|
|
|
Documentos
generales sobre Outpost
Firewall Pro
•
Outpost Firewall y las pruebas de fuga
(Leak Tests)
Descripción
Introducción
Todos tenemos información valiosa guardada en nuestros ordenadores, por ello es importante considerar cómo proteger esa información de manera confiable.
En Internet abundan programas maliciosos diseñados para robar secretamente información personal (por ejemplo: contraseñas, detalles de cuentas bancarias, y otros datos confidenciales), y entregar esos datos a piratas y otros delincuentes informáticos.
La vulnerabilidad de esta información implica que, para los usuarios, es vital conocer y controlar el tráfico saliente del ordenador, con el fin de evitar transferencias de datos no autorizadas.
Mientras que los antivirus y las aplicaciones contra programas espía pueden detectar y remover código malicioso descargado en el ordenador, una aplicación cortafuegos sirve para propósitos más amplios.
Los cortafuegos actúan como un punto de verificación virtual para los datos en tránsito, y permiten sólo conexiones autorizadas, evitando que programas maliciosos se conecten a Internet.
Si un virus o programa espía ha logrado ingresar al ordenador, el cortafuegos puede prevenir que ese código malicioso se comunique o se propague por la red.
Tanto los antivirus como los detectores de programas espía, dependen en
su gran mayoría, de una temprana actualización de firmas para reconocer
patrones de amenaza nuevos, de modo que los creadores de código malicioso
están siempre
un paso adelantados, respecto a técnologías de detección más antiguas.
Una aplicación cortafuegos se diseña para proteger los ordenadores de los
daños ocasionados por amenazas maliciosas nuevas, mientras los desarrolladores
de antivirus y herramientas contra programas espía, en su inmensa mayoría,
preparan sus actualizaciones.
Windows XP, especialmente con Service Pack 2 instalado, provee una protección medianamente robusta - la mejora del módulo de seguridad sirvió para eliminar muchos puntos débiles previamente explotados por programas maliciosos, y el cortafuegos integrado ha sido preparado para detectar mejor las amenazas nuevas.
Desafortunadamente, estas mejoras no son suficientes para evitar los agujeros de seguridad del propio sistema operativo.
En principio, el cortafuegos de Windows XP no brinda protección a las conexiones salientes, pues cada transferencia de datos se presume segura y es autorizada por defecto.
Esta presunción no siempre es segura, y lo demuestra la reciente ola de programas espía, aplicaciones de puerta trasera, actividad de conjuntos de programas robot (botnets), y otras amenazas a la seguridad de la información guardada en los sistemas Windows XP.
En segundo lugar, Windows XP presume que los programas instalados son confiables, y les permite comunicarse sin restricciones, intercambiar datos, y compartir componentes internos.
Por ejemplo, al pulsar sobre un hipervínculo en un mensaje de correo electrónico, se abre automáticamente el navegador por defecto en el vínculo especificado.
Obviamente, esto facilita el trabajo, pero al mismo tiempo disminuye la seguridad del sistema, pues un código malicioso puede llamar y ejecutar una aplicación legítima utilizando el mismo procedimiento, sin realizar ninguna pregunta.
Muchas aplicaciones cortafuegos, como el integrado de Windows XP, no pueden
detectar ese comportamiento oculto y permiten que el código malicioso utilice la conectividad a Internet de un ordenador.
A continuación hay tres escenarios que muestran el nivel de protección que tendría un ordenador con diferentes tipos de cortafuegos.
- Sin cortafuegos
Se permite el acceso a Internet y a la red, sin restricciones.
Los datos legítimos (flechas verdes) y los no autorizados (flechas rojas)
tienen permiso para ingresar y salir del ordenador libremente. Las conexiones
del ordenador (puertos) están expuestos a todo tipo de accesos entrantes
o salientes.
- Windows XP u otros cortafuegos básicos
- Los programas maliciosos no pueden acceder directamente a los datos
Este tipo de cortafuegos realiza un filtrado básico del tráfico saliente;
por ejemplo, podría detectar y evitar los intentos de programas maliciosos
(como troyanos) de enviar información no autorizada.
Sin embargo, no sería capaz de detectar si ese mismo código malicioso enmascarado
como una aplicación de confianza, envía datos fuera del ordenador utilizando
los permisos de acceso de esta última
(ver el punto siguiente).
- Los programas maliciosos logran transmitir datos apropiándose de los permisos
de una aplicación legítima.
Si la ruta directa está bloqueada por el cortafuegos, el código malicioso intentará engañarlo, secuestrando una aplicación legítima, y utilizando sus credenciales para transmitir datos fuera de la máquina.
