web-dev-qa-db-ja.com

システムに物理的にアクセスできる場合、ハッカーは何ができますか?

つまり、私は私の地域の技術者です(ハッカーではありません...)。他の人のPCの前に座っていると、自分がシステムで何ができるかについて少し不安を感じています。

私がシステムを危険にさらしたり盗んだりしないことは明らかです...私の仕事の1つは修正システムであり、私はその点で「倫理的な男」です。

しかし、私は別のPCを修理する別の技術者の性格、倫理を知りません。実際、私の収入の大部分は、PCで問題が発生している顧客からのものです。別の技術者に送信してください。その人たちはPCを「修理」し、顧客が私のドアをノックしてからしばらくして、別の人がシステムを「破壊」したので助けを求めました。

しかし、今、私は興味があります。システムに物理的にアクセスする場合、(事前に準備された)ハッカーは何ができますか?ハッカーがそのような状況で使用できる3つの異なる「レベル」のリソースについて考えることができます。これにより、ハッカーは何をするかを変更します。

  1. 彼は、システムを危険にさらすプログラムを備えたSBドライブを所有できます。
  2. ターゲットシステムにブロードバンドインターネットアクセスがあり、プログラムをすばやくダウンロードできます。
  3. 彼はSBドライブでもインターネットアクセスでもないを持っているので、組み込みの運用システムプログラムまたはリソースを使用してシステムを危険にさらそうとします。

スコープが巨大になる可能性があることを知っているので、ハッカーがインターネットからのアクセスを容易にするを試してみて、自宅のPCにいるvictm PCにリモートアクセスすることを検討してみましょう。

その点で彼は何ができますか?そのような攻撃についてシステムを検査するにはどうすればよいですか?

privacyhardeningphysicaldefense
8
Click Ok

個々のケースに焦点を合わせるには:

  1. 絶対に彼が欲しいものは何でも。マルウェア、ルートキット、バックドア、キーロガー、シバン全体。
  2. 繰り返しますが、絶対に何でも。 USBディスクを持っているのとまったく同じです。必要なファイルをダウンロードしたり、既存のサイトからダウンロードしたりできるサイトをセットアップできるからです。
  3. ディスクのワイプ、システムファイルの削除、バッチファイルの書き込み、システムサービスの変更、構成の変更など。リストは無限大です。追加のツールなしでシステムに実行できる悪意のあることがたくさんあります。 VBScriptを記述して現在の日付を確認し、それを固定値と比較して、日付が一致する場合はシステムを破壊するのは簡単です。それを実行キーにドロップすれば、すぐにリピートできます。

最初の2つのケースでは、マルウェアにより、いつでもボックスに完全にアクセスできます。 3番目のケースでは、それは簡単です。彼はマシンに隠しアカウントを設定し、後でリモートデスクトップに使用することができました。彼はリモートアシストを設定できました。ユーザーが実行しているWindowsのバージョンに応じて、ターミナルサービスをセットアップできます。セキュリティパッチをアンインストールして、リモートでコードが実行される脆弱性を有効にし、自宅から悪用することもできます。そのようなマシンをリモートで危うくすることはそれほど難しいことではありません。

11
Polynomial

一般的に、物理的セキュリティはITセキュリティの重要な(おそらく最も重要な)部分です。結局のところ、ハードウェアへのローカルアクセスでほとんどすべてのものを上書きできます。暗号化は依然としてある程度の保護を提供しますが、暗号化されたデータは直接抽出でき、ハードウェア上で暗号化されずに移動する場合、十分なリソースが投資されると、システムバス自体が盗まれることがよくあります。 (これは、元のXBoxのDRMが壊れた方法です)。実際には、実行中のシステムでは、すべてのアクセスを監視または変更できるため、物理的なセキュリティが維持されていなければ、他のすべてのセキュリティは無意味です。

1
AJ Henderson

上記のように、私のアクセスの種類に関する私の経験では、ほとんどすべてが物理的またはリモートである可能性があり、ハッカーがルートリモートアクセスをまだ取得していないことを100%確信していない場合は、それを細断します。

私は個人的な時間に、一種の「猫とネズミ」の楽しいゲームとして、ルートキットで叩かれたと思っている友人や仲間を見つける傾向があります。しかし、同じレベルでは、アクセスの方法とアクセス許可のレベルがどのようにして取得されたかを知るのは、私の中のホワイトハットだけです。

これは、私の専門的な経験では、wireshark、またはシステムのnmapを実行し、オンサイトのバックアップサーバーがあるかどうか、バックアップが感染または侵害されていないかどうかを確認するのが最初の考えだと述べました。

まとめると、ハッカーが悪意を持ってシステムに物理的にアクセスできる場合は、自己の責任において、データからデータを回復しようとしますが、ダンプします。回復は、その時点での選択肢をはるかに超えている可能性があります。

1
Keegan Black