Por: Osvaldo Callegari*
Nuestra inquietud hoy: los puertos y las actividades ocultas de nuestro computador. ¿Cuántas veces nos preguntamos, qué esta ocurriendo dentro de nuestro computador?
A ciencia cierta vemos al presionar las teclas CTRL-ALT-SUPR una serie de procesos que están corriendo en la trastienda de nuestro sistema. Nos viene a la mente una pregunta obligada: ¿Serán estos procesos exclusivos o se esconde algo más detrás de ello? Para no adentrarnos en una serie de preguntas y más preguntas sin resolver, analizamos herramientas que nos permitirán discriminar un proceso benévolo de una amenaza a nuestra información.
Administrador de tareas y seguridad
Esta aplicación (llamada en inglés Network Security Task Manager-NSTM) nos permite generar una visión general de lo que ocurre detrás de los procesos normales de un sistema operativo, nada mejor que una gráfica para resumir las actividades que se están ejecutando actualmente.
NSTM puede escanear nuestro computador a una determinada fecha y hora. Para realizar esta tarea posee un agente residente instalado que va a ejecutarse según lo planificado. Este agente revisa todos los procesos que están activos en ese momento y transmite los resultados de manera encriptada a la consola de administración.
NSTM está basado en comportamientos y análisis de código, protege las redes de espionaje industrial, sabotajes y software crítico informándole acerca de actividades de malware en tiempo real. Esta herramienta analiza los procesos de windows que están ejecutándose en las redes informáticas, pc remotas, determinando en forma consecutiva la ruta y alojamiento del proceso dentro de los discos rígidos, con una gráfica de las amenazas y la severidad en cada caso.
A su vez se puede ver el fabricante del proceso, las funciones ocultas, los procesos que implican copia del teclado y la supervisión de los navegadores. Posee una base de datos de referencia para que el propio usuario indique cuáles procesos son beningnos a su entender.
Se puede utilizar Netasktray para que el sistema quede residente en la barra de inicio de Windows ™
Las actividades de escaneo se pueden definir de la siguiente manera:
Diariamente: Todos los días que encendemos el equipo el agente se carga en memoria, realiza los procesos de verificación, almacena los resultados y se desinstala automáticamente.
Semanalmente: Se puede activar seleccionando un determinado día de la semana para que realice los procesos, al final es desinstalado de memoria.
Programación avanzada: Se puede definir que el sistema arranque cada vez que ingresa un usuario diferente el equipo, esto puede contribuir a determinar la responsabilidad de cada uno en el ámbito que le toca desenvolverse en la empresa.
Nuevas herramientas de seguridad
Sistema de validación de correos electrónicos: La empresa Trendmicro ha lanzado un producto que plantea una nueva solución para corroborar si la identidad que nos envía información a través del mail es cierta.
Trend Micro Email ID es una herramienta diseñada para proporcionar más conocimiento sobre la seguridad de los correos electrónicos. La concesión de licencias ICONIX inc está siendo gestionada por Trend Micro. El sistema verifica la autenticidad del mensaje de correo remitente, esto le genera confianza al usuario abrir y actuar sobre los mensajes.
Es importante el cambio del spam en el primer trimestre del 2009, los tipos de envíos han variado ya que en este período circulan en su mayoría propagandas de productos farmacéuticos.
Los ataques de phishing a menudo con la participación de correos electrónicos fraudulentos para robar a los consumidores personales y financieros son difíciles de identificar, por lo que esta herramienta ofrece una garantía a los consumidores acerca de la legitimidad de los mensajes de correo electrónico, ya que añade otra capa de protección contra estos ataques.
Email Id® es fácil de configurar y utilizar. Después de descargar e instalar un plug-in, el usuario comienza inmediatamente a ver los íconos Iconix ®Truemark®, que indican que el remitente ha sido verificado como legítimo. Esta confirmación hace que sea muy fácil para el usuario final visualizar rápidamente los mensajes en los cuales se puede confiar. Cientos de empresas se identifican por partes del remitente, incluyendo líderes financieros y minoristas.
Después que eMail ID confirma la fuente de un mensaje de correo, usted puede ver un marca identificando al destinatario, antes de mostrar el ícono el sistema realiza una función de identificación de manera paralela, allí se identifica el dominio de la empresa dentro de los registros públicos, se verifican una gran cantidad de rubros de empresas.
Para este tipo de envíos se utiliza un protocolo propietario de Microsoft llamado Sender-ID.
El entorno Sender ID es un protocolo de autenticación de mensajes de correo electrónico cuya tecnología ayuda a resolver el problema de suplantación de identidad y el phishing mediante la comprobación de los nombres de dominio de los mensajes que se envían.
Sender ID valida el origen de los mensajes de correo electrónico de verificación de la dirección IP del remitente contra el presunto propietario del dominio de origen.
Ahora, aprobada por más de diez millones de dominios en todo el mundo, Sender ID está proporcionando a los propietarios de marcas, los remitentes, la recepción de las redes con un significativo volumen de negocios y valor técnico.
