it-swarm.dev

Come posso rilevare backdoor?

Ho una macchina con Mac OS X e sospetto che potrebbe essere installata una backdoor.

So che potrei portarlo a una società di sicurezza professionale per l'analisi, o nuotarlo dall'orbita, ma sono interessato a gestirlo da solo.

Quali tecniche forensi potrei usare per determinare se esistono backdoor nel sistema?

Inoltre, quali opzioni di configurazione della rete potrei voler mettere in atto (firewall o regole IDS, per esempio) per aiutare a limitare o rilevare lo sfruttamento delle backdoor nel mio sistema?

13
mac

Se alcune persone hanno inserito delle backdoor nascoste nel tuo sistema e se ne fossero competenti, non sarai in grado di trovarle. "Competenza", qui, significa "avere un accesso a Internet e digitare" rootkit mac os x "in Google". Vedi ad es. questo . È teoricamente impossibile nascondere completamente una backdoor, ma solo nello stesso senso in cui è teoricamente possibile scrivere software senza alcun bug. In altre parole, è difficile.

I "laboratori di sicurezza", chiunque essi siano, possono provare a vedere nella tua macchina se trovano qualcosa di sospetto. Forse, se si osservano strani sintomi, potrebbero essere in grado di spiegarli senza postulare un virus/backdoor/malware. Se non vuoi mostrare loro il tuo computer, allora non c'è scampo: dovrai fare tu stesso l'analisi, il che significa acquisire alcuni anni di abilità tecniche.

In alternativa, riformattare il disco rigido, quindi reinstallare da zero. Pochissimi malware possono sopravvivere a questo.

12
Tom Leek

Se stai cercando una backdoor inattiva, allora buona fortuna, avresti bisogno di anni di abilità di informatica forense per rintracciarla. D'altra parte, se stai cercando una backdoor in uso, l'utilizzo dell'analisi del traffico da un altro sistema o un dispositivo hardware in rete potrebbe consentire di vedere se il tuo computer sta emettendo pacchetti imprevisti.

Questo potrebbe aiutare a scoprire se qualcuno sta attivamente usando il tuo computer per qualcosa, ma richiede ancora un livello piuttosto elevato di conoscenze tecniche poiché ci sarà qualche comunicazione di base sul tuo sistema anche quando "non sta facendo nulla".

10
AJ Henderson
  1. La prima cosa che puoi fare è chiudere tutte le connessioni in corso e provare netstat per vedere se è stata stabilita una connessione di cui non sei a conoscenza.
  2. In secondo luogo, è possibile verificare se il proprio sistema sta generando traffico che non dovrebbe essere presente. Per questo è possibile utilizzare strumenti di acquisizione di pacchetti come fiddler e WireShark.
5
Sam

L'efficienza non è una variabile qui. Il compromesso è garanzia di integrità rispetto alle risorse spese. Per ottenere la completa certezza che il tuo sistema ha una perfetta integrità (cioè nessuno può usare il tuo sistema senza la tua approvazione) dovrai spendere una quantità quasi infinita di risorse.

Come minimo avresti bisogno di un sistema operativo con partizionamento molto più rigoroso e quindi OS X. All'estremo hai bisogno di un processore specializzato che fornisca una rigorosa separazione fisica dei dati e del controllo (architettura di Harvard al contrario dell'architettura di von Neumann). Dato il numero di componenti di sistema al di fuori del tuo controllo (CPU, scheda madre, scheda di rete, sistema operativo e altri software), anche un esperto avrebbe difficoltà a ottenere un'elevata garanzia di integrità di un sistema senza aiuto esterno.

Dato che non sei un esperto di malware, il meglio che puoi sperare è la riduzione del rischio attraverso la riduzione dell'esposizione, la gestione delle vulnerabilità e la riduzione della visibilità delle minacce.

Limitare l'esposizione significa passaggi come ridurre il numero totale di ore in cui il sistema è connesso a una rete, ridurre le dimensioni e la portata dei dati sensibili archiviati nel sistema e ridurre il download e l'installazione del software.

Gestione delle vulnerabilità significa tracciamento di tutti i componenti del sistema e aggiornamento continuo o correzione di eventuali componenti vulnerabili. Questo è principalmente un software, ma potrebbe anche essere una scheda di rete o un dispositivo periferico. Significa monitoraggio delle fonti del sistema operativo e delle applicazioni per avvisi di vulnerabilità e riconfigurazione o correzione del sistema secondo necessità.

Ridurre la visibilità alle minacce significa non pubblicizzare dove o cosa sia il sistema e cosa contenga. Il modo più semplice per illustrare questo è mostrare il contrario. Non pubblicare su Facebook che hai iniziato a prendere carte di credito per la tua piccola impresa utilizzando il tuo Macbook. Ciò avvisa un potenziale attaccante di un obiettivo prezioso (i numeri delle carte di credito) e del tipo di vulnerabilità che può avere.

5
this.josh

Dato un sistema in uno stato sconosciuto, è, come altri hanno già detto, molto difficile rilevare backdoor. Ci sono vari strumenti che puoi usare, ma una loro corretta discussione va un po 'oltre lo scopo di un post qui.

Tuttavia, dato un sistema noto per essere in buono stato, è possibile rilevare qualsiasi modifica del suo stato utilizzando un sistema di rilevamento dell'integrità basato su host come tripwire e ossec hids. Ciò mantiene un database sicuro di hash di file del codice eseguibile sul sistema. Fornire ammende per te per vedere eventuali cambiamenti che si verificano al di fuori delle tue attività di patch/sviluppo.

3
symcbean