Domanda:
Cerca backdoor installate militari sul laptop
Posse
2018-12-18 16:43:20 UTC
view on stackexchange narkive permalink

Il mio laptop è stato confiscato dall'istituto militare del mio paese e mi hanno costretto a fornire tutte le mie password (non posso dirvi il nome del mio paese). Non me l'hanno restituito per una settimana (sì, è stato fuori dalla mia vista per un po ') L'ho fatto uscire dall'orbita ma mi sono appena reso conto che era in stato di sospensione per 2 giorni e non in stato di spegnimento, quindi era collegato al mio modem tramite wifi. Devo preoccuparmi?

e

Devo assicurarmi se hanno aggiunto qualcosa per monitorare le mie attività o rubare i miei dati o no? E se l'hanno fatto, cosa devo fare per evitarlo.

Ho ricontrollato fisicamente il portatile e non ci sono segni di viti o deformazioni plastiche. È ancora possibile che ne abbiano compromesso l'hardware?

I commenti non sono per discussioni estese;questa conversazione è stata [spostata in chat] (https://chat.stackexchange.com/rooms/87365/discussion-on-question-by-posse-search-for-military-installed-backdoors-on-lapto).
"bombardato dall'orbita" cosa significa esattamente?(Suppongo che tu non sia effettivamente andato in orbita e abbia lanciato un'arma nucleare sul tuo laptop, perché non faresti la domanda.)
@PaŭloEbermann È un riferimento a una citazione del film Aliens, e in pratica significa eliminare tutto ciò che è possibile eliminare dal laptop e ricominciare da capo.C'è una bella domanda su questo [qui] (https://security.stackexchange.com/questions/24195/how-do-you-explain-the-necessity-of-nuke-it-from-orbit-to-management-e-utenti)
Undici risposte:
#1
+257
forest
2018-12-18 17:34:52 UTC
view on stackexchange narkive permalink

Se il dispositivo ha lasciato la tua vista per un certo periodo di tempo, sostituiscilo. Non ci si può più fidare.

Il costo per garantire che ci si possa ancora fidare supera notevolmente il costo per ottenerne uno nuovo


Non esiste effettivamente modo per verificare che l'hardware non sia stato manomesso senza una significativa esperienza e impiegando risorse non banali. L'unica soluzione è sostituire il laptop e tutti i componenti associati. Senza conoscere il tuo paese o altri aspetti della situazione in cui ti trovi, non ho modo di commentare la probabilità di ciò, solo sulla fattibilità tecnica.

Se hai bisogno di verificare l'integrità di laptop, ci sono alcune cose da controllare (non esaustivo):

  • Distribuzione del peso - Verifica il peso preciso di ogni componente (IC, PCB , eccetera). Le distribuzioni del peso possono essere analizzate utilizzando effetti giroscopici. Ciò richiede la presenza di apparecchiature senza compromessi nelle vicinanze per il confronto. È necessaria un'apparecchiatura di misurazione estremamente precisa.

  • Consumo energetico - Verifica il consumo energetico di ciascun componente nel tempo. Le backdoor utilizzano spesso l'alimentazione e la loro presenza a volte può essere rilevata con un attacco di analisi dell'alimentazione. Non fare affidamento su questo, tuttavia, poiché i circuiti integrati possono utilizzare estremamente poca energia al giorno d'oggi.

  • Ispezione a raggi X PCB - Utilizzare i raggi X per visualizzare gli interni del circuito stampato. Ciò richiede apparecchiature costose per un circuito stampato multistrato come una scheda madre di un laptop. Richiede inoltre molte ore di lavoro di ispezione intensiva di ogni micrometro quadrato del dispositivo.

Sembra eccessivo? Lo è, ma questo è ciò che dovresti fare per avere un buon livello di sicurezza che non siano state apportate modifiche hardware dannose. Sarà più economico solo acquistare un nuovo laptop. Nota che questo non vuole essere un consiglio pratico e non è nemmeno vicino al completamento anche se lo fosse. Ha lo scopo di illustrare questa quasi impossibilità di cercare impianti hardware sofisticati.


L'ho fatto uscire dall'orbita ma mi sono appena reso conto che era in stato di sospensione per 2 giorni e non in arresto stato, quindi era collegato al mio modem tramite wifi. Ha bisogno di essere preoccupato?

In teoria, hardware o firmware compromessi verrebbero compromessi per compromettere il punto di accesso wireless o altri dispositivi in ​​ascolto. Mentre uno stato sospeso (modalità sleep) normalmente disabilita anche la scheda NIC, non è possibile fare questo presupposto se l'hardware è compromesso. Tuttavia, sebbene ciò sia teoricamente possibile, richiederebbe un attacco molto più mirato e la maggior parte dei gruppi militari non vorrà dare via i 0 giorni che hanno sparandogli contro qualsiasi dispositivo wireless nelle vicinanze che riescono a trovare.

Sfortunatamente, è anche teoricamente possibile che il tuo modem sia stato compromesso. Tuttavia, non penso che sia molto probabile, poiché avrebbero potuto farlo semplicemente tramite la tua connessione Internet, supponendo che possano controllare o compromettere il tuo ISP. Se hanno manomesso il tuo hardware, è molto più probabile che lo abbiano fatto solo per scopi di sorveglianza, non per diffondere qualche worm.

