web-dev-qa-db-fra.com

Est-il possible d'être infecté en restant uniquement connecté à Internet (rien d'autre)?

J'ai un routeur et je suis le seul utilisateur. J'ai un ordinateur avec Linux et une tablette avec Windows 8.1.

En raison de quelques problèmes, j'ai dû réinstaller Windows sur la tablette. Étant donné que je suis un peu paranoïaque à propos des virus et des logiciels malveillants, je voudrais demander:

Même si je n'ai utilisé Internet que pour télécharger les mises à jour Windows et obtenir le logiciel antivirus sur le site officiel (en utilisant IE), est-il possible d'être infecté uniquement en restant connecté à Internet (en ne faisant rien d'autre)?

Notez également que je n'ai jamais connecté l'ordinateur et la tablette en même temps.

J'ai lu quelque part ce qui est possible pour infecter le routeur, donc pour éviter cela, je fais presque tout avec attention.

24
Nori-chan

Il y a quelques années (2003), il y avait ce ver appelé "Blaster" (ou MSBlast, Lovesan etc. - en savoir plus sur https://en.wikipedia.org/wiki/Blaster_ (computer_worm) ). Il s'est propagé en utilisant une vulnérabilité dans un service RPC, fonctionnant sous Windows XP et 2000.

Au moment où c'était "pire", vous pourriez être infecté en quelques minutes si vous n'aviez pas de pare-feu installé. Je me souviens d'avoir installé un Windows XP propre, de le mettre en ligne (sans pare-feu) et de le regarder s'infecter en quelques minutes.

Donc, pour répondre à votre question: Oui, si vous êtes connecté à Internet, vous êtes vulnérable aussi longtemps qu'il y a des ports ouverts avec des services qui les écoutent (et il y a une vulnérabilité dans le logiciel).

Vous pouvez donc être infecté en étant simplement en ligne et en ne faisant rien. N'oubliez pas, même si vous êtes ne faites rien, votre ordinateur est toujours connecté à divers services en ligne et en utilisant Internet.

33
user22866

Il peut être possible d'être infecté si votre ordinateur est directement accessible depuis Internet (sans NAT, routeur, etc.). Mais l'attaquant devra trouver une vulnérabilité dans la pile TCP de votre système d'exploitation qui lui permettrait d'exécuter du code arbitraire sur la machine (par exemple en envoyant un paquet mal formé) ), et ce sont très rares de nos jours.

Il peut également y avoir des exploits dans certains services système qui écoutent (Windows en a quelques-uns). C'est ainsi que les principaux vers Internet se propagent (par exemple Sasser, Conficker). Il faudrait également que votre ordinateur soit directement accessible depuis Internet (pas de pare-feu ou NAT) ou que votre routeur soit piraté.

Mais la probabilité des deux est si faible que vous ne devriez pas vous inquiéter.

5
prq

Court: Ne téléchargez rien et tout ira bien.

Long: Si vous ne téléchargez pas tout fichier depuis Internet, il n'y a presque aucune possibilité que votre ordinateur soit infecté.
.
La façon de sécuriser les ports ouverts consiste à utiliser un antivirus ou un pare-feu pour les bloquer.
Si vous ne téléchargez rien sur votre ordinateur, les ports ouverts de votre ordinateur seront sécurisés si vous utilisez régulièrement les mises à jour Windows.


Si vous voulez vérifier vos ports ouverts, vous avez plusieurs moyens:
1. Utilisez Nmap sur votre machine Linux pour mapper les ports de la machine Windows.
2. Dans Windows, vous pouvez taper netstat -ab | more dans votre ligne de commande.

1
HackinGuy

Éditer:

Si vous êtes connecté à Internet, alors oui, c'est possible.

Quand tu dis

connecté à Internet (ne rien faire d'autre)

Parcourez-vous des sites Web? Recevoir un e-mail? Se connecter à un autre ordinateur à partir d'Internet?

Si vous faites l'une de ces choses, vous pouvez toujours être infecté.

