ANTIROOTKIT

Un rootkit es una herramienta, o un grupo de ellas que tiene como finalidad esconderse a sí misma y esconder otros programas, procesos, archivos, directorios, claves de registro, y puertos que permiten al intruso mantener el acceso a un sistema para remotamente comandar acciones o extraer información sensible. Existen rootkits para una amplia variedad de sistemas operativos, como GNU/Linux, Solaris o Microsoft Windows.

Algunas versiones españolas de programas lo han traducido como «Encubridor».

Origen de los rootkits

El origen de los rootkits puede ser muy variado. La mayoria aparecen desde los emuladores y descargadores de archivos mediante varios virus lo cual se le podria decir que aparte de encubrir es un duplicador de ellos.

Uso de los rootkits

Un rootkit se usa habitualmente para esconder algunas aplicaciones que podrían actuar en el sistema atacado. Suelen incluir backdoors (puertas traseras) para ayudar al intruso a acceder fácilmente al sistema una vez que se ha conseguido entrar por primera vez. Por ejemplo, el rootkit puede esconder una aplicación que lance una consola cada vez que el atacante se conecte al sistema a través de un determinado puerto. Los rootkits del kernel o núcleo pueden contener funcionalidades similares. Un backdoor puede permitir también que los procesos lanzados por un usuario sin privilegios de administrador ejecuten algunas funcionalidades reservadas únicamente al superusuario. Todo tipo de herramientas útiles para obtener información de forma ilícita pueden ser ocultadas mediante rootkits.

Los rootkits se utilizan también para usar el sistema atacado como "base de operaciones", es decir, usarlo a su vez para lanzar ataques contra otros equipos. De este modo puede parecer que es el sistema infiltrado el que lanza los ataques y no el intruso externo. Este tipo de ataques podrían ser de denegación de servicio (DoS), ataques mediante IRC o mediante correo electrónico (spam).

Tipos de rootkits

Tipos básicos

Los rootkits se pueden clasificar en dos grupos: los que van integrados en el núcleo y los que funcionan a nivel de aplicación. Los que actúan desde el kernel añaden o modifican una parte del código de dicho núcleo para ocultar el backdoor. Normalmente este procedimiento se complementa añadiendo nuevo código al kernel, ya sea mediante un controlador (driver) o un módulo, como los módulos del kernel de Linux o los dispositivos del sistema de Windows. Estos rootkits suelen parchear las llamadas al sistema con versiones que esconden información sobre el intruso. Son los más peligrosos, ya que su detección puede ser muy complicada.

Los rootkits que actúan como aplicaciones pueden reemplazar los archivos ejecutables originales con versiones crackeadas que contengan algún troyano, o también pueden modificar el comportamiento de las aplicaciones existentes usando hacks, parches, código inyectado, etc.


Ejemplos

• Algunos troyanos han utilizado estos rootkits no-persistentes ( FU Rootkits ) que cargan en la memoria una vez que ellos se encuentran instalados.

• SuckIT


• Adore


• T0rn


• Ambient's Rootkit (ARK)


• Hacker Defender


• First 4 Internet XCP (Extended Copy Protection) DRM

Detección de rootkits

• (en inglés) Rootkit.com rootkits PoC gratuitos.


• (en francés) RkU Test Rootkit & Unreal rootkits para someter a un test sus softwares de protección.


• Rootkit de núcleo : UACd (Agrega un driver de muy bajo nivel llamado UACd.sys)


• Rootkits de Macintosh

Detección de rootkits

Hay limitaciones inherentes a cualquier programa que intente detectar rootkits mientras se estén ejecutando en el sistema sospechoso. Los rootkits son aplicaciones que modifican muchas de las herramientas y librerías de las cuales depende el sistema. Algunos rootkits modifican el propio kernel (a través de módulos y otros métodos como se indica más arriba). El principal problema de la detección de rootkits consiste en que el sistema operativo en ejecución no es fiable globalmente. En otras palabras, algunas acciones como pedir la lista de los procesos en ejecución o listar los ficheros de un directorio no son fiables al no comportarse como deberían.



