Windows Vista

ChemaChema AlonsoAlonsoMVPMVP Windows SecurityWindows Securitychema@informatica64.comchema@informatica64.com

Chema Alonso

Malignohttp://www.elladodelmal.com

https://listas.hispalinux.es/pipermail/grulin/2005-December/003537.html

josemaricariño

Comunidad

Making Friends

https://listas.hispalinux.es/pipermail/grulin/2005-December/003592.html

http://listas.hispalinux.es/pipermail/grulin/2006-May/003996.html

Making Friends

http://investic.interzonas.info/entrada.php?op=ViewArticle&articleId=365&blogId=6

Making Friends

AgendaAgenda

EntornoEntornoEl mundo de las amenazasEl mundo de las amenazasMalwareMalwareClasificaciClasificacióónn

Como ayuda VistaComo ayuda VistaVisiVisióón Tecnoln TecnolóógicagicaEn profundidadEn profundidad

ProtecciProteccióón de la memorian de la memoriaIntegridad de Sistemas en 64Integridad de Sistemas en 64--bitbitFiltro Filtro AntiphisingAntiphising --IE7IE7UACUACWindows DefenderWindows Defender

Entorno del Software Malintencionado

VirusesViruses, gusanos, Troyanos, , gusanos, Troyanos, rootkitsrootkits, , botsbots

AdwareAdware, , spywarespyware, Software de , Software de monitorizacimonitorizacióón o de control remoton o de control remoto

InofensivoInofensivo

Potencialmente Potencialmente No requeridoNo requerido

MaliciosoMalicioso

Espectro de Espectro de MalwareMalware

¿¿Que es el Que es el SpywareSpyware??EjemplosEjemplosDescripciDescripcióónn

Sin amenazas potencialesSin amenazas potenciales

Usa recursos de Usa recursos de forma remotaforma remota

Recoge informaciRecoge informacióón n personalpersonal

Muestra anunciosMuestra anuncios

Cambia opciones del Cambia opciones del sistemasistema

Marca Marca automautomááticamenteticamente

Claramente malicioso Claramente malicioso (virus, gusano, troyano)(virus, gusano, troyano)

InocuoInocuo

ColecciColeccióón de n de datosdatos

AnunciosAnuncios

Cambios de Cambios de configuraciconfiguracióónn

Uso de Uso de recursosrecursos

MarcadoMarcado

Actividad Actividad maliciosamaliciosa

MonitorizaciMonitorizacióónn Guarda lo que tecleasGuarda lo que tecleas

Da

Da ññ

o po

tenc

ial

o po

tenc

ial

ExtremoExtremo

NingunoNinguno FunciFuncióónn

++ NotepadNotepad

++ ISP softwareISP software–– PornPorn dialerdialer

++ Control Control ParentalParental–– KeyKey--loggersloggers

–– SasserSasser

++ Barra de Barra de busquedabusqueda–– Recolector de datosRecolector de datos

++ Software AdSoftware Ad--supportedsupported–– PopPop--upsups no autorizadosno autorizados

++ Utilidades de configuraciUtilidades de configuracióónn–– Secuestro del Navegador Secuestro del Navegador

++ Aplicaciones en Aplicaciones en backgroundbackground

–– Puertas traserasPuertas traseras

SpywareSpyware y Software no deseado: y Software no deseado: Aplicaciones que llevan a cabo ciertas Aplicaciones que llevan a cabo ciertas

funciones sin el apropiado control y funciones sin el apropiado control y consentimiento del usuario.consentimiento del usuario.

