1. Internet

Couv-LesMenaces:IronPort
9/03/07
17:28
Page 3
SEGURIDAD E-MAIL
SEGURIDAD WEB
GESTIÓN DE LA SEGURIDAD
LAS AMENAZAS
ACTUALES
DE INTERNET
CÓMO
PROTEGERSE
20Pages Interieur:IronPort
9/03/07
17:32
Page 3
ÍNDICE
LAS AMENAZAS ACTUALES DE INTERNET . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
El phishing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
El software espía (spyware) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Caballos de Troya y rootkits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Los ataques de virus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Las redes de zombis (o “ bots”) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
¿Cómo se producen las infecciones? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
EL SPAM, EFECTO CONTAMINANTE Y MULTIPLICADOR DE ATAQUES . . . 12
Un juego del ratón y el gato . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
El spam en imágenes y las últimas innovaciones de los spammers . . . . . . . . . 13
Los ataques de robo de directorios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Los ataques de redireccionamiento de mensajes de error . . . . . . . . . . . . . . . . 16
LAS SOLUCIONES ANTE ESTAS AMENAZAS . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Consideraciones previas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Las soluciones de IronPort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
ANEXOS
IronPort Serie C. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
IronPort Serie S . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
3
20Pages Interieur:IronPort
8/03/07
20:43
Page 4
S
pam, virus, spyware, phishing, robo de directorios, o caballos de Troya… las amenazas
procedentes de Internet cada vez son más numerosas y más dañinas. A pesar de que
este tipo de ataques informáticos tienen lugar desde hace años, las motivaciones que
encontramos detrás de ellos son hoy en día muy diferentes a las de antaño y a la vez
mucho más perniciosas y difíciles de contrarrestar.
Antes, la piratería informática se realizaba para alcanzar la gloria. Ahora se trata
simplemente de hacer dinero. Atrás quedó la imagen del pirata adolescente aislado en su
habitación que quería hacerse un nombre. Los piratas de hoy están decididos a llevar a cabo
cualquier desfalco.Estos hackers suelen pertenecer a bandas del crimen organizado para las
que llevan a cabo ataques cuyo objetivo es hacer dinero fácilmente y con menos riesgos que
con el tráfico de drogas o la prostitución. Los piratas, que entran en contacto con las bandas
criminales a través de los foros clandestinos o entrevistas de captación en campus, venden sus
servicios al mejor postor. Todas las organizaciones criminales disponen de un departamento
para el “crimen en Internet”. Los hackers forman directamente parte integrante de la
organización, aunque sea como empleados “free-lance”.
Además, antes los ataques eran muy visibles. Por ejemplo, el famoso virus “I love you” estaba
sin duda destinado a hacerse notar al máximo. En la actualidad, los ataques son discretos y el
pirata no quiere ser detectado en absoluto. Por ejemplo, un ataque de tipo phishing puede
perfectamente durar sólo 2 horas, permitiendo al pirata recopilar algunos datos útiles, pero
asegurándose de no ser detectado.
Otro detalle importante es que los ataques solían ser masivos y estaban destinados a provocar
el máximo de desperfectos en el mayor número de redes posibles. Una vez más, “I Love You”
es un buen ejemplo de virus destinado a afectar al mayor número de usuarios. Hoy los
ataques están dirigidos incluso a una sola empresa. Se busca, por ejemplo, robar el secreto de
fabricación de un producto o penetrar en una red muy concreta. Phishing, spyware, ataques
de redireccionamiento de mensajes de error… ahora, todos estos ataques y amenazas se
suelen dirigir a pequeños grupos de usuarios o empresas. En conclusión, anteriormente, los
ataques procedían con frecuencia sólo del exterior, mientras que ahora suele ser el propio
usuario quien recoge la amenaza de la red sin darse cuenta de ello.
Para hacer frente a estas amenazas, a estas nuevas formas de ataques y a las nuevas
motivaciones de los de los piratas, las empresas deberán establecer soluciones realmente
adaptadas a la Internet moderna, y los fabricantes y programadores de soluciones de
seguridad tendrán que regirse por una innovación y una capacidad de respuesta permanente.
4
20Pages Interieur:IronPort
8/03/07
20:43
Page 5
LAS AMENAZAS ACTUALES DE INTERNET
En esta pequeña sección, vamos a pasar revista a los principales ataques que actualmente
hacen estragos en Internet, así como a los distintos programas malintencionados (“malware”
en inglés) empleados por los piratas.
EL PHISHING
E
n un ataque de phishing clásico, el pirata crea un sitio web falso con la apariencia de
una empresa comercialmente reconocida y envía un e-mail al usuario pidiéndole que
se conecte a ese sitio, normalmente para recabar información confidencial (por
ejemplo las contraseñas). El usuario se conecta entonces al sitio falso y sus datos caen
en manos de los piratas.
Este tipo de ataques se ve favorecido por la existencia en Internet de numerosos “kits de
phishing”, listos para usar y fáciles de encontrar, que contienen herramientas que ayudan a
los aprendices de hacker que aún tienen pocos conocimientos técnicos y que quieren lanzar
sus ataques de manera sencilla. Estos kits pueden contener un programa completo de
desarrollo de sitios web (para crear un sitio falso que se parezca al auténtico), así como
programas de creación de spam para automatizar el proceso de envío de e-mails.
El phishing “clásico” basado en el e-mail comienza a estancarse hoy en día y deja lugar a
nuevas tendencias.
La más importante es sin duda el pharming. En un ataque de pharming, no existe envío de
correo electrónico. Cuando el usuario se conecta, por ejemplo, al sitio de su banco habitual,
es automáticamente redireccionado de manera totalmente transparente hacia un sitio pirata,
después teclea su nombre de usuario y su contraseña (que son interceptadas por elhacker ), y
a continuación es devuelto al sitio auténtico. Un ataque de pharming resulta totalmente
transparente a los ojos del usuario y por eso es muy difícil de detectar.
Por otro lado, se ha constatado un fuerte crecimiento de lo que los anglosajones denominan
“spear phishing” (pesca con arpón o selectiva, es decir phishing selectivo ). Se podría comparar
este tipo de phishing a una intervención quirúrgica, en la que también se envía un e-mail, pero
con un objetivo muy bien definido, contrariamente al phishing “clásico”. El e-mail se envía en
este caso a un grupo específico de destinatarios, por ejemplo, los colaboradores de una misma
empresa, y el mensaje resulta mucho más creíble. El pirata se hace pasar, por ejemplo, por el
Director de RRHH o por el administrador de la red, y solicita a los colaboradores que aporten
una serie de datos confidenciales (contraseña, etc.). Otro ejemplo podría ser incluso un caso en
el que el pirata se puede hacer pasar por un organismo reconocido que solicite a la empresa
información técnica confidencial sobre un producto concreto.