Si vous ne faites rien de tout cela, c'est toujours possible (bien que peu probable).

Et si vous ne faites rien de tout cela, je dois vous demander pourquoi vous êtes connecté à Internet. Si vous n'utilisez l'ordinateur que pour télécharger des mises à jour, je vous recommande d'éteindre l'ordinateur lorsque vous ne téléchargez pas. Cela réduira les chances d'être attaqué.

1
Ron Trunk

Le simple fait d'être connecté à Internet risque de devenir vulnérable.

Ce risque peut être atténué avec des mises à jour logicielles et certains produits de sécurité (anti-programme malveillant, pare-feu, systèmes de détection d'intrusion, etc ...).

Dans un cadre idéal, le risque est très faible. Vous courriez derrière un ou deux routeurs sur un NAT, avec un système d'exploitation entièrement mis à jour, aucun service ouvert au réseau public ... et aucun transfert de port de toute façon.

Pour vous aider dans cette situation, ils doivent d'abord compromettre les routeurs.


Là encore, si vous êtes connecté directement au FAI (pas derrière un NAT ni un proxy) le risque est plus élevé.

En théorie, l'attaquant aura besoin d'un exploit pour une vulnérabilité de votre système particulier. Et les chances d'un attaquant choisi au hasard de connaître les vulnérabilités que vous avez sont faibles ...

Mais! il y a deux scénarios dans lesquels ce n'est pas le cas:

  • Si vous êtes la cible d'un traitement persistant, ils trouveront tôt ou tard une vulnérabilité. Quand ils le feront, ce sera la course pour voir si vous le corrigez avant de l'exploiter.
  • Si les attaquants recherchent une victime aléatoire *, ils rechercheront des hôtes vulnérables aux exploits qu'ils ont, au lieu de rechercher des exploits pour les vulnérabilités que vous avez. Et cette recherche sera probablement automatisée. Avec suffisamment de temps et suffisamment d'exploits, ils vous obtiendront.

*: ils peuvent par exemple rechercher des hôtes à ajouter à un botnet.


Tout cela est encore pire si vous avez installé des services particulièrement vulnérables ... ou simplement mal configurés. Par exemple, un serveur Web, un moteur de base de données ou un service de partage de fichiers peuvent être ciblés.


Et enfin, vous ne "faites rien d'autre". Au fur et à mesure que vous recon, vous téléchargeriez des mises à jour ... peut-être que votre DNS est empoisonné et qu'il commence à vous diriger vers un faux serveur de mise à jour (qui peut même sembler avoir des certificats et des signatures numériques valides en raison d'une attaque par collision sur les algorithmes de hachage utilisés pour créer ceux du véritable auteur). Et puis vous êtes infecté par les mises à jour.

De plus, quoi d'autre est installé sur votre machine? Avez-vous ... Je ne sais pas ... un Java? Programme de mise à jour Flash? Chrome? Programme de mise à jour Acrobat Reader? Etc ... n'importe lequel d'entre eux pourrait être utilisé pour vous nuire.

De plus, de nombreux utilisateurs synchroniseront des fichiers avec un serveur distant, via Dropbox, OneDrive, Google Drive, etc ...

Avez-vous pensé à désactiver l'assistance à distance? Avez-vous un service Team Viewer pratique fonctionnant tout le temps? Que diriez-vous de cet outil fourni avec les pilotes de votre adaptateur audio ou vidéo qui recherchera les mises à jour des pilotes?

Etc...


Edit: non, je ne dis pas qu'il ne faut pas mettre à jour. C'est un risque plus élevé de ne pas mettre à jour et d'être coincé avec une ancienne version pour laquelle il y aura des exploits connus qui continueront de fonctionner pour toujours parce que vous ne mettez jamais à jour. Il est préférable de prendre le risque de mise à jour, même en considérant la mise à jour occasionnelle des défauts de la source légitime.