Windows Malicious Software Removal ToolWindows Malicious Software Removal Tool

Windows DefenderWindows Defender

InofensivoInofensivo

Potencialmente Potencialmente no requeridono requerido

MaliciosoMalicioso

EspectroEspectro de de MalwareMalware

El mundo de las amenazasEl mundo de las amenazas

AmenazaAmenaza Ejemplo de Ejemplo de MitigaciMitigacióón(esn(es))ViolaciViolacióón de la Integridad n de la Integridad del sistemadel sistema

AutenticaciAutenticacióón de Windowsn de WindowsContraseContraseññas Fuertesas FuertesPatchGuardPatchGuard (Vista x64)(Vista x64)UserUser AccountAccount Control (Vista)Control (Vista)ASLR (Vista) / DEPASLR (Vista) / DEP

ViolaciViolacióón de la integridad n de la integridad de los Datos / de los Datos / DisclosureDisclosure

Cifrado de FicherosCifrado de FicherosBitlockerBitlocker (Vista)(Vista)DRMDRM

PhishingPhishing Filtro Filtro AntiphishingAntiphishing (IE 7)(IE 7)

SpamSpam AntispamAntispam en Outlook / Exchangeen Outlook / Exchange

MalwareMalware PrevenciPrevencióón, deteccin, deteccióón y eliminacin y eliminacióón de n de malwaremalware

MalwareMalware

Existen muchas formas de Existen muchas formas de malwaremalwareSoftware Malicioso (Software Malicioso (WormWorm / virus / Troyanos)/ virus / Troyanos)Software NO deseado (Software NO deseado (spywarespyware / / adwareadware))

Comportamiento o modo de actuaciComportamiento o modo de actuacióónnVector de ReplicaciVector de Replicacióón (n (emailemail / P2P / IM / / P2P / IM / networknetwork))ExploitExploit de una vulnerabilidad de softwarede una vulnerabilidad de softwareIngenieriaIngenieria Social Social BackdoorBackdoorRobo de contraseRobo de contraseññasasPolymorficoPolymorficoRootkitRootkitPayloadPayload ( borrado de disco duro, documentos, flash BIOS, etc.)( borrado de disco duro, documentos, flash BIOS, etc.)

El modo de implementarlo depende de la motivaciEl modo de implementarlo depende de la motivacióón del autorn del autorExisten varias fuentes de cExisten varias fuentes de cóódigo para digo para malwaremalwareLos atacantes hacen pruebas frente a los productos de seguridadLos atacantes hacen pruebas frente a los productos de seguridad

HistoriaHistoria de Microsoftde Microsoft

1992: Fundaci1992: Fundacióón de n de GeCADGeCADJunio 2003: Microsoft adquiere los derechos de PI de Junio 2003: Microsoft adquiere los derechos de PI de GeCADGeCADEnero 2004: Herramientas de limpieza para ayudar con los Enero 2004: Herramientas de limpieza para ayudar con los ataques de virus ataques de virus DeciembreDeciembre 2004 : Adquisici2004 : Adquisicióón de la compan de la compañíñía de software a de software GiantGiantEnero 2005: Lanzamiento del Enero 2005: Lanzamiento del MaliciousMalicious Software Software RemovalRemoval ToolToolEnero 2005: Lanzamiento de Windows Enero 2005: Lanzamiento de Windows AntispywareAntispyware (Beta 1)(Beta 1)Febrero 2006: Lanzamiento de Windows Defender (Beta 2)Febrero 2006: Lanzamiento de Windows Defender (Beta 2)

185

502

58

208

336

5311

336

31 27

SlammerSlammer BugBearBugBear SlapperSlapper RamenRamen KlezKlez ScalperScalper NimdaNimda CodeRedCodeRed BlasterBlasterLionLion

Win32Win32

Linux/UnixLinux/Unix

NombreNombredel Virusdel Virus

Número de dias transcurridos entre la publicación del update de seguridad y el impacto del virus

Malicious Software Removal ToolMalicious Software Removal Tool

ObjetivosObjetivosReducir el Impacto del Reducir el Impacto del malwaremalware en usuarios Windowsen usuarios WindowsEntender las tendencias del Entender las tendencias del malwaremalware

DistribuciDistribucióónnWindows Windows UpdateUpdateCentro de DescargasCentro de DescargasSitio WebSitio Web