5
20Pages Interieur:IronPort
8/03/07
20:43
Page 6
Este tipo de ataque permite a los piratas obtener información económica o técnica (secretos
de fabricación, balances y cifras empresariales, etc.). El phishing tiende hoy en día, al igual
que el software espía que detallaremos en el apartado siguiente, a ser utilizado por el pirata
como un medio para ganar dinero, revendiendo las informaciones “pescadas” a la
competencia, por ejemplo.
Finalmente, el usuario que comete una simple equivocación al teclear (el ejemplo clásico era
www.googkle.com) puede fácilmente terminar en un sitio peligroso que infectará su máquina
sin percatarse de ello. Este tipo de infección ligada a los errores del usuario al teclear se
denomina ataque de error tipográfico: el pirata crea un sitio web con una ortografía parecida
a la de un sitio conocido desde donde se descargan códigos dañinos.
EL SOFTWARE ESPÍA (SPYWARE)
L
esprogramas o software espía son aplicaciones instaladas en puestos de trabajo, que
recopilan información y la envían a servidores piratas externos. En la actualidad
deben existir más de 140.000 tipos de software espía y esta cifra va en continuo
aumento. El spyware se ha convertido en un verdadero problema mundial. Sería fácil
pensar que países como Rusia, los países del Este, o China sean los líderes a nivel de emisión
de spyware. Pero no nos engañemos: España ha recuperado su retraso en la materia y ahora
ocupa el 5º puesto de la clasificación mundial, con aproximadamente el 2% del spyware
emitido en todo el mundo.
Una primera subcategoría extremadamente peligrosa del spyware es la relativa a los
keyloggers o programas de captura de las pulsaciones del teclado. Estos son capaces de
registrar en un segundo plano todas las pulsaciones del teclado realizadas por un usuario.
Incluso son capaces de registrar capturas de pantalla, por ejemplo para desarticular las
protecciones establecidas por los bancos en línea.
Los hackers combinan estos keyloggers con tareas más sofisticadas, capaces por ejemplo de ver
la dirección en línea de un banco, registrar el nombre de usuario y su contraseña, y transmitir
estas informaciones al servidor pirata, que después las explotará transfiriendo fondos de la
cuenta del usuario pirateado. Los keyloggers también se están utilizando para obtener
información económica delicada. Por ejemplo, un keylogger colocado en el ordenador de un
Director Financiero o de un Director General puede captar información financiera importante
o datos confidenciales como un plan empresarial que afecte al personal, o el lanzamiento de un
nuevo producto. El keylogger tiene acceso a todas las aplicaciones: puede conseguir
información en las páginas Web e interactuar con la mensajería y las bases de datos.
Otra forma de spyware es el secuestrador de navegador (browser hijacker). Éste va a
modificar la configuración del navegador de un puesto de cliente, redireccionando las
búsquedas del usuario (URL mal tecleadas, página de inicio y otras peticiones de páginas)
hacia sitios no deseados o infectados. Uno de los primeros secuestradores de navegador fue
6
20Pages Interieur:IronPort
8/03/07
20:43
Page 7
Cool Web Search (CWS) que redireccionaba URL no válidas hacia su propio motor de
búsqueda. Hoy se emplean con más frecuencia para generar amenazas sobre la seguridad de
las redes. Por ejemplo, algunos van a redireccionar al usuario hacia una página que le va
indicar “Atención: su PC está infectado por un programa espía”, y no liberará la página hasta
que el usuario haga clic en un popup (mensaje emergente) que en realidad le instalará un
spyware. Otros lo que hacen es reclamar la compra de un anti-spyware para poder liberar la
página. Los secuestradores de navegadores suponen un auténtico obstáculo para la
navegación en Internet y siembran amenazas de seguridad para las empresas.
CABALLOS DE TROYA Y ROOTKITS
L
os caballos de Troya son otra forma de programa malicioso que infecta una máquina
haciéndose pasar por una aplicación no maliciosa. El caballo de Troya abre a
continuación una puerta robada en la máquina infectada, se conecta a un servidor
pirata externo y descarga uno o varios códigos maliciosos.
Por ejemplo, un caballo de Troya puede ser distribuido por un sitio web que ofrece vídeos
musicales, pero que requieren la instalación de un código especial para leerlos. Cuando el
usuario descarga el código, recupera también, sin saberlo, un caballo de Troya que se instala
en segundo plano en su ordenador.
Para evitar la detección, el caballo de Troya casi nunca contiene un código malicioso. Se instala y
recupera el código malicioso desde un servidor externo, utilizando en ocasiones puertos de red
distintos al puerto 80 (el puerto HTTP estándar). Los caballos de Troya, a diferencia de los virus
o de los gusanos, no se propagan por sí mismos, sino que necesitan la intervención del usuario
para ejecutarse. No obstante, el crecimiento exponencial de los contenidos y aplicaciones web
crea oportunidades cotidianas para los caballos de Troya inteligentes.
Otra forma extremadamente peligrosa de programa maligno es el “rootkit”. Un rootkit es un
fragmento de programa que se pega directamente al corazón del sistema de operativo del
ordenador, para esquivar las restricciones de seguridad del sistema. El rootkit también puede,
por ejemplo, tener la misión de camuflar las puertas abiertas instaladas en un puesto por un
caballo de Troya.
Los sistemas operativos se suelen basar en las API (Application Program Interface) para
funcionar. Por ejemplo, la acción de abrir un documento es una acción ligada a una API. Un
rootkit permite la manipulación de estas API. Así, cuando el sistema operativo solicita un
documento particular, el rootkit puede devolverle potencialmente cualquier otro objeto. Este
nivel de control es casi imposible de contrarrestar y una vez que el rootkit está presente en un
ordenador, la mejor solución es reinstalar el sistema por completo.
En 2005, Sony BMG distribuyó CDs que instalaban de manera subrepticia rootkits en sistemas
operativos de Windows cuando se reproducía el CD. Esta polémica tan sonada hizo tomar
conciencia del problema de los rootkits a un público más amplio que el de los informáticos.
7
20Pages Interieur:IronPort
8/03/07
20:43
Page 8
LOS ATAQUES DE VIRUS
S
e tiende a emplear la palabra “virus” de manera genérica para denominar todas las
formas de códigos malignos. Sin embargo, en términos técnicos, el virus es un código
hostil que se replica insertando copias de sí mismo en otros códigos o documentos. La
aplastante mayoría de los virus llegan a las redes a través de la pasarela de mensajería.
