¿Cómo saber si el firmware está robando mi información?

Puede usar una herramienta como Wireshark para analizar su tráfico saliente (debe estar en una fase anterior del dispositivo) y buscar tráfico saliente inesperado / sospechoso. Por supuesto, podría ser poco frecuente o solo desencadenado por ciertas actividades, por lo que necesitaría un gran volumen de datos para analizar. Y tendría que ser capaz de analizar (al menos el análisis de tráfico) el tráfico cifrado, así como el texto sin formato.

Alternativamente, puede volcar el flash de sus dispositivos y realizar una ingeniería inversa del firmware en los dispositivos. Por supuesto, deberás considerar todo el firmware:

• teléfono celular
  • sistema operativo Android & Aplicaciones
  • gestor de arranque
  • Banda base (GSM / LTE)
  • Bluetooth
  • Controlador Wifi
• enrutador
  • SO de enrutador (Linux, VxWorks, RouterOS, JunOS, iOS, etc.)
  • Controlador Wifi
  • Módem (si corresponde)

Y no me hagas comenzar con una computadora portátil o de escritorio ...

Así que, para abreviar, estamos hablando de un proyecto de inmensas proporciones, algo que es una de las grandes preguntas abiertas en seguridad. ¿Cómo confiamos en el hardware? Vea todas las historias sobre los implantes de NSA y las preguntas para las empresas que intentan asegurar su infraestructura.

Dependiendo de tu modelo de amenaza, puedes encontrar algunas cosas, pero es casi imposible estar seguro de que no hay nada a menos que estés haciendo todos tus propios chips y amp; software.

La amenaza de que el firmware se vea comprometido ha existido durante una década. El objetivo de hacerlo es comprometer una máquina a un nivel que no se puede escanear desde el sistema operativo. Está incluso por debajo del nivel de kernel del sistema operativo. Necesitaría analizarlo con un sistema externo para determinar que el compromiso provenía del firmware. No me sorprendería si la compañía de seguridad que analizó los teléfonos tuvo que desmontarlos completamente para determinar que el troyano se había incorporado al firmware.

La única forma en que podría determinar activamente si su teléfono se vio comprometido sin todo eso fue instalar algún tipo de software de seguridad (es decir, firewall y antivirus) en su teléfono que monitorearía y detendría el comportamiento sospechoso, y luego monitorearía constantemente los registros. Puede llevarle dos o tres veces la configuración del teléfono a los valores predeterminados de fábrica para determinar que se ha comprometido a un nivel tan profundo.

El antivirus también se ve obstaculizado por el hecho de que solo puede detener el comportamiento que reconoce. Si las compañías que escriben el software desconocen el malware instalado, no podrán detenerlo. Además, el servidor de seguridad no impedirá que ningún programa se ponga en contacto con Internet y usted ha dado permiso para hacerlo.

Android es actualmente el sistema operativo de teléfono menos seguro. Período. También es el más apuntado y explotado.

Para su enrutador y su red, se aplican las mismas protecciones en términos de cortafuegos y antivirus, pero también puede configurar un sistema de captura de paquetes para capturar paquetes de muestra de todo lo que sale de su red. Puede que no detenga el compromiso, pero puede determinar qué información se ha comprometido, en qué sistemas y puertos se originó y proceder desde allí.

Para cualquier otra cosa que no sea un teléfono, abogaría por una solución combinada menos increíblemente difícil.

Si fuera algo más que un teléfono, como un enrutador o una computadora portátil / de escritorio, un método útil sería hacer que el registro de la red del sistema se realice mediante una herramienta en el nivel más bajo que el sistema permita, o incluso mediante un "interruptor" falso. (proxy) entre el sistema y el enrutador. Al mismo tiempo, use una herramienta que capture y registre toda la información que sale del enrutador. Luego, compare los dos registros: lo que está pasando en el enrutador y lo que está saliendo. O, a nivel del sistema, lo que dice el registro del sistema fue salir frente a lo que realmente salió (exponiendo así lo que estaba escondiendo el firmware).

Por lo tanto, todo lo que el dispositivo en cuestión está enviando y no se solicitó es sospechoso, y cualquier información que haya cambiado de manera inesperada.

Lo que hace que el problema del teléfono sea mucho más complicado es que el flujo ascendente o la captura de todo el tráfico entrante y saliente sea mucho más costoso y difícil. Con un dispositivo de red por cable, uno tiene opciones, pero con un teléfono, ¡es una buena cosa que las empresas de seguridad estén dispuestas a poner tanto esfuerzo!

No obstante, en cuanto a la prueba de su enrutador deseado, no conozco ninguna herramienta simple o solución pareada de software / hardware que le permita hacer todo esto sin un considerable esfuerzo y conocimiento de bajo nivel.

Como puede ser entendido por la excelente respuesta de Davids, la idea de verificar realmente que el firmware propietario del dispositivo, como un teléfono, no tome / nunca tome su información o sea capaz de hacerlo a pedido es una empresa tan masiva que es casi una propuesta ridícula.

La 'Solución Stallman ' facilitaría esta verificación, ya que el código fuente es más fácil de leer. Eche un vistazo a Tomato / OpenWRT para enrutadores o al proyecto Replicant aún no completo para teléfonos Android.

La esperanza de los movimientos de software libre / código abierto es que otra persona ya haya hecho este análisis (y lo haya hecho de manera competente / completa) para que no tenga a. Al menos las puertas traseras aquí deben disfrazarse como errores para pasar al mantenedor y / o al equipo, a menos que él / ella / ellos sean malintencionados o que su / sus máquinas estén comprometidas .

Entonces, solo debes preocuparte por el hardware ...