Ho ricontrollato fisicamente il laptop e non ci sono segni di vite o deformazione plastica. È ancora possibile che ne abbiano compromesso l'hardware?

Assolutamente. Esistono molti modi per aprire un laptop senza che questo fatto sia evidente. Sebbene esistano sofisticati meccanismi di rilevamento delle intrusioni nello chassis, ci sono alcune tecniche "ghetto" che potresti essere in grado di utilizzare in futuro. Una tecnica consiste nel cospargere lo smalto per unghie con glitter sulle articolazioni del sistema, dentro e fuori. Scatta una foto ad alta risoluzione (e non salvare la foto sul computer!). Se il dispositivo viene aperto, la disposizione precisa dei brillantini verrà interrotta e diventerà eccezionalmente difficile rimetterlo a posto. Puoi confrontarlo con la foto memorizzata e cercare sottili differenze.

Il termine per questo è prova di manomissione , ovvero qualsiasi tecnica che renda difficile manomettere un dispositivo senza che questo fatto sia evidente. Opzioni più professionali includerebbero nastro di sicurezza antimanomissione personalizzato o adesivi olografici. Sfortunatamente, questo può aiutarti solo in futuro e ovviamente non sarà in grado di proteggere il tuo sistema retroattivamente.

I commenti non sono per discussioni estese;questa conversazione è stata [spostata in chat] (https://chat.stackexchange.com/rooms/87376/discussion-on-answer-by-forest-search-for-military-installed-backdoors-on-laptop).
La sostituzione del dispositivo potrebbe essere una minaccia di forza equivalente in questo caso.Il paese dei PO potrebbe assumere furtivamente il controllo della catena di approvvigionamento dei computer e infettare una fornitura significativa all'interno dei suoi confini.
@redbow_kimee È ** estremamente ** improbabile a causa della rapidità con cui sarebbe diventato noto.
Sorpreso che tu non abbia menzionato firmware dannoso (per la scheda madre principale o per uno qualsiasi dei dispositivi).La modalità di gestione del sistema x86 consente di eseguire operazioni quasi impercettibili dietro il sistema operativo.(Esiste un contatore delle prestazioni (AMD) o MSR (Intel) che conta gli interrupt di gestione del sistema, tuttavia, in modo da poter controllare l'attività SMI sospettosamente alta. [Esiste un registro equivalente a MSR \ _SMI \ _COUNT di Intel sull'architettura AMD?] (https://stackoverflow.com/q/51055831))
@PeterCordes Il firmware dannoso può aggirare `SMI_COUNT`.
Ok, questo lo rende ancora peggiore.Ciò ti lascia con esperimenti sulle prestazioni con interruzioni (regolari) disabilitate, ad es.in un driver del kernel, per cercare di rilevare SMI eccessivi.O qualche altro modo per cercare di escludere altre cause di intervalli di tempo più lunghi del previsto, almeno statisticamente.
@PeterCordes Anche questo può essere evitato, poiché anche i timer possono essere falsificati.Il firmware ha il controllo assoluto sul software, quindi non è possibile fare nulla per rilevarlo con un buon livello di certezza.Inoltre, potrebbe essere fatto entrare in SMM solo molto raramente per evitare di far scattare qualsiasi allarme, o persino eseguire firmware dannoso sul CSME, che è un processore separato e quindi non influirebbe sulle prestazioni della CPU x86 primaria.
Non ero sicuro che SMM potesse regolare in modo convincente sia RDTSC che i contatori delle prestazioni in un modo coerente fino a un paio di cicli con ciò che l'esecuzione fuori ordine avrebbe fatto per un dato ciclo che viene interrotto.I loop che non toccano la memoria, ma solo le catene di dipendenze ALU, possono essere estremamente ripetibili, ma il costo di un interrupt nel mezzo può dipendere da quanto il loop ha beneficiato del lavoro di sovrapposizione di esecuzione fuori ordine su più iterazioni.Oppure, se il ciclo viene archiviato in memoria, il costo di un interrupt può includere lo svuotamento del buffer di archiviazione.
@PeterCordes L'RDTSC continua a contare anche in SMM.Hai ragione sul fatto che ci sarebbero ancora modi per rilevarlo se lo volessi davvero (supponendo che non sia stato progettato per aggirare il meccanismo che hai usato), ma un firmware dannoso può impostare SMI in modo che si attivi solo su eventi rari, abbastanza da esseremolto improbabile che tu possa mai rilevarlo, a meno di usare un ciclo `inc` e` jmp` come contatore che massimizza tutti i core.
Ma sì, solo entrare in SMM molto raramente è molto più probabile, e probabilmente sarebbe quasi impossibile distinguere dal rumore di fondo di altre cose che possono causare picchi di temporizzazione, forse anche in un ciclo disabilitato dagli interrupt in modalità kernel.
* Penso * che ci sia un modo per cambiare il TSC, che i sistemi operativi dovevano usare per provare a sincronizzare il TSC tra i core prima che la funzione `constant_tsc` facesse sì che HW lo facesse per te attraverso i core in un socket.So che c'è roba di manipolazione TSC per VT-X per presentare un TSC scalato / offset all'ospite, che non è disponibile quando non si utilizza HW virt, ma penso che ci sia un modo per impostare semplicemente TSC.E sì, stavo parlando di cronometrare ripetutamente qualcosa che dura circa 200 cicli o giù di lì, con `lfence;rdtsc` per avviare e `rdtscp;lfence` per fermarsi.O meglio, `rdpmc` per contare i cicli core, non i cicli ref.
VT-x non consente di manipolare direttamente il TSC, ma consente solo di attivare un VMEXIT sulle istruzioni che accedono al TSC (in modo che l'hypervisor possa modificare i GPR prima di riprendere la VM).
https://www.intel.com/content/dam/www/public/us/en/documents/white-papers/timestamp-counter-scaling-virtualization-white-paper.pdf documenta la funzione di ridimensionamento (aggiunta dopo l'offsetcaratteristica), che consente la migrazione efficiente di una VM tra hardware con diverse frequenze TSC.Offset e ridimensionamento sono configurati con i campi VMCS e non richiedono un'uscita dalla macchina virtuale.(In effetti, questa funzione funziona solo per rdtsc e rdtscp se è impostata in modo che non causino l'uscita dalla VM. Si applica comunque a RDMSR su MSR `IA32_TIME_STAMP_COUNTER` e timestamp PEBS / PT, però)
@PeterCordes Oh interessante.Non lo sapevo, grazie.
Assicurati di avere quella foto in un posto fuori dal computer, però.
Perché sprecare 0 giorni quando la password dell'interfaccia utente di amministrazione del router Wi-Fi è stata probabilmente salvata nel browser?O admin: admin o qualcosa di noto all'ISP.
@forest Considerando che il controllo della catena di fornitura è estremamente improbabile, la NSA non ha fatto qualcosa del genere quando ha intercettato i componenti in viaggio dai fornitori ai clienti?AFAIK che non è stato rivelato fino alle perdite di Snowden
@JonBentley Sì, ma questo è un modello di minaccia completamente diverso.Se vogliono ottenere l'OP, non confisceranno il suo laptop, lo interdiranno mentre viene consegnato.
#2
+68
Tom
2018-12-19 17:55:50 UTC
view on stackexchange narkive permalink

