En el software, la auditoría de código se puede utilizar como un medio para ganar confianza en un software. Por supuesto cerrado, el software propietario complicaría esto y requeriría hacer ingeniería inversa. De todos modos, parece que hay una manera para que el software elimine la desconfianza en cierta medida.
Los eventos recientes han demostrado una vez más que los componentes de hardware en las computadoras se han convertido en un poderoso vector de ataque. De hecho, el ataque DMA es problemático y puede estar dentro de los siguientes componentes de hardware: discos duros y SSD, PCI, dispositivos USB cuando pueden comprometer el controlador host USB. Por supuesto, las propias CPU y los microcontroladores laterales, por ejemplo. Intel vPro / AMT / ME también puede ser backdoored (desde un diseño de perspectiva de IC).
Siempre que la tecnología utilizada en la fabricación del IC parezca dudoso que se pueda "examinar el hardware" de una manera que corresponda a la auditoría del código y, al menos, a la ingeniería inversa del software.
¿Existen algunas mejores prácticas desarrolladas para auditar el hardware en cierta medida contra las puertas traseras maliciosas?
La forma actual que he encontrado para mitigar el riesgo del hardware es conectándolos con componentes de airgaping o configurándolos con puentes de hardware, lo que proporciona algún tipo de aislamiento. Obviamente, esto es exactamente lo contrario de lo que un circuito integrado o un SoC (Sistema en Chip) están concebidos para.