Reporte disponible pReporte disponible púúblicamenteblicamente

httphttp://://www.microsoft.comwww.microsoft.com//downloadsdownloads//details.aspx?displaylangdetails.aspx?displaylang==es&Familes&FamilyIDyID=47DDCFA9=47DDCFA9--645D645D--44954495--9EDA9EDA--92CDE33E99A992CDE33E99A9

Actividad de MSRTActividad de MSRT

2.7 billones de ejecuciones2.7 billones de ejecuciones270 millones de equipos270 millones de equipos

0

750.000.000

1.500.000.000

2.250.000.000

3.000.000.000

Resultados MSRTResultados MSRT

16 millones de infecciones16 millones de infecciones5.7 millones de equipos infectados5.7 millones de equipos infectados1 infecci1 infeccióón cada 311n cada 311

16

5,7

(mill

ions

)

Resultado Acumulado

Infecciones desde Enero '05Equipos desde Junio '05

ReducciReduccióónn del del ImpactoImpacto

75-100%; 25

50-74%; 1225-49%; 7

0-24%; 6Incremento; 3

Decremento; 50

Entender las tendenciasEntender las tendencias

238 372592 641

781

1.151

3.538

InstantMessaging

Worm

Virus ExploitWorm

P2P Worm Rootkit MassMailingWorm

BackdoorTrojans

Tipo de Malware (miles de equipos)

Troyanos de puerta trasera son la amenaza mas Troyanos de puerta trasera son la amenaza mas significante y mas crecientesignificante y mas crecienteLos Los RootkitsRootkits son una amenaza emergenteson una amenaza emergenteIngenierIngenieríía Social 35%a Social 35%

Como ayuda VistaComo ayuda Vista

Contra el Contra el MalwareMalware....PrevenciPrevencióónnAislamientoAislamientoRemediosRemedios

PrevenciPrevencióónn

Vulnerabilidad de SoftwareVulnerabilidad de Software ••Ciclo de desarrollo seguroCiclo de desarrollo seguro••Actualizaciones AutomActualizaciones Automááticasticas••Windows Windows FirewallFirewall//IPSecIPSec••Data Data ExecutionExecution ProtectionProtection••AddressAddress SpaceSpace Layout Layout RandomizationRandomization

AmenazaAmenaza TecnologTecnologíía en Vistaa en Vista

IngenierIngenieríía Sociala Social ••UserUser AccountAccount ControlControl••Windows DefenderWindows Defender

Vulnerabilidad de la PolVulnerabilidad de la Polííticatica ••ContraseContraseñña de Administrador en Blancoa de Administrador en Blanco••Firma de Firma de driversdrivers en 64 en 64 bitbit••PolPolíítica de tica de FirewallFirewall por Redpor Red

AislamientoAislamientoAmenazaAmenaza TecnologTecnologíía en Vistaa en Vista

Comportamiento del SistemaComportamiento del Sistema Integridad de Sistemas de 64Integridad de Sistemas de 64--bitbit

Recursos del SistemaRecursos del Sistema FortificaciFortificacióón de Serviciosn de ServiciosFirewallFirewall BidireccionalBidireccionalIE IE ProtectedProtected ModeMode

ConfiguraciConfiguracióón del Sisteman del Sistema UserUser AccountAccount ControlControlWindows DefenderWindows Defender

RemediosRemediosAmenazaAmenaza TecnologTecnologíía en Vistaa en Vista

Estado de la SeguridadEstado de la Seguridad Centro de Seguridad de WindowsCentro de Seguridad de Windows

Limpieza de Limpieza de SpywareSpyware Windows DefenderWindows Defender

Limpieza de Virus Limpieza de Virus Windows Windows MaliciousMalicious Software Software RemovalRemoval ToolTool

Stack

Return Address

Locals

ProtecciProteccióónn de la de la MemoriaMemoriaData Data ExecutionExecution ProtectionProtection

AddressAddress SpaceSpace Layout Layout RandomizationRandomization

DEPDEP

Previous Frames

Parameters

Code

Application Code

Library Code

Windows CodeLoadLibraryLoadLibrary()()

ASLRASLR

IntegridadIntegridad de de SistemasSistemas de 64 bitde 64 bitApplicationCreateFile()

