Esto no es totalmente evitable, pero su riesgo puede reducirse sustancialmente.
Desde el lado del hardware: deberá implementar cargadores de arranque firmados criptográficamente (para controladores de dispositivo) en el BIOS / UEFI. Red Hat Enterprise Linux 7 tiene tales características. 27.8. Firma de módulos de kernel para arranque seguro (… todas las desviaciones de controladores confiables / firmados conocidos deberán investigarse como posibles infracciones).
En el nivel del sistema operativo / software: las características del kernel SELinux (resumiré mal como “un firewall en el nivel de memoria y proceso, observando y restringiendo estrictamente qué programas tienen acceso a qué espacios de código de usuario / sistema”) detendrán algunos de los cosas de nivel, con mucha molestia administrativa. Las herramientas de escáner de integridad como RKhunter o Tripwire pueden verificar la mayoría de los ejecutables binarios (pero no todos) en cuanto a tamaño y / o suma de verificación, alertando si algo se modifica.
- ¿Cuáles son las principales vulnerabilidades de seguridad en los sistemas SCADA para centros de datos y qué empresas se centran en desarrollar soluciones para estos problemas?
- ¿Windows Defender es suficiente para mantener mi computadora a salvo de virus?
- ¿Cómo puedo saber si una computadora portátil ha sido comprometida?
- Cómo hacer que mi aplicación web sea más segura
- ¿Cuál es la diferencia principal entre la seguridad cibernética y la seguridad del software? ¿Y existe la seguridad del hardware en TI?
HowTos / SELinux – CentOS Wiki
Cómo escanear en busca de rootkits, puertas traseras y exploits usando ‘Rootkit Hunter’ en Linux
Incluso estas salvaguardas voluminosas y engorrosas no resultarán en un 100% de seguridad. Algunos ataques modernos solo existen en la memoria (sin ejecutables modificados), o pueden “saltar” al espacio privilegiado a través de vectores de aspecto inofensivo, como la recolección de basura Java / GlassFish. Pero los métodos anteriores generarán una seguridad diaria casi realista al 100%.
Una vez consulté por un proveedor regional de energía eléctrica en el noreste de los Estados Unidos. Estas personas estaban tan preocupadas por la violación de su infraestructura que ejecutaron sus sistemas críticos (firewalls, controladores) desde los CD-ROM pregrabados de OpenBSD. Literalmente no había ningún sistema de archivos para explotar, y el “comportamiento sospechoso” podría resolverse temporalmente mediante un reinicio sistémico (al menos hasta que el malware residente en BIOS / GPU surgiera), pero, hombre, volviendo a grabar un montón de CD con cada pequeño cambio fue casi insoportablemente doloroso.