¿Qué puede hacer un hacker cuando tiene acceso físico a un sistema?

8

Quiero decir, soy un chico técnico aquí en mi región (no un hacker ...). Cuando me siento frente a la PC de otra persona, noto un poco de miedo acerca de lo que puedo hacer en el sistema.

Es obvio que no comprometeré / robaré / etc el sistema ... Uno de mis trabajos es arreglar sistemas y soy un "tipo de ética" en este asunto.

Pero no conozco el carácter, la ética, de otros tipos de tecnología que arreglan otras PC. En realidad, una gran parte de mi ingreso proviene de clientes que tienen problemas con la PC, que envían a otros técnicos; esos muchachos "arreglan" la PC, y un tiempo después de que el cliente me está llamando a la puerta, pidiendo ayuda porque el otro "destruyó" el sistema.

Pero ahora, tengo curiosidad. ¿Qué puede hacer un pirata informático (previamente preparado) cuando obtiene acceso físico a un sistema? Puedo pensar en 3 "niveles" diferentes de recursos que un hacker puede usar en esas situaciones, eso cambiará lo que hará:

  1. Puede poseer una Unidad USB con programas para comprometer el sistema;
  2. Tiene acceso a internet de banda ancha en el sistema de destino, y puede hacer una descarga rápida de un programa;
  3. No tiene unidades USB ni acceso a Internet , por lo que intentará poner en peligro el sistema utilizando algún recurso o programa operativo del sistema incorporado;

Sé que el alcance puede ser enorme, por lo que consideremos que el pirata informático intentará facilitar el acceso desde Internet , por lo que tendrá acceso remoto a la PC victm cuando esté en la PC de su hogar.

¿Qué puede hacer él en esos puntos? ¿Cómo debo inspeccionar el sistema sobre ese tipo de ataque?

    
pregunta Click Ok 28.08.2012 - 02:57
fuente

3 respuestas

11

Para centrarse en sus casos individuales:

  1. Absolutamente todo lo que quiera. Malware, rootkits, puertas traseras, keyloggers, todo el shebang.
  2. Una vez más, absolutamente cualquier cosa. Es exactamente lo mismo que tener el disco USB, porque puede configurar un sitio donde puede descargar los archivos que necesita, o simplemente descargarlos de sitios existentes.
  3. Limpie el disco, elimine archivos del sistema, escriba archivos por lotes, modifique los servicios del sistema, modifique la configuración, etc. La lista es infinita. Hay muchas cosas maliciosas que puedes hacer en un sistema sin herramientas adicionales. Sería trivial escribir un VBScript para verificar la fecha actual, compararla con un valor fijo y luego romper el sistema si las fechas coinciden. Colóquelo en una tecla de ejecución y tendrá un negocio de repetición instantánea.

En los dos primeros casos, el malware le permite tener acceso completo a la caja en cualquier momento. En el tercer caso, sigue siendo trivial. Podría configurar una cuenta oculta en la máquina, que luego usará para el escritorio remoto. Él podría configurar la asistencia remota. Dependiendo de la versión de Windows que esté ejecutando el usuario, podría configurar servicios de terminal. Incluso podría desinstalar parches de seguridad para habilitar una vulnerabilidad de ejecución remota de código y luego explotarla desde casa. Realmente no es tan difícil hacer que una máquina como esa sea remotamente comprometible.

    
respondido por el Polynomial 28.08.2012 - 08:12
fuente
1

Como se mencionó anteriormente, en mi experiencia con mi tipo de acceso, casi cualquier cosa puede ser física o remota, destrúyala si no está 100% seguro de que el hacker no haya obtenido acceso remoto a la raíz.

Tiendo a encontrar en mi tiempo personal a un amigo o compañero con la idea de haber sido abofeteado con un kit de root como una especie de "juego del gato y el ratón" de diversión. Pero en el mismo nivel, es solo para que el sombrero blanco en mí aprenda los medios de acceso y cómo se obtuvo el nivel de permisos.

Dicho esto, en mi experiencia profesional, sería lo primero que pensaba en mantener wirehark, o nmap del sistema y en asegurarme de tener un servidor de respaldo en el sitio, para ver si los respaldos han sido infectado o violado.

Para terminar, si el pirata informático tiene intenciones maliciosas y tiene acceso FÍSICO al sistema, bajo su propio riesgo, intente recuperar datos, pero descárguelo, la recuperación puede ser mucho más allá de una opción en ese momento .

    
respondido por el Keegan Black 28.08.2012 - 05:11
fuente
1

En general, la seguridad física es una parte crítica (posiblemente la más crítica) de la seguridad de TI. Al final del día, casi cualquier cosa puede ser anulada con acceso local al hardware. El cifrado aún ofrece cierta protección, pero los datos cifrados se pueden extraer directamente y si se mueven sin cifrar en el hardware, si se invierten recursos suficientes, a menudo se pueden aprovechar los buses del sistema. (Así es como se rompió el DRM de la Xbox original). Efectivamente, en un sistema en ejecución, el resto de la seguridad carece de sentido si no se mantiene la seguridad física, ya que todos los accesos podrían ser monitoreados o alterados.

    
respondido por el AJ Henderson 30.08.2012 - 22:18
fuente

Lea otras preguntas en las etiquetas