¿Se puede infectar solo al estar conectado a Internet (nada más)?

Hace unos años (2003), había un gusano llamado "Blaster" (o MSBlast, Lovesan, etc. - lea más en enlace ). Se propaga mediante el uso de una vulnerabilidad en un servicio RPC, que se ejecuta en Windows XP y 2000.

En el momento en que era "peor", podría infectarse en cuestión de minutos, si no hubiera configurado un servidor de seguridad. Recuerdo haber instalado un Windows XP limpio, ponerlo en línea (sin un firewall) y verlo infectarse en cuestión de minutos.

Entonces, para responder a su pregunta: sí, si está conectado a Internet, es vulnerable siempre que haya puertos abiertos con servicios escuchándolos (y existe una vulnerabilidad en el software). ).

Así que definitivamente puedes infectarte con solo estar en línea y no hacer nada. Recuerde, incluso si usted no está haciendo nada, su computadora todavía está conectada a varios servicios en línea y utilizando Internet.

Es posible que se pueda infectar si se puede acceder a su computadora directamente desde Internet ( sin NAT, enrutador, etc.). Pero el atacante deberá encontrar una vulnerabilidad en la pila TCP de su sistema operativo que le permita ejecutar código arbitrario en la máquina (por ejemplo, enviando un paquete con formato incorrecto), y esos son muy poco común hoy en día.

También puede haber una vulnerabilidad en algunos servicios del sistema que están escuchando (Windows tiene algunos de estos). Así es como se propagan los principales gusanos de Internet (por ejemplo, Sasser, Conficker). También requeriría que su computadora sea accesible directamente desde Internet (sin firewall o NAT) o que su enrutador sea pirateado.

Pero la probabilidad de ambas es tan baja que no debería preocuparse.

Corto: No descargues nada y estarás bien.

Largo: Si no está descargando ningún archivo de Internet, casi no existe la posibilidad de que su computadora se infecte.
Si no está descargando ningún archivo de Internet y solo le temen los virus que afectan directamente a su computadora, la única manera de infectar su computadora es a través de un puerto abierto.
La forma de proteger los puertos abiertos es usar un antivirus o un firewall para bloquearlos.
Si no está descargando nada a su computadora, entonces los puertos abiertos en su máquina estarán protegidos si utiliza las actualizaciones de Windows con regularidad.

Si desea verificar sus puertos abiertos, tiene varias formas:
1. Use Nmap en su máquina Linux para asignar los puertos de la máquina de Windows.
2. En Windows puede escribir netstat -ab | more en su línea de comando.

Editar:

Si está conectado a Internet, entonces sí, es posible.

Cuando dices

  

conectado a Internet (sin hacer nada más)

¿Navega por sitios web? ¿Recibir correo? ¿Se conecta a cualquier otra computadora desde Internet?

Si haces cualquiera de estas cosas, todavía puedes infectarte.

Si no haces ninguna de estas cosas, todavía es posible (aunque es poco probable).

Y si no haces nada de esto, tengo que preguntarte por qué estás conectado a Internet. Si solo usa la computadora para descargar actualizaciones, le recomiendo que apague la computadora cuando no la esté descargando. Eso disminuirá las posibilidades de ser atacado.

Es posible por varias razones, pero tu intuición es fundamentalmente correcta, porque el problema fundamental es siempre la "superficie de ataque". Y la seguridad de la red consiste en minimizar la superficie de ataque (y bloquear la superficie que debe quedar expuesta).

Es probable que tenga una combinación de enrutador / firewall en su "borde" que sirva como puerta de enlace predeterminada para su LAN y esté conectada a un módem que conecte o desvíe el tráfico hacia / desde el borde. Estos dispositivos se ejecutan en software, como cualquier otro nodo de red, y por lo tanto son tan buenos como el software en el que se basan. Debido a la NAT o la traducción de la dirección de red, su PC no es accesible desde Internet, lo que significa que el tráfico entrante debe pasar primero por su borde y filtrarse, enrutarse y filtrarse nuevamente.

NAT puede dar una falsa sensación de seguridad porque se siente como si estuvieras "escondido" detrás del borde, y en cierto sentido lo eres. Pero, cuando abre una conexión al exterior, el exterior debe poder volver a ingresar el tráfico, por lo que su dispositivo NAT (su borde) normalmente abrirá un puerto aleatorio (generalmente un número muy alto) cuando realice la solicitud. para que pueda volver a usted. Las solicitudes entrantes generalmente están bloqueadas de manera predeterminada porque no hay una regla NAT para enviar tráfico a su nodo, pero un atacante que obtiene acceso al borde a través del shell o (lamentablemente) la herramienta de configuración web puede agregar ese tipo de regla o configurar su PC como el host DMZ.

