il fatto che la connessione torrificata protegga dai MITM non dipende dalla bucabilità del sistema
Domanda Exploit Windows 10
- Autore discussione android_secure
- Data d'inizio
- Stato
Mi sono espresso male, intendevo dire che se il sistema è bucabile, l'attaccante può direttamente bucare la macchina anche se l'utente usa tor, giusto?
Usare tor o vpn è lo stesso per proteggersi dall'attacco MITM?
dipende dalla falla che vuole sfruttare
Messaggio unito automaticamente:
a mio parere, no. credo che sia più sicuro tor dopo lo scandalo su nordVPN
Intendevo dire se si subisce un attacco exploit è uguale usare Firefox o tor, a meno che non sia Firefox ad avere la falla exploittabile, giusto? (Che anche in questo caso sarebbe rara quotata migliaia e migliaia di euro escluse diffusioni, no?)
Il massimo che si può fare contro un attacco exploit è tenere il sistema aggiornato, tenere attivi solo i servizi fondamentali e monitorare il traffico confermando ogni connessione?
si, se l'exploit prende il controllo del pc, usare un browser piuttosto che un altro non cambia
Messaggio unito automaticamente:
praticamente si
Se l'exploit passa ma senza permessi di amministratore,
usare tor può evitare che l'attaccante osservi quello che potrebbe con Firefox o non cambia nulla?
L'attaccante, da utente, può per esempio fare screen, vedere i tasti digitati e ascoltare il microfono o modificare un file txt sul desktop?
Se un servizio è autorizzato per scaricare file dall'IP/server/fornitore "A",
l'attaccante può fingersi "A" e far passare da li il malware?
Per esempio la ricerca automatica dei driver o gli aggiornamenti del PC?
Per essere controllato dall'attaccante un malware richiede per forza che ci sia almeno una porta in ingresso aperta?
Se la porta 80 è impostata solo per firefox.exe e le modifiche a firefox.exe sono blindate,
un malware molto sofisticato ma senza controllo totale del pc, può comunque passare per la porta 80?
Noto varie connessioni di questo tipo
forse è una domanda elementare, io sono 192.168.1.248, a cosa equivale il 192.168.1.255 se nella LAN c'è solo un PC connesso?
se per malware intendi backdoor,rootkit o RAT allora si, e non solo: la porta deve essere anche in uscita, altrimenti l'attaccante non riceve risposte dal malware
Messaggio unito automaticamente:
non capisco cosa intendi
La porta in entrata eventualmente serve eventualmente solo per farlo entrare e/o istruirlo,
se per ipotesi è già dentro il sistema gli basta solo quella in uscita per "consegnare" giusto?
Il malware può farsi strada su una porta in uscita designata solo per un programma, tipo la 80 per firefox.exe?
Noto ogni tanto connessioni provenienti dal 192.168.1.248 (il mio PC nella LAN, unico connesso)
al tipo 192.168.1.255
quest'ultimo IP a cosa corrisponde?
no, anche in entrata, altrimenti chi controlla il malware non può dargli input
Messaggio unito automaticamente:
no, i rat sono programmati per collegarsi ad una sola porta
Messaggio unito automaticamente:
hai un ip statico o dinamico?
Ultima modifica:
Un IP pubblico dinamico dovrebbe essere
Come ti ho chiesto nell'altro topic, anche se metti caso da Windows Firewall si bloccano (non chiudono) tutte le connessioni in entrata,
i servizi rimangono comunque in "sospeso" perché le loro porte non sono ne chiuse ne aperte, no?
Se il servizio ha la sua porta chiusa da Firewall del pc ma ha una falla allora è explottaibile
se il firewall prima del PC chiude le porte del servizio ed il servizio ha la falla, non è exploittabile
Mi sbaglio?
Che può essere quello del modem (se lo ha incorporato) oppure un router a cascata
ma l'attaccante potrebbe bucare il modem e disattivare anche il firewall a cascata, seppur più complesso immagino..
In genere questo tipo di attacchi sono comuni o rari?
nah, sono rari. disattivare il firewall non è una mossa intelligente, a meno che non vuoi farti notare
Il problema è che non tutti i modem hanno firewall incorporato.. va comprato a parte in alcuni casi
Quello fornito dal provider ha un firewall integrato ma non consente di settare le porte, è generico "on/off"
Mi pare che ci siano diversi concetti che non sono chiari quasi a nessuno in questa discussione.
1) La crittografia del disco non aiuta a proteggere i propri file dai malware, questo perchè quando il pc è acceso ed avere già inserito la password per decrittografare il disco dopo il boot, i dati non sono crittografati, se lo fossero, anche i programmi normali (e voi stessi) non potrebbero accedere ai file sul disco. Crittografare il disco serve solo per proteggersi da curiosi/ladri che vi entrano in caso e provano ad accendervi il pc.
2) Non ci sono exploit per una porta, le porte si possono paragonare alle strade, per andare da un punto A ad un punto B potete prendere la A1 come la A2 come una stradina provinciale, le vulnerabilità le può avere il punto A/B, cioè il servizio che gira dietro quella porta.
