Если устаревшая, уязвимая, но чистая машина Windows подключена к сети за маршрутизатором, можно ли ее обнаружить и атаковать?

491
EndangeringSpecies

Предположим, что машина очищена от всех вредоносных программ, но ни в коем случае не обновлена, не исправлена, не защищена и т. д. Предположим, я подключаю ее к Интернету из-за беспроводного маршрутизатора с намерением использовать его только на нескольких доверенных сайтах и ​​только там. Или, ради аргумента, может быть, я вообще не стал бы просматривать сайты, просто оставил их подключенными к сети. Это все происходит в жилой ситуации с кабельным интернетом.

В этой ситуации может ли удаленный злоумышленник как-то обнаружить тот факт, что машина подключена к Интернету, и попытаться подключиться, чтобы совершить эксплойт?

1
Я не думаю, что это хороший вопрос, он очень открыт для спекуляций и обсуждений и не является реальной проблемой, с которой вы сталкиваетесь. Baarn 12 лет назад 0
конечно, это реальная проблема, с которой я сталкиваюсь. Я подозреваю, что мой основной компьютер заражен, и я хочу использовать другой, конечно чистый, для финансовых проблем. Поэтому я хочу знать, будет ли тот другой заражен быстро только при подключении к Интернету. EndangeringSpecies 12 лет назад 0
Вы должны отредактировать это в своем вопросе, так как я читал его сейчас, у вас просто есть какая-то уязвимая машина (например, работает vanilla win98) за маршрутизатором. Но, как вы описываете это, у вас уже есть дыра в вашей линии защиты (зараженная машина за маршрутизатором), это совершенно другая ситуация, и ваш вопрос должен это отражать. Baarn 12 лет назад 2
Я не могу ответить, но я бы прокомментировал, что многие из открытых дыр были основаны на различных запущенных сервисах и элементах прослушивания. Как возможность удаленного подключения, и даже в основном внутренние коммуникации. Потенциально человек может полностью отключить многие вещи, которые соединяют и слушают. Этот метод применялся ранее для остановки возможного эксплойта, который мог бы использовать определенный сервис, а также потому, что у пользователя не было особой потребности в элементе с самого начала. Psycogeek 12 лет назад 0
Любой компьютер, подключенный к Интернету, может быть обнаружен и атакован. cutrightjm 12 лет назад 0
Поскольку большинство качественных маршрутизаторов выполняют NAT (преобразование сетевых адресов), маршрутизаторы будут отбрасывать незапрошенные пакеты, что затрудняет атаку любого компьютера, подключенного к вашему маршрутизатору, однако уязвимости маршрутизатора по-прежнему остаются уязвимостью, если они используют ваш маршрутизатор и рутируют его, тогда они владеют вашей сетью и каждым устройством в ней, но вряд ли это произойдет. Большинство атак, вероятно, осуществляются через браузер на устаревшем ПК, они небезопасны для работы в Интернете. Moab 12 лет назад 0

4 ответа на вопрос

3
lupincho

Трудно предположить, но позвольте мне попробовать. Вы спрашиваете:

В этой ситуации может ли удаленный злоумышленник как-то обнаружить тот факт, что машина подключена к Интернету, и попытаться подключиться, чтобы совершить эксплойт?

Даже если исправленная машина чистая (откуда вы знаете, вы делали чистую установку?), Она может быть снова взломана. Было бы трудно обнаружить непропатченную машину напрямую, если она просто сидит и ничего не делает (это не тот случай, если она передает / получает трафик). Но это не значит, что машина безопасна.

Вот потенциальный сценарий, в котором непатентованная машина может быть скомпрометирована: если существует эксплойт маршрутизатора (это уже было раньше ), злоумышленник может взломать маршрутизатор, а непатентованная машина является легкой целью.

Другой сценарий: слабое шифрование или слабый пароль беспроводного маршрутизатора могут привести к компрометации маршрутизатора, и оттуда может быть скомпрометирована и непатентованная машина.

И последнее, но не менее важное - очевидный сценарий, о котором уже упоминалось: взломанный компьютер в локальной сети может привести к взлому незапатченного компьютера.

Что касается посещения доверенных сайтов, были случаи, когда сторонняя реклама на таких сайтах заражала пользователей вредоносным ПО, поэтому компьютер мог быть взломан, если не использовались Adblock Plus и / или NoScript или аналогичные (но это является частью защиты компьютера). )

Конечно, эти сценарии не очень просты или распространены, но возможны и уже случались.

