Как обнаружить железный backdoor?

Question

[Alla_Pugacheva]

Предположительно на машине внедрен бэкдур (железный) как обнаружить? Есть ли статьи на схожую тему?

P.S. Буду рад любым советам. Пожалуйста, сылки на форумы, статьи, факи, что нибудь. Обзоры последних разработок спецслужб, тоже подойдут)

Answer 1

[Дмитрий Земсков]

В закрытых частях тематических выставок видали мы эти "последние разработки" покрытые гос.тайной, я бы рассказал, да рассказывать особо и нечего, всё старо как мир, но теперь и с гуями с учётом UX\UI что бы было понятно даже полным дебилам, у которых есть свои, хорошо зарекомендовавшие себя методы :-)

Любое подозрительное железо, например сетевая плата, при наличии дискретной, или любая другая плата без реальной потребности в оной, и\или наличия драйверов. В своё время были популярны "удлинители клавиатуры", сейчас наверное есть даже USB хабы, только это уже всё из другой оперы, и на хрен никому не нужно.
Сейчас самая распространённая аппаратная закладка, набор интеловских причиндал для удалённого администрирования, но это с одной стороны лечится, а с другой обходится, но тоже лечится :-)

Comments

[Дмитрий Земсков]

А вообще самое распространённое это руткиты с хорошим, вирусным разносчиком.
Человек переустанавливает систему, а его дистрибутивы уже заражены умело упакованной заразой, вот и видятся бедолаге:
Невидимые лучи
Космические голоса
Электрогипнотизёры
И прочие чудеса.

Он чешет патлатую голову,
А мысли все в разные стороны
Летят словно стая диких гусей
И машут ему рукой.

Невидимые лучи
Космические голоса
Электрогипнотизёры
И прочие чудеса.

[Alla_Pugacheva]

Дмитрий Земсков: А как же контрольные суммы?

[Alla_Pugacheva]

Дмитрий Земсков вы хотите сказать, что большая часть железа потенциално "дырявая"?

[Дмитрий Земсков]

Увы, Алла Борисовна, органика ещё более дырявая чем железо и кремний :-)
По сему безопасность вообще и информационная в частности строится от "реальной модели угроз"
PS.Мне не раз приходилось принимать участие в разборе информационных утечек, меня приглашали как "хаккера" и "IT эксперта", но в 80 процентах случаев утечку находил "психолог" :-)

[Alla_Pugacheva]

То есть как эксперт вы не востребованы эпохой?

[Дмитрий Земсков]

...с экспертизы я живу последние несколько лет, "психолог" тот был я-же, просто заказчик ожидал, что я отловлю, кастомный вирус или рутанутое из вне телеком оборудование, а по факту обнаруживались лишь улики против конкретных сотрудников...
Бывали даже случаи когда сотрудники изменяли конфигурации оборудования, заражали сеть, встраивали бэкдоры в сайты, для маскировки своей деятельности, а по факту заказ сделанный с телефона уходил конкурентам без регистрации в СРМ, так-что техническая сторона была вообще не при делах, хотя и могла-бы быть потенциальным источником утечек...
А кроме злонамеренных сотрудников, бывают ещё сотрудники глупые, и тут уж никакой вам сисадмин не поможет, если из переписки не удаляют лишних получателей :-)
Это всё 80% реальных ситуаций, в половине из которых нашелся бы формальный повод вставить пистон сисадмину, если судить исключительно формально с точки зрения технического аудита безопастности. Только вот утечек бы это не прекратило, так-что криминалистика рулит!

[Дмитрий Земсков]

Alla_Pugacheva: А кто-же их проверяет :-) А по хорошему проверять-то надо хэши, ведь у рутанутой системы масса свободного времени, что-бы в зараженном ингаляторе не только размеры совпали...
Хотя это всё в теории, по факту большинство кастомных зловредов сделано из говна и палок, просто упаковано так, что бы антивирус не стал проблемой. Чёрный рынок ай-ти услуг уже давно сложился, и там разделение труда чуть более чем полное.

[Alla_Pugacheva]

Спасибо за ответ Дмитрий, теперь мне стало все более - менее понятно

Answer 2

[chupasaurus]

Немецкий изучали (door на англ. dɔː или доо)?
Обнаружить можно двумя способами: необычное поведение на некоторые инструкции (очень маловероятно), или отклик на то, что не должно откликаться. Ну или если перехватить момент, когда в него кто-то поломится.

Answer 3

[Diman89]

Железный бэкдор выявит спецпроверка, софтовый-специсследование

Comments

[Alla_Pugacheva]

А конкретней, куда и чем тыкать?

[Diman89]

Alla_Pugacheva: подобное оборудование гражданское лицо купить не в состоянии. Обратитесь в организацию, имеющую лицензию на подобную деятельность

[Дмитрий Земсков]

Ой да ладно, анализатор спектра не купить прям на гражданке, а если ещё понимать что к чему, то он и стоить будет копейки, и софт к нему богатый...
Только вот опять-же, что обнаруживать то, колхоз? Всё давно пакетное и по запросу, и пользуются этим такие ребята, что если уж они вами за интересовались, то информационные утечки, меньшая ваша проблем.

[Diman89]

Дмитрий Земсков: с чего вы решили, что анализатор спектра - единственное используемое? С вашим отношением начинать не бессмыслено?

[Дмитрий Земсков]

Да я уже лет пятнадцать как закончил, и занимаюсь совсем другими вещами, да народная тропа всё никак не зарастёт.