Come posso rilevare le backdoor?

Se alcune persone hanno inserito alcune backdoor nascoste nel tuo sistema e se sono competenti, allora non sarai in grado di trovarle. "Competenza", qui, significa "avere un accesso a Internet e digitare" rootkit mac os x "in Google". Vedi per es. questo . È teoricamente impossibile nascondere completamente una backdoor, ma solo nello stesso senso in cui è teoricamente possibile scrivere software senza alcun bug. In altre parole, è difficile.

"I laboratori di sicurezza", chiunque essi siano, possono provare a vedere nella tua macchina se trovano qualcosa di sospetto. Forse, se osservi strani sintomi, potrebbero essere in grado di spiegarli senza postulare un virus / backdoor / malware. Se non vuoi mostrare loro il tuo computer, allora, nessuna via di fuga: dovrai fare da te l'analisi, il che significa acquisire alcuni anni di competenze tecniche.

In alternativa, riformattare il disco rigido, quindi reinstallare da zero. Pochissimi malware possono sopravvivere.

Se stai cercando una backdoor inattiva, allora buona fortuna, avresti bisogno di anni di informatica forense per rintracciarla. D'altro canto, se si sta cercando una backdoor in uso, quindi l'analisi del traffico da un altro sistema o un dispositivo hardware sulla rete potrebbe consentire di vedere se il computer sta emettendo pacchetti inattesi.

Questo potrebbe aiutare a scoprire se qualcuno sta attivamente utilizzando il tuo computer per qualcosa, ma richiede comunque un livello elevato di conoscenza tecnica poiché ci saranno alcune comunicazioni in background sul tuo sistema anche quando "non sta facendo nulla".

L'efficienza non è una variabile qui. Il compromesso è la garanzia di integrità contro le risorse spese. Per avere la certezza assoluta che il tuo sistema ha una perfetta integrità (cioè nessuno può utilizzare il tuo sistema senza la tua approvazione), dovrai spendere una quantità quasi infinita di risorse.

Per lo meno è necessario un sistema operativo con partizionamento molto più rigido e quindi OS X. All'estremo è necessario un processore specializzato che fornisca una rigorosa separazione fisica dei dati e del controllo (architettura di Harvard in contrasto con l'architettura di von Neumann). Dato il numero di componenti del sistema al di fuori del controllo (CPU, scheda madre, scheda di rete, sistema operativo e altro software) anche un esperto avrebbe difficoltà a ottenere un'elevata garanzia di integrità di un sistema senza un aiuto esterno.

Dato che non sei un esperto di malware il meglio che puoi sperare è la riduzione del rischio mediante riduzione dell'esposizione, gestione della vulnerabilità e riduzione della visibilità alle minacce.

Limitare l'esposizione significa passi come la riduzione del numero totale di ore in cui il sistema è connesso a una rete, riducendo le dimensioni e l'ambito dei dati sensibili memorizzati nel sistema e riducendo il download e l'installazione del software.

Gestione delle vulnerabilità significa tenere traccia di tutti i componenti del sistema e aggiornare o rattoppare continuamente qualsiasi componente vulnerabile. Questo è principalmente software, ma potrebbe anche essere una scheda di rete o periferica. Significa il monitoraggio delle fonti del tuo sistema operativo e delle applicazioni per gli avvisi sulle vulnerabilità e la riconfigurazione o l'applicazione di patch al tuo sistema, se necessario.

La riduzione della visibilità delle minacce significa non pubblicità dove o che cos'è il tuo sistema e cosa contiene. Il modo più semplice per illustrare questo è mostrare il contrario. Non pubblicare su Facebook che hai iniziato a prendere carte di credito per la tua piccola impresa usando il tuo Macbook. Ciò avverte un potenziale aggressore verso un obiettivo di valore (i numeri delle carte di credito) e il tipo di vulnerabilità che potrebbe avere.

1. La prima cosa che puoi fare è chiudere tutte le connessioni in corso e prova netstat per vedere se esiste una connessione stabilita che tu non ne sono a conoscenza.
2. In secondo luogo è possibile verificare se il proprio sistema sta generando traffico che non dovrebbe essere lì. Per questo è possibile utilizzare il pacchetto cattura strumenti come fiddler e wireshark.

Dato un sistema in uno stato sconosciuto, è, come altri hanno detto, molto difficile individuare backdoor. Esistono vari strumenti che è possibile utilizzare, ma una corretta discussione su di essi va oltre lo scopo di un post qui.

Tuttavia, dato un sistema noto per essere in buono stato, è possibile rilevare qualsiasi modifica del suo stato utilizzando un sistema di rilevamento dell'integrità basato su host come tripwire e ossec hids. Ciò mantiene un database sicuro degli hash dei file del codice eseguibile sul tuo sistema. Fornendo gli strumenti per farti vedere eventuali cambiamenti che si verificano fuori dalle tue attività di patching / sviluppo.