Предположим, что машина очищена от всех вредоносных программ, но ни в коем случае не обновлена, не пропатчена, не защищена и т. д. Предположим, я подключаю ее к Интернету через беспроводной маршрутизатор с намерением использовать ее только на нескольких доверенных сайтах и только там. Или, ради аргумента, может быть, я вообще не буду заниматься просмотром, просто оставлю ее подключенной к сети. Все это происходит в жилой ситуации с кабельным Интернетом.
Может ли в этой ситуации удаленный злоумышленник каким-то образом обнаружить, что машина подключена к Интернету, и попытаться подключиться, чтобы осуществить эксплойт?
решение1
Трудно рассуждать, но позвольте мне попробовать. Вы спрашиваете:
Может ли в этой ситуации удаленный злоумышленник каким-то образом обнаружить, что машина подключена к Интернету, и попытаться подключиться, чтобы осуществить эксплойт?
Даже если непатченная машина чистая (откуда вы знаете? вы делали чистую установку?), она может быть снова скомпрометирована. Было бы трудно обнаружить непатченную машину напрямую, если она просто сидит и ничего не делает (это не так, если она передает/принимает какой-то трафик). Но это не значит, что машина безопасна.
Вот потенциальный сценарий, при котором непатченная машина может быть скомпрометирована: если есть эксплойт маршрутизатора (он имеетслучилось до) злоумышленник может скомпрометировать маршрутизатор, а необновленная машина станет легкой целью.
Другой сценарий: слабое шифрование или слабый пароль беспроводного маршрутизатора могут привести к его взлому, а оттуда может быть скомпрометирована и незащищенная машина.
И последнее, но не менее важное — очевидный сценарий, который уже упоминался: скомпрометированная машина в локальной сети может привести к компрометации необновленной машины.
Что касается посещения доверенных сайтов, то были случаи, когда сторонняя реклама на таких сайтах былазаражение пользователей вредоносным ПО, поэтому машина может быть скомпрометирована, если не используются Adblock Plus и/или NoScript, или аналогичные (но это часть защиты машины)
Конечно, эти сценарии не очень просты и не распространены, но они возможны и случались раньше.
На самом деле нет смысла держать необновленную машину в сети в течение длительного времени, независимо от того, подключена она к маршрутизатору или нет.
решение2
Вторая «чистая» машина не может быть напрямую атакована и заражена из Интернета, если она находится за маршрутизатором, но если на вашей первой машине есть известное вредоносное ПО, то вполне возможно, что вредоносное ПО на ней может быть написано для активного поиска других машин в вашей сети и заражения их любыми возможными способами.
Если хотя бы одна машина в вашей сети заражена, то все ваши машины потенциально подвержены риску, особенно если они используют общие данные, программы или имена пользователей и пароли.
Если на этой чистой машине установлена старая или необновленная операционная система, то вероятность наличия в ней уязвимостей, которые могут быть использованы в домашней сети, повышается.
Если вы посещаете только абсолютно надежные сайты, то все может быть в порядке, но первым сайтом, на который я бы зашел, был бы сайт антивируса, чтобы получить обновленную защиту.
Пока вы не сможете очистить зараженную машину, я бы рекомендовал включать только одну машину в любой момент времени.
решение3
Современное вредоносное ПО часто представляет собой механизм доставки для многоцелевой атаки, которая ищет уязвимости программ/ОС, уязвимости служб, точки общего доступа и т. д. После первоначального заражения машины оно может попытаться заставить агентов заражения активно или пассивно атаковать другие машины в сети через различные уязвимости.
В вашем сценарии более вероятно, что кто-то заразит другую систему, которая затем атакует уязвимую систему. Если заражение представляет собой троян удаленного доступа, человек также может активно видеть все машины во внутренней сети. Другие вредоносные программы также могут сканировать сеть и звонить домой с информацией.
Во внутренней сети Windows, где используется общий доступ к файлам, необновленная машина может быть атакована по трем отдельным векторам.
1)Поделитесь точками, в которых троян был сброшен с помощью автозапуска. Ваша машина заражена либо прямым выполнением, либо запуском автозапуска. Не разрешайте Microsoft Client получать доступ к другим компьютерам в сети на устаревшей системе.
2)Уязвимые службы могут быть просканированы и машина может быть атакована через них. Не запускайте службы, которые прослушивают сеть на устаревшей системе.
3) Больше нет такого понятия, как надежный веб-сайт. Большинство ваших атак будут осуществляться через файлы Acrobat, Flash-контент, Java-апплеты и т. д. Сам браузер, будучи неисправленным, если IE, будет еще одним серьезным источником атак, особенно если это IE6. Ограничьте посещаемые вами веб-сайты корпоративными сайтами, которые могут многое потерять, если их когда-либо взломают. Блоги никогда не заслуживают доверия, вы не можете рассчитывать на то, что человек, ведущий их, будет достаточно осведомлен, чтобы исправить их до взлома. Я довольно привык к визгу свиньи Касперского за последний год.
Теперь перейдем от наиболее вероятной атаки к менее вероятной.
Что касается "За беспроводным маршрутизатором", какой уровень шифрования вы используете? Если вы не используете WPA2-AES, приобретите маршрутизатор, который будет его использовать ипарольная фразазащитить сеть так, чтобы к ней было легко подключать другие системы, но трудно было взломать извне.
С NAT на маршрутизаторе и непропатченным компьютером, получающим доступ к сети, все, что должен видеть злоумышленник, когда этот компьютер генерирует трафик, это IP-адрес вашего маршрутизатора и номер порта. Не перенаправляйте ничего на эту систему.
И теперь, когда NAT может допустить утечку информации. Будь то Linux, Windows или MAC, есть определенные протоколы интрасети, которые ДОЛЖНЫ БЫТЬ ЗАБЛОКИРОВАНЫ от прохождения через маршрутизатор в публичную сеть. Я видел, как маршрутизаторы пропускают исходящий трафик Microsoft File and Print sharing, трафик DNS от внутреннего разрешения имен, который передается исходящим. Из этого трафика и анализатора пакетов можно построить внутреннюю сетевую карту используемых частных сетевых адресов и по пакетам попытаться получить отпечаток ОС, генерирующей их, если эта информация не прописана прямо в пакете.
решение4
Возможность обнаружения компьютера за маршрутизатором не зависит от того, обновлен ли он и правильно ли установлены исправления, а зависит от того, позволит ли маршрутизатор получить к нему доступ.трансляция сетевых адресови брандмауэр, предоставляемый маршрутизатором, может обеспечить (небольшую) степень защиты от системы, но обнаружить и использовать уязвимый компьютер все равно относительно легко.