Es probable que todos hayamos oído hablar de rootkits de firmware y otros programas maliciosos.
¿Pero cómo verifica si su firmware está infectado?
Y si ha sido infectado, ¿cómo deshacerse de él?
Es probable que todos hayamos oído hablar de rootkits de firmware y otros programas maliciosos.
¿Pero cómo verifica si su firmware está infectado?
Y si ha sido infectado, ¿cómo deshacerse de él?
Debe comparar el binario almacenado en el dispositivo con una copia segura conocida (ya sea al verificar una firma o al comparar la igualdad de bytes con una copia proporcionada por el proveedor) o buscar los síntomas. Ambos son más fáciles de decir que de hacer.
Si compara un binario, ¿cómo obtiene una copia del dispositivo? Si al solicitarlo a través de algún tipo de API, el firmware ofrece, ¿cómo sabe que el firmware se está devolviendo? Algunos dispositivos ofrecerán mecanismos de hardware para volcar contenidos ROM, aunque adjuntar un JTAG no es exactamente conveniente / fácil de realizar de forma regular.
La detección de síntomas es similar al software malicioso basado en software normal. Comportamiento inusual, tráfico de red, etc. La dificultad de esto depende del propio malware.
En teoría, algo bien escrito en dispositivos donde el firmware controla todos los mecanismos de E / S podría ser imposible de identificar hasta que decide ser malicioso, y por lo que sabe, esto podría activarse de forma remota.