Quote:
Originariamente inviato da Phoenix2005
Solitamente, in questi casi l'attacco è sferrato tramite 0day + privilege escalation, la quale, per inciso, spesso non è neppure un prerequisito al successo dell'operazione, visto che l'utenza Windows-tipo è quasi sempre amministrativa.
|
Un utenza Windows non è mai amministrativa, altrimenti UAC non esisterebbe e invece esiste...
Quote:
Originariamente inviato da Phoenix2005
...invece può partire proprio da lì se il router è, come spesso succede, una scatola “aperta” (leggasi: apparato di rete non configurato, mal configurato, non adeguatamente configurabile, Wi-Fi attivo, firmware non aggiornato/buggato…): tallines può confermarti per esperienza diretta quanto da me asserito. Poi, una volta violato il router è possibile fare tutto ed il contrario di tutto: lo stesso firmware può essere reflashato da remoto con uno maligno modificato ad hoc, in modo da rendere impossibile l'eradicazione dell'infezione se non (forse) reflashando nuovamente l'apparato con un firmware “pulito” (e questo discorso vale anche per tutti i dispositivi IoT).
Un paio di esempi...
Hacker Claims To Push Malicious Firmware Update to 3.2 Million Home Routers:
https://motherboard.vice.com/en_us/a...n-home-routers
“Cherry Blossom” progettato dalla CIA e recentemente svelato da WikiLeaks, APT che sfrutta la funzione di aggiornamento del firmware di un router per comprometterlo in maniera permanente:
http://www.repubblica.it/esteri/2017...uter-168154954
ma anche i vari Dnsmasq, RouteX, gli 0-day a profusione dei D-Link e, come se non bastasse già tutto ciò, la recente voragine di sicurezza scoperta nel protocollo WPA2. |
A me sembra ci sia molto di fantascienza nel tuo racconto e poco di effettivamente reale, non credo che il computer dell'utente e la CIA siano sullo stesso livello in questa storia.
Quote:
Originariamente inviato da Phoenix2005
Se il sistema è aggiornato ma a video si palesa più e più volte al giorno un messaggio per niente rassicurante del tipo:
smb://182-253-176-182/nsa:cve-2017-0144_EternalBlue
che nello specifico si riferisce ad un IP remoto di Jakarta (Indonesia) forse, e dico forse, anche il più tranquillo degli utenti potrebbe non avere tutti i torti ad allarmarsi...
|
No, l'utente non deve allarmarsi perchè quel messaggio al contrario è rassicurante e indica che il software di protezione funziona e ha bloccato con successo un rischio di protezione. Questo significa che il computer è protetto. Ogni qualvolta un antivirus rileva un infezione non significa che il computer è infetto ma che l'infezione è stata prevenuta con successo, per fortuna.
Quote:
Originariamente inviato da Phoenix2005
“L'utente che apre un file” è uno dei tanti possibili vettori di infezione, non certo l'unico. Gli exploit 0-day quando associati ad un malware dotato di funzionalità worm (es. EternalBlue+WannaCry) possono agganciarsi alla macchina-bersaglio in maniera totalmente autonoma tramite portscan ricorsivi, quindi senza nessun intervento da parte dell'utente. A questa tecnica si possono aggiungere innumerevoli variazioni su tema in cui ancora una volta l'utente non esegue alcunché per attivare l'infezione, ad es. tramite una vulnerabilità del browser o delle estensioni installate ma anche tramite java, js, flash, silverlight e chi più ne ha più ne metta.
|
No, la parte dove dici che l'utente non c'entra non è vera, l'utente è responsabile nel 99% dei casi delle infezioni del proprio PC proprio perchè l'utente deve preoccuparsi di avere un sistema aggiornato e privo di programmi bucati che usa lui stesso mettendolo in pericolo ed inoltre su una macchina senza privilegi amministrativi come detto prima non può succedere nulla in nessun caso, salvo il caso in cui sia l'utente stesso ancora una volta senza accorgersene o per errore a dare lui stesso i privilegi amministrativi al malware.
Infine, bisogna tenere conto della risposta data sul forum di supporto AVG dove sono dei professionisti (io stesso lo sono) che è chiara.
https://support.avg.com/answers?id=906b0000000DwpHAAS
I modem che ci forniscono in Italia non sono ancora vulnerabili ad attacchi critici su vasta scala come già ho detto anche perchè se lo fossero non li fornirebbero agli utenti, non sono mica irresponsabili quelli che lavorano alle telecomunicazioni e credo sappiano ancora quello che fanno.