Le informazioni principali che ci mancano sono il tuo modello di minaccia.

È probabile che l'esercito ti prenda di mira specificamente e sarebbe disposto a spendere alcune risorse per te? Non abbiamo bisogno di conoscere i dettagli, ma la risposta cambia a seconda che quello che è successo sia una procedura più o meno standard per il tuo paese o che tu venga individuato.

E non sappiamo cosa segreti che stai proteggendo. Se hai dati personali e comunicazioni, è un gioco diverso dall'essere un elemento attivo in un movimento di opposizione politica o in altre attività che potrebbero farti assassinare se ottengono i dati. Ci sono paesi al mondo in cui essere un attivista per i diritti umani può farti entrare in una lista di morti.

Se questa è una procedura standard e i tuoi dati non sono mortali, puoi prendere la solita precauzioni, completa reinstallazione del sistema operativo, aggiornamento del firmware, se vuoi fare il possibile, sostituisci componenti come la porta Ethernet e qualsiasi altra cosa sia sostituibile. Quindi agisci partendo dal presupposto che potresti aver perso qualcosa di più profondamente radicato, ma le tue possibilità sono migliori della media che tu sia chiaro.

Lo stesso vale per la connessione di rete attiva. È probabile che il tuo avversario abbia eseguito schemi di attacco standard. Se la tua rete è protetta e non vedi alcun segno di intrusione all'interno (log del firewall, IDS se ce l'hai, ecc.) potresti stare bene.

Se è più probabile che tu abbia ricevuto un'attenzione speciale, ti consiglio caldamente di utilizzare la macchina in alcuni modi innocenti (navigare sul web, ecc.) da qualche parte e poi lasciarla allo scoperto quando vai in bagno. O in altre parole: falla rubare. In questo modo nessuno può biasimarti, l'avversario non può dire con certezza se hai intenzionalmente "perso" il dispositivo e comunque non può provarlo, ed è l'unico modo per esserne sicuro. Anche se lo avessi spento nelle vicinanze, potrebbe esserci ancora un microfono nascosto all'interno che ti controlla. Quindi sbarazzarsene è l'unica opzione sicura.

Per i dettagli, non posso fare di meglio della foresta nella sua risposta per mostrare quanto profondamente le cose potrebbero essere nascoste all'interno. Avrebbero potuto persino sostituire i componenti con quelli apparentemente identici, oltre alle backdoor. Ci sono cose che puoi fare all'hardware che il produttore avrebbe difficoltà a trovare.

Lo stesso vale purtroppo per la tua rete. C'è sempre un altro giorno 0 là fuori e anche le backdoor nei dispositivi di rete non sono esattamente inaudite. Se sei un target di alto profilo, devi presumere che la rete sia stata compromessa.

Tuttavia, tutte queste cose avanzate non sono gratuite o economiche. Ecco perché il modello di minaccia è importante. È improbabile che i militari utilizzino le loro cose migliori per una ricerca casuale.

#3
+53
user124164
2018-12-18 22:33:22 UTC
view on stackexchange narkive permalink

Metodologia a parte, supponi semplicemente che il laptop e qualsiasi cosa alla portata audio e visiva del laptop sia compromessa e quindi soggetta a monitoraggio, così come l'attività sul computer stesso.

