Cosa può fare un hacker quando ha accesso fisico a un sistema?

8

Voglio dire, sono un ragazzo tecnologico qui nella mia regione (non un hacker ...). Quando mi siedo davanti al PC di un'altra persona, noto un po 'di paura su cosa posso fare nel sistema.

È ovvio che non comprometterò / ruberò / etc il sistema ... Uno dei miei compiti è il sistema di correzione e sono un "ragazzo etico" in quella materia.

Ma non conosco il personaggio, l'etica, di un altro tecnico che fissa un altro PC. In realtà, un grande pacco delle mie entrate proviene da clienti che hanno problemi con il PC, inviati a un altro tecnico; che i ragazzi "aggiustano" il PC, e qualche tempo dopo che il cliente sta bussando alla mia porta, chiedendo aiuto perché l'altro ragazzo "ha distrutto" il sistema.

Ma ora sono curioso. Cosa può fare un hacker (precedentemente preparato) quando ottiene l'accesso fisico a un sistema? Posso pensare a 3 diversi "livelli" di risorse che un hacker può utilizzare in quelle situazioni, che cambierà ciò che farà:

  1. Può possedere un Drive USB con programmi per compromettere il sistema;
  2. Ha accesso a Internet a banda larga nel sistema di destinazione e può scaricare rapidamente un programma;
  3. Ha nessuna unità USB o accesso a Internet , quindi cercherà di compromettere il sistema utilizzando qualche programma o risorsa del sistema operativo incorporato;

So che l'ambito può essere enorme, quindi consideriamo che l'hacker proverà a facilitare l'accesso da Internet , così avrà accesso remoto al PC di victm quando si trova nel suo PC di casa.

Cosa può fare in quei punti? Come faccio a ispezionare il sistema su quel tipo di attacco?

    
posta Click Ok 28.08.2012 - 02:57
fonte

3 risposte

11

Per mettere a fuoco i singoli casi:

  1. Assolutamente tutto ciò che vuole. Malware, rootkit, backdoor, keylogger, l'intero shebang.
  2. Di nuovo, assolutamente nulla. È esattamente come avere il disco USB, perché può creare un sito dove può scaricare i file di cui ha bisogno o semplicemente scaricarli da siti esistenti.
  3. Pulisci il disco, elimina i file di sistema, scrivi i file batch, modifica i servizi di sistema, modifica la configurazione, ecc. La lista è infinita. Ci sono molte cose malevole che puoi fare su un sistema senza strumenti aggiuntivi. Sarebbe banale scrivere un VBScript per verificare la data corrente, confrontarla con un valore fisso, quindi interrompere il sistema se le date corrispondono. Rilascialo in una chiave di esecuzione e hai un'attività di ripetizione immediata.

Nei primi due casi, il malware gli consente di avere accesso completo alla casella in qualsiasi momento. Nel terzo caso, è ancora banale. Poteva installare un account nascosto sulla macchina, che in seguito utilizzerà per desktop remoto. Potrebbe impostare l'assistenza remota. A seconda della versione di Windows in esecuzione, l'utente può configurare i servizi terminal. Poteva persino disinstallare le patch di sicurezza per abilitare una vulnerabilità legata all'esecuzione di codice in modalità remota, quindi sfruttarla da casa. Non è davvero così difficile rendere una macchina del genere lontanamente compromettibile.

    
risposta data 28.08.2012 - 08:12
fonte
1

Come accennato in precedenza, nella mia esperienza con qualsiasi tipo di accesso, quasi tutto può essere fisico o remoto, distruggerlo se non sei sicuro al 100% che l'hacker non abbia già acquisito l'accesso remoto di root.

Tendo a trovare in tempo personale un amico o un pari con l'idea di essere stato schiaffeggiato con un kit di root come una specie di "gatto e topo", un gioco di divertimento. Ma allo stesso livello, è solo per il cappello bianco in me a imparare i mezzi di accesso e come è stato ottenuto il livello di permessi.

Detto questo, nella mia esperienza professionale, sarebbe il mio primo pensiero per eseguire wireshark, o nmap del sistema e per assicurarmi di avere un server di back-up sul sito, per vedere se i back-up sono stati infetto o violato.

Per concludere, se l'hacker ha intenzioni malevole e ha accesso FISICO al sistema, a proprio rischio, tentare di recuperare i dati da esso, ma esegui il dump, il recupero può essere di gran lunga superiore a un'opzione in quel punto .

    
risposta data 28.08.2012 - 05:11
fonte
1

In generale, la sicurezza fisica è una parte critica (probabilmente la più critica) della sicurezza IT. Alla fine della giornata, quasi tutto può essere ignorato con l'accesso locale all'hardware. La crittografia offre ancora una certa protezione, ma i dati crittografati possono essere estratti direttamente e se si spostano non crittografati sull'hardware, se vengono investite risorse sufficienti, spesso è possibile sfruttare gli stessi bus di sistema. (Questo è il modo in cui il DRM dell'XBox originale era rotto). In effetti, su un sistema in esecuzione, tutte le altre misure di sicurezza non hanno alcun significato se la sicurezza fisica non viene mantenuta poiché tutti gli accessi potrebbero essere monitorati o modificati.

    
risposta data 30.08.2012 - 22:18
fonte

Leggi altre domande sui tag