aplicación. Otra forma de complicar la vida a los de caducidad ya que solo es eficaz
curiosos es implementar parte de la hasta que el bug se corrija y puede
Ejecutar el código en remoto aplicación en forma de código ejecu- resultar bastante costoso implemen-
La forma más segura de evitar que table tradicional, mucho más difícil tar bugs de todos los descompilado-
desensamblen el código es no dár- de analizar y entender y que permite res más usados, ya no hablemos de
selo. Para ello lo que podemos hacer técnicas de protección más eficaces. implementar algún bug de todos los
es ejecutar la parte del código que Con ello se pierde una característica existentes.
queramos proteger en un equipo re- fundamental de Java su independen- Hay que recordar un punto y es
moto que consideremos seguro. Es- cia de plataforma por lo que habrá que todas las técnicas usadas son
ta solución asegura que ningún ojo que generar código ejecutable para reversibles. Sin embargo un uso in-
indiscreto pueda ver el código. Pero todas las posible plataformas donde teligente y bien combinado de ellas
presenta más inconvenientes que se pueda ejecutar la aplicación. puede crear serias dificultades a cual-
quier curioso que quiere ojear nues-
Cifrar las clases tro código. Pese a los métodos aquí
Listado 10. Resultado obtenido Cifrar las clases imposibilita que explicados y las herramientas que
de descompilar factorial estas puedan ser directamente des- actualmente existen, la mejor forma
(int numero) compiladas, pero presenta los mis- de ofuscar código sigue siendo la
public int factorial(int i) {
mo problemas que se comentaba imaginación de cada uno.
IF (false == false) para el cifrado de cadenas, es rever-
GOTO flow_8_0_ sible e introduce una demora la ap- Conclusión
GOTO flow_30_1_ licación. Sin embargo, hará que mu- En un lenguaje como Java resulta
flow_8_0_:
chos curiosos desistan. difícil proteger el código de los
int i_0_ = i - 1;
for (;;) {
curiosos, pero las técnicas de ofus-
IF (i_0_ <= 1) Ocultar errores y logs cación pueden dificultarle tanto la
GOTO flow_30_1_ Muchos logs sirven, entre otras labor que desista. No hay ninguna
i = i_0_ * i; cosas, para saber que ha fallado técnica infalible y la mejor opción es
i_0_--;
en caso de que la aplicación no combinar varias de ellas. Pero ante
}
flow_30_1_:
funcione correctamente, lo malo es todo la mejor técnica es usar la ima-
IF (false == true) que se pueden usar para obtener in- ginación propia e intentar engañar
GOTO flow_8_0_ formación e incluso permiten trazar al curioso. l
GOTO flow_35_2_ el funcionamiento de la aplicación.
flow_35_2_:
Hay que evitar ante todo mostrar en
GOTO flow_38_3_
pantalla o almacenar en el log las
flow_38_3_: Sobre el Autor
int i_1_ = i; excepciones y aun menos usar el Javier Alcubierre es diplomado en
GOTO flow_39_4_ método printStackTrace() que mues- Ingeniería Informática de Sistemas
flow_39_4_: tra una traza completa de ejecución y licenciado en Ingeniería Informática.
int i_1_;
en el punto del programa que ha Siempre se ha sentido atraído por la
return i_1_;
GOTO END_OF_METHOD
fallado. Sin embargo en muchos ca- seguridad informática y sus distintas
} sos es necesario mantener estos vertientes.
logs. La mejor opción es mantener el
62 www.hakin9.org
P U B L I C I D A D
GlobalTrust
Enigma Lite Desktop Edition
Los documentos empresariales y los datos personales son un patrimonio
importante que hay que proteger frente al robo, el malo uso y el acceso
no autorizado por parte de los usuarios, tanto dentro como fuera de la
organización. Además, la mayoría de la información personal y empresarial
es transferida mediante mensajes de correo electrónico o redes geográficas.
La suite Enigma Lite Desktop Edition ofrece una De acuerdo al Código de Privacidad, los datos
solución modular y escalable para asegurar el digitales sensibles (pe. datos judiciales, información
almacenamiento y la transferencia de docu- relacionada con la salud) tienen que encriptarse o
mentos; no sólo satisface los requerimientos de hacerse inaccesibles mediante el uso de soluciones
usuarios individuales, protegiendo su ordenador tecnológicas que estén actualmente disponibles en
de sobremesa o su portátil, sino que también el mercado. El Código también preve estrictas sancio-
satisface los de redes geográficas o locales de nes en el caso de que se incumpla la ley.
grandes organizaciones. Enigma permite aplicar
las políticas de seguridad más estrictas y ase- POR QUÉ ENIGMA?
gurar la protección y la privacidad de archivos, (MERCADO ITALIANO)
correos electrónicos, bases de datos y de todo el En Italia hay una gran demanda de soluciones fáci- Figura 1. Cupón
flujo de documentos. les de utilizar capaces de proteger los documentos
en formato electrónico y los datos personales
POR QUÉ ENIGMA? almacenados en ordenadores personales (espe-
(CAMBIOS LEGALES) cialmente portátiles) y archivos de organización de
En Italia se han introducido leyes y reglamentos los siguientes dominios:
nuevos, como el decreto legislativo 196/2003,
también conocido como El Código de Privacidad, • Militar (e.g. Encriptación de Documentos Clasi-
impuesto para proteger los datos personales fren- ficados),
te a riesgos tales como la destrucción, perdida o el • Financiero (e.g. No repudiation Digital Messa-
acceso no autorizado: ésta es la razón por la que ging),
instituciones, grandes empresas, PYMES y profe- • ISP (e.g. Transacciones on-line seguras y Alma- Figura 2. Página Web de Enigma
sionales tienen que cumplir las medidas mínimas cenamiento),
de seguridad en lo referente al procesamiento de • Integrador de Sistema (e.g. Solución de Gestión de fecha, destrucción segura, verificación de autenti-
datos. de Documentos segura), cidad y validación de certificados digitales.
• Universidad y otras instituciones de educa-
ción, ESTÁ INTEGRADO CON SISTEMAS
Acerca de GlobalTrust • Empresa, WINDOWS Y MICROSOFT OFFICE
GlobalTrust es una autoridad de certificación y registro, • Vendedores (SW/HW), Enigma Lite Desktop Edition es una solución diseña-
reconocida a nivel mundial, capaz de emitir todo tipo de • y otros. da para sistemas operativos Microsoft: los compo-
certificados y tecnologías de seguridad digital; usando
nentes de Seguridad de los Documentos del Escritorio
las técnicas de seguridad más avanzadas, autenticación,
Pero la oferta de productos y soluciones com- están completamente integrados con sistemas ope-
verificación y cobertura mediante seguros. GlobalTrust
es una autoridad independiente en la protección frente
petitivas es inadecuada, ya que las existentes rativos Windows y los componentes de software del
ataque provenientes de la Red. Gracias a su tecnología, (BestCrypt, Signo y principalmente PGP) son poco servidor se instalan en sistemas MS Windows Server.
GlobalTrust permite asegurar las transacciones on-line a conocidas o no están muy extendidas.
organizaciones de cualquier tamaño, siempre teniendo en ESTÁ INTEGRADO
cuenta la relación calidad/precio. FUNCIONALIDAD ENIGMA CON APLICACIONES PKI
Seguridad Interna y Privacidad mayores Enigma Lite Desktop Edition usa los mecanismos
Enigma Lite Desktop Edition es la mejor solución criptográficos más avanzados y es compatible con
Contacto: • Página del producto: para gestionar datos personales de acuerdo a las los estándares X.509 y SSL v.3.0, permitiendo el uso
http://www.globaltrust.it/ leyes de privacidad (D.Lgs. n. 196/2003). Enigma y la gestión de identidades y certificados digitales.
http://www.enigmatrust.org, Lite Desktop Edition le permite centralizar todas las Además, Enigma es compatible con los estándares
• Sitio Web: operaciones que requieran la seguridad de docu- Common Access Card (CAC) y PKCS#11 (Cryptogra-
http://www.globaltrust.it/. mentos personales o empresariales: firmas digitales, phic Token Interface Standard) para el uso SmartCards
criptografía, almacenamiento seguro, estampación y llaves USB.
Publicidad
Protege gratis tu Windows
Para principiantes
ANELKAOS
Grado de dificultad
Analizamos seis antivirus gratuitos para los sistemas operativos

