Diferencia entre revisiones de «Segurmática»
(→Custodia de Material Informático) |
|||
| Línea 84: | Línea 84: | ||
===Custodia de Material Informático=== | ===Custodia de Material Informático=== | ||
| − | Custodia de materiales informáticos en [[Bóveda|bóvedas]] con características especiales que garantizan la integridad y la confidencialidad de los recursos informáticos almacenados. | + | Custodia de materiales informáticos en [[Bóveda|bóvedas]] con características especiales que garantizan la integridad y la confidencialidad de los recursos informáticos almacenados. |
| + | |||
| + | == Desactivar el autoarranque de aplicaciones en windows xp para dispositivos extraibles. == | ||
| + | |||
| + | '''¿Cómo se infectan los virus de arranque?''' | ||
| + | Infectan el área de sistema (registro de arranque) del disco. También lo tienen aquellos disquetes que solo tienen datos. (Ejemplo: Form, Disk Killer, Michelangelo, Stoned) | ||
| + | Si se arranca con un virus infectado, el virus se carga en memoria, este comprueba los sectores de arranque del disco duro y si no contiene una copia del mismo, se copia y la computadora queda infectada. | ||
| + | Infección del sector maestro de arranque. Virus se copia en la cara 0 de la pista 0 del sector 1 donde esta la tabla de particiones. Allí están los datos de cual es la partición de arranque. El virus le indica al sistema que lea el sector de arranque para ver si es un sector de arranque valido, si es así lo infecta. | ||
| + | |||
| + | '''Ejemplos de algunos Virus de arranque y efectos de ellos.''' | ||
| + | |||
| + | 1.Programa Maligno W32.Efecto A y B, conocida como W32.Agend.alo: Este programa realiza modificaciones al sistema para inhabilitar el acceso al Editor de Registro (REGEDIT), de Windows, al administrador de tareas, impide la ejecución de cajas de diálogos MSDOS, inhabilita el acceso al comando CMD, oculta las opciones de carpetas del explorador de Windows | ||
| + | 2. Form, Disk Killer, Michelangelo y Stoned (otro tipo de virus, los virus multipartitos: infectan tanto los registros de arranque como los archivos de programa). albergan en su registro de arranque un pequeño programa que se ejecuta cuando arranca la computadora. Los virus de sector de arranque se adjuntan a esta parte del disco y se activan cuando el usuario intenta arrancar desde el disco infectado. | ||
| + | |||
| + | '''Ejecución automática por los virus del AutoRun.inf de un dispositivo extraíble.''' | ||
| + | |||
| + | Los programas malignos crean un fichero nombrado Autorun.inf que salvan en el directorio Raíz de la memoria Flash, en el que incluyen comandos que ordenan al Sistema Operativo la ejecución de su código , el cual generalmente se encuentra en un fichero ejecutable almacenado dentro de la propia flash. Por esta razón al editar el fichero .inf es frecuente observar estas ordenes de la etiqueta Autorun: | ||
| + | |||
| + | [autorun] | ||
| + | Open =setup.exe | ||
| + | o | ||
| + | Open =Start =Inicio.html | ||
| + | o | ||
| + | shellexecute =Inicio.html | ||
| + | o | ||
| + | shell \ open \ Comand=WScript.exe.\autorun.vbs | ||
| + | o | ||
| + | shell\explore\Command=WScript.exe.\autorun.vbs | ||
| + | |||
| + | Aunque no significa que la memoria flash está siempre infectada. | ||
| + | |||
| + | '''Principales requerimientos para detectar y desactivar el Autorun.inf:''' | ||
| + | |||
| + | Algunos creadores del Autorun.inf los crean ocultos de modo que no se puedan visualizar éste en el explorador de Windows, para esto hay que activar la opción | ||
| + | de herramientas y activar los ficheros y carpetas ocultos para que así el explorador de Windows pueda visualizar los ficheros ocultos en la PC y en la flash cuando esta se ejecuta. Para desactivar la reproducción automática (es decir el Autorun.inf), para que este no se ejecute al insertar la flash hay varias formas una de ellas seria desactivar la reproducción automática en la directiva del grupo y la otra forma seria en el editor de registro. | ||
| + | |||
| + | A continuación se explican cada uno de los pasos | ||
| + | |||
| + | '''Pasos para visualizar los archivos y carpetas ocultos:''' | ||
| + | |||
| + | '''1.Explorador de Windows:''' | ||
| + | |||
