Cosa succede quando un hacker ottiene l'accesso remoto al mio computer?

Questa risposta è estremamente dipendente da ciò che è sul vostro computer, gli obiettivi finali della persona con accesso remoto e il livello di accesso con cui sono collegati. Detto questo, andrò con uno "scenario peggiore"

Un hacker con accesso di livello root a una macchina remota avrà accesso a tutti i vostri documenti. Questo include le vostre foto, la cronologia internet, i file che pensavate di aver cancellato. Hanno anche la possibilità di aggiungere/rimuovere utenti a volontà per mantenere il loro accesso. Possono eseguire qualsiasi azione sul computer che root sarebbe in grado di fare (non c'è molto che root non possa fare).

Possono scaricare ed eseguire qualsiasi malware che desiderano, che probabilmente includerà trojan confezionati, rootkit e keylogger. A questo punto è molto probabilmente troppo tardi perché l'antivirus sia utile. Il massimo che si può sperare in questo caso è che l'antivirus esegua una sorta di analisi della memoria e uccida i processi maligni dopo che sono partiti. Poiché il malware è stato impacchettato, molto probabilmente non verrà rilevato in una scansione del vostro sistema, ed è anche probabilmente abbastanza casuale che qualcuno "guardando il computer" non rileverà un traffico anomalo verso i server di comando e controllo.

Con le informazioni raccolte dal malware possono compromettere altri account (e-mail, conti bancari, ecc). Possono anche continuare a utilizzare il tuo computer come un punto di snodo per altri attacchi o come parte di una botnet... tutto senza che tu lo sappia.

Questo presuppone che stiamo parlando di un computer personale.

Se stiamo parlando di un computer di lavoro è probabile che tu sia stato collegato a un controller di dominio. Se l'amministratore del dominio o qualsiasi altro utente si è mai collegato alla vostra macchina, gli hacker possono usare le informazioni lasciate per spostarsi su altri computer. Se un hacker ottiene le credenziali dell'amministratore di dominio il gioco è finito. Tutti i computer sulla rete possono essere forzati ad eseguire comandi o scaricare/installare qualsiasi cosa l'hacker desideri. Probabilmente avranno accesso a tutti i servizi e ai database che la vostra azienda mantiene e a una buona quantità di informazioni private.

A meno che il vostro dipartimento IT abbia controller di dominio ridondanti e non compromessi o "immagini dorate", molto probabilmente dovranno ricostruire la rete da zero per sbarazzarsi della minaccia. Tutto, dalla cancellazione dei computer alla ricostruzione del controller di dominio e al ricongiungimento dei computer al nuovo dominio, si spera pulito. Questo può essere catastrofico per le aziende.

Ancora una volta, tutto questo dipende dalle intenzioni e dal livello di accesso di qualcuno con accesso remoto e questi sono circa 5 minuti di "worst case scenario", ma rendetevi conto che può andare peggio. L'antivirus è una mediocre difesa di prima linea e funzionerà contro alcuni malware, ma i malware sofisticati "completamente non rilevabili" rimarranno sul vostro sistema a prescindere. Per essere il più sicuro possibile, la cosa migliore è cancellare completamente il sistema e ripartire con un nuovo sistema operativo.