Come sapere se il firmware sta rubando le mie informazioni?

40

La notizia recente Lo smartphone Android Star Star N9500 contiene Trojan installato in fabbrica, afferma che la società di sicurezza mi ha spinto a pensare alla sicurezza del firmware. Le notizie indicano che lo spyware fa parte del firmware del dispositivo.

Questo mi rende preoccupato: come posso rilevare quando il firmware sta rubando le mie informazioni? Cosa posso fare per attenuare questo problema?

Sono preoccupato per i telefoni cellulari (Android) e router. Qualcuno ha qualche informazione sui programmi di rilevamento?

[Modifica]: La ragione per cui chiedo è che sto considerando un router di un marchio cinese, che costerebbe molto di più se proviene da un'altra marca. È da Mi.com. Il router, costa 699 RMB o 112 USD, include un disco rigido da 2,5 pollici da 1TB. Il prezzo è molto interessante, ma mi preoccupo che le mie informazioni potrebbero non essere sicure.

    
posta user3454439 23.06.2014 - 06:09
fonte

4 risposte

31

Potresti utilizzare uno strumento come Wireshark per analizzare il traffico in uscita (devi essere a monte del dispositivo) e cercare traffico in uscita inatteso / sospetto. Ovviamente, potrebbe essere poco frequente o attivato solo da determinate attività, quindi è necessario un grande volume di dati da analizzare. E dovresti essere in grado di analizzare (almeno l'analisi del traffico) il traffico crittografato e il testo in chiaro.

In alternativa, puoi scaricare il flash dei tuoi dispositivi e decodificare il firmware nei dispositivi. Ovviamente, dovrai considerare tutto il firmware:

  • Telefono cellulare
    • Sistema operativo Android & Apps
    • Bootloader
    • Baseband (GSM / LTE)
    • Bluetooth
    • Controller WiFi
  • Router
    • Sistema operativo del router (Linux, VxWorks, RouterOS, JunOS, iOS, ecc.)
    • Controller WiFi
    • Modem (se applicabile)

E non farmi iniziare su un laptop o desktop ...

Quindi, per farla breve, stai parlando di un progetto di proporzioni immense, qualcosa che è una delle grandi domande aperte in materia di sicurezza. Come ci fidiamo dell'hardware? Vedi tutte le storie sugli impianti NSA e le domande per le imprese che cercano di proteggere la loro infrastruttura.

A seconda del modello di minaccia, potresti essere in grado di trovare alcune cose, ma è quasi impossibile essere sicuri che non ci sia nulla a meno che tu non stia facendo tutti i tuoi chip e amp; software.

    
risposta data 23.06.2014 - 07:34
fonte
4

La minaccia del firmware compromesso è in circolazione da un decennio. L'intero punto è quello di compromettere una macchina a un livello che non può essere scansionato dal sistema operativo. È persino inferiore al livello del kernel del sistema operativo. Avresti bisogno di analizzarlo con un sistema esterno per determinare che il compromesso provenisse dal firmware. Non mi sorprenderebbe se la compagnia di sicurezza che ha analizzato i telefoni dovesse smontarli completamente per determinare che il trojan era stato inserito nel firmware.

L'unico modo per determinare attivamente se il tuo telefono è stato compromesso senza dover installare sul computer una qualche forma di software di sicurezza (ad es. firewall e anti-virus) che monitorasse e fermasse comportamenti sospetti e monitora costantemente i registri Potrebbe essere necessario attendere due o tre volte per ripristinare il telefono sui valori predefiniti in fabbrica per determinare che sia stato compromesso a un livello così profondo.

L'anti-virus è anche ostacolato dal fatto che può solo interrompere il comportamento che riconosce. Se il malware installato non è noto alle aziende che scrivono il software, non sarà in grado di fermarlo. Inoltre, il firewall non impedisce a nessun programma di contattare Internet a cui hai dato il permesso di farlo.

Android è attualmente il sistema operativo per telefono meno sicuro. Periodo. È anche il più mirato e sfruttato.

Per il tuo router e la tua rete, si applicano le stesse protezioni in termini di firewall e anti-virus, ma puoi anche configurare un sistema di acquisizione dei pacchetti per catturare pacchetti di esempio di qualsiasi cosa lasci la tua rete. Potrebbe non arrestare il compromesso, ma è possibile determinare quali informazioni sono state compromesse, quali sistemi e porte hanno originato e procedere da lì.

    
risposta data 23.06.2014 - 07:50
fonte
1

Per qualcosa di diverso da un telefono, vorrei discutere per una soluzione combinata meno incredibilmente difficile.

Se si trattasse di qualcosa di diverso da un telefono, come un router o un laptop / desktop, un metodo utile sarebbe avere la registrazione della rete del sistema eseguita da uno strumento al livello più basso consentito dal sistema o anche da un falso "switch" (proxy) tra il sistema e il router. Allo stesso tempo, usa uno strumento che cattura e registra tutte le informazioni che escono dal router. Quindi, confronta i due registri: cosa sta succedendo nel router e cosa sta succedendo. Oppure, a livello di sistema, quello che dice il log di sistema stava uscendo contro ciò che realmente uscì (esponendo così ciò che il firmware stava nascondendo).

Tutto ciò che il dispositivo in questione sta inviando non è stato richiesto è quindi sospetto - e tutte le informazioni che sono cambiate in modi imprevisti.

Ciò che rende il problema del telefono molto più complicato è l'upstream o la cattura di tutto il traffico in entrata e in uscita, è molto più costoso e difficile. Con un dispositivo di rete cablata ci sono delle opzioni, ma con un telefono: è una buona cosa che le aziende di sicurezza siano disposte a fare questo sforzo!

Per quanto riguarda il test del router desiderato, tuttavia, non sono a conoscenza di un semplice strumento o di una soluzione accoppiata software / hardware che ti consenta di fare tutto questo senza notevoli conoscenze e sforzi di basso livello.

    
risposta data 24.06.2014 - 15:27
fonte
0

Come può essere compreso dall'eccellente risposta di Davids, l'idea di verificare effettivamente che il firmware proprietario di un dispositivo come un telefono non sia / non prenda mai le tue informazioni o in grado di farlo su richiesta è un'impresa così massiccia da essere quasi una proposta ridicola.

La 'soluzione di Stallman ' renderebbe la verifica più semplice in quanto il codice sorgente è più leggibile. Dai un'occhiata a Tomato / OpenWRT per i router o al progetto Replicant non ancora completo per i telefoni Android.

La speranza dei movimenti di software libero / open source è che qualcun altro ha già fatto questa analisi (e l'ha fatta con competenza / completamente) in modo da non avere a. Almeno le backdoor qui devono essere mascherate da errori per passare il manutentore e / o il team, a meno che lui / lei / loro non sia malintenzionato o che la sua / la sua / le loro macchine [/ s] siano compromesse .

Quindi solo devi preoccuparti dell'hardware ...

    
risposta data 20.02.2015 - 02:00
fonte

Leggi altre domande sui tag