Protección contra virus y código maligno en la red corporativa del CIGB
Jorge Lodos Vigil, Yossué Rodríguez Cruz*, Nelson Gamazo Sánchez*
Centro de Ingeniería Genética y Biotecnología (CIGB)
Ave. 31 e/ 158 y 190 PO Box 6162
Tel: +53(7)218200
Fax: +53(7)218070
E-mail: jorge.lodos@cigb.edu.cu
*Los autores contribuyeron por igual a este trabajo
Introducción
En el CIGB existe una red corporativa de más de 500 computadoras, situadas en Ciudad de la Habana, Camaguey y Sancti
Spiritus. En la provincia de Ciudad de la Habana hay tres localizaciones geográficas, el Centro de Investigaciones
Biológicas (CIB), la sede de la División de Ensayos Clínicos (Casa 149) y la sede principal del CIGB. La casa 149 se
conecta al CIB con una fibra óptica de aproximadamente 800 metros, y el CIB se conecta al CIGB usando líneas
arrendadas a una velocidad de 128 Kbps. La filial de Sancti Spiritus utiliza solamente servicios de conexión X.28,
mientras que con la filial de Camaguey se está introduciendo una conexión punto a punto usando frame relay.
Para poder utilizar de forma óptima los recursos de cómputo instalados, es imprescindible que en las máquinas cliente se
encuentren instalados los programas correctos, con configuraciones adecuadas y versiones compatibles con la plataforma
de hardware en que corren. En el CIGB, donde la inmensa mayoría de los usuarios no están familiarizados con la
instalación y mantenimiento de programas y sistemas operativos, esto es un reto importante. Por otro lado, se necesita una
herramienta que permita a los administradores de red conocer los programas instalados en las máquinas de los usuarios, en
otras palabras, que permitiera mantener un inventario de software y hardware. La herramienta que decidimos utilizar en el
CIGB fue el System Management Server (SMS) de Microsoft, en su versión 2.0. El SMS fue instalado en la red del CIGB
en octubre de 1999.
Con el desarrollo de las comunicaciones existente, es imposible evitar la presencia de código maligno en la red
corporativa del CIGB. Las vías de aparición de virus, caballos de Troya, gusanos, etc. son varias: correo electrónico,
documentos importados del exterior del CIGB en soporte magnético y programas malignos ejecutados a través de Internet
con protocolo http u otros protocolos. Todas las vías de introducción de código maligno no pueden considerarse
conocidas a priori. Ante esta realidad, la red corporativa debe estar preparada para eliminar cualquier código maligno
evitando o disminuyendo al mínimo su efecto, y registrando la mayor cantidad de información que permita de forma
centralizada identificar el origen de las amenazas y reaccionar de forma correcta ante ellas. No menos importante es evitar
que nuestra red corporativa pueda ser usada conciente o inconscientemente para distribuir código maligno a usuarios o
instituciones fuera de la nuestra.
Los diferentes tipos de código maligno pueden ser identificados y neutralizados tanto en los servidores como en las
máquinas cliente. La defensa contra código maligno debe ser escalonada o “en profundidad”, o sea, que haya varios
niveles redundantes de protección entre el destinatario final y los posibles puntos de entrada del código maligno. De esta
forma si algún código maligno explota exitosamente alguna vulnerabilidad en un punto, puede ser detenido todavía antes
de causar daño. Por ejemplo, si hablamos de un virus macro introducido en un floppy, este podría ser neutralizado en el
momento mismo de ser copiado, al ser enviado por correo, al ser recibido por cada uno de los servidores de correo que
participen en la cadena, al ser recibido por correo por el destinatario final y por último al tratar de copiarse en el disco del
cliente al que se destina el virus. En el CIGB hemos identificado tres vías de acceso de código maligno:
1.
Las máquinas de los usuarios a través de soportes magnéticos u ópticos.
2.
El correo electrónico interno y externo
3.
Ejecución de programas obtenidos por diferentes vías desde Internet.
Protección de las máquinas de los usuarios
En todos los casos, la forma de combatirlo es usando alguno de los llamados programas antivirus, aunque en realidad
