uf4 - seguretat activa

Seguretat activaJosep Pons Carri

Seguretat informtica

Seguretat informtica Seguretat activa

ndex

Introducci 5

Resultats daprenentatge 7

1 Seguretat activa 91.1 Fallades de seguretat: plans de contingncia . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

1.1.1 Fallades de seguretat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111.1.2 Plans de contingncia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

1.2 Utilitzaci de mecanismes per a la verificaci de lorigen i lautenticitat daplicacions . . . . . 161.3 Utilitzaci de tcniques de recuperaci de dades . . . . . . . . . . . . . . . . . . . . . . . . . 18

1.3.1 Cpies de seguretat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181.3.2 Recuperaci sense cpies de seguretat . . . . . . . . . . . . . . . . . . . . . . . . . . 20

1.4 Sistemes didentificaci: signatura electrnica i certificat digital . . . . . . . . . . . . . . . . 221.4.1 Certificat digital . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231.4.2 Signatura electrnica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

1.5 Obtenci didentificacions electrniques, s de signatura electrnica . . . . . . . . . . . . . . 25

2 Alarmes i incidncies de seguretat 272.1 Detecci i resoluci dincidncies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

2.1.1 Detecci dincidncies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342.1.2 Resoluci dincidncies mitjanant les instruccions pertinents . . . . . . . . . . . . . 34

2.2 Interpretaci i utilitzaci com a ajuda de documentaci tcnica . . . . . . . . . . . . . . . . . 372.3 Documentaci de les incidncies de seguretat . . . . . . . . . . . . . . . . . . . . . . . . . . 38

3 Protecci contra programari malicis 393.1 Virus i programes maliciosos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

3.1.1 Caracterstiques comunes als diferents tipus de virus . . . . . . . . . . . . . . . . . . 453.1.2 Grau de perillositat del programa malicis . . . . . . . . . . . . . . . . . . . . . . . 453.1.3 Grau de propagaci del programa malicis . . . . . . . . . . . . . . . . . . . . . . . 463.1.4 Danys causats per un programa malicis . . . . . . . . . . . . . . . . . . . . . . . . . 463.1.5 Mitjans i mtodes que utilitza el programari malicis per atacar . . . . . . . . . . . . 473.1.6 Situacions en qu el vostre sistema corre el risc dinfectar-se . . . . . . . . . . . . . . 483.1.7 Mtodes per evitar el programari malicis . . . . . . . . . . . . . . . . . . . . . . . . 49

3.2 Installaci, prova, utilitzaci i automatitzaci deines per a la protecci i desinfecci deprogramari malicis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52

Seguretat informtica 5 Seguretat activa

Introducci

La seguretat activa s una part de la seguretat informtica que comprn, especi-alment, les parts de la seguretat que es mantenen sempre alerta i tenen un paperms important en el funcionament del dia a dia del vostre sistema informtic.

Aquesta part de la informtica s la que est ms destinada a aturar i minimitzarels atacs que pot patir la vostra mquina. Igualment, t lobjectiu de disminuir elsefectes que aquests atacs puguin produir en el vostre sistema informtic.

Entenent que la seguretat al cent per cent no existeix, sintentar que sigui alms elevada possible, tant per intentar evitar un desastre en el sistema com perminimitzar-ne els efectes si es produeix.

En aquesta unitat formativa tamb es treballaran altres aspectes de la seguretat,com la signatura i el certificat digitals, que pretenen que la xarxa global sigui unespai ms segur per fer-hi tota mena de transaccions econmiques i dinamitzar,aix, aquest sector. Alhora, faciliten fer aquest tipus dintercanvis a lusuariquotidi i a les petites i mitjanes empreses.

Aquestes certificacions tamb faciliten la comunicaci del ciutad amb les insti-tucions, que cada vegada ofereixen ms gestions a lusuari per mitj dInternet.

En aquesta unitat aprendreu quines sn les fallades de seguretat ms corrents icom evitar-les o reduir-ne limpacte. Igualment, coneixereu quins sn els atacsms comuns i com us en podeu protegir. Tamb aprendreu a installar, configurari mantenir actualitzat un programa antivirus per evitar, tant com sigui possible,lentrada de programari malicis en el vostre sistema.


Resultats daprenentatge

En finalitzar aquesta unitat lalumne/a:

1. Aplica mecanismes de seguretat activa, descriuren les caracterstiques irelacionar-les amb les necessitats ds del sistema informtic.

Segueix plans de contingncia per actuar davant fallades de seguretat.

Identifica els mecanismes de protecci del sistema contra virus i programesmaliciosos per assegurar i verificar la seva actualitzaci.

Verifica lorigen i lautenticitat de les aplicacions que sinstallen en elssistemes.

Installa, prova i actualitza aplicacions especfiques per a la detecci ieliminaci de programari malicis, automatitzant tasques de protecci i dedesinfecci.

Aplica tcniques de recuperaci de dades.

Descriu sistemes didentificaci com la signatura electrnica, certificatdigital, entre daltres.

Obt i utilitza sistemes didentificaci com la signatura electrnica, cer-tificat digital, entre daltres, amb la finalitat bsica de la signatura dedocuments i demissatgeria electrnica, seguint la documentaci que descriuels procediments.

Interpreta la documentaci tcnica associada, fins i tot en cas destar editadaen la llengua estrangera ds ms freqent al sector, i utilitzant-la dajuda.

Detecta i resol les alarmes i les incidncies de seguretat seguint les instruc-cions pertinents.

Realitza la documentaci adient sobre les incidncies de seguretat, segonsindicacions de ladministrador.


1. Seguretat activa

La seguretat activa inclou una srie deines, com els programes antivirus, els pro-grames que rastregen el trnsit dinformaci per mitj de la xarxa, la configuracidels sistemes operatius i de les diferents aplicacions, la realitzaci de cpies deseguretat tant de les dades com de la configuraci del mateix sistema, les einesde control i verificaci del programari i les actualitzacions corresponents, lescertificacions digitals i altres utilitats.

Tots aquests elements configuren la part de la seguretat informtica coneguda coma seguretat activa, que est destinada a disminuir els efectes nocius en els sistemesi a recuperar aquests sistemes de la manera ms rpida possible.

En lapartat de la seguretat activa, la seguretat informtica ha destar destinada aactuar sobre una srie delements del sistema informtic, com el sistema operatiu,les aplicacions, els sistemes identificatius, els plans de contingncia en cas defallades de seguretat, la recuperaci de dades i, duna manera molt especial, lesintrusions de virus i altres elements nocius per al sistema informtic.

1.1 Fallades de seguretat: plans de contingncia

Els vostres sistemes informtics estan seriosament afectats tant per lexistnciadels coneguts hackers, crackers, pirates telefnics (phreakers) i wannabes, quemitjanant les intrusions en el sistema, el malmeten i hi produeixenmoltes falladesde seguretat; com per lexistncia de virus, cavalls de Troia, cucs, programesespia (spyware), pesca (phishing) i correu brossa (spam), que tamb malmetenel sistema duna manera significativa.

Els atacs i les intrusions dels hackers poden anar des de la simple obtenci din-formaci fins a la supressi de dades o lapoderament de la mquina. Igualment,els virus i la resta de programari malicis poden alentir el funcionament de lamquina, collapsar el correu o b acabar impedint que la mquina funcioni.

Tenint en compte que la seguretat total no existeix i que sempre hi haur alg capade superar totes les barreres i entrar en un sistema, cal que mantingueu la seguretatdels vostres sistemes informtics i que sempre intenteu prevenir les situacions derisc. En aquest sentit, la vostra seguretat comenar per installar i configurarcorrectament el sistema operatiu.

Heu de tenir en compte que, actualment, disposeu de dos tipus de sistemesoperatius, els sistemes operatius de pagament i els sistemes operatius conegutscom a programari lliure. A part de la diferncia que hi ha en la manera de produircada sistema i del fet que un s de pagament i laltre no, tamb hi ha difernciespel que fa a la seguretat i la quantitat de virus.

Un sistema informtic, comtot sistema, s el conjunt departs interrelacionades,maquinari, programari irecursos humans.

Programari lliure

El programari lliure (en anglsfree software) s el programarique pot ser usat, estudiat imodificat sense restriccions.Tamb es pot copiar iredistribuir, tant en una versimodificada com en una versisense modificar. Tot aix es potfer sense cap restricci o ambunes restriccions mnimes pergarantir que els destinatarisfuturs tamb tindran aquestsdrets.


Tallafoc

Un tallafoc (firewall en angls,que originalment vol dir mur

ignfug), s un element demaquinari o programari utilitzat

en una xarxa dequipsinformtics. Serveix per

controlar les comunicacions, quepermet o prohibeix segons lespoltiques de xarxa que hagi

definit lorganitzaci responsabledaquesta xarxa.

Una vegada escollit el sistema operatiu i installat en la mquina, caldr configurar-lo correctament. Per fer-ho, anireu al centre de seguretat i activareu les actualitza-cions del sistema perqu sempre tingui les ltimes actualitzacions. Quan creeu elsusuaris, noms els donareu els privilegis necessaris perqu puguin fer les tasquespertinents. Igualment, escollireu com han de ser les contrasenyes per a aquestsusuaris. Heu dintentar que siguin difcils per evitar que alg que intenti desxifrar-les ho aconsegueixi.

Igualment, hi ha tot un ventall dopcions de configuraci del sistema que tindreuen compte. Per exemple, en els sistemes de propietat, podreu activar lopcide visualitzar sempre les extensions dels arxius. Daquesta manera, quan rebeuun correu electrnic amb un arxiu adjunt, encara que suposadament sigui duncontacte de confiana i larxiu tingui una icona coneguda (com ara la dun arxiudel processador de textos Word), abans de fer-hi un doble clic al damunt, si veieuque t una extensi .exe, no lobrireu, ja que probablement cont un codi malicisque sexecutaria en el moment dobrir-lo.

Els sistemes operatius tamb us ofereixen la possibilitat de crear i automatitzar lescpies de seguretat, tant per a dades guardades com per a la mateixa configuracidel sistema. Daquestamanera, podreu recuperar el vostre sistemams rpidamenti retornar-lo a la configuraci personalitzada.

Una vegada installat el sistema operatiu, installareu les aplicacions. Una bonamesura de seguretat consisteix a installar noms les aplicacions que necessiteu.Les heu de tenir controlades, perqu si en algun moment detecteu una aplicacique no haveu installat, ja sabreu que es tracta duna intrusi. Cal que us assegureuque les aplicacions que installeu sn autntiques i tenen la llicncia corresponent.Tamb conv que mantingueu les aplicacions actualitzades.

Seguidament, installareu i mantindreu actualitzat un programa antivirus i untallafoc.

Un antivirus s un programa informtic que intenta identificar, aturar ieliminar virus informtics i altres tipus de programari malicis (malware).

