La computadora no ha estado conectada a Internet durante 2 semanas

Al leer algunas de estas respuestas, me pregunto si algunos leerán la pregunta: " Una computadora no ha estado conectada a Internet durante 2 semanas ", ya que la mayoría de las respuestas emiten "IP estáticas" o "si tu computadora está conectada a internet". Me mantendría alejado de estas respuestas, ya que demuestra que las respuestas simplemente se escriben sin un proceso de pensamiento.

A la respuesta. Entonces, su computadora no ha sido conectada, y parece que le preocupa que en el momento en que se conecte, algo lo contamine de inmediato. Hay dos enfoques para resolver este problema. La primera es actualizaciones fuera de banda, donde puede usar un servidor proxy WSUS para descargar las actualizaciones, luego obtenerlas de su servidor o descargarlas por su cuenta. Lo mismo se aplica para el antivirus.

Por lo que puedo decir, y de lo que sé, no ha habido virus o gusanos "catastróficos" que afecten a Windows similares a Blaster, SoBig y otros. Si está preocupado, puede determinar cuáles son las direcciones IP de los sitios de los que necesita obtener actualizaciones (Microsoft y su proveedor de AV) y luego crear una regla de firewall basada en Windows para SOLO permitir esos sitios y bloquear todo lo demás. El problema con esto es, CDN (Akamai, por ejemplo) donde las actualizaciones no provienen de su proveedor, sino de un tercero.

Otra solución alternativa (aunque larga y complicada) es colocar la máquina en su propia red y monitorear el tráfico hacia y desde ella con un rastreador (Wireshark, etc.) de lo contrario, no hay razón para temer que encender esa máquina inmediatamente lo activará para ser "pirateado" o "infectado" o de otro modo. La última oración se basa en la premisa de que la máquina no requiere una dirección estática, y o está utilizando servicios explotables (http vulnerables, pop3, etc.).

Hay una diferencia entre vulnerabilidades y exploits, y lo he dicho antes: "no todas las vulnerabilidades son explotables". El simple hecho de que tenga una versión vulnerable de Internet Explorer significa poco si lo único que hace es conectarse DIRECTAMENTE a Microsoft para una actualización. Versus usas el mismo IE para la navegación diaria del día a día.

Si fuera yo, me aseguraría de que el firewall de Windows esté activado y configurado para bloquear todas las conexiones entrantes.

Si bien existe el riesgo de que pueda haber una vulnerabilidad en el firewall de Windows, es probable que esa vulnerabilidad sea de alto perfil y que usted lo sepa por los informes de medios, en este escenario uno de los métodos fuera de línea (descrito en otras respuestas) es el camino a seguir.

Sería preferible un firewall o enrutador de hardware con funcionalidad de firewall entre el dispositivo e Internet.

Si cualquiera (o ambos) están en su lugar, conéctese en línea y asegúrese de que la Actualización de Windows se complete antes de cualquier otra actividad relacionada con Internet (navegación, correos electrónicos, etc.).

Una de las razones por las que Blaster se propagó tan rápido fue que era anterior al firewall de Windows actual, que ahora está activado de forma predeterminada, y también a la falta de funcionalidad de firewall en los módems en ese momento.

  

¿Dejarlo reposar y actualizarse?

A menos que sea un objetivo de muy alto valor o tenga buenas razones para sospechar que está siendo atacado activamente, entonces simplemente reinicie e intente terminar la actualización antes de hacer algo, es un nivel razonable de precaución. Dos semanas sin actualización no son lo suficientemente largas como para que se infecte y no puede protegerse de los ataques de día cero, incluso si está actualizado de todos modos.

Si tiene motivos para estar siendo monitoreado y atacado activamente, querrá asegurarse de tener un firewall activo, preferiblemente un firewall externo, aunque el Firewall de Windows también debería hacerlo, y configurarlos para bloquear todo el tráfico entrante y Sólo permite el tráfico saliente al servidor de actualizaciones de Microsoft. Los paquetes de Microsoft Update están firmados digitalmente, por lo tanto, a menos que se comprometa la clave privada de Microsoft, tendrá una confianza bastante buena de que los paquetes de actualización no serán alterados por Microsoft. Su computadora viene preinstalada con la clave pública de Microsoft Update, siempre y cuando confíe en su instalación inicial, entonces debería estar bien. Incluso si alguien realiza una falsificación de DNS o IP e implementa un Windows Update Server falso, no puede crear un paquete de Windows Update con una firma que será aceptada por Windows Update, ya que los paquetes que fallaron la validación de la firma generarán una advertencia / error de seguridad. Nunca instale paquetes que hayan fallado la comprobación de firma.

Si su atacante le está impidiendo la actualización, puede usar un servidor de actualización sin conexión, como el WSUS mencionado anteriormente.

Igualmente con antivirus. El software antivirus más creíble firmaría digitalmente sus paquetes de actualización y se negaría a actualizar desde un paquete falsificado. Si el tuyo no lo hace, cambia a un antivirus mejor. Sin embargo, en este caso, la clave pública del servidor de actualizaciones de antivirus se debe instalar cuando instale el antivirus, de modo que si confía en la instalación inicial del antivirus, también estará bien. Compruebe cómo su proveedor de antivirus realiza su actualización, algunos antivirus menos confiables han sido conocidos por no proporciona un nivel de seguridad suficiente en relación con su proceso de actualización .

Si su computadora se conectará directamente a Internet o si su enrutador proporciona direcciones IPv6 enrutables públicamente, entonces sí, la máquina puede correr algún riesgo.

Si está detrás de un enrutador que no proporciona conectividad IPv6 o actúa como un cortafuegos para IPv6, entonces está bien, ya que la mayoría los enrutadores IPv4 actúan como cortafuegos por defecto (a menos que reenvíe todos los los puertos a la IP interna de su máquina) y, por lo tanto, su enrutador será el objetivo de los ataques, no su computadora, lo que (con suerte) le dará suficiente tiempo para actualizarse y poder "defenderse" en el futuro (lea los comentarios a continuación, algunos enrutadores parecen desviarse de este comportamiento predeterminado).

Por supuesto, esto supone que su red local está limpia y que no hay ninguna máquina comprometida, de lo contrario, su máquina no parcheada puede verse comprometida por una máquina ya comprometida en su red (incluso routers pueden estar en peligro)

He escuchado cosas buenas sobre WSUS Offline (desplácese hacia abajo para ver el artículo publicado en inglés) que debería poder actualizar Windows sin conexión (descargue todo en otra máquina completamente parcheada y ejecutando AV actualizado). No lo he usado, pero conozco a varios amigos que lo han hecho.

Una vez que Windows esté actualizado, debe estar protegido contra cualquier técnica de infección por gusano no autenticada remota (parcheada) conocida y luego puede conectarse a Internet y actualizar de inmediato su archivo de definiciones de virus.

(Si su proveedor de servicios av ofrece paquetes de actualización sin conexión, siempre puede descargarlos y transferirlos sin conexión, así como las actualizaciones de Windows).