estos programas son mucho más que “antivirus”. La política de protección contra código maligno en una red corporativa
determina los programas antivirus que deben ser usados, donde serán usados, como serán actualizados y como serán
instalados y desinstalados. En el CIGB, los programas antivirus deben poder ser actualizados automáticamente sin
interrupciones para los usuarios, los administradores y personal de seguridad informática deben poder evaluar de forma
remota la actualización y el estado de las máquinas cliente, y por último, dado el volumen de intercambio de información
con el extranjero en prácticamente todas las estaciones, es imprescindible que las actualizaciones de los programas
antivirus estén disponibles rápidamente después de aparecidos nuevos virus.
Para proteger directamente las computadoras de los usuarios, en el CIGB se usan varios programas antivirus,
comercializados por la compañía Symantec. El Norton Antivirus 7.x en las máquinas que pueden ejecutarlo de acuerdo a
los requerimientos de este programa y el Norton Antivirus 4.0 en las máquinas menos potentes. Las versiones 7.x del
Norton Antivirus son corporativas. Vienen preparadas para mantener actualizadas automáticamente todas las estaciones de
la red a partir de uno o varios servidores internos y permite a los administradores monitorear el estado del proceso de
eliminación del código maligno y la aparición de nuevos virus desconocidos y detectados por métodos heurísticos. El
sistema viene preparado para enviar esta información a Symantec inmediatamente y el virus será detectado y eliminado en
la próxima actualización. En el CIGB hemos pasado por este proceso en dos ocasiones, con virus cubanos que fueron
detectados pero no eliminados. Otra característica importante de estas versiones es que son capaces de analizar el correo
electrónico antes de que este pueda ser accedido por el usuario, garantizando la protección no solo del sistema de ficheros
sino también de vulnerabilidades de los programas de mensajería electrónica.
Hay un número importante de máquinas que todavía deben trabajar con la versión 4 del Norton Antivirus. La instalación
de esta versión preparada para la red corporativa del CIGB configura las máquinas clientes para actualizarse diariamente
utilizando un servidor interno con el mecanismo de Liveupdate, desarrollado por Symantec. Como consecuencia, todas las
computadoras del CIGB que tienen instalado el Norton Antivirus en cualquiera de sus versiones mantienen siempre las
versiones actualizadas de las tablas de código maligno, y esto ocurre de forma automática y transparente para los usuarios
en toda la red corporativa. Un ejemplo que ayuda a comprender la importancia de esta situación es lo ocurrido con el virus
W95.MTX (de acuerdo a la nomenclatura de Symantec), cuya aparición en Cuba fue reportada en octubre del 2000 en
nuestra prensa. La protección contra este virus apareció en la actualización del 5 de septiembre del 2000 distribuida por
Symantec, y consecuentemente desde esa fecha fue instalada en la mayoría de las máquinas del CIGB. Cuando supimos
por la prensa de la aparición de este virus en Cuba, revisamos nuestros registros, y en septiembre 17, este virus fue
exitosamente eliminado de un correo electrónico recibido por uno de nuestros compañeros. El remitente era legítimo y fue
informado automáticamente por el programa antivirus de que estaba infectado. Solamente en las máquinas que tienen la
versión corporativa del Norton Antivirus son eliminados entre 10 y 20 virus u otros códigos malignos diariamente como
promedio.
Las instalaciones de todos los programas antivirus en los clientes se hace de forma automática, con un solo click, el
antivirus adecuado de acuerdo a los recursos de la máquina es instalado y configurado sin intervención del usuario. Estos
no tienen tampoco la preocupación de actualizarlos constantemente, aunque si la de comprobar que está actualizado y en
caso contrario reportarlo a su responsable de seguridad informática. El SMS es el responsable de garantizar el proceso de
instalación y mantenimiento de los programas antivirus en las máquinas cliente.