Ricerca, manomissione o la rimozione del computer / dei dispositivi di monitoraggio potrebbe essere rilevata e vista come un atto criminale. Inoltre, la distruzione completa del laptop o il mancato utilizzo esplicito possono essere visualizzati con estremo sospetto.

Tutto quello che puoi fare è continuare a utilizzare il laptop, ma con la consapevolezza che l'attività viene monitorata (quindi fare solo cose "legali" su di esso). I dispositivi di monitoraggio visivo / audio non devono comportare l'accensione del laptop.

Investi in una borsa per laptop bella, sicura, imbottita (e insonorizzata) in cui riporre il laptop quando non è in uso.

I commenti non sono per discussioni estese;questa conversazione è stata [spostata in chat] (https://chat.stackexchange.com/rooms/87377/discussion-on-answer-by-snow-search-for-military-installed-backdoors-on-laptop).
#4
+28
shellster
2018-12-19 03:05:45 UTC
view on stackexchange narkive permalink

Oltre a ciò che altri hanno menzionato sul rilevamento delle modifiche hardware (principalmente che è quasi impossibile), dovresti riconoscere che il vettore più probabile di compromesso sarebbe l'installazione del software, specialmente se avessero il tuo dispositivo solo per un periodo di tempo limitato.

Per avere un ragionevole livello di certezza che il tuo dispositivo sia pulito dagli exploit software dovresti buttare via il disco rigido e iniziare con uno nuovo e una nuova installazione. Molti dei rootkit di basso livello più pratici (e facili) modificano il firmware sui dischi rigidi per impedire a un formato normale di rimuovere il malware. Questo è anche uno dei modi più semplici per modificare un sistema in modo abbastanza rapido e "impercettibile". Se il tuo laptop ha una scheda di rete sostituibile, anche questa sarebbe qualcosa da considerare di sostituire in quanto è anche un altro posto abbastanza utile per distribuire un impianto hardware.

Qualsiasi malware alla fine dovrà probabilmente telefonare a casa. Avvia il computer e tutte le applicazioni comuni che esegui. Collegalo a un router esterno (questo è importante poiché non puoi fidarti del software in esecuzione sul laptop) che registra tutto il traffico. Lascia che il laptop rimanga inutilizzato per almeno 24 ore. Ora, convalida meticolosamente tutti gli IP tramite ARIN o altri registri, per vedere se qualcuno di loro sembra sospetto. Quasi sicuramente ne avrai diversi che non puoi convalidare, anche se la macchina non è compromessa, ma questo potrebbe darti un certo livello di sicurezza di compromesso. Tieni presente che gli stati-nazione spesso possiedono la capacità di iniettare traffico in flussi legittimi da posizioni legittime e possono anche compromettere servizi legittimi o utilizzare servizi legittimi esistenti (come docs.google.com dove qualsiasi utente può creare documenti di dati arbitrari) . Inoltre, il traffico di rete su qualsiasi protocollo di rete è sospetto e non dovrebbe essere scontato durante il tentativo di convalidare il traffico.

Infine, pensa al tuo profilo di rischio. La tua nazione è nota per l'hackeraggio di dispositivi e il monitoraggio? Sei vittima di sfortuna o ci sono motivi legittimi per cui dovrebbero o ti sospettavano? Un certo livello di paranoia è salutare, ma sii pratico con la tua valutazione. Gli impianti hardware personalizzati non sono economici e il costo della scoperta può essere imbarazzante e costoso. Se non sei un probabile sospetto e di una certa importanza significativa, l'impianto più probabile sarà basato su software / firmware, semmai fosse stato impiantato qualcosa. Come altri hanno sottolineato, qualsiasi credenziale che avevi sulla tua macchina / che hai fornito / o qualsiasi cookie del browser attivo e qualsiasi file sul sistema dovrebbe ora essere considerato compromesso.

Non capisco perché questa risposta non sia la più votata.Le backdoor software sono un milione di volte più probabili di quelle hardware, per tutti i tipi di motivi.Do la colpa al pezzo di Bloomberg, smentito in modo efficace, per l'eccessiva pubblicità intorno alle backdoor hardware.
#5
+14
Sean
2018-12-20 05:01:32 UTC
view on stackexchange narkive permalink

Alla luce di ciò che ci hai detto, devi presumere che non solo il laptop sia irrimediabilmente compromesso, ma anche l'intera rete domestica, tutto ciò che è connesso ad essa e ogni account che hai ovunque a cui è stato effettuato l'accesso dal laptop o da un altro dispositivo connesso alla rete domestica.

  1. Distruggi fisicamente il laptop, preferibilmente sciogliendolo / bruciandolo piuttosto che sminuzzarlo o polverizzarlo.

  2. Fai lo stesso per ogni singolo componente della tua rete domestica.

  3. Fai lo stesso per ogni dispositivo che è stato connesso a detta rete durante il tempo dopo che il laptop è stato "restituito".

  4. Chiudi ed elimina tutti gli account che hai su ogni sito web a cui hai effettuato l'accesso dal laptop o da uno qualsiasi dei dispositivi nel passaggio 3.