Los virus procedentes del e-mail se presentan a menudo bajo el aspecto de archivos adjuntos
que son a priori archivos legítimos pero que contienen en realidad códigos maliciosos.
Algunos virus llegan también con forma de archivos encriptados o protegidos, lo que hace su
detección muy difícil para los antivirus tradicionales.
Un gusano es una forma de programa maligno que se propaga por sí mismo. Conocemos
varios gusanos que han sido portada de la actualidad en los últimos años, inundando las
redes y creando daños de gran envergadura. El gusano utiliza un agujero de seguridad para
instalarse en un PC, después escanea la red en busca de otros puestos con el mismo fallo de
seguridad. Gracias a este método el gusano se propaga a gran escala en cuestión de horas.
Los gusanos son insidiosos ya que no dependen del usuario para expandirse, contrariamente
a otros tipos de virus. La mayoría de los virus esperan una acción del usuario (apertura de un
archivo adjunto, ejecución de una aplicación, reinicio del ordenador, etc.) para activarse. Por
su parte, los gusanos se expanden de manera autónoma. Podemos citar el ejemplo del virus
Explore.zip, que es capaz de detectar a los clientes de mensajería como Microsoft Outlook, y
después enviarse a sí mismo a todos los miembros de la agenda de contactos.
Los ataques de gusanos y de virus son siempre muy virulentos y plantean problemas de
seguridad de primera magnitud a las empresas. Una alerta de este tipo se desarrolla en varias
fases:
1. Se detecta un virus a nivel mundial, explotando normalmente una vulnerabilidad de
programación.
2. El fabricante antivirus pone en acción sus equipos de búsqueda para encontrar un
antídoto.
3. La empresa antivirus debe enviar esta nueva firma a su base de clientes.
4. Cada cliente debe desplegar sus firmas.
Así, entre el descubrimiento del virus, la instalación de la nueva base de firmas y/o la
aplicación del parche destinado a cubrir la vulnerabilidad de programación (siempre que se
pueda encontrar el parche) pueden transcurrir varias horas, o incluso hasta días. En
ocasiones, la nueva base de firmas o el parche no llegan a ser desplegados. Durante esta
ventana de exposición, las redes son totalmente vulnerables al virus.
8
20Pages Interieur:IronPort
8/03/07
20:43
Page 9
LAS REDES DE ZOMBIS (O “BOTS”)
U
na vez infectada, una máquina puede ser utilizada para numerosas posibilidades, como
servir de enlace de mensajería SMTP (utilizado para enviar spam o virus). Estas
máquinas infectadas suelen estar, cada vez más, organizadas en red por los piratas: es lo
que se denomina redes de ordenadores zombis (o redes de robots, botnets en inglés), y se
trata de una de las amenazas más serias para la seguridad de los sistemas de información.
Un ordenador zombi es una máquina en la que se instala un código malicioso sin que lo sepa el
usuario, pero que no comete ninguna acción maligna en el momento en que es instalado. El
puesto infectado se convierte así en un auténtico zombi a las órdenes del pirata sin que el
propietario de la máquina se perciba de ello. El pirata puede a continuación solicitar a distancia
al puesto infectado que realice por sí mismo un ataque o que ejecute cualquier tipo de acción
maliciosa. Entonces resulta muy difícil localizar al auténtico iniciador del ataque y más aún
cuando el pirata va a utilizar redes de zombis diseminadas por diversos países. Por otro lado, el
ciclo de vida de los zombis ha sido de menos de 30 días en 2006. Efectivamente, el pirata
abandona rápidamente a los zombis que ya han sido utilizados y que han podido ser detectados.
Los ordenadores zombis tienen varias utilidades para los hackers.
Los ataques de denegación de servicio distribuidos
En principio, los ataques de denegación de servicio distribuidos (DDoS) representan la forma
más frecuente de utilización de las redes de zombis. Estos van a atacar conectándose de manera
simultánea a pasarelas HTTP o a sitios de Internet conocidos, saturándolos así completamente e
impidiéndoles funcionar normalmente, o incluso les hacen dejar de funcionar totalmente. Todo
ello puede dar lugar a pérdidas de volumen de negocio tremendas para las empresas de
comercio en línea. También hay que apuntar que ciertos piratas alquilan sus redes de robots:
¡ahora es posible atacar a los competidores y hacer caer su sitio web por medio de un ataque
DDoS ejecutado por zombis de alquiler!
Igualmente, existen los ataques de denegación de servicio distribuidos que afectan a la mensajería y que
buscan desbordar un enlace o un servidor de mensajería mediante un enorme volumen de mensajes. En
este caso, el servidor se ve obligado a interrumpir las conexiones o a rechazar e-mails legítimos.
El spam
Por otro lado, las redes de zombis sirven con frecuencia para enviar spam. El spammer, o
generador de spam, se camufla detrás de ordenadores que hacen el trabajo sucio por él.
IronPort calcula que en la actualidad, el 80% del spam mundial procede de puestos zombis.
Un ataque de spam de cierta envergadura puede utilizar por lo general zombis repartidos por
más de 100 países.
Phishing
Los zombis sirven también a los piratas para lanzar sus ataques de phishing: los e-mails con
vínculos hacia sitios fraudulentos salen así de máquinas de terceros, haciendo muy difícil la
localización del pirata.
9
20Pages Interieur:IronPort
8/03/07
20:43
Page 10
Ciber-extorsión: el chantaje en Internet
Por último, los zombis han dado lugar a la aparición de lo que la prensa denomina ciberextorsión: los piratas se ponen en contacto con las empresas pidiéndoles que paguen una
suma de dinero si no quieren ser atacados por redes de miles de zombis. Este tipo de ataques
y de chantaje está muy extendido en la actualidad: un estudio realizado en Estados Unidos
por la H. John Heinz III School of Public Policy (Carnegie Mellon University), en
colaboración con Information Week, demostró que el 17% de las empresas reconocen haber
sido víctimas de la ciber-extorsión.
¿CÓMO SE PRODUCEN LAS INFECCIONES?
La mensajería, siempre la mensajería…
l 80% de los mensajes de correo electrónico enviados en el mundo hoy en día
constituyen spam, contienen virus, o son inductores de ataques de tipo phishing. Se
calcula también que el spam representa por sí solo dos terceras partes del tráfico de
correos electrónicos a nivel mundial. En estas condiciones, la mensajería electrónica
se presenta como el vector más importante de contaminación de las redes de las empresas.