Kernel32.dllCreateFileW()

ntdll.dllZwCreateFile()

Interrupt Dispatch Table

2E

System Service Dispatch Table

NtCreateFile()

Interrupt Dispatch TableInterrupt Dispatch TableGlobal Descriptor TableGlobal Descriptor TableSystem Service Dispatch TableSystem Service Dispatch Table

Cambio fundamental en la operativa Cambio fundamental en la operativa de Windowsde Windows

Hace que el sistema funcione bien como un usuario Hace que el sistema funcione bien como un usuario estestáándarndarProporciona un mProporciona un méétodo seguro para ejecutar aplicaciones todo seguro para ejecutar aplicaciones en un contexto elevadoen un contexto elevado

Requiere marcar las aplicaciones que no sean UACRequiere marcar las aplicaciones que no sean UACDeja claro las acciones que tienen un impacto en todo el equipoDeja claro las acciones que tienen un impacto en todo el equipo

VirtualizaciVirtualizacióónn del registro y ficheros para proporcionar del registro y ficheros para proporcionar compatibilidad.compatibilidad.

Escrituras en el registro de la maquina son redirigidas a Escrituras en el registro de la maquina son redirigidas a localizaciones de usuario si el usuario no tiene privilegios localizaciones de usuario si el usuario no tiene privilegios administrativosadministrativosEfectivamente: cuentas estEfectivamente: cuentas estáándar pueden ejecutar aplicaciones ndar pueden ejecutar aplicaciones que necesitan cuentas de administracique necesitan cuentas de administracióón de manera segura.n de manera segura.

ProtecciProteccióón de cuentas Usuarion de cuentas UsuarioUAC (UAC (UserUser AccountAccount Control)Control)

Nos ayuda a implementar el principio de menor Nos ayuda a implementar el principio de menor privilegio de dos maneras distintas:privilegio de dos maneras distintas:

1.1. El usuario no necesita tener privilegios El usuario no necesita tener privilegios administrativos para realizar ciertas tareas para las administrativos para realizar ciertas tareas para las que se necesitas esos privilegios que se necesitas esos privilegios –– En cambio:En cambio:

Se le pregunta al usuario por credenciales con mas Se le pregunta al usuario por credenciales con mas privilegiosprivilegios

2.2. Aunque el usuario tenga privilegios superiores( Aunque el usuario tenga privilegios superiores( EjemEjem. un administrador), se le pregunta al usuario . un administrador), se le pregunta al usuario por su consentimiento antes de que esos derechos por su consentimiento antes de que esos derechos sean ejercitadossean ejercitados

No se necesita volver a proporcionar las credenciales, No se necesita volver a proporcionar las credenciales, solo se necesita el consentimientosolo se necesita el consentimiento

Leer: Leer: ww.microsoft.comww.microsoft.com//technettechnet//windowsvistawindowsvista//evaluateevaluate//featfeat//uaprot.mspuaprot.mspxx

Internet Explorer 7Internet Explorer 7AdemAdemáás de ser compatible con UAC, incluirs de ser compatible con UAC, incluiráá::

Modo ProtegidoModo Protegido que solo permite a IE navegar sin mas que solo permite a IE navegar sin mas permisos, aunque el usuario los tenga. permisos, aunque el usuario los tenga. EjemEjem. Instalar . Instalar softwaresoftware

Modo de Modo de ““SoloSolo--lecturalectura””, excepto para los ficheros temporales , excepto para los ficheros temporales de Internet cuando el navegador esta en Zona de seguridad de de Internet cuando el navegador esta en Zona de seguridad de InternetInternet

Filtro contra Filtro contra PhisingPhising que actualiza Microsoft cada poco que actualiza Microsoft cada poco tiempo y usa una red global de fuentes de datostiempo y usa una red global de fuentes de datosActiveXActiveX OptOpt--in, da al usuario el control de los controles in, da al usuario el control de los controles ActivexActivexTodos los datos de Todos los datos de cachecache se eliminan con un solo se eliminan con un solo clickclick

