Se il dispositivo ha lasciato la tua vista per un certo periodo di tempo, sostituiscilo. Non ci si può più fidare.

Il costo per garantire che ci si possa ancora fidare supera notevolmente il costo per ottenerne uno nuovo

Non esiste effettivamente modo per verificare che l'hardware non sia stato manomesso senza una significativa esperienza e impiegando risorse non banali. L'unica soluzione è sostituire il laptop e tutti i componenti associati. Senza conoscere il tuo paese o altri aspetti della situazione in cui ti trovi, non ho modo di commentare la probabilità di ciò, solo sulla fattibilità tecnica.

Se hai bisogno di verificare l'integrità di laptop, ci sono alcune cose da controllare (non esaustivo):

• Distribuzione del peso - Verifica il peso preciso di ogni componente (IC, PCB , eccetera). Le distribuzioni del peso possono essere analizzate utilizzando effetti giroscopici. Ciò richiede la presenza di apparecchiature senza compromessi nelle vicinanze per il confronto. È necessaria un'apparecchiatura di misurazione estremamente precisa.

• Consumo energetico - Verifica il consumo energetico di ciascun componente nel tempo. Le backdoor utilizzano spesso l'alimentazione e la loro presenza a volte può essere rilevata con un attacco di analisi dell'alimentazione. Non fare affidamento su questo, tuttavia, poiché i circuiti integrati possono utilizzare estremamente poca energia al giorno d'oggi.

• Ispezione a raggi X PCB - Utilizzare i raggi X per visualizzare gli interni del circuito stampato. Ciò richiede apparecchiature costose per un circuito stampato multistrato come una scheda madre di un laptop. Richiede inoltre molte ore di lavoro di ispezione intensiva di ogni micrometro quadrato del dispositivo.

Sembra eccessivo? Lo è, ma questo è ciò che dovresti fare per avere un buon livello di sicurezza che non siano state apportate modifiche hardware dannose. Sarà più economico solo acquistare un nuovo laptop. Nota che questo non vuole essere un consiglio pratico e non è nemmeno vicino al completamento anche se lo fosse. Ha lo scopo di illustrare questa quasi impossibilità di cercare impianti hardware sofisticati.

L'ho fatto uscire dall'orbita ma mi sono appena reso conto che era in stato di sospensione per 2 giorni e non in arresto stato, quindi era collegato al mio modem tramite wifi. Ha bisogno di essere preoccupato?

In teoria, hardware o firmware compromessi verrebbero compromessi per compromettere il punto di accesso wireless o altri dispositivi in ​​ascolto. Mentre uno stato sospeso (modalità sleep) normalmente disabilita anche la scheda NIC, non è possibile fare questo presupposto se l'hardware è compromesso. Tuttavia, sebbene ciò sia teoricamente possibile, richiederebbe un attacco molto più mirato e la maggior parte dei gruppi militari non vorrà dare via i 0 giorni che hanno sparandogli contro qualsiasi dispositivo wireless nelle vicinanze che riescono a trovare.

Sfortunatamente, è anche teoricamente possibile che il tuo modem sia stato compromesso. Tuttavia, non penso che sia molto probabile, poiché avrebbero potuto farlo semplicemente tramite la tua connessione Internet, supponendo che possano controllare o compromettere il tuo ISP. Se hanno manomesso il tuo hardware, è molto più probabile che lo abbiano fatto solo per scopi di sorveglianza, non per diffondere qualche worm.

Ho ricontrollato fisicamente il laptop e non ci sono segni di vite o deformazione plastica. È ancora possibile che ne abbiano compromesso l'hardware?