de Microsoft. Existen soluciones gratuitas contra los virus
y gusanos de Internet lo suficientemente potentes como para
mantener al margen de nuestros ordenadores a la mayoría de
estos archivos maliciosos.
S
e conocen innumerables métodos de ordenadores, se trata de PCs como el
de ataque contra los sistemas de los tuyo, con un simple archivo de unos cuantos
usuarios domésticos como también Kilobytes de una fuente poco fiable que no
existen innumerables medidas para mitigarlos ha pasado ningún tipo de control antes de ser
que por lo general, no se utilizan. La automati- ejecutado. La peligrosidad de la mayoría de
zación de estos métodos culmina en los virus los virus se subestima. Sobretodo en sistemas
cuya finalidad suele ser obtener información Windows donde la importancia de mantener el
privada, aprovechar la capacidad de almace- sistema operativo actualizado es vital para no
namiento o procesamiento ajenos, el ancho de se infectados.
banda, etc., por lo que es muy recomendable ¿De dónde provienen los números de
escanear cualquier tipo de soft descargado de cuenta y de tarjetas de crédito que manejan los
la red, incluso proveniente de webs oficiales phisers? Es mas que evidente que de engañar
(por ejemplo, durante este año el servidor de
descargas de la compañía Genius fue troya-
nizado explotando la vulnerabilidad WMF de En este artículo aprenderás...
los visitantes que accedían para descargar dri-
• Existen antivirus gratuitos que no tienen mucho
vers). Es evidente que nunca debemos dejar la
que envidiar a los comerciales,
ardua tarea de proteger un sistema solamente
• Un soft de protección desactualizado puede
a un antivirus ya que lo más probable es que ser el medio para vulnerar tu sistema.
se vea desbordado y se vulnere con bastan-
te facilidad. Pero en última instancia, será el
Lo que deberías saber...
encargado de analizar los comportamientos
anómalos de un archivo, tanto en disco como • Un antivirus no es capaz de proteger todos los
en memoria, avisando al usuario de un posible puntos vulnerables de un sistema,
ataque contra su sistema o su intimidad. • Un antivirus facilita la detección de algunos
Cuando en las noticias informáticas se archivos maliciosos.
habla de redes de bots de decenas de miles
64 www.hakin9.org
Antivirus Gratuitos
a los usuarios mediante páginas Se valorará positivamente una rabilidad de otro programa, servicio
fraudulentas pero existe otro gran buena gestión de memoria del pro- web o sistema operativo. Existen
porcentaje que salen de ordenado- ducto analizado y de que manera op- varias categorías en función del
res infectados con keyloggers y di- timiza los ciclos del procesador pa- tipo de vulnerabilidad que exploten.
ferentes tipos de troyanos. Por mu- ra el análisis de los archivos. No hay Los programamos para introducir
chos medios de protección que uti- que olvidar que un PC simplemente y ejecutar una shellcode, escalar
lice tu banco, no sirven de nada si es una herramienta y no podemos privilegios, obtener una consola de
se introducen desde ordenadores derrochar la mayor parte de los sistema remoto, etc.
fácilmente vulnerables. recursos en los servicios de herra-
mientas de protección por lo que SHELLCODE
Las modas lo cambian este parámetro será importante. Una shellcode es un conjunto de
todo, hasta los virus En esta comparativa se analizaran instrucciones, programadas gene-
Hemos pasado de virus bastante archivos maliciosos habitualmente ralmente en lenguaje ensamblador,
sencillos creados para propagarse utilizados por atacantes con dudosa que se suelen inyectar directamente
en masa e infectar al mayor número intencionalidad que es realmente de en la pila mediante un exploit para
de máquinas posibles o simplemen- quien debe proteger un antivirus. El conseguir que el sistema en el que
te robar las contraseñas del correo análisis se centrará en la detección se introduce, ejecute la serie de ins-
a auténticos monstruos de la progra- de un grupo de troyanos, keyloggers, trucciones programadas. El micro-
mación capaces de grabar el audio puertas traseras y rootkits mas o me- procesador solo entiende sistema
a través del micrófono de la víctima nos conocidos. A pesar de ello, los binario (unos y ceros) que traduce
o incluso mostrar en tiempo real lo resultados os sorprenderán diciendo desde la memoria. Cada instrucción
que ocurre a través de su webcam bastante poco a favor de los antivirus. lleva asignado un código en sistema
sin que esta se percate de su funcio- Hay que destacar que tener un anti- hexadecimal que lo hace mas legible
namiento. Son técnicas totalmente virus correctamente instalado y ac- que el binario directamente. Las mas
reprobables que incurren en delitos tualizado no garantiza que no existan pequeñas tan solo ocupan 22 bytes
contra la intimidad y de revelación de virus en dicho sistema ya que ningún y se utilizan principalmente para de-
secretos pero que se dan con mayor antivirus es capaz de detectar el 100% volver una consola del sistema. En
asiduidad de la que parece. Lo mas de los virus. ocasiones los crackers introducen
preocupante es que cualquiera sin en ellas instrucciones no documen-
los mas mínimos conocimientos de Glosario de términos tadas.
programación puede acceder y con- para no iniciados en
figurar a su gusto este tipo de he- seguridad BUFFER OVERFLOW
rramientas de ataque. Presentamos Termino informático referente a una Vulnerabilidad que se produce cuan-
una serie de antivirus gratuitos que caída del sistema. Se produce al rea- do en el valor de una variable se
pueden evitar en algunos casos este lizar operaciones inválidas, bucles escribe un valor demasiado grande
tipo de situaciones. infinitos o saturar la memoria del PC sobrescribiendo las direcciones de
(normalmente la RAM aunque tam- memoria siguientes. La finalidad de
Parámetros de bién es posible la memoria de las este ataque es efectuar un salto a có-
valoración tarjetas gráficas o de sonido) hasta digo arbitrario.
Realizamos una comparativa un po- que salta una excepción del sistema
co atípica ya que por lo general, se operativo que generalmente termina HEAP OVERFLOW
comparan aspectos que no garanti- con un reinicio del PC o cuelgue. Vulnerabilidad que se produce cuan-
zan que un antivirus sea mejor que do en el valor de una variable se
otro como puede ser el diseño de su VULNERABILIDAD escribe un valor demasiado grande
interfaz gráfica, su usabilidad, porta- Fallo de diseño o implementación sobrescribiendo el valor de otra den-
bilidad, etc. No es la finalidad de este que compromete la seguridad de tro la memoria reservada para un
artículo ya que damos por hecho que un programa o del sistema en el que programa o área de memoria diná-
nuestros lectores son perfectamente se encuentra instalado. Las vulne- mica.
capaces de utilizar todas las opcio- rabilidades se catalogan según su
nes que ofrece cada uno de los pro- gravedad. No se debe instalar nunca ROOTKIT
ductos descritos. Nos centraremos un programa con vulnerabilidades Conjunto de herramientas que tras
en la seguridad que estos ofrecen. críticas conocidas sin que exista un ser instaladas garantizan el acce-
Las características que hacen a un parche que lo corrija. so remoto posterior a un atacante
antivirus superior a otro básicamente ocultado a los usuarios legítimos sus
son que detecte un mayor número de EXPLOIT actividades. Permiten el control total
amenazas y sea ligero y transparen- Código, programa o técnica utilizada del sistema atacado. Los antivirus no
te para el usuario. para explotar cualquier tipo de vulne- suelen ser capaces de detectarlos.
www.hakin9.org 65
Para principiantes
KEYLOGGER de entre 21,7 Mbytes y 22,4 Mbytes. Por el contrario dispone de un mo-
Programa generalmente malicioso También es posible personalizar tor de búsqueda en el análisis bajo
que captura las teclas pulsadas al- los módulos que se desean cargar, demanda superior en algunos casos
macenándolas en un archivo o en- mientras que la instalación completa a ciertos antivirus comerciales.
viándolas directamente por red. Esta incluye la descarga de los archivos Como curiosidad, la Interfaz
función es habitualmente implemen- de ayuda, que de momento sólo es- gráfica de usuario contiene un fallo
tada en gran parte de virus. tán disponibles en tres idiomas, in- mediante el cual es posible realizar
glés, ruso y francés en formato chm. un crash del sistema debido a que
TROYANO ClamWin utiliza el motor de análisis no existe un límite establecido en el
Programa malicioso con modelo ClamAV y, siempre que tengamos número de llamadas al GUI. Viene
cliente-servidor que sirve para ac- conexión, nos notificará de si existen a ocupar una cantidad importante de
ceder a los ordenadores que tengan nuevas versiones del antivirus, así memoria, del orden de entre los 7
el servidor en ejecución. Posibilitan como de actualizaciones diarias. Se y los 25 Mbytes. En la última versión
el robo de archivos, contraseñas, imá- puede configurar las actualizaciones analizada se corrige una vulnerabi-
genes a través de webcam, sonido a través de un proxy. lidad crítica de ejecución de código
a través del micrófono, y el control Respecto a su rendimiento, de- arbitrario en libclamav/upx.c en la
del resto de periféricos. tecta gran parte de spyware y se función memcpy() explotando un
integra en los menús de Explorer heap overflow. Se podía aprove-
GUI y Outlook, por lo que es posible un char mediante archivos ejecutables
Acrónimo de Graphic User Interface análisis rápido de un archivo sin comprimidos con UPX dejando
o Interfaz Gráfica de Usuario. Es la más que pulsar el botón derecho. completamente vulnerable el equipo
forma interactiva de presentar infor- Asimismo, brinda la posibilidad de o programando el exploit para abu-
mación ante el usuario que tiene un programar análisis a determinados sar de esta vulnerabilidad.
programa o sistema operativo. La directorios desde el menú Tools/
usabilidad de un GUI es la medida Preferences/Scheduled Scans/Add FICHA
de lo fácil rápido y agradable que es especificando la frecuencia de es-
utilizarlo. tos. Típicamente, se deberían exa- • Valoración 4,2
minar las carpetas que almacenan • Calidad/Precio 4,2
UPX los archivos temporales del sistema
Acrónimo de the Ultimate Packer for operativo, los temporales del nave- Contacto
eXecutables es un empaquetador gador, las cookies y las carpetas de
de ejecutables con licencia GNU, descargas. Una opción interesante • Clam Antivirus
portable y de alto rendimiento. Ge- es la notificación por correo electró- • http://www.clamwin.com
neralmente tiene un ratio de compre- nico de las infecciones, es decir, po-
sión mejor que WinZip. UPX soporta demos dejar nuestro PC conectado Lo mejor
diferentes formatos de ejecutables, y ser advertidos vía mail al instante Manual disponible en formatos chm,
incluyendo programas de Windows de ser detectado un fichero malicio- pdf, existen foros de ayuda en inglés
y DLLs so (requiere servidor SMTP). y permite su ejecución desde un CD
Por otro lado, ClamWin permite o unidad USB.
ClamWin incluir o excluir ciertas extensiones
Probamos el antivirus gratuito más del análisis, pero recomiendo no Lo peor
conocido en Internet en su versión excluir ningún tipo de archivo, ya que No incluye enciclopedia de virus,
0.88.4 totalmente funcional sobre se pueden cambiar las cualidades mala protección a tiempo real.
arquitecturas de 64 bits. de prácticamente cualquier tipo. Por
Una de las grandes virtudes de ejemplo, es posible construir un MP3 AVG Free Edition
este desarrollo GNU es la oportuni- que realmente contenga un vídeo La versión 7.1.405 del antivirus gra-
dad de descargar su código fuente o un código malicioso para ser in- tuito de la compañía Grisoft está
con el fin de revisarlo, personalizarlo terpretado por nuestro reproductor disponible desde el 11 de Agosto
o mejorarlo. Cualquier programador y que éste lo ejecute, o bien hacer y tiene un instalador de 16,9 Mbytes
de C++ o Python puede aportar uso de Alternate Data Stream en ofreciendo al usuario dos tipos de
ideas, sugerencias y mejoras en la NTFS ocultando al usuario medio instalación, la personalizada y la es-
web oficial del producto sin fines de cierta información, etc. tándar. Personalizando la instalación
lucro. Su instalador tan solo ocupa El proceso residente del antivirus ofrece la posibilidad de cargar diver-
5,46 Mbytes. se llama ClamTray.exe y es bastante sos plugins de análisis de clientes de
Al iniciar la instalación, podemos ligero, funciona con tan sólo un par correo ya sea The Bat!, Outlook, Eu-
elegir entre la típica, personalizada o de megas de RAM pero la protección dora o cualquier otro cliente de co-
completa: con un tamaño en disco a tiempo real es bastante deficiente. rreo. El manual oficial se encuentra
66 www.hakin9.org
Antivirus Gratuitos
en http://free.grisoft.cz.softw/70free/ nes de los análisis. Dentro de la trol Center en memoria gracias a la

