Ich wuerde gern eine BIOS-Veraenderung mittels Checksumme
(vergleichbar AIDE oder Tripwire fuer Dateien) erkennen.
Hat sowas schonmal jemand versucht? Ich konnte mir bisher mit
Google/Wikipedia nicht den richtigen Speicherbereich erschließen. An
sich sollte es ja reichen unter Unix mit dd einen bestimmten Teil von
/dev/mem auszulesen und dann darueber einen SHA256 zu berechnen.
Mir ist klar, dass nicht jede Bios-Veränderung ein Angriff ist, man
eventuell nur einen bestimmten statischen Code-Teil des BIOS
checksummen will und ein Angreifer so eine Checksumme evtl.
vorhersieht und analog wie dateibasierten Checksummen beim Auslesen
falschen Daten zurueckliefern koennte, um sich zu tarnen.
Schreib- oder Passwortschutz kann eventuell eine BIOS-Veraenderung
verhindern (wenn nicht per Software undokmentierterweise umgehbar),
aber dennoch eine warum auch immer erfolgte Veraenderung nicht
erkennen, worum es mir hier aber geht.
Analog muesste das dann mit allen anderen ROMs und Firmwares im
Rechner erfolgen, wie NIC, SAS-Controller, Grafikkarte, Festplatte,
Scanner etc. Da koennte ja auch ein Angreifer ueberall Code versteckt
haben.
(vergleichbar AIDE oder Tripwire fuer Dateien) erkennen.
Hat sowas schonmal jemand versucht? Ich konnte mir bisher mit
Google/Wikipedia nicht den richtigen Speicherbereich erschließen. An
sich sollte es ja reichen unter Unix mit dd einen bestimmten Teil von
/dev/mem auszulesen und dann darueber einen SHA256 zu berechnen.
Mir ist klar, dass nicht jede Bios-Veränderung ein Angriff ist, man
eventuell nur einen bestimmten statischen Code-Teil des BIOS
checksummen will und ein Angreifer so eine Checksumme evtl.
vorhersieht und analog wie dateibasierten Checksummen beim Auslesen
falschen Daten zurueckliefern koennte, um sich zu tarnen.
Schreib- oder Passwortschutz kann eventuell eine BIOS-Veraenderung
verhindern (wenn nicht per Software undokmentierterweise umgehbar),
aber dennoch eine warum auch immer erfolgte Veraenderung nicht
erkennen, worum es mir hier aber geht.
Analog muesste das dann mit allen anderen ROMs und Firmwares im
Rechner erfolgen, wie NIC, SAS-Controller, Grafikkarte, Festplatte,
Scanner etc. Da koennte ja auch ein Angreifer ueberall Code versteckt
haben.