3) Potete avere il pc con più falle del mondo ma se dal router non fate il port forwarding delle porte con dietro i servizi fallati sul vostro PC nessuno vi può fare nulla, a meno che non sono nella vostra stessa rete oppure siete connessi a qualche vpn (ex: Hamachi). I problemi di servizi vulnerabili riguardano principalmente i server.
4) 192.168.1.255 è il router, non ci sono motivi per cui tu debba comunicare nulla agli altri client nella rete, controlla con ipconfig e vedrai che il gateway predefinito è quello.
5) Per proteggersi dai malware basta non scaricare schifezze e se lo fate (crack e simili) apriteli prima con sandboxie o virtualbox, ricordate che però ci sono diversi modi per vedere se state una sandbox/macchina virtuale e il malware potrebbe comportarsi di conseguenza, conviene quindi usare Process Explorer (do per scontato che usiate windows) ed attivare il check automatico degli hash dei processi aperti su virus total.
6) Il router non te lo bucano a meno che non hai dei servizi accessibili pubblicamente, ad esempio alcuni danno la possibilità di esporre online la pagina di login al router così da poterlo controllare anche quando siete fuori dalla rete, in quel caso, se qualcuno indovina/sa la password oppure trova un modo di ottenerla / ottenere una shell tramite qualsivoglia tipo di injection, possono effettivamente accedere ai servizi che girano dietro le porte sul vostro pc, ammesso che non ci sia un firewall che filtra le connessioni in entrata.
(Non ho molta voglia/tempo di spiegare in modo più approfondito, vi consiglio di informarvi un po' di più su questi argomenti comunque)
1) La crittografia del disco non aiuta a proteggere i propri file dai malware, questo perchè quando il pc è acceso ed avere già inserito la password per decrittografare il disco dopo il boot, i dati non sono crittografati, se lo fossero, anche i programmi normali (e voi stessi) non potrebbero accedere ai file sul disco. Crittografare il disco serve solo per proteggersi da curiosi/ladri che vi entrano in caso e provano ad accendervi il pc.
2) Non ci sono exploit per una porta, le porte si possono paragonare alle strade, per andare da un punto A ad un punto B potete prendere la A1 come la A2 come una stradina provinciale, le vulnerabilità le può avere il punto A/B, cioè il servizio che gira dietro quella porta.
3) Potete avere il pc con più falle del mondo ma se dal router non fate il port forwarding delle porte con dietro i servizi fallati sul vostro PC nessuno vi può fare nulla, a meno che non sono nella vostra stessa rete oppure siete connessi a qualche vpn (ex: Hamachi). I problemi di servizi vulnerabili riguardano principalmente i server.
4) 192.168.1.255 è il router, non ci sono motivi per cui tu debba comunicare nulla agli altri client nella rete, controlla con ipconfig e vedrai che il gateway predefinito è quello.
5) Per proteggersi dai malware basta non scaricare schifezze e se lo fate (crack e simili) apriteli prima con sandboxie o virtualbox, ricordate che però ci sono diversi modi per vedere se state una sandbox/macchina virtuale e il malware potrebbe comportarsi di conseguenza, conviene quindi usare Process Explorer (do per scontato che usiate windows) ed attivare il check automatico degli hash dei processi aperti su virus total.
6) Il router non te lo bucano a meno che non hai dei servizi accessibili pubblicamente, ad esempio alcuni danno la possibilità di esporre online la pagina di login al router così da poterlo controllare anche quando siete fuori dalla rete, in quel caso, se qualcuno indovina/sa la password oppure trova un modo di ottenerla / ottenere una shell tramite qualsivoglia tipo di injection, possono effettivamente accedere ai servizi che girano dietro le porte sul vostro pc, ammesso che non ci sia un firewall che filtra le connessioni in entrata.
(Non ho molta voglia/tempo di spiegare in modo più approfondito, vi consiglio di informarvi un po' di più su questi argomenti comunque)
Ultima modifica:
3: Dal router tutte le porte sono filtrate tranne una, la 3128 mi pare, l'attaccante non può "passare" da quell'unica e andare per esempio sulla porta "X" della macchina?
2: Se da uno scan risulta solo msrpc (Microsoft Windows RPC, porte 135, 49664 e altre, non disattivabile) nella macchina,
il servizio attaccabile dall'hacker è esclusivamente quello?
Se la porta è "filtrata", l'attacco può passare comunque?
Anche i servizi dietro le porte aperte udp sono attaccabili giusto?
Messaggio unito automaticamente:
Se un utente va in vacanza 2/3 mesi, quando torna a casa allora il PC è exploittabile perché non è coperto dalle patch di Windows Update, anche se c'è solo il servizio "msrpc" esposto?
Con quale comando di nmap si vede tutto ciò che è esposto?
Non succede nulla.
Ciò che si attacca è il servizio, non la porta. Normalmente si trovano exploit in servizi dopo anni che son stati rilasciati e se escono veramente presto vengono patchati.
semplicemente blinda le connessioni in uscita , usa sterjo netstalker
oppure creati un firewall che ad ogni connessione nuova in uscita la blocca
Messaggio unito automaticamente:
oppure creati un firewall che ad ogni connessione nuova in uscita la blocca
- Stato
DISCUSSIONI SIMILI
- Chiuso
-
- 3
-
- 432