Sta facendo un'installazione pulita quanto basta per rimuovere potenziali malware?

È possibile che il malware possa persistere attraverso una riformattazione e re-installazione, se è sufficientemente ingegnoso e sofisticato: ad esempio, può persistere nel BIOS, nel firmware delle periferiche ( alcuni dispositivi hardware dispongono di firmware che può essere aggiornato e quindi possono essere aggiornati con firmware dannoso) o con un virus che infetta file di dati su archivi rimovibili o sui backup.

Tuttavia, la maggior parte dei malware non fa nulla di così brutto. Pertanto, anche se non ci sono garanzie, la riformattazione e la reinstallazione dovrebbero eliminare quasi tutti i malware che potresti incontrare in natura.

Personalmente, sarei felice con la riformattazione e la reinstallazione. Probabilmente è abbastanza buono nella pratica.

È sicuramente possibile per un utente malintenzionato un po 'sofisticato lasciare il malware al di fuori della portata diretta del sistema operativo. Reinstallare il sistema operativo significa pulire al massimo un disco. Anche lì, devi fare attenzione se ripristini i dati che potrebbero essere stati compromessi.

I malware possono essere memorizzati in uno dei tanti ricordi riscrivibili che si nascondono in quasi tutti i componenti di un computer moderno. Questi ricordi memorizzano il firmware di un componente e di solito sono riscrivibili; tutto ciò che serve è conoscere il giusto indirizzo e i produttori di solito forniscono strumenti per aggiornare il firmware, quindi tutto ciò che l'utente malintenzionato deve fare è sostituire il proprio codice (non c'è quasi mai alcuna crittografia).

Ad esempio, esiste un exploit noto per le tastiere Apple (e abbastanza semplice) , trovato da K. Chen . La presentazione di Chen mostra come sfruttare la memoria disponibile (solo circa 1kB di riserva) per aprire una shell su una porta TCP iniettando sequenze di tasti o registrare sequenze di tasti in un contesto in cui è prevista una passphrase e riprodurle.

Per un altro esempio di vulnerabilità del firmware in circolazione, prova CVE-2010-0104: firmware di gestione Broadcom NetXtreme ASF buffer overflow . Questo è un bug in alcuni firmware Ethernet che consente a un utente malintenzionato remoto di assumere il controllo del firmware di rete (e quindi almeno di attaccare attivamente tutto il traffico di rete) e potenzialmente dell'intero computer (non so se c'è un exploit per quello, ma una volta che hai accesso al bus PCI, dubito che sia stato bloccato molto). È interessante notare che questa vulnerabilità è più facile da sfruttare su un computer spento, dal momento che il bug si trova in un parser del protocollo di gestione remota, che in particolare gestisce il wake-on-LAN.

Ancora un altro esempio è che fa il reflash di un controller del disco rigido (presentato a OHM 2013 ).

Questa domanda richiede il firmware sulle schede video. Mentre scrivo, nessuno ha fornito un esempio di malware in the wild, ma la possibilità è sicuramente lì.

Non esiste una protezione reale contro il firmware compromesso su un PC tipico. Avresti bisogno di tenere traccia di ogni singolo pezzo di memoria flash nel computer. Ci sono sforzi per richiedere l'autenticazione del firmware; su PC, lo sforzo più avanzato è il TPM , che attualmente può controllare l'integrità del BIOS e del bootloader del sistema operativo, se si dispone dell'hardware richiesto e di un BIOS che lo supporta. Non sono a conoscenza di un PC in cui tutti i componenti hanno il loro firmware controllato per l'integrità (almeno, prima che possano accedere al bus PCI). Ci sono sforzi simili nel mondo degli smartphone che sfruttano le caratteristiche di sicurezza dei chip ARM , ma di nuovo è un lontano piangere dall'esistenza di funzionalità di sicurezza per l'inclusione di tutti i firmware nella base attendibile.