¿Cómo funciona Sender ID?
Sender ID pretende comprobar que cada mensaje de correo electrónico se origina en el dominio de Internet de la que afirma haber sido enviado. Esto se logra mediante el control de la dirección del servidor que envía el correo registrado en contra de una lista de servidores que el propietario del dominio ha autorizado a enviar mensajes de correo electrónico.
Esta verificación se realiza automáticamente por el proveedor de servicios Internet (ISP) o el servidor de correo del destinatario antes de que el mensaje de correo electrónico se entregue. Los resultados de la verificación Sender ID pueden ser incorporados al trabajo de filtrado que ya se ha realizado por el servidor de correo.
Después de que el remitente ha sido autenticado, el servidor de correo convencional puede aplicar filtros de contenido y examinar el comportamiento pasado, los patrones de tráfico, la reputación del remitente y la hora de determinar la entrega del correo al destinatario.
Para utilizar SIDF, los remitentes de correo electrónico y propietarios de dominio deben publicar o declarar la totalidad de las direcciones IP (Internet Protocol) utilizado por las direcciones de salida de sus servidores de correo electrónico, o los períodos de investigación autorizado a enviar mensajes de correo electrónico en su nombre, en el Nombre de Dominio sistema (DNS). Estas direcciones IP se incluyen en una Sender Policy Framework (SPF), archivo de texto.
1. Un envío o un usuario manda un mensaje desde un cliente de correo electrónico o interface web (Navegador). No es requerido un cambio desde el cliente que envía y tampoco el agente de transferencias de mails MTA.
2. El receptor entrante del correo electrónico lo recibe, el servidor usa SIDF y reporta al responsable de los dominios para consultar el registro.
3. El receptor determina si la dirección que ingresó coincide con las direcciones ip autorizadas al enviar mails desde sus dominios.
4. Para la mayoría de los dominios y direcciones ip su validación es aplicada como chequeo de la misma.
5. Basado en una sintaxis, si la verificación pasa, el receptor envía el correo a la bandeja de entrada o si falla, la envía a la bandeja del correo basura o cuarentena. Posteriormente ese correo puede ser borrado y compactado.
Sender ID, el componente crítico de su defensa
Hoy, las soluciones antispams están compuestas de varios métodos o capas para su detección. Durante cada ingreso de correos electrónicos, se aplican diferentes tecnologías en diferentes formas. La medida deseada es que los correos no solicitados sean bloqueados en el perímetro de la red, reduciendo la exposición a amenazas entrantes, evitando tener mayor impacto en los recursos de los computadores. A nivel de conexión como hemos visto puede ser dificultoso determinar la identidad del emisor, reputación y contenido a ser evaluado.
En este segmento mostramos como el Sender ID se integra con una típica solución antispam.
Niveles de protección
El primer nivel de protección contra correos no deseados es la conexión inicial entre el servidor SMTP que envía y el receptor del mismo. El nivel de conexión y protección en este sector es ideal ya que el elemento perjudicial no ingresa a la empresa, teniendo un menor impacto en los recursos.
Dos tipos comunes de protección son Filtrado de conexión IP y Listas de bloqueo en tiempo real.
Después que el mensaje ha pasado el nivel de conexión-protección, la próxima capa de defensa es el nivel de protocolo SMTP. Se verifican los permisos entre el emisor y el receptor para determinar la validez de la transacción. Posteriormente se aplican otros filtros antispam, por ejemplo:
-Filtrado de contenidos
-Anti Phising (explicado en artículos anteriores)
-Post marcas
-Puzzles
Con las siguientes herramientas se legitima el correo enviado estableciendo la naturaleza del mismo:
-Legítimo
-Malicioso
-No Solicitado
Comentarios acerca del Sender ID
Hemos visto que como herramienta de protección a nivel correo electrónico es ideal, ya que al validar el correo entrante con sitios de confianza evitamos que ese correo que estamos recibiendo venga de una fuente segura. Como contra se ve que no todos los dominios o direcciones IP están registradas, por consiguiente todavía es un poco prematuro darlo como una tendencia a nivel mundial.
De otro lado, estas amenazas que surgen en Internet con el spam, por ejemplo, hacen que las contramedidas afecten de alguna manera a la propiedad privada con la libertad que da Internet, ya que lo ideal es que los protocolos sean de fuente libre, no pertenezcan a compañías comerciales para no utilizar una debilidad del usuario en pos de un fin comercial. Ahora bien, tienen un gran océano de información donde cultivar nuevos proyectos y nuevas ideas.
Igualmente los certificados de PKI están creciendo en funciones y en empresas verificadoras, esto es fundamental ya que de esta manera los usuarios solicitan una clave para sus correos electrónicos y reciben un validador para su cliente de email. La gran mayoría de clientes de correos permiten incorporar claves para indicar el origen o procedencia de determinado correo. Los clientes de correos habituales son Outlook Express™, Eudora™, Thunderbyte™, Microsoft Outlook™, Bat™.
*Si desea puede escribirle al autor de este artículo a [email protected]
Deje su comentario