¿Importa si mis medios de recuperación son de solo lectura?

2

En el pasado, era bastante simple crear medios de recuperación de solo lectura para una computadora: usted se aseguró de usar los discos de una sola vez. Esto significó que si accidentalmente arrancó la máquina al sistema operativo normal, cualquier malware que esté tratando de eliminar no podría infectar los medios de recuperación. En tiempos pasados, es posible que incluso reciba un disco prefabricado (o un conjunto de ellos) del fabricante.

Sin embargo, la mayoría de las computadoras modernas ya no tienen una unidad de CD / DVD, y el tamaño de los medios de recuperación hace que los DVD sean poco prácticos para este propósito. Las unidades USB se convirtiéndose en una alternativa más común para el almacenamiento medios de recuperación externos.

Sin embargo, a diferencia de los CD y DVD, las unidades USB normalmente no tienen protección de nivel de hardware contra escrituras. (Hay algunos modelos más caros que tienen esta característica). De hecho, las unidades USB son (o al menos como solían ser) una forma extremadamente simple y común de propagar malware entre las computadoras. Esto me preocupa de que si la máquina arranca con el sistema operativo normal en lugar de la copia de seguridad (debido a un error del usuario, el BIOS no reconoce que se puede iniciar, etc.), el propio medio de recuperación podría infectarse fácilmente.

¿Estoy demasiado preocupado o mi preocupación es legítima? A pesar de que de ninguna manera compro malware regularmente, prefiero tener la tranquilidad de contar con un plan de recuperación bastante confiable.

    
pregunta jpmc26 04.10.2016 - 02:12
fuente

1 respuesta

2

Su preocupación es absolutamente legítima.

Mi plan de recuperación ante desastres implica una ISO de Linux en una unidad de solo lectura que utilizo para atacar a las máquinas comprometidas desde la órbita antes de arrancar en medios grabables estándar. La máquina queda bloqueada desde medios de solo lectura (no hay forma de que el malware la altere), luego se apaga completamente y, finalmente, se inicia una copia de seguridad utilizando medios grabables una vez que se cree que el malware se ha ido (se excluyen los ataques de firmware). p>

Si, por alguna razón, los medios de una sola escritura, como los discos ópticos, no son una opción, puede intentar iniciar la red desde una máquina actualizada con una configuración de firewall adecuada (que no incluya el DHCP y el TFTP requeridos). paquetes).

Otra solución es simplemente desconectar el disco duro de la máquina, arrancar desde cualquier medio grabable que use y conectar la unidad una vez que la máquina se haya iniciado desde los medios de instalación. Suponiendo que la imagen de la reinstalación esté actualizada, no debería haber demasiado riesgo de que el malware del disco comprometa el sistema de reinstalación y vuelva a escribir en los medios de reinstalación.

    
respondido por el André Borie 04.10.2016 - 02:33
fuente

Lea otras preguntas en las etiquetas