In pratica, se non sei un obiettivo di alto profilo, non devi preoccuparti troppo. Non ci sono exploit in natura a livello di script kiddie. Ma le possibilità per il tuo aggressore sono numerose e le abilità tecniche (o i mezzi per assumere un abile hacker).

Gli attacchi di firmware stanno diventando più facili nel tempo. A Black Hat USA 2012, Jonathan Brossard presentato " una prova generica di malware di concetto per l'architettura Intel, Rakshasa , in grado di infettare più di un centinaio di diversi madri”. Il proof-of-concept (non rilasciato pubblicamente) infetta molti BIOS e periferiche comuni inclusi i chip di rete. È solo questione di tempo prima che tali quadri di infezione del firmware appaiano in natura. L'NSA è stato segnalato per favorire l'impianto di spyware nel BIOS.

Oltre a nascondere il tuo codice tra varie e varie periferiche, una vecchia tecnica che sta facendo un ritorno è il virus del settore di avvio. Torpig / Sinowal / Anserin è l'esempio più recente di uso giudizioso di questa tecnica. In breve, una volta infettato il virus caricherà alcuni codici bootstrap nell'MBR. Se si utilizza questa tecnica, ci si può aspettare che il codice caricato nell'MBR effettui le seguenti operazioni:

1. Verifica se il virus è presente
2. In caso contrario, quindi scarica e re-infetti

L'unico modo per pulire in modo affidabile qualcosa come questo per ripulire l'MBR. Sia attraverso il re-partitioning, sia usando uno strumento come fixmbr. Di conseguenza, non è sufficiente eseguire semplicemente una reinstallazione e talvolta un formato / reinstallazione.

Dipende da ciò che consideri essere "un'installazione pulita".

Oltre a ciò che D.W. menzionato, alcune cose potrebbero rimanere, ad esempio, "System Volume Information" e / o directory recycler (directory di ripristino del sistema e del cestino) su qualsiasi partizione aggiuntiva che si possa avere. Ciò potrebbe facilmente riattivarsi in una nuova installazione di Windows, ma molto probabilmente non funzionerà su Ubuntu. Ad ogni modo, se tutte queste altre partizioni non vengono disinfettate, significa che potrebbero ancora esserci dei malware da qualche parte in queste directory - probabilmente non fare nulla, aspettando solo giorni migliori, affinché Windows venga reinstallato]: - > ma ancora lì .. Quello che ti suggerisco di fare dopo aver installato Ubuntu è l'installazione di clamav, l'aggiornamento e la scansione di tutto ciò che hai ..

Se davvero formatti tutto , ci sono ancora i punti D.W. fatto.

Il codice dannoso all'interno di BIOS / firmware è possibile, ma molte più minacce realistiche sono spesso trascurate. Due esempi in cima alla mia testa:

Repository / Immagini OS: possono essere compromessi, quindi stai essenzialmente reinstallando un sistema operativo o software backdoored ogni volta che reimmagini i tuoi sistemi.

Gestione fuori banda: ILO di HP, IDRAC o IPMI di Dell. Anche reinstallando il tuo sistema, chiunque lo abbia compromesso potrebbe già sapere che c'è una gestione fuori banda con accesso alla console disponibile.

Penso che la risposta a questo dipenda dalla natura delle minacce (e degli attaccanti) che consideri nell'ambito di azione per agire contro il tuo PC.

IN GENERALE - Se si esegue una "reale" riformattazione del disco rigido del computer (inclusi, come alcuni altri utenti hanno menzionato, i settori di avvio), e quindi si installa un nuovo sistema operativo (qualcosa di diverso da Microsoft Windows , si spera ... ma anche Windows lo farà, a patto che lo si stia installando da un DVD invece di "ripristinare" dalla "partizione di ripristino" del produttore, che ovviamente potrebbe facilmente essere stato compromesso dallo stesso malware di il motivo per ricreare l'O / S in primo luogo), quindi per i casi di utilizzo MOST in MOST condizioni, fare questo dovrebbe fornire un livello accettabile di sicurezza che il computer non sarà "pre-compromesso" nel momento in cui prima usalo.

