Mac OS Xを実行しているマシンを使用していますが、バックドアがインストールされている可能性があります。
私はそれを分析のために専門のセキュリティ会社に持って行くか、軌道からそれを核に入れることができることを知っています、しかし私はそれを自分で処理することに興味があります。
システムにバックドアが存在するかどうかを判断するために使用できるフォレンジック技術は何ですか?
さらに、システムのバックドアの悪用を制限または検出するために、どのようなネットワーク構成オプション(ファイアウォールやIDSルールなど)を導入したいですか?
一部の人々があなたのシステムにいくつかの隠されたバックドアを置いていて、彼らがそれに有能だったならば、あなたはそれらを見つけることができません。ここでの「能力」とは、「インターネットアクセスがあり、Googleで「rootkit mac os x」と入力する」ことを意味します。たとえば、 これ 。バックドアを完全に隠すことは理論的には不可能ですが、バグなしでソフトウェアを書くことが理論的に可能であるという意味でのみです。つまり、難しいです。
「セキュリティラボ」は、だれでも、何か怪しいものを見つけた場合にあなたのマシンで見ることを試みることができます。おそらく、奇妙な症状が観察された場合、ウイルス/バックドア/マルウェアを想定せずに説明できる可能性があります。コンピューターに表示したくない場合は、エスケープする必要はありません。分析は自分で行う必要があります。つまり、数年の技術スキルを習得する必要があります。
または、ハードディスクを再フォーマットしてから、最初から再インストールします。それを乗り切ることができるマルウェアはほとんどありません。
非アクティブなバックドアを探しているなら、幸運を祈ります。それを追跡するには、何年にもわたるコンピュータフォレンジックのスキルが必要です。一方、使用中のバックドアを探している場合、別のシステムまたはネットワーク上のハードウェアデバイスからのトラフィック分析を使用すると、コンピューターが予期しないパケットを送信しているかどうかを確認できます。
これは、誰かが何かのためにアクティブにコンピューターを使用しているかどうかを見つけるのに役立ちますが、「何も実行していない」場合でもシステムにバックグラウンド通信があるため、かなり高度な技術知識が必要です。
効率はここでは変数ではありません。トレードオフは、費やされたリソースに対する完全性の保証です。システムに完全な整合性があることを完全に保証するには(つまり、承認なしにシステムを使用することはできません)、ほぼ無限の量のリソースを消費する必要があります。
少なくとも、パーティション化が非常に厳格なオペレーティングシステムが必要で、次にOS Xが必要です。極端な場合は、データと制御を物理的に厳密に分離する特殊なプロセッサが必要です(フォンノイマンアーキテクチャではなくハーバードアーキテクチャ)。管理外のシステムコンポーネント(CPU、マザーボード、ネットワークカード、OS、およびその他のソフトウェア)の数を考えると、専門家でさえ、外部の支援なしにシステムの完全性保証を達成するのは困難です。
あなたがマルウェアの専門家でないことを考えると、あなたが期待できる最善のことは、露出の減少によるリスクの減少、脆弱性管理、そして脅威に対する可視性の減少です。
公開を制限するとは、システムがネットワークに接続されている合計時間数を減らし、システムに保存されている機密データのサイズと範囲を減らし、ソフトウェアのダウンロードとインストールを減らすことです。
脆弱性管理とは、システムのすべてのコンポーネントを追跡し、脆弱なコンポーネントを継続的にアップグレードまたはパッチすることです。これは主にソフトウェアですが、さらにネットワークカードや周辺機器の場合もあります。これは、脆弱性に関するアラートについてOSおよびアプリケーションのソースを監視し、必要に応じてシステムを再構成またはパッチすることを意味します。
脅威に対する可視性の低下は、システムの場所や内容、システムの内容を宣伝しないことを意味します。これを説明する最も簡単な方法は、反対を示すことです。 Macbookを使用して中小企業向けのクレジットカードを取得し始めたことをFacebookに投稿しないでください。これにより、潜在的な攻撃者に貴重なターゲット(クレジットカード番号)と、どのような脆弱性が存在する可能性があるかを警告します。
未知の状態にあるシステムを考えると、他の人が言ったように、バックドアを検出することは非常に困難です。使用できるさまざまなツールがありますが、それらの適切な議論は、ここの投稿の範囲をやや超えています。
ただし、システムが良好な状態であることがわかっている場合、tripwireやossec hidなどのホストベースの整合性検出システムを使用して、その状態の変更を検出できます。これにより、システム上の実行可能コードのファイルハッシュの安全なデータベースが維持されます。パッチ適用/開発アクティビティで発生する変更を確認する手段を提供します。