Supongamos que la máquina está libre de todo malware, pero de ningún modo está actualizada, parcheada, protegida, etc. Supongamos que la conecto a Internet desde detrás de un enrutador inalámbrico con la intención de usarla solo en unos pocos sitios confiables y solo allí. O, por el bien del argumento, tal vez no navegaría en absoluto, simplemente lo dejaría ahí conectado a la red. Todo esto sucede en una situación residencial con internet por cable.
En esta situación, ¿puede un atacante remoto detectar de alguna manera el hecho de que la máquina está conectada a Internet e intentar conectarse para realizar un exploit?
Respuesta1
Es difícil especular, pero déjame intentarlo. Estás preguntando:
En esta situación, ¿puede un atacante remoto detectar de alguna manera el hecho de que la máquina está conectada a Internet e intentar conectarse para realizar un exploit?
Incluso si la máquina sin parches está limpia (¿cómo lo sabes? ¿Hiciste una instalación limpia?), podría verse comprometida nuevamente. Sería difícil detectar directamente la máquina sin parches, si simplemente se queda sentada y no hace nada (este no es el caso si transmite/recibe algo de tráfico). Pero eso no significa que la máquina sea segura.
He aquí un escenario potencial en el que la máquina sin parches puede verse comprometida: Si hay un exploit en el enrutador (tienesucedió antes) un atacante podría comprometer el enrutador y la máquina sin parches es un blanco fácil.
Otro escenario: un cifrado débil o una contraseña débil del enrutador inalámbrico podrían comprometer el enrutador y, a partir de ahí, la máquina sin parches también podría verse comprometida.
Y por último, pero no menos importante, un escenario obvio que ya se mencionó: una máquina comprometida en la red local podría comprometer la máquina sin parchear.
En cuanto a las visitas a sitios de confianza, hubo casos en los que se mostraron anuncios de terceros en dichos sitios.infectar a los usuarios con malware, por lo que la máquina podría verse comprometida a menos que se utilice Adblock Plus y/o NoScript, o similar (pero eso es parte de proteger la máquina)
Por supuesto, estos escenarios no son muy fáciles ni comunes, pero son posibles y han sucedido antes.
Realmente no hay razón para mantener una máquina sin parches en una red durante mucho tiempo, detrás de un enrutador o no.
Respuesta2
La segunda máquina "limpia" no puede ser atacada e infectada directamente desde Internet si está detrás de un enrutador, pero si su primera máquina tiene una infección de malware conocida, entonces es posible que el malware que contiene esté escrito para buscar activamente otras máquinas en su red e infectarlos por cualquier medio posible.
Si hay una máquina en su red que está infectada, todas sus máquinas están potencialmente en riesgo, especialmente si comparten datos, programas o nombres de usuario y contraseñas.
Si esta máquina limpia también tiene un sistema operativo antiguo o sin parches, es más probable que tenga vulnerabilidades que podrían explotarse en una red doméstica.
Si solo visita sitios absolutamente confiables, es posible que esté bien, pero el primer sitio al que iría sería un sitio antivirus para obtener protección actualizada.
Hasta que puedas limpiar la máquina infectada, solo tendría una máquina encendida en un momento dado.
Respuesta3
El malware actual suele ser un mecanismo de entrega de un ataque multifacético que busca vulnerabilidades de programas/sistemas operativos, vulnerabilidades de servicios, puntos compartidos, etc. Desde la infección inicial de la máquina, puede intentar impulsar a los agentes de infección para que ataquen activa o pasivamente a otras máquinas. en la red a través de diversas vulnerabilidades.
En su escenario, es más probable que alguien infecte otro sistema que luego ataque al sistema vulnerable. Si la infección es un troyano de acceso remoto, la persona también puede ver activamente todas las máquinas de la red interna. Otro malware también puede realizar un escaneo de la red y llamar a casa con información.
En una red interna de Windows donde se utilizan archivos compartidos, una máquina sin parches puede ser atacada a través de tres vectores separados.
1)Compartir puntos que tienen el troyano colocado con una reproducción automática. Su máquina está infectada ya sea por ejecución directa o por activación de una reproducción automática. No permita que el Cliente Microsoft acceda a otras computadoras en la red en el sistema obsoleto.
2) Se pueden escanear servicios vulnerables y atacar la máquina a través de ellos. No ejecute ningún servicio que escuche en la red en el sistema obsoleto.
3) Ya no existen los sitios web confiables. La mayoría de sus ataques vendrán a través de archivos Acrobat, contenido Flash, subprogramas de Java, etc. El navegador en sí, al no estar parcheado si IE será otra fuente importante de ataque, especialmente si es IE6. Mantenga los sitios web que visita en sitios corporativos que tienen mucho que perder si alguna vez se ven comprometidos. Los blogs nunca son dignos de confianza, no se puede depender de que la persona que los ejecuta sea lo suficientemente consciente como para parchearlos antes de comprometerlos. Me he acostumbrado bastante al chillido del cerdo de Kaspersky durante el último año.
Ahora del ataque más probable al menos probable.
En cuanto a "Detrás de un enrutador inalámbrico", ¿qué nivel de cifrado está ejecutando? Si no está ejecutando WPA2-AES, consiga un enrutador que lo ejecute yfrase de contraseñaproteja la red para que sea fácil conectar otros sistemas, pero difícil de romper desde el exterior.
Con NAT en el enrutador y la computadora sin parches accediendo a la red, todo lo que un atacante debería ver cuando esta computadora está generando tráfico es la dirección IP de su enrutador y un número de puerto. No transfieras nada a este sistema.
Y ahora donde NAT puede permitir fugas de información. Ya sea Linux, Windows o MAC, existen ciertos protocolos de intranet que DEBEN ESTAR BLOQUEADOS para que no pasen a través del enrutador a la red pública. He visto enrutadores que pasan el tráfico saliente para compartir archivos e impresiones de Microsoft, y el tráfico DNS de la resolución de nombres interna que pasa hacia el exterior. A partir de este tráfico y un rastreador de paquetes, es posible construir un mapa de red interno de las direcciones de red privadas que se utilizan y, mediante los paquetes, intentar tomar huellas digitales del sistema operativo que los genera si esa información no está escrita directamente en el paquete.
Respuesta4
Que se pueda descubrir una computadora detrás de un enrutador no tiene nada que ver con si está actualizada y con los parches adecuados, sino con si el enrutador permitirá acceder a ella. ElTraducción de Direcciones de Redy el firewall proporcionado por el enrutador puede proporcionar un (pequeño) grado de protección contra el sistema, pero aún así es relativamente fácil detectar y explotar la computadora vulnerable.