| + | En la barra de menú Herramientas /opciones de carpetas/ver/activar la opción de mostrar todos los archivos y carpetas ocultos/y activar las opciones de ocultar los archivos protegidos del sistema operativo (recomendado) y ocultar la extensiones de archivos para tipos de archivos conocidos. para finalizar se da clic en aceptar para que hagan efectos los cambios. | ||
| + | |||
| + | '''2.Editor de Registro:''' | ||
| + | |||
| + | Se abre por el menú inicio la opción ejecutar y se escribe Regedit.exe luego se da clic en Aceptar,modificamos una clave del registro. Copiamos y pegamos este texto en una ventana de Notepad o editor de texto similar "@SYS:DoesNotExist". Lo guardamos con extension .reg. Cerramos el editor y desde el editor de registro les damos un dobleclick. En la opción de la barra de menú archivo/ importar archivo se busca donde se guardo el archivo y se le da clic en abrir. Luego para visualizarlo se busca con los siguientes pasos en el Regedit.exe. | ||
| + | |||
| + | REGEDIT4 | ||
| + | [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]@="@SYS:DoesNotExist" | ||
| + | Con esto conseguimos que la clave del registro que le dice a Windows qué hacer al insertar un pendrive no haga nada. Obviamente también podrías hacer esta operación desde el regedit. Una vez terminados estos pasos al pinchar un pendrive el PC no hace nada, deberemos ir a Mi PC para ver la nueva unidad de disco. | ||
| + | |||
| + | Sugerencias: Para ser más efectivo y engañar al código maligno hay que crear en el Directorio Raíz del dispositivo externo una carpeta con el nombre Autorun.inf para engañar provisionalmente a los virus. | ||
| + | |||
| + | Usa la opción de usar WinRar (un programa gratuito para comprimir archivos) como si fuera el explorador de windows, y echa a andar ese programa, luego desactiva el explorer.exe con el Administrador de Tareas (es decir, presionas control+alt+supr, luego en la pestaña de "Procesos" seleccionas explorer.exe y le das al botón de "Terminar Proceso"), Acto seguido, Utiliza a WinRar y desde dentro de ese programa buscas el autorun.inf y la carpeta RECYCLER y simplemente los borras (con la tecla "supr" o "del"). Luego reanuda el explorer.exe (de nuevo usando el Adminstrador de Tareas presionando control+alt+supr y ahora seleccionas la pestaña "Aplicaciones", luego presionas el botón "Tarea Nueva", escribes explorer.exe y le das aceptar) y LISTO!!. Retira tu memoria USB del modo acostumbrado y repite este proceso por cada memoria infectada que tengas o sospeches que puede estar infectada. Si tienes varias memorias conectadas en el mismo momento, ve desde WinRar a cada una y límpialas todas de una vez, una por una. | ||
| + | |||
| + | '''3.Editor de Registro:''' | ||
| + | |||
| + | Se Abre el editor de Registro, en el panel izquierdo se da clic en el signo + delante de | ||
| + | HKEY_LOCAL_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\en el panel derecho en la opción NoDriveTypeAutoRun se da clic derecho sobre el y luego en modificar se le cambia el bit del 91 en 95, luego se da clic en Aceptar y se reinicia la PC. | ||
| + | |||
| + | '''4.Directiva del Grupo.''' | ||
| + | |||
| + | Para abrir está ventana se abra en el menú Inicio/ Ejecutar y se escribe gpedit.msc se da clic en aceptar y abre la ventana directiva del grupo, en el panel izquierdo se da clic delante del signo + en configuración del usuario, luego en plantillas administrativas y luego en sistema en el panel derecho se da doble clic en desactivar reproducción automática, se da clic en la opción Habilitada y en desactivar reproducción automática en se busca todas las unidades para que queda habilitada en cualquier dispositivo extraíble,luego se da clic en aceptar. | ||
===Adiestramientos en Seguridad Informática=== | ===Adiestramientos en Seguridad Informática=== | ||
Revisión del 13:36 24 may 2011
| ||||||||||||||
Segurmática. Empresa cubana de seguridad informática creada en 1995 que tiene como línea principal la comercialización de productos antivirus para Linux y Microsoft Windows [2]. Segurmática también ofrece otro grupo de servicios relacionados con la seguridad informática [3] y otros productos de software como analizadores de logs, así como sociedad con la compañía de seguridad informática Kaspersky [4].