MIC & UIPI

Mandatory Integrity Control (MIC).Una aplicación no puede acceder a datos que tengan un Nivel de integridad superior al suyo.Niveles de Integridad: Bajo, Medo, Alto y de SistemaLos objetos con ACL tienen una nueva entrada ACE donde se les asigna un nivel de IntegridadA cada proceso se le asigna un Nivel de Integridad en su testigo de acceso

User Interfacer Privilege Isolation (UIPI)Bloquea el acceso de procesos con Nivel de Integridad inferior a procesos con Nivel de Integridad superior.

Filtro Filtro antianti--PhishingPhishingProtecciProteccióón dinn dináámica contra mica contra WebsWebs FraudulentasFraudulentas

Realiza 3Realiza 3 chequeos para proteger al usuario de chequeos para proteger al usuario de posibles timos:posibles timos:

1.1. Compara el Sitio Web con la lista local de sitios legCompara el Sitio Web con la lista local de sitios legíítimos conocidostimos conocidos

2.2. Escanea el sitio Web para conseguir caracterEscanea el sitio Web para conseguir caracteríísticas comunes a los sticas comunes a los sitios con sitios con PhisingPhising

3.3. Cheque el sitio con el servicio online que tiene Microsoft sobreCheque el sitio con el servicio online que tiene Microsoft sobre sitios sitios reportados que se actualiza varias veces cada horareportados que se actualiza varias veces cada hora

Level 1: WarnSuspicious Website

Signaled

Level 2: BlockConfirmed Phishing Site

Signaled and Blocked

Dos niveles de Aviso y protecciDos niveles de Aviso y proteccióón en la barra de n en la barra de estado de IE7estado de IE7

Windows DefenderWindows Defender

MonitorizaciMonitorizacióónnDetecciDeteccióónnLimpiezaLimpiezaSoftware ExplorerSoftware ExplorerSpyNetSpyNet

MonitorizaciMonitorizacióónn

AutomaticAutomatic StartupStartup EntryEntry PointsPoints ((ASEPsASEPs))ConfiguraciConfiguracióón del Sisteman del SistemaInternet Explorer Internet Explorer

ConfiguracionConfiguracionAddAdd--onsonsDescargasDescargas

Servicios y Servicios y DriversDriversEjecuciEjecucióón de Aplicacionesn de AplicacionesRegistro de Registro de AplicaciAplicacióónesnesWindows Windows AddAdd--onsons

DetecciDeteccióónnMotores compartidosMotores compartidosFormatos de ficherosFormatos de ficheros

Contenedores (Contenedores (zipzip, , rarrar, , etcetc))Empaquetadores de Ficheros (Empaquetadores de Ficheros (upxupx, , aspackaspack))Muchos formatos estMuchos formatos estáándar ndar

MetodosMetodos de Deteccide DeteccióónnHashHash simple de fichero( MD5, SHA1, CRC)simple de fichero( MD5, SHA1, CRC)MultiMulti--CRCCRCFirmas de Firmas de RootkitsRootkits en modo usuarioen modo usuarioDetecciDeteccióón genn genééricaricaEmulaciEmulacióónnHeurHeuríísticastica

LimpiezaLimpieza

Scripting languageScripting languageClaves del Claves del registroregistroFicherosFicherosModificaciModificacióónn del del ficherofichero HostHost

Software ExplorerSoftware Explorer

En ejecuciEn ejecucióónnProgramas de InicioProgramas de InicioServiciosServiciosDriversDrivers

SpyNetSpyNet

Ayuda a priorizar la creaciAyuda a priorizar la creacióón de firmasn de firmasSe envSe envíía informacia informacióónnInformaciInformacióón del ficheron del ficheroEngineEngine / / signaturesignature versionsversionsVotingVoting datadataInformaciInformacióón n DemograficaDemografica

Cifrado de datosCifrado de datosBasicoBasico vsvs Avanzado Avanzado –– PIIPIIOpcionalOpcional

© 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any

information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.