Detto questo, sii consapevole che, come giustamente hanno fatto notare i posters precedenti, esistono sicuramente una serie di malware avanzati e attacchi di manomissione fisico / BIOS, che possono compromettere gravemente l'infrastruttura di base del computer, in modo tale che solo un'azione sicura al 100% è solo per eliminarla e passare a un altro PC.

Secondo la mia esperienza, questi tipi di attacchi sono molto rari, ma se (ad esempio) ti trovi in un ambiente ad alto rischio (ad esempio sei un dissidente cinese o iraniano, sei Edward Snowden, ecc.) sei il migliore non si può correre il rischio ... in particolare se è probabile che un attaccante possa, a un certo punto, avere avuto accesso fisico al PC in questione. (L'NSA è esperta nella messa a punto di BIOS e compromessi hardware che sono virtualmente impossibili per chiunque, eccetto un'altra agenzia di intelligence a livello nazionale, da rilevare o rimuovere.)

Per inciso, vorrei notare un'altra minaccia che troppe persone dimenticano, durante l'inizializzazione di un "nuovo" PC: vale a dire, "utilizzando la stessa password di accesso locale, in particolare la password dell'account amministratore, come ho usato sull'ultimo PC ". La logica alla base è semplice: "Ho messo una backdoor sul tuo PC" vecchio "e ho intercettato la tua password, quindi quando vedo il tuo PC" nuovo "apparire su Internet ... indovina quale password è la prima che Ci proverò, quando tenterò di entrare nel "nuovo" PC? "

Ecco un trucco sporco, a proposito: imposta un account "fittizio", con privilegi zero e monitoralo attentamente, usando la "vecchia" password ... e aspetta di vedere cosa succede. In effetti, stai creando un "honeypot" locale per attirare i malfattori che hanno compromesso il tuo "vecchio" PC. C'è sempre la possibilità di un exploit di elevazione dei privilegi, ovviamente, quindi dovresti stare molto attento a bloccare l'account "fittizio", quindi anche se qualcuno si autentica con successo, non può andare da nessuna parte o fare qualcosa.

Il punto è, cambia tutte le tue password, immediatamente, se pensi di essere stato compromesso. E non fidarti di qualsiasi cosa che potrebbe essere stato fisicamente compromesso. Fallo e dovresti essere al sicuro da (quasi) tutte le possibili minacce.

È mia abitudine azzerare il settore di avvio e aggiornare (o semplicemente ridipingere) il BIOS anche in questi casi, solo per proteggersi da una persistenza particolarmente resiliente. Non è necessario quasi sempre, poiché di solito i virus persistono nella rete o nel sistema operativo, ma se si vuole essere sicuri di adottare anche precauzioni contro altri tipi di persistenza.

Mentre segnalavo un'altra domanda come duplicata, stavo anche scrivendo la risposta, quindi la lascio qui solo nel caso sia utile per qualcuno:

Per essere realistico, eliminerai il tipo di principalmente tutti di malware.

Ma.

< modalità paranoica >

Bootkits: https://macpablodesigns.wordpress.com/2009/10/01/bootkits-what-is-bootkit-and-why-should-it-concern-you/

Hiding data in "unreachable" HDD areas: https://jameswiebe.wordpress.com/2015/02/18/how-to-install-undetectable-malware-on-a-hard-drive/

Others that I might be missing.

< / modalità paranoico >

Per riassumere. Ci sono modi per di infezione che rimarranno dopo aver eseguito quelle procedure di reinstallazione, ma per mantenerlo " reale ", con questo ti libererai di quasi tutte le infezioni da malware standard.

( non appena non si è infettati durante l'installazione, naturalmente, installatori di sistemi operativi con malware / adware come questi "attivatori" e simili ... )