Según la ICSA, un consorcio de referencia en la industria de la seguridad informática, más del
90% de los virus llegan a las redes a través del e-mail.
E
Los virus y otros códigos maliciosos pueden presentarse en forma de documentos adjuntos,
pero también es posible infectarse simplemente leyendo el e-mail o previsualizándolo. En este
último caso, se trata de scripts automatizados que van a infectar el puesto.
La Web, fuente de peligros más o menos visibles…
Una forma corriente de infección en la Web es el clic por parte de un usuario en un anuncio o
en un pop-up (mensaje emergente), que conlleva la descarga del programa maligno. Algunos
sitios infectados llevan la ironía hasta el punto de solicitar al usuario que haga clic en un popup para efectuar un barrido anti-spyware, ¡cuando ese mismo clic es lo que va a provocar la
descarga del spyware!
Cada vez con más frecuencia, este tipo de descarga se hace sin que el usuario vea nada en
absoluto, e incluso sin llegar a hacer clic en ninguna ventana. El programa maligno
simplemente explota una vulnerabilidad del navegador Web para instalarse por sí solo en el
puesto del usuario.
Por último, el programa maligno puede sencillamente ir integrado en una aplicación a priori
no maligna. Este tipo de infección es conocido con el nombre de ataques “piggyback”.
Un estudio realizado en 2006 por la universidad de Washington ha escaneado más de 20
millones de páginas Web y ha aislado más de 20.000 ejecutables. Uno de cada veinte
ejecutables contiene una forma de programa maligno integrado. Es más, los códigos maliciosos
no se encuentran únicamente en sitios abiertamente peligrosos. Uno de cada 25 sitios estaba
10
20Pages Interieur:IronPort
8/03/07
20:43
Page 11
infectado, a menudo por medio de ventanas publicitarias registradas en servidores Web
externos al sitio de cuestión y que están infectadas por un malware. Si bien los miles de
ejecutables infectados no contenían “más que” 89 formas diferentes de programas malignos,
cada uno de ellos necesitaba una firma “anti-malware” única, dependiendo delas distintas
formas de compresión utilizadas cada vez. Los códigos maliciosos utilizaban así su aplicación
de alojamiento para evitar los filtros anti-malware basados en firmas.
Las categorías más frecuentes de sitios que distribuían malware integrado en otros programas
se ilustran en el esquema siguiente.
Siguiendo con este estudio, los casos de descarga directa de malware con o sin intervención
del usuario eran bastante menos numerosos que los relacionados con ataques “piggyback”,
con un resultado de 0,04% de los 20 millones de páginas visitadas.
La distribución de estos sitios viene expresada en el esquema siguiente.
Como podemos observar en el gráfico, más del 50% de las descargas de malware se
produjeron sin ninguna intervención del usuario.
11
20Pages Interieur:IronPort
8/03/07
20:43
Page 12
EL SPAM, EFECTO CONTAMINANTE Y
Y MULTIPLICADOR DE ATAQUES
UN JUEGO DEL RATÓN Y EL GATO
E
l volumen de spam no ha parado de aumentar año tras año desde 2002. Paralelamente a
esta proliferación, las tácticas de los spammers también han ganado en sofisticación.
Esta ola de correos no deseados encuentra una gran motivación en el incentivo del
beneficio económico. En un primer momento, los spammers obtienen beneficios a partir
de la venta de distintos productos con poco margen (complementos a base de plantas, préstamos
inmobiliarios a bajo interés, ratones ergonómicos…) pero también gracias a actividades
criminales (fraudes de tarjetas de crédito, pornografía, venta ilícita de medicamentos…). Estos
beneficios se reinvierten después en nuevas tecnologías e infraestructuras de difusión de spam.
Hoy en día, el spam es igualmente una auténtica herramienta con la que impulsar ataques
aprovechando fallos en la seguridad de las redes de las empresas, facilitando el robo de
direcciones, los ataques de phishing, la difusión de virus, etc.
Cuando apareció el problema del spam, las empresas y los particulares empezaron a
desplegar filtros antispam de primera generación. Estos filtros se apoyaban principalmente en
un análisis heurístico, que consistía en examinar las palabras de un mensaje y, por medio de
una fórmula de ponderación, calcular la probabilidad de que el mensaje fuera spam. Frente a
la generalización de estas soluciones, los spammers comenzaron a elaborar nuevas tácticas
más avanzadas para esquivar los filtros. A partir de ahí, lo que siguió fue un juego del ratón y
el gato, en el que los spammers imaginan una nueva estratagema para pasar a través de las
mallas de la red, mientras que los fabricantes de herramientas anti-spam añaden una nueva
técnica a su “arte” para contrarrestar a los spammers, que a su vez inventan una nueva
táctica y así sucesivamente.
Las tres primeras generaciones han ido llenando las lagunas de la generación precedente, pero
todas tenían una debilidad en común. Todas están a merced de los spammers, ya que operan
sobre un elemento sobre el que éstos últimos tienen el control total: el contenido del mensaje.
Esto viene a ser lo mismo que construir una casa sobre cimientos deteriorados. Las últimas
técnicas de camuflaje de los spammers han logrado poner en jaque a la mayoría de los filtros
basados en el contenido.
Así, en estos últimos años hemos visto cómo el spam recurría a técnicas de camuflaje cada vez
más elaboradas. En un primer momento los spammers comenzaron, por ejemplo, a
descomponer las palabras (si la palabra Viagra estaba bloqueada, no lo estaría su
descomposición como V.i.a.g.r.a.). La mayoría de los mensajes de spam ahora contienen
12
20Pages Interieur:IronPort
8/03/07
20:43
Page 13
bloques de texto que incluyen palabras no consideradas como spam – a menudo términos
técnicos o un extracto de un libro. Otras artimañas consisten en sustituir letras por cifras (por
ejemplo 0 - cero – en lugar de la letra O). Incluso ciertos mensajes de spam no presentan más
que un contenido mínimo, pero acompañado de un vínculo sobre el que se invita a hacer clic
al usuario. El contenido malintencionado se sitúa en el servidor web y el spam pasa así los
filtros.
Por otra parte, los creadores de filtros basados en contenido emiten reglas cada vez más duras
como reacción a estas innovaciones criminales, y corren el riesgo de suprimir ocasionalmente
mensajes de buena fe que contienen palabras asociadas al spam, generando así cada vez más
“falsos positivos”.
El spam, que había conocido un relativo estancamiento en el primer trimestre de 2006,
experimentó un crecimiento muy notable en el segundo y tercer trimestre, principalmente
debido al spam en imágenes que supuso una verdadera explosión ese mismo año.