  5. Annulla e distruggi fisicamente tutte le carte di credito / debito / regalo da cui hai effettuato pagamenti tramite il laptop o tramite uno qualsiasi dei dispositivi nel passaggio 3. Annulla anche i pagamenti che sono stati ci fece durante il periodo successivo alla "restituzione" del laptop.

  6. Chiudi tutti i tuoi conti bancari, ritirando l'intero contenuto in contanti. Distruggi tutti i documenti in tuo possesso associati a uno di questi account.

  7. Non posso sottolineare con sufficiente forza l'importanza di fuggire in un paese con una migliore protezione contro questo tipo di abusi da parte delle armi il governo.

Sembrava davvero * davvero * eccessivo, ma tutto aveva senso fino al punto finale, quindi +1.Tranne forse vendere i dispositivi invece di distruggerli.E immagino che anche questo possa essere un buon consiglio: ** NON PROVARE A LASCIARE UN PAESE COME QUELLO CON MOLTI DENARO, LO PRENDERANNO SOLO AL CONFINE **
Distruggere la macchina non farebbe che confermare il sospetto del monitor: continuare a usarlo, ma usarlo solo per cose che non darebbero altro che sprecare tempo e noia a un'aspirante spia!
Inoltre, presumo che un'organizzazione autorizzata dal governo che significhi che le aziende non dovrebbero fare una sola cosa al computer di casa di un individuo per compromettere la connessione Internet, i conti bancari o gli account di comunicazione.In qualsiasi paese.
A meno che tu non voglia masterizzare due laptop invece di uno, dovresti probabilmente fare il # 4 prima del # 1.
#6
+11
newyork10023
2018-12-19 02:20:09 UTC
view on stackexchange narkive permalink

Se hanno tutte le tue password, come dici tu, e possedevano il laptop, il laptop, il suo sistema operativo e il software installato sono tutti sospetti. Come suggerito, bomba atomica dall'orbita.

Sarei anche preoccupato che qualsiasi software che potrebbe essere stato impiantato potrebbe (e vorrebbe) tentare di compromettere altri computer su reti connesse. Non collegare questa macchina a una rete Ethernet, né accenderla vicino a reti WiFi se dispone di WiFi (né intorno a dispositivi Bluetooth anche se ne so poco).

Potrebbe non essere possibile cancellarlo anche in condizioni di sicurezza a causa di firmware compromesso.

Se avessero avuto il laptop per, diciamo, 30 minuti (o meno), l'unità avrebbe potuto (e sarebbe) stata sottoposta a imaging / copiato. I suoi segreti non sono più solo tuoi.

Hai anche del lavoro da fare per cambiare tutte le tue password: potresti voler bombardare gli account per una maggiore sicurezza. Elimina tutto il contenuto (se possibile) e chiudi l'account. Buona fortuna. Le informazioni potrebbero essere già state raccolte, tuttavia.

Ci sono state risposte riguardo alla modifica dell'hardware e, sebbene questa sia una possibilità, chiaramente la manomissione del software dovrebbe essere una priorità nella tua mente.

Dimentica il firmware compromesso, se sono seriamente intenzionati a monitorare l'OP, che ne dici di una porta Ethernet compromessa o di un cavo del monitor compromesso?
... o un banco di memoria compromesso?Non c'è limite agli imbrogli che puoi giocare con l'hardware.
@Tom Penso che sarebbe _molto_ difficile compromettere il DIMM (se questo è ciò che intendi per banca di memoria) senza che l'impianto sia estremamente ovvio.La DRAM moderna funziona a velocità così incredibili e con una sensibilità alla latenza così estrema che è necessario un analizzatore logico abbastanza grande e ingombrante anche solo per analizzare i comandi inviati ai moduli DRAM.All'umanità manca semplicemente la capacità tecnologica per creare un piccolo impianto in grado di monitorare effettivamente la memoria in quel modo.
@forest - sì, dovresti andare sopra il singolo modulo.E non otterrai molta logica.Stavo più pensando a una semplice copia, simile a una porta di monitoraggio.
@Tom Non sono sicuro che sia in grado di copiare semplicemente i dati.A quelle velocità, le caratteristiche elettriche dei fili iniziano ad avere importanza.
@forest: potresti essere giusto per la RAM moderna.L'ultima volta che ho lavorato a livello hardware è stato quando stavamo appena iniziando a sentire gli effetti quantistici.Sono passati alcuni anni.
@forest Un dispositivo con accesso al bus di memoria sarebbe un posto perfetto per introdurre firmware di contrabbando nel sistema, però!
#7
+5
usr-local-ΕΨΗΕΛΩΝ
2018-12-20 18:25:11 UTC
view on stackexchange narkive permalink

Devo assicurarmi se hanno aggiunto qualcosa per monitorare le mie attività o rubare i miei dati oppure no

Considera che hanno già tutti i tuoi dati . Hai ceduto tutte le tue password, quindi anche i dati che non si trovano sul tuo laptop (ad es. Posta, cloud) sono nelle loro mani. Commento esteso: se non fossi in arresto potresti sempre cambiare quante più password possibili dopo averle fornite, ma vogliamo presumere che il nostro aggressore abbia così tante risorse ed efficienza da aver afferrato un'intera copia di tutte le tue attività online nel momento in cui hai annotato la password su un pezzo di carta. Approccio pessimistico.

