Если устаревшая, уязвимая, но чистая машина Windows подключена к сети за маршрутизатором, можно ли ее обнаружить и атаковать?
Предположим, что машина очищена от всех вредоносных программ, но ни в коем случае не обновлена, не исправлена, не защищена и т. д. Предположим, я подключаю ее к Интернету из-за беспроводного маршрутизатора с намерением использовать его только на нескольких доверенных сайтах и только там. Или, ради аргумента, может быть, я бы вообще не стал просматривать сайты, просто оставил их подключенными к сети. Все это происходит в жилой ситуации с кабельным интернетом.
В этой ситуации может ли удаленный злоумышленник как-то обнаружить тот факт, что машина подключена к Интернету, и попытаться подключиться, чтобы сделать эксплойт?
4 ответа
Трудно предположить, но позвольте мне попробовать. Вы спрашиваете:
В этой ситуации может ли удаленный злоумышленник как-то обнаружить тот факт, что машина подключена к Интернету, и попытаться подключиться, чтобы совершить эксплойт?
Даже если исправленная машина чистая (откуда вы знаете, вы делали чистую установку?), Она может быть снова взломана. Было бы трудно обнаружить непропатченный компьютер напрямую, если он просто сидит и ничего не делает (это не тот случай, если он передает / получает некоторый трафик). Но это не значит, что машина безопасна.
Вот потенциальный сценарий, в котором непатентованная машина может быть взломана: если есть эксплойт маршрутизатора (это уже было раньше), злоумышленник может взломать маршрутизатор, а непатентованная машина является легкой целью.
Другой сценарий: слабое шифрование или слабый пароль беспроводного маршрутизатора могут привести к компрометации маршрутизатора, и оттуда может быть скомпрометирована и непатентованная машина.
И последнее, но не менее важное: очевидный сценарий, о котором уже упоминалось: взломанный компьютер в локальной сети может привести к взлому незапатченного компьютера.
Что касается посещения доверенных сайтов, были случаи, когда сторонняя реклама на таких сайтах заражала пользователей вредоносным ПО, поэтому компьютер мог быть взломан, если не использовались Adblock Plus и / или NoScript, или аналогичные (но это является частью защиты компьютера).)
Конечно, эти сценарии не очень просты или распространены, но возможны и уже случались.
На самом деле нет никаких причин хранить незащищенную машину в сети долгое время, за маршрутизатором или без.
Сегодняшнее вредоносное ПО часто является механизмом доставки для многоаспектной атаки, которая ищет уязвимости в программах и ОС, уязвимости служб, точки общего доступа и т. Д. Начиная с первоначального заражения компьютера, она может пытаться подтолкнуть заражающих агентов либо к активной, либо пассивной атаке на другие машины. в сети через различные уязвимости.
В вашем сценарии более вероятно, что кто-то заразит другую систему, которая затем атакует уязвимую систему. Если заражение является трояном удаленного доступа, человек также может активно просматривать все машины во внутренней сети. Другие вредоносные программы также могут выполнять сканирование сети и звонить домой с информацией.
Во внутренней сети Windows, где используется общий доступ к файлам, незапатченный компьютер может быть атакован через три отдельных вектора.
1) Поделитесь очками, у которых троян упал на месте с помощью автоигры. Ваша машина заражена либо при прямом выполнении, либо при запуске автозапуска. Не включайте клиент Microsoft для доступа к другим компьютерам в сети в устаревшей системе.
2) Уязвимые сервисы могут быть найдены и машина атакована через них. Не запускайте сервисы, которые прослушивают сеть в устаревшей системе.
3) Надежного сайта больше нет. Большинство ваших атак будут проходить через файлы Acrobat, Flash-контент, Java-апплеты и т. Д. Сам браузер, который не будет исправлен, если IE станет еще одним основным источником атаки, особенно если это IE6. Сохраните веб-сайты, которые вы посещаете, на корпоративных сайтах, которые могут многое потерять, если они когда-либо будут скомпрометированы. Блоги никогда не заслуживают доверия, вы не можете рассчитывать на то, что человек, управляющий ими, будет достаточно осведомлен, чтобы исправиться перед компромиссом. Я довольно привык к визгу Касперского в прошлом году.
Теперь от наиболее вероятной атаки к менее вероятной атаке.
Что касается "За беспроводным маршрутизатором", какой уровень шифрования вы используете? Если вы не используете WPA2-AES, найдите маршрутизатор, который будет его запускать, и защитную фразу для защиты сети, чтобы было легко подключать другие системы, но было трудно сломать снаружи.
При наличии NAT на маршрутизаторе и непатчированном компьютере, подключающемся к сети, злоумышленник должен видеть, когда этот компьютер генерирует трафик, это IP-адрес вашего маршрутизатора и номер порта. Не переносите ничего на эту систему.
И теперь, где NAT может допустить утечки информации. Будь то Linux, Windows или MAC, существуют определенные протоколы интрасети, которые ДОЛЖНЫ БЛОКИРОВАТЬСЯ от прохождения через маршрутизатор в общедоступную сеть. Я видел, как маршрутизаторы пропускают исходящий трафик Microsoft File and Print, DNS-трафик от внутреннего разрешения имен, которое передается исходящим. Из этого трафика и анализатора пакетов можно построить внутреннюю сетевую карту используемых адресов частной сети и пакетов, пытаясь отследить генерирующую их ОС, если эта информация не прописана в пакете.
Вторая "чистая" машина не может быть напрямую атакована и заражена из Интернета, если она находится за маршрутизатором, но если на вашей первой машине есть известное заражение вредоносным ПО, возможно, что вредоносное ПО на нем будет записано для активного поиска других машин на вашей сети и заразить их любым возможным способом.
Если в вашей сети есть один компьютер, который заражен, то все ваши компьютеры потенциально подвержены риску, особенно если они совместно используют данные или программы или имена пользователей и пароли.
Если эта чистая машина также имеет более старую или непатентованную операционную систему, это повышает вероятность наличия уязвимостей, которые могут быть использованы в домашней сети.
Если вы заходите только на абсолютно доверенные сайты, то, возможно, у вас все в порядке, но первый сайт, на который я бы зашел, - это антивирусный сайт, чтобы получить некоторую актуальную защиту.
Пока вы не сможете очистить зараженную машину, я бы включил только одну машину в любой момент времени.
Возможность обнаружения компьютера за маршрутизатором не имеет ничего общего с его актуальностью и исправлением, а также с тем, позволит ли маршрутизатор получить к нему доступ. Трансляция сетевых адресов и межсетевой экран, предоставляемые маршрутизатором, могут обеспечить (небольшую) степень защиты от системы, но все же относительно легко обнаружить и использовать уязвимый компьютер.