Cómo detectar un ataque de hacker
La mayoría de las vulnerabilidades de ordenadores pueden ser aprovechadas de varias formas. Los ataques Hacker pueden utilizar un simple exploit específico, o varios exploits al mismo tiempo, una configuración deficiente en uno de los componentes del sistema o inclusive un backdoor instalado en un ataque anterior. Debido a esto, detectar los ataques hacker no es una tarea fácil, sobre todo para un usuario inexperto. Este artículo da unas cuantas ideas y guías básicas para ayudarle a darse cuenta si su máquina está bajo un ataque o si la seguridad de su sistema está expuesta a peligro. Tenga en cuenta que no hay una garantía del 100% de que usted detecte un ataque hacker de esta forma. Sin embargo, hay buenas probabilidades de que si su sistema ha sido penetrado, muestre uno o más de los siguientes comportamientos.
Equipos con Windows:
- Tráfico de red de salida sospechosamente alto. Si usted está en una cuenta de discado o utiliza ADSL y nota un volumen alto no usual en el tráfico de salida (sobre todo si este tráfico sucede cuando su ordenador esta inactivo o no necesariamente cargando datos) entonces es posible que su ordenador esté en peligro. Su ordenador puede estar siendo utilizado ya sea para enviar spam o por un gusano de red que se esta reproduciendo y enviando copias de si mismo. Para las conexiones por cable, esto es menos relevante – es muy común tener la misma cantidad de tráfico de salida como el tráfico de entrada; inclusive si usted no está haciendo nada más que visitar sitios o descargar datos de Internet.
- Gran actividad del disco duro o archivos de aspecto sospechoso en los directorios raíces de cualquiera de los discos. Después de penetrar en el sistema, muchos hackers realizan un escaneo masivo para encontrar documentos interesantes o archivos que contengan contraseñas o detalles de cuentas de banco o de pagos como PayPal. De igual forma, algunos gusanos buscan en el disco archivos que contengan direcciones de correo electrónico y las usan para propagarse. Si usted nota una gran actividad en su disco cuando el sistema esta inactivo, y archivos de nombres sospechosos en carpetas comunes, este puede ser un indicio de penetración en el sistema o de una infección de malware.
- Un gran número de paquetes que vienen de una dirección simple son y son bloqueados por un cortafuegos (firewall) personal. Después de ubicar un blanco (Ej: el rango IP de una compañía o un grupo de usuarios de servicios de cable) los hackers suelen usar herramientas automáticas de prueba que tratan de usar varios exploits para irrumpir en el sistema. Si usted tiene un cortafuegos (firewall) personal (un elemento fundamental para protegerse de los ataques hacker) y notan un número inusualmente alto de paquetes que vienen de la misma dirección, entonces este es un claro indicador de que su equipo está bajo ataque. Las buenas noticias son que si su cortafuegos (firewall) personal está reportando estos ataques, es muy probable de que usted esté seguro. Sin embargo, dependiendo de la cantidad de servicios que usted expone a Internet, el cortafuegos personal puede fallar en protegerlo contra un ataque dirigido a un servicio FTP específico de su sistema que haya sido abierto a todos los usuarios. En este caso, la solución es bloquear el IP ofensor temporalmente hasta que cesen los intentos de conexión. Muchos cortafuegos (firewall)s personales y IDS tienen incorporada una función de bloqueo.