doc/avg _fre_ref_en_71_5.pdf. protección a tiempo real ofrece una vista en modo reducido que se pue-
Tras su instalación, aparece la opción muy interesante y que dota de seleccionar en el menú View o pul-
guía de primera ejecución la cual de gran eficiencia a este antivirus, sando F3. Además dispone también
ayuda al usuario a actualizar el se trata del On-close scanning o es- de la solución anti-spyware ewido.
antivirus, crear un disco de recupe- caneo de una aplicación que se cie- Si se instala en un sistema junto con
ración, escanear el PC y finalmente rra, es recomendable marcar este Norton Internet Security no se debe
registrarse si se desea. En primer lu- checkbox, de otra forma, solo se es- instalar el plugin para Microsoft Office
gar se debe proceder a la actualiza- canean las aplicaciones al ser abier- para evitar conflictos entre ambos
ción ya sea desde Internet o desde tas. programas.
una carpeta accesible desde el PC. Virus Vault, o jaula de virus se-
En la actualización desde Internet rá el lugar del disco duro donde se FICHA
se muestra un formulario que man- muestren los archivos infectados.
tiene informado en todo momento al Por defecto se reserva el 20% de la • Valoración 5,42
usuario con el tráfico descargado. capacidad de la partición en el que • Calidad/Precio 5,42
Respecto al disco de rescate es se instala.
preferible realizarlo desde el propio En el botón Test Result del Test Contacto
sistema operativo para evitar con- Center podemos ver los registros de
flictos entre sistemas de archivos todos los análisis realizados acce- • Grisoft
y permisos NTFS por lo que continuo diendo a una enciclopedia de virus • http://free.grisoft.com
con el siguiente paso. online sin mas que utilizar el evento • 902 36 46 95
En tercer lugar ofrece la posibili- doble clic sobre el archivo infectado
dad de escanear todo el PC en busca detectado. Lo mejor
de virus, comenzando por la tabla Sus métodos de protección son Existen múltiples hot keys para un
de particiones, sector de arranque, varios que paso a detallar. AVG Free rápido acceso a cada opción de los
registro del sistema operativo, claves realiza un análisis heurístico, es de- diferentes menús. Muy configurable.
de registro con procesos y servicios cir, aplica un algoritmo de búsqueda Manual muy completo.
en ejecución, librerías de linkado diná- optimizado reduciendo al mínimo el
mico, archivos de sistema y el resto de tiempo de ejecución, consumiendo Lo peor
archivos por este orden de prioridad. por tanto el menor número de ci- La selección del lenguaje está blo-
Finalmente AVG Free ofrece la clos de reloj del microprocesador. queada a inglés en la versión Free.
posibilidad de registrarse para conse- La eficiencia de estos métodos de
guir acceso a los foros de discusión análisis se utiliza en la mayoría de BitDefender 8 Free
y soporte técnico del antivirus, recibir los antivirus de pago, se consiguen Edition
información de la familia de productos optimizando las funciones matemáti- SoftWin es una empresa de soft que
de Grisoft. En la versión Professional cas de búsqueda y sirven para que se dedica a la detección de archi-
está disponible en castellano al igual no se abuse del microprocesador en vos maliciosos con sus diferentes
que muchas otras opciones deshabi- el escudo residente. La detección productos BitDefender. Su antivirus
litadas en la versión Free tales como genérica se reduce a comparar los utiliza el mismo motor de búsqueda
el análisis de avanzado, reporte de archivos con la base de firmas del que otras versiones comerciales de
archivos protegidos por contraseña, antivirus. BitDefender certificado por ICSA. Se
ajuste de la prioridad del proceso de Este antivirus utiliza 5 procesos desarrolla en Barcelona con el apo-
exploración, etc. independientes pero ninguno de yo de los laboratorios principales en
El Control Center de AVG posee ellos suele superar los 8 Mbytes Estados Unidos y Rumania. Como
un entorno gráfico bastante vistoso en memoria a no ser en tiempo de siempre, dispone de la instalación
y sencillo con siete paneles de confi- análisis con una carga considerable. típica, completa y personalizada. El
guración donde podremos configurar El proceso avgb.dat se correspon- espacio requerido en disco alcanza
las propiedades de cada uno. de con el Test Center. avgw.exe un máximo de 37MBytes y un míni-
El Test Control dispone de tres y avgcc.exe se ejecutan con los mo de 12 Mbytes.
opciones principales, escanear to- privilegios del usuario de la sesión Tras la instalación realiza un aná-
do el PC, escanear ciertas carpetas mientras que el resto (avgamsrv.exe, lisis volcando el contenido de los re-
o unidades extraíbles como disque- avgem.exe y avgupsvc.exe) lo hacen sultados muy detallados a un fichero
tera, pendrive, unidades de CD o DVD, con privilegios de sistema ya que en texto plano visible pulsando el
y comprobar si existen nuevas ver- son los tres servicios (Alert Manager botón Show reports o también pode-
siones. Dispone de un menú que Server, E-mail Scanner y Update mos visualizar y gestionar todos los
presta acceso a centro de control Service) que instala este antivirus. registros de análisis en la pestaña
que sirve para configurar las opcio- Es posible reducir la carga del Con- Reports.
www.hakin9.org 67
Para principiantes
Este antivirus suele salir bastan- Contacto rándolos por separado ofreciendo la
te bien parado en las comparativas posibilidad de pausar, detener e ini-
por su alto índice de detección de • SoftWin ciar los módulos por separado. Con
archivos maliciosos pero la realidad • www.bitdefender.com cada cambio el antivirus pregunta si
es bien distinta. No posee protección • support@bitdefender.com se desea mantener ese cambio en
residente por lo que es relativamente • 93 217 91 28 el estado del módulo de forma per-
sencillo burlarlo sin que el usuario se manente o solo en la sesión actual.
percate. No recomiendo en absoluto Lo mejor Cada uno de los módulos dispone
un antivirus sin este tipo de protec- Actualizaciones frecuentes, motor de un contador de escaneos, infec-
ción a pesar de tener un excelente rápido. ciones y tiempo que lleva operativo,
ratio de localización de virus debido este último contador es muy útil para
a su excelente motor de búsqueda. Lo peor saber si en algún momento se ha
También es necesario modificar los No dispone de protección residente. detenido alguno de los módulos por
permisos de usuario debido una un atacante. Una vez configurado de
política bastante restrictiva de per- Avast! 4 Home Edition esta forma y con las opciones perso-
misos, esto es una virtud aunque no Analizamos la versión 4.7.844 de Au- nalizadas que cada usuario estime
lo parezca. tomated Vulnerability Analysis Sup- oportunas a su sistema podemos
Prácticamente todas las aler- port Tool (AVAST), el antivirus gra- actualizar las firmas de virus (Vps).
tas pueden configurarse para que tuito, de uso privado y no comercial Accediendo al Interfaz de Usua-
BitDefender responda a la aparición de Alwil Software. Tiene un periodo rio Simple de Avast! desde el menú
de cualquier tipo de archivo malicio- de 60 días para registrar vía web el de programas podemos configurar
so que detecte. producto poder utilizarlo durante 14 el tipo de escaneo bajo demanda
bdmcon.exe consume unos 9 MB meses con cada registro. Puedes en tres niveles (rápido, estándar
y junto con bdss.exe que con sume registrarte de forma gratuita cuantas y minucioso). Recomiendo marcar el
aproximadamente 26 MB de memo- veces quieras. checkbox de archivos comprimidos
ria forman el grueso del antivirus. Tras la instalación se pregunta al para evitar que se oculten virus en
xcommsvr.exe es el proceso que uti- usuario si desea programar una bús- archivos de este tipo.
lizan varios componentes del anti- queda de virus al inicio del sistema. Tras arrancar el antivirus desde
virus para comunicarse, es mas li- Si respondemos afirmativamente al el sistema operativo realiza un aná-
gero, suele utilizar 3 MB cuando reiniciar el PC se ejecuta una bús- lisis de memoria e inicio analizando
mantiene los buffer de transmisión queda de archivos maliciosos antes todo cuanto esté en la memoria
vacíos. Existen otros dos procesos incluso de cargar ciertos servicios RAM. Incluso analiza el archivo
mas en ejecución con un consumo de Windows. El análisis es algo lento pagefile.sys. Al detectar cualquier
de memoria de menos de 1 MB, son pero muy exhaustivo. tipo de archivo malicioso ofrece la
bdnagent.exe y bdswitch.exe. El programa de instalación insta- posibilidad de mover al Baúl para
Otro aspecto a destacar es el lará los módulos de protección para que no sea posible su ejecución pero
Self-repairing la recuperación del los siguientes componentes: por otra parte, la versión analizada,
antivirus ante ataques contra la inte- permite copiarlo al mismo directorio
gridad de sus archivos sin necesidad • Mensajería instantánea, del antivirus lo que podría suponer
de descargarlos de nuevo. • Protección P2P, un riesgo para el usuario.
Si tenemos conexión el antivirus • Correo de internet, La BDRV (Virus Recovery Data-
intentará contactar con los servido- • Outlook/Exchange, base) es un generador de una base
res de BitDefender para determinar • Escudo de Red, de datos de integridad para la recu-
si hay disponible alguna nueva ver- • Protección Web, peración de archivos implementado
sión del antivirus o de las firmas este • Protección Estándar, por Avast! para verificar si se ha
nos avisa. Además dispone de un • Extensión del idioma español, corrompido alguno de los archivos
modulo capaz de reparar, modificar • Ayuda en español. del sistema. Esta comprobación se
o desinstalar los propios archivos realiza cada 3 semanas o cada vez
del antivirus. Esta herramienta es de Inicialmente configuraremos el es- que se activa el protector de pantalla
gran ayuda si se da el caso de que cáner por acceso de Avast! (icono y si un virus modificase alguno de los
nuestro antivirus sea atacado direc- con a del área de notificación de la archivos de sistema seria detectado
tamente por un cracker. barra de tareas). Aumentaremos la y reparado, en principio. Es muy
sensibilidad del escáner moviendo recomendable utilizar la BDRV en
FICHA la barra de desplazamiento hasta el caso de usar Thunderbird ya que
Alto. Pulsando en el botón Detalles bajo ciertas circunstancias, avast! es
• Valoración 7,1 pasamos a visualizar todos los mó- capaz de corromper toda la bandeja
• Calidad/Precio 7,1 dulos residentes instalados configu- de entrada.
68 www.hakin9.org
Antivirus Gratuitos
También dispone de protección Contacto ahora seleccionaremos los tipos de