Els programes antivirus solen fer servir dues tcniques diferents per aconseguirlobjectiu que tenen. Sn les segents:

Examinar (escanejar) arxius per buscar-hi virus coneguts que sajustin ales definicions recopilades en un diccionari de virus.

Identificar comportaments sospitosos de qualsevol programa informticque puguin suggerir una infecci. Aquesta anlisi pot incloure captures dedades, monitoratge de ports i altres mtodes.

La majoria dels antivirus comercials utilitzen ambdues tcniques. Especialment,la del diccionari de virus.

Fins i tot podeu anar ms enll i controlar quins ports t oberts el vostre sistema.Daquesta manera, podeu indicar-hi que noms estiguin oberts els que realment


necessiteu per treballar, cosa que dificulta lentrada dintrusos. Igualment, podeuposar contrasenyes a les carpetes o codificar els arxius que heu creat.

Totes aquestes actuacions estan destinades a impedir que els atacs externs alvostre sistema tinguin efectes nocius mnims. Per qu passa si no podeu evitarels efectes del programari malintencionat o les intrusions de persones que hanaconseguit saltar-se totes les barreres? Hi ha una part de la seguretat activa queactua en aquestes situacions; sn els plans de contingncia. Cal que estigueuprevinguts per actuar en les situacions en qu el sistema ha estat vulnerat per talque els danys hi siguin mnims i la recuperaci sigui al ms rpida possible.

1.1.1 Fallades de seguretat

Els errors en seguretat poden afectar tant la part del maquinari com la delprogramari. Predominantment, per, afectaran les dades que teniu guardades enel sistema, ja que seran, en la majoria dels casos, lobjectiu dels possibles atacsexterns.

En el vostre sistema, la majoria derrades de seguretat es produeixen en els navega-dors, el correu electrnic, els paquets ofimtics i les aplicacions relacionades ambla reproducci multimdia. En els servidors, la majoria derrades de seguretates produeixen en els serveis daplicacions web, les eines dadministraci delsservidors i el programari de bases de dades. Especialment, hi ha aplicacions, comles de missatgeria instantnia i les de compartici darxius P2P, que sn una fontimportant dentrada de virus i programes maliciosos. Aix s degut a la maneracom funcionen, que necessita lobertura de determinats ports a la vostra mquina,i tamb al fet que sn aplicacions amb un gran nombre dusuaris.

Mantenir aquestes aplicacions degudament actualitzades amb les ltimes actualit-zacions de seguretat s un primer pas per millorar la seguretat del sistema. Laltrepas s installar i actualitzar un antivirus i un tallafoc.

Aquestes fallades de seguretat permetran atacs en el vostre sistema. s possibleque es detectin rpidament si consisteixen, per exemple, a canviar el contingutduna pgina web. Contrriament, tamb s possible que els efectes de latac noes detectin fins al cap de molt de temps o, fins i tot, que no es detectin mai. smolt important detectar rpidament un atac per tal de minimitzar-ne els efectes irestaurar el sistema com ms aviat millor.

Els efectes dels atacs produts per una fallada de seguretat poden ser de diversostipus, des de lapoderament dinformaci fins a la installaci de programes nociuso la corrupci del sistema operatiu o dalgunes de les aplicacions installades.Aquestes accions poden ser especialment greus si es produeixen en empreseso institucions que tinguin dades personals susceptibles. I encara ms greus siintercepten les dades bancries o les duna targeta electrnica, ja que desprs lespodran utilitzar.

Per tant, s molt important evitar totes aquestes errades de seguretat, ja que lesconseqncies que sen derivin poden ser molt importants. De totes maneres, no


s fcil evitar-les. Fins i tot els sistemes que tenen ms seguretat, com la NASA iel Pentgon, alguna vegada han patit atacs de hackers que hi han aconseguit entrar.

Els hackers han arribat a atacar elPentgon, seu del Departament de

Defensa dels EEUU.1.1.2 Plans de contingncia

Quan detecteu una intrusi, el sistema mostra els efectes dhaver patit una intrusio cau, cal que disposeu de mecanismes per minimitzar els efectes de latac irecuperar el sistema com ms aviat millor. Per aconseguir-ho, hi ha els plans decontingncia.

Aquests plans de contingncia tenen la mxima utilitat en les empreses o institu-cions, ja que s en aquests llocs on els efectes dun atac poden ser ms importantso tenir ms impacte.

Entenem per pla de contingncia el conjunt de procediments alternatiusa loperativitat normal de cada empresa, la finalitat dels quals s permetreel funcionament de lempresa fins i tot quan alguna de les funcions deixadoperar a causa dalgun incident, tant intern com extern a lorganitzaci.

El pla de contingncia ha de ser un pla que permeti a lempresa o la institucipoder continuar funcionant quan hi ha alguna incidncia de seguretat. Alhora, hade donar instruccions que indiquin com sha de resoldre i com sha dactuar. Aixdoncs, lexistncia daquest pla s molt important. En cas que no hi fos, elaborar-lo hauria de ser una prioritat.

El fet de preparar un pla de contingncia no implica reconixer que la gesti delempresa s ineficient. Al contrari, s un gran avan a lhora de superar totesles situacions de risc que poden provocar prdues importants. Poden fer que esperdi material, per tamb provocar que el negoci es paralitzi durant un perodede temps ms o menys llarg.

Si hi ha aquest pla, cal tenir-lo a labast. Tamb conv que les personesresponsables de dur-lo a terme segueixin les instruccions duna manera rpidai precisa.

Lelaboraci dun pla de contingncia consta de les fases segents:

1. Avaluaci

2. Planificaci

3. Proves de viabilitat

4. Execuci

5. Recuperaci


Les tres primeres fases de lelaboraci fan referncia a la part preventiva: analitzari avaluar els riscos del sistema en qesti, fer una planificaci de les accions queshan de dur a terme per protegir el sistema i comprovar-ne leficcia mitjanantles proves de viabilitat.

Les dues ltimes fan referncia a lexecuci del pla una vegada ja ha ocorregut elsinistre en el sistema: quins passos shan de seguir una vegada sha detectat unatac i com es far la recuperaci del sistema.

Lavaluaci, la planificaci i les proves de viabilitat dependran de cada sistema enparticular. Daquesta manera, per dur-les a terme, shaur de tenir en compte dequins elements consta el sistema, quines dades cal protegir, etc.

Ara veureu un exemple dels dos ltims punts dun pla de contingncia en unsistema senzill, com el que podreu tenir a casa o el que podria tenir una empresapetita. Aquests dos ltims punts fan referncia a les actuacions que cal seguirquan es detecta una intrusi en el sistema. La intrusi es pot detectar perqu,per exemple, lordinador t un comportament diferent, en desapareixen arxius,funciona amb molta lentitud, etc. Quan se sospita que hi ha algun atac que afectael sistema, cal actuar amb rapidesa, ja que sempre val ms curar-se en salut.

Els dos primers punts de lexemple segent corresponen a lapartat dexecuci illtim, al de recuperaci.

1) La primera cosa que heu de fer s allar lordinador per evitar que latacantcontinu actuant. Per fer-ho, tancareu totes les aplicacions que sestan executanten lordinador i guardareu els arxius de dades que estiguin utilitzant aquestesaplicacions.

En cas que lordinador actu com a servidor, cal parar temporalment tots els serveisi recursos que sestiguin executant. Aix, evitareu que latac es propagui alsordinadors clients.

Per evitar que latac es propagui a altres ordinadors, en cas que lordinador infectatestigui connectat a una xarxa, s recomanable desconnectar-lo i, si s possible,fins i tot desconnectar-lo fsicament. Tamb s recomanable bloquejar tots elscomptes dusuari de lordinador, excepte el dadministrador. Daquesta manera,sevitar que sexecutin ms programes a lordinador i que interfereixin en lestasques dadministraci. Igualment, evitar que latac afecti ms arxius de dadesi programes.

El pas segent s intentar veure quina vulnerabilitat utilitza latac per sabotejarlordinador. La millor manera de saber qu hi passa s mirar quins programes shiestan executant. Abans, per, shan de tancar tots els programes que sestavenutilitzant. Shaur de mirar quins sn els consums de memria i de processadorde cada programa i servei que quedin en execuci. Per fer-ho, si es tracta dunsistemaWindows, podeu utilitzar ladministrador de tasques, tal com podeu veureen la figura 1.1. En cas que es tracti de Linux, podeu fer servir el monitor delsistema.


Figura 1.1. Administrador de tasques dun sistema Windows

Daquesta manera, podrem trobar laplicaci que paralitza el sistema i aturar-la.Conv apuntar el nom del programa i el de lexecutable associat. Si ho fem,desprs el podrem buscar i comprovar si aquesta aplicaci hauria destar installadai si cal eliminar-la del sistema. Els serveis poden proporcionar una altra pista, talcom es pot veure en la figura 1.2.


Figura 1.2. Serveis en un sistema Windows

Quan mireu els que es troben en execuci, podreu veure si hi ha algun servei queconsumeix ms s de processador del compte. Si veieu que hi apareixen arxiusnous amb noms i extensions estranyes, nhaureu de veure el contingut amb alguneditor de text, com el Bloc de notes si parlem de Windows o leditor Vi si parlemde Linux. Daquesta manera, potser podreu saber quin tipus datac patiu.

Podria ser que hi apareguessin aplicacions que no heu installat. En aquest cas,les haureu de desinstallar. Tamb haureu de desinstallar les aplicacions quetinguin noms molt estranys. Sempre s millor desinstallar un programa i tornar-loa installar que no pas tenir-ne un dinstallat que perjudiqui la mquina.

2) Seguidament, sintentar posar remei a la vulnerabilitat que utilitza latacant.No sempre podreu saber amb exactitud quina vulnerabilitat concreta utilitza latac,per s que us podreu fer una idea aproximada de la procedncia daquest atac. Elms convenient s buscar una actualitzaci de seguretat que elimini la fallada deseguretat en laplicaci o en el mateix sistema operatiu.

Desprs dactualitzar lordinador, cal eliminar els serveis que es trobin actius idesinstallar les aplicacions dubtoses. Tamb convindria fer una cerca exhaustivaen lordinador amb un antivirus actualitzat per eliminar els possibles virus queel puguin estar infectant i atacant. Tamb seria recomanable installar algunprograma antiespia (antispyware) per eliminar els programes espia, tant dadrecesde correu com de publicitat no desitjada, que podrien estar alentint lordinador.


3) Finalment, caldria reparar els danys que pugui haver provocat latac. Pertal de recuperar les dades perdudes i tamb les que es puguin haver danyat,nhi haur prou amb restaurar lltima cpia de seguretat que tingueu de lesdades. Tindreu cpies de seguretat si heu fet una bona planificaci en lapartatcorresponent del pla de contingncia.

s possible que hagueu de reinstallar algun programa si sha danyat. Unavegada fet aix, s recomanable canviar les claus daccs dels usuaris delordinador.