Los cortafuegos genéricos no son capaces de detectar la comunicación inapropiada entre programas, y permitirían que el código malicioso se conecte a sitios peligrosos, poniendo en riesgo la información
personal.
- Outpost Firewall Pro
El avanzado control contra fugas de Outpost Firewall Pro detecta y previene los intentos de programas maliciosos por enviar información directamente.
Outpost Firewall Pro 4.0 también monitoriza la actividad entre las aplicaciones, evitando que código malicioso utilice las credenciales de una aplicación legítima para transmitir datos a la red.
El trabajo en conjunto de ambas funciones, brinda varios niveles de protección contra la fuga malintencionada de información personal.
Una de las áreas más importante en la protección brindada por los cortafuegos, es el filtrado de tráfico saliente, el cual, es usado para bloquear todo el tráfico con origen en su ordenador y destino hacia la red u otros ordenadores y, de esta forma, impedir el accionar de programas maliciosos como troyanos, Spyware (programas espías) y Adware (programas que muestran publicidad), cuando estos tratan de acceder a Internet.
Más adelante, encontrará información sobre las distintas técnicas utilizadas por los delincuentes informáticos para robar datos a través de las defensas externas del cortafuegos, y cómo Outpost 4.0 protege a los usuarios de cada una de ellas.
Herramientas utilizadas para comprobar la eficacia del cortafuegos
Como mencionamos anteriormente, los cortafuegos deberían ser capaces de monitorizar la actividad saliente de los programas.
Incluso si un programa trata de enmascarar su contenido bajo la forma de otra aplicación que ya ha sido configurada por el cortafuegos como "confiable", un cortafuegos competente debería detectar esa aplicación fraudulenta, y evitar la transmisión de datos.
La comunidad de seguridad de la información ha desarrollado varias herramientas para comprobar la eficacia de un cortafuegos en la detección de actividades sospechosas entre programas, y el bloqueo de conexiones salientes solicitadas por programas maliciosos que aparentan ser programas legítimos.
Estas herramientas se denominan pruebas de fuga (Leak
Tests), y simulan el
intento de un programa malicioso por enviar datos salientes, para que el
usuario pueda ver la reacción de su cortafuegos ante dicha amenaza.
Las pruebas de fuga utilizan una amplia variedad de técnicas y mecanismos para evaluar la eficacia de la aplicación cortafuegos.
Son herramientas legítimas que envían información, con el consentimiento del usuario, a direcciones de prueba aisladas que no pueden dañar el sistema.
Hay quienes piensan que las pruebas de fuga no recrean amenazas reales, y que son sólo herramientas de análisis para realizar experimentos de laboratorio.
Sin embargo, las técnicas que utilizan pueden y han sido usadas por programas maliciosos verdaderos, por lo tanto sirven como un indicador válido de la capacidad real del cortafuegos para manejar ataques provenientes del exterior.
Amenazas y métodos
de penetración
Existen muchos métodos
de penetración
y cada herramienta
de análisis
de fuga utiliza una
o más técnicas
para verificar vulnerabilidades
en el cortafuegos
instalado.
- Sustitución de nombre
Esta es una de las técnicas más fácil de evitar. Consiste en
la ejecución de un programa malicioso que se cambia el nombre automáticamente,
para llamarse igual que un programa legítimo, y acceder a Internet
bajo su apariencia.
Esta técnica
funciona
correctamente
cuando
un cortafuegos
sólo
comprueba
el nombre
de la
aplicación
afectada
y no analiza
la suma
de verificación
(Checksum*).
 Checksum
o SUMmation
CHECK,
es una
suma de
verificación
mediante
un esquema
simple
de detección
de errores,
donde
cada mensaje
transmitido
o archivo
analizado,
es acompañado
con un
valor
numérico
basado
en la
cantidad
de bits
del mensaje
o fichero.
- Lanzador
de aplicaciones
Los programas que utilizan esta técnica inician una nueva instancia
de la aplicación utilizada para acceder a Internet (usualmente
un navegador), con la dirección
del sitio a la que desean conectarse y habitualmente, insertando
parámetros bajo línea de comandos.
El proceso puede ocurrir en una ventana oculta, para que el usuario no advierta
la actividad.
- Manipulación de reglas
Es una técnica potente, pero que no se utiliza con frecuencia.
Consiste en la ejecución de un programa, que aprovecha el modo en que la aplicación cortafuegos procesa las reglas de permiso de acceso del sistema.