a nivel del núcleo del sistema opera- programas que desearemos analizar
tivo para detectar módulos malicio- • Alwil Software según su categoría. Si el usuario
sos que hagan llamadas al kernel. • http://www.avast.com desconoce alguna de las opciones
Aún así no ha sido capaz de detectar • support@asw.cz del antivirus existe una pequeña
el keylogger utilizado en esta com- • +420 274 005 666 descripción de cada una en la parte
parativa. inferior de la ventana que aparece
Los procesos que utiliza este an- Lo mejor tras utilizar el evento click sobre
tivirus requieren un uso de memoria Sencillez y buena tasa de detección. la zona de la opción desconocida.
muy bajo, debido al procesamiento Ayuda en castellano. También se puede acceder a la ayu-
modular tan ramificado que utiliza da (en inglés) del antivirus pulsando
el avast!. ashSimp.exe es el interfaz Lo peor [F1] en cualquier momento.
que junto con AshDisp.exe forman Consumo excesivo de recursos en Volviendo a la ventana principal,
los procesos que ejecuta el usuario; las actualizaciones y buffer overflow marcando en la pestaña Guard po-
mientras que ashServ.exe necesita- en el motor del antivirus. demos comprobar si se ha accedido
rá casi 11 MB para su correcto fun- a algún archivo malicioso ya que es-
cionamiento, un poco excesivo, re- Avira AntiVir Personal te antivirus analiza por defecto cada
quiriendo privilegios de sistema jun- Edition Classic archivo en el que se lee o escribe.
to con ashWebSv.exe y aswUpdSv Avira, los compradores germanos También dispone de un modulo
para las tareas que realizan (ac- del archiconocido CIA Commander, capaz de reparar, modificar o desins-
tualización, servicios de acceso al ofrecen la versión 7 (6.35 en reali- talar su antivirus. Esta herramienta
kernel, etc). dad) de su antivirus gratuito. es de gran ayuda si un atacante
Con cada detección de archivos Este producto dispone de dos malintencionado vulnera el antivirus
maliciosos Avast! dispone de una en- tipos de instalación, una completa como veremos en la parte final del
ciclopedia de virus para conocer y otra personalizada donde permite análisis al antivirus de Avira.
mas detalladamente la amenaza de- seleccionar tres módulos: Otra de las pestañas interesan-
tectada que junto con su completo tes es Quarentin donde podemos
manual de obligada lectura para una • AntiVir Personal Edition Classic ver los virus enviados a la zona de
configuración correcta forma la do- – Módulos de instalación del anti- cuarentena con la posibilidad de
cumentación de este antivirus. virus, enviar archivos sospechosos a Avira
La versión Professional confi- • AntiVir Guard – Modulo de pro- para un análisis mas especializado.
gurada para una protección máxi- tección residente, También permite aislar los archivos
ma da problemas con la opción del • Shell Extension – Integración en de ejecución para analizarlos con
proxy transparente de Avast! si se el menú de Windows Explorer. futuras actualizaciones y restaurar-
utiliza el cortafuegos Zone Alarm. los si finalmente no se consideran
El dia 8 de septiembre se publica Una vez instalado se actualiza auto- maliciosos o eliminarlo.
una vulnerabilidad crítica en el mo- máticamente desde Internet. Abrien- La ligereza de este antivirus es
tor de las versiones anteriores a la do el centro de control del antivirus una característica a destacar ya que
4.7.869 para estaciones de trabajo observamos un sencillo interfaz de solo necesita un proceso en ejecución
y 4.7.660 en la versión para servi- pestañas. Dirigiéndonos al menú continua llamado avgnt.exe que nece-
dores según la cual, al procesar Extras seleccionando Configuration sita poco mas de 5 MB para funcionar.
archivos con compresión LHA y nom- o pulsando [F8 ] desde el Control Si accedemos al Control Center entra
bres de archivos y directorios exten- Center del antivirus accedemos en ejecución avcenter.exe que requie-
didos, se puede provocar un des- a la configuración del escáner. Mar- re aproximadamente 8 MB.
bordamiento en el buffer del motor cando el checkbox con la etiqueta En el análisis bajo demanda apa-
permitiendo así la ejecución arbi- Expert mode se habilitan los niveles rece la ventana del Luke Filewalker
traria de código. de prioridad del escaneo de gran que desvela al usuario información ex-
Como curiosidad existe una web utilidad si se requiere el procesador tra sobre el escaneo. Permite guardar
dedicada a la creación de skins para para ejecutar otras tareas simulta- un registro de análisis muy detallado
el antivirus con numerosas muestras. neas. Marcaremos el radio button en archivos de texto plano y acceder
http://www.avast.com /eng /skins. para el análisis de todos los tipos a una enciclopedia on-line de virus.
html. de archivos por mayor seguridad. El principal problema es que a fe-
Navegando hasta Guard dentro del cha de la realización de esta com-
FICHA árbol repetiremos la misma opera- parativa existe una vulnerabilidad en
ción para que analice todos los tipos el proceso update.exe que permite
• Valoración 6,54 de archivo en la protección a tiempo escribir valores arbitrarios en me-
• Calidad/Precio 6,54 real. Marcando General en el árbol moria, lo que posibilita la ejecución
www.hakin9.org 69
Para principiantes
de cualquier código con privilegios exe que utiliza 4,6 MB. Incluye ver- antivirus gratuito en servidores de
de SYSTEM. Esto se conoce como siones anteriores de EZ Armor, y EZ correo. Se integra perfectamente
una escalada de privilegios local Antivirus y la posibilidad de instalar con Microsoft Exchange y permite
y es utilizada por los crackers para el resto de módulos que conforman su actualización a través de proxy
hacerse con el control total de un sis- la suite de seguridad compuesta con autenticación.
tema una vez que consiguen ejecutar por el antivirus versión 7.2.0.0 con Los usuarios que hayan probado
comandos en remoto con privilegios licencia válida durante un año, cor- el scanner online de la compañía
restringidos. La vulnerabilidad se en- tafuegos, anti-spam y el anti-espías Computer Associates deberían sa-
cuentra en la barra de control de Pest-Patrol (estos tres últimos dis- ber que recientemente se han des-
progreso de update.exe que permite ponibles en la web de eTrust en su cubierto dos vulnerabilidades críti-
aceptar mensajes PBM_GETRANGE versión de prueba de 30 días). cas en su servicio WebScan; una
y PBM_SETRANGE de usuarios in- El interfaz del antivirus se carga permite la ejecución remota de có-
dependientemente de sus privilegios mediante el proceso CAV.exe que digo mediante la explotación de un
y no verifica el parámetro IParam. Es requiere aproximadamente 12 MB de buffer overflow mientras que la otra
conveniente habilitar la protección de memoria en función de la tarea a rea- es debida a que no se validan co-
memoria DEP de Windows y seguir lizar. Es sencillo pero directo, cuatro rrectamente ciertos parámetros lo
una estricta política de usuarios ya botones muestran las principales que permite comprometer la integri-
que de momento el fabricante no ha tareas, escanear el PC, programar dad del control ActiveX del antivirus
corregido esta vulnerabilidad. un escaneo, seleccionar archivos online. Es recomendable desinstalar
y carpetas a escanear o configura- todos los archivos generados por es-
FICHA ción. En las pestañas están dispues- ta herramienta en el PC del usuario
tas otras funciones como actualizar, y mas tarde seguir las instrucciones
• Valoración 6,25 herramientas y la ayuda con solucio- de la web oficial del fabricante.
• Calidad/Precio 6,25 nador de problemas y enciclopedia
de virus. FICHA
Contacto En la pestaña Update encontra-
mos los botones de actualizar el • Valoración 7
• Avira antivirus, programador de actualiza- • Calidad/Precio 7
• Web oficial: http://www.free-av. ciones y configuración del proxy si
com no queremos conectar directamente Contacto
• En castellano: http://original. a Internet.
avira.com Dentro de la pestaña Tools pode- • Computer Associates
• +49 754 500 400 mos ver los objetos aislados dentro • www.ca.com/es/
de la zona de cuarentena, los regis- • 91 768 70 00
Lo mejor tros del escáner y de actualización
Muy ligero para el sistema. completamente detallados. Si se Lo mejor
diera el caso de una infección es re- Interfaz sencillo e intuitivo con ma-
Lo peor comendable pulsar el botón System nual disponible tras su instalación
Vulnerabilidad de escalada de privi- Report para crear un informe de la en formato chm. Uso eficiente de
legios local sin corregir a fecha de situación del ordenador enviándolo memoria.
esta comparativa. al soporte técnico para un análisis
exhaustivo. Lo peor
eTrust EZ Antivirus Este antivirus destaca por el efi- Baja tasa de detección en tiempo real.
De forma gratuita, tras registrarse en ciente uso de memoria que hace con Tiempo excesivo en análisis comple-
http://www.my-etrust.com/microsoft/ dos motores de búsqueda simultá- tos.
Computer Associates ofrece durante neos. Con su instalación, cuatro pro-
un año el antivirus con las certifica- cesos se cargan en memoria: Opinión sobre antivirus
ciones de ICSA, West Coast Labs gratuitos
y Virus Bulletin. • CAVRid.exe: 2,8 MB, La verdadera amenaza y la realidad
En el momento de realizar esta • CAVTray.exe: 4 MB, sobre los antivirus
comparativa solo estaba disponible • Caissdt.exe: 5,35 MB, Son el Yin y el Yang de la infor-
la versión 7.1 en castellano por lo • VetMsg.exe: 3,7 MB. mática, los chicos malos siempre
que las pruebas se realizaron con la juegan con ventaja mientras que las
versión 7.2 en ingles. El proceso de Esta certificado para funcionar con empresas de antivirus van siguiendo
instalación es trivial por su sencillez. Windows Server 2003 Standard, En- las pautas que marcan los virus.
El acceso al Internet Security terprise y Data Center Editions por Esta carrera, liderada desde
Center requiere del proceso caiss. lo que es una buena apuesta como su comienzo por los creadores de
70 www.hakin9.org
Antivirus Gratuitos
virus, es una continua persecución do algunos pasos descritos en el Recordad que un antivirus no
en la que por lo general, aparece manual, se puede integrar prácti- sirve prácticamente para nada en un
un virus innovador, se detecta y sus camente cualquier herramienta de sistema mal configurado por lo que
programadores lo consiguen hacer detección. en próximas entregas de esta revista
indetectable de nuevo. Realmente Una recomendación para mejorar os enseñaremos a defender Windo-
es sencillo manipular un virus co- el rendimiento de los antivirus muy ws con una configuración avanzada
nocido y hacerlo indetectable a cual- a tener en cuenta por los usuarios consiguiendo un grado de seguridad
quiera de estos antivirus analizan- domésticos que utilizan usualmente muy alto.
do su firma o mediante métodos los P2P es mantener lo que se llama Lo mejor: Estos productos son
de ofuscación por lo que tener un higiene de disco. Básicamente esto una alternativa económica a algu-
PC con antivirus no implica que no se reduce a defragmentar y buscar nos antivirus mas caros y no por
pueda contener ningún tipo de vi- clusters defectuosos habitualmente. ello mucho mejores. Son bastante
rus. De otra forma, se puede pasar un rápidos en detectar las amenazas
El suculento mercado de los tiempo excesivo (de varias horas mas habituales como pueden ser
antivirus no es tal como se intenta con el tamaño de los discos duros troyanos conocidos, virus que explo-
vender. Incluso un antivirus desac- actuales) realizando un escaneo en tan vulnerabilidades en los sistemas
tualizado podría facilitar a un ata- busca de archivos potencialmente operativos parcheadas hace tiempo,
cante malintencionado la manera de peligrosos. etc. Si en algún momento vuestros
vulnerar un sistema tomando el con- Volviendo a la comparativa, una PCs funcionan mas lentos de lo ha-
trol completo de este. Los antivirus alternativa muy provechosa es Cla- bitual, realizan operaciones extrañas
comerciales, en su gran mayoría, mWin ya que podemos instalarlo cuando no se trabaja con ellos, no
tampoco ofrecen grandes ventajas comodamente en un pendrive y ana- permiten abrir o cerrar algunos do-
a parte de una buena atención al lizar cuantos PCs necesitemos sin cumentos la instalación y el análisis
cliente. Las últimas versiones de perder tiempo en instalarlo en cada con uno de estos productos es vital
los más aclamados como son Kas- uno de ellos pero no detecta archi- para determinar si la causa posible
persky y Nod-32, recientemente vos maliciosos con compresión 7z. de ese comportamiento es debida
eran pasto de los hackers quienes Destacamos el motor el potente a un virus. BitDefender y avast! des-
explotando desbordamientos o rea- motor del antivirus BitDefender que tacan por el servicio de protección
lizando escaladas de privilegios en unido a un buen ratio de detección de integridad de archivos de que
estos programas eran capaces de hacen de esta herramienta gratuita disponen.
hacerse con el control de los orde- una de las mas interesantes actual- Lo peor: No os dejéis engañar
nadores en los cuales estaban ins- mente. Es una verdadera pena que por la falsa sensación de seguridad
talados. no disponga de protección en tiempo que intentan vender algunas compa-
Cualquier archivo es susceptible real ni análisis del correo electrónico ñías de antivirus. Cuando un fabri-
de ser malicioso, por ello, aconsejo pero si están disponibles en su ver- cante dice que su producto detecta
el servicio de análisis de ficheros sión de pago. el 100% de los virus se refiere a los
de Virustotal que ofrece de forma La solución gratuita de Alwil virus conocidos y de ciertas bases
gratuita Hispasec Sistemas en la Software también ha dado excelen- de datos en las que por supuesto, no
web http://www.virustotal.com don- tes resultado en comparación con el están incluidos los virus recién crea-
de se analizará cualquier archivo resto ya que ha sido capaz de hallar dos. En la tabla de características
con multitud de motores antivirus. algunos troyanos modificados para podéis ver que los antivirus analiza-
También existen herramientas si- hacerlos indetectables. Hará las de- dos configurados en grado máximo
milares para análisis con múltiples licias de los lectores que dan mucha de protección no han conseguido
antivirus como KIMS 1.2, desarro- importancia a la estética con sus detectar mi rootkit KAOS, diversas
llado por Thor, cuya última versión numerosos skins en la web detallada shells inversas o el Kernel Keylogger.
pública puede descargarse de http:// en su análisis. También dispone de Ningún producto es capaz de detec-
remotecontrolstudio.net. La ventaja protecciones para mensajería ins- tar todos los virus existentes por lo
de este programa es que siguien- tantánea y P2P. que un antivirus es una medida de
seguridad muy relativa. Además es
posible que instalando versiones an-
Sobre el Autor... tiguas de estos productos vuestros
ANELKAOS estudia Ingeniería Industrial en España, lleva 13 años coleccionando PCs sean atacados explotando las
virus siendo creador de un buen número de ellos y métodos de intrusión que no son vulnerabilidades descritas en los aná-
públicos. Es un apasionado de los rootkits y la inseguridad informática. Colabora prin- lisis individuales de cada antivirus
cipalmente en elhacker.net y en el live CD Wifislax. Se puede contactar con él a través como por ejemplo Avira AntiVir para
de http://foro.elhacker.net. el que no es muy complicado realizar
el exploit. l
www.hakin9.org 71
Test de consumidores
– Los programas Antivirus
DPI – Diseño de Programación e Integración. Desarrollamos software personalizado de gestión de oficinas,
diseñamos páginas web optimizadas para buscadores y realizamos consultorías de software y hardware con solu-
ciones de ahorro de costes mediante software libre. Usamos las ventajas de las nuevas tecnologías en benefi-
cio de los negocios, aumentando la productividad de su empresa gracias a la informática.
¿El nombre del Antivirus ¿Cuáles son los puntos

