È possibile essere infettati solo rimanendo connessi a Internet (nient'altro)?

Alcuni anni fa (2003), c'era questo worm chiamato "Blaster" (o MSBlast, Lovesan ecc. - leggi di più su link ). Si è diffuso utilizzando una vulnerabilità in un servizio RPC, in esecuzione su Windows XP e 2000.

Nel momento in cui era "peggiore", potresti essere infettato entro pochi minuti, se non avevi impostato un firewall. Ricordo di aver installato un Windows XP pulito, di metterlo online (senza un firewall) e di vederlo infettare in pochi minuti.

Quindi per rispondere alla tua domanda: Sì, se sei connesso a Internet, sei vulnerabile per tanto tempo perché ci sono porte aperte con servizi di ascolto su di loro (e c'è una vulnerabilità nel software ).

Quindi puoi sicuramente infettarti semplicemente essendo online e non facendo nulla. Ricorda che, anche se non stai non stai facendo nulla, il tuo computer è ancora connesso a vari servizi online e tramite Internet.

Potrebbe essere possibile essere infetti se il tuo computer è direttamente accessibile da Internet ( senza NAT, router, ecc.). Ma l'attaccante dovrà trovare una vulnerabilità nello stack TCP del tuo sistema operativo che gli consenta di eseguire codice arbitrario sulla macchina (ad esempio inviando un pacchetto malformato), e quelli sono molto al giorno d'oggi insolito.

Ci possono essere anche exploit in alcuni servizi di sistema che stanno ascoltando (Windows ne ha un paio). Ecco come si diffondono i principali worm di Internet (ad esempio Sasser, Conficker). Richiederebbe inoltre che il tuo computer sia direttamente accessibile da Internet (nessun firewall o NAT) o che il tuo router sia compromesso.

Ma la probabilità di entrambi è così bassa che non dovresti preoccuparti.

Abbreviazione: non scaricare nulla e starai bene.

Long: Se non stai scaricando file qualsiasi da Internet, non è quasi possibile che il tuo computer sia infetto.
Se non stai scaricando alcun file da Internet e temi solo i virus che colpiscono il tuo computer, allora l'unico modo per infettare il tuo computer è attraverso una porta aperta.
Il modo per proteggere le porte aperte è utilizzare un antivirus o un firewall per bloccarle.
Se non stai scaricando nulla sul tuo computer, le porte aperte sul tuo computer saranno protette se usi regolarmente Aggiornamenti di Windows.

Se vuoi controllare le tue porte aperte hai pochi modi:
1. Usa Nmap sulla tua macchina Linux per mappare le porte della macchina Windows.
2. In Windows puoi digitare netstat -ab | more nella tua riga di comando.

Modifica:

Se sei connesso a Internet, allora sì è possibile.

Quando dici

connected to the Internet (doing nothing else)

Cerchi siti Web? Email Ricevute? Connettiti a qualsiasi altro computer da Internet?

Se fai una di queste cose, puoi comunque essere infettato.

Se non fai nessuna di queste cose, allora è ancora possibile (anche se improbabile).

E se non fai nessuna di queste cose, devo chiederti perché sei connesso a Internet. Se si utilizza il computer solo per scaricare gli aggiornamenti, si consiglia di spegnere il computer quando non si esegue il download. Ciò ridurrà le possibilità di essere attaccato.

È possibile per diversi motivi - ma la tua intuizione è fondamentalmente corretta, perché il problema fondamentale è sempre la "superficie d'attacco". E la sicurezza della rete consiste nel minimizzare la superficie di attacco (e bloccare la superficie che deve essere esposta).

Probabilmente hai una combinazione router / firewall sul tuo "bordo" che funge da gateway predefinito per la tua LAN ed è connesso a un modem che collega o indirizza il traffico verso / dal bordo. Questi dispositivi funzionano su software, proprio come qualsiasi altro nodo di rete, e quindi sono buoni solo quanto il software su cui fanno affidamento. A causa del NAT o della traduzione degli indirizzi di rete, il tuo PC non è indirizzabile da Internet, il che significa che il traffico in entrata deve prima passare attraverso il tuo bordo e essere filtrato, indirizzato e filtrato di nuovo.

NAT può dare un falso senso di sicurezza perché sembra che tu ti "stia nascondendo" oltre il limite, e in un certo senso lo sei. Ma quando si apre una connessione verso l'esterno, l'esterno deve essere in grado di riavviare il traffico, e quindi il dispositivo NAT (il proprio spigolo) normalmente aprirà una porta casuale (in genere un numero molto alto) quando si effettua la richiesta in modo che possa tornare da te. Le richieste in arrivo sono di solito bloccate di default perché non esiste una regola NAT per inviare traffico al tuo nodo, ma un utente malintenzionato che accede al bordo tramite shell o (purtroppo) lo strumento di configurazione web può aggiungere quel tipo di regola o impostare il tuo PC come host DMZ.