Assolutamente. Esistono molti modi per aprire un laptop senza che questo fatto sia evidente. Sebbene esistano sofisticati meccanismi di rilevamento delle intrusioni nello chassis, ci sono alcune tecniche "ghetto" che potresti essere in grado di utilizzare in futuro. Una tecnica consiste nel cospargere lo smalto per unghie con glitter sulle articolazioni del sistema, dentro e fuori. Scatta una foto ad alta risoluzione (e non salvare la foto sul computer!). Se il dispositivo viene aperto, la disposizione precisa dei brillantini verrà interrotta e diventerà eccezionalmente difficile rimetterlo a posto. Puoi confrontarlo con la foto memorizzata e cercare sottili differenze.

Il termine per questo è prova di manomissione , ovvero qualsiasi tecnica che renda difficile manomettere un dispositivo senza che questo fatto sia evidente. Opzioni più professionali includerebbero nastro di sicurezza antimanomissione personalizzato o adesivi olografici. Sfortunatamente, questo può aiutarti solo in futuro e ovviamente non sarà in grado di proteggere il tuo sistema retroattivamente.

Le informazioni principali che ci mancano sono il tuo modello di minaccia.

È probabile che l'esercito ti prenda di mira specificamente e sarebbe disposto a spendere alcune risorse per te? Non abbiamo bisogno di conoscere i dettagli, ma la risposta cambia a seconda che quello che è successo sia una procedura più o meno standard per il tuo paese o che tu venga individuato.

E non sappiamo cosa segreti che stai proteggendo. Se hai dati personali e comunicazioni, è un gioco diverso dall'essere un elemento attivo in un movimento di opposizione politica o in altre attività che potrebbero farti assassinare se ottengono i dati. Ci sono paesi al mondo in cui essere un attivista per i diritti umani può farti entrare in una lista di morti.

Se questa è una procedura standard e i tuoi dati non sono mortali, puoi prendere la solita precauzioni, completa reinstallazione del sistema operativo, aggiornamento del firmware, se vuoi fare il possibile, sostituisci componenti come la porta Ethernet e qualsiasi altra cosa sia sostituibile. Quindi agisci partendo dal presupposto che potresti aver perso qualcosa di più profondamente radicato, ma le tue possibilità sono migliori della media che tu sia chiaro.

Lo stesso vale per la connessione di rete attiva. È probabile che il tuo avversario abbia eseguito schemi di attacco standard. Se la tua rete è protetta e non vedi alcun segno di intrusione all'interno (log del firewall, IDS se ce l'hai, ecc.) potresti stare bene.

Se è più probabile che tu abbia ricevuto un'attenzione speciale, ti consiglio caldamente di utilizzare la macchina in alcuni modi innocenti (navigare sul web, ecc.) da qualche parte e poi lasciarla allo scoperto quando vai in bagno. O in altre parole: falla rubare. In questo modo nessuno può biasimarti, l'avversario non può dire con certezza se hai intenzionalmente "perso" il dispositivo e comunque non può provarlo, ed è l'unico modo per esserne sicuro. Anche se lo avessi spento nelle vicinanze, potrebbe esserci ancora un microfono nascosto all'interno che ti controlla. Quindi sbarazzarsene è l'unica opzione sicura.

Per i dettagli, non posso fare di meglio della foresta nella sua risposta per mostrare quanto profondamente le cose potrebbero essere nascoste all'interno. Avrebbero potuto persino sostituire i componenti con quelli apparentemente identici, oltre alle backdoor. Ci sono cose che puoi fare all'hardware che il produttore avrebbe difficoltà a trovare.

Lo stesso vale purtroppo per la tua rete. C'è sempre un altro giorno 0 là fuori e anche le backdoor nei dispositivi di rete non sono esattamente inaudite. Se sei un target di alto profilo, devi presumere che la rete sia stata compromessa.

Tuttavia, tutte queste cose avanzate non sono gratuite o economiche. Ecco perché il modello di minaccia è importante. È improbabile che i militari utilizzino le loro cose migliori per una ricerca casuale.

