我最近阅读了Corey Kallenberg和 Xeno Kovah 在 CanSecWest 会议上发表的演讲,该演讲描述了如何重新编程服务器主板的固件以包含恶意软件。这让我真的很担心!我现在正在寻找一种方法,以确保某些给定的硬件在这方面没有受到影响。我怎样才能做到这一点?
AskOverflow.Dev
我最近阅读了Corey Kallenberg和 Xeno Kovah 在 CanSecWest 会议上发表的演讲,该演讲描述了如何重新编程服务器主板的固件以包含恶意软件。这让我真的很担心!我现在正在寻找一种方法,以确保某些给定的硬件在这方面没有受到影响。我怎样才能做到这一点?
好吧,显而易见的答案是将您拥有的 BIOS 与制造商发布的 BIOS 进行比较……当然,只有当您的制造商发布的 BIOS 不包含以 . 开头的 rookit 时才有效。
如果做不到这一点,你就会得到一个你可以写几本书的主题……或者投入价值数百万美元的 IT 安全咨询,所以这个主题太广泛了,无法在这里涵盖,但它并没有那么不同与检测任何其他 rootkit 相比——您在低级别检查日志和内存内容,并寻找系统在做它不应该做的事情的证据。John Heasman 于 2006 年在 Blackhat Europe 就 ACPI BIOS rootkit 进行了一次有趣的演讲,这似乎与此处相关。(PDF)
不过,最重要的是,这仍然是一种技术先进且相对罕见的恶意软件类型,用于攻击高价值目标,可能不包括您。如果您确实有理由担心会成为此类攻击的目标,您需要聘请一些专门的安全资源,并将有关 BIOS 恶意软件的问题引向他们。请记住,安全是一种保险。购买价值 10,000 美元的壁挂式保险箱来保护一堆 1 美元的钞票是没有意义的,就像在安全团队上花费数十万美元是没有意义的,除非您要保护的数据非常有价值。
信息安全堆栈交换站点可能更适合您对该主题的任何进一步查询,并且已有许多关于 BIOS 恶意软件的现有问题和答案可能会让您感兴趣。