El mejor método para detectar un rootkit es apagar el sistema que se considere infectado y revisar o salvar los datos arrancando desde un medio alternativo, como un CD-ROM de rescate o un PenDrive. Un rootkit inactivo no puede ocultar su presencia. Los programas antivirus mejor preparados suelen identificar a los rootkits que funcionan mediante llamadas al sistema y peticiones de bajo nivel, las cuales deben quedar intactas. Si hay alguna diferencia entre ellas, se puede afirmar la presencia de un rootkit. Los rootkits intentan protegerse a sí mismos monitorizando los procesos activos y suspendiendo su actividad hasta que el escaneo ha finalizado, de modo que el rootkit no pueda ser identificado por un detector.

Los fabricantes de aplicaciones de seguridad han ido integrando los detectores de rootkits en los productos tradicionales de detección de antivirus. Si un rootkit consigue esconderse durante el proceso de detección, será identificado por el detector de rootkits, que busca movimientos sospechosos. Si el rootkit "decide" detenerse momentáneamente, será identificado como un virus. Esta técnica combinada de detección puede obligar a los atacantes a implementar mecanismos de contraataque (también llamados retro-rutinas) en el código del rootkit, con el objetivo de eliminar los procesos creados por el software de seguridad, eliminando así al programa antivirus de la memoria. Al igual que con los virus convencionales, la detección y eliminación de los rootkits será una batalla permanente entre los creadores del rootkit y de los programas de seguridad.

Hay varios programas disponibles para detectar rootkits. En los sistemas basados en Unix, dos de las aplicaciones más populares son chkrootkit y rkhunter. Para Windows está disponible un detector llamado Blacklight (gratuito para uso personal) en la web de F-Secure. Otra aplicación de detección para Windows es Rootkit Revealer de Sysinternals. Detecta todos los rootkits actuales comparando las funcionalidades del sistema operativo original con las que se han detectado. Sin embargo, algunos rootkits han empezado a añadir este programa a la lista de los cuales no deben esconderse. En esencia, eliminan las diferencias entre los dos listados, de modo que el detector no los encuentra. Pero algo tan simple como renombrar el fichero rootkitrevealer.exe hace que el rootkit ya no sepa que se está enfrentando a un detector. Como se decía antes, será una continua batalla entre los rootkits y los antivirus.

Enlaces externos
• Verificar Linux contra rootkits con rkhunter y chkrootkit

• ROOTKIT. COM - comunidad de desarrollo de rootkits

• Detectando rootkits

• Rootkits en el kernel de Linux

• Análisis del rootkit T0rn

• Rootkits para Windows y Linux y software de detección(En alemán)

• Ejemplo de un rootkit eliminado como un virus

• Anti-trojan.org: Información sobre troyanos en rootkits y software de detección

• Strider GhostBuster Rootkit Detection

• Unix Rootkits en packet storm security

Software de detección de rootkits
Freeware

• www.antirootkit.com (Windows/UNIX/Linux)

• chkrootkit (UNIX/Linux)

• rkhunter (UNIX/Linux)

• RootkitRevealer (Windows)

• klister es un grupo de herramientas en fase preliminar

• flister programa para detectar archivos ocultos por rootkits en Windows

• IceSword (Windows) (en francés) Tutoriel

• Rootkit Unhooker (Windows) RkUnhooker (en francés) Tutoriel

• AVG Anti-Rootkit Free (Windows) (en inglés)

• Avira Anti-Rootkit Free (Windows) (en inglés)

• avast! Home con Anti-Rootkit integrado (Windows)


Shareware


• Rkdetector v2.0 Orientado al análisis forense permite detectar y eliminar rootkits además de poder ser usado como software de recuperación de datos.

• Blacklight (versión beta) de F-Secure tiene versión en línea de comandos y gráfica.

• Security Task Manager es un gestor de tareas avanzado que puede mostrar procesos y servicios ocultos

• TaskInfo de Igor Arsenin es otro gestor de tareas mejorado

• unhackme de Greatis software

• Trojanhunter de Mischel Internet Security AB

• ProcessGuard de Diamond Computer Systems Pty. Ltd.

• Rootkit Downloads Descargas de anti-rootkits y rootkits (en alemán).