Por lo tanto, el atacante motivado buscaría en una determinada subred y / o rango de direcciones IP para los nodos que parecen estar ejecutando software vulnerable. Tal vez compró su dispositivo Edge en 2010, momento en el que se cargó con la última versión de CentOS o algo así. Ahora, cinco años después, quizás el fabricante y / o usted no se haya mantenido actualizado con los parches de CentOS. El atacante haría algo como esto:

1. Elija un rango de objetivos para evaluar
2. Busque nodos que respondan de alguna manera (ICMP, TCP, lo que sea. Cualquier cosa es algo).
3. En esos nodos, intente tomar huellas dactilares o averiguar qué software están ejecutando en cada protocolo + puerto expuesto.
4. Busque las huellas digitales que se encuentran y coincida con las vulnerabilidades conocidas (CentOS 2.1, Apache 5.0.28 o inferior, etc.)
5. Intenta explotar para obtener acceso elevado
6. Si tiene éxito, configure una puerta trasera silenciosamente
7. Inspeccione los nodos INTERNOS (LAN) usando las herramientas de su elección, divida la salida de todo el tráfico al atacante (es decir, el hombre en el centro), el DNS envenenado, etc.

Una vez que el atacante tiene acceso a tu borde, puede doler mucho. Por ejemplo, pueden interceptar solicitudes de DNS (nombres de dominio a direcciones IP) para señalarle a sus servidores. Esta es la razón por la cual SSL existe, pero podrían encontrar fácilmente una manera de engañarlo haciendo esto para los sitios que no son SSL. ("Póngase en contacto con el soporte técnico de Time Warner ...")

También podrían registrar silenciosamente todo su tráfico para analizar y analizar.

Y, por supuesto, podrían intentar repetir el mismo procedimiento clásico descrito anteriormente en su red interna y encontrar su nodo simplemente sentado allí. Desde allí, su nodo tiene una superficie de ataque expandida porque, de manera predeterminada, Windows trata el tráfico de LAN con más respeto, por lo que se exponen más servicios, como NetBIOS y uso compartido de archivos o, en los días anteriores, RPC. Quiero decir, el cielo es el límite.

Esto sería un gran esfuerzo, por lo que, con toda probabilidad, estarás bien si te limitas a parchear en el registro. Pero eso incluye parchear tu borde y cualquier cosa intermedia.

En primer lugar, teóricamente es posible cualquier cosa no trivial.

Ahora, a la practicidad.

Es sumamente improbable que te infectes en esta situación. El enrutador es como un sistema telefónico en una oficina: en lugar de los "números de teléfono" globales (direcciones IP), sus máquinas internas solo obtienen "extensiones" (direcciones internas, no enrutables). No hay una forma directa para que una máquina externa se dirija a una interna.

Sin embargo, si el enrutador se pusiera en peligro, eso sería una "base avanzada", por así decirlo, facilitando un ataque en varias etapas. Afortunadamente, este nivel de sofisticación es prácticamente inexistente en el malware en la actualidad, y su superficie de ataque es muy pequeña en esta configuración. Asegurarse de que la "administración remota" esté desactivada en el enrutador y que no haya una configuración de DMZ hará que sea prácticamente (si no realmente) imposible que su máquina con Windows se vea comprometida.

Esto, por supuesto, supone que lo que solo haces es acceder a Windows Update. Hay es un tipo de ataque llamado "Intoxicación de caché de DNS"; alguien podría, en teoría, conseguir que te conectes a una máquina diferente a la que pretendes usar este u otro tipo de ataques (man-in-the-middle). Pero ...

Ahí es donde las firmas digitales y SSL entran en juego. Permiten tener una seguridad razonable de extremo a extremo.

Todavía no lo hace imposible. Digamos que el certificado de firma de código de Microsoft se ve comprometido. El atacante puede firmar archivos binarios que su máquina aceptará y ejecutará con gusto. Incluso podría ser roto en lugar de robado. Para el caso, podría ser que el posible atacante tenga acceso a una computadora cuántica; entonces, todas las apuestas están apagadas.

En resumen ... NUNCA estás 100% seguro a menos que desconectes físicamente el cable de enlace ascendente. Pero en la situación que describe, probablemente esté en el rango de 99,999% aproximadamente. De lo contrario ... no existe la seguridad "perfecta".