y la empresa productora? más fuertes del Antivirus?
Linux: Cortamos el problema de raíz y no usamos Win- Linux: Al no tener, el ordenador nos va mas deprisa, y es una
dows, que es la fuente del 99,999 de los virus. Además tarea menos en memoria haciendo cosas descontroladas.
trabajamos con usuarios sin privilegios sobre la máquina Antivir XP: Como el antivirus es ligero y molesta poco,
y otras medidas básicas del sentido común que dificultan haciendo su trabajo en silencio.
la propagación y la permanencia aun en el caso de pro-
ducirse un problema de estos. ¿Y los débiles? ¿Hay algo que se debería
Antivir XP: Si tenemos que hacer pruebas con Win- cambiar o mejorar?
dows usamos Antivir XP de Avira. Linux: No se puede mejorar.
Antivir XP: Quitaría ese popup de publicidad. Que se
¿El precio y si está adecuado pudiera desactivar mas características que realmente no
a los servicios ofrecidos por el producto? necesitamos siempre en todos los equipos.
Linux: 0 €, si. Es adecuado.
Antivir XP: 0 €, funciona bien. Últimamente abre un ¿Recomendaría este producto a otras
popup al día, lo que es muy molesto. personas? ¿A quién especialmente?
Linux: Si, pero solo a empresas que además cuenten con
¿Cuál fue el motivo de elegir esta marca personal técnico. No usar el antivirus puede mandar el
y si cree Usted que su elección ha sido buena? mensaje equivocado de que no hay que hacer nada, y
Linux: Si, no hemos tenido ningún problema. podría ser catastrófico usado junto con Windows y usu-
Antivir XP: Freeware, serio. Últimamente no tan serio con arios no conscientes.
el detalle este del popup. Si tuviera que buscar otra vez Antivir XP: No, debido a los cambios a peor men-
quizás no lo elegiría. cionados. Como empresa no estoy tan seguro, pues
algunos de nosotros todavía lo preferimos a todos
¿El producto ha cumplido los demás. Especialmente al Norton, pues hemos
con sus expectativas? visto máquinas destrozadas por virus y troyanos con
el Norton impotente o indiferente. No es el único que
Linux: Si. hace que el ordenador vaya mas lento, mete proble-
Antivir XP: Si, hasta estas ultimas actualizaciones donde mas de compatibilidad pero no consigue su objetivo de
ha aparecido publicidad molesta. proteger a los equipos.
Franciso José Gomez Rodríguez – Estudiante de Ingeniería Técnica en Informática de Gestión.

Universidad Politécnica de Madrid Becario en Telefónica I+D . División de Arquitectura de Seguridad.
¿El nombre del Antivirus y la empresa productora? ¿Cuál fue el motivo de elegir esta marca
AVG Free Edition – GRISOFT. y si cree Usted que su elección ha sido buena?
Lo elegí por su trayectoria y por ser gratuito, considero
¿El precio y si está adecuado que es suficientemente potente como para pretegerme y
a los servicios ofrecidos por el producto? lo ha demostrado con el tiempo, apareciendo en los rac-
Gratuito – Esta completamente adecuado a los servicios kings por encima de otros programas de pago.
por supuesto.
72 www.hakin9.org
Antivirus
¿El producto ha cumplido un poco anticuado y eso a la gente no le gusta, a mi per-

con sus expectativas? sonalmente tampoco me molesta en exceso. A veces las
Por supuesto ha estado siempre a la altura. Conside- actualizaciones fallan.
ro que es siempre ha respondido a mis necesidades Levanta demasiados procesos para el control del
y nunca ha dejado mi ordenador saturado. Escanea el sistema. No se si la fiabilidad es total con un numero de
correo entrante de forma rápida y eficaz. procesos elevado.
¿Cuáles son los puntos más fuertes del Antivirus? ¿Recomendaría este producto
Es muy ligero en cuanto a consumo de recursos del siste- a otras personas? ¿A quién especialmente?
ma. Se actualiza todos los días. Los escaneos no son Lo recomiendo a cualquier persona que quiera un anti-
especialmente pesados. Escanea los archivos en tiempo virus que no sea pesado para el sistema y que además
real y en memoria casi ni se nota. sea capaz de protegerle con ciertas garantías. No olvide-
mos que paquetes completos de seguridad como el de
¿Y los débiles?¿Hay algo que Zone Alarm tienen grandes errores y son de pago. Se lo
se debería cambiar o mejorar? recomiendo a gente exigente que además sepa valorar
Creo que debería mejor en el aspecto de interfaz, esta el software libre.
Diego Rivero – Trabaja como administrador de sistemas y redes.

Actualmente estudia Ingeniería Técnica, Informática de Sistemas.
¿El nombre del Antivirus que considero esenciales, que son la seguridad, la efi-
y la empresa productora? ciencia y la velocidad de proceso.
En primer lugar tengo que decir que utilizo los dos En mi modesta opinión creo que sí que la elección fue
sistemas operativos como suele ser habitual, el consa- buena ya que como he dicho antes detecta de manera
bido sistema del señor Puertas (Gates) por las circun- aceptable todo tipo de virus y otro software malintencio-
stancias y Linux por devoción. En la actualidad y para nado. En definitiva me parece un buen antivirus.
mis PC de casa utilizo utilizo AVAST 4.7 en Güindo$ Respecto del antivirus que utiliza mi empresa el Mc-
de la empresa Alwil software y para Linux en la actuali- Afee de momento está dando unos resultados muy bue-
dad no tengo aunque utilicé en su tiempo Panda para nos aunque en mi opinión su motor ralentiza el ordena-
Linux. dor un poco, sobre todo si la máquina en la que se halla
En mi trabajo la empresa utiliza McAfee VirusScan no es muy potente, mi primer ordenador se quedaba col-
Enterprise en su versión 8.0i, ya que evidentemente tra- gado cuando lo instalé, pero eso fue hace tiempo y era la
baja con el omnipresente Window$. versión para ordenador personal.
¿El precio y si está adecuado ¿El producto ha cumplido