Las últimas estadísticas del Centro Operativo de Identificación de Amenazas (TOC) de
IronPort confirman esta proliferación del spam a nivel mundial:
• El volumen mundial de spam pasó de 31 mil millones de mensajes al día en octubre de
2005 a 61 mil millones en octubre de 2006, lo que supone aumento de casi el 100%.
• El ancho de banda consumido por el spam pasó de 275 teraoctetos (To) diarios en
octubre de 2005 a 819 To en octubre 2006, casi el triple.
• El spam en imágenes alcanzó un nuevo pico en octubre de 2006, representando desde
entonces el 25% del spam mundial, frente al 4,8% en octubre de 2005, lo que
significa un aumento del 421%.
• Siguiendo la multiplicación del spam en imágenes, el tamaño medio de los spams ha
pasado de 8,9 Kb a 13 Kb (+46%).
Existen dos razones principales para esta nueva explosión: el desarrollo exponencial de las
redes de zombis que hemos tratado al inicio de este documento y la proliferación del spam en
imágenes.
EL SPAM EN IMÁGENES
Y LAS ÚLTIMAS INNOVACIONES DE LOS SPAMMERS
E
l spam en imágenes se presenta bajo el aspecto de un archivo de imagen adjunto (.gif
o .jpg) que incluye texto, pero sin texto comprensible en el cuerpo del mensaje. Esto
es la práctica contraria a la mayoría de los spams clásicos, que contienen texto en
claro y/o un enlace URL y que los filtros antispam pueden detectar. Mediante la
13
20Pages Interieur:IronPort
8/03/07
20:43
Page 14
desarticulación de numerosas técnicas antispam, el spam en imágenes reduce los índices de
intercepción y aumenta el volumen de correo no deseado recibido.
Criminales ingeniosos explotan el spam en imágenes para lanzar un flujo ininterrumpido de
ataques lucrativos para algunos y perjudiciales para los demás. Una muestra de esto son las
propuestas de compra de acciones de bolsa con una cotización muy baja (“penny stocks”),
presentadas en forma de publicidad con imagen, y en las que caen los destinatarios ingenuos;
esto hace subir artificialmente el valor de los títulos en cuestión y permite al spammer realizar
un rápido beneficio con su venta. Estos timos son capaces de crear sistemas complejos de
maquillaje de imágenes y de difusión de spam, para lanzar miles de millones de mensajes e
invertir sus capitales en mercados bursátiles públicos sometidos a una estricta
reglamentación. La cólera de los pequeños accionistas y las averías de mensajería resultantes
no son para ellos más que daños colaterales.
Lógicamente, fabricantes de soluciones antispam basadas en contenidos han reaccionado y han
registrado estas imágenes en sus bases de firmas, pero los recientes progresos técnicos de los
spammers han permitido al spam en imágenes aumentar su eficacia. La principal innovación
reside en la generación aleatoria de
múltiples copias de una imagen, que
resultan similares al ojo humano, pero
que son totalmente diferentes para los
filtros antispam. Por ejemplo, los
spammers envían un archivo .gif en el
que se han insertado unos puntos
minúsculos al azar.
O bien, juegan con los matices de
color, el grosor y la trama de un
marco, o incluso con la fuente de los
caracteres, para producir subtítulos
variables de una misma imagen.
Incluso, llegan a descomponer una
imagen en una multitud de subimágenes que recomponen esta gran
imagen, siendo la descomposición
aleatoria y por tanto, única para cada
e-mail enviado.
En todos los casos, el destinatario no
percibe ninguna diferencia, pero la
suma de control del archivo es
diferente, y el antispam que se basa en
las firmas no podrá reconocer las
variantes de este spam.
14
20Pages Interieur:IronPort
8/03/07
20:44
Page 15
Otro ejemplo, para contrarrestar las técnicas antispam basadas en reconocimiento de
caracteres en el interior de las imágenes, los spammers insertan texto legítimo, por ejemplo
extractos de un libro, en la imagen contenida en el
e-mail, que va a poder pasar así los filtros.
Finalmente, en noviembre de 2006 apareció una
nueva forma de spam en imágenes, que intentaba
camuflarse como imagen legítima añadiendo un
marco de tipo “tarjeta de felicitación”. Estas
imágenes insertaban igualmente histogramas y
tartas para simular gráficos Excel o PowerPoint, y
texto en “olas” para engañar a las tecnologías de
reconocimiento de caracteres.
La última innovación de los spammers apareció en
noviembre de 2006: un spam que fue bautizado
como “ASCII” y que utiliza una serie de cifras para
representar un valor bursátil. Estas cifras son
generadas al azar en cada e-mail para esquivar los
filtros, y como en el spam en imágenes, no hay
ninguna palabra clave en el correo que permita el
bloqueo por un filtro únicamente basado en el
contenido.
Tal como se constata, los spammers innovan sin
cesar y aplican técnicas cada vez más avanzadas
para evitar las soluciones propuestas por los
fabricantes y programadores de seguridad. A
medida que se incrementa el número de correos de
spam que pasan por las mallas de las redes, más se resiente la productividad de los usuarios y
la carga de trabajo de los equipos informáticos, y más vulnerable se vuelve la red de la
empresa ante las amenazas sobre su seguridad.
LOS ATAQUES DE “ROBO DE DIRECTORIOS”
E
l spam sirve cada vez con más frecuencia para lanzar ataques de lo que se denomina
“robo de directorios”.
Un ataque de “robo de directorios” sirve para identificar las direcciones de e-mail
válidas de un dominio concreto
Para ello, un spammer envía un gran número de combinaciones apellido-nombre hacia un
nombre de dominio determinado. Si alguna de las direcciones no devuelve un mensaje de
error, el spammer deduce que esa dirección es válida y la añade a su lista de direcciones
válidas para esa empresa concreta.
15
20Pages Interieur:IronPort
8/03/07
20:44
Page 16
El objetivo principal de estos ataques consiste en recopilar listas de direcciones de e-mail para
acometer posteriormente ataques de spam o revenderlas a otros spammers. Sin embargo, este
tipo de ataques ahora también sirve para intentar penetrar en la red de la empresa. Así, con la
creciente adopción de Active Directory y del Single Sign-On, un pirata que haya recopilado
direcciones de e-mail válidas de una empresa puede penetrar en la red, adivinando la
contraseña asociada a tal o cual dirección de correo electrónico, que a menudo sirve como
identificación.
Para se protegerse de este tipo de ataque, no bastan las de herramientas de seguridad: es
preciso establecer un relay de mensajería que proponga una gestión avanzada de los mensajes
de error, y de las funcionalidades contra los ataques de “robo de directorios”.
