¿Cómo puedo detectar puertas traseras?

Si algunas personas han puesto algunas puertas traseras ocultas en su sistema, y si eran competentes, entonces no podrá encontrarlas. "Competencia", aquí, significa "tener un acceso a Internet y escribir 'rootkit mac os x' en Google". Ver por ejemplo esto . Teóricamente es imposible ocultar completamente una puerta trasera, pero solo en el mismo sentido que teóricamente es posible escribir software sin ningún error. En otras palabras, es difícil.

Los "laboratorios de seguridad", sean quienes sean, pueden intentar ver en su máquina si encuentran algo sospechoso. Posiblemente, si observa síntomas extraños, podrían ser capaces de explicarlos sin postular un virus / puerta trasera / malware. Si no quiere mostrarles su computadora, entonces no hay escapatoria: tendrá que hacer el análisis usted mismo, lo que significa adquirir algunos años de habilidades técnicas.

Alternativamente, vuelva a formatear el disco duro y luego vuelva a instalarlo desde cero. Muy pocos malware pueden sobrevivir a eso.

Si está buscando una puerta trasera inactiva, buena suerte, necesitaría años de conocimientos forenses informáticos para rastrearla. Por otro lado, si está buscando una puerta trasera que esté en uso, el análisis de tráfico de otro sistema o un dispositivo de hardware en la red podría permitirle ver si su computadora está emitiendo algún paquete inesperado.

Esto podría ayudar a descubrir si alguien está usando activamente su computadora para algo, pero aún requiere un nivel bastante alto de conocimientos técnicos, ya que habrá una comunicación de fondo en su sistema incluso cuando "no esté haciendo nada".

La eficiencia no es una variable aquí. La compensación es la garantía de integridad contra los recursos gastados. Para lograr la total seguridad de que su sistema tiene una integridad perfecta (es decir, nadie puede usar su sistema sin su aprobación), deberá gastar una cantidad de recursos casi infinita.

Como mínimo, necesitaría un sistema operativo con una partición mucho más estricta y luego OS X. En el extremo, necesita un procesador especializado que proporcione una separación física y estricta de los datos (la arquitectura de Harvard en lugar de la arquitectura de von Neumann). Dada la cantidad de componentes del sistema fuera de su control (cpu, placa base, tarjeta de red, sistema operativo y otro software), incluso un experto podría tener dificultades para lograr una alta seguridad de integridad de un sistema sin ayuda externa.

Dado que no es un experto en malware, lo mejor que puede esperar es la reducción del riesgo mediante la reducción de la exposición, la gestión de vulnerabilidades y la reducción de la visibilidad de las amenazas.

Limitar la exposición significa pasos como reducir el número total de horas que el sistema está conectado a una red, reducir el tamaño y el alcance de los datos confidenciales almacenados en el sistema y reducir la descarga e instalación del software.

La gestión de vulnerabilidades significa hacer un seguimiento de todos los componentes de su sistema y actualizar o parchear continuamente los componentes vulnerables. Esto es principalmente software, pero también podría ser una tarjeta de red o dispositivo periférico. Significa monitorear las fuentes de su sistema operativo y las aplicaciones para alertas sobre vulnerabilidades y reconfigurar o parchear su sistema según sea necesario.

La reducción de la visibilidad de las amenazas significa no publicar dónde o qué es su sistema y qué contiene. La forma más fácil de ilustrar esto es mostrar lo contrario. No publique en Facebook que comenzó a tomar tarjetas de crédito para su pequeña empresa utilizando su Macbook. Esto alerta a un posible atacante a un objetivo valioso (los números de tarjeta de crédito), así como a qué tipo de vulnerabilidades puede tener.

1. Lo primero que puede hacer es cerrar todas las conexiones en curso y intente netstat para ver si hay alguna conexión establecida que usted no son conscientes de.
2. En segundo lugar, puede comprobar si su sistema está generando Tráfico que no debería estar allí. Para esto puedes usar el paquete. herramientas de captura como el violinista y el tiburón de alambre.

Dado que un sistema se encuentra en un estado desconocido, es, como otros lo han dicho, muy difícil de detectar puertas traseras. Hay varias herramientas que puede usar, pero una discusión adecuada de ellas va más allá del alcance de una publicación aquí.

Sin embargo, dado que se sabe que un sistema se encuentra en buen estado, es posible detectar cualquier modificación de su estado mediante un sistema de detección de integridad basado en el host, como por ejemplo tripwire y ossec hids. Esto mantiene una base de datos segura de hashes de archivos del código ejecutable en su sistema. Proporcionar medios para que vea los cambios que se producen fuera de sus actividades de parches / desarrollo.