a los servicios ofrecidos por el producto? con sus expectativas?
En mi caso, en mis pc de casa que utilizo Avast, si que Cuando lo instalé pensé que se trataba de uno más de los
es adecuado ya que utilizo la versión Home que es gra- antivirus gratuitos que existen en el mercado, pero poco
tuita en esta empresa. Me explico, para mis ordenado- después me di cuenta de que era tan eficiente como el
res de casa y teniendo en cuenta el nivel de seguridad que más. No es que yo sea muy exigente pero me gusta
que necesito pienso que si es el más adecuado. Ofrece saber que estoy protegido como cualquier hijo de vecino
el escaneo en segundo plano, correo, etc., un buen nivel y respecto a los virus informáticos dicen que hay que ser
de Heurística y actualizaciones periódicas. un poco paranoico pues bueno, el antivirus cumple al cien
En el caso de mi vida laboral con el McAfee todo va por cien con mis expectativas ya que ni tengo los datos
muy bien, tienes un antivirus y casi ni te enteras de que que tiene la NASA y los que me interesan procuro hacer
lo tienes. Su precio es 38$. copias de seguridad, así que pienso que me da la protec-
ción que necesito.
¿Cuál fue el motivo de elegir esta marca Respecto del que utiliza mi empresa supongo que
y si cree Usted que su elección ha sido buena? también cumple las expectativas ya que lo siguen utili-
Después de probar y analizar unos cuantos programas zando desde hace tiempo y no hemos tenido problemas
antivirus, al final suele ocurrir como en todos o casi todos de seguridad importantes, al menos que se sepa.
los productos y no me refiero a únicamente a la informáti-
ca ni al software, o sea que ni lo más caro es lo mejor y ¿Cuáles son los puntos
no más barato es lo peor. más fuertes del Antivirus?
En mi caso particular me decidí por Avast por que era Como ya he dicho antes tiene muchas cosas a su favor,
como se suele decir las tres b, bueno bonito y barato, como pueden ser una buena velocidad de ejecución, pro-
ofreciendo un buen compromiso entre unos parámetros tección en segundo plano, escaneo sobre la marcha de
www.hakin9.org 73
páginas web, protección residente y una interfaz simple, mala si pensamos que cuando hay un virus si que nos salta
en la que no caben complicaciones. la alarma, además muy sonora y avisándote de viva voz en
Creo que la velocidad de ejecución, las bibliotecas de español. Por otra parte también sería bueno que se mejorase
virus que se actualizan muy periódicamente y el hecho de que la interfaz de usuario, la considero demasiado simple y espar-
no ralentiza el ordenador cuando se halla trabajando en modo tana, aunque tiene lo necesario, debería ofrecer más opcio-
residente son las mejores cualidades de este programa. nes y siendo un poco más vistosa ganaría mucho.
McAfee es una de las empresas punteras en el
mundo de los antivirus así que ¿Qué se puede decir de ¿Recomendaría este producto
uno de los líderes?, pienso que lo mejor que se puede a otras personas? ¿A quién especialmente?
decir es que pasa desapercibido que no es poco y sólo te Por supuesto y de hecho lo hago a diario en mi trabajo,
das cuenta cuando lo necesitas. a los compañeros que me preguntan por un buen progra-
ma antivirus, pero claro para uso personal, en los orde-
¿Y los débiles?¿Hay algo que nadores de casa, ya que para el uso en una empresa yo
se debería cambiar o mejorar? emplearía una suite de protección que englobase otros
Por supuesto que todo es susceptible de ser mejorado múltiples parámetros y dando por supuesto que se reali-
y en el caso de los antivirus siempre, pero como es natural lo zan copias de seguridad de los datos que sean suscepti-
que el consumidor final necesita es un buen compromiso entre bles de ser protegidos especialmente además de mante-
la versatilidad, la seguridad y la fluidez. En el caso de Avast, nerlos en lugares a los que el acceso sea lo más restrin-
pienso que su punto débil es el hecho de informes instantáne- gido posible y con una política de contraseñas adecuada.
os cuando hacemos un escaner de un archivo en particular Todo depende de lo paranoico que sea uno respecto de la
mediante el botón derecho del ratón, cosa que no es del todo seguridad y los datos que tengamos almacenados.
José Carlos de Arriba Rodríguez, estudiante de 4º año de Ingeniería Informática.

Contacto: josecarlosdear@hotmail.com.
¿El nombre del Antivirus y la empresa productora? de archivos y la monitorización de los procesos en memo-
Sin duda alguna, Kaspersky Anti-Virus, de la empresa ria. No me podría olvidar de la facilidad, calidad y rapidez
Kaspersky Lab. de las actualizaciones de las bases de virus. La tasa de
falsos positivos es extraordinariamente baja, sin aumen-
¿El precio y si está adecuado tar con ello la tasa de falsos negativos.
a los servicios ofrecidos por el producto?
Precio oficial de la versión Kaspersky Anti-Virus 6.0 Profes- ¿Y los débiles?¿Hay algo que
sional: 40€, me parece perfectamente adecuado a las carac- se debería cambiar o mejorar?
terísticas y servicios que nos ofrece el Anti-Virus, lo que se Creo que las mayores críticas de Kaspersky es por el alto
traduce en una más que aceptable relación calidad-precio. comsumo de recursos, pero yo creo que la relación consu-
mo-eficacia es mucho más que proporcional, y el consumo
¿Cuál fue el motivo de elegir esta marca de recursos prácticamente es impercidible por un usuario
y si cree Usted que su elección ha sido buena? con un PC de calidad media. Si quizás pueda notarse en
Creo que la mayor difusión y publicidad de los AV es por el ordenadores un poco antiguos, pero lo que si está claro que
método de boca en boca, especialmente en foros. Después para la eficiencia en la monitorizacion a tiempo real y éxito
de leer comparativas y opiniones sobre diferentes antivirus en las detecciones un pequeño precio hay que pagar.
decidí probar este producto. Pese a que se le tachaba de un Por mi parte mejoraría el método de gestión de la exc-
alto consumo de recursos, las opiniones sobre su calidad y lusión de archivos/carpetas para el análisis y por supuesto
eficacia me hicieron decidirme por probarlo. la que parece ser la espina clavada: el estar por detrás de
NOD32 en el gran trabajo que han realizado sobre la heu-
¿El producto ha cumplido rística. Otra de las cosas a mejorar creo que sería la protec-
con sus expectativas? ción activa sobre las modificaciones no autorizadas en el
Todo se resume en que a día de hoy, desde que lo probé registro del sistema y algo que creo a día de hoy es la pesa-
nunca he tenido la menor intención de usar ningún otro dilla de todos los anti-virus, que no es otra que la detección
software AV en mi ordenador personal, pese a que si haya de archivos maliciosos cuando estos están encriptados.
hecho pruebas con otros con el único fin de valorarlos.
¿Recomendaría este producto
¿Cuáles son los puntos a otras personas? ¿A quién especialmente?
más fuertes del Antivirus? Creo que este producto es recomendado para todos los usu-
En mi opinión el gran punto fuerte de Kaspersky reside en arios de un ordenador personal, exceptuando aquellos que
sus monitorizaciones en tiempo real, tanto sobre el proto- posean una máquina de muy bajas prestaciones, a los que
colo HTTP en tráfico de Internet, el control sobre el sistema recomendaría NOD32 por el menor consumo de recursos.
74 www.hakin9.org
SUSCRIPCIÓN PRO
Más información: es@hakin9.org ; tel.: 00 48 22 887-13-45
Hay algo que me llama la atención, y es que parece
que en cuanto a la elección y cantidad de uso de los distin-
tos antivirus se pueden apreciar claramente dos sectore:
mientras que en usuarios de nivel medio-bajo la antigüe- I-SEC
dad y nombre de productos como McAfee, Panda o Norton Information Security Inc.
les da una clara ventaja, los usuarios de nivel medio-alto Somos una Empresa dedicada y comprometi-
se decantan claramente por NOD32 o el propio Kasper- da íntegramente con la Seguridad de la Infor-
sky. Creo que poco a poco tanto NOD32 como Kaspersky mación. Nuestros Servicios se adaptan a la
irán ganando cuota de mercado en el primer sector. estructura de su empresa, recomendándole
qué es lo mejor para su crecimiento.
Contacto: www.i-sec.org
TECNOZERO es una empresa madrileña dedica-
da a prestación de servicios informáticos y también
a la implantación y desarollo ode nuevas tecnolo-
gías para las pymes. Ofrece servicios de asesora-
Ártica Soluciones
miento, mantenimiento informático, hosting, diseño
Tecnológicas
Ártica es una empresa de consultoría de capi-
Web, equipamiento y seguridad informática. tal nacional formada por profesionales con ex-
periencia en el mundo de las Tecnologías de In-
formación. Nuestro ámbito de actuación está
centrado en diversos sectores: industria, banca,
¿El nombre del Antivirus y la empresa productora? proveedores de Internet, y telecomunicaciones.
Depende de si es servidor o estación de trabajo, y en el Contacto: http://www.artica.es
caso de tratarse de un servidor depende de su función en
la red. Por destacar uno Panda Web Admin Antivirus de
la compañía Panda Software. Flagsolutions
FLAG solutions es una consultoría tecnológi-
¿El precio y si está adecuado ca que se apoya en 4 pilares básicos:la se-
a los servicios ofrecidos por el producto? guridad informática, la ingeniería de siste-
mas, el diseño corporativo y la formación es-
Entorno a los 240 € por actualizaciones durante 2 años.
pecializada para empresas. Proporcionamos
Sí considero que es un importe razonable. soluciones rentables tanto para la pequeña
como para la grande empresa.
¿Cuál fue el motivo de elegir esta marca y si Contacto: www.flagsolutions.net
cree Usted que su elección ha sido buena?
Administración web, buen soporte técnico y precio.
¿El producto ha cumplido con sus expectativas?

Ecija Consulting
Somos una consultora IT líder en asesoramien-
En mi opinión hay poca diferencia entre las compañías antivi- to integral de empresas. Nuestro equipo forma-
rus, puesto que los servicios que ofrecen son casi idénticos. do por abogados, consultores y técnicos, nos
Creo que la elección entre una y otra compañía se basan exc- ha permitido especializarnos en el campo de la
lusivamente en las experiencias que se han tenido con las seguridad informática, aportando a nuestras so-
luciones el valor añadido del conocimiento de la
versiones anteriores. El producto responde como es de espe-
materia desde el punto de vista jurídico.
rar, por lo que si lo considero como una buena elección. Contacto: www.ecija.com, buzon@ecija.com
¿Cuáles son los puntos

más fuertes del Antivirus?
Administración desatendida, vía web y centralizada. Seguridad0
Seguridad0 es una empresa española dedi-
¿Y los débiles?¿Hay algo que cada a la distribución de productos de se-
se debería cambiar o mejorar? guridad informática y la formación. Más infor-
mación en su web corporativa: www.seguri-
El ralentizamiento general del sistema, tras implantar un
dad0.es. Cuentan con una web dedicada a la
antivirus. No cre que sea específico de este producto en divulgación de noticias de seguridad infor-
concreto, sino común a este tipo de software. Además de mática: www.seguridad0.com
esto está el hecho de que cada año aproximadamente
hay que cambiar el producto por uno nuevo, que en esen-
cia es exactamente igual pero con un más bonito.
Kinetic Solutions
¿Recomendaría este producto Empresa especializada en implantación de solu-
ciones de seguridad informática con valor agre-
a otras personas? ¿A quién especialmente? gado, brindamos servicios profesionales de pro-
Si. Administradores de pequeñas redes que deseen centra- tección y detección a intrusiones informáticas.
lizar su solución antivirus de manera simple y económica. l Somos especialistas en diferentes materias de
seguridad de la información para atender a nues-
tros clientes de organizaciones privadas y gu-
bernamentales en España y Sudamérica.
Contacto: info@kineticsl.com
Entrevistamos a Fernando
Bahamonde, Presidente
Entrevista
de ISSA-España
Hablamos con Fernando