LOS ATAQUES DE REDIRECCIONAMIENTO
DE MENSAJES DE ERROR
L
os spammers utilizan también su red de zombis para emprender otro tipo de ataque
peligroso: el redireccionamiento de mensajes de error. En el envío de un spam a miles
de destinatarios, ya se trate del spam clásico o de un ataque de robo de directorios, es
seguro que un importante número de mensajes llevará destinatarios no válidos. El
relay de mensajería del dominio que indica estos destinatarios no válidos, por lo general, va a
emitir mensajes de notificación de error de dirección al remitente del e-mail. Esto quiere decir
que en el envío de un spam, el remitente (el spammer) deberá ser capaz de enfrentarse a la
devolución de miles de mensajes de error.
Para sortear este obstáculo, el spammer va a enviar spams en volumen a uno o varios
dominios, pero poniendo como dirección de retorno en el e-mail una empresa X que desee
atacar. Todos los mensajes de error serán así reenviados a la empresa X…
Este tipo de ataque ofrece al pirata-spammer el doble de ventajas al enviar el spam sin correr
con la gestión de los mensajes de error y atacando de paso a una empresa enfrentándola al
riesgo de una denegación de servicio.
Hoy en día se estima que más del 55% de las 500 mayores empresas mundiales han sufrido
este tipo de ataques, que representan el 9% del e-mail mundial.
16
20Pages Interieur:IronPort
8/03/07
20:44
Page 17
LAS SOLUCIONES
ANTE ESTAS AMENAZAS
CONSIDERACIONES PREVIAS
L
os índices de infección por programas malignos experimentan un fuerte crecimiento
en todo el mundo, independientemente del tamaño de empresa, a pesar de que más del
65% de las empresas afectadas hayan puesto en marcha un antivirus o un
antispyware en sus puestos de trabajo. A partir de un estudio realizado recientemente
en Estados Unidos, IronPort calcula que el coste de infección por un programa maligno es de
150$ por PC al año. Y esta cifra sólo incluye los costes informáticos directos asociados al
control y a la desinfección de códigos maliciosos, sin tener en cuenta los miles o incluso los
millones de euros en juego en caso de fugas o de pérdidas de información confidencial
relacionadas con una infección.
Las amenazas descritas en las primeras secciones de este documento se sirven como hemos
visto de dos medios principales que transmiten la casi totalidad de los programas malignos: la
mensajería y la Web. Por lo tanto, conviene que las empresas establezcan en su seno
soluciones adaptadas para cada uno de estos vectores. Las limitaciones de utilización ligadas
a estos dos medios de comunicación son muy diferentes, y por eso resulta difícil hacer
coexistir de manera eficaz en una misma solución una protección eficaz sobre la mensajería y
la Web. Así, en este apartado hablaremos de dos soluciones distintas para estas dos pasarelas
de comunicación.
La pasarela o gateway de mensajería
El primer elemento importante que permite a las empresas disponer de una infraestructura de
mensajería saneada y eficiente no es una herramienta de seguridad propiamente dicha, sino el
propio relay de mensajería.
Éste debe ser capaz, en un entorno moderno, de gestionar un gran número de conexiones
simultáneas, de controlar las conexiones y las listas de espera de mensajes de manera
inteligente, de proponer soluciones pertinentes para proteger la reputación de la empresa en
Internet y de saber filtrar y limitar el tráfico en función de los dominios, de manera que se
propongan respuestas adaptadas a los distintos tipos de ataques.
Además, el relay debe establecer perfectamente la interfaz con soluciones antispam que
combinen un análisis completo y contextual del contenido con un análisis de la reputación del
remitente para una mayor eficacia, así como con soluciones antivirus, de filtrado de contenido
y de encriptación de los e-mails. Las soluciones antivirus deben también ser capaces de
17
20Pages Interieur:IronPort
8/03/07
20:44
Page 18
bloquear los ataques de virus antes del que los fabricantes antivirus suministren los antídotos.
La pasarela o gateway de Internet
En el mercado actual, las soluciones que protegen los flujos de Internet a nivel de la pasarela
o gateway son mucho menos maduras que las soluciones que protegen las pasarelas de
mensajería.
IDC estima que teniendo en cuenta el hecho de que los ataques procedentes de la Web
seguirán siendo cada vez más malintencionados y sofisticados, las soluciones de seguridad
Web tendrán un papel cada vez más importante en los sistemas de información, sumándose a
las soluciones firewall y antivirus tradicionales.
Las soluciones de protección de la pasarela de Internet más eficaces deben combinar 4 tipos
de análisis, que se basan en la red, un proxy, listas o categorías, y bases de firmas:
• Las soluciones basadas en la red operan a nivel de paquetes, son capaces de analizar
todos los tipos de tráfico y son un excelente sistema para detectar las comunicaciones
de los códigos maliciosos con sus servidores de control externos. Cuando, por ejemplo,
un caballo de Troya se instala en un puesto, éste va a intentar contactar con un servidor
pirata en Internet y va a descargar otros códigos maliciosos. Con frecuencia, estos
caballos de Troya van a intentar encontrar puertos abiertos que no tengan protección
como puede ser el caso del puerto 80 (HTTP) y el puerto 25 (SMTP)
• Un proxy Web recibe las peticiones de un puesto de cliente y establece una conexión
con el sitio solicitado por parte del cliente. Las respuestas de este servidor son dirigidas
hacia el proxy, y el proxy a su vez, dirige cada respuesta hacia el puesto cliente. El
proxy es un agente de filtrado ideal porque comprende el protocolo HTTP en su
globalidad y puede efectuar un examen completo de cada parte del contenido.
• Las soluciones basadas en listas y categorías son una parte importante de una solución
global de protección de la pasarela de Internet. Utilizan bases de categorización de las
URL. Estas soluciones son utilizadas en un primer momento para gestionar los accesos
a Internet de los empleados, autorizando, limitando o bloqueando los accesos a los
sitios en función de su categoría. De este modo, permiten bloquear los accesos a los
sitios phishing o infectados con spyware y clasificados como tales. Sin embargo, estos
métodos resultan reactivos, y en caso de aparición de un malware en un sitio
determinado, en el tiempo empleado en que el sitio sea categorizado y en que la regla
sea transmitida a los clientes, potencialmente, el código malicioso habrá podido infectar
a la empresa. Así, una eficacia parcial, que es aceptable para una política de gestión de
los accesos a Internet (autorizar el acceso a los sitios de viajes solo a mayores de 18h,
prohibir los sitios pornográficos, etc.), donde no se exige forzosamente el 100% de
éxito, no puede ser aceptada en términos de seguridad (donde se exige un índice de
éxito cercano al 100%).