Metodologia a parte, supponi semplicemente che il laptop e qualsiasi cosa alla portata audio e visiva del laptop sia compromessa e quindi soggetta a monitoraggio, così come l'attività sul computer stesso.

Ricerca, manomissione o la rimozione del computer / dei dispositivi di monitoraggio potrebbe essere rilevata e vista come un atto criminale. Inoltre, la distruzione completa del laptop o il mancato utilizzo esplicito possono essere visualizzati con estremo sospetto.

Tutto quello che puoi fare è continuare a utilizzare il laptop, ma con la consapevolezza che l'attività viene monitorata (quindi fare solo cose "legali" su di esso). I dispositivi di monitoraggio visivo / audio non devono comportare l'accensione del laptop.

Investi in una borsa per laptop bella, sicura, imbottita (e insonorizzata) in cui riporre il laptop quando non è in uso.

Oltre a ciò che altri hanno menzionato sul rilevamento delle modifiche hardware (principalmente che è quasi impossibile), dovresti riconoscere che il vettore più probabile di compromesso sarebbe l'installazione del software, specialmente se avessero il tuo dispositivo solo per un periodo di tempo limitato.

Per avere un ragionevole livello di certezza che il tuo dispositivo sia pulito dagli exploit software dovresti buttare via il disco rigido e iniziare con uno nuovo e una nuova installazione. Molti dei rootkit di basso livello più pratici (e facili) modificano il firmware sui dischi rigidi per impedire a un formato normale di rimuovere il malware. Questo è anche uno dei modi più semplici per modificare un sistema in modo abbastanza rapido e "impercettibile". Se il tuo laptop ha una scheda di rete sostituibile, anche questa sarebbe qualcosa da considerare di sostituire in quanto è anche un altro posto abbastanza utile per distribuire un impianto hardware.

Qualsiasi malware alla fine dovrà probabilmente telefonare a casa. Avvia il computer e tutte le applicazioni comuni che esegui. Collegalo a un router esterno (questo è importante poiché non puoi fidarti del software in esecuzione sul laptop) che registra tutto il traffico. Lascia che il laptop rimanga inutilizzato per almeno 24 ore. Ora, convalida meticolosamente tutti gli IP tramite ARIN o altri registri, per vedere se qualcuno di loro sembra sospetto. Quasi sicuramente ne avrai diversi che non puoi convalidare, anche se la macchina non è compromessa, ma questo potrebbe darti un certo livello di sicurezza di compromesso. Tieni presente che gli stati-nazione spesso possiedono la capacità di iniettare traffico in flussi legittimi da posizioni legittime e possono anche compromettere servizi legittimi o utilizzare servizi legittimi esistenti (come docs.google.com dove qualsiasi utente può creare documenti di dati arbitrari) . Inoltre, il traffico di rete su qualsiasi protocollo di rete è sospetto e non dovrebbe essere scontato durante il tentativo di convalidare il traffico.

Infine, pensa al tuo profilo di rischio. La tua nazione è nota per l'hackeraggio di dispositivi e il monitoraggio? Sei vittima di sfortuna o ci sono motivi legittimi per cui dovrebbero o ti sospettavano? Un certo livello di paranoia è salutare, ma sii pratico con la tua valutazione. Gli impianti hardware personalizzati non sono economici e il costo della scoperta può essere imbarazzante e costoso. Se non sei un probabile sospetto e di una certa importanza significativa, l'impianto più probabile sarà basato su software / firmware, semmai fosse stato impiantato qualcosa. Come altri hanno sottolineato, qualsiasi credenziale che avevi sulla tua macchina / che hai fornito / o qualsiasi cookie del browser attivo e qualsiasi file sul sistema dovrebbe ora essere considerato compromesso.

Alla luce di ciò che ci hai detto, devi presumere che non solo il laptop sia irrimediabilmente compromesso, ma anche l'intera rete domestica, tutto ciò che è connesso ad essa e ogni account che hai ovunque a cui è stato effettuato l'accesso dal laptop o da un altro dispositivo connesso alla rete domestica.