Come sottolineato da @forest, puoi fare qualcosa per provare per dimostrare che l'hanno fatto, ma è così costoso che faresti meglio a scegliere BestBuy il più velocemente possibile per ottenere un nuovo laptop. A meno che il tuo obiettivo non sia quello di denunciare, il tuo governo ti sta spiando e in che modo.

E se lo hanno fatto, cosa dovrei fare per impedirglielo.

Presumo tu abbia chiesto "cosa devo fare per prevenirli in futuro ?". Si prega di modificare in caso contrario. Procurarsi un nuovo laptop e implementare misure di sicurezza adeguate è una buona cosa, proprio come facciamo noi altri.

La crittografia completa del disco, volumi nascosti plausibilmente negabili e password complesse sono gli strumenti di base. Un corpo militare che prende di mira un individuo può avere così tante risorse (compresi 0 giorni) che non puoi impedire loro di hackerarti per sempre, ma puoi comunque proteggerti e rendere loro un momento doloroso.

Ricorda, hai detto di aver fornito loro le password. È qui che TrueCrypt / VeraCrypt tornano utili. Ti consiglio di dare un'occhiata a questo QA. Ricordarsi di utilizzare spesso il sistema operativo della copertina. Una volta che in futuro ti verrà chiesto di nuovo le tue password, dai loro la chiave di decrittazione per il sistema operativo "esterno". Non sono stupidi, faranno del loro meglio per estorcerti che anche tu stai utilizzando un sistema operativo nascosto. Ad esempio, il solo fatto che stai utilizzando VeraCrypt al posto di Windows BitLocker o LVM Linux di serie, potrebbe essere motivo di interrogatorio / estorsione.

Potresti anche voler copiare con attenzione e in sicurezza i documenti dal vecchio disco rigido utilizzando un adattatore USB. Documenti, non eseguibili. E, per paranoia, chi può dire se alcuni documenti PDF sono stati alterati per sfruttare uno 0day in uno dei lettori popolari?

Potresti voler scappare da quel paese il prima possibile, per quello che mi riguarda .

Lasciare il paese è davvero il miglior consiglio.
È importante notare che in una situazione del genere, cercare di ingannare l'esercito che sta tentando di entrare nel tuo computer potrebbe comportare gravi conseguenze.Mentire loro apertamente è una ricetta per il disastro.
C'è un'idea interessante sulla "negabilità plausibile" e sulla crittografia - [La negabilità plausibile di TrueCrypt è teoricamente inutile] (https://defuse.ca/truecrypt-plausible-deniability-useless-by-game-theory.htm) - * "È ancheuna strategia strettamente dominante per il governo per continuare a torturarti ... Quindi, non importa se stai usando un volume nascosto o meno, il governo ottiene la più alta ricompensa continuando a torturarti. Quindi se tu e il governo siete entrambi razionali eegoistico, userai un volume nascosto e il governo continuerà a torturarti. "*
La domanda più interessante è: se quell'organizzazione militare avesse trovato qualcosa che li interessava in primo luogo, avrebbero restituito il laptop e lasciato il proprietario in generale?
@Xen2050 Questo sito web ha una comprensione estremamente ingenua della teoria dei giochi elementari.La plausibile negabilità di TrueCrypt è utile in un numero _grande_ di modelli di minacce.Ora, se sia o meno facile mantenere un volume esterno che abbia metadati convincenti (timestamp indicativi di un accesso reale) è una storia diversa.
@forest, è * impossibile * mantenere un volume esterno che abbia metadati convincenti.Se volessi dimostrare che qualcuno sta usando un volume interno, aprirei il volume esterno in un visualizzatore di file system di basso livello adatto e cercherò una vasta regione di spazio su disco inutilizzato.
@Mark I volumi nascosti non funzionano in modo da poterli trovare cercando lo spazio su disco inutilizzato.È un'idea sbagliata comune.Assumendo la sicurezza del codice sottostante, è fisicamente impossibile provare l'esistenza di un volume nascosto.Puoi concludere che probabilmente esiste se il volume aperto è "sospetto" (ad es. Il filesystem è molto obsoleto), ma anche in questo caso è solo circostanziale.
@forest, quando TrueCrypt / VeraCrypt hanno fatto questa svolta?Ogni volta che ho controllato, la funzione "volume nascosto" funzionava rendendo una parte del volume esterno "off limits" per il filesystem esterno.Certo, non puoi dimostrare matematicamente che l'enorme blocco contiguo di dati casuali che non fa parte di alcun file è, in effetti, un volume nascosto, ma a qualcuno che è un esperto di medicina legale piuttosto che un matematico, sembra * davverodannatamente sospettoso *.
@Mark Non ci sono blocchi enormi e contigui.Il volume esterno viene creato per primo, proprio come se non ci fosse alcun volume nascosto.Solo _dopo_ la creazione vengono utilizzate le regioni non allocate (che sono fortemente frammentate) per nascondere il volume nascosto.L'unica e unica differenza tra un volume reale senza un volume nascosto e il volume fittizio esterno è che uno di essi ha uno spazio non allocato che è randomizzato e l'altro ha uno spazio non allocato che ha dati crittografati.Per un cifrario moderno come quelli usati in TrueCrypt / VeraCrypt, è impossibile distinguere il testo cifrato dai dati casuali uniformi.
@Mark Un modo per pensarci è che un volume _sempre_ ha una sorta di volume nascosto, ma un volume nascosto "reale" è crittografato con una chiave derivata dalla tua password.Se non configuri un volume nascosto, non contiene nulla ed è crittografato con una chiave usa e getta (per un CSPRNG).
Si prega di spostare un ampio commento nella chat
#8
  0
RandomUs1r
2018-12-19 04:22:12 UTC
view on stackexchange narkive permalink