Edit 2: oui, votre routeur peut être compromis. Heck, même "le mien" est probablement compromis et je ne sais même pas. C'est parce que "mon" routeur est le IPS et ils ne me donnent pas un accès complet. C'est pourquoi j'ai un deuxième routeur derrière, et celui-ci est vraiment le mien! I peut définir un wifi plus sécurisé dessus, je peux aussi voir ses journaux d'activité, garder une sauvegarde de son système, et je peux même mettre à jour son firmware (je l'ai déjà fait une fois).


Edit 3: Soit dit en passant, en étant simplement connecté à Internet, c'est ainsi que fonctionnent les pots de miel. Bien sûr, les pots de miel sont généralement intentionnellement vulnérables. En gardant votre machine à jour, vous atténuez le risque, mais ne l'éliminez pas. Il y aura toujours un risque résiduel ... la seule façon de supprimer réellement le risque est d'être déconnecté.

1
Theraot

C'est possible pour plusieurs raisons - mais votre intuition est fondamentalement correcte, car le problème fondamental est toujours la "surface d'attaque". Et la sécurité du réseau consiste à minimiser la surface d'attaque (et à verrouiller la surface qui doit être exposée).

Vous avez probablement un routeur/pare-feu combiné à votre "Edge" qui sert de passerelle par défaut pour votre LAN et est connecté à un modem qui ponte ou achemine le trafic vers/depuis l'Edge. Ces appareils fonctionnent sur des logiciels, comme tout autre nœud de réseau, et ne sont donc aussi bons que les logiciels sur lesquels ils s'appuient. En raison du NAT ou de la traduction des adresses réseau, votre PC n'est pas adressable depuis Internet, ce qui signifie que le trafic entrant doit d'abord traverser votre Edge et être filtré, routé et filtré à nouveau.

NAT peut donner un faux sentiment de sécurité, car on a l'impression que vous vous "cachez" derrière l'Edge, et dans un sens vous l'êtes. Mais, lorsque vous ouvrez une connexion vers l'extérieur, l'extérieur doit pouvoir récupérer le trafic, et donc votre NAT périphérique (votre Edge) ouvrira généralement un port aléatoire (généralement un nombre très élevé) lorsque vous placez la demande afin qu'elle puisse vous revenir. Les demandes entrantes sont généralement bloquées par défaut car il n'y a pas de règle NAT pour envoyer du trafic vers votre nœud, mais un attaquant qui accède à Edge via Shell ou (malheureusement) l'outil de configuration Web peut ajouter ce type de règle, ou définir votre PC comme hôte DMZ.

Ainsi, l'attaquant motivé chercherait dans un certain sous-réseau et/ou une plage d'adresses IP des nœuds qui semblent exécuter des logiciels vulnérables. Peut-être que vous avez acheté votre appareil Edge en 2010, date à laquelle il a été chargé avec la dernière version de CentOS ou quelque chose. Maintenant, cinq ans plus tard, peut-être que le fabricant et/ou vous ne vous êtes pas mis à jour avec les correctifs CentOS. L'attaquant ferait quelque chose comme ceci:

  1. Choisissez une gamme de cibles à évaluer
  2. Recherchez les nœuds qui répondent de quelque façon que ce soit (ICMP, TCP, peu importe. Tout est quelque chose.)
  3. Sur ces nœuds, essayez de les identifier ou de déterminer les logiciels qu'ils exécutent sur chaque protocole + port exposé.
  4. Recherchez les empreintes digitales trouvées et correspondent aux vulnérabilités connues (CentOS 2.1, Apache 5.0.28 ou inférieur, etc.)
  5. Essayez d'exploiter pour obtenir un accès élevé
  6. En cas de succès, installez une porte dérobée tranquillement
  7. Inspectez les nœuds INTERNES (LAN) à l'aide des outils de votre choix, divisez la sortie de tout le trafic vers l'attaquant (c'est-à-dire l'homme au milieu), empoisonnez le DNS, etc.

