Continuando por donde lo dejamos después de unos días liado con exámenes ahora escribo esta segunda parte en la que me quiero centrar en explicar la importancia de hacer un correcto particionado y gestión segura del sistema, en este caso Windows 7.
Al dar formato a nuestra tabla de particiones debemos saber que el MBR se escribirá normalmente entre los primeros 446 y 512 bytes del sector 1 del disco duro, y muchos os preguntareis que hay entre el byte 0 y el byte 446, pues lo que hay es código del gestor de arranque o MBR. Su función es buscar la partición de arranque y cargarse en la dirección de memoria 0000:7C000 para lanzar el kernel loader.
Del byte 446 al 512 se encuentra el MBR o Master Boot Record ocupando 64 bytes y permitiendo 4 particiones de igual tamaño.
Dada la importancia del MBR seria normal preguntarse si es posible infectarlo para tomar el control del equipo bajo las condiciones que se impongan. La respuesta es SI, y se viene haciendo desde hace tiempo y al aprovechar vulnerabilidades a tan bajo nivel es posible que sobrevivan al formateo del pc haciéndose persistentes e instalando un rootkit en el sistema, ejemplo de ello es el Sinowal o Rootkit MBR
Un buen seguro es por ejemplo tras una instalación segura de la tabla de particiones hacer una copia de seguridad de los 63 primeros sectores del disco que posteriormente guardaríamos en un lugar seguro.
Definir a los usuarios correctamente es fundamental, ya que muchas veces los usuarios finales de un ordenador son personas con rol de administrador que no ven mas allá del Facebook, gmail, paquete office de Microsoft... etc. Y que por regla general cuando descargan algo que no deben su forma de actuar es siguiente, siguiente, y siguiente sin hacer ni caso de lo que están aceptando con tal de que desaparezca esa ventanita incómoda de instalación. Por regla general esos ordenadores al poco tiempo acaban infectados de adware, spyware, y seguramente algún que otro troyano (y los que trabajáis en el departamento de soporte resolviendo incidencias lo sabéis) . Esto es mas grave aun cuando ese ordenador pertenece a una compañía que ha prestado el portátil al empleado y que constantemente este usa para conectarse a la red de la empresa y compartir información en estos casos la fuga de información está asegurada. Por lo que desactivar las cuentas de administrador y hacer un correcto uso de la UAC tanto como concienciar al usuario es fundamental para reducir o prevenir desastres.
No hay comentarios:
Publicar un comentario