- Un gran número de paquetes que vienen de una sola dirección y son bloqueados por su cortafuegos (firewall) personal. Después de ubicar un blanco (Ej: el rango IP de una compañía o un grupo de usuarios de servicios de cable) los hackers suelen usar herramientas automáticas de prueba que tratan de usar varios exploits para irrumpir en el sistema. Si usted tiene un cortafuegos (firewall) personal (un elemento fundamental para protegerse de los ataques hacker) y notan un número inusualmente alto de paquetes que vienen de la misma dirección, entonces este es un claro indicador de que su equipo está bajo ataque. Las buenas noticias son que si su cortafuegos (firewall) personal está reportando estos ataques, es muy probable de que usted esté seguro. Sin embargo, dependiendo de la cantidad de servicios que usted expone a Internet, el cortafuegos personal puede fallar en protegerlo contra un ataque dirigido a un servicio FTP específico de su sistema que haya sido abierto a todos los usuarios. En este caso, la solución es bloquear el IP ofensor temporalmente hasta que cesen los intentos de conexión. Muchos cortafuegos (firewall)s personales y IDS tienen incorporada una función de bloqueo. Su antivirus residente de pronto comienza a informar que ha detectado backdoors o caballos de Troya, inclusive si usted no ha hecho nada fuera de lo ordinario. Aunque los ataques de hacker pueden ser complejos e innovadores, los caballos troyanos o backdoor conocidos siguen utilizándose para obtener acceso completo al sistema amenazado. Si el componente residente de su antivirus está detectando y reportando este tipo de malware, puede ser un indicio de alguien está intentando penetrar a su sistema.
- Archivos con nombres sospechosos en el archivo/tmp folder. Muchos exploits en el mundo Unix se basan en la creación de archivos temporales en el fólder /tmp, que no siempre son borrados después del hackear el sistema. Lo mismo sucede con algunos gusanos que infectan los sistemas Unix; ellos se apoderan del directorio tmp y lo utilizan como su "casa".
- Con frecuencia, después de ingresar al sistema, el hacker intenta asegurarse el acceso instalando una "puerta trasera" en uno de los demonios con acceso directo desde el Internet, o mediante la modificación de utilidades standard del sistema que se usan para conectarse con otros sistemas. Los binarios modificados son usualmente parte de un rootkit y generalmente son invisibles ante una inspección simple. En todos los casos, es una buena idea mantener una base de datos de las sumas de control de cada utilidad de sistema y verificarlas periódicamente desconectando el sistema de la red y en modo de usuario único.
- La alteración de /etc/passwd, /etc/shadow, u otros archivos de sistemas en el directorio /etc. A veces los ataques de hackers pueden añadir un nuevo usuario en /etc/passwd que puede obtener ingreso remoto al sistema en una fecha posterior. Busque cualquier nombre de usuario sospechoso en el archivo de contraseñas y monitoree todos los usuarios agregados, especialmente en un sistema de usuarios múltiples.
- Los servicios sospechosos añadidos a /etc/services. Para abrir una puerta trasera en un sistema Unix a veces basta añadir dos líneas de texto. Esto se lleva a cabo al modificar /etc/services así como /etc/ined.conf. Monitoree de cerca estos dos archivos y preste atención a cualquier adición que podría indicar una conexión backdoor a un puerto sospechoso o no usado.
http://www.viruslist.com/sp/index.html
Kaspersky 2012
Diez formas de evitar el spam
1. Mantenga por lo menos dos direcciones de correo electrónico. Use su dirección privada sólo para correspondencia personal. Use su dirección pública para registrarse en foro públicos, cuartos de chat, para suscribirse a listas de correo, etc.
2. Nunca publique su dirección privada en recurso de libre acceso al público.
3. Su dirección privada debe ser difícil de adivinar. Los spammers usan combinaciones obvias de nombres, palabras y números para construir posibles direcciones. No use su nombre y apellido en calidad de dirección privada. Demuestre creatividad al personalizar su dirección de correo electrónico.
4. Si se ve obligado a publicar su dirección privada, camúflela para evitar que sea recolectada por los spammers. Joe.Smith@yahoo.com es tan fácil de recolectar como Joe.Smith at yahoo.com. En cambio, Joe-dot-Smith-at-yahoo-dot-com no lo es. Si usted tiene que publicar su dirección privada en un sitio web, hágalo en forma de gráfico, en vez que de enlace.