Si bien el mantenimiento de estas medidas de protección contra códigos malignos es imprescindible, esta situación implica
un costo. Ninguno de los antivirus usados es perfecto, todos tienen desventajas, a la par de las ventajas que hacen
imprescindible su uso. Las versiones del Norton Antivirus consumen una cantidad importante de recursos en las
computadoras. En muchas ocasiones estas se hacen más lentas después de su instalación. Otros productos tienen otras
desventajas, por ejemplo ausencia de capacidades corporativas, poca cantidad de código maligno que es capaz de detectar
y eliminar, que han hecho imposible usarlos como herramientas en la red corporativa del CIGB.
Correo electrónico
En la actualidad, prácticamente todos los programas malignos utilizan el correo electrónico como una de sus vías de
distribución. Aunque los usuarios de versiones corporativas del Norton Antivirus en el CIGB ya tienen protección contra
código maligno en el correo, esto no es suficiente. No solo la protección de la mensajería no alcanza a todos los usuarios
(aunque el código maligno si se detecte al pasar el mensaje al sistema de ficheros en todos los casos) sino que existiría un
solo novel de protección que en determinadas circunstancias podría ser burlado. La solución es implementar controles
antivirus en los servidores de correo electrónico. Estos pueden ser clasificados a los efectos de prevención contra código
maligno en servidores relay que permiten el paso de mensajes de un sistema a otro, y servidores donde se almacenan los
buzones de los usuarios, o sea, que contienen gran cantidad de información almacenada y susceptible de contener código
maligno. Para proteger el primer tipo de servidores se necesita un programa que analice los mensajes en la medida en que
entran y salen del servidor, en el segundo caso el programa debe adicionalmente comprobar la información mantenida por
los usuarios. Aunque esto último pudiera parecer a primera vista innecesario, hay 2 situaciones en que esta comprobación
demuestra su eficacia: cuando una nueva actualización hace que código maligno que pasó impunemente pueda ahora ser
detectado en los buzones y cuando la información llegó a los buzones de forma “no estándar”, como ocurre en sistemas de
trabajo en grupo complejos como Microsoft Exchange o Lotus Notes con calendarios, diarios, carpetas públicas etc.
Los programas antivirus para servidores de correo deben también poder ser actualizados automáticamente y tener
actualizaciones de los programas antivirus estén disponibles rápidamente después de aparecidos nuevos virus, pero
también es muy importante la generación de reportes que permitan identificar ataques informáticos, fuentes de código
maligno, usuarios “conflictivos” y que brinden estadísticas sobre el código maligno detectado.
En el CIGB existe un servidor de correo en Internet, responsable de recibir y enviar toda la mensajería de la institución.
Este actúa como relay a un servidor interno, donde se encuentra la primera barrera de protección. Como aquí no se
almacenan buzones para los usuarios, se utiliza un programa que analiza solamente los mensajes que entran o salen, el
Norton Antivirus for Gateways. Es aquí donde se detecta la mayor parte del código maligno en el CIGB, en más de 100
mensajes semanales. Entre los más repetidos se encuentran el Magistr, el Sircam, y otros.
Como sistema de trabajo en grupo, que incluye mensajería electrónica, en el CIGB se utiliza el Microsoft Exchange. Aquí
se encuentra otra barrera de protección, el Norton Antivirus for Exchange. Aquí se detecta un número bastante menor de
código maligno, normalmente causado por usuarios que se las arreglan para enviar (por ejemplo, utilizando interface
WWW para mensajería) ficheros infectados con virus macros como attachments. La importancia de tener esta doble
barrera se puso de manifiesto ante la aparición del virus Sircam, por una vulnerabilidad del programa corriendo en el
servidor que hacía de relay, en él no se detectaba este virus, que hubiera llegado a las máquinas de los usuarios de no
haber sido eliminado en el servidor de trabajo en grupo.