На самом деле нет никаких оснований для того, чтобы в течение долгого времени держать незащищенную машину в сети, за маршрутизатором или нет.

http://i108.photobucket.com/albums/n24/jbender85/trust.jpg 2 очень надежных сайта, которые я посещал регулярно, например, случайно обнаруженные вредоносные программы JS и ActiveX, заняли у них 1 и 2 дня, чтобы найти их из-за сложности кода и перекрестные ссылки, и добавляет и сценарии. К счастью, у меня все это было отключено в браузере, но многие полностью обновленные и безопасные пользователи получили его. Psycogeek 12 лет назад 0
2
Mokubai

Вторая «чистая» машина не может быть подвергнута прямой атаке и заражению из Интернета, если она находится за маршрутизатором, но если на вашей первой машине есть известное заражение вредоносным ПО, возможно, что вредоносное ПО на нем будет записано для активного поиска других компьютеров на вашей сети и заразить их любым возможным способом.

Если в вашей сети есть один компьютер, который заражен, то все ваши компьютеры потенциально подвержены риску, особенно если они совместно используют данные или программы или имена пользователей и пароли.

Если эта чистая машина также имеет более старую или непатентованную операционную систему, это повышает вероятность наличия уязвимостей, которые могут быть использованы в домашней сети.

Если вы заходите только на абсолютно доверенные сайты, то, возможно, у вас все в порядке, но первый сайт, на который я бы зашел, - это антивирусный сайт, чтобы получить некоторую актуальную защиту.

Пока вы не сможете очистить зараженную машину, я бы включил только одну машину в любой момент времени.

2
Fiasco Labs

Сегодняшнее вредоносное ПО часто является механизмом доставки для многоаспектной атаки, которая ищет уязвимости в программах и ОС, уязвимости служб, точки общего доступа и т. Д. Начиная с первоначального заражения компьютера, она может пытаться подтолкнуть заражающие агенты либо к активной, либо пассивной атаке на другие машины. в сети через различные уязвимости.

В вашем сценарии более вероятно, что кто-то заразит другую систему, которая затем атакует уязвимую систему. Если заражение представляет собой троян удаленного доступа, пользователь также может активно просматривать все машины во внутренней сети. Другие вредоносные программы также могут выполнять сканирование сети и звонить домой с информацией.

Во внутренней сети Windows, где используется общий доступ к файлам, незапатченный компьютер может быть атакован через три отдельных вектора.

1) Поделитесь очками, у которых троян упал на месте с помощью автоигры. Ваша машина заражена либо при прямом выполнении, либо при запуске автозапуска. Не включайте Microsoft Client для доступа к другим компьютерам в сети в устаревшей системе.

2) Уязвимые сервисы могут быть найдены и машина атакована через них. Не запускайте сервисы, которые прослушивают сеть в устаревшей системе.

3) Больше нет надежного веб-сайта. Большинство ваших атак будут проходить через файлы Acrobat, Flash-контент, Java-апплеты и т. Д. Сам браузер, который не исправляется, если IE станет еще одним основным источником атаки, особенно если это IE6. Сохраните веб-сайты, которые вы посещаете, на корпоративных сайтах, которые могут многое потерять, если они когда-либо будут взломаны. Блоги никогда не заслуживают доверия, вы не можете рассчитывать на то, что человек, управляющий ими, будет достаточно осведомлен, чтобы исправиться перед компромиссом. Я довольно привык к визгу Касперского в прошлом году.

Теперь от наиболее вероятной атаки к менее вероятной атаке.

Что касается «За беспроводным маршрутизатором», какой уровень шифрования вы используете? Если вы не используете WPA2-AES, приобретите маршрутизатор, который будет его запускать, и защитную фразу для защиты сети, чтобы было легко подключать другие системы, но было трудно сломать снаружи.

При наличии NAT на маршрутизаторе и непропатченного компьютера, подключающегося к сети, злоумышленник должен видеть, когда этот компьютер генерирует трафик, это IP-адрес вашего маршрутизатора и номер порта. Не переносите ничего на эту систему.

И теперь, где NAT может допустить утечки информации. Будь то Linux, Windows или MAC, существуют определенные протоколы внутренней сети, которые ДОЛЖНЫ БЛОКИРОВАТЬСЯ от прохождения через маршрутизатор в общедоступную сеть. Я видел, как маршрутизаторы пропускают исходящий трафик Microsoft File and Print, DNS-трафик от внутреннего разрешения имен, которое передается исходящим. Из этого трафика и анализатора пакетов можно построить внутреннюю сетевую карту используемых адресов частной сети и пакетов, пытаясь отследить генерирующую их ОС, если эта информация не прописана в пакете.

1
bwDraco

Возможность обнаружения компьютера за маршрутизатором не имеет ничего общего с его актуальностью и исправлением, а также с тем, позволит ли маршрутизатор получить к нему доступ. Трансляция сетевых адресов и межсетевой экран обеспечивается маршрутизатор могут обеспечить (небольшую) степень защиты от системы, но это все еще относительно легко обнаружить и использовать уязвимый компьютер.