Bahamonde, Presidente de ISSA-
España, que nos presenta el ámbito
de actuación de esta organización
internacional, nos cuenta sobre
hacking y ajedrez, sobre el mito
de ser hacker que no pierde su
actualidad y muchas cosas más...
Fernando Bahamonde
hakin9: ¿Cómo conoció ISSA? ¿Cuál fue su En mi opinión el principal atractivo de ISSA-
primer contacto con esta organización? ¿Qué España es que se trata de una asociación in-
es lo que más le ha atraído a ISSA? dependiente, en la que tienen cabida todos los
Fernando Bahamonde: A principios del profesionales y personas involucradas dentro
2002 un colega de los EE.UU me comentó al- del área de la seguridad, desde Chief Security
go acerca de la asociación pero, por desgracia, Officers de empresas a estudiosos del campo
mi tiempo disponible en esos momentos como de la seguridad, teniendo además la gran ven-
siempre en este mundo, era escaso y muy limita- taja de que entre los socios actuales existe una
do. Sin embargo, a finales del mismo año retomé gran representación de todos los campos que
el tema y me encontré que en aquel momento abarca este mundo, desde personas especia-
no existía ninguna asociación que abarcase a los lizadas en criptografía a personas dedicadas
profesionales del campo de la seguridad en las a la seguridad casi física. Lo cual supone un
tecnologías de información en España, y ver que gran atractivo de cara al enriquecimiento co-
no estaba formalizado ningún capítulo de dicha mún, ya que no solo nos centramos en un área
asociación en España, me puse en contacto con específica, sino que concebimos la seguridad
ellos para ver si cabía la posibilidad de crear un como un entorno global que afecta a todas las
capítulo nacional que aglutinase a todas las per- áreas de negocio y de los procesos.
sonas del sector y pudiesen tener un foro común, Como ejemplo yo siempre pongo el mismo
en aquel momento éramos tres personas diferen- ¿De qué vale un firewall si alguien puede entrar
tes las que estábamos interesados en la creación en el CPD y llevarse una copia de seguridad?,
del capítulo en España, así que nos pusieron en por ello es evidente que una composición mul-
contacto y juntando a algunos amigos y conoci- tidisciplinar en una asociación como la nuestra
dos llevamos adelante la creación del capítulo es algo fundamental.
Español, fundando la Asociación Española para h9: ¿Podría decirnos algo sobre ISSA-Es-
la Seguridad en los Sistemas de Información, pa- paña? ¿Qué tipo de organización es? ¿A qué
ra posteriormente ser reconocidos como capítulo se dedica principalmente ? ¿Qué tipo de even-
Español de ISSA Internacional. tos organiza?
76 www.hakin9.org
Entrevista a Fernando Bahamonde
F.B.: ISSA-España podría englobarse en dos puntos, en los responsables de seguridad de organizaciones
por una parte es una asociación sin animo de lucro y por y empresas.
otra es una asociación que aglutina a los profesionales Eventos de formación propios. En esta área comenzamos
del sector, por ello estamos ante dos planteamientos en este año y prevemos presentar en breve un calendario de
similares pero no excluyentes uno de otro. En cuanto eventos de formación esponsorizados por ISSA-España
al funcionamiento interno, somos una organización con orientados a sus miembros y con acceso a terceros.
una estructura básicamente plana, donde existe (a mi Eventos de formación de terceros. Eventos de forma-
apreciación, quizás pueda ser mejorable) una excelente ción facilitados por terceras empresas en los cuales los
interacción entre asociados y la junta directiva. miembros de ISSA-España tienen interesantes ventajas.
El ámbito de actuación de ISSA-España, al igual que h9: ¿En el mundo de la Seguridad Informática
su orientación, puede enclavarse en dos ejes principa- hay mucha demanda de eventos de este tipo? Principal-
les, por una parte nos encontraríamos con la concien- mente,¿quién participa en ellos?
ciación y estudio de diferentes ámbitos y escenarios de F.B.: Actualmente existen diferentes programas de
la seguridad. Y por otra, la formación continua y net- formación, pero basados básicamente en programas
working de nuestros asociados, ya que por el momento de postgrado o bien en certificaciones profesionales, así
contamos con medios de comunicación bastante fluidos como eventos puntuales independientes u organizados
entre ellos, pero estamos desarrollando nuevas vías por fabricantes.
y métodos de intercorrelación entre los asociados, para Pero bien, es cierto que el mercado demanda cada
que exista un mayor eje de debate y comunicación entre vez mas eventos de formación e información cada vez
ellos y sus áreas de interés. mas profesionalizados.
Nuestra asociación no esta formalmente relacionada En la actualidad tenemos básicamente tres tipos de
con una certificación profesional como otras asociacio- perfiles de asistentes a los eventos de seguridad, en pri-
nes similares, aunque en nuestras acciones se encuen- mer lugar nos encontramos con personal de dirección
tra la certificación dentro de estas, dado que la actual y ejecutivo que buscan conocer de primera mano los últi-
tendencia de mercado es la solicitud de ellas para los mos adelantos en la materia, las nuevas amenazas y sus
distintos puestos dentro de las áreas de seguridad y en soluciones, un público exigente en cuanto a la calidad de
los distintos proyectos que aparecen en el mercado. la información facilitada y con un enfoque puro de negocio.
Nuestra política de eventos se ha modificado un poco En segundo lugar nos encontramos a personal de
con respecto a años anteriores, pero nos centramos en departamentos de TI que persiguen vías de mejora en
distintas áreas. Las cuales podríamos englobar en tres sus procesos y desarrollos, con un perfil técnico elevado,
tipos distintos: con problemas y cuestiones concretas, y en tercer lugar
Eventos de difusión, como los organizados dentro del nos encontramos a personas que están trabajando en el
DISI (Día Internacional de la Seguridad de Información) área de las TI, pero sin dedicación al área de seguridad
o en INFOSECURITY, eventos de claro contenido de y estudiantes que buscan ampliar sus conocimientos los
difusión y concienciación dentro de distintas áreas, enfo- cuales demandan conocimiento y muchas veces un foro
cados a todas las áreas y sectores, con un especial foco donde discutir sus ideas.
Figura 1. Página oficial de ISSA-SPAIN Figura 2. Página oficial de ISSA-SPAIN
www.hakin9.org 77
Entrevista
h9: ¿ISSA-España coopera también con otras orga- Bajo mi punto de vista todos somos hackers, pues
nizaciones españolas que actúan dentro del campo de la nos puede la investigación y la curiosidad en muchos as-
seguridad informática? pectos, evidentemente son numerosas las denominadas
F.B.: ISSA-España colabora con distintas asociacio- asociaciones o grupos hacker, pero se han de diferenciar
nes y entidades en la búsqueda de la mejora del campo de aquellos grupos que buscan aspectos lucrativos por
de la seguridad, nuestra colaboración comprende desde la vía maliciosa.
el simple soporte y ayuda en el desarrollo de la segu- Evidentemente las barreras entre el mundo de la se-
ridad en todos los ámbitos a la creación de comisiones guridad informática y el uso de los conocimientos para la
y mesas de trabajo sobre problemáticas concretas, no comisión de delitos es muy marcada. Claro está que el
cerramos nunca las puertas a colaboraciones e iniciati- profesional ha de gestionar la seguridad de los sistemas
vas encaminadas dentro del área de la seguridad. y para ello evidentemente ha de conocer sus amenazas
Nuestro afán como asociación profesional, busca y riesgos, ¿si no qué gestionaría? Si estuviésemos en un
también la colaboración con otras asociaciones similares mundo perfecto, no sería necesario el uso de sistemas de
y buscamos siempre que estas sean de beneficio tanto pa- protección, yo calificaría siempre que son mundos super-
ra nuestros asociados como para el público en general. puestos, en los que los maliciosos han cruzado una línea
h9: ¿Podría contarnos algo sobre los planos de IS- ética y moral de difícil vuelta atrás, que en ocasiones les
SA-España para el año 2007? ¿Cuáles van a ser sus puede lastrar y ocasionar problemas, y otros que usamos
iniciativas más importantes? ¿Qué objetivos se han mar- los conocimientos para un bien y beneficio común.
cado a alcanzar? No obstante, hoy en día a mi opinión se ha de hablar
F.B.: En Diciciembre del año pasado, abordé la presi- de mafias del cibercrimen cuando nos referimos a ame-
dencia de ISSA-España con un programa claro y para mi nazas altamente peligrosas. La gente con ética y moral
de obligado cumplimiento, con en el cual se pretende que no traspasa la barrera.
la asociación tenga un papel más activo dentro de la comu- h9: ¿Usted mismo en algún momento de su vida se
nidad de la seguridad informática, con proyectos de forma- consideraba hacker? ¿Cree Usted que la magia de ser
ción, desarrollo y concienciación que iremos desarrollando hacker es muy fuerte entre los profesionales de seguri-
a lo largo de este año, sin descuidar en ningún momento dad informática? Hay muchos profesionales que guardan
las demás labores de la asociación, como el networking el espíritu del hacker durante toda la vida o en general es
(el cual es muy necesario en esta actividad, dado que no una aventura de juventud?
somos muchos los actores involucrados y opino que de- F.B.: Quien diga que no que levante la mano, pero no
bemos tener un espacio mutuo de relación), las relaciones creo que NADIE en algún momento haya tenido su mo-
con los demás capítulos internacionales, dado que ello nos mento de hacker en mayor o menor medida, pero siempre
aportará otros puntos de vista a los problemas que actual- ha sentido curiosidad por algo y lo ha investigado, si no
mente sufrimos en nuestro área a nivel nacional, y sobre difícilmente puede tener el pensamiento y la capacidad
todo tener un punto común de conexión entre aquellos que necesaria para determinar un grado de seguridad.
trabajamos, estudiamos e investigamos en este área. Para mi opinión la denominación hacker hace más re-
Como iniciativa más importante en este momento ferencia a una forma de pensar y a una visión, no es un pa-
estamos planteando la creación de una mesa de tra- trón de acción malicioso por necesidad, sino una forma y
bajo entre los profesionales de un sector específico, actitud frente al conocimiento, que no ha de ser peyorativo
para juntar en una misma mesa a diferentes partes ni de una actitud ilegal. Realmente creo que con el tiempo
y enfocar los problemas de ese sector, iniciativa que vas teniendo otras perspectivas, pero siempre prevalece
pensamos abordar con distintos sectores de la indus- ese espíritu (necesario en los que administran y revisan la
tria y economía. seguridad) de conocer más allá de los límites preestable-
h9: ¿En su opinión hoy en día hay más asociaciones cidos y pensar como tu posible contrincante.
que reúnen a hackers, en el sentido tradicional de esta Mal comparado esto es como el ajedrez, tienes que
palabra, o asociaciones del tipo de ISSA? ¿Cuál es la adivinar el movimiento del contrario. Es por ello por
relación entre ellas? ¿Son dos mundos diferentes o más lo que siempre un profesional perfecto de este área
bien realidades que se entrelazan? ha de estar actualizado y disponer de una visión en
F.B.: Es evidente que buscado en el underground muchos casos de 360º, ya que ha de conocer a que
nos encontramos con muchos grupos hackers, pero se enfrenta y cuales son las posibles amenazas que
no los veo como grupos asociativos como puede ser ha de gestionar.
ISSA-España, sino que mas bien son núcleos de gente Por desgracia muchas veces esa focalización es
con inquietudes similares que se reúnen para intercam- imposible, por lo cual nunca puede existir un experto
biar conocimiento, numéricamente evidentemente son en seguridad integral, no se puede estar permanente-
mucho más numerosas que las asociaciones de profe- mente estudiando y a la vez trabajando, por lo cual se
sionales de la seguridad informática (aunque muchos pierde esa visión total y se produce una parcelización
de los anteriores acaban recalando en asociaciones o más bien llamémosle especialización en áreas deter-
profesionales). minadas. l
78 www.hakin9.org
Páginas recomendadas
Una especie de portal para la gente a que CyruxNET – allí encontrarás la información Sitio de noticias que brinda la más variada in-
le gusta la informática y la seguridad. Si te gu- detallada sobre las técnicas hack más po- formación en cuanto al mundo de los móviles,
sta este mundo, te gustará elhacker.net. pulares. enlaces, contactos, y mucho más.
http://www.elhacker.net http://www.cyruxnet.org www.diginota.com
Un lugar de encuentro para todos interesados Hack Hispano, comunidad de usuarios en la Un espacio libre para compartir: descargas,
en temas de seguridad que se tratan temas de actualidad sobre nuevas software, programas oscuros, dudas, noticias,
www.daboweb.com tecnologías, Internet y seguridad informática. trucos... y más cosas a ritmo de blues.
http://www.hackhispano.com http://www.viejoblues.com
Aquí encontrarás todo lo que debes saber Tecnología, informática e Internet. Allí encontra- Indaya teaM fue creada por un grupo de per-
www.segu-info.com.ar rás enlaces, foros, fondos de escritorio y una bi- sonas amantes de la informática para ayudar
blioteca repleta de artículos interesantes... a todos los que se interesan por la informática.
http://www.hispabyte.net http://www.indaya.com
Web especializada en artículos técnicos sobre Seguridad0 es un magazine gratuito de seguri- DelitosInformaticos.com revista digital de infor-
Linux. Aquí encontrarás las últimas noticias so- dad informática. Tiene una periodicidad sema- mación legal sobre nuevas tecnologías.
bre Linux y Software Libre, foros. nal, aunque se anaden noticias a diario. www.delitosinformaticos.com
www.diariolinux.com http://www.seguridad0.com
Páginas recomendadas
Si tienes una página web interesante y quieres que la presentemos en
nuestra sección de “Páginas recomendadas” contáctanos: es@hakin9.org
www.buyitpress.com
¡Suscríbete a tus revistas favoritas