Us haureu de replantejar els permisos dels usuaris. Finalment, restaurareu laconnexi de xarxa, desbloquejareu els comptes dusuari i reiniciareu els serveisque shavien aturat. El millor s reiniciar lordinador per tal que tots els serveis,ara que ja estan desbloquejats, es tornin a activar.

Seria molt important poder localitzar i identificar qui ha estat lintrs. Perfer-ho, heu de ser capaos de trobar les pistes que ha anat deixant al llarg delatac, ja que lordinador guarda informaci dels accessos que hi ha hagut. Tambpodeu registrar les aplicacions que estan actives per cercar incidncies en elsarxius, tant propis com del sistema, i el trnsit que la xarxa ha mantingut. Ambaquesta informaci es podr determinar si latacant s un treballador de lempresao procedeix de la xarxa externa. Tamb es podr saber si utilitzava alguna tcnicade connexi illcita a la xarxa corporativa. De totes maneres, latac tamb potser culpa dun descuit de lusuari de lempresa o del mal funcionament dunaaplicaci en concret. La localitzaci de lintrs, doncs, us ajudar a corregir lerrori a prendre les mesures necessries per evitar-lo en un futur.

1.2 Utilitzaci de mecanismes per a la verificaci de lorigen ilautenticitat daplicacions

La majoria dels fabricants de programari, especialment en cas de sistemes ope-ratius, disposen de mecanismes de distribuci dactualitzacions de seguretat perals productes. El document analitza els mitjans de seguretat adoptats amb aquestafinalitat i posa una atenci especial en la verificaci de lautenticitat i la integritatdel paquet que sest installant.

Les formes de verificaci ms conegudes sn les segents:

Signatura digital del fitxer: s la ms fiable i permet verificar lactualitza-ci fora de lnia. Quan intentem installar un arxiu que hem descarregatdInternet, el sistema busca el fabricant i la signatura electrnica ambel certificat corresponent i lorigen. A ms, comprova lautenticitat i lavalidesa del certificat. Si troba el certificat corresponent ens avisa i ensdemana si lacceptem o no. En canvi, si no el troba ens apareix el missatgeque podem veure en la figura 1.3, en qu ens ofereix la possibilitat decontinuar la installaci sense el certificat.


Figura 1.3. Certificaci de programari en entorn Windows

WGA (Windows Genuine Advantage, Avantatges de Windows Original) sun sistema contra la pirateria creat per Microsoft. Una vegada installat,fora el sistema operatiu a una validaci en lnia per detectar si el Windowsque sexecuta s genu o no. Aquesta comprovaci s necessria per accedira Windows Update, les actualitzacions de Windows o per descarregar alguncomponent de Windows des del centre de descrregues de Microsoft.

El WGA cobreix, especficament, el Windows XP i el Windows Vista. Nocobreix, doncs, el Windows 2000, el Windows Server 2003 ni la famlia delWindows 9x.

OGA (Office Genuine Advantage, Avantatges de Windows Original) s unprograma de Microsoft similar al WGA que acabeu de veure. En aquestcas, per, requereix que els usuaris de Microsoft Office validin la cpia perdescarregar actualitzacions no crtiques del programa i altres elements comcomplements, agregats, etc. Aix s diferent de lactivaci del producte,que s necessria per utilitzar-lo. La validaci, en canvi, s necessriaper descarregar arxius i actualitzacions de Microsoft Office des del web deMicrosoft. La validaci rebutja les claus del producte no vlides. LOGAcobreix lOffice XP, lOffice 2003 i lOffice 2007.

Aplicaci de lalgorismeMD5 o funcionsHASH. En el cas del programarilliure, tot aquest tema de les certificacions no t sentit, ja que s lliure, alabast de tothom i tothom el pot veure i modificar. Igualment, pel fet deser lliure, no cal pagar-lo. Per totes aquestes raons, no hi ha cap fabricantamb la certificaci electrnica corresponent, per s que hi ha mecanismesde control i certificaci. Si no hi haguessin mecanismes de control, com


que s lliure i tothom pot modificar-ne el codi, alg podria modificar partsdel codi dels paquets i redistribuir-los; fins i tot alguna part daquest codipodria ser malicis. Per tal devitar aquestes situacions, en lmbit del codilliure es verifica la integritat del paquet que estem installant per assegurarque larxiu que hem descarregat no ha sofert cap modificaci des que elsautors el van fer disponible per descarregar-lo. En molts casos, per verificarla integritat dels paquets, sutilitza lalgorisme MD5, que obt un nmeroa partir de les operacions que fa sobre el contingut de larxiu en concret.El valor que hem obtingut daplicar aquest algorisme a un mateix arxiusempre ser el mateix, de manera que els autors del programa calculenaquest nmero i el fan pblic en la zona de descrrega. Quan lusuari fala descrrega, noms ha de tornar a calcular aquest valor per comprovarque el nombre que ha obtingut i el de la web coincideixen. Daquestamanera, sassegura que larxiu que ha descarregat no sha corromput ni shamodificat i que ning ha tret parts del codi ni nhi ha afegit, malicioses ono. Aplicacions com el WinMD5 i lMD5SUM fan aquest clcul.

Lautenticitat i la integraci sn importants perqu molts dels servidors des delsquals es descarrega programari sn molt vulnerables a atacs maliciosos quepodrien reemplaar una actualitzaci per un virus. Tamb podrien patir atacsdel tipus DNS spoof, en qu lusuari es connecta a un servidor equivocat que sdiferent del que ha teclejat a lURL.

La majoria dels fabricants de programari no estan preocupats per aquest tema,probablement per falta de demanda dels mateixos clients, i no proporcionen capmecanisme de seguretat fiable.

1.3 Utilitzaci de tcniques de recuperaci de dades

En cas de prdua de dades duna petita empresa, es pot produir una situacidangoixa, ja que aix pot implicar no poder continuar lactivitat quotidiana finsal punt darribar a un tancament temporal de lactivitat, cosa que en alguns casospot acabar amb el tancament definitiu.

Per evitar aquestes situacions difcils i preocupants, cal disposar de diferentstcniques de recuperaci de dades. La millor opci s disposar duna bonapoltica preventiva amb cpies de seguretat programades. Si disposeu de cpiesde seguretat, la recuperaci de les dades ser ms rpida i efectiva.

1.3.1 Cpies de seguretat

La prdua de dades es pot produir per diversos motius. s possible que els nomsdels arxius es canvin i, desprs, sigui difcil retrobar-los. Tamb pot ser que,


arran dun accident, se sobreescriguin, seliminin o es perdin perqu sha espatllatalguna unitat o sha sostret algun ordinador o disc Zip.

Per recuperar les dades, el millor s tenir una poltica de cpies de seguretat ode creaci dimatges del disc dur. Aquestes cpies es poden fer en un altre discdur dun sistema RAID de discos durs, com es pot veure en la figura 1.4. s unabona opci per evitar prdues de documents a causa de la corrupci del disc duren qu es guarden. No s recomanable, per, si es tracta dinformaci susceptiblede ser robada. En aquest cas, la millor poltica s fer les cpies de seguretat enuna ubicaci diferent.

Figura 1.4. Connexi de discos en RAID

En cas de perdre els arxius, si disposeu de cpies de seguretat, els podreu recuperarduna manera rpida, cmoda i, a ms, molt efectiva, ja que noms haureu perdutla informaci que es va crear desprs de fer lltima cpia.

Podeu fer les cpies de seguretat des del sistema operatiu mateix o podeuutilitzar diverses aplicacions, tant de programari de propietat com de programarilliure. Aquestes aplicacions us permetran fer les cpies de seguretat, de maneraautomatitzada o manual, i recuperar, posteriorment, les dades que hi hagueuguardat.

RAID

... (matriu redundant de discosindependents). Es tracta dunsistema demmagatzematge de lainformaci que combina diversosdiscos durs que tenen la mateixacapacitat. Funcionen i escomporten com una unitatlgica.


Terme que significa quecorrespon aproximadamentals sectors aprofitables per

guardar informaci dun discdur.

1.3.2 Recuperaci sense cpies de seguretat

Heu de saber que les dades guardades a lordinador realment no desapareixen finsque la unitat es crema o es destrueix completament. Per entendre en profunditatcom es recuperen els arxius desapareguts, haureu de saber i entendre comsemmagatzema la informaci en el disc, per aix escapa als propsits daquestpunt. Assenyalarem, simplement, que les plataformes Windows, Mac i Linuxformaten els discos durs i hi guarden la informaci de maneres diferents.

Tanmateix, independentment de com es guarden les dades en el disc dur, s a dir,de quin sistema darxius esteu utilitzant, heu de saber que quan sesborra un arxiuo es llena a la paperera, el sistema operatiu realment no lelimina del tot. Encomptes desborrar-lo, trasllada lentrada del directori de larxiu i la informacisobre la ubicaci original a una carpeta oculta especial, que representa la Papererade reciclatge. Per tant, els clsters de dades del disc dur no seliminen, ni tan solses mouen de lloc, sin que noms es modifica la ubicaci de lentrada del directori.

En lentorn Windows, quan la paperera de reciclatge somple, els arxius que fams temps que hi sn seliminen del tot. Passa el mateix quan lusuari la buidavoluntriament.

En el cas de Macintosh, la paperera no somple mai, sin que va guardant tot elque hi anem enviant fins que lusuari, algun dia, la buida.

Tot i que si mantenim premuda la teclaMajscules en Windows o la tecla Controlen Mac podem evitar utilitzar la paperera, quan eliminem un arxiu o, fins i tot,buidem la paperera, les dades daquests arxius romanen en el disc dur. En tots elssistemes operatius, el nom de larxiu, lentrada dndex o el directori esmodifiquenper indicar que lusuari no hauria de poder veure larxiu i que lespai que ocupavaest disponible i es pot reutilitzar. Quan arribi el moment, la unitat sobreescriuramb informaci nova lespai disponible. Per tant, hi ha la possibilitat de recuperarla informaci que encara no sha sobreescrit.

Si larxiu encara s a la paperera de reciclatge, nhi ha prou amb prmer larxiuamb el bot dret, seleccionar Recuperar i arrossegar-lo fins al lloc on el volemcollocar. La paperera de reciclatge pot oferir unes quantes utilitats (corresponena un segon nivell de protecci) que us permeten controlar els arxius que heueliminat. Aquestes utilitats poden ser extres dalguns paquets dantivirus oaplicacions exclusives.