Para simular este tipo de acciones, la prueba intenta acceder a los puertos considerados de confianza por el cortafuegos, y transmitir tráfico no autorizado a través de los mismos.
- Falsificación de consultas DNS
La resolución de nombres DNS se utiliza para dirigir una aplicación de Internet hacia la dirección IP vinculada al servidor remoto de destino.
Convierte la dirección de destino ingresada por el usuario (por ejemplo: www.agnitum.com) en una dirección IP, de modo que el ordenador comprenda el comando y acceda al sitio correspondiente (por ejemplo: 67.15.103.130).
Esta técnica envía información a un servidor DNS ilegal, o "secuestrado", copiando el formato de una consulta DNS normal.
- Inyección de componentes
Esta técnica ejecuta un programa malicioso que abre otra aplicación en el ordenador, e inyecta su componente interno, o un archivo .DLL en el proceso
de destino.
El componente infiltrado después pide a la aplicación capturada que acceda
a la red, intentando engañar al cortafuegos.
- Inyección de procesos
Es una técnica similar a la anterior, y es uno de los métodos de ataque más difíciles de detectar.
Generalmente, un proceso consta de varios hilos de ejecución, que al trabajar simultáneamente logran resultados más rápidamente
que una ejecución secuencial.
Un programa malicioso puede inyectar su código completo en el bloque de memoria de una aplicación confiable, ejecutando un nuevo hilo del proceso principal. De este modo, puede acceder a la red con las credenciales de los programas legítimos.
También puede modificar un hilo ya existente para acceder a Internet, dificultando aún más su detección y prevención.
- Intercomunicación DDE
Esta técnica utiliza una aplicación para enviarle comandos a otra (generalmente
un navegador), para que esta última los procese. Utilizando la funcionalidad
de llamadas DDE (Direct Data Exchange, Intercambio directo
de datos), los programas pueden administrar y compartir contenidos
entre sí.
La técnica DDE se usa en las pruebas de fuga, para comprobar si el cortafuegos puede reconocer cuándo un programa está utilizando la comunicación DDE para controlar la actividad de una aplicación de Internet habilitada.
- Utilización de OLE
Es una idea relativamente nueva, que utiliza la técnica del control
OLE entre programas, en pruebas de fuga.
OLE es un mecanismo de Windows, que permite que un programa administre el comportamiento de otro programa.
- Control de ventanas
Una aplicación puede controlar los comandos y contenidos de otras ventanas, utilizando mensajes de Windows.
Algunas pruebas de fuga usan esta técnica para controlar la actividad de aplicaciones Web autorizadas, y acceder a la red a través de ellas.
- Acceso directo a la interfaz de la red
De forma predeterminada, el tráfico de red en el sistema operativo Windows utiliza la capa TCP/IP para sus comunicaciones.
Cuando se utiliza esta técnica, la prueba crea una capa de red adicional, inyectando el controlador correspondiente en el sistema.
De este modo, envía y recibe tráfico de datos utilizando esta capa, eludiendo los canales de comunicación habitualmente controlados por el cortafuegos.
Esta técnica le permite a la prueba de fuga (u otras aplicaciones) enviar y recibir información, complicando al cortafuegos el proceso de filtrado.
En el entorno de Windows XP es un poco más complejo, pues es necesaria cierta
habilidad de parte del evaluador para modificar la configuración del sistema;
pero es una buena manera de probar la flexibilidad y solidez del cortafuegos.
- Modificación
del Escritorio activo de Windows
Las pruebas de fuga pueden crear una página HTML que apunte a un sitio
Web determinado, y configurarlo como un elemento del Escritorio activo
de Windows. Cuando el mismo está activado, tiene permiso
para dirigirse a la dirección
contenida en la página HTML, actuando en nombre del sistema y, por
ende, traspasando los sensores del cortafuegos.
- Modificación del registro del sistema
El registro almacena los parámetros de configuración del sistema y de las aplicaciones. La modificación de su contenido puede provocar errores en las aplicaciones, o fallas del sistema.
Las pruebas de fuga que utilizan esta técnica hacen pequeñas modificaciones en los elementos del registro, y habilitan a procesos no verificados para que accedan a la red irrestrictamente, a pesar de la presencia del cortafuegos.
- Ataque
de sincronización
Cuando un
cortafuegos
detecta
que una
aplicación
está
tratando
de acceder
a Internet,
éste
“congela”
el requerimiento
mientras
el usuario
decide
si permite
o no que
dicha
aplicación
complete
la conexión.
Para poder
“congelar”
un proceso,
el cortafuegos
necesita
el PID
(identificación
del proceso).