Una evolución interesante de las soluciones basadas en categorías es la emergencia de
sistemas de reputación Web. Estas soluciones analizan un cierto número de parámetros
18
20Pages Interieur:IronPort
8/03/07
20:44
Page 19
que afectan potencialmente a todo servidor en Internet, otorgándoles una nota de
reputación. En función de esta nota, el sistema va a aplicar una acción: por ejemplo,
bloquear los accesos a los sitios en los que la nota de reputación es mala o incluso,
aplicar un filtrado basado en firmas para los sitios “intermediarios”, y dejar pasar a los
sitios buenos. La aplicación de un filtro complementario basado en firmas únicamente a
los flujos “tendenciosos” permite también ganar en rendimiento. Las soluciones basadas
en la reputación cubren las lagunas de las soluciones basadas en categorías: en efecto, si
un nuevo servidor Web aparece en Internet y conoce los picos de tráfico, se le dará una
nota de reputación neutra o ligeramente negativa, pudiendo en cualquier caso ser
bloqueado directamente, por ejemplo, aplicándole un filtro basado en firmas.
• Las soluciones basadas en firmas suelen ser desplegadas en los puestos de trabajo,
pero raramente en la pasarela, debido a los problemas de rendimiento que puede
generar. En efecto, la Web es un protocolo en tiempo real y los usuarios quieren
acceder en tiempo real. Si los sistemas tradicionales basados en firmas estuviesen
instalados en la pasarela, añadirían varios segundos de espera para la presentación en
pantalla de cada página. El usuario tendría entonces la impresión de estar utilizando
un viejo módem en lugar de su conexión de alta velocidad para empresa. Por eso, el
filtrado basado en firmas a nivel de la pasarela debe ser ultra-rápido para evitar los
problemas de espera. IDC indica en la entrega de 2006 de su estudio sobre el
mercado de la Seguridad de Contenidos que debido a la naturaleza en tiempo real de
los protocolos http y HTTPS y de sus flujos de datos, son necesarias unas funciones
de análisis en tiempo real (en modo streaming) más sofisticadas, para asegurarse de
que el tráfico de Internet permanece seguro y a salvo de los ataques.
Actualmente, teniendo en cuenta la complejidad de las amenazas, se impone una solución
eficaz de protección de la pasarela de Internet que combine los distintos aspectos descritos
anteriormente.
LAS SOLUCIONES DE IRONPORT
I
ronPort Systems es el líder de seguridad de las pasarelas destinadas tanto a las grandes
empresas como a las PYMES. La compañía ha desarrollado una gama de appliances para
cubrir los campos siguientes:
• Seguridad E-mail: IronPort Serie C (ver el anexo 1, página 21 para más detalles)
• Seguridad Web: IronPort Serie S (ver el anexo 2, página 22 para más detalles)
• Gestión de la Seguridad: IronPort Serie M, que permite centralizar las funciones de
administración relativas a varios appliances S o C, como la cuarentena centralizada
de spam.
19
20Pages Interieur:IronPort
8/03/07
20:44
Page 20
Estos appliances se apoyan en SenderBase, la red más antigua y más extensa de vigilancia del
tráfico de e-mail en Internet a nivel mundial. SenderBase recopila datos procedentes de no
menos de 120.000 redes diferentes de todo el mundo, que representan más del 25% del
tráfico de correo electrónico a nivel planetario, y vigila más de 130 parámetros distintos
relativos a un remitente o a un sitio Web específico.
SenderBase controla así más de 90 parámetros de red relativos a toda dirección IP emisora de
correo electrónico en Internet: volumen global enviado desde esta dirección, fecha desde la
que la dirección expide el correo, país de origen, detección de un proxy o de un relay abierto,
presencia en listas negras o blancas, configuración DNS, aceptación de correo devuelto, etc.
En resumen, SenderBase controla más de 40 parámetros de red relativos a toda dirección IP
que aloja un servidor Web, como el histórico del sitio, su país, su volumen de tráfico, su
presencia en listas negras o blancas, etc.
Al acceder a una amplísima muestra de datos, SenderBase tiene capacidad para evaluar con
precisión extrema el comportamiento y la reputación de cada remitente o de cada sitio web.
SenderBase aplica algoritmos que analizan estos parámetros de nivel de red y obtienen una
“nota de reputación” (e-mail o Web) comprendida entre -10 y +10. A continuación, esta nota
es comunicada en tiempo real a los appliances de IronPort cuando se recibe un mensaje de un
remitente cualquiera, o cuando un usuario intenta acceder a un sitio.
IronPort emplea a numerosos técnicos y expertos en estadística multilingües en su Centro de
operaciones de identificación de amenazas (TOC, Threat Operaciones Center), 24 horas al
día, 7 días a la semana, para el control y la gestión de los datos de SenderBase. El equipo del
TOC ha desarrollado un motor de clasificación de los datos que trata y pondera las
informaciones procedentes de diversas fuentes para disponer de una interpretación más fiable.
El equipo vela por la actualización y la precisión de los datos de SenderBase, con objeto de
que los administradores puedan recurrir a ellas para automatizar la seguridad e-mail y Web.
Si desea cualquier información sobre las soluciones IronPort, puede visitar
www.ironport.com, o enviar un e-mail a la dirección: [email protected]
20
20Pages Interieur:IronPort
8/03/07
20:44
Page 21
IRONPORT SERIE C
DEFENSA ANTISPAM
ENLACE DE MENSAJERÍA
AsyncOS est l’OS IronPort
exclusivo,reforzado y optimizado
para la mensajería, que puede
gestionar hasta 10.000 conexiones
simultáneas, o sea, 100 veces más
™
IronPort Anti-Spam se apoya en la que los equipos UNIX equivalentes
tecnología exclusiva CASE (Context tradicionales. El appliance resiste así
a picos potenciales de mensajes.
Adaptive Scanning Engine) de
Los IronPort Reputation Filters™
bloquean en torno al 80% del spam
entrante a nivel de la conexión TCP,
analizando la nota de reputación
del remitente del mensaje.
IronPort, que examina 4 criterios
para cada mensaje: el contenido, la
estructura, la reputación del
remitente del mensaje, la reputación
del sitio web cuyo vínculo aparece
en el e-mail.
Bounce Verification le protege
contra las eventuales denegaciones
de servicio relacionadas con ataques
de redireccionamiento de mensajes
de error masivos. Pone un sello a
los mensajes salientes para así
proteger la pasarela
contra los
redireccionamientos
fraudulentos de
mensajes de error. Los
mensajes de
notificación de error
de llegada que no lleven este sello
serán rechazados.