• avast! Profesional con Anti-Rootkit integrado (Windows)

Fuente de Consulta:
http://es.wikipedia.org/wiki/Rootkit






imagenes:

http://www.infospyware.com/images//pro*rams/panda-antirootkit.jpg

http://i.d.com.com/i/dl/media/dlimage*13*88/84/138884_large.jpeg

FIREWALL

Un firewall es un dispositivo que funciona como cortafuegos entre redes, permitiendo o denegando las transmisiones de una red a la otra. Un uso típico es situarlo entre una red local y la red Internet, como dispositivo de seguridad para evitar que los intrusos puedan acceder a información confidencial.

Un firewall es simplemente un filtro que controla todas las comunicaciones que pasan de una red a la otra y en función de lo que sean permite o deniega su paso. Para permitir o denegar una comunicación el firewall examina el tipo de servicio al que corresponde, como pueden ser el web, el correo o el IRC. Dependiendo del servicio el firewall decide si lo permite o no. Además, el firewall examina si la comunicación es entrante o saliente y dependiendo de su dirección puede permitirla o no.

De este modo un firewall puede permitir desde una red local hacia Internet servicios de web, correo y ftp, pero no a IRC que puede ser innecesario para nuestro trabajo. También podemos configurar los accesos que se hagan desde Internet hacia la red local y podemos denegarlos todos o permitir algunos servicios como el de la web, (si es que poseemos un servidor web y queremos que accesible desde Internet). Dependiendo del firewall que tengamos también podremos permitir algunos accesos a la red local desde Internet si el usuario se ha autentificado como usuario de la red local.

Un firewall puede ser un dispositivo software o hardware, es decir, un aparatito que se conecta entre la red y el cable de la conexión a Internet, o bien un programa que se instala en la máquina que tiene el modem que conecta con Internet. Incluso podemos encontrar ordenadores computadores muy potentes y con softwares específicos que lo único que hacen es monitorizar las comunicaciones entre redes.

Fuente de Consulta:
http://www.monografias.com/trabajos3/firewalls/firewalls.shtml





IMAGENES

http://media.photobucket.com/image/firewall/jjjewiw/Outpost_Firewall_Pro_Box.jpg

http://www.uazuay.edu.ec/estudios/sistemas/teleproceso/apuntes_1/graficos/firewall1.gif

Parental Control

El control parental integrado en Windows Vista está diseñado para tranquilizar a los padres y conseguir que se sientan seguros de su capacidad para controlar lo que hacen sus hijos en el equipo. Estos controles ayudan a los padres a seleccionar los juegos y los programas que pueden usar sus hijos, así como los sitios Web que pueden visitar y cuándo pueden hacerlo. Los padres pueden restringir el uso del equipo a un horario específico con la seguridad de que Windows Vista aplicará estas restricciones, incluso cuando estén lejos de casa.


El panel Control parental, que forma parte del subprograma del Panel de control de User Accounts and Family Safety (Cuentas de usuario y Seguridad familiar), centraliza la configuración principal del Control parental de Windows Vista.

Desde esta ubicación, puedes configurar el control parental del equipo y las aplicaciones, definir límites apropiados para los juegos que usan tus hijos, la exploración Web y el uso general del equipo. El panel Control parental proporciona una ubicación central desde la que puedes activar y desactivar los controles parentales y definir controles para todos los aspectos del uso que hacen tus hijos del equipo. Los proveedores de software de seguridad familiar y de servicios de otros fabricantes también pueden decidir que sus productos y servicios estén disponibles en el panel Control parental de Windows Vista. Los medios de control parental no funcionan en equipos unidos a un dominio como, por ejemplo, entornos empresariales.




Informes de actividad

Desde el panel Control parental, puedes revisar informes de actividad de fácil lectura que muestran el uso que están haciendo tus hijos del equipo. La supervisión del comportamiento de los niños frente al equipo no sólo te ayuda a realizar un seguimiento de lo que ven, escuchan y hacen, sino que también te permiten definir mejor y modificar los controles parentales en función de datos reales. El icono de Control parental siempre está visible para los niños en la bandeja de sistema, de modo que ellos sepan que los controles parentales están activados.