Tanmateix, quan un arxiu ja sha eliminat de la paperera de reciclatge i aquestapaperera no tenia incorporada cap aplicaci per oferir ms protecci, larxiuencara no ha desaparegut del disc dur i hi ha eines per localitzar i, desprs, tornar aajuntar tots els clsters del disc dur que guardaven les dades de larxiu. Recordeuque noms podreu reconstruir els arxius que no hagin estat sobreescrits, de maneraque s molt important no fer operacions descriptura mentre intenteu recuperarun arxiu eliminat. Si, prviament, no heu installat cap daquestes eines derecuperaci, no s un bon moment per fer-ho, ja que larxiu que intenteu recuperar


es podria sobreescriure. Daquesta manera, haureu de buscar-hi alternatives, comcompartir el disc dur amb una altra mquina i intentar recuperar-lo des daquestaaltra.

En el cas de Windows, la millor eina de recuperaci s Undelete. Amb aquestaeina, els arxius eliminats no seliminen realment, sin que el programa interceptales peticions deliminaci i els arxius eliminats semmagatzemen en una altraubicaci anomenada Paperera de recuperaci. Leina tamb ofereix la possibilitatde recuperar un arxiu que sha eliminat realment. Per fer-ho, fa una cerca pelsclsters del disc dur. Hi ha altres eines de programari lliure que fan aquesta funci,com (Recuva, figura 1.5) o Softperfect (figura 1.6).

Figura 1.5. Programa Recuva

Els clsters del disc que estaven ocupats per larxiu eliminat shan sobreescrit ambdades noves. En principi, les dades anteriors es perden, per tamb s possibleque encara siguin en el suport magntic, en forma de contorns en les ones querepresenten les dades. Els equips dalta tecnologia permeten recuperar-les seguintun procsmolt complex. Aquest procs difcil i costs es pot repetir vries vegadesi, aproximadament, es poden arribar a recuperar fins a set capes de dades. Comque s un treball dificults i car que noms poden fer els experts, aquest sistemanoms sutilitza en casos en qu el valor de les dades perdudes s molt important.


Figura 1.6. Programa Softperfect

1.4 Sistemes didentificaci: signatura electrnica i certificat digital

Internet i el seu s creixent han contribut de manera significativa a la globalitza-ci, fet que ha provocat que es converteixi en una eina molt important i, en algunscasos, imprescindible per a moltes empreses. Tanmateix, aquesta eina nova tanpotent, que s a labast de les empreses que hi veuen una oportunitat de negocinova o, simplement, una eina per millorar la productivitat, comporta un problemaafegit, la seguretat.

La connexi a Internet porta implcita un risc de seguretat pel sistema informticde lempresa. Aix ha fet que els administradors de xarxa tinguin la necessitat decrear poltiques de seguretat que consisteixen a crear connexions segures, enviar irebre informaci encriptada, filtrar accessos i informaci, etc.

Dins aquest problema de seguretat hi ha la privacitat de les dades. Fins ara, nohi havia cap protecci real que garants que els missatges que senvien o es rebenno fossin interceptats, llegits o, fins i tot, alterats per algun desconegut, ja que,realment, no hi ha ning que dirigeixi o controli la xarxa dInternet.

Aquest fet provoca que es plantegin preguntes com les segents: com sabeu si unapersona t, efectivament, un compte vlid? o com sabeu si es pot confiar en uncomerciant que no heu vist mai?

Per tal que la privacitat i la seguretat tinguin una rellevncia important a Internet,cada entitat necessita tenir una manera de poder verificar la identitat de les altresi poder-hi establir, aix, un nivell de confiana.


El certificat digital i la signatura electrnica sn algunes de les eines quepermetran establir connexions segures entre les persones i les administracions.Tamb oferiran la possibilitat de fer transaccions comercials.

1.4.1 Certificat digital

Els certificats digitals representen el punt ms important en les transaccionselectrniques segures. Aquests certificats permeten una manera convenient i fcildassegurar que els participants en una transacci electrnica puguin confiar lunen laltre. Aquesta confiana sestableix a partir de tercers. Sn les autoritatscertificadores. Primer, doncs, cal que aneu a una autoritat certificadora. Ushaureu didentificar correctament i, tot seguit, ells certificaran que sou qui dieu seri us donaran el certificat digital corresponent. Aleshores, quan envieu missatgesque vulgueu que us identifiquin davant altres persones, noms caldr que hi afegiuuna cpia pblica del vostre certificat digital. Daquesta manera, la persona querebi el missatge sabr de segur que lemissor del missatge s qui diu ser, garanteixaltres persones, entitats, o administracions pbliques quina s la vostra identitat.

Dit duna manera senzilla, un certificat digital garanteix que dues computadoresque es comuniquen puguin fer transaccions electrniques amb xit. Aquestscertificats digitals es basen en la tecnologia de codis secrets o encriptaci. Len-criptaci garanteix la confidencialitat, la integritat i lautenticitat de la informacique es vol transmetre, que t una importncia vital per a la persona o lempresa.

El procs dencriptaci s senzill. Un missatge pot passar per un procs deconversi o dencriptaci, que el transforma en codi mitjanant una clau. s,doncs, la manera de traduir els signes dun missatge a un altre sistema de signes,la lectura del qual no t cap sentit per a una persona que lintercepti. Aix esconeix com a procs dencriptaci dun missatge. Un sistema senzill duna claupot consistir a canviar cada lletra del missatge per la lletra de labecedari que lasegueix. Daquesta manera, la paraula hola es converteix en ipmb. Per poderdesxifrar el missatge o desfer lencriptaci, la persona que el rep necessita saberla clau secreta, s a dir, el certificat digital. Actualment, els certificats digitals quehi ha sn els segents:

Certificats de servidor (SSL)

Microsoft Server Gated Cryptography Certificates (Certificats de CGC unaextensi del protocol SSL que ofereix Microsoft)

Certificats canalitzadors

Certificats de correu electrnic

Certificats de valoraci de pgines web

Certificats de segell, data i hora


Lencriptaci amb clau secreta, tot i tenir moltes limitacions significatives, stil en molts casos. No s gaire prctic que una gran corporaci intercanvi clausamb milers o, fins i tot, milions de persones, cosa que limita el potencial de lestransaccions electrniques.

La soluci a la seguretat en la xarxa oberta s una forma de codificaci ms novai sofisticada. Es va desenvolupar a la dcada dels anys setanta i es coneix amb elnom de clau pblica. Funciona amb un sistema en qu cada participant t duesclaus, una de pblica i una de privada. Les dues claus funcionen conjuntament,s a dir, si es vol enviar un missatge a un amic i no es vol que ning ms elllegeixi, es busca la clau pblica de lamic i sutilitza per encriptar el text delmissatge. Aleshores, quan lamic el rep, ha dutilitzar la seva clau privada perdesfer lencriptaci. Daquesta manera, si un tercer intercepta el missatge, no elpodr desxifrar perqu no disposar de la clau privada daquest amic.

1.4.2 Signatura electrnica

La signatura electrnica forma part del certificat digital, s un dels seus com-ponents juntament amb les dades de lusuari i la clau pblica. Un certificatdigital permet garantir que lautor del missatge s, realment, qui diu ser. s adir, garanteix que el receptor pugui verificar que el document ha estat enviat perlautor, que lautor no pot negar la realitzaci del document i que el receptor nopot alterar-ne el contingut.

Per exemple, quan un usuari A genera un missatge per a un usuari B, lencriptajuntament amb el seu certificat. Opcionalment, el pot protegir amb la clau pblicade lusuari B. Aix sanomena signar digitalment o construir el que es coneix coma sobre electrnic o signatura digital.

Ning pot modificar el contingut del missatge sense destruir el certificat delemissor, cosa que garanteix la inviolabilitat del missatge.

Les signatures electrniques sn blocs de dades que han estat codificades ambuna clau secreta i que es poden descodificar amb una clau pblica. Principalment,sutilitzen per verificar lautenticitat del missatge o la duna clau pblica.

A Espanya hi ha la Llei 59/2003 de signatura electrnica, que defineix tres tipusde signatures:

Simple: inclou un mtode per identificar el firmant (autenticitat).

Avanada: a ms didentificar el firmant, permet garantir la integritat deldocument.

Reconeguda: la signatura avanada executada amb un DSCF (dispositiusegur de creaci de signatures) i emparada per un certificat reconegut(certificat que satorga desprs de la verificaci presencial de la identitatdel firmant). A vegades, aquesta firma es coneix com a qualificada


per la traducci del terme qualified de la Directiva europea de signaturaelectrnica.

1.5 Obtenci didentificacions electrniques, s de signaturaelectrnica

Els certificats digitals i les signatures electrniques permeten fer transaccionssegures per mitj dInternet. Igualment, tamb permeten identificar les personestal com podeu veure en la figura 1.7, en qu apareix una captura de pantalla dela pgina dHisenda. En aquesta pgina, hi ha la possibilitat didentificar-se ambel certificat digital corresponent. Si es fa, tot seguit permet efectuar, per mitjdInternet, una srie daccions que no s possible fer sense la identificaci.

Figura 1.7. Entrada al web dHisenda amb certificat digital

Aquesta identificaci s possible perqu, prviament, cada persona sha personaten un organisme que emet les certificacions electrniques i contrasta que lapersona s qui diu ser.

En el nostre pas, us podeu adrear a una srie dorganismes per aconseguir uncertificat digital. Sn, entre altres, lAgncia Catalana de Certificaci o algunesdelegacions del Ministeri dHisenda.

Quan aneu personalment a un daquest centres emissors de certificats digitalsi us hi identifiquem correctament, us proporcionaran un programari determinatque desprs haureu dinstallar en el vostre sistema. Aquest programari tindrunes especificacions de maquinari i programari que necessitareu tenir per poder-lo executar. La majoria daquest programari noms sexecuta en entorn Windows.De totes maneres, actualment lagncia catalana treballa per treure una versi pera programari lliure.

Per obtenir ms informacisobre els certificats digitals,consulteu la secciAdreces dinters del web.


Lagncia emissora de certificats digitals us lliurar un paquet de programari que,una vegada installat en el vostre sistema informtic, us permetr enviar correusautentificats per certificaci electrnica o per signatura electrnica. Juntamentamb el programari, lorganisme emissor us entregar els manuals amb les ins-truccions, tant per installar el programari com per utilitzar-lo posteriorment en elvostre gestor de correu electrnic.

Aquestes certificacions electrniques us permetran identificar-vos davant lesadministracions pbliques per fer tota una srie de trmits per mitj dInternetque abans calia fer personalment, com els canvis en les dades personals, canvisdadreces, petici de certificats, declaraci de la renda i un llarg etctera degestions que cada dia es va ampliant.

Pel que fa a la utilitzaci de la signatura electrnica, hi ha eines, com la pgina webque apareix en la figura 1.8, que permeten comprovar-ne la validesa i lefectivitat.Aquesta pgina web fa una comprovaci en lnia de la vostra signatura electrnicaper assegurar que s correcta i donar-vos la seguretat que podeu utilitzar-la en elsvostres documents.

