Windows Vista - Fundación Dédalo · Junio 2003: Microsoft adquiere los derechos de PI de GeCAD...
Transcript of Windows Vista - Fundación Dédalo · Junio 2003: Microsoft adquiere los derechos de PI de GeCAD...
Windows Vista
ChemaChema AlonsoAlonsoMVPMVP Windows SecurityWindows [email protected]@informatica64.com
Chema Alonso
Malignohttp://www.elladodelmal.com
https://listas.hispalinux.es/pipermail/grulin/2005-December/003537.html
josemaricariño
Comunidad
Making Friends
https://listas.hispalinux.es/pipermail/grulin/2005-December/003592.html
http://listas.hispalinux.es/pipermail/grulin/2006-May/003996.html
Making Friends
http://investic.interzonas.info/entrada.php?op=ViewArticle&articleId=365&blogId=6
Making Friends
AgendaAgenda
EntornoEntornoEl mundo de las amenazasEl mundo de las amenazasMalwareMalwareClasificaciClasificacióónn
Como ayuda VistaComo ayuda VistaVisiVisióón Tecnoln TecnolóógicagicaEn profundidadEn profundidad
ProtecciProteccióón de la memorian de la memoriaIntegridad de Sistemas en 64Integridad de Sistemas en 64--bitbitFiltro Filtro AntiphisingAntiphising --IE7IE7UACUACWindows DefenderWindows Defender
Entorno del Software Malintencionado
VirusesViruses, gusanos, Troyanos, , gusanos, Troyanos, rootkitsrootkits, , botsbots
AdwareAdware, , spywarespyware, Software de , Software de monitorizacimonitorizacióón o de control remoton o de control remoto
InofensivoInofensivo
Potencialmente Potencialmente No requeridoNo requerido
MaliciosoMalicioso
Espectro de Espectro de MalwareMalware
¿¿Que es el Que es el SpywareSpyware??EjemplosEjemplosDescripciDescripcióónn
Sin amenazas potencialesSin amenazas potenciales
Usa recursos de Usa recursos de forma remotaforma remota
Recoge informaciRecoge informacióón n personalpersonal
Muestra anunciosMuestra anuncios
Cambia opciones del Cambia opciones del sistemasistema
Marca Marca automautomááticamenteticamente
Claramente malicioso Claramente malicioso (virus, gusano, troyano)(virus, gusano, troyano)
InocuoInocuo
ColecciColeccióón de n de datosdatos
AnunciosAnuncios
Cambios de Cambios de configuraciconfiguracióónn
Uso de Uso de recursosrecursos
MarcadoMarcado
Actividad Actividad maliciosamaliciosa
MonitorizaciMonitorizacióónn Guarda lo que tecleasGuarda lo que tecleas
Da
Da ññ
o po
tenc
ial
o po
tenc
ial
ExtremoExtremo
NingunoNinguno FunciFuncióónn
++ NotepadNotepad
++ ISP softwareISP software–– PornPorn dialerdialer
++ Control Control ParentalParental–– KeyKey--loggersloggers
–– SasserSasser
++ Barra de Barra de busquedabusqueda–– Recolector de datosRecolector de datos
++ Software AdSoftware Ad--supportedsupported–– PopPop--upsups no autorizadosno autorizados
++ Utilidades de configuraciUtilidades de configuracióónn–– Secuestro del Navegador Secuestro del Navegador
++ Aplicaciones en Aplicaciones en backgroundbackground
–– Puertas traserasPuertas traseras
SpywareSpyware y Software no deseado: y Software no deseado: Aplicaciones que llevan a cabo ciertas Aplicaciones que llevan a cabo ciertas
funciones sin el apropiado control y funciones sin el apropiado control y consentimiento del usuario.consentimiento del usuario.
