Angenommen, der Computer ist frei von jeglicher Malware, aber in keiner Weise aktualisiert, gepatcht, gesichert usw. Angenommen, ich verbinde ihn über einen WLAN-Router mit dem Internet und beabsichtige, ihn nur auf einigen vertrauenswürdigen Websites und nur dort zu verwenden. Oder, um der Argumentation willen, vielleicht würde ich überhaupt nicht surfen, sondern ihn einfach mit dem Netzwerk verbunden lassen. Dies alles geschieht in einer Wohnsituation mit Kabel-Internet.
Kann ein Remote-Angreifer in dieser Situation irgendwie erkennen, dass die Maschine mit dem Internet verbunden ist, und versuchen, eine Verbindung herzustellen, um einen Exploit auszuführen?
Antwort1
Es ist schwer, darüber zu spekulieren, aber lassen Sie es mich versuchen. Sie fragen:
Kann ein Remote-Angreifer in dieser Situation irgendwie erkennen, dass die Maschine mit dem Internet verbunden ist, und versuchen, eine Verbindung herzustellen, um einen Exploit auszuführen?
Selbst wenn die ungepatchte Maschine sauber ist (woher wissen Sie das? Haben Sie eine Neuinstallation durchgeführt?), könnte sie erneut kompromittiert sein. Es wäre schwierig, die ungepatchte Maschine direkt zu erkennen, wenn sie einfach nur da sitzt und nichts tut (das ist nicht der Fall, wenn sie Datenverkehr sendet/empfängt). Aber das bedeutet nicht, dass die Maschine sicher ist.
Hier ist ein mögliches Szenario, in dem die ungepatchte Maschine kompromittiert werden kann: Wenn es einen Router-Exploit gibt (er hatpassiert Vor) könnte ein Angreifer den Router kompromittieren und die ungepatchte Maschine wäre ein leichtes Ziel.
Ein weiteres Szenario: Eine schwache Verschlüsselung oder ein schwaches Passwort des Wireless-Routers könnte zu einer Kompromittierung des Routers führen und dadurch auch den ungepatchten Rechner kompromittieren.
Und zu guter Letzt – ein offensichtliches Szenario, das bereits erwähnt wurde: Eine kompromittierte Maschine im lokalen Netzwerk könnte zur Kompromittierung der ungepatchten Maschine führen.
Was den Besuch vertrauenswürdiger Websites betrifft, gab es Fälle, in denen Anzeigen von Drittanbietern auf solchen WebsitesInfizieren von Benutzern mit Malware, daher könnte der Computer gefährdet sein, wenn nicht Adblock Plus und/oder NoScript oder ähnliches verwendet werden (aber das ist Teil der Computersicherung)
Natürlich sind solche Szenarien weder sehr einfach noch alltäglich, aber sie sind möglich und sind schon früher vorgekommen.
Es gibt eigentlich keinen Grund, einen ungepatchten Rechner längere Zeit in einem Netzwerk zu belassen, egal ob er sich hinter einem Router befindet oder nicht.
Antwort2
Die zweite „saubere“ Maschine kann nicht direkt über das Internet angegriffen und infiziert werden, wenn sie sich hinter einem Router befindet. Wenn Ihre erste Maschine jedoch bekanntermaßen mit Malware infiziert ist, besteht die Möglichkeit, dass die darauf gespeicherte Malware so geschrieben wurde, dass sie aktiv nach anderen Maschinen in Ihrem Netzwerk sucht und diese mit allen möglichen Mitteln infiziert.
Wenn ein Computer in Ihrem Netzwerk infiziert ist, sind möglicherweise alle Ihre Computer gefährdet, insbesondere wenn sie Daten, Programme oder Benutzernamen und Kennwörter gemeinsam nutzen.
Wenn auf dieser sauberen Maschine außerdem ein älteres oder ungepatchtes Betriebssystem installiert ist, ist es wahrscheinlicher, dass sie Schwachstellen aufweist, die über ein Heimnetzwerk ausgenutzt werden könnten.
Wenn Sie immer nur absolut vertrauenswürdige Sites besuchen, ist möglicherweise alles in Ordnung. Für mich wäre jedoch als Erstes eine Antiviren-Site, um einen aktuellen Schutz zu erhalten.
Bis Sie die infizierte Maschine bereinigen können, würde ich immer nur eine Maschine gleichzeitig eingeschaltet lassen.