Una backdoor deve ancora comunicare con l'attaccante, quindi dovrebbe essere sufficiente guardare le chat di rete tramite il router. Pulire un disco rigido e reinstallare un sistema operativo potrebbe non essere sufficiente, l'hanno avuto per una settimana, avrebbero potuto smontarlo, installare un dispositivo di intercettazione di rete e rimontarlo.

Non è tutto quello che c'è inoltre, potrebbe non esserci alcuna attività di rete e il programma / dispositivo potrebbe raccogliere silenziosamente dati che qualcuno potrà recuperare fisicamente in seguito, probabilmente bussando alla tua porta.

Un nuovo laptop è in ordine, comunque io ' Tenere quello vecchio, magari anche metterlo su una DMZ in modo che non possa parlare con altri dispositivi sulla rete domestica e va da sé, non può essere più utilizzato per nulla di sensibile.

Probabilmente dovresti guardare una copia del catalogo di impianti hardware della NSA che è trapelato alcuni anni fa.Hanno backdoor che possono comunicare in tutti i modi, anche modulando un segnale radio trasmesso esternamente.
@RandomUs1r: l'avversario qui è il ** militare **, non un normale criminale informatico con una backdoor che ha copiato da qualche forum darknet.Esistono ** molti ** modi per inviare dati in modi che nemmeno la maggior parte dei professionisti della sicurezza informatica potrebbe rilevare.Alcuni dei miei amici si avvicinano a un dispositivo come questo con un oscilloscopio.C'è una mezza dozzina di modi documentati per ottenere dati dentro e fuori da macchine che apparentemente non sono connesse a nessuna rete.Esistono molti modi per nascondere le attività di rete, sistema e memoria.
Oppure il malware non comunica affatto, ma memorizza solo i dati fino a quando il laptop non viene nuovamente cercato.
Un utente esperto con un oscilloscopio avrebbe qualche possibilità solo se sapesse approssimativamente cosa sta cercando.
#9
-1
Basile Starynkevitch
2018-12-27 14:30:40 UTC
view on stackexchange narkive permalink

Il problema principale è disporre di un buon modello di minaccia. Forse i militari stanno solo facendo cose di routine. Forse gli è stato ordinato di dedicare molti sforzi specifici per spiarti.

Se supponi che i militari stiano facendo cose di routine (non sofisticate) (allora probabilmente hanno installato del malware, probabilmente uno che la maggior parte degli strumenti software non rileverà e avrà copiato tutto il contenuto del tuo laptop sui loro server), potresti considerare di cancellare tutto il disco (cioè riformattarlo completamente) e installare (per esempio) alcune distribuzione Linux sul tuo computer (tuttavia, farlo potrebbe renderti sospetto, ma questo è un problema diverso). Copiare tutti i contenuti e aggiungere un malware è, dal punto di vista militare, molto semplice (potrebbero essere necessari 5 minuti di lavoro umano e 1 ora di attesa per il completamento della copia).

Come fare cancellare tutto il disco è una questione diversa. Su Linux vorrei dd if = / dev / zero of = / dev / sda bs = 4k ad esempio, che riempie il disco sda con zero byte. Ovviamente tutti i dati vengono persi (sugli SSD, potrebbe rimanere qualcosa) e occorre riformattare (tecnicamente per ripartizionare) il disco. E potresti semplicemente sostituire il disco (costa poche decine di euro e può essere facilmente cambiato).

Come commentato, dovresti forse reinstallare il firmwarev (es. BIOS) del tuo laptop.

Se supponi che i militari dispieghino sforzi specifici contro di te, potrebbero aver incorporato fisicamente un microfono, un GPS, un altro hardware all'interno del laptop per spiarti (e quindi non esiste alcuna soluzione software; e, a meno che tu non sia un esperto di hardware , non sarai in grado di notarlo). Cambiare l'hardware è meno facile (potrebbe richiedere ore o giorni). In tal caso farai meglio a distruggere il laptop.

Sappi che sovrascrivere il disco in questo modo non è sicuro sulle unità a stato solido.
I malware / backdoor del firmware sono altrettanto facili e sopravviverebbero a ogni tuo suggerimento.
#10
-2
peterh - Reinstate Monica
2018-12-27 09:35:25 UTC
view on stackexchange narkive permalink

Installa un AP in cantina o, in alternativa, metti il ​​laptop in una scatola di metallo. L'obiettivo è rendere impossibile la comunicazione con i segnali radio, ad eccezione dell'AP fornito da te.

All'interno di quella scatola di metallo, metti il ​​tuo AP. Quindi, il laptop dovrebbe vedere un silenzio radio totale, il suo unico modo per comunicare con il mondo esterno dovrebbe essere il tuo AP.

L'uplink del tuo AP dovrebbe essere una delle tue macchine esterne. Avvia un listener e un analizzatore di pacchetti di rete su di esso.