Un sistema de archivos de espera y
re-emisiones de mensajes distintos
para cada dominio permite que no
se bloquee el enlace si un dominio
no se encuentra accesible.
Un sistema de limitación (o
«throttling») de los flujos permite
adoptar respuestas graduales.
TRATAMIENTO DEL
CONTENIDO
El análisis de contenido se realiza
según la dirección IP de origen o
de destino, el dominio o la
dirección, el encabezado, las
palabras clave en el cuerpo del
mensaje, el tamaño o el tipo de
archivos adjuntos, las palabras
lave o los objetos integrados en los
archivos adjuntos, o la reputación
del remitente.
A partir de este análisis, los
mensajes reciben la aplicación de
distintas formas de tratamiento:
filtrado, puesta en cuarentena o
incluso encriptado de los e-mails.
Las herramientas de administración PROTECCIÓN DE LA
permiten la gestión de las políticas,
REPUTACIÓN DE LA
la creación de informes y el
EMPRESA EN INTERNET
seguimiento de los e-mails.
Virtual Gateway™ ™
permite distribuir los
mensajes procedentes
de diversos servicios
entre diferentes
direcciones IP de
salida, protegiendo así
DEFENSA ANTI-VIRUS
la reputación de e-mail de su
IronPort Virus Outbreak Filters™ empresa. En caso de bloqueo por
identifica y bloquea los virus
un ISP, este no se aplicará más
Directory Harvest Attack
varias horas antes de la
que a la dirección IP afectada, sin
Prevention registra el número de
disponibilidad de las firmas de los interrumpir los otros flujos.
destinatarios no válidos
fabricantes tradicionales de
La tecnología DomainKeys firma
contactados por un remitente
antivirus.
los mensajes salientes para
determinado. Una vez que se supera
Sophos Anti-Virus aporta una
proteger su identidad ante los
el umbral definido por el
segunda muralla de protección
receptores de sus e-mails en
administrador, el correo de ese
antivirus, basado en firmas y
Internet.
remitente es bloqueado sin que se
totalmente integrado, apoyándose
genere un mensaje de error. Esta
tecnología protege a la empresa de en la tecnología de detección de
virus más eficaz del mercado.
los ataques de “robo de
directorios”.
21
20Pages Interieur:IronPort
8/03/07
20:44
Page 22
IRONPORT SERIE S
DEFENSA ANTI-MALWARE A
BASE DE FILTRADO DE
SITIOS WEB
DEFENSA ANTI-MALWARE
BASADA EN MONITOR DE
TRÁFICO
™
IronPort Anti-Malware System
Un monitor de tráfico integrado
reside en el motor DVS (Digital
• Mediante la utilización de
de nivel 4 escrutina todos los
Vectoring & Streaming). Con
SenderBase, los IronPort Web
puertos para detectar y bloquear la
Reputation Filters™ analizan más objeto de garantizar la mejor
protección posible contra las más actividad de los spywares, caballos
de 40 parámetros para evaluar
diversas amenazas de la Web, DVS de Troya y otros zombis, que
con precisión el grado de
transmiten información hacia el
incluye varias bases de firmas
confianza de una URL. Las
exterior o la descargan desde
procedentes de distintos
técnicas evolucionadas de
servidores externos. Al vigilar la
fabricantes del mercado, a la
modelización de la seguridad
totalidad de los 65.535 puertos de
cabeza de los cuales se encuentra
sirven para ponderar por
red, el monitor de tráfico
Webroot,
separado cada
intercepta eficazmente los códigos
parámetro con
maliciosos que
objeto de obtener
intentan esquivar el
una nota única,
Puerto 80, pero
sobre una escala
prohíbe igualmente
de -10 a +10. Las
el tráfico peer-toreglas
peer e IRC ilícito.
configuradas por
el administrador
PROXY WEB SEGURO
líder mundial de antispyware
se aplican de manera dinámica,
• AsyncOS for Web, el sistema
según IDC. Webroot se apoya en
en función de las notas de
Phileas, un sistema que identifica a
operativo IronPort exclusivo y
reputación.
diario las amenazas mediante un
optimizado para los flujos Web,
• IronPort URL Filtering se
examen inteligente de millones de
puede encargarse de hasta
apoyan en una base de categorías sitios. El motor DVS escanea los
100.000 conexiones TCP
de URL compilada por uno de
objetos Web en modo streaming: el entrantes y salientes simultáneas.
los líderes del mercado del
escaneado comienza al mismo
filtrado de URL. Esto permite un tiempo que la descarga del objeto, • Una cachébasada en
reputación, única en el
reforzamiento de la seguridad
y si se identifica un código
mercado, permite acelerar los
aplicada por los filtros de
maligno, la descarga es
rendimientos.
reputación, así como una gestión interrumpida inmediatamente, lo
de los accesos a Internet de los
que acelera de manera sensible la
• Herramientas de
empleados en función de la
capacidad de tratamiento del
administración que permiten la
política de utilización aceptable
appliance.
gestión
de políticas y la creación
establecida por la empresa.
de informes.
22
DEFENSA ANTI-MALWARE
BASADA EN FIRMAS
Couv-LesMenaces:IronPort
9/03/07
17:28
Page 2
LAS AMENAZAS
ACTUALES
DE INTERNET
CÓMO
PROTEGERSE
IronPort Systems Southern Europe, Middle-East & Africa
98, Route de la Reine - 92100 Boulogne-Billancour t - Francia
TEL +33 1 45 61 32 72 FAX +33 1 45 61 32 73
EMAIL sp-info@ironpor t.com WEB www.ironpor t.com
Ironpor t Systems Inc., con sede central en San Bruno, California, es un fabricante líder en appliances antispam, antivirus y
antispyware para organizaciones que incluyen desde las pequeñas empresas hasta las 2000 empresas más grandes del mundo.
Los appliances de Ironpor t desempeñan un papel crítico en la infraestructura de red de las compañías y son innovadores, fáciles
de usar y ofrecen un gran rendimiento. Los appliances de Ironpor t utilizan SenderBase®, la red y base de datos mayor del mundo
de detección de amenazas de email y web. Para más información sobre los productos y ser vicios de Ironpor t Systems, por favor
visite: www.ironpor t.com.
Copyright © 2007 IronPor t Systems, Inc. Todos los derechos reser vados. IronPor t es una marca registrada de IronPor t Systems, Inc. Todas las demás marcas
per tenecen a sus respectivos propietarios.
Las características de los productos pueden ser modificadas sin previo aviso.