Une fois que l'attaquant a accès à votre Edge, cela peut vraiment faire mal. Par exemple, ils peuvent intercepter des requêtes DNS (noms de domaine vers adresses IP) pour vous diriger vers leurs serveurs. C'est pourquoi SSL existe, mais ils pourraient facilement trouver un moyen de vous tromper en faisant cela pour les sites non SSL. ("Veuillez contacter le support technique Time Warner ...")

Ils pourraient également enregistrer tranquillement tout votre trafic à filtrer et à analyser.

Et bien sûr, ils pourraient essayer de répéter la même procédure classique décrite ci-dessus sur votre réseau interne et trouver votre nœud juste assis là. À partir de là, votre nœud a une surface d'attaque étendue car Windows traite par défaut le trafic LAN avec plus de respect - donc plus de services sont exposés, comme NetBIOS et le partage de fichiers ou plus anciennement, RPC. Je veux dire, le ciel est la limite.

Ce serait beaucoup d'efforts, donc selon toute vraisemblance, vous serez d'accord si vous vous en tenez à corriger le reg. Mais cela inclut le patch de votre Edge et tout ce qui se trouve entre les deux.

1
tacos_tacos_tacos

D'abord et avant tout, tout ce qui n'est pas trivial est théoriquement possible.

Maintenant, passons à l'aspect pratique.

Il est extrêmement improbable que vous soyez infecté dans cette situation. Le routeur est un peu comme un système téléphonique dans un bureau: au lieu de "numéros de téléphone" globaux (adresses IP), vos machines internes ne reçoivent que des "extensions" (adresses internes non routables). Il n'y a aucun moyen direct pour une machine externe d'adresser une machine interne.

Cependant, si le routeur devenait compromis, ce serait une "base avancée", pour ainsi dire, facilitant une attaque en plusieurs étapes. Heureusement, ce niveau de sophistication est pratiquement inconnu dans les logiciels malveillants aujourd'hui, et votre surface d'attaque est très petite dans cette configuration. S'assurer que "l'administration à distance" est désactivée dans le routeur et qu'il n'y a pas de configuration DMZ) rendra pratiquement (sinon réellement) impossible pour votre machine Windows d'être compromise.

Ceci, bien sûr, suppose que la chose niquement que vous faites est d'accéder à Windows Update. Il est un type d'attaque appelé "empoisonnement du cache DNS;" quelqu'un pourrait théoriquement vous amener à vous connecter à une machine différente de celle que vous envisagez d'utiliser cette attaque ou d'autres (homme au milieu). Mais...

C'est là que les signatures numériques et SSL entrent en jeu. Ils permettent d'avoir une sécurité de bout en bout raisonnable.

Cela ne rend toujours pas cela impossible. Supposons que le certificat de signature de code de Microsoft soit compromis. L'attaquant peut alors signer des fichiers binaires que votre machine acceptera et exécutera avec plaisir. Il pourrait même être craqué plutôt que volé. D'ailleurs, il se pourrait que l'attaquant potentiel ait accès à un ordinateur quantique; puis, tous les paris sont désactivés.

En bref ... vous n'êtes JAMAIS sûr à 100% sauf si vous déconnectez physiquement le câble de liaison montante. Mais dans la situation que vous décrivez, vous êtes probablement de l'ordre de 99,999%. Sinon ... il n'y a pas de sécurité "parfaite".

1
Barry J. Burns

Si vous êtes juste connecté à Internet (donc vous ne téléchargez rien), votre ordinateur ne peut pas être infecté, mais l'attaquant peut accéder à votre ordinateur via un port ouvert.

Un autre problème sera que si vous avez déjà un virus sur l'ordinateur (comme un malware), il peut utiliser la connexion pour envoyer des données (par exemple des mots de passe) à l'attaquant.

Il n'y a donc aucune possibilité d'être infecté, cependant, l'attaquant peut utiliser cet état pour attaquer votre ordinateur ou un virus (déjà à l'intérieur) pour envoyer des données.

0
Vilican