1. Distruggi fisicamente il laptop, preferibilmente sciogliendolo / bruciandolo piuttosto che sminuzzarlo o polverizzarlo.

2. Fai lo stesso per ogni singolo componente della tua rete domestica.

3. Fai lo stesso per ogni dispositivo che è stato connesso a detta rete durante il tempo dopo che il laptop è stato "restituito".

4. Chiudi ed elimina tutti gli account che hai su ogni sito web a cui hai effettuato l'accesso dal laptop o da uno qualsiasi dei dispositivi nel passaggio 3.

5. Annulla e distruggi fisicamente tutte le carte di credito / debito / regalo da cui hai effettuato pagamenti tramite il laptop o tramite uno qualsiasi dei dispositivi nel passaggio 3. Annulla anche i pagamenti che sono stati ci fece durante il periodo successivo alla "restituzione" del laptop.

6. Chiudi tutti i tuoi conti bancari, ritirando l'intero contenuto in contanti. Distruggi tutti i documenti in tuo possesso associati a uno di questi account.

7. Non posso sottolineare con sufficiente forza l'importanza di fuggire in un paese con una migliore protezione contro questo tipo di abusi da parte delle armi il governo.

Se hanno tutte le tue password, come dici tu, e possedevano il laptop, il laptop, il suo sistema operativo e il software installato sono tutti sospetti. Come suggerito, bomba atomica dall'orbita.

Sarei anche preoccupato che qualsiasi software che potrebbe essere stato impiantato potrebbe (e vorrebbe) tentare di compromettere altri computer su reti connesse. Non collegare questa macchina a una rete Ethernet, né accenderla vicino a reti WiFi se dispone di WiFi (né intorno a dispositivi Bluetooth anche se ne so poco).

Potrebbe non essere possibile cancellarlo anche in condizioni di sicurezza a causa di firmware compromesso.

Se avessero avuto il laptop per, diciamo, 30 minuti (o meno), l'unità avrebbe potuto (e sarebbe) stata sottoposta a imaging / copiato. I suoi segreti non sono più solo tuoi.

Hai anche del lavoro da fare per cambiare tutte le tue password: potresti voler bombardare gli account per una maggiore sicurezza. Elimina tutto il contenuto (se possibile) e chiudi l'account. Buona fortuna. Le informazioni potrebbero essere già state raccolte, tuttavia.

Ci sono state risposte riguardo alla modifica dell'hardware e, sebbene questa sia una possibilità, chiaramente la manomissione del software dovrebbe essere una priorità nella tua mente.

Devo assicurarmi se hanno aggiunto qualcosa per monitorare le mie attività o rubare i miei dati oppure no

Considera che hanno già tutti i tuoi dati . Hai ceduto tutte le tue password, quindi anche i dati che non si trovano sul tuo laptop (ad es. Posta, cloud) sono nelle loro mani. Commento esteso: se non fossi in arresto potresti sempre cambiare quante più password possibili dopo averle fornite, ma vogliamo presumere che il nostro aggressore abbia così tante risorse ed efficienza da aver afferrato un'intera copia di tutte le tue attività online nel momento in cui hai annotato la password su un pezzo di carta. Approccio pessimistico.

Come sottolineato da @forest, puoi fare qualcosa per provare per dimostrare che l'hanno fatto, ma è così costoso che faresti meglio a scegliere BestBuy il più velocemente possibile per ottenere un nuovo laptop. A meno che il tuo obiettivo non sia quello di denunciare, il tuo governo ti sta spiando e in che modo.

E se lo hanno fatto, cosa dovrei fare per impedirglielo.

Presumo tu abbia chiesto "cosa devo fare per prevenirli in futuro ?". Si prega di modificare in caso contrario. Procurarsi un nuovo laptop e implementare misure di sicurezza adeguate è una buona cosa, proprio come facciamo noi altri.