Quindi, l'utente malintenzionato motivato cercherebbe in una determinata sottorete e / o intervallo di indirizzi IP per i nodi che sembrano eseguire software vulnerabile. Forse hai comprato il tuo dispositivo periferico nel 2010, quando è stato caricato con l'ultima versione di CentOS o qualcosa del genere. Ora, cinque anni dopo, forse il produttore e / o non si è tenuto aggiornato con le patch CentOS. L'autore dell'attacco farebbe qualcosa del genere:

1. Scegli un intervallo di obiettivi da valutare
2. Cerca nodi che rispondano in qualsiasi modo (ICMP, TCP, qualsiasi cosa. Qualcosa è qualcosa.)
3. Su quei nodi, prova a prendere le impronte digitali oa capire quale software sono in esecuzione su ogni protocollo esposto + porta.
4. Cerca le impronte digitali trovate e corrispondenti a vulnerabilità note (CentOS 2.1, Apache 5.0.28 o precedenti, ecc.)
5. Prova a sfruttare per ottenere un accesso elevato
6. Se ha successo, imposta una backdoor tranquillamente
7. Ispeziona i nodi INTERNI (LAN) utilizzando gli strumenti di scelta, l'output diviso di tutto il traffico verso l'attaccante (cioè l'uomo nel mezzo), il DNS avvelenato, ecc.

Una volta che l'attaccante ha accesso al tuo margine, può davvero far male. Ad esempio, possono intercettare le richieste DNS (nomi di dominio in indirizzi IP) per indirizzarti verso i loro server. Questo è il motivo per cui SSL esiste, ma potrebbero facilmente trovare un modo per ingannarti facendo questo per siti non SSL. ("Per favore contatta il supporto tecnico di Time Warner ...")

Potrebbero anche registrare silenziosamente tutto il tuo traffico per setacciare e analizzare.

E, naturalmente, potrebbero provare a ripetere la stessa procedura classica descritta sopra sulla tua rete interna e trovare il tuo nodo semplicemente seduto lì. Da lì, il tuo nodo ha una superficie di attacco estesa perché Windows considera di default il traffico della LAN con più rispetto, quindi vengono esposti più servizi, come NetBIOS e Condivisione file o, nei giorni precedenti, RPC. Voglio dire, il cielo è il limite.

Questo sarebbe un grande sforzo, quindi con ogni probabilità starai bene se continui a fare patch sul reg. Ma ciò include il patching del tuo margine e qualsiasi cosa nel mezzo.

Innanzi tutto, tutto ciò che non è banale è teoricamente possibile.

Ora, alla praticità.

È estremamente improbabile che ti infetti in questa situazione. Il router è un po 'come un sistema telefonico in un ufficio: anziché i "numeri di telefono" globali (indirizzi IP), le macchine interne ricevono solo "estensioni" (indirizzi interni non instradabili). Non esiste un modo diretto per una macchina esterna per indirizzare quella interna.

Tuttavia, se il router dovesse diventare compromesso, quella sarebbe una "base avanzata", per così dire, che facilita un attacco a più stadi. Fortunatamente, questo livello di sofisticazione è praticamente sconosciuto nel malware oggi e la tua superficie di attacco è molto piccola in questa configurazione. Assicurare che "l'amministrazione remota" sia disattivata nel router e che non ci sia una configurazione DMZ renderà praticamente impossibile (se non addirittura impossibile) compromettere la macchina Windows.

Questo, naturalmente, presuppone che la cosa solo che fai sia accedere a Windows Update. C'è è un tipo di attacco chiamato "avvelenamento della cache DNS"; qualcuno potrebbe teoricamente farti connettere a una macchina diversa da quella che intendi usare con questo o altri attacchi (man-in-the-middle). Ma ...

Ecco dove entrano in gioco le firme digitali e SSL. Rendono possibile avere una sicurezza end-to-end ragionevole.

Ancora non lo rende impossibile. Supponiamo che il certificato di firma del codice di Microsoft venga compromesso. L'utente malintenzionato può quindi firmare i binari che la macchina accetta ed esegue felicemente. Potrebbe persino essere rotto piuttosto che rubato. Del resto, potrebbe essere che l'aspirante attaccante potrebbe avere accesso a un computer quantico; quindi, tutte le scommesse sono disattivate.

In breve ... non sei MAI sicuro al 100% a meno che non scolleghi fisicamente il cavo di uplink. Ma nella situazione che descrivi, probabilmente sei nel range del 99,999% o giù di lì. Altrimenti ... non esiste una sicurezza "perfetta".