Antwort3
Heutige Schadsoftware dient häufig als Übermittlungsmechanismus für einen vielschichtigen Angriff, der nach Schwachstellen in Programmen, Betriebssystemen, Diensten, Sharepoints usw. sucht. Nach der ersten Infektion des Computers kann die Malware versuchen, Infektionsagenten dazu zu bringen, andere Computer im Netzwerk über verschiedene Schwachstellen entweder aktiv oder passiv anzugreifen.
In Ihrem Szenario ist es wahrscheinlicher, dass jemand ein anderes System infiziert, das dann das anfällige System angreift. Wenn es sich bei der Infektion um einen Remote-Access-Trojaner handelt, kann die Person auch aktiv alle Maschinen im internen Netzwerk sehen. Andere Malware kann auch einen Netzwerkscan durchführen und mit Informationen nach Hause telefonieren.
In einem internen Windows-Netzwerk, in dem Filesharing genutzt wird, kann ein ungepatchter Rechner über drei verschiedene Vektoren angegriffen werden.
1)Sharepoints, an denen der Trojaner mit Autoplay abgesetzt wurde. Ihr Computer wurde entweder durch direkte Ausführung oder durch Auslösen eines Autoplays infiziert. Aktivieren Sie den Microsoft-Client nicht, um auf dem veralteten System auf andere Computer im Netzwerk zuzugreifen.
2) Es kann nach anfälligen Diensten gesucht werden, über die der Computer angegriffen werden kann. Führen Sie auf dem veralteten System keine Dienste aus, die im Netzwerk lauschen.
3) Es gibt keine vertrauenswürdigen Websites mehr. Die meisten Angriffe erfolgen über Acrobat-Dateien, Flash-Inhalte, Java-Applets usw. Der Browser selbst, der im IE nicht gepatcht ist, ist eine weitere große Angriffsquelle, insbesondere wenn es sich um IE6 handelt. Besuchen Sie nur Unternehmenswebsites, die viel zu verlieren haben, wenn sie jemals kompromittiert werden. Blogs sind nie vertrauenswürdig, Sie können sich nicht darauf verlassen, dass die Person, die sie betreibt, sich ausreichend informiert, um vor der Kompromittierung einen Patch zu installieren. Ich habe mich im letzten Jahr ziemlich an das Gequiek der Kaspersky-Schweine gewöhnt.
Nun vom wahrscheinlichsten Angriff zum weniger wahrscheinlichen Angriff.
Was "Hinter einem WLAN-Router" betrifft, welche Verschlüsselungsstufe verwenden Sie? Wenn Sie WPA2-AES nicht verwenden, besorgen Sie sich einen Router, der es unterstützt undPassphraseSchützen Sie das Netzwerk, sodass es leicht mit anderen Systemen verbunden werden kann, von außen jedoch nur schwer geknackt werden kann.
Wenn NAT auf dem Router ist und der ungepatchte Computer auf das Netzwerk zugreift, sollte ein Angreifer, wenn dieser Computer Datenverkehr generiert, nur die IP-Adresse Ihres Routers und eine Portnummer sehen. Leiten Sie nichts an dieses System weiter.
Und jetzt, wo NAT Informationslecks zulassen kann. Ob Linux, Windows oder MAC, es gibt bestimmte Intranet-Protokolle, die daran gehindert werden MÜSSEN, über den Router ins öffentliche Netzwerk zu gelangen. Ich habe Router gesehen, die Microsoft-Datei- und Druckfreigabedatenverkehr nach außen durchlassen, DNS-Datenverkehr aus der internen Namensauflösung, der nach außen durchgelassen wird. Aus diesem Datenverkehr und einem Paket-Sniffer ist es möglich, eine interne Netzwerkkarte der verwendeten privaten Netzwerkadressen zu erstellen und anhand der Pakete zu versuchen, das Betriebssystem zu identifizieren, das sie generiert, wenn diese Informationen nicht direkt im Paket angegeben sind.
Antwort4
Ob ein Computer hinter einem Router gefunden werden kann, hängt nicht davon ab, ob er auf dem neuesten Stand ist und die richtigen Patches installiert hat, sondern davon, ob der Router den Zugriff auf ihn zulässt.Netzwerkadressübersetzungund die Firewall des Routers bietet möglicherweise einen (geringen) Schutz vor dem System, aber es ist immer noch relativ einfach, den anfälligen Computer zu erkennen und auszunutzen.