La crittografia completa del disco, volumi nascosti plausibilmente negabili e password complesse sono gli strumenti di base. Un corpo militare che prende di mira un individuo può avere così tante risorse (compresi 0 giorni) che non puoi impedire loro di hackerarti per sempre, ma puoi comunque proteggerti e rendere loro un momento doloroso.

Ricorda, hai detto di aver fornito loro le password. È qui che TrueCrypt / VeraCrypt tornano utili. Ti consiglio di dare un'occhiata a questo QA. Ricordarsi di utilizzare spesso il sistema operativo della copertina. Una volta che in futuro ti verrà chiesto di nuovo le tue password, dai loro la chiave di decrittazione per il sistema operativo "esterno". Non sono stupidi, faranno del loro meglio per estorcerti che anche tu stai utilizzando un sistema operativo nascosto. Ad esempio, il solo fatto che stai utilizzando VeraCrypt al posto di Windows BitLocker o LVM Linux di serie, potrebbe essere motivo di interrogatorio / estorsione.

Potresti anche voler copiare con attenzione e in sicurezza i documenti dal vecchio disco rigido utilizzando un adattatore USB. Documenti, non eseguibili. E, per paranoia, chi può dire se alcuni documenti PDF sono stati alterati per sfruttare uno 0day in uno dei lettori popolari?

Potresti voler scappare da quel paese il prima possibile, per quello che mi riguarda .

Una backdoor deve ancora comunicare con l'attaccante, quindi dovrebbe essere sufficiente guardare le chat di rete tramite il router. Pulire un disco rigido e reinstallare un sistema operativo potrebbe non essere sufficiente, l'hanno avuto per una settimana, avrebbero potuto smontarlo, installare un dispositivo di intercettazione di rete e rimontarlo.

Non è tutto quello che c'è inoltre, potrebbe non esserci alcuna attività di rete e il programma / dispositivo potrebbe raccogliere silenziosamente dati che qualcuno potrà recuperare fisicamente in seguito, probabilmente bussando alla tua porta.

Un nuovo laptop è in ordine, comunque io ' Tenere quello vecchio, magari anche metterlo su una DMZ in modo che non possa parlare con altri dispositivi sulla rete domestica e va da sé, non può essere più utilizzato per nulla di sensibile.

Il problema principale è disporre di un buon modello di minaccia. Forse i militari stanno solo facendo cose di routine. Forse gli è stato ordinato di dedicare molti sforzi specifici per spiarti.

Se supponi che i militari stiano facendo cose di routine (non sofisticate) (allora probabilmente hanno installato del malware, probabilmente uno che la maggior parte degli strumenti software non rileverà e avrà copiato tutto il contenuto del tuo laptop sui loro server), potresti considerare di cancellare tutto il disco (cioè riformattarlo completamente) e installare (per esempio) alcune distribuzione Linux sul tuo computer (tuttavia, farlo potrebbe renderti sospetto, ma questo è un problema diverso). Copiare tutti i contenuti e aggiungere un malware è, dal punto di vista militare, molto semplice (potrebbero essere necessari 5 minuti di lavoro umano e 1 ora di attesa per il completamento della copia).

Come fare cancellare tutto il disco è una questione diversa. Su Linux vorrei dd if = / dev / zero of = / dev / sda bs = 4k ad esempio, che riempie il disco sda con zero byte. Ovviamente tutti i dati vengono persi (sugli SSD, potrebbe rimanere qualcosa) e occorre riformattare (tecnicamente per ripartizionare) il disco. E potresti semplicemente sostituire il disco (costa poche decine di euro e può essere facilmente cambiato).

Come commentato, dovresti forse reinstallare il firmwarev (es. BIOS) del tuo laptop.