Al simplemente estar conectado a Internet, existe el riesgo de ser vulnerado.

Este riesgo se puede mitigar con actualizaciones de software y algunos productos de seguridad (antimalware, firewall, sistemas de detección de intrusos, etc.).

En una configuración ideal, el riesgo es muy bajo. Estaría ejecutando detrás de uno o dos enrutadores en un NAT, con un sistema operativo completamente actualizado, sin servicios abiertos a la red pública ... y sin reenvío de puertos de todos modos.

Para llegar a usted en esa situación, primero deben comprometer los enrutadores.

Nuevamente, si está conectado directamente al ISP (no detrás de un NAT ni un proxy) el riesgo es mayor.

En teoría, el atacante necesitará una vulnerabilidad para una vulnerabilidad en su sistema en particular. Y las posibilidades de que un atacante sea elegido al azar para saber qué vulnerabilidades tiene son bajas ...

Pero! Hay dos escenarios en los que este no es el caso:

• Si eres un objetivo de un tratamiento persistente, encontrarán una vulnerabilidad tarde o temprano. Cuando lo hagan, será una carrera para ver si lo parcheas antes de que lo exploten.
• Si los atacantes buscan una víctima aleatoria *, buscarán hosts que sean vulnerables a los ataques que tienen, en lugar de buscar ataques para las vulnerabilidades que tiene. Y esa búsqueda será probablemente automatizada. Con suficiente tiempo y suficientes hazañas, te atraparán.

*: pueden buscar hosts para agregar a una red de bots, por ejemplo.

Todo esto empeora si tiene servicios particularmente vulnerables instalados ... o simplemente mal configurados. Por ejemplo, un servidor web, un motor de base de datos o un servicio de intercambio de archivos pueden ser objetivos.

Y, finalmente, apenas estás "haciendo nada más". A medida que lo recuerdas, descargarías actualizaciones ... tal vez tu DNS se envenene y comience a dirigirte a un servidor de actualizaciones falso (que puede parecer que tiene certificados y firmas digitales válidos debido a un ataque de colisión en los algoritmos hash utilizados para crear) los del autor real). Y luego te infectas de las actualizaciones.

Además, ¿qué más está instalado en su máquina? ¿Tienes ... no sé ... un actualizador de Java? Flash actualizador? Chrome actualizador? Acrobat Reader actualizador? etc ... cualquiera de esos podría ser usado para lastimarte.

Además, muchos usuarios sincronizarán archivos con un servidor remoto, a través de Dropbox, OneDrive, Google Drive, etc ...

¿Recordaste desactivar la asistencia remota? ¿Tiene un servicio conveniente de Team Viewer funcionando todo el tiempo? ¿Qué le parece la herramienta que viene con los controladores para su adaptador de audio o video que buscará actualizaciones de controladores?

Etc ...

Editar: no, no estoy diciendo que no debas actualizar. Es un mayor riesgo no actualizarse y quedarse atascado con una versión anterior para la cual habrá ataques conocidos que continuarán funcionando para siempre porque nunca se actualiza. Es mejor correr el riesgo de actualizar, incluso teniendo en cuenta las fallas ocasionales de la fuente legítima.

Edición 2: sí, su enrutador puede verse comprometido. Heck, incluso "mío" probablemente está comprometido y ni siquiera sé. Esto se debe a que "mi" enrutador es el IPS y no me dan acceso total a él. Es por eso que tengo un segundo enrutador detrás, ¡y este es realmente mío! Puedo establecer un wifi más seguro, también puedo ver sus registros de actividad, mantener una copia de seguridad de su sistema e incluso puedo actualizar su firmware (una vez ya lo hice).

Edición 3: Por cierto, solo con estar conectado a Internet es cómo funcionan los honeypots. Por supuesto, los honeypots suelen ser intencionalmente vulnerables. Al mantener su máquina actualizada usted está mitigando el riesgo, pero no eliminándolo. Siempre habrá un riesgo residual ... la única forma de eliminar realmente el riesgo es desconectarse.

Si solo está conectado a Internet (por lo que no está descargando nada), su computadora no puede estar infectada, pero el atacante puede acceder a su computadora a través de puertos abiertos.

Otro problema será si ya tiene un virus en la computadora (como malware), puede usar la conexión para enviar datos (por ejemplo, contraseñas) al atacante.

Por lo tanto, no hay posibilidad de infectarse, sin embargo, el atacante puede usar este estado para atacar su computadora o virus (ya dentro) para enviar datos.