Mis certificados locales pueden haber sido comprometidos. ¿Qué hacer ahora? [cerrado]

3

Un atacante accedió a mi disco duro. Me preocupa que mis certificados raíz se hayan visto comprometidos o que se haya instalado un certificado fraudulento para realizar ataques MiTM contra mis conexiones SSL a través de mi enrutador o ISP. Al revisar mis registros de eventos, parece que se instaló / actualizó un certificado cuando estaba lejos de mi computadora (estaba en modo de suspensión). ¿Debo borrar todos los certificados y regenerarlos? ¿Es esto posible o necesario?

Además, ¿existen indicios de que la recuperación de datos se haya realizado en un disco duro? Noté que muchos de los archivos de mi sistema han modificado los tiempos que no se pueden explicar porque estaba lejos de mi computadora en esos momentos. Ejecuté un escaneo de malware y rootkit y todo parece estar bien. El firewall también parece estar bien.

    
pregunta victim 25.05.2017 - 19:59
fuente

1 respuesta

6

Si cree que un atacante ha tenido acceso no autorizado a su sistema, la única forma de asegurarse de haber eliminado la infección es reconstruir el sistema completamente desde medios confiables.

Si bien puede haber visto una entrada en el registro de eventos relacionada con los certificados, no hay forma de saber si se han realizado otros cambios que no están en sus registros.

    
respondido por el Rоry McCune 25.05.2017 - 21:26
fuente

Lea otras preguntas en las etiquetas