5. Trate a su dirección público como algo temporal. Son altas las posibilidades de que los spammers recolecten su dirección pública rápidamente. No tenga reparos en cambiarla con frecuencia.
6. Use siempre su dirección pública para registrarse en foros, cuartos de chat y para suscribirse a listas de correo y promociones. Usted puede hasta considerar el uso de varias direcciones públicas para determinar cuales son los servicios que venden direcciones a los spammers.
7. Nunca responda a los mensajes no solicitados. La mayor parte de los spammers usan las respuestas para verificar qué direcciones son reales. Mientras más responda, más spam recibirá.
8. No pulse en los enlaces que le ofrecen fuentes cuestionables para supuestamente "darse de baja". Los spammers envían mensajes falsos para "darse de baja" en un intento de recolectar direcciones activas. Usted no quiere que su dirección sea marcada como activa, ?no es cierto? Esto solo incrementará la cantidad de spam que usted empezará a recibir.
9. Si los spammers descubren su dirección pública, cámbiela. Esto puede ser inconveniente, pero al cambiar su dirección de correo electrónico le ayudará a evitar el spam, al menos por un tiempo.
10. Asegúrese de que su correo es filtrado por una solución antispam. Considere instalar una solución antispam personal. Registre sus cuentas de correo electrónico sólo con proveedores que ofrecen filtración de spam antes de entregar el correo.
http://www.viruslist.com/sp/spam/info?chapter=153350654
Kaspersky 2012
Diez formas de evitar el spam
1. Mantenga por lo menos dos direcciones de correo electrónico. Use su dirección privada sólo para correspondencia personal. Use su dirección pública para registrarse en foro públicos, cuartos de chat, para suscribirse a listas de correo, etc.
2. Nunca publique su dirección privada en recurso de libre acceso al público.
3. Su dirección privada debe ser difícil de adivinar. Los spammers usan combinaciones obvias de nombres, palabras y números para construir posibles direcciones. No use su nombre y apellido en calidad de dirección privada. Demuestre creatividad al personalizar su dirección de correo electrónico.
4. Si se ve obligado a publicar su dirección privada, camúflela para evitar que sea recolectada por los spammers. Joe.Smith@yahoo.com es tan fácil de recolectar como Joe.Smith at yahoo.com. En cambio, Joe-dot-Smith-at-yahoo-dot-com no lo es. Si usted tiene que publicar su dirección privada en un sitio web, hágalo en forma de gráfico, en vez que de enlace.
5. Trate a su dirección público como algo temporal. Son altas las posibilidades de que los spammers recolecten su dirección pública rápidamente. No tenga reparos en cambiarla con frecuencia.
6. Use siempre su dirección pública para registrarse en foros, cuartos de chat y para suscribirse a listas de correo y promociones. Usted puede hasta considerar el uso de varias direcciones públicas para determinar cuales son los servicios que venden direcciones a los spammers.
7. Nunca responda a los mensajes no solicitados. La mayor parte de los spammers usan las respuestas para verificar qué direcciones son reales. Mientras más responda, más spam recibirá.
8. No pulse en los enlaces que le ofrecen fuentes cuestionables para supuestamente "darse de baja". Los spammers envían mensajes falsos para "darse de baja" en un intento de recolectar direcciones activas. Usted no quiere que su dirección sea marcada como activa, ?no es cierto? Esto solo incrementará la cantidad de spam que usted empezará a recibir.
9. Si los spammers descubren su dirección pública, cámbiela. Esto puede ser inconveniente, pero al cambiar su dirección de correo electrónico le ayudará a evitar el spam, al menos por un tiempo.
10. Asegúrese de que su correo es filtrado por una solución antispam. Considere instalar una solución antispam personal. Registre sus cuentas de correo electrónico sólo con proveedores que ofrecen filtración de spam antes de entregar el correo.
http://www.viruslist.com/sp/spam/info?chapter=153350654
Kaspersky 2012
No hay comentarios:
Publicar un comentario
Su comentario, es importante!