Una volta che la macchina infetta può essere di nuovo considerata attendibile?

Naviga le tue risposte
22

Sto per passare a una nuova unità SSD, quindi ho pensato che fosse una buona occasione per un inizio davvero nuovo. Ho riconsiderato ogni pezzo di software installato, disinstallato un sacco di schifezze (sorprendentemente, il mio sistema ha iniziato a essere più reattivo;]), e ho controllato per virus e roba (dato che non volevo trasferire alcun malware al mio nuovissimo sistema lucido) .

Durante la scansione anti-virus, un file è apparso come sospetto, e poi ho iniziato a chiedermi ... Anche se non ho alcuna prova diretta che abbia mai avuto un'infezione grave, come atti davvero bizzarri di riavvio / bsod / problemi con app, e ho preso molte precauzioni (ho sempre aggiornato il mio software, usato l'estensione "noscript" di firefox, mantenuto java disattivato, sandbox usati, AV e così via), forse qualcosa è scivolato.

E se qualcosa è scivolato, tutto è compromesso. Tutta la speranza è andata ...;]

Ho iniziato a interrogarmi sullo stato attuale del malware. È capace di

  • diffusione su unità USB collegate (in tal caso, tutti i miei backup sono compromessi);
  • diffusione attraverso la rete locale (nel qual caso anche tutti i miei altri PC sono stati compromessi)
  • infettando la mia partizione di ripristino (yay! questo si sta facendo spaventoso);
  • che infetta il mio BIOS / UEFI (quanto basta in modo che possa scaricare nuovamente il pacchetto completo e ricominciare a diffondere) ...

Gli autori di malware sono in grado di generare virus come questi? Cioè, virus che possono diffondersi attraverso tutti i possibili dispositivi in modo tale da rimanere sempre nascosti agli utenti e diffondersi incontrastati. Alla fine, ogni macchina sarebbe stata infettata; anche quelli nuovi freschi, le macchine attualmente in fabbrica sarebbero infette e così via, e così via ...

Forse è già successo. I nostri computer vivono nella loro "matrice virale"? La Vitrix? ;]

Ok, scherzi a parte. Probabilmente è impossibile creare tale software, quindi torniamo alla mia domanda originale, più semplice, che riguarda solo una macchina infetta:

È possibile che qualsiasi macchina, una volta infettata, sia mai più attendibile?

    
posta vandalizmo 06.03.2013 - 18:26
fonte

2 risposte

27

In teoria, no, una macchina infetta non può più essere considerata attendibile. In pratica, pulire il disco rigido (o semplicemente rimuoverlo e inserirne uno nuovo) è spesso sufficiente, sebbene qualche virus è noto per rispecchiare parte del BIOS, per pura devastazione sfrenata o per rendere il virus resistente alla formattazione del disco. Alcune schede madri non permetteranno il reflashing a meno che un jumper specifico non sia fisicamente collegato, che almeno protegge da reflashing ostile; se non sei sicuro, consulta la documentazione della tua scheda madre (se usi un laptop, probabilmente sei sfortunato).

Oltre al BIOS, altri dispositivi possono avere firmware trasparenti. È stata eseguita una dimostrazione nel caso di alcune tastiere Apple.

Mentre tutto ciò significa che una macchina corrotta una volta non può mai più essere di nuovo attendibile, fa sorgere la domanda sorella, che è: come mai potrebbe fidarsi della macchina in primo luogo? Non sai davvero dove sia stato (almeno non con più precisione di "qualche fabbrica nel sud della Cina"). Una possibile risposta è che se l'hacker è riuscito a seminare malware che ha resistito a una completa reinstallazione della macchina, probabilmente merita di rimanere lì. Almeno, questo pezzo di malware è stato scritto da qualcuno che è tecnicamente competente, il che è rinfrescante. Sarebbe un grande giorno se potessi dire lo stesso della maggioranza degli altri software che esegui sulla tua macchina.

    
risposta data 06.03.2013 - 18:48
fonte
3

Un computer infetto che è stato "disinfettato" da diversi scanner antivirus / antimalware dovrebbe essere classificato in una categoria da qualche parte tra i dispositivi "trusted" e "non attendibile" - forse qualcosa come "diffidato", per ricordare che è noto che è stato "disinfettato" e quindi non può essere determinato in modo affidabile per essere assolutamente "fidato" di nuovo. Ad esempio, non eseguirò transazioni ad alta sicurezza su un sistema diffidato: operazioni bancarie, acquisti di carte di credito, informazioni sensibili di identificazione personale, amministrazione dell'infrastruttura di rete, accesso amministrativo remoto, ecc. In effetti metto un'icona su ogni desktop del computer che indica se il il computer è affidabile, non affidabile o diffidato, così che il suo stato di sicurezza mi sta fissando dritto in faccia ogni volta che vado a usarlo. E, io uso i chip SD piuttosto che i thumbdrive USB per l'archiviazione mobile proprio perché possono essere protetti da scrittura e io segrego i supporti rimovibili con un simbolo affidabile o non affidabile in modo da non inserire un chip SD non attendibile in un computer fidato. Meglio essere il più sicuro possibile piuttosto che giocare alla roulette russa con dispositivi discutibili che possono diffondere malware nascosti.

    
risposta data 18.01.2014 - 19:01
fonte

Leggi altre domande sui tag

Quali protocolli esistono per la chat di gruppo crittografata end-to-end? Al firewall o no al firewall?