É seguro conectar remotamente a uma máquina infectada via VNC ou TeamViewer?

Existe uma grande diferença entre usar o VNC e usar o TeamViewer neste cenário, tentarei listar alguns deles e espero que alguém possa editar e adicionar outros pontos que provavelmente esquecerei de mencionar, mas para aqueles que apenas quer a conclusão: Usar o TeamViewer é mais seguro, mas não seguro demais .

Sugestão: sugiro que você inicialize a partir de uma distribuição USB Linux ao vivo, desmonte todas as partições do disco rígido, certifique-se de estar NÃO root e conecte-se à outra máquina. é a maneira mais segura de derrotar a maioria dos malwares.

O TeamViewer é projetado para colocar um pouco de transparência entre os clientes conectados (nenhuma conexão direta local é estabelecida), além de ser bem mantida pela equipe, levando em consideração a abordagem de segurança como um grande fator que posso dizer. Por outro lado, o VNC é projetado para se conectar local ou remotamente (o que significa que pode ser mais perigoso quando usado localmente).

O TeamViewer também mantém o live controle dos arquivos transferidos entre dispositivos (ao vivo, quero dizer que uma janela pop-up será mostrada com detalhes sobre arquivos), mas quando se trata de VNC, passar por alguns logs (se o log estiver ativado) para encontrar qualquer atividade suspeita (boa sorte!).

No site de suporte do TeamViewer ( manual do TeamViewer ), se você ler as páginas 21 a 23 você pode ter uma ideia melhor da implementação da transferência de arquivos de segurança, registro de operações de transferência de arquivos, etc ...

Além disso, o TeamViewer é projetado em cima do projeto VNC, ambos são softwares de código aberto que podem ser um fator importante da perspectiva de segurança (lembre-se da vulnerabilidade de 20 anos escondida há pouco tempo no bash, também ~ 5 anos no Windows, OpenSSL , etc ...).

Acho que a principal vantagem da segurança é que o TeamViewer usa o DynGate, que é um tipo de firewall, encapsula sua conexão através de HTTP (ou HTTP seguro) e não exige que as portas sejam abertas no firewall. pontos, se o seu sistema é seguro, o TeamViewer é uma solução melhor.

Devo dizer que, no final, o malware em si deve ser projetado para aproveitar um serviço em execução para infectar sua máquina. Portanto, se o malware for sofisticado o suficiente, nem o ambiente nem o serviço serão importantes. Um exemplo de tentando tirar proveito do TeamViewer, digamos que estou projetando um malware, o que farei é tentar estabelecer conexões por meio do modo QuickSupport que oculta pop-ups e Nesse modo, todas as operações do sistema de arquivos são permitidas, mas, como você está estabelecendo a conexão com a máquina infectada, essa implementação não funcionará porque você decidirá qual modo deseja trabalhar com a máquina remota e não com meu malware.

Um risco de borda é que, digamos, sua máquina cliente apresenta uma vulnerabilidade semelhante à da máquina infectada. E essa vulnerabilidade é baseada em rede ... Então, digamos que uma porta esteja aberta em sua máquina cliente, e a máquina removedora veja você se conectando a sua máquina ... Pode começar a investigar a máquina cliente em busca de vulnerabilidades e possivelmente agir sobre elas. Mas eu consideraria esse caso extremo baseado estritamente no comportamento de malware e não em algo genérico com o qual alguém se preocuparia.

Então, se você estava realmente preocupado e a máquina infectada é o Windows, então eu recomendaria usar um cliente VNC em uma máquina Linux ou Mac OS X para se conectar à máquina remota. A diferença nos sistemas operacionais é suficiente para garantir que nada da máquina infectada “pule” magicamente para o cliente VNC não infectado que você está usando.

Em geral, eu não ficaria preocupado ... a menos que você precise fazer transferências de arquivos.