Il mio computer è stato bersaglio di un attacco Man-in-the-Middle. Quando utilizzo lo stesso sito per più di 5-10 minuti, occasionalmente quel sito Web viene sostituito da un sito Web compromesso per un paio d'ore. Poiché utilizzo HTTPS, rilevo immediatamente l'attacco, poiché il certificato è improvvisamente autofirmato-- e evito di inviare dati sensibili; tuttavia, ultimamente gli attacchi sono diventati più sofisticati. Inoltre, devo essere in grado di continuare il mio lavoro. Devo essere in grado di connettermi al sito originale in qualche modo.
Una cosa strana è che questo attacco è specifico del browser. Ad esempio, quando eBay.com è stato compromesso su Firefox, continua a funzionare su Opera. Tuttavia, dopo 5 minuti di lavoro su Opera, è compromesso anche lì; ma passare a IE mi consente di continuare a lavorare per altri 15-20 minuti. Non è mai compromesso quando sto accedendo tramite linea di comando (presumibilmente per impedirmi di utilizzare strumenti come tracert).
Sono stato in grado di ottenere la password del mio amministratore di sistema, e ammetto che è solo una password moderatamente strong; e, il router consente il controllo remoto; così probabilmente, il router è stato violato. Posso cambiare la password del router; ma prima, vorrei confermare da dove viene l'attacco. Perché se non lo faccio, e l'aggressore rileva i miei tentativi di ostacolarlo, allora può fermarsi per un po ', per farmi pensare che ho trovato da dove proviene il problema, quando in realtà no.