En todos los casos ante la detección de un virus una advertencia con información sobre el virus detectado es enviada a la
dirección de origen del mensaje, si por alguna razón el mensaje no puede ser desinfectado, entonces no se envía y se pone
en cuarentena.
La actualización de estos programas se efectúa también con el mecanismo Liveupdate de Symantec.
Acceso a Internet
En el CIGB, el acceso a Internet está limitado para los usuarios a los protocolos http y ftp. Los protocolos que permiten
compartir ficheros arbitrariamente como ICQ, Gnutella, hotline, etc. no están permitidos. Aunque esta situación disminuye
los riesgos de introducción de códigos malignos, y al mismo tiempo la introducción involuntaria de los mismos con http o
ftp es mucho menos probable que con correo electrónico, la amenaza está presente y los riesgos deben ser minimizados.
Por ejemplo, en el CIGB no se consideró deseable deshabilitar a nivel de servidor servicios de Internet como la ejecución
de applets y controles active X, que cada día son mas usados por sitios de frecuente acceso en nuestra institución.
Los programas de protección diseñados para servidores que pudimos evaluar presentaron problemas, fundamentalmente
incompatibilidades con servicios existentes, que desaconsejaron su uso en el CIGB. En consecuencia, todo el esfuerzo de
protección contra código maligno en la red del CIGB se realiza en las máquinas cliente. Esto no es el resultado de una
política, sino la consecuencia de no haber encontrado programas de protección para los servidores que resuelvan una
mayor cantidad de problemas que los que provocan. Es una situación que se encuentra en constante evaluación.
La protección en las máquinas clientes se garantiza de dos formas, con programas antivirus actualizados constantemente
ya vistos y con una correcta configuración del Internet Explorer, navegador autorizado en el CIGB. La configuración del
Internet Explorer debe garantizar que no se ejecuten controles active X u otras aplicaciones potencialmente malignas
desde Internet y si desde la Intranet. Para lograr esta configuración se utilizan los mecanismos de políticas implementadas
en Windows 2000 e instalaciones del navegador preparadas para la red del CIGB que quedan configuradas de acuerdo a
lo anterior.
En este caso la protección contra código maligno, aunque ocurre en 2 niveles (navegador y programa antivirus) solo se
lleva a cabo en la máquina del usuario. Esto es un riesgo a la seguridad en general, que debe ser eliminado instalando
programas adecuados en los servidores.
Actualización de los programas Antivirus
En el CIGB la actualización de todos los programas antivirus, incluyendo aquellos que corren en servidores, ocurre de
forma automática. Los clientes con versiones corporativas utilizan un mecanismo que copia las actualizaciones usando la
red y protocolos de transferencia de ficheros, sin embargo el resto de los clientes y los programas en servidores utilizan el
mecanismo Liveupdate desarrollado por Symantec. De acuerdo a esta forma de actualización, los programas se conectan a
un servidor mantenido por Symantec y disponible en Internet que permite descargar las actualizaciones. Como no tiene
sentido que más de 100 programas clientes consuman ancho de banda para descargar lo mismo desde Internet, se
configuró un servidor interno con Liveupdate en la red del CIGB. De esta forma la actualización desde Internet se hace
una sola vez, en el servidor interno de Liveupdate, y a partir de éste se actualizan los clientes. Esta actualización en el
CIGB se hace diariamente en el horario de la madrugada, si aparece alguna alarma de actividad especial de virus o ataques
peligrosos reportados, entonces se comprueba la aparición de nuevas actualizaciones cada media hora y se fuerza la
descarga manual si fuera necesario. Así se hizo por ejemplo ante la aparición del peligroso Nimda, aunque en realidad el
CIGB no fue atacado por éste por la vía del correo electrónico hasta bastante después de su aparición.
Seguridad informática
Tener programas de detección de código maligno actualizado y presente en prácticamente todas las máquinas de la red es