Windows Malicious Software Removal ToolWindows Malicious Software Removal Tool
Windows DefenderWindows Defender
InofensivoInofensivo
Potencialmente Potencialmente no requeridono requerido
MaliciosoMalicioso
EspectroEspectro de de MalwareMalware
El mundo de las amenazasEl mundo de las amenazas
AmenazaAmenaza Ejemplo de Ejemplo de MitigaciMitigacióón(esn(es))ViolaciViolacióón de la Integridad n de la Integridad del sistemadel sistema
AutenticaciAutenticacióón de Windowsn de WindowsContraseContraseññas Fuertesas FuertesPatchGuardPatchGuard (Vista x64)(Vista x64)UserUser AccountAccount Control (Vista)Control (Vista)ASLR (Vista) / DEPASLR (Vista) / DEP
ViolaciViolacióón de la integridad n de la integridad de los Datos / de los Datos / DisclosureDisclosure
Cifrado de FicherosCifrado de FicherosBitlockerBitlocker (Vista)(Vista)DRMDRM
PhishingPhishing Filtro Filtro AntiphishingAntiphishing (IE 7)(IE 7)
SpamSpam AntispamAntispam en Outlook / Exchangeen Outlook / Exchange
MalwareMalware PrevenciPrevencióón, deteccin, deteccióón y eliminacin y eliminacióón de n de malwaremalware
MalwareMalware
Existen muchas formas de Existen muchas formas de malwaremalwareSoftware Malicioso (Software Malicioso (WormWorm / virus / Troyanos)/ virus / Troyanos)Software NO deseado (Software NO deseado (spywarespyware / / adwareadware))
Comportamiento o modo de actuaciComportamiento o modo de actuacióónnVector de ReplicaciVector de Replicacióón (n (emailemail / P2P / IM / / P2P / IM / networknetwork))ExploitExploit de una vulnerabilidad de softwarede una vulnerabilidad de softwareIngenieriaIngenieria Social Social BackdoorBackdoorRobo de contraseRobo de contraseññasasPolymorficoPolymorficoRootkitRootkitPayloadPayload ( borrado de disco duro, documentos, flash BIOS, etc.)( borrado de disco duro, documentos, flash BIOS, etc.)
El modo de implementarlo depende de la motivaciEl modo de implementarlo depende de la motivacióón del autorn del autorExisten varias fuentes de cExisten varias fuentes de cóódigo para digo para malwaremalwareLos atacantes hacen pruebas frente a los productos de seguridadLos atacantes hacen pruebas frente a los productos de seguridad
HistoriaHistoria de Microsoftde Microsoft
1992: Fundaci1992: Fundacióón de n de GeCADGeCADJunio 2003: Microsoft adquiere los derechos de PI de Junio 2003: Microsoft adquiere los derechos de PI de GeCADGeCADEnero 2004: Herramientas de limpieza para ayudar con los Enero 2004: Herramientas de limpieza para ayudar con los ataques de virus ataques de virus DeciembreDeciembre 2004 : Adquisici2004 : Adquisicióón de la compan de la compañíñía de software a de software GiantGiantEnero 2005: Lanzamiento del Enero 2005: Lanzamiento del MaliciousMalicious Software Software RemovalRemoval ToolToolEnero 2005: Lanzamiento de Windows Enero 2005: Lanzamiento de Windows AntispywareAntispyware (Beta 1)(Beta 1)Febrero 2006: Lanzamiento de Windows Defender (Beta 2)Febrero 2006: Lanzamiento de Windows Defender (Beta 2)
185
502
58
208
336
5311
336
31 27
SlammerSlammer BugBearBugBear SlapperSlapper RamenRamen KlezKlez ScalperScalper NimdaNimda CodeRedCodeRed BlasterBlasterLionLion
Win32Win32
Linux/UnixLinux/Unix
NombreNombredel Virusdel Virus
Número de dias transcurridos entre la publicación del update de seguridad y el impacto del virus
Malicious Software Removal ToolMalicious Software Removal Tool
ObjetivosObjetivosReducir el Impacto del Reducir el Impacto del malwaremalware en usuarios Windowsen usuarios WindowsEntender las tendencias del Entender las tendencias del malwaremalware
DistribuciDistribucióónnWindows Windows UpdateUpdateCentro de DescargasCentro de DescargasSitio WebSitio Web
Reporte disponible pReporte disponible púúblicamenteblicamente
httphttp://://www.microsoft.comwww.microsoft.com//downloadsdownloads//details.aspx?displaylangdetails.aspx?displaylang==es&Familes&FamilyIDyID=47DDCFA9=47DDCFA9--645D645D--44954495--9EDA9EDA--92CDE33E99A992CDE33E99A9
