Che tipo di danno permanente potrebbe essere fatto al mio computer attraverso l'accesso remoto (TeamViewer)?

25

Scenario ipotetico (si prega di notare che questo è davvero ipotetico, e non mi sognerei mai di farlo davvero. Sto chiedendo per curiosità.)

  1. Ho un normale computer desktop con un'installazione pulita di Windows 10 e nessun dato personale o sensibile sulla macchina. Il computer non condivide una rete locale con altri dispositivi. Questo è un sistema normale e non una macchina virtuale.

  2. Fornisco a un utente malintenzionato l'accesso remoto a questa macchina, tramite il software TeamViewer. Le periferiche come tastiera, mouse, ecc. USB sono disconnesse al momento dell'accesso. L'utente malintenzionato può passare alcune ore a fare quello che vuole.

  3. Una volta completato l'utente malintenzionato, il computer viene immediatamente arrestato. Quindi avvio da un CD live di Linux, formatta l'unità interna del computer e installo un'installazione pulita di un sistema operativo (ad esempio, Windows 10 o Debian.) Non ci sono altri dispositivi di archiviazione collegati al computer.

In questo caso in quali modi il mio computer potrebbe essere ancora compromesso o danneggiato? Possiamo dire che l'utente malintenzionato sapeva che avrei potuto formattare l'unità e preparato appositamente per quello. Potevano semplicemente essere interessati a fare danni o compromettere il computer in qualche modo.

    
posta Revetahw 02.09.2017 - 18:10
fonte

4 risposte

43

Su alcuni monitor CRT c'era un relè impegnato quando si cambiava la modalità dello schermo. Cambiando la modalità schermo molto velocemente, è stato possibile distruggere questo relè.

A quanto pare alcuni monitor moderni possono essere distrutti forzandoli in modalità schermo non valide, ma devono essere piuttosto dei monitori di spazzatura.

Qualcuno ha menzionato il flashing del BIOS per distruggerlo.

Il microcodice su alcune CPU può essere modificato: distruggi la CPU.

Se si tratta di un laptop, potrebbe essere possibile distruggere la batteria riprogrammandola: link

Con gli SSD o le unità USB basate su memoria flash, riscrivi la stessa parte di memoria più e più volte per farla terminare prima.

Su un disco rigido economico, forzare il motore passo-passo a spingere le testine dell'unità completamente in un punto oltre la fine dell'unità e poi fare un passo indietro, ripetutamente, potrebbe far cadere le teste fuori allineamento. Ho conosciuto dischi in cui le teste potrebbero rimanere bloccate se inviate oltre la loro gamma corretta (PC con marchio Tulip negli anni '90).

Mi chiedo anche se potessi cambiare le impostazioni del BIOS in modo che la RAM o la CPU o anche la GPU possano essere danneggiati, overclockando o modificando le tensioni della scheda.

Cuocere la GPU guidandola con forza dopo aver superato il controllo automatico della temperatura. Idem per la CPU.

Cambia le impostazioni del BIOS per spegnere la ventola della CPU, quindi guida la CPU abbastanza strong da cucinarla.

    
risposta data 02.09.2017 - 21:05
fonte
16

Supponiamo che sia il peggiore possibile attaccante. E per qualche ragione, attaccare senza teamviewer non è un'opzione (come il bug SMB, AMT nella CPU, qualsiasi 0day da quell'angolo, backdoor deliberati da parte del governo degli Stati Uniti e della SM, ...).

Passaggio 1: utilizzare un altro 0day che funziona solo se l'utente malintenzionato ha già accesso al desktop (ma nessun amministratore) per ottenere le autorizzazioni di amministratore. Quindi ...

  • Configurazione di Intels AMT (o controparte AMDs). Risultato: controllo totale finché è possibile una connessione di rete (anche quando il computer è spento, ecc.).
  • Lampeggiante il BIOS / UEFI con qualcosa di peggio (perché di solito ha bisogno di un riavvio, la configurazione di Teamviewer per iniziare all'avvio è utile). Per esempio. per impedire che AMT si spenga di nuovo.
  • Scrittura di qualcosa sull'area del settore di riserva dei dischi rigidi (che non fa parte della formattazione) e / o sul firmware dei dischi rigidi. Per impedire solo il passaggio alla scheda madre.
  • Sostituire alcuni altri firmware, solo per essere sicuro.

...

E senza 0days per ottenere le autorizzazioni di amministratore? O se l'attaccante vuole solo un modo più semplice? Bene ... scaricando child p * rn e poi citandoti. (E mentre triste, in alcuni paesi un IP è sufficiente per andare in prigione, anche se hai la prova che non eri a casa dove si trova il tuo cavo DSL, o qualcosa del genere.).
(Perché l'attenzione è sul computer: mentre sei in prigione, l'aggressore entra nella tua casa e fa ciò che vuole con accesso diretto all'hardware).

    
risposta data 02.09.2017 - 18:48
fonte
4

Potrebbero tirare una CIA e aggiornare il firmware del disco fisso, sostituendolo con la propria versione infetta.

(Non sei sicuro di poterlo fare con una VM)

    
risposta data 02.09.2017 - 18:58
fonte
0

Dipende dalle autorizzazioni che l'utente remoto può ottenere. Il caso banale è che l'account ha già diritti di amministratore; un caso meno banale è un exploit che consente a un utente locale di ottenere i diritti di amministratore. Entrambi renderanno possibili gli attacchi descritti negli altri post. Senza diritti di amministratore non riesco a pensare a qualcosa di distruttivo in modo definitivo che un utente possa fare, immediatamente.

La superficie di attacco è sicuramente più grande se si può effettivamente accedere a una macchina, invece di vederla solo sulla rete, magari dietro un firewall, e solo con una semplice installazione di Windows (nessun database, server Web, desktop remoto eccetera.). In questo senso garantire l'accesso remoto con qualsiasi mezzo è un rischio per la sicurezza.

    
risposta data 03.09.2017 - 20:44
fonte

Leggi altre domande sui tag