Límite de tiempo para uso del equipo

Con Windows Vista, puedes decidir cuándo deseas permitir a los niños que hagan uso del equipo. Dispones de una cuadrícula que muestra los días de la semana y las horas del día.
La configuración predeterminada permite que los niños usen el equipo todas las horas del día y de la noche, los siete días de la semana. Para restringir su uso, sólo es necesario hacer clic en las horas y los días concretos que desees bloquear. Cuando se acerca al final de un período de tiempo aprobado, el niño recibe avisos 15 minutos y 1 minuto antes de que finalice el tiempo. Si el período de tiempo finaliza antes de que salga de la sesión, Windows Vista la suspende y muestra la pantalla de inicio de sesión para que otro usuario pueda usar el equipo. No obstante, la sesión del niño permanece activa en segundo plano para que, cuando vuelva a iniciar sesión, pueda retomar lo que dejó sin perder su trabajo.


Fuente de Consulta:
http://www.microsoft.com/spain/windows/products/windowsvista/features/details/parentalcontrols.mspx






FUENTE DE IMAGENES:

http://geeks.ms/cfs-filesystemfile.ashx/__key/CommunityServer.Components.PostAttachments/00.00.07.78.40/AlejandroRefojo4_5F00_1.jpg

http://seifreed.files.wordpress.com/2009/09/control_parental.png?w=500&h=402

COPIA DE SEGURIDAD – RESPALDO DE INFORMACION

Una copia de seguridad o backup en informática es un archivo digital, un conjunto de archivos o la totalidad de los datos considerados lo suficientemente importantes para ser conservados. También se emplea el término a veces como un eufemismo para denominar a cualquier archivo pirata. La única diferencia reside en haber comprado anteriormente el contenido del backup o haberlo creado el poseedor.

GENERALIDADES

Las copias de seguridad son un proceso que se utiliza para salvar toda la información, es decir, un usuario, quiere guardar toda la información, o parte de la información, de la que dispone en el PC hasta este momento, realizará una copia de seguridad de tal manera, que lo almacenará en algún medio de almacenamiento tecnológicamente disponible hasta el momento como por ejemplo cinta, DVD, BluRay, en discos virtuales que proporciona Internet o simplemente en otro Disco Duro, para posteriormente si pierde la información, poder restaurar el sistema.


La copia de seguridad es útil por varias razones:


1. Para restaurar un ordenador a un estado operacional después de un desastre (copias de seguridad del sistema)


2. Para restaurar un pequeño número de ficheros después de que hayan sido borrados o dañados accidentalmente (copias de seguridad de datos).


3. En el mundo de la empresa, además es útil y obligatorio, para evitar ser sancionado por los órganos de control en materia de protección de datos. Por ejemplo, en España la Agencia Española de Protección de Datos (AEPD)


Normalmente las copias de seguridad se suelen hacer en cintas magnéticas, si bien dependiendo de lo que se trate podrían usarse disquetes, CD, DVD, discos ZIP, JAZ o magnético-ópticos, pendrives o pueden realizarse sobre un centro de respaldo remoto propio o vía internet.


La copia de seguridad puede realizarse sobre los datos, en los cuales se incluyen también archivos que formen parte del sistema operativo. Así las copias de seguridad suelen ser utilizadas como la última línea de defensa contra pérdida de datos, y se convierten por lo tanto en el último recurso a utilizar.


Las copias de seguridad en un sistema informático tienen por objetivo el mantener cierta capacidad de recuperación de la información ante posibles pérdidas. Esta capacidad puede llegar a ser algo muy importante, incluso crítico, para las empresas. Se han dado casos de empresas que han llegado a desaparecer ante la imposibilidad de recuperar sus sistemas al estado anterior a que se produjese un incidente de seguridad grave.

Fuente de Consulta:

http://es.wikipedia.org/wiki/Copia_de_seguridad

IMAGENES:

http://blogestores.files.wordpress.com/2007/01/copia_seguridad.gif

http://www.microsoft.com/library/media/3082/spain/windows/images/products/windowsvista/features/experiences/smallbusiness/secBackup_backup_img01.jpg