Se supponi che i militari dispieghino sforzi specifici contro di te, potrebbero aver incorporato fisicamente un microfono, un GPS, un altro hardware all'interno del laptop per spiarti (e quindi non esiste alcuna soluzione software; e, a meno che tu non sia un esperto di hardware , non sarai in grado di notarlo). Cambiare l'hardware è meno facile (potrebbe richiedere ore o giorni). In tal caso farai meglio a distruggere il laptop.

Installa un AP in cantina o, in alternativa, metti il ​​laptop in una scatola di metallo. L'obiettivo è rendere impossibile la comunicazione con i segnali radio, ad eccezione dell'AP fornito da te.

All'interno di quella scatola di metallo, metti il ​​tuo AP. Quindi, il laptop dovrebbe vedere un silenzio radio totale, il suo unico modo per comunicare con il mondo esterno dovrebbe essere il tuo AP.

L'uplink del tuo AP dovrebbe essere una delle tue macchine esterne. Avvia un listener e un analizzatore di pacchetti di rete su di esso.

Potresti provare a innescare le loro intercettazioni facendo alcune cose complicate. Ad esempio, potresti cercare i nemici politici del tuo stato, o dovresti provare a cercare di contattarli.

Attenzione, queste persone sono altamente paranoiche e non sono influenzate da argomenti come " Non ho provato a contattare il paese X, ho solo provato a guardarlo così "o" Se avessi davvero provato a comunicare con il paese X, non lo avessi fatto con il tuo laptop infetto ". Sono argomenti forti per te, ma niente per loro. Sarai citato in giudizio per aver contattato il paese X e nessuno sarà interessato ai tuoi argomenti. Il tuo unico modo per evitare la punizione se non lo fai. Ora considera il caso in cui puoi giocare con loro.

Il laptop dovrebbe essere continuamente online, dovresti fare continuamente cose su di esso (ovviamente niente di illegale).

Quindi controlla il traffico del tuo AP, del tuo AP, di cosa ha comunicato e dove.

Purtroppo può avere solo una risposta positiva: se il laptop non ha comunicato, non hai modo di sapere che è perché non lo era disturbato, o che era disturbato, ma non attivo. Se comunica, saprai quanto traffico ha generato e dove.

Se hai giocato abbastanza, azzera il disco rigido e vendi il laptop su Internet.

Se tu parlerò più tardi con loro, non sai niente, hai appena venduto il tuo laptop perché volevi un hardware più forte e non pensavi nemmeno che potesse essere disturbato.

Se il laptop è un Windows 10 a causa dell'avvio sicuro, della memoria virtuale di Windows, della firma del driver, puoi assicurarti che la macchina sia affidabile. Ciò non esclude le applicazioni dannose installate e impostate per l'esecuzione e l'accesso alle risorse del computer, tuttavia, non avrebbero praticamente alcun modo per accedere ad altre applicazioni o processi che non "si presentano".

L'indirizzamento della memoria virtuale di Windows essenzialmente rimescola la memoria delle applicazioni in modalità utente. Quindi, se un virus tenta di accedere alla memoria tramite metodi compromessi, non è in grado di discernere cosa sia cosa. Quindi ogni processo ha la sua memoria virtuale di circa 2 GB che utilizza e che viene tradotta da Windows nello spazio degli indirizzi reali. La memoria del processo è fondamentalmente privata per quel processo. Possono condividere la memoria con le maniglie. Ma credo che ciò richiederebbe la cooperazione di entrambi i processi.

Inoltre, il software dannoso impostato per essere eseguito può vedere il traffico di rete, ma può essere visualizzato da chiunque anche una volta trasmesso su una rete.

Quindi, fondamentalmente, le applicazioni scritte in modo sicuro non possono essere eliminate facilmente. A meno che i "militari" non abbiano avuto accesso a OEM, Windows o Intel / AMD e non abbiano messo a loro disposizione tale capacità, o abbiano realizzato vulnerabilità di cui non si sa ancora l'esistenza.