Semplicemente essendo connessi a Internet c'è il rischio di essere vulnerabili.

Questo rischio può essere mitigato con aggiornamenti software e alcuni prodotti di sicurezza (antimalware, firewall, sistemi di rilevamento delle intrusioni, ecc ...).

Su un'impostazione ideale, il rischio è molto basso. Saresti in esecuzione dietro uno o due router su un NAT, con un sistema operativo completamente aggiornato, nessun servizio aperto alla rete pubblica ... e nessun port forwarding comunque.

Per arrivare a te in quella situazione, devono prima compromettere i router.

Poi di nuovo se sei collegato direttamente all'ISP (non dietro un NAT o un proxy) il rischio è più alto.

In teoria l'attaccante avrà bisogno di un exploit per una vulnerabilità nel tuo particolare sistema. E le possibilità che un aggressore si scorti casualmente per sapere quali vulnerabilità hai è basso ....

Ma! ci sono due scenari in cui questo non è il caso:

• Se sei un bersaglio di un trattamento persistente, prima o poi troveranno una vulnerabilità. Quando lo faranno, sarà in gara per vedere se lo patch prima che lo sfruttino.
• Se gli aggressori cercano una vittima casuale *, cercheranno gli host che sono vulnerabili agli exploit che hanno, invece di cercare gli exploit per le vulnerabilità che hai. E quella ricerca sarà probabilmente automatizzata. Dato abbastanza tempo e abbastanza exploit in giro, ti prenderanno.

*: possono cercare host da aggiungere a una botnet, per esempio.

Tutto ciò è peggiorato se si dispone di servizi particolarmente vulnerabili installati ... o semplicemente di quelli mal configurati. Ad esempio, un server web, un motore di database o un servizio di condivisione file possono essere scelti come target.

E finalmente non fai "altro". Durante la ricognizione, scaricheresti gli aggiornamenti ... forse il tuo DNS viene avvelenato e inizia a indirizzarti verso un server di aggiornamento falso (che potrebbe anche sembrare avere certificati e firme digitali validi a causa di un attacco di collisione sugli algoritmi di hash utilizzati per creare quelli del vero autore). E poi vieni infettato dagli aggiornamenti.

Inoltre, cos'altro è installato sulla tua macchina? Hai ... Non so ... un programma di aggiornamento Java? Aggiornamento flash? Aggiornamento di Chrome? Aggiornamento di Acrobat Reader? ecc ... qualcuno di questi potrebbe essere usato per farti del male.

Inoltre, molti utenti sincronizzeranno i file con un server remoto, tramite Dropbox, OneDrive, Google Drive, ecc ...

Ti sei ricordato di disabilitare l'assistenza remota? Disponi di un servizio di Team Viewer sempre funzionante? Che ne dici di quello strumento che viene fornito con i driver per la tua scheda audio o video che cercherà gli aggiornamenti dei driver?

Etc ...

Modifica: no, non sto dicendo che non dovresti aggiornare. È un rischio più elevato non aggiornare e rimanere bloccato e una vecchia versione per la quale ci saranno exploit noti che continueranno a funzionare per sempre perché non si aggiorna mai. È meglio correre il rischio di aggiornare, anche considerando gli occasionali errori di aggiornamento dalla fonte legittima.

Modifica 2: sì, il router può essere compromesso. Diamine, anche il "mio" è probabilmente compromesso e non lo so nemmeno io. Questo perché il "mio" router è l'IPS e non mi danno il pieno accesso ad esso. Ecco perché ho un secondo router dietro, e questo è davvero mio! Posso impostare un wifi più sicuro su di esso, posso anche vedere i suoi registri delle attività, mantenere un backup del suo sistema e posso persino aggiornare il suo firmware (l'ho già fatto una volta).

Modifica 3: A proposito, semplicemente la connessione a Internet è il modo in cui funzionano gli honeypot. Ovviamente gli honeypot sono di solito intenzionalmente vulnerabili. Mantenendo la macchina aggiornata si attenua il rischio, ma non lo si elimina. Ci sarà sempre un rischio residuo ... l'unico modo per eliminare effettivamente il rischio è di essere disconnessi.

Se sei appena connesso a Internet (quindi non stai scaricando nulla), il tuo computer non può essere infettato, ma l'attaccante può accedere al tuo computer attraverso porte aperte.

Un altro problema sarà che se hai già un virus nel computer (come malware), può utilizzare la connessione per inviare dati (ad es. password) all'autore dell'attacco.

Quindi non vi è alcuna possibilità di essere infettati, tuttavia, l'utente malintenzionato può utilizzare questo stato per attaccare il computer o il virus (già presente all'interno) per inviare dati.