Los programas
maliciosos
que utilizan
esta técnica,
transmiten
la información
de forma
irregular,
cambiando
el PID
cada vez
que una
porción
de información
es transmitida.
- Petición
recurrente
Algunas aplicaciones
maliciosas
utilizan
servicios
del sistema
para acceder
a Internet
en vez
de modificar
una aplicación
legítima.
|
Características
de seguridad de Outpost
Firewall Pro
Una
parte de la información
de esta sección
ha sido tomada de
http://www.firewallleaktester.com.
La función de todo cortafuegos es proteger la red.
Los desarrolladores de cortafuegos tienen que estar un paso delante de los posibles nuevos peligros, para que los usuarios de la red estén seguros.
Outpost Firewall Pro es un cortafuegos sólido, con antecedentes insuperables en protección ante nuevos tipos de ataques.
Las siguientes características de Outpost Firewall Pro le permitieron superar cada análisis de fuga de información a los que fue sometido. Esto demuestra que Outpost Firewall Pro protege sólidamente a su ordenador de las nuevas técnicas de ataque.
Empleando tecnologías de control de componentes, control de procesos ocultos y control de procesos abiertos, Outpost Firewall Pro no permite que programas maliciosos accedan a Internet, aunque estén contenidos en aplicación legítima.
Esto permite que su
sistema esté
protegido contra troyanos
y programas espía
entre otros peligros.
Outpost Firewall Pro monitoriza cada aplicación y sus respectivos componentes.
Cuando se modifica un módulo de una aplicación, y esta intenta establecer
una conexión, Outpost Firewall Pro consulta al usuario si desea permitir
o rechazar dicha conexión.
Algunos troyanos instalan componentes maliciosos dentro de una aplicación legítima (el navegador, por ejemplo, posee muchos componentes que podrían ser suplantados), y de esta forma obtienen acceso total a Internet.
La función del control de componentes es asegurar que los elementos constitutivos de una aplicación no sean falsos o maliciosos.
Outpost Firewall Pro le permite elegir el nivel de control de componentes a utilizar:
- En la ventana principal de Outpost Firewall Pro, en el menú Opciones, seleccione Aplicaciones.
- Pulse el botón Componentes, para culminar seleccionando el nivel adecuado a sus preferencias.
|
 |
Si
en cambio desea conocer
cuáles son todos
los componentes de un programa
que están controlados
por Outpost Firewall:
- Seleccione
una aplicación y
posteriormente pulse en
el botón Editar, Modificar
reglas.
Puede
lograr el mismo efecto, pulsando
con el botón secundario del
ratón, sobre una aplicación
seleccionada.
- En el nuevo cuadro de
diálogo, presione
el botón Componentes.
El
control de componentes debe
estar activado para poder
visualizar los elementos
controlados.
|
 |
- Control
de procesos
ocultos
Muchas aplicaciones
que acceden
a la red,
no lo
hacen
de una
forma
directa
sino que
se ocultan
en otros
procesos
que requieren
conexión
a Internet.
Esto permite
que dichas
aplicaciones
burlen
la protección
de los
cortafuegos
tradicionales,
ya que
el proceso
no forma
parte
de las
mismas,
y por
lo tanto,
las restricciones
del cortafuegos
no serán
aplicadas.
Y además,
el proceso
permanece
invisible
al usuario,
por lo
tanto,
no es
posible
llevar
un registro
de las
distintas
acciones
que dicho
proceso
oculto
pudiera
efectuar.
Es necesario destacar que esta técnica también es utilizada por aplicaciones legítimas (por ejemplo Microsoft Internet Explorer), para ejecutar tareas habituales (como verificar si existen actualizaciones) de un modo más amigable para el usuario, sin distraerlo innecesariamente de sus actividades.
Lamentablemente, esta tecnología también puede ser aprovechada por código
malicioso, para enviar a Internet información privada del usuario.
Outpost Firewall Pro le permite controlar los procesos ocultos, y también los que son ejecutados por una aplicación legítima.
Esto asegura que ninguna aplicación pueda violar su privacidad, enviando información confidencial de su ordenador hacia la red.
|
| |
Outpost Firewall Pro controla las funciones que se utilizan para inyectar código malicioso en procesos que se encuentren en la memoria del ordenador.
Gracias a esto, Outpost Firewall Pro previene que aplicaciones maliciosas utilicen esta técnica para transmitir información personal hacia Internet.
|
 |
| |
|
 |
|
|
|
Este
documento se encuentra disponible
para su descarga en
formato PDF. |
|
|
|