Sumario
Productos
SABCOR
Sistema Analizador de Bitácoras de Correo Electrónico (SABCOR) es una aplicación capaz de extraer adecuadamente la información de las bitácoras (ficheros logs) de los servidores de correo electrónico mostrando un reporte personalizado sobre la actividad del uso de dicho servicio en la red, donde puede observarse el tamaño, fecha y hora de envío, los usuarios (remitentes o destinatarios) y los dominios hacia o desde se han enviado dichos mensajes, entre otros datos.
AAINternet
Sistema Analizador de Bitácoras de Acceso a Internet (AAInternet) es una aplicación capaz de extraer adecuadamente la información de las bitácoras (ficheros logs) de los servidores proxy mostrando un reporte personalizado sobre la actividad del uso de dicho servicio en la red, donde puede observarse la fecha y hora de visita al sitio, la transferencia por usuarios y los dominios o sitios Web visitados, entre otros datos.
SAVMailer
SAVMailer es un filtro de seguridad para servidores de correo electrónico capaz de revisar los mensajes que entran y salen del dominio de una red.
SAVUnix
Es programa antivirus diseñado para distribuciones de Linux capaz de detectar los programas malignos que se ejecutan en Microsoft Windows y Linux.
Segurmática Antivirus
Segurmática Antivirus Personal es un software antivirus orientado a la protección contra el accionar de los programas malignos en sistemas operativos de Microsoft Windows.
El Servidor Corporativo es un software orientado a la administración centralizada del programa Segurmática Antivirus instalado en las computadoras de una red basada en un dominio de Microsoft Windows.
Segurmática Antivirus Corporativo es la estructura cliente-servidor, donde los programas clientes son del tipo Segurmática Antivirus y el servidor es el Servidor Corporativo al cual se conectan éstos.
Segurmática Antivirus Edición Kaspersky
Segurmática Antivirus Edición Kaspersky es un software antivirus orientado a la protección contra el accionar de los programas malignos en sistemas operativos de Microsoft Windows, exceptuando Windows 98 y ME. Este producto es fruto de la colaboración con la empresa Kaspersky Lab y utiliza el motor de búsqueda de Kaspersky Antivirus.
Servicios
Diagnóstico Interno
Muestra al cliente los puertos abiertos en sus servidores y usuarios de la red local así como las vulnerabilidades y riesgos a los que están expuestos.
Escaneo de Puertos
Escaneo de puertos con posibles vulnerabilidades que puedan ser explotadas por usuarios malintencionados.
Instalación de Parches
Instalación de parches de seguridad para Microsoft Windows.
Diagnóstico Remoto
Detección de puertos abiertos y vulnerabilidades asociadas a ellos que pudieran estar expuestos a ataques externos.
Planes de Seguridad y Contingencia Informáticos
Elaboración de planes de seguridad informática para garantizar la seguridad de la actividad informática de los clientes.
Soporte Técnico
Soporte técnico a clientes que contraten licencias para los productos de software
Dictámenes
Aprobación y puesta en vigor de las modificaciones respecto a los trámites necesarios para la solicitud, autorización y otorgamiento de los accesos de una entidad a Internet o a cualquier red de datos externa.
Custodia de Material Informático
Custodia de materiales informáticos en bóvedas con características especiales que garantizan la integridad y la confidencialidad de los recursos informáticos almacenados.