Potresti provare a innescare le loro intercettazioni facendo alcune cose complicate. Ad esempio, potresti cercare i nemici politici del tuo stato, o dovresti provare a cercare di contattarli.

Attenzione, queste persone sono altamente paranoiche e non sono influenzate da argomenti come " Non ho provato a contattare il paese X, ho solo provato a guardarlo così "o" Se avessi davvero provato a comunicare con il paese X, non lo avessi fatto con il tuo laptop infetto ". Sono argomenti forti per te, ma niente per loro. Sarai citato in giudizio per aver contattato il paese X e nessuno sarà interessato ai tuoi argomenti. Il tuo unico modo per evitare la punizione se non lo fai. Ora considera il caso in cui puoi giocare con loro.

Il laptop dovrebbe essere continuamente online, dovresti fare continuamente cose su di esso (ovviamente niente di illegale).

Quindi controlla il traffico del tuo AP, del tuo AP, di cosa ha comunicato e dove.

Purtroppo può avere solo una risposta positiva: se il laptop non ha comunicato, non hai modo di sapere che è perché non lo era disturbato, o che era disturbato, ma non attivo. Se comunica, saprai quanto traffico ha generato e dove.

Se hai giocato abbastanza, azzera il disco rigido e vendi il laptop su Internet.

Se tu parlerò più tardi con loro, non sai niente, hai appena venduto il tuo laptop perché volevi un hardware più forte e non pensavi nemmeno che potesse essere disturbato.

#11
-6
marshal craft
2018-12-20 17:22:12 UTC
view on stackexchange narkive permalink

Se il laptop è un Windows 10 a causa dell'avvio sicuro, della memoria virtuale di Windows, della firma del driver, puoi assicurarti che la macchina sia affidabile. Ciò non esclude le applicazioni dannose installate e impostate per l'esecuzione e l'accesso alle risorse del computer, tuttavia, non avrebbero praticamente alcun modo per accedere ad altre applicazioni o processi che non "si presentano".

L'indirizzamento della memoria virtuale di Windows essenzialmente rimescola la memoria delle applicazioni in modalità utente. Quindi, se un virus tenta di accedere alla memoria tramite metodi compromessi, non è in grado di discernere cosa sia cosa. Quindi ogni processo ha la sua memoria virtuale di circa 2 GB che utilizza e che viene tradotta da Windows nello spazio degli indirizzi reali. La memoria del processo è fondamentalmente privata per quel processo. Possono condividere la memoria con le maniglie. Ma credo che ciò richiederebbe la cooperazione di entrambi i processi.

Inoltre, il software dannoso impostato per essere eseguito può vedere il traffico di rete, ma può essere visualizzato da chiunque anche una volta trasmesso su una rete.

Quindi, fondamentalmente, le applicazioni scritte in modo sicuro non possono essere eliminate facilmente. A meno che i "militari" non abbiano avuto accesso a OEM, Windows o Intel / AMD e non abbiano messo a loro disposizione tale capacità, o abbiano realizzato vulnerabilità di cui non si sa ancora l'esistenza.

Non sono d'accordo.L'avvio affidabile impedisce al firmware UEFI originale di eseguire software non attendibile (ovvero il software non può essere manomesso).Non impedisce all'hardware manomesso di avviare il sistema operativo originale.La tua affermazione sulla memoria virtuale è corretta, ma nessuno impedisce a un corpo militare con risorse sufficienti per sostituire il firmware UEFI con un hypervisor su cui gira il sistema operativo.Quindi hai il controllo ring-0 sulla macchina.
Il motore di gestione Intel è il punto di partenza, Intel deve fornire all'oem informazioni e strumenti per utilizzare il processore di esecuzione sicuro, utilizzato da Windows.C'è stato un recente exploit con i mac, ma questo era con il motore di esecuzione sicuro non utilizzato e configurato che viene eseguito dagli oem, Windows non si avvia in un ambiente del genere e ciò richiederebbe comunque strumenti Intel.
"Windows non si avvia".Questo è nuovo per me, cercherò di farlo.Grazie.Sì, un modulo TPM può convalidare l'hardware e rifiutarsi di rilasciare la chiave se l'hardware è compromesso, ma è qualcosa di diverso dal sistema operativo per convalidare l'hardware.Un esempio è Magisk per Android.Magisk funziona con un bootloader sbloccato ma è in grado di indurre Android a pensare che l'hardware e il sistema operativo siano intatti.Da quello che ho imparato, Magisk è per lo più invulnerabile.Quindi Android * non può * rifiutarsi di avviarsi.Questo giustifica la mia sorpresa nella tua frase.Questo è un argomento molto interessante
Nell'esempio di Magisk: il telefono bloccato rifiuterà di avviare Magisk perché l'hardware controlla il sistema operativo.Ma quando il software (ad esempio SafetyNet) cerca di valutare l'hardware, Magisk crea uno strato di fumo che fa pensare al software che l'hardware è sano.Sicuramente, Android vs Magisk è solo un semplice esempio, non so cosa fa Windows per convalidare l'hardware quando l'hardware è in grado di fornire una falsa attestazione
Fondamentalmente l'oem imposta i fusibili in m.e.Che vengono utilizzati per verificare che il firmware sia stato firmato utilizzando la crