Ormai abbiamo probabilmente sentito parlare di rootkit del firmware e altri malware.
Ma come si controlla se il firmware è infetto?
E se sei stato infettato, come fai a liberartene?
Ormai abbiamo probabilmente sentito parlare di rootkit del firmware e altri malware.
Ma come si controlla se il firmware è infetto?
E se sei stato infettato, come fai a liberartene?
È necessario confrontare il file binario memorizzato nel dispositivo con una copia sicura nota (controllando una firma o confrontando l'uguaglianza dei byte con una copia fornita dal fornitore) o cercando i sintomi. Entrambi sono più facili a dirsi che a farsi.
Se si confronta un file binario come si ottiene una copia dal dispositivo? Se richiedendolo tramite una specie di API, il firmware offre come sai che il firmware si sta effettivamente restituendo da solo? Alcuni dispositivi offrono meccanismi hardware per eseguire il dump dei contenuti della ROM, anche se il collegamento di un JTAG non è esattamente conveniente / facile da eseguire su base regolare.
Il rilevamento dei sintomi è simile al normale malware basato su software. Comportamento insolito, traffico di rete, ecc. La difficoltà dipende dal malware stesso.
In teoria qualcosa di ben scritto su dispositivi in cui il firmware controlla tutti i meccanismi di I / O potrebbe essere impossibile da identificare fino a quando non deciderà di essere dannoso e, per quanto ne sai, potrebbe essere attivato da remoto.