suponha que a máquina esteja livre de todos os malwares, mas não esteja atualizada, corrigida, protegida, etc. Suponha que eu a conecte à Internet por trás de um roteador sem fio com a intenção de usá-la apenas em alguns sites confiáveis e somente lá. Ou, para fins de argumentação, talvez eu não fizesse nenhuma navegação, apenas o deixasse ali conectado à rede. Tudo isso está acontecendo em uma situação residencial com internet a cabo.
Nessa situação, um invasor remoto pode de alguma forma detectar o fato de que a máquina está conectada à Internet e tentar conectar-se para fazer uma exploração?
Responder1
É difícil especular, mas deixe-me tentar. Você está perguntando:
Nessa situação, um invasor remoto pode de alguma forma detectar o fato de que a máquina está conectada à Internet e tentar conectar-se para fazer uma exploração?
Mesmo que a máquina sem patch esteja limpa (como você sabe? você fez uma instalação limpa?), ela pode ser comprometida novamente. Seria difícil detectar diretamente a máquina sem patch, se ela apenas ficasse parada e não fizesse nada (este não é o caso se ela transmitir/receber algum tráfego). Mas isso não significa que a máquina seja segura.
Aqui está um cenário potencial em que a máquina sem patch pode ser comprometida: Se houver uma exploração do roteador (ela temocorrido antes) um invasor pode comprometer o roteador e a máquina sem patch é um alvo fácil.
Outro cenário: uma criptografia fraca ou uma senha fraca do roteador sem fio pode resultar no comprometimento do roteador e, a partir daí, a máquina sem patch também pode ser comprometida.
E por último mas não menos importante – um cenário óbvio que já foi mencionado: uma máquina comprometida na rede local poderia resultar no comprometimento da máquina não corrigida.
Quanto à visita a sites confiáveis, houve casos em que anúncios de terceiros nesses sites foraminfectando usuários com malware, então a máquina pode ser comprometida, a menos que Adblock Plus e/ou NoScript ou similar sejam usados (mas isso faz parte da segurança da máquina)
É claro que estes cenários não são muito fáceis ou comuns, mas são possíveis e já aconteceram antes.
Não há realmente nenhuma razão para manter uma máquina sem patch em uma rede por muito tempo, atrás de um roteador ou não.
Responder2
A segunda máquina "limpa" não pode ser atacada e infectada diretamente pela Internet se estiver atrás de um roteador, mas se a sua primeira máquina tiver uma infecção por malware conhecida, é possível que o malware nela contido possa ser gravado para procurar ativamente outras máquinas em sua rede e infectá-los por qualquer meio possível.
Se houver uma máquina infectada na sua rede, todas as suas máquinas estarão potencialmente em risco, especialmente se compartilharem dados, programas ou nomes de usuário e senhas.
Se esta máquina limpa também tiver um sistema operacional mais antigo ou sem correção, é mais provável que ela tenha vulnerabilidades que possam ser exploradas em uma rede doméstica.
Se você acessa apenas sites absolutamente confiáveis, pode ficar bem, mas o primeiro site que eu visitaria seria um site antivírus para obter proteção atualizada.
Até que você possa limpar a máquina infectada, eu só teria uma máquina ligada por vez.
Responder3
O malware de hoje geralmente é um mecanismo de entrega para um ataque multifacetado que procura vulnerabilidades de programas/sistemas operacionais, vulnerabilidades de serviços, pontos de compartilhamento, etc. A partir da infecção inicial da máquina, ele pode tentar forçar agentes de infecção para atacar ativa ou passivamente outras máquinas na rede através de várias vulnerabilidades.
No seu cenário, é mais provável que alguém infecte outro sistema que então ataque o sistema vulnerável. Se a infecção for um trojan de acesso remoto, a pessoa também poderá ver ativamente todas as máquinas da rede interna. Outros malwares também podem fazer uma varredura na rede e telefonar para casa com informações.
Em uma rede interna do Windows onde o compartilhamento de arquivos está sendo usado, uma máquina sem patch pode ser atacada através de três vetores separados.
1) Compartilhe pontos que tenham o trojan instalado com uma reprodução automática. Sua máquina está infectada por execução direta ou por uma reprodução automática acionada. Não permita que o cliente Microsoft acesse outros computadores da rede no sistema desatualizado.
2) Serviços vulneráveis podem ser verificados e a máquina atacada por meio deles. Não execute nenhum serviço que escuta na rede no sistema desatualizado.
3) Não existe mais um site confiável. A maioria dos seus ataques virá através de arquivos Acrobat, conteúdo Flash, miniaplicativos Java, etc. O próprio navegador, sem correção se o IE for outra fonte importante de ataque, especialmente se for o IE6. Limite os sites que você visita a sites corporativos que têm muito a perder se forem comprometidos. Os blogs nunca são confiáveis, você não pode depender da pessoa que os administra para estar ciente o suficiente para corrigir antes de comprometer. Eu me acostumei bastante com o grito do porco Kaspersky no ano passado.
Agora, do ataque mais provável ao ataque menos provável.
Quanto a "Atrás de um roteador sem fio", qual nível de criptografia você está executando? Se você não estiver executando o WPA2-AES, obtenha um roteador que o execute esenhaproteja a rede para que seja fácil conectar outros sistemas, mas difícil de quebrar externamente.
Com o NAT no roteador e o computador sem patch acessando a rede, tudo o que um invasor deve ver quando este computador está gerando tráfego é o endereço IP do roteador e um número de porta. Não encaminhe nada para este sistema.
E agora onde o NAT pode permitir vazamentos de informações. Quer seja Linux, Windows ou MAC, existem certos protocolos de intranet que DEVEM SER BLOQUEADOS de passar do roteador para a rede pública. Já vi roteadores passarem o tráfego de compartilhamento de arquivos e impressões da Microsoft de saída, o tráfego DNS da resolução de nomes interna que é transmitido de saída. A partir desse tráfego e de um sniffer de pacotes, é possível construir um mapa de rede interna dos endereços de rede privada que estão sendo usados e, pelos pacotes, tentar identificar o sistema operacional que os gera, caso essa informação não esteja escrita diretamente no pacote.
Responder4
Se um computador pode ser descoberto atrás de um roteador não tem nada a ver com se ele está atualizado e devidamente corrigido, mas se o roteador permitirá que ele seja acessado. OTradução do Endereço da Redee o firewall fornecido pelo roteador podem fornecer um (pequeno) grau de proteção contra o sistema, mas ainda é relativamente fácil detectar e explorar o computador vulnerável.