y pide los números atrasados!
¡Regalos para nuevos suscriptores!
Ahora te puedes suscribir a tus revistas preferidas en tan sólo un momento y de manera segura.
Te garantizamos:
• precios preferibles,
• pago en línea,
• rapidez en atender tu pedido.
¡Suscripción segura a todas las revistas de Software-Wydawnictwo!
Pedido de suscripción
Por favor, rellena este cupón y mándalo por fax: 0048 22 887 10 11 o por correo: Software-Wydawnictwo Sp. z o. o.,
Bokserska 1, 02-682 Varsovia, Polonia; e-mail: suscripcion@software.com.pl
Nombre(s) ................................................................................................... Apellido(s) ..................................................................................................
Dirección ..............................................................................................................................................................................................................................
C.P. .............................................................................................................. Población ....................................................................................................
Teléfono ..................................................................................................... Fax ...............................................................................................................
Suscripción a partir del No ...................................................................................................................................................................................................
e-mail (para poder recibir la factura) ..................................................................................................................................................................................
o Renovación automática de la suscripción
Título
número de número de
a partir
ejemplares suscripcio- Precio
del número
al año nes
Linux+DVD (2 DVD’s)
12 69 €
Mensual con dos DVDs dedicado a Linux
Hakin9 – ¿cómo defenderse? (1 CD)

Mensual para las personas que se interesan por la seguridad 12 69 €
de sistemas informáticos
Linux+Pack (2 o 3 DVD’s)
8 65 €
Las distribuciones de Linux más populares
MSCoder (1 CD)
6 38 €
Independent magazine for developers using Microsoft platforms
En total
Realizo el pago con:

□ tarjeta de crédito (EuroCard/MasterCard/Visa/American Express) nO CVC Code
Válida hasta
□ transferencia bancaria a BANCO SANTANDER CENTRAL HISPANO
Número de la cuenta bancaria: 0049-1555-11-221-0160876
IBAN: ES33 0049 1555 1122 1016 0876
código SWIFT del banco (BIC): BSCHESMM Fecha y firma obligatorias:
hakin9 24
En el número siguiente,
entre otros:
Próximo número
Securización de aplicaciones PHP

En este artículo, muy práctico y de una gran importancia para todas las
personas que hacen aplicaciones PHP, aprenderéis como escribir código
Defensa
seguro y hacer seguro código antiguo. En el artículo preparado por los espe-
cialistas de la empresa DPI - Diseño Programación e Integración, encontra-
réis una buena información sobre este tema tan importante e infelizmente
poco averiguado. El objetivo principal de este texto práctico y a la misma vez
divertido, es hacer los programadores principiantes de PHP tener un poco
más cuidado y pensar en términos de seguridad.
Ataques DoS en redes WiFi

El artículo describirá mediante ejemplos prácticos y teoría los diversos ata-
ques de denegación de servicio existentes en las redes 802.11 así como las
Ataqve
posibles soluciones que ayuden a mitigar dichos ataques respectivamente.
El lector conocerá la diversidad de ataques DoS existentes en las redes
WiFi, así como las herramientas de las que dispone un atacante para llevar
dichos ataques.
También aprenderás las diversas contramedidas que se podrían utilizar
para mitigar los efectos en cada caso.
Introducción a Single Sign-on

A medida que la World Wide Web ha ido creciendo, tanto en Internet como
Defensa
en las redes institucionales privadas, ha surgido un problema colateral aso-
ciado al acceso restringido a recursos situados dentro de esas redes. Si al
comienzo de los años 90 lo realmente importante era realizar páginas web
con contenido y enlaces de interés, en la actualidad esto se da por supuesto,
y se empieza a pensar en acceder a contenidos situados dentro de redes
privadas o en plataformas software instaladas en dichas subredes, cuyo
acceso debe ser por lo general limitado de algún modo. Lo mismo ocurre en
empresas en las que se ofrecen varios servicios software con identificación.
La solución ideal para integrar la autenticación de todos estos servicios en
uno se conoce como "single sign-on", y en este artículo veremos en qué
consiste.
En CD:
• Hakin9.live: distribución bootable de Linux
• tutoriales: ejercicios prácticos de los problemas tratados en los artículos
• documentación adicional
• versiones completas de aplicaciones comerciales
Información actual sobre el próximo número

– http://www.hakin9.org/es
El número está a la venta desde principios de Mayo de 2007.
La redacción se reserva el derecho a cambiar el contenido de la revista.

Revista Hakin9 n23 04-2007 ES

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Revista Hakin9 n23 04-2007 ES

Enviado por

Direitos autorais:

Formatos disponíveis

hakin9

Las personas interesadas en cooperación rogamos

Ofuscación de Código en Java 56 e-mail: monikag@software.com.pl

Imprenta: 101 Studio, Firma Tęgi

sobre los programas antivirus.

Entrevista 76 La revista hakin9 es editada en 7 idiomas:

www.hakin9.org hakin9 Nr 2/2006 5

Videos y fotos de la Descubren software malicioso para Skype

Principales consejos Internet Explorer 6: 284

E l phishing se basa en mensajes

Un internauta condenado Telefónica pone a disposición de Pymes,

Proyecto Telefónica On-line

Encuentran múltiples vulnerabilidades Spyware de Nueva

D iferentes lectores de archivos

• Manage Files: En esta opción encontraremos algu-

Virus Organizer Stats

Figura 5. Página oficial de Virus Trading Center

Víctor López Juárez

Albert Einstein una vez dijo: La formulación de un problema

que carece de un programa asociado Tabla 1. Claves de configuración personal

Tabla 2. Las claves utilizadas por el sistema

Carpeta o clave Descripción

HKEY_CU- Contiene información acerca del perfil de hardware

Restringiendo el acceso la clave que deseamos configurar,

eliminando el propio Editor del Regis- Consecuencias características de seguridad el aplica-

de acceso al regedit.exe es posible

la restricción de acceso al editor del

¿Quieres pagar menos?

por suscripción es más

Nombre(s) ......................................................................................... Apellido(s)........................................................................................

C. P. ................................................................................................... Población, provincia ........................................................................

Teléfono ............................................................................................ Fax ....................................................................................................

E-mail ................................................................................................ Suscripción a partir del N° ..............................................................

Precio de suscripción anual Absender-Daten

Realizo el pago con:

Ezequiel Martín Sallis

El Estándar Bluetooth, nacido en 1994 y formalizado en 1998

2006 Thierry Zoller llevo a cabo la

José Carlos Cortizo Pérez, Diego Expósito, Diego Peces

El gran crecimiento del comercio electrónico y del B2B (Business

Este documento busca repensar la seguridad de la información

En segundo lugar tenemos las

y corrigiendo, cuando es posible, o li- MAYORES VULNERABILIDADES

Arquitectura Cultura Estándares y

Infraestructura Prácticas Procedimientos

Figura 3. Modelo de Administración de la Inseguridad Informática

Carlos Javier Fornés Cabrera

Todo ordenador o sistema informático está expuesto a una serie

Como es un infector de archivo ve-

virus cambia su punto de entrada

Virus de sector de arranque

usuario que supuestamente lo en- nándoles un tamaño de 0 bytes, con

La velocidad de diseminación se- • Los primeros 99 hilos los utlizará

TFTP (IP atacante) GET (Blaster)

Después seguirá buscando máqui-

Su difusión se puede observar en la

programa Valor: "avserve.exe" = C:\WINDOWS\

Los actuales lenguajes de bytecodes como Java presenta

Listado 1. Código de ejemplo sobre el que se va a trabajar

Indica la cantidad de espacio en la Con esto ya tenemos suficiente

Analizamos seis antivirus gratuitos para los sistemas operativos

en http://free.grisoft.cz.softw/70free/ nes de los análisis. Dentro de la trol Center en memoria gracias a la

También dispone de protección Contacto ahora seleccionaremos los tipos de

¿El nombre del Antivirus ¿Cuáles son los puntos