Qual era lo scopo di questo attacco se si fosse verificato?

1

Sfondo

  • Windows 7 Home Edition desktop HP (nessun firewall av / no / assistenza remota abilitata)

  • due unità esterne collegate / nessun documento sull'unità interna collegato a fios wifi (protezione wep / accesso standard: amministratore pw: numero di serie)

  • Visitato un massimo di 5 pagine Web, quindi scaricato recuva dal download cnet

  • left recuva in esecuzione e computer inattivo / incustodito connesso al wifi per ~ 40 giorni (a causa del viaggio / dimenticanza di spegnerlo)

  • quando ho svegliato il computer e lo schermo si è acceso, l'unica non protetta da password il profilo utente era sullo schermo

  • Nota: il mio tipico modo di risvegliare il monitor è tramite il pulsante mashing, ma in 8 anni non accedo mai accidentalmente come altri, ma è possibile, l'ho replicato , ma stavo provando

  • il nuovo collegamento Vz In Home Agent era sul desktop e installato 20 giorni nel periodo di inattività

  • Windows Defender ha registrato attività ogni giorno tranne il giorno dell'installazione di VZ (i # di evento non saltavano, ma non c'era alcuna attività registrata, se questo significa qualcosa)

  • Non sono un target a valore aggiunto

  • Il Visualizzatore eventi di Windows mostra il mio nome utente (nome come nome utente, password minuscola a 9 caratteri) registrato più volte [Servizi terminal: sessione Desktop remoto avviata / Credenziali esplicite usate / Tipi 2/3/7] nota: molti di questi accessi "remoti" sono stati registrati prima di collegarmi a Internet

  • Utilizzo del Visualizzatore eventi di Windows Ho trovato che il profilo utente senza password (non ospite, era il mio profilo padre) ha effettuato il login per la prima volta dalla connessione internet 10 giorni dopo l'installazione di VZ, ho controllato questa data in il mio sistema di base registra la mia GUI del router e non trova nessun IP esterno tranne questo 10 minuti prima del login (loggato più volte al giorno / poi un nuovo IP prende il suo posto / presumo che questo sia verizon): Connessione WAN DHCP IP: xxxxxxxx, DNS: 68.237.161.12 71.243.0.12, GTW: xxxxxxx, Sottorete: 255.255.255.0 (MoCA WAN)

  • Da allora ho cambiato tutto il possibile, aggiornato a wpa2, disabilitato l'assistenza remota, scollegato dopo l'uso.

  • Sono l'unica persona con accesso fisico

  • Non ho "nudi" (e sono un maschio) ma sono sicuro di avere qualcosa che qualcuno riterrà imbarazzante, cioè un video mumble ubriaco o qualcosa di stupido come )

  • La connessione del computer a Internet avviene tramite il Wi-Fi Fios (actiontec MI424WR / impostazioni predefinite) [Non vedo tentativi di accesso non riusciti oltre a quelli che sono stati confermati come miei.]

Domande:

  1. In base alle circostanze di cui sopra, quale livello di esperienza in attacco sarebbe necessario per accedere ai documenti memorizzati nelle unità esterne da chiunque non sia me, senza essere fisicamente presente?

a. Based on the most common up-to-date stats on computer attacks by this level of attacker, assuming the most statistically probable scenario, would the documents in the external drives on the aforementioned network have been compromised?

2 È possibile che gli eventi summenzionati si verifichino come hanno fatto, senza che la macchina / rete * sia stata attaccata e / o compromessa?

a. If yes: Would it be a rarity, common occurrence, or in-between?

3 Supponendo che la macchina / rete * sia stata attaccata, i sintomi di cui sopra sono statisticamente indicativi di un certo tipo di attacco?

a. If yes: Based on the most statistically common rationales of said attack(s), what would the probability(High/Medium/Low) be of the documents in the aforementioned scenario having been compromised?

4 Se la macchina nel suddetto scenario era compromessa, nello scenario più probabile le prove sarebbero state registrate sul sistema del router ad un certo punto?

a. If yes: How probable, based on the statistics of the most common scenarios combined with the above information, would it be that evidence still can be found?

i. If medium or high probability: Can you, based on general information security knowledge as well as an up to date understanding of computer attackers' common operation, tell me three tale tale signs that would commonly be present?

Grazie in anticipo.

* La mia comprensione è che la rete serve come prima difesa della mia macchina, se c'è un modo per la macchina in questione di essere stata attaccata da qualcuno / cosa non fisicamente presente e senza passare attraverso il mio router, per favore aggiungi questo come commento quindi posso adattare le mie domande di conseguenza. Nelle mie domande ho incluso sia "rete" che "macchina" per includere scenari in cui la rete potrebbe essere stata il bersaglio diretto dell'attacco, e la macchina ha subito danni indiretti / un attacco successivo a causa degli effetti del primo attacco diretto alla rete. Grazie. Questo non è basato su opinioni a distanza.

    
posta David 14.10.2015 - 02:00
fonte

1 risposta

1

David, il problema è che a meno che non avessi implementato la registrazione e in una posizione che un utente malintenzionato non può trovare / modificare, qualsiasi cosa potrebbe essere successo.

Un utente malintenzionato potrebbe entrare in gioco, esplorare, leggere tutto sulla macchina, decidere di alterare le informazioni chiave, installare timebombs, utilizzare la macchina come parte di una botnet, raccogliere le password per i siti che potresti aver visitato ... qualsiasi cosa, davvero, e non hai modo di saperlo, senza i log.

In breve, considera la macchina compromessa, dimentica gli probabili scenari e considera il peggiore. Pulisci la macchina, reinstalla i file multimediali conosciuti, cambia tutte le password , ecc.

    
risposta data 19.12.2015 - 02:11
fonte

Leggi altre domande sui tag