Rootkits, detección y protección de Bootkits y alteración de firmware

2

Me piratearon de manera extremadamente intrusiva a fines de 2013. Desde entonces, no ha pasado un día sin que piense en esto. Mucho. Mi pregunta tiene que ver con la probabilidad de que los atacantes hayan modificado mi BIOS para que tengan un acceso permanente a mi información, incluso si borro el (los) disco (s) duro (s) y cambié los sistemas operativos, lo que hice. (He estado aprendiendo sobre Linux desde entonces) Creo que esto se conoce como un rootkit o un bootkit. En la misma línea, ¿qué tan difícil sería alterar el firmware en mi (s) Android (s) para protegerme contra los restablecimientos de datos de fábrica? Finalmente, ¿cómo puedo detectar algunos de estos ataques que se han realizado en mí?

Gracias

    
pregunta user117619 20.07.2015 - 23:15
fuente

1 respuesta

1

Si los atacantes tenían privilegios de administrador / sistema / nivel de raíz en su computadora, tienen muchas posibilidades de hacer una puerta trasera permanente a su computadora. No muchos atacantes pueden hacer este tipo de persistencia, pero es posible.

La mejor solución es empaquetar todos sus dispositivos que tengan más de un 0% de probabilidad de infección (y etiquetar la caja con algo como "infectado, no usar") y comprar una computadora nueva y un teléfono nuevo. pero no lo ordene en su casa, vaya y compre uno en una tienda local aleatoria. Y no confíe en ninguno de sus datos antiguos de las copias de seguridad antiguas. Según su nivel paranoico, ni siquiera los archivos de imagen, música o video pueden ser confiables, pero es seguro que el 99%. Los documentos de MS Office pueden ser un riesgo más probable.

Creo que los mismos ataques son más o menos posibles en los dispositivos Android, pero no se conocen casos de estos, al menos que yo sepa. Creo que la puerta trasera más fácil sería reemplazar el gestor de arranque.

Detectar tales rootkits intrusivos es difícil. No hay una forma sencilla de comprobar si hay rootkits. La forma más fácil de hacer esto es deshabilitar los servicios en su computadora que se comunican con internet hasta que nada se comunique, y ejecutar tcpdump en su enrutador durante días. Después de eso, analice el tráfico y busque direcciones IP / dominios desconocidos. Mientras tanto, compruebe si hay fugas en el canal lateral como WiFi o Bluetooth. La mayoría de los rootkits se pueden encontrar a través de este método. Crear una actividad falsa (por ejemplo, escribir en un editor de texto, generar nuevas claves PGP falsas) podría ayudar a desencadenar el mal tráfico. Cuando se trata de la detección de rootkits en Windows, mi experiencia personal es que GMER puede encontrar la mayoría de los rootkits, pero no todos.

    
respondido por el user2716262 18.08.2015 - 12:20
fuente

Lea otras preguntas en las etiquetas