Actividad de MSRTActividad de MSRT
2.7 billones de ejecuciones2.7 billones de ejecuciones270 millones de equipos270 millones de equipos
0
750.000.000
1.500.000.000
2.250.000.000
3.000.000.000
Resultados MSRTResultados MSRT
16 millones de infecciones16 millones de infecciones5.7 millones de equipos infectados5.7 millones de equipos infectados1 infecci1 infeccióón cada 311n cada 311
16
5,7
(mill
ions
)
Resultado Acumulado
Infecciones desde Enero '05Equipos desde Junio '05
ReducciReduccióónn del del ImpactoImpacto
75-100%; 25
50-74%; 1225-49%; 7
0-24%; 6Incremento; 3
Decremento; 50
Entender las tendenciasEntender las tendencias
238 372592 641
781
1.151
3.538
InstantMessaging
Worm
Virus ExploitWorm
P2P Worm Rootkit MassMailingWorm
BackdoorTrojans
Tipo de Malware (miles de equipos)
Troyanos de puerta trasera son la amenaza mas Troyanos de puerta trasera son la amenaza mas significante y mas crecientesignificante y mas crecienteLos Los RootkitsRootkits son una amenaza emergenteson una amenaza emergenteIngenierIngenieríía Social 35%a Social 35%
Como ayuda VistaComo ayuda Vista
Contra el Contra el MalwareMalware....PrevenciPrevencióónnAislamientoAislamientoRemediosRemedios
PrevenciPrevencióónn
Vulnerabilidad de SoftwareVulnerabilidad de Software ••Ciclo de desarrollo seguroCiclo de desarrollo seguro••Actualizaciones AutomActualizaciones Automááticasticas••Windows Windows FirewallFirewall//IPSecIPSec••Data Data ExecutionExecution ProtectionProtection••AddressAddress SpaceSpace Layout Layout RandomizationRandomization
AmenazaAmenaza TecnologTecnologíía en Vistaa en Vista
IngenierIngenieríía Sociala Social ••UserUser AccountAccount ControlControl••Windows DefenderWindows Defender
Vulnerabilidad de la PolVulnerabilidad de la Polííticatica ••ContraseContraseñña de Administrador en Blancoa de Administrador en Blanco••Firma de Firma de driversdrivers en 64 en 64 bitbit••PolPolíítica de tica de FirewallFirewall por Redpor Red
AislamientoAislamientoAmenazaAmenaza TecnologTecnologíía en Vistaa en Vista
Comportamiento del SistemaComportamiento del Sistema Integridad de Sistemas de 64Integridad de Sistemas de 64--bitbit
Recursos del SistemaRecursos del Sistema FortificaciFortificacióón de Serviciosn de ServiciosFirewallFirewall BidireccionalBidireccionalIE IE ProtectedProtected ModeMode
ConfiguraciConfiguracióón del Sisteman del Sistema UserUser AccountAccount ControlControlWindows DefenderWindows Defender
RemediosRemediosAmenazaAmenaza TecnologTecnologíía en Vistaa en Vista
Estado de la SeguridadEstado de la Seguridad Centro de Seguridad de WindowsCentro de Seguridad de Windows
Limpieza de Limpieza de SpywareSpyware Windows DefenderWindows Defender
Limpieza de Virus Limpieza de Virus Windows Windows MaliciousMalicious Software Software RemovalRemoval ToolTool
Stack
Return Address
Locals
ProtecciProteccióónn de la de la MemoriaMemoriaData Data ExecutionExecution ProtectionProtection
AddressAddress SpaceSpace Layout Layout RandomizationRandomization
DEPDEP
Previous Frames
Parameters
Code
Application Code
Library Code
Windows CodeLoadLibraryLoadLibrary()()
ASLRASLR
IntegridadIntegridad de de SistemasSistemas de 64 bitde 64 bitApplicationCreateFile()
Kernel32.dllCreateFileW()
ntdll.dllZwCreateFile()
Interrupt Dispatch Table
2E
System Service Dispatch Table
NtCreateFile()
Interrupt Dispatch TableInterrupt Dispatch TableGlobal Descriptor TableGlobal Descriptor TableSystem Service Dispatch TableSystem Service Dispatch Table
Cambio fundamental en la operativa Cambio fundamental en la operativa de Windowsde Windows
Hace que el sistema funcione bien como un usuario Hace que el sistema funcione bien como un usuario estestáándarndarProporciona un mProporciona un méétodo seguro para ejecutar aplicaciones todo seguro para ejecutar aplicaciones en un contexto elevadoen un contexto elevado
