Есть такой вопрос. он появился у меня давно, но подтолкнул

меня к нему инцидент с квалком. появился с интелМЕ. клоню к тому, что средства скрытой передачи информации могут идти аппаратно от поставщика железа. при чем я не включаю сюда протрояненные андроиды, от непонятных китайских производителей.

к примеру суриката не имеет правил, для какого штамма. к примеру трафик на файре не фильтруется на исходящий, или фильтруется, но пусть разрешен https.

т.е. имеем аппаратную скрытую угрозу. и имеем, ну, скажем, стандартную для многих сеть.

каким образом в таких случаях, найти что блокировать на сетевом уровне? (отказ от интел и квалком? так себе решение, т.к. в иностранных вендорах вполне может быть подобное. а отечественный сектор микроэлектроники не дорос)

интересует выявление паразитного малого трафика, к примеру на линке 100-1000мегабит. (есть конечно вариант сертификации девайсов в рф, и качать правила для файров, сурикаты, это если бы по уму).

примерно так.

2 ответов

21 просмотр

Можно попробовать подтверждать каждый пакет. Условно внешнее фильтрующиее устройство будет слать запрос ОС, чтобы удостовериться, что запрос пришёл не от хардварного бэкдора, а от операционной системы

Намекаешь, что есть какой-то скрытый протокол на сетевом уровне? Или все же стандартный tcp/ip стек? Если стандартный то собрать дамп там, месячный огромный. И скриптом оттуда вычищать весь известный легитимный трафик. Минимум софта оставить ведь вопрос сетевуху потестить только. Второй вариант - взять несколько разных вендоров, тк можно предположить, что у разных вендоров разные способы будут. И на нескольких минимальных сборках запускать максимально одинаковые минимальные линуксы, выполнять заранее написанные одинаковые скрипты чтоб сгенерить трафик, все это дампать и потом диффы вычислять - обрабатывать этот огромный массив. Потянет думаю на хороший дисер.

Похожие вопросы

Обсуждают сегодня

33 вопроса о веб-уязвимостях для подготовки к собеседованию. Сложность — средняя, некоторые вопросы с подвохом. Если смогли ответить на большую часть без подсказок, — можете с...
Raymond E 👁‍🗨
2
Hack Time друзья, Миф на связи.🤘 Посмотрел выступление коллег с PHdays по ChatGPT по использованию в безопасности. Ну что сказать не хочу обижать коллег, но я мягко сказать ...
Сергей Бут
2
сеть починить, хакера найти, политику ИБ написать?
N B
22
Если скрипт запускается по шедулеру и ходит в базу за информацией, как защитить пароль? Пароль хардкодиться в код, хуле делать. Какие варианты?
Pompilius Ciceron
19
CVE-2023-20198 BDU:2023-06875 Уязвимость веб-интерфейса операционной системы Cisco IOS XE связана с ошибками при управлении привилегиями. Эксплуатация уязвимости может позвол...
Octavianus Augustus
1
Какой роутер лучше взять? Безопасный и стабильный роутер для домашнего использования. Не игрового. 500 мбит скорость дома. Выбираю между asus RT-AX86U GL.iNet Flint GL-AX1800
­­ ­­
15
ребят, скажем, у вас один единственный девайс — смартфон. пользуетесь vpn и всеми основными службами (Google, Microsoft и т.д.) + средой производителя телефона (аля samsung ga...
Merlin
13
Исчезли некоторые важные файлы на втором жёстком диске. Один компьютер, три жёстких диска. В двух из них установлена ОСь Window 10, а третий используется как общее хранилище. ...
Zer0 Eye
43
Привет всем. Мне 14 лет, я изучаю программирования уже год, решил прийти на более серьезные вещи:), С чего посоветуете начать новичку?
ام عبدالله
15
#СтруктураМомента: арест основателя Group-IB – бой войны между ЦИБ ФСБ и Управлением "К" МВД РФ, обострившейся ввиду ИТ-части Женевской сделки. Наши с вами друзья на Лубянке ...
Гарик ♠️
3
Карта сайта