necesario, pero no es suficiente. A pesar de los algoritmos heurísticos, de las actualizaciones constantes y los registros y
alarmas generados centralmente, siempre es posible enfrentar una infección a gran escala. Para estos casos es necesario
estar preparados y saber como reaccionar de antemano. En el CIGB existe una política de seguridad informática de toda la
institución, que establece entre otras cosas la necesidad de tener un responsable de seguridad informática por cada área.
Estos responsables son personas de confianza, motivadas, que les gusta el trabajo de informática y que poseen
conocimientos de seguridad informática. Este grupo de compañeros es el responsable que todas las máquinas de su área
tengan actualizados los antivirus, en caso de que algún usuario no tenga el cliente del SMS instalado, o que haya
problemas en la comunicación con los servidores de actualización. También son responsables de desinfectar las máquinas
de su área manualmente si fuera necesario, de acuerdo a procedimientos discutidos de antemano en alguno de nuestros
foros de discusión y que son aplicados de forma uniforme en todo el CIGB. La acción positiva de este grupo se puso de
manifiesto ante la infección masiva sufrida con el virus “I love you”, en un momento en que todavía no existía protección
centralizada. El primer mensaje fue leído (y la máquina consecuentemente infectada) a las 5 de la madrugada, por un
programa automático instalado por un usuario que clasificaba los mensajes de acuerdo a su contenido. A las 9 AM,
después de que masivamente los usuarios leyeran sus correos, se reportaron 32 máquinas infectadas, con el virus detectado
por métodos heurísticos, y otro número menor de máquinas que no tenían este método activado o tenían otro antivirus.
Prácticamente todos los usuarios del CIGB recibieron al menos un mensaje infectado. Usando la lista de distribución
como forma de comunicación, la herramienta de control remoto del SMS y la ayuda de los responsables de seguridad
informática de cada área, el virus (para el cual todavía no existía antivirus que lo desinfectara!) fue completamente
eliminado antes de las 12 del día. Otra función importante que cumplen los responsables de seguridad informática es la
preparación de los usuarios, aumentando su cultura tanto en el uso correcto de las herramientas informáticas para prevenir
infecciones de códigos malignos, como en el uso de las herramientas de protección existentes en el CIGB y en la
aplicación de las políticas de seguridad informática. La necesidad de esta preparación se puso de manifiesto recientemente
con el hoax Sulfbnk, mensaje que pedía a los usuarios borrar un fichero de su disco comunicándoles que era un virus. En
el CIGB algunos usuarios siguieron el “consejo”, demostrando que todavía es insuficiente la cultura de seguridad
informática.
Conclusiones
En la red corporativa del CIGB no se han sufrido daños importantes debido a la acción de códigos malignos. A esto ha
contribuido la aplicación de las medidas técnicas y administrativas expuestas anteriormente, que a pesar de su eficacia
demostrada se encuentran en constante análisis y pueden ser mejoradas. La implementación de esta solución tiene un costo
importante en recursos: necesita servidores con el SMS, con los programas centralizados de administración de Symantec,
conexión a Internet con ancho de banda suficiente para bajar cerca de 25Mb diarios de forma continua, y muchas veces
resultan molestos para los usuarios. Las política de protección contra virus y las soluciones técnicas para implementarlas
deben ser analizadas en cada caso concreto, no pueden ser copiadas o directamente trasladadas de una institución a otra.
Descargar

Protección contra virus y código maligno en la red corporativa del

Conceptos informáticos

Conceptos informáticos

InformáticaComputaciónVirusAntivirusAplicaciones informáticas

SOFTWARE APLICACIÓN PROGRAMACIÓN SISTEMA

SOFTWARE APLICACIÓN PROGRAMACIÓN SISTEMA

SistemaProgramasCompresiónAplicaciones

Virus y antivirus informáticos

Virus y antivirus informáticos

VacunasSeguridad informáticaTroyanosGusanosTipos de virusProcedimientos de vacunación