Desactivar el autoarranque de aplicaciones en windows xp para dispositivos extraibles.
¿Cómo se infectan los virus de arranque? Infectan el área de sistema (registro de arranque) del disco. También lo tienen aquellos disquetes que solo tienen datos. (Ejemplo: Form, Disk Killer, Michelangelo, Stoned) Si se arranca con un virus infectado, el virus se carga en memoria, este comprueba los sectores de arranque del disco duro y si no contiene una copia del mismo, se copia y la computadora queda infectada. Infección del sector maestro de arranque. Virus se copia en la cara 0 de la pista 0 del sector 1 donde esta la tabla de particiones. Allí están los datos de cual es la partición de arranque. El virus le indica al sistema que lea el sector de arranque para ver si es un sector de arranque valido, si es así lo infecta.
Ejemplos de algunos Virus de arranque y efectos de ellos.
1.Programa Maligno W32.Efecto A y B, conocida como W32.Agend.alo: Este programa realiza modificaciones al sistema para inhabilitar el acceso al Editor de Registro (REGEDIT), de Windows, al administrador de tareas, impide la ejecución de cajas de diálogos MSDOS, inhabilita el acceso al comando CMD, oculta las opciones de carpetas del explorador de Windows 2. Form, Disk Killer, Michelangelo y Stoned (otro tipo de virus, los virus multipartitos: infectan tanto los registros de arranque como los archivos de programa). albergan en su registro de arranque un pequeño programa que se ejecuta cuando arranca la computadora. Los virus de sector de arranque se adjuntan a esta parte del disco y se activan cuando el usuario intenta arrancar desde el disco infectado.
Ejecución automática por los virus del AutoRun.inf de un dispositivo extraíble.
Los programas malignos crean un fichero nombrado Autorun.inf que salvan en el directorio Raíz de la memoria Flash, en el que incluyen comandos que ordenan al Sistema Operativo la ejecución de su código , el cual generalmente se encuentra en un fichero ejecutable almacenado dentro de la propia flash. Por esta razón al editar el fichero .inf es frecuente observar estas ordenes de la etiqueta Autorun:
[autorun] Open =setup.exe o Open =Start =Inicio.html o shellexecute =Inicio.html o shell \ open \ Comand=WScript.exe.\autorun.vbs o shell\explore\Command=WScript.exe.\autorun.vbs
Aunque no significa que la memoria flash está siempre infectada.
Principales requerimientos para detectar y desactivar el Autorun.inf:
Algunos creadores del Autorun.inf los crean ocultos de modo que no se puedan visualizar éste en el explorador de Windows, para esto hay que activar la opción de herramientas y activar los ficheros y carpetas ocultos para que así el explorador de Windows pueda visualizar los ficheros ocultos en la PC y en la flash cuando esta se ejecuta. Para desactivar la reproducción automática (es decir el Autorun.inf), para que este no se ejecute al insertar la flash hay varias formas una de ellas seria desactivar la reproducción automática en la directiva del grupo y la otra forma seria en el editor de registro.
A continuación se explican cada uno de los pasos
Pasos para visualizar los archivos y carpetas ocultos:
1.Explorador de Windows:
En la barra de menú Herramientas /opciones de carpetas/ver/activar la opción de mostrar todos los archivos y carpetas ocultos/y activar las opciones de ocultar los archivos protegidos del sistema operativo (recomendado) y ocultar la extensiones de archivos para tipos de archivos conocidos. para finalizar se da clic en aceptar para que hagan efectos los cambios.
2.Editor de Registro:
Se abre por el menú inicio la opción ejecutar y se escribe Regedit.exe luego se da clic en Aceptar,modificamos una clave del registro. Copiamos y pegamos este texto en una ventana de Notepad o editor de texto similar "@SYS:DoesNotExist". Lo guardamos con extension .reg. Cerramos el editor y desde el editor de registro les damos un dobleclick. En la opción de la barra de menú archivo/ importar archivo se busca donde se guardo el archivo y se le da clic en abrir. Luego para visualizarlo se busca con los siguientes pasos en el Regedit.exe.
REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]@="@SYS:DoesNotExist" Con esto conseguimos que la clave del registro que le dice a Windows qué hacer al insertar un pendrive no haga nada. Obviamente también podrías hacer esta operación desde el regedit. Una vez terminados estos pasos al pinchar un pendrive el PC no hace nada, deberemos ir a Mi PC para ver la nueva unidad de disco.
Sugerencias: Para ser más efectivo y engañar al código maligno hay que crear en el Directorio Raíz del dispositivo externo una carpeta con el nombre Autorun.inf para engañar provisionalmente a los virus.
Usa la opción de usar WinRar (un programa gratuito para comprimir archivos) como si fuera el explorador de windows, y echa a andar ese programa, luego desactiva el explorer.exe con el Administrador de Tareas (es decir, presionas control+alt+supr, luego en la pestaña de "Procesos" seleccionas explorer.exe y le das al botón de "Terminar Proceso"), Acto seguido, Utiliza a WinRar y desde dentro de ese programa buscas el autorun.inf y la carpeta RECYCLER y simplemente los borras (con la tecla "supr" o "del"). Luego reanuda el explorer.exe (de nuevo usando el Adminstrador de Tareas presionando control+alt+supr y ahora seleccionas la pestaña "Aplicaciones", luego presionas el botón "Tarea Nueva", escribes explorer.exe y le das aceptar) y LISTO!!. Retira tu memoria USB del modo acostumbrado y repite este proceso por cada memoria infectada que tengas o sospeches que puede estar infectada. Si tienes varias memorias conectadas en el mismo momento, ve desde WinRar a cada una y límpialas todas de una vez, una por una.
3.Editor de Registro:
Se Abre el editor de Registro, en el panel izquierdo se da clic en el signo + delante de HKEY_LOCAL_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\en el panel derecho en la opción NoDriveTypeAutoRun se da clic derecho sobre el y luego en modificar se le cambia el bit del 91 en 95, luego se da clic en Aceptar y se reinicia la PC.
4.Directiva del Grupo.
Para abrir está ventana se abra en el menú Inicio/ Ejecutar y se escribe gpedit.msc se da clic en aceptar y abre la ventana directiva del grupo, en el panel izquierdo se da clic delante del signo + en configuración del usuario, luego en plantillas administrativas y luego en sistema en el panel derecho se da doble clic en desactivar reproducción automática, se da clic en la opción Habilitada y en desactivar reproducción automática en se busca todas las unidades para que queda habilitada en cualquier dispositivo extraíble,luego se da clic en aceptar.
Adiestramientos en Seguridad Informática
Adiestramiento mediante un conjunto de entrenamientos para capacitar a los clientes que responden a las espectativas y necesidades en la seguridad informática.
Soluciones para la migración segura a Linux
Soluciones de seguridad para Linux a partir de los productos desarrollados por Segurmática.
Sociedad de Segurmática con Kaspersky
Contratación oficial desde Cuba al producto Antivirus Internacional Kaspersky.
Proyectos
Sistemas de análisis de Tráfico y Prevención de Intrusión
TAIPIS-net v0.1 (Traffic Analysis and Intrusion Prevention System) es una combinación de los proyectos Honeywall y Nepethentes [5]. Es un sistema de código abierto bajo la licencia GPLv2.
Estadísticas
Se han reportado en Cuba por Segurmática, 60134 programas malignos, de ellos 421 virus, 4208 caballos de troya, 1335 gusanos, 24 jokes y 25 exploits [6].
Véase también
Referencias
- ↑ http://www.infosoc.cu/storiescu2.php?fichero=15
- ↑ http://www.segurmatica.cu/productos/productos.jsp
- ↑ http://www.segurmatica.cu/servicios/servicios.jsp
- ↑ http://www.segurmatica.cu/gruporedes/sociedad.jsp
- ↑ http://www.segurmatica.cu/laboratorio/proyectos/proyectos.jsp
- ↑ http://www.segurmatica.cu/descargas/infopm/estadisticas.doc (Consultado 15/03/2011)