Figura 1.8. Comprovaci en lnia de la signatura electrnica


2. Alarmes i incidncies de seguretat

En el marc de la seguretat activa, es disposa duna srie deines, com els IDS(intrusion detecting system, sistema de detecci dintrusos) o els IPS (intrusionprevention system, sistema de prevenci dintrusos) entre molts altres, que uspoden avisar i donar lalarma si patiu una incidncia de seguretat, sia per ladetecci dun intrs en el vostre sistema informtic o per la detecci de qualsevoltipus de programari malicis.

En el moment de saber que hi ha una incidncia de seguretat, cal que actueuper palliar els efectes que pugui tenir en el vostre sistema informtic. Aquestaactuaci estar determinada pel seguiment del pla de contingncia. Tanmateix,en cas que no nhi hagi o no reculli la incidncia en qesti, us haureu de cenyira seguir les instruccions i la documentaci tcnica que us proporcionaran elsmateixos programes que us han donat lalarma.

En cas que no disposeu de cap pla de contingncia i el programari de seguretat nous ofereixi instruccions a seguir, sempre us quedar lopci de buscar informacia Internet. Hi ha nombroses pgines sobre incidncies de seguretat i mltiplesfrums en qu podreu trobar les accions que heu de fer, ja que, probablement, hiha altres persones o empreses que van patir la mateixa incidncia de seguretat.

Si no es disposa dun pla de contingncia propi, cal tenir en compte que lesinstruccions del programari o la informaci que aconseguiu a Internet poden estaren angls, cosa que demanar que feu un esfor per comprendre-les. Heu derecordar que a Internet tamb disposeu de diverses eines que us poden ajudar atraduir el material escrit en angls.

Finalment, una vegada detectada la incidncia de seguretat corresponent i resoltaamb les instruccions pertinents, caldr que documenteu la incidncia. Si disposeudun pla de contingncia i aquesta incidncia no hi consta perqu no estava previstao no shavia produt abans, convindr que la hi inclogueu per a incidncies futures.

2.1 Detecci i resoluci dincidncies

Per tal demantenir un sistema informtic al mxim nivell de seguretat, cal disposarduna srie deines i, a ms, mantenir-les en bon estat de funcionament, cosaque inclou tenir-les al dia, actualitzades. Algunes daquestes eines ms comunessn els antivirus, els tallafocs i les actualitzacions del sistema, sobretot pel quefa a la part dels pedaos de seguretat. Tamb nhi ha daltres que no sn tanconegudes, per que us poden ser demolta utilitat en cas de detectar una incidnciade seguretat en el vostre sistema informtic. El fet de tenir installats programesde detecci o prevenci dintrusos, com els IDS o els IPS i, ms particularment,

Pla de Contingncia

Entenem per pla de contingnciael conjunt dactuacions arealitzar en cas dhaver patit unaincidncia de seguretat. Estandestinades a palliar-ne elsefectes i a recuperar el sistema.

Frum

Els frums sn espais a Internetdestinats a la comunicaci. Hipodeu deixar un missatgeexplicatiu i altres personesrespondran a la vostra demanda.


els NIDS (net intrusion detecting system, sistema de detecci dintrusos en xarxa)i els HIDS (host intrusion detecting system, sistema de detecci dintrusos en unamquina) us permetr detectar intrusions no desitjades en el vostre sistema i, pertant, podreu actuar.

Igualment, mantenir el vostre sistema actualitzat, sobretot pel que fa a lesactualitzacions relacionades amb la seguretat, us estalviar molts maldecaps.Moltes daquestes actualitzacions estan destinades a evitar lentrada de programarimalicis o la intrusi no desitjada, ja que corregeixen possibles errades detectadesen el vostre sistema.

Si treballeu en un entorn Microsoft, s a dir, en un sistema operatiu Windows,cal que aneu a Inicio\Panel de control\Centro de seguridad per configurar-ne lesactualitzacions. Una de les millors maneres de configurar aquestes actualitzacionss fer-ho automticament. De totes maneres, heu dactivar lopci que fa que elprograma us pregunti abans dinstallar, tal com podeu observar en la figura 2.1.

Figura 2.1. Actualitzacions automtiques sistema Windows

El vostre sistema buscar automticament les actualitzacions o els pedaos i, abansdinstallar-los, us preguntar si ho voleu fer o no. En aquest moment, podreuescollir quins us cal installar i quins no. De totes maneres, s convenient installarels que estan relacionats amb la seguretat del vostre sistema. La resta s decisivostra. Daquesta manera, mantindreu el sistema actualitzat i, almenys, evitareules possibles errades de seguretat que ja han estat detectades i corregides.


Cal que tingueu present que, en alguns casos, hi ha hagut programes maliciosos,virus, que shan propagat per tot el mn en qesti dhores. En un cas concret,per fer-ho, van utilitzar errades de seguretat dels sistemes informtics que elsdissenyadors daquests sistemes ja havien detectat i, per tant, ja feia mig anyque havien tret el peda corresponent per palliar-ne els efectes. Per aix s tanimportant que mantingueu els sistemes actualitzats.

Si treballeu amb programari lliure, aquestes recomanacions continuen essentvlides. De totes maneres, conv destacar que el vostre sistema ser fora mssegur, ja que en aquest entorn hi ha molt poc programari malicis. A ms, elsistema de propietats i drets sobre els arxius de qu disposeu, fa que sigui moltms segur en cas dintrusions.

Per seguretat, en el cas de Windows, es recomana desactivar el compte de lusuariInvitado, ja que permet laccs a usuaris no identificats en el sistema. Per fer-ho,cal que anem a Inicio\Panel de control\Cuentas de usuario, escollim el compteInvitado i ens assegurarem que est desactivat. Ho podeu veure en la figura 2.2.

Figura 2.2. Desactivar compte Invitado en un sistema Windows

Tamb convindria que fssiu un control dels ports del sistema per tal de veurequins daquests ports estan oberts i quines aplicacions utilitzen.

Daquesta manera, si hi ha un port obert que no utilitza cap aplicaci, cal tancar-lo.En diferents manuals de text o en algunes pgines dInternet, podem trobar unallista que mostra tots els ports que hi ha i indica a quina aplicaci estan destinats.Podem decidir, doncs, si volem que un port determinat estigui obert perqu elpugui fer servir una aplicaci determinada o, contrriament, volem que estiguitancat perqu no utilitzem laplicaci en qesti.

Ports

En informtica, un port s unamanera genrica de denominaruna interfcie per mitj de la qualdiferents tipus de dades podenser enviades i rebudes. Aquestainterfcie pot ser fsica o a escalade programari (per exemple, elsports que permeten latransmissi de dades entrediferents ordinadors).


A Internet, hi ha alguns programes de programari lliure per a lentorn Windowsque permeten veure una llista dels ports que tenim. Ens indiquen quins estanoberts, quins estan escoltant i quins estan tancats. Alhora, ens permet obrir-losi tancar-los. LNmap, per exemple, s un programa de codi lliure de lentornWindows que ens permet fer un seguiment dels ports. LNmapwin proporcionalentorn grfic per no treballar en consola. El podem veure en la figura 2.3.

Figura 2.3. Programa per escanejar els ports en un sistema Windows

Si parlem de lentorn Linux, hi ha diverses ordres per a la consola que permetenveure una llista dels ports i lestat en qu es troben. Tamb permeten obrir-los itancar-los. En podem veure un exemple en la figura 2.4.


Figura 2.4. Escaneig de ports en lentorn Linux

Especialment, cal esmentar una srie daplicacions del vostre sistema que enalguns casos poden ser molt tils. Cal tenir en compte, per, que tenen un riscpotencialment alt dintrusions. Aquestes aplicacions, sn per exemple, les queestan relacionades amb el control remot del vostre sistema, com el TerminalServer, laccs per SSH, etc. Cal valorar duna manera especial ls daquestsrecursos en funci de la perillositat que comporten, ja que obren portes a possiblesintrusions.

El fet de tenir installats sistemes per detectar intrusions, com els IDS, representala possibilitat de controlar-les i de rebre un avs en cas que entrin en el sistema.Bsicament, aquesta s la funci daquest servei, la de detectar i avisar, per nola dactuar o prevenir, ja que daix, se nencarreguen altres components. Perexemple, els anomenats IPS.

Els sistemes de detecci dintrusions poden actuar installats en una xarxa, elsNIDS, o b installats en ordinadors individuals, els HIDS, que tenen una manerade treballar molt similar a la dun tallafoc. Si disposeu dun sistema en xarxa,un NIDS, la seva funci consisteix a examinar els paquets reals que viatgen perla xarxa en temps real per buscar activitats sospitoses. En canvi, un sistemainstallat a la mquina, un HIDS, examina els arxius de registre, com el registredesdeveniments del Windows, s a dir, de sistema daplicacions. Aquest sistemade detecci en la mquina tamb examina els registres desdeveniments deseguretat i hi busca les entrades que suggereixen algun tipus dactivitat sospitosa.En la figura 2.5, podeu veure el visor desdeveniments en el quadre de dilegdadministraci dequips per a un entorn Windows.


Figura 2.5. Visor de successos en un entorn Windows

El sistema en xarxa, NIDS, t lavantatge de treballar en temps real. Fins i tot potdetectar un atac que no ha tingut xit perqu sigueu conscients que sha produt.Alhora, tamb pot detectar alguns tipus datacs que un sistema de mquina nodetectaria, ja que per identificar-los cal mirar quin s lencapalament dels paquetsque circulen per la xarxa.

Com que un HIDS es basa en la comprovaci de registres en el sistema peridentificar atacs, noms pot validar que un atac ha tingut xit. En canvi, per,pot detectar intents daccedir a arxius, de canviar-ne els permisos o de canviar elsarxius importants del sistema. Es tracta datacs que un HIDS no detectaria.

Per tant, lun no s millor que laltre. Cal tenir en compte que es poden utilitzarconjuntament perqu informin de tots els tipus datacs, cosa que no s possiblesi noms sutilitza un dels dos sistemes. De fet, la detecci que es basa en lessignatures, s a dir, mirant lencapalament dels paquets dinformaci que circulenper la xarxa, funciona de manera molt similar als programes contra el programarimalicis, els antivirus. Aquests programes intenten comparar lencapalamentdels paquets (i altra informaci) amb el que hi ha en una base de dades designatures conegudes datacs i de codis maliciosos. El problema que hi ha ambaquest tipus de funcionament s que fins que no hi ha un atac, no s possibledesenvolupar una signatura per a aquest atac. Aix, cal que alg sigui atacat perquels venedors dels sistemes de detecci o els grups de suport daquests sistemespuguin desenvolupar-ne la signatura corresponent. Aquesta manera de treballarfa que hi hagi un perode de temps, des que es llana un atac fins que sen repla signatura corresponent, durant el qual no es disposa de cap classe de proteccicontra aquesta amenaa.