Requiere marcar las aplicaciones que no sean UACRequiere marcar las aplicaciones que no sean UACDeja claro las acciones que tienen un impacto en todo el equipoDeja claro las acciones que tienen un impacto en todo el equipo
VirtualizaciVirtualizacióónn del registro y ficheros para proporcionar del registro y ficheros para proporcionar compatibilidad.compatibilidad.
Escrituras en el registro de la maquina son redirigidas a Escrituras en el registro de la maquina son redirigidas a localizaciones de usuario si el usuario no tiene privilegios localizaciones de usuario si el usuario no tiene privilegios administrativosadministrativosEfectivamente: cuentas estEfectivamente: cuentas estáándar pueden ejecutar aplicaciones ndar pueden ejecutar aplicaciones que necesitan cuentas de administracique necesitan cuentas de administracióón de manera segura.n de manera segura.
ProtecciProteccióón de cuentas Usuarion de cuentas UsuarioUAC (UAC (UserUser AccountAccount Control)Control)
Nos ayuda a implementar el principio de menor Nos ayuda a implementar el principio de menor privilegio de dos maneras distintas:privilegio de dos maneras distintas:
1.1. El usuario no necesita tener privilegios El usuario no necesita tener privilegios administrativos para realizar ciertas tareas para las administrativos para realizar ciertas tareas para las que se necesitas esos privilegios que se necesitas esos privilegios –– En cambio:En cambio:
Se le pregunta al usuario por credenciales con mas Se le pregunta al usuario por credenciales con mas privilegiosprivilegios
2.2. Aunque el usuario tenga privilegios superiores( Aunque el usuario tenga privilegios superiores( EjemEjem. un administrador), se le pregunta al usuario . un administrador), se le pregunta al usuario por su consentimiento antes de que esos derechos por su consentimiento antes de que esos derechos sean ejercitadossean ejercitados
No se necesita volver a proporcionar las credenciales, No se necesita volver a proporcionar las credenciales, solo se necesita el consentimientosolo se necesita el consentimiento
Leer: Leer: ww.microsoft.comww.microsoft.com//technettechnet//windowsvistawindowsvista//evaluateevaluate//featfeat//uaprot.mspuaprot.mspxx
Internet Explorer 7Internet Explorer 7AdemAdemáás de ser compatible con UAC, incluirs de ser compatible con UAC, incluiráá::
Modo ProtegidoModo Protegido que solo permite a IE navegar sin mas que solo permite a IE navegar sin mas permisos, aunque el usuario los tenga. permisos, aunque el usuario los tenga. EjemEjem. Instalar . Instalar softwaresoftware
Modo de Modo de ““SoloSolo--lecturalectura””, excepto para los ficheros temporales , excepto para los ficheros temporales de Internet cuando el navegador esta en Zona de seguridad de de Internet cuando el navegador esta en Zona de seguridad de InternetInternet
Filtro contra Filtro contra PhisingPhising que actualiza Microsoft cada poco que actualiza Microsoft cada poco tiempo y usa una red global de fuentes de datostiempo y usa una red global de fuentes de datosActiveXActiveX OptOpt--in, da al usuario el control de los controles in, da al usuario el control de los controles ActivexActivexTodos los datos de Todos los datos de cachecache se eliminan con un solo se eliminan con un solo clickclick
MIC & UIPI
Mandatory Integrity Control (MIC).Una aplicación no puede acceder a datos que tengan un Nivel de integridad superior al suyo.Niveles de Integridad: Bajo, Medo, Alto y de SistemaLos objetos con ACL tienen una nueva entrada ACE donde se les asigna un nivel de IntegridadA cada proceso se le asigna un Nivel de Integridad en su testigo de acceso
User Interfacer Privilege Isolation (UIPI)Bloquea el acceso de procesos con Nivel de Integridad inferior a procesos con Nivel de Integridad superior.
Filtro Filtro antianti--PhishingPhishingProtecciProteccióón dinn dináámica contra mica contra WebsWebs FraudulentasFraudulentas
Realiza 3Realiza 3 chequeos para proteger al usuario de chequeos para proteger al usuario de posibles timos:posibles timos:
1.1. Compara el Sitio Web con la lista local de sitios legCompara el Sitio Web con la lista local de sitios legíítimos conocidostimos conocidos
2.2. Escanea el sitio Web para conseguir caracterEscanea el sitio Web para conseguir caracteríísticas comunes a los sticas comunes a los sitios con sitios con PhisingPhising
3.3. Cheque el sitio con el servicio online que tiene Microsoft sobreCheque el sitio con el servicio online que tiene Microsoft sobre sitios sitios reportados que se actualiza varias veces cada horareportados que se actualiza varias veces cada hora
Level 1: WarnSuspicious Website
Signaled
Level 2: BlockConfirmed Phishing Site
Signaled and Blocked
Dos niveles de Aviso y protecciDos niveles de Aviso y proteccióón en la barra de n en la barra de estado de IE7estado de IE7
Windows DefenderWindows Defender
MonitorizaciMonitorizacióónnDetecciDeteccióónnLimpiezaLimpiezaSoftware ExplorerSoftware ExplorerSpyNetSpyNet
MonitorizaciMonitorizacióónn
AutomaticAutomatic StartupStartup EntryEntry PointsPoints ((ASEPsASEPs))ConfiguraciConfiguracióón del Sisteman del SistemaInternet Explorer Internet Explorer
ConfiguracionConfiguracionAddAdd--onsonsDescargasDescargas
Servicios y Servicios y DriversDriversEjecuciEjecucióón de Aplicacionesn de AplicacionesRegistro de Registro de AplicaciAplicacióónesnesWindows Windows AddAdd--onsons
DetecciDeteccióónnMotores compartidosMotores compartidosFormatos de ficherosFormatos de ficheros
Contenedores (Contenedores (zipzip, , rarrar, , etcetc))Empaquetadores de Ficheros (Empaquetadores de Ficheros (upxupx, , aspackaspack))Muchos formatos estMuchos formatos estáándar ndar
MetodosMetodos de Deteccide DeteccióónnHashHash simple de fichero( MD5, SHA1, CRC)simple de fichero( MD5, SHA1, CRC)MultiMulti--CRCCRCFirmas de Firmas de RootkitsRootkits en modo usuarioen modo usuarioDetecciDeteccióón genn genééricaricaEmulaciEmulacióónnHeurHeuríísticastica
LimpiezaLimpieza
Scripting languageScripting languageClaves del Claves del registroregistroFicherosFicherosModificaciModificacióónn del del ficherofichero HostHost
Software ExplorerSoftware Explorer
En ejecuciEn ejecucióónnProgramas de InicioProgramas de InicioServiciosServiciosDriversDrivers
SpyNetSpyNet
Ayuda a priorizar la creaciAyuda a priorizar la creacióón de firmasn de firmasSe envSe envíía informacia informacióónnInformaciInformacióón del ficheron del ficheroEngineEngine / / signaturesignature versionsversionsVotingVoting datadataInformaciInformacióón n DemograficaDemografica
Cifrado de datosCifrado de datosBasicoBasico vsvs Avanzado Avanzado –– PIIPIIOpcionalOpcional
© 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any
information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.