Tamb hi ha sistemes que utilitzen la detecci basada en les anomalies, s a dir,comparen els paquets de la xarxa amb el comportament habitual i busquen accionsque no siguin normals. Per exemple, si habitualment un ordinador no fa servir un


FTP, per de cop i volta intenta iniciar una connexi FTP amb un servidor, lIDSho detectar com una anormalitat i avisar lusuari. Linconvenient de la detecciper anomalies s que es pot necessitar una etapa inicial en qu hi pot haver moltsfalsos positius que es poden perdre abans no sestableix un patr de comportament.

Totes dues tcniques de detecci tenen pros i contres, per, deixant de banda laperillositat duna activitat determinada, la feina dun IDS s avisar.

Un dels millors programes dIDS s lSnort, que podeu veure en la figura 2.6.

LSnort s una aplicaci de detecci dintrusos en xarxa de codi obert, NIDS,gratuta, de codi lliure. Per a aquest programa, hi ha diversos frums de suport illistes de correu que podeu consultar per aprendren ms coses o per aconseguirsignatures actualitzades per a les noves amenaces. LSnort analitza els paquets dela xarxa i pot detectar molts atacs coneguts i activitats malicioses. Hi ha altresaplicacions de codi lliure tant per a lentorn Windows com per a lentorn Linux,com el Wireshark.

Figura 2.6. Programa de codi lliure Snort

Hi ha una tecnologia ms nova que tamb es pot encarregar de la resposta inicial.Un IPS s una cosa semblant a un hbrid entre un IDS i un tallafoc i pot funcionarjuntament amb el vostre tallafoc actual. La diferncia principal que hi ha entreun IDS i un IPS s que un IPS far alguna cosa per respondre i intentar aturar laintrusi, mentre que un IDS simplement us permetr saber qu succeeix. Un IPScontrola la xarxa de la mateixa manera que ho fa un IDS i, fins i tot, utilitza lesmateixes tcniques de signatures o de coincidncia danomalies per identificar unaactivitat potencialment perillosa. Quan un IPS detecta que hi ha un trnsit malicissospits, pot canviar les regles del tallafoc o crear-ne de noves per bloquejar totel trnsit que passa pel port en qu hi ha lactivitat sospitosa. Igualment, pot


bloquejar tot el trnsit des de la direcci IP dorigen o permetre configurar diversesrespostes personalitzades.

Normalment, lIPS es configurar, no solament per emprendre una acci immedi-ata que intenti evitar qualsevol activitat maliciosa posterior, sin tamb per avisarlusuari, tal com fa un IDS.

2.1.1 Detecci dincidncies

Bsicament, hi ha dues maneres de detectar una incidncia de seguretat. Laprimera s rebre una alarma del sistema mateix. Aquesta alarma pot provenirde qualsevol sistema de seguretat que hi hagi installat: un programa antivirus,qualsevol programa de detecci dintrusos o el tallafoc.

La segona opci s detectar una incidncia de seguretat sense que el sistemaninformi. Com podeu detectar que el vostre sistema ha patit una incidncia deseguretat, ha estat infectat per un programari malicis o ha patit un atac si no hiha cap alarma davs? Ho podeu detectar si noteu que el sistema informtic actuaduna manera estranya. Per exemple, si heu vist que hi ha arxius on no nhi soliahaver o us heu adonat que hi ha arxius que han desaparegut de cop i volta. Tambpodeu notar que el sistema va ms lent del normal o que el disc dur va molt lent,fins i tot quan no esteu fent res despecial en el sistema. Un altre indici s que elsistema falli o es tanqui de cop.

Tot aix sn senyals potencials que indiquen que el vostre sistema informticpodria estar infectat per alguna classe de programari malicis o que podria haverpatit alguna intrusi.

2.1.2 Resoluci dincidncies mitjanant les instruccions pertinents

Una vegada heu detectat una incidncia de seguretat en el vostre sistema, cal queactueu per evitar riscos i possibles danys. A lhora dactuar davant la incidnciaus podeu trobar en dues situacions. La primera s que disposeu dun pla decontingncia. Dins aquest pla hi haur un apartat que us informar del procedimentque heu de seguir en la situaci en qu us trobeu. El pla de contingncia estpreparat perqu una petita empresa o instituci pugui continuar funcionant encas dincidncia de seguretat. A ms, dna instruccions per resoldre aquestaincidncia i minimitzar els riscos que hagi pogut provocar.

Aquesta s la situaci ms probable si us trobeu en una petita o mitjana empresaque hagi invertit recursos humans i materials en la seguretat del seu sistemainformtic. Si la situaci s aquesta, noms cal que seguiu les instruccions quecont el pla de contingncia per minimitzar els riscos de la incidncia o recuperarel sistema en cas que hagi patit alguna incidncia greu.


Us podeu trobar davant el segon supsit, sia perqu no disposeu de pla decontingncia o perqu el vostre pla de contingncia no recull la incidncia en quus trobeu.

En cas que no disposeu dun pla de contingncia que reculli els passos que heu deseguir, convindr que actueu pel vostre compte. Podreu seguir diverses actuacionsdepenent de quina sigui la incidncia de seguretat.

Si no disposeu dun pla de contingncia i la incidncia prov duna alarmadel vostre sistema antiprogramari malicis, caldr que feu el que lantivirus ussuggereixi.

En algunes ocasions, el programa antivirus neteja el programari malicis, per entornar a engegar la mquina, torna a aparixer. En aquesta circumstncia, podeuprovar diniciar el sistema amb lopci coneguda com a mode segur i, aleshores,eliminar-ne el virus.

Si lantivirus no ha pogut eliminar el virus, us haureu dassegurar que estperfectament actualitzat. Si no ho est, convindr que lactualitzeu amb lltimarevisi de la base de dades de virus i torneu a escanejar tot el sistema. En casque ja estigui actualitzat, caldr una estratgia nova. A vegades, alguns venedorsde programari antivirus creen eines independents gratutes per ajudar a detectari eliminar amenaces difcils. Acostumen a ser eines que funcionen per mitjdInternet, s a dir, escanegen i desinfecten per aquesta via.

Heu de tenir present que alguns daquests programaris maliciosos estan fets i pre-parats per inutilitzar o eliminar el programari antivirus. En aquest cas, el problemapot ser ms complicat i difcil de resoldre. Podeu provar diferents programesantivirus, escanejar per mitj dInternet o, directament, buscar informaci a laxarxa sobre com resoldre la incidncia. Tingueu en compte que en aquests casoslamajoria dinformaci que trobareu i les instruccions que haureu de seguir estaranen angls.

Si sospiteu que passa alguna cosa en el vostre sistema, per no heu rebut captipus dalarma, haureu de consultar, primer de tot, els registres desdevenimentsde Windows. La consola del visor desdeveniments mostra els registres sobre lainformaci daccs, execuci i errors, entre altres.

El problema que hi ha amb els registres, concretament quan corresponen a lacategoria desdeveniments de seguretat, s que el Windows noms captura lesdades dels registres per als esdeveniments que, segons la configuraci, ha decontrolar.

En la revisi del registre de seguretat, tant les alertes de Correcte com lesdErroni us poden proporcionar informaci til depenent de quina sigui laincidncia. Per exemple, podeu descobrir-hi esdeveniments dinici de sessi decomptes correctes a una hora en qu sabeu de segur que no heu utilitzat lordinador.Aix vol dir que alg ha utilitzat el vostre nom dusuari i contrasenya. Igualment,descobrir-hi esdeveniments dinici de comptes erronis demostra que un atacant haintentat accedir al vostre sistema.


Considerant la informaci del registre desdeveniments, podreu pensar que sinteressant auditar i controlar tots els esdeveniments, els de les diverses aplicaci-ons, el correu, els correctes, els incorrectes, etc. Cal tenir en compte, per, quecontrolar i registrar tots els esdeveniments afecta el processador de lordinador.Per fer-ho, lordinador necessita utilitzar recursos de memria i aix naltera elrendiment general. Igualment, les dades dels registres ocupen espai en el disc dur.Registrar tots els esdeveniments pot fer que el vostre arxiu de dades de registresompli rpidament o que es faci ms gran, cosa que us pot impedir treballar ambla facilitat dabans.

La qesti s trobar un bon equilibri. Shan de controlar i registrar els esdeve-niments que seran ms tils per identificar problemes. Daquesta manera, noafectar el rendiment del sistema ni somplir el disc dur. Hi ha la possibilitatde limitar la mida del registre desdeveniments. Per fer-ho, sha de seleccionarlopci Propietats del visor desdeveniments i fixar-hi una mida mxima per aaquest registre. Tamb podeu configurar-lo perqu quan assoleixi la midamxima,reescrigui o no els esdeveniments antics. Si ordenem que no ho faci, no escriurcap esdeveniment nou fins que els esborrem manualment.

Si no heu trobat cap activitat sospitosa o maliciosa en els registres del visordesdeveniments, tamb podeu mirar el registre del programari del tallafoc.Hi trobareu informaci difcil dentendre, per amb lajuda dInternet podreudesxifrar i identificar quin ha estat el problema. Una vegada ms, cal que tingueuen compte que, molt probablement, tota la informaci que hi trobareu estar enangls.

Si cap de les indicacions anteriors no ha donat resultat, sempre podeu anar a veurequins processos sestan executant en la vostra mquina. En la vista dels processos,nhi haur molts que no podreu identificar. Aleshores, els haureu de cercar aInternet. Pot ser que descobriu que algun correspon a un programari malicis.Si continueu la cerca, sia en pgines especialitzades o en frums, trobareu lesinstruccions necessries per eliminar aquest procs que els antivirus no han poguteliminar. En algunes ocasions, haureu dutilitzar la consola i unes instruccions aqu no esteu habituats. Seguiu-les detingudament i reinicieu el sistema quan usho indiquin. Segurament aquesta informaci tamb estar en angls.

Finalment, si cap daquestes opcions no us ha perms resoldre la incidncia deseguretat, sempre podeu recrrer a lopci que ofereix la majoria de sistemesoperatius, la restauraci del sistema a partir duna configuraci del sistema anteriora la incidncia. La manera de restaurar-lo dependr del sistema que utilitzeu.Aquesta utilitat noms us servir si disposeu de punts de restauraci anteriors ala incidncia, de manera que s recomanable crear-los manualment en momentsen qu el sistema est totalment installat i funciona perfectament. Hi ha sistemesque, en detectar certs canvis, ja creen automticament un punt de restauraci.


2.2 Interpretaci i utilitzaci com a ajuda de documentaci tcnica

En alguns casos, per resoldre la incidncia de seguretat noms caldr que seguiules instruccions que hi ha en el pla de contingncia. Heu de tenir en compte, per,que aquestes instruccions solen ser tcniques i, conseqentment, solen utilitzar unvocabulari tamb tcnic relacionat amb el vostre sistema informtic. Si en algunmoment hi ha coses que no enteneu, teniu diverses opcions. Una possibilitat sutilitzar el sistema dajuda que incorpora el vostre sistema mateix.

El sistema dajuda acostuma a ser fora complet. Entre altres coses, indica qu scada part del sistema i dna les instruccions que shan de seguir per fer diversestasques. Lajuda sol ser fora accessible, per la ubicaci depn de cada sistema.Si teniu sistema de codi lliure, s possible que una part daquesta ajuda estigui enangls.

En cas que no comprengueu o desconeixeu el significat dalgunes parts de lesinstruccions del pla de contingncia, podeu consultar manuals. Si no, tamb podeubuscar informaci a Internet. Hi podeu trobar un excs dinformaci i, a ms,aquesta informaci pot ser dispar, cosa que pot ser un problema. s possible quemoltes pgines estiguin en angls.

Si no disposeu dun pla de contingncia, podeu intentar seguir les instruccions queus proporcionaran les mateixes eines que han detectat la incidncia de seguretat.s important que feu les tasques que us indiquen amb deteniment.

En cas que no disposeu de cap pla de contingncia, que disposeu dun pla decontingncia, per no sigui til per a la incidncia en qesti, o que simplementno tingueu cap mena dinstruccions concretes a seguir podeu recrrer a Internet.Segur que hi ha informaci sobre la vostra incidncia, ja que s molt probable queja hi hagi topat alg altre. Tanmateix, tant pot ser que us costi trobar-hi aquestainformaci com que nhi trobeu massa. Per tant, si feu servir Internet, sigueucurosos a lhora de tractar-la. Intenteu seguir instruccions de pgines que tinguincerta credibilitat o que ja conegueu i sapigueu don provenen. Passa el mateix enel cas de la informaci dels frums.

Si feu servir instruccions que heu trobat a Internet, s molt probable que estiguinescrites, totalment o parcialment, en angls. s recomanable tenir un nivelldangls mnim, almenys pel que fa a la documentaci tcnica relacionada ambla informtica. Tanmateix, en cas que no tingueu aquest nivell dangls mnim,sempre podeu utilitzar Internet com a eina dajuda per traduir o buscar informacisobre expressions o vocabulari tcnic. Hi ha pgines que permeten traduirdocuments de langls. Malgrat tot, no heu desperar que siguin traduccionsexactes de gaire qualitat. Tamb hi ha diccionaris per buscar paraules concretes i,fins i tot, algunes aplicacions de programari per traduir textos o paraules.

Finalment, conv que recordeu que si seguiu instruccions tcniques, us heu delimitar a fer el que indiquin, ja que qualsevol canvi o modificaci pot provocarsituacions no desitjades. Per tant, cal que us assegureu de seguir-les al peu de la


lletra i dutilitzar les versions del sistema i del programari que indiquin. En cascontrari, pot ser que no obtingueu els resultats que espereu.

2.3 Documentaci de les incidncies de seguretat

En cas que no disposeu de cap pla de contingncia o que el pla no reculli laincidncia en qesti, cal que la documenteu degudament. Cal recollir i escriurequina ha estat la incidncia, com sha detectat, quan sha produt, quins efectesha tingut i, sobretot, com sha resolt per preparar-vos per a situacions futures. Siper resoldre la incidncia shan utilitzat materials diversos i fonts dinformacidiferents, conv que quedi recollit. Tot aix facilitar enormement la resoluci defutures incidncies.

Aquesta documentaci ha destar degudament recollida i sha de guardar en unlloc adient. s a dir, en un lloc on es pugui accedir fcilment en cas de tornar-la anecessitar. Si en lempresa o lloc de treball hi ha un protocol, s a dir, instruccionssobre com configurar aquesta documentaci, cal seguir-lo a lhora de documentarla incidncia. Si no hi ha cap protocol, la documentaci haur dincloure tota lainformaci duna manera clara i ben estructurada. Heu de pensar que s possibleque altres persones, en algun moment, llegeixin aquesta informaci, de maneraque s necessari que estigui ben redactada perqu sigui explcita i fcil dentendrei de seguir.


3. Protecci contra programari malicis

Programari malicis omaligne s la traducci del terme anglsmalicious softwareo malware. Aquest programari, que s nociu per a lordinador, est dissenyatper inserir-hi virus, cavalls de Troia, cucs o programes espia, entre altres. Quansiguin dins lordinador, nextrauran informaci o hi acompliran algun propsit,com permetre que altres persones hi accedeixin.

Hi ha molts tipus diferents de programari malicis. Les tcniques que utilitzenper entrar en els sistemes i les accions que hi duen a terme tamb sn moltes imolt diverses. Per tant, vosaltres tamb haureu de prendre moltes precaucionsdiferents i, fins i tot, haureu de conjugar diversos mtodes de protecci. Sobretot,per, haureu dinstallar un programa antivirus a lordinador.

Cal tenir en compte que un ordinador, si est connectat a una xarxa, shiintrodueixen llapis de memria o discos extrables i, sobretot, est connectat aInternet, est sotms a la perillositat del programari malicis. Per tant, caldrque el vostre sistema informtic estigui ben protegit de tot aquest programari.

El primer que heu de fer per protegir el sistema s installar-hi correctament elsistema operatiu amb les aplicacions i les actualitzacions corresponents, sobretotles de seguretat. Tamb caldr que tingueu una bona poltica de cpies deseguretat, tant pel que fa a les dades guardades com pel que fa a la configuracidel sistema. Daquesta manera, en cas que hi hagi una incidncia de seguretat, larecuperaci del sistema ser al ms rpida i efica possible.

Totes aquestes mesures, per, no serveixen de res si no sinstalla un programaantivirus, que sha de mantenir actualitzat en tot moment. Tamb cal reforar laseguretat amb altres utilitats, com els tallafocs, que fins i tot es poden combinaramb programes que rastregen el trnsit dinformaci per mitj de la xarxa.

Aquestes sn, a grans trets, les actuacions que cal seguir per protegir el sistemadel programari malicis. De totes maneres, sha dacceptar que prendre totes lesmesures de seguretat esmentades no implica tenir una seguretat total i absoluta.Per tant, la poltica de les cpies de la configuraci del sistema i les dades snmolt importants. En cas que la infecci del sistema no es pugui evitar totalment,almenys sen garantir al mxim la recuperaci desprs duna incidncia deseguretat.

Especialment, cal esmentar la diferncia que hi ha entre els sistemes que utilitzenprogramari de propietat, com els de lentorn Microsoft, i els sistemes que utilitzenprogramari lliure, com els sistemes operatius de Linux. Aquests ltims snmolt ms segurs pel que fa a la possible infecci de virus i a les intrusions.Per tant, aquest ha de ser un factor a tenir en compte a lhora dinstallar unsistema determinat, ja que actualment la seguretat sest convertint en un elementimportant dels sistemes informtics.


El Randex, el CMJ, el Mevey el MrKlunky sn exemples

de virus residents.

Finalment, tamb cal mencionar de manera especial els pirates informtics,coneguts com a hackers, ja que tenen lobjectiu dintroduir-se en els sistemesinformtics amb diverses finalitats, sia noms aconseguir entrar-hi o fer-hi accionsperjudicials per al vostre sistema. Moltes vegades, els pirates utilitzen el quees coneix amb el nom denginyeria social o les tcniques de suplantaci, msque no pas programes maliciosos que aprofiten forats en la seguretat del sistema.Aleshores, es converteix en una tasca ms complicada, ja que no nhi ha prou ambmantenir el sistema ben protegit, sin que, a lhora de navegar per Internet, calanar molt alerta amb les pgines que obriu i, sobretot, amb les dades que faciliteu.

3.1 Virus i programes maliciosos

Cal que tingueu el sistema ben protegit. Per tant, heu de tenir clar de qui us heu deprotegir i qu s el que voleu protegir. Tamb heu de saber quins perills t el vostresistema, quin s el nivell de propagaci i quins sn els danys que pot provocar elprogramari malicis. Aquesta, doncs, s la primera tasca que cal fer.

El programari malicis s tot el programari que sinstalla en el vostreordinador, sense el vostre consentiment ni coneixement, amb la finalitat deperjudicar-lo o dobtenir-ne un benefici. Aquest ltim cas s el ms habitual,de manera que les accions del programari malicis cada vegada sn mssofisticades i difcils didentificar.

Hi ha molts tipus de programari malicis i, per tant, classificar-los s difcil.Malgrat tot, es poden distingir els ms habituals, que sn els segents:

1) Virus: es tracta dun programa que es copia automticament per alterar elfuncionament normal del sistema, sense el perms ni el coneixement de lusuari.Ells mateixos es repliquen i sexecuten. Dins aquest apartat hi podem trobar elsvirus segents:

Virus residents: sexecuten cada vegada que engeguem lordinador isoculten en la RAM de manera permanent. Daquesta manera, controlentotes les operacions que es fan amb lordinador i tenen la capacitat dinfectartots els arxius que obrim, tanquem, copiem, executem, etc. Noms sactivenquan es compleix una certa condici imposada pel creador del virus, comla data o lexecuci duna determinada acci. Fins que no es produeix,romanen ocults.

Virus dacci directa: es reprodueixen i actuen en el mateix moment quesexecuten. A diferncia dels residents, no sn en la memria. Normalment,noms afecten els arxius que sn a la mateixa carpeta/ directori o en els quees troben en el cam (path). Tenen lavantatge que sn ms fcils deliminarsense deixar cap rastre.


Virus de sobreescriptura: escriuen dins un arxiu i en canvien el contingut.Larxiu infectat no varia de mida, ja que noms se sobreescriu. Els arxiusinfectats per aquest virus queden inservibles i shan deliminar, de maneraque es perd la informaci que contenen.

Virus de companyia: per efectuar les operacions dinfecci, els virusde companyia poden esperar-se en la memria fins que sexecuti algunprograma (virus residents) o actuar directament fent copies dells mateixos(virus dacci directa).

Contrriament als virus de sobreescriptura o als virus residents, els virusde companyia no modifiquen els fitxers infectats. En algun moment,mentre el sistema operatiu est treballant (executant programes, fitxers ambextensions .exe i .com), pot haver dexecutar un programa amb un nomdeterminat. Aleshores, si hi ha dos fitxers executables, lun amb extensi.exe i laltre amb extensi .com, el sistema operatiu executar en primer llocel dextensi .com. El virus de companyia aprofita aquesta peculiaritat percrear un altre fitxer amb el mateix nom, per amb extensi .com, de maneraque el virus que crear la infecci ser aquest. Quan el sistema operatiu hagide decidir quin dels dos fitxers ha dexecutar, optar pel dextensi .com,que sinfectar, i seguidament executar el fitxer .exe. Daquesta manera,lusuari no sadonar de la infecci que sacaba de produir. Aquesta manerade funcionar daquests virus provoca que sestenguin duna manera efica ien dificulta la detecci.

Virus darrencada o boot: els termes boot o sector darrencada fanreferncia a una secci molt important dun disc (tant dun disquet comdun disc dur). En aquesta secci es guarda la informaci essencial deles caracterstiques del disc i hi ha un programa que permet arrencarlordinador. Aquest virus no infecta fitxers, sin els discos que els contenen.Actuen infectant, en primer lloc, el sector darrencada dels disquets, USB,CD o DVD. Quan un ordinador es posa en marxa amb un disquet, un USB,un CD o un DVD infectat, el virus de boot ninfecta el disc dur.

Virus de macro: lobjectiu daquests virus s infectar els fitxers queshan creat mitjanant determinades aplicacions que contenen macros:documents de Word (.doc), fulls de clcul Excel (.xls), bases de dades(.mdb), presentacions en PowerPoint (.pps), fitxers Corel Draw, OpenOfficeWriter(.odt), OpenOffice Calc (.ods), OpenOffice Base, etc.

Les macros sn microprogrames associats a un fitxer que serveixen perautomatitzar operacions complexes. En ser programes, les macros es podeninfectar. Quan sobri un fitxer que contingui un virus daquest tipus, lesmacros es carregaran de manera automtica i produiran la infecci. Tot ique la majoria de les aplicacions que utilitzen les macros disposen dunaprotecci antivirus i de seguretat especfica, hi ha molts virus de macro quesalten aquesta protecci.

Hi ha un tipus de virus de macro diferent segons si leina que sutilitza sde Word, dExcel, dAccess, de PowerPoint, de multiprograma o darxius

Path

El path s el nom angls quecorrespon a la ruta en qu estroba un arxiu. La rutasexpressa des del directori arrelfins al directori en qu es hi halarxiu. Tamb es coneix ambaquest nom el contingut de lavariable path, que correspon aldirectori del sistema en qu estroben els executables.

El Way, el Trj.ReBoot i elTrivial.88.D sn exemplesde virus de sobreescriptura.

El Polyboot.B i lAntiEXEsn alguns exemples devirus darrancada o boot.


Aquests sn alguns delsexemples de virus de

macro: el Relax, elMelissa.A, el Bablas o el

O97M/Y2K.

Aquests sn algunsexemples de virus

encriptats: lElvira i el Trile.

LElkern, el Marburg, elSatan Bug i el Tuareg sn

exemples de viruspolimrfics.

LYwinz s un exemple devirus multipartides.

El PSWBugbear.B, elLovgate.F, el Trile.C, el

Sobig.D i el Mapson snalguns exemples de cucs.

RTF. De totes maneres, aquest virus pot no infectar tots els programes oeines amb macros.

Virus de directori o denlla: els fitxers subiquen en direccions de-terminades (unitat de disc i directori) que el sistema operatiu coneix perpoder localitzar-los i treballar-hi. Els virus denlla o de directori alterenles direccions que indiquen on es troben emmagatzemats els fitxers. Aixdoncs, en intentar executar un programa (fitxer .exe o .com) infectat per unvirus denlla, el que es fa en realitat s executar el virus, ja que aquestmodificar la direcci original del programa i la reemplaar. Una vegadaproduda la infecci, s impossible localitzar i treballar amb els fitxersoriginals.

Virus encriptats: ms que dun tipus de virus, es tracta duna tcnicaque alguns daquests virus, que poden pertnyer a altres classificacions,utilitzen. Els virus sencripten perqu els programes antivirus no elsdetectin. Quan volen actuar es desencripten i quan han acabat es tornena encriptar.

Virus polimrfics: sn virus que cada vegada que fan una infecci sen-cripten duna manera diferent. Per fer-ho, utilitzen diversos algorismmes iclaus de xifratge. Aix, generen moltes cpies dells mateixos i impedeixenque els antivirus els localitzin per mitj de la cerca en cadenes o signatures.Per aix sn difcils de detectar.

Virus multipartides: sn virus que poden fer moltes infeccions mitjanantla combinaci de tcniques diferents. Lobjectiu s qualsevol element quees pot infectar: arxius, programes, macros, discos, etc. Es consideren elsms perillosos per la capacitat que tenen de combinar moltes tcniquesdinfecci i pels danys que provoquen.

Virus web: sn virus de creaci recent i apareixen quan sentra en unapgina web que cont ActiveX, Java o Javascript infectat.

2) Cucs o worms: es dupliquen com els virus, per no modifiquen els arxius. Eslimiten a fer copies dells mateixos al ms rpid possible sense tocar cap fitxer.Poden arribar a ocupar la memria i alentir lordinador. A ms, tamb podencollapsar per saturaci les xarxes en qu shan infiltrat.

Les infeccions que produeixen aquests virus es fan per mitj del correu electrnic,les xarxes informtiques i els canals de xat (com lIRC o lICQ) dInternet.

3) Cavalls de Troia: no es consideren virus, perqu no infecten altres fitxersper reproduir-se ni tampoc fan cpies dells mateixos per propagar-se, com fanels cucs. Lobjectiu bsic que tenen s introduir i installar altres programes en


lordinador perqu es puguin controlar remotament des daltres equips. s a dir,arriben a lordinador com si fossin programes inofensius, per quan sexecuten hiinstallen un segon programa, el cavall de Troia.

En general, els cavalls de Troia sn programes que soculten en imatges o arxiusmultimdia (udio o vdeo) perqu es puguin installar fcilment.

Els efectes dels cavalls de Troia poden ser molt perillosos. Com els virus, tenenla capacitat deliminar fitxers o destruir la informaci del disc dur. A ms, per,poden capturar dades confidencials i enviar-les a una direcci externa. Tambpoden obrir ports de comunicacions, cosa que permet que altres persones tinguinun control remot del vostre ordinador.

De les accions ms comunes dels cavalls de Troia, en destacarem les segents:

Controla remotament equips.

Espia equips per obtenir informaci.

Obt contrasenyes del Messenger.

Ataca els arxius del sistema.

Assigna contrasenyes als arxius i desprs suborna els usuaris (vctimes)perqu paguin diners a canvi de les contrasenyes.

Captura pantalles, similar a espiar.

Enganya un usuari amb enginyeria social per aconseguir-ne les dadesconfidencials, com nmeros bancaris, contrasenyes o noms dusuari.

Els cavalls de Troia sn tan importants que ja ocupen el primer lloc de la llista deprogramari malicis, davant dels virus. El fet que a Internet hi hagimodels simplesper crear cavalls de Troia sense necessitat de ser cap expert en informtica, ha fetque encara proliferessin ms.

4) Bombes lgiques: estrictament, tampoc es consideren virus, ja que no esreprodueixen i ni tan sols sn programes independents, sin que sn segmentscamuflats dins altres programes.

Lobjectiu que tenen s destruir les dades dun ordinador o causar altres tipus dedanys que poden arribar a ser molt destructors.

5) Falses alarmes o hoaxes: no sn virus, sin missatges de correu electrnicque enganyen. Es difonen massivament per Internet i sembren alarma sobresuposades infeccions vriques i amenaces contra els usuaris. Les falses alarmessolen guanyar-se la confiana dels usuaris, perqu aporten dades que semblencertes i proposen una srie daccions a realitzar per eliminar la suposada infecci.No cal fer cas de les advertncies i les instruccions, simplement sha desborrar elmissatge i prou.

6) Programes espia o spyware: el programa espia s un programari, de lacategoria dels programes maliciosos, que recopila informaci dun ordinador i

LIRC.Sx2, el Trifor o elBurglar.A sn algunsexemples de cavalls deTroia.

El Good Time, el PenpalGreetings, el Join the Crewo el Win a Holiday, el TakesGuts to Say Jesus, entrealtres, sn algunes de lesfalses alarmes.


Llicncia freeware ishareware

La llicncia freeware correspon aprogramari de distribuci

gratuta, per amb llicncia dsrestringida. Per exemple,normalment no es permet

modificar el codi de laplicaci.En canvi, la llicncia shareware

consisteix a distribuir unprogramari de manera gratuta i

temporal. Normalment, tfuncionalitat restringida.

Alguns exemples deprogrames espia sn el

Gator i el Bonzo Buddy.

desprs la transmet a una entitat externa sense el consentiment o el coneixementdel propietari de lordinador. Aquest programa espia sautoinstalla afectant, demanera que sexecuta cada vegada que lordinador es posa en marxa (utilitza elCPU i la memria RAM i redueix lestabilitat de lordinador). Funciona sempre icontrola ls que es fa dInternet, cosa que serveix a entitats externes per mostrar-vos, per exemple, anuncis relacionats amb la vostra activitat en la xarxa.

La funci ms comuna que tenen aquests programes s recopilar informaci sobrelusuari i distribuir-la a empreses publicitries o altres organitzacions interessades.Cal tenir en compte, per, que organismes oficials han utilitzat aquest programariper recopilar informaci contra sospitosos de delictes, pirateria del programari,etc.

El programa espia es pot installar en el sistema de moltes maneres diferents.Per exemple, cavalls de Troia, pgines web que visitem i contenen determinatscontrols ActiveX o codis que exploten una vulnerabilitat determinada, aplicacionsamb llicncia de programari gratut (freeware) o programari de prova (shareware)que descarreguem dInternet, etc.

Ats que, normalment, el programa espia utilitza la connexi del PC a Internet pertransmetre informaci, consumeix amplada de banda i, per tant, afecta la velocitatde transferncia de les dades.

Entre la informaci que recull aquest programari, hi podem trobar missatges,contactes, adreces IP, DNS, adreces web visitades, descrregues realitzades,nmeros de la targeta de crdit, contrasenyes, etc.

A banda daquesta enumeraci de programari malicis, cal esmentar els hackersi alguns dels mtodes que utilitzen de manera maliciosa, com lenginyeria sociali, dins aquest camp, la suplantaci o la pesca (phising).

El mn dels hackers o pirates informtics s molt ampli i comprn molts tipusdaccions diferents, des dentrar en un sistema pel simple fet de descobrir quinsen sn els punts febles, sense fer-hi cap acci maliciosa, fins a entrar en sistemes iapoderar-sen per control remot o inutilitzar-los. En altres casos, es poden limitara aconseguir contrasenyes, nmeros de targetes de crdit, etc.

Cal saber que els hackers solen ser persones amb molts coneixements de progra-maci, xarxes i sistemes operatius. Actuen amb intencionalitats molt diverses.

Hi ha un camp, que sanomena enginyeria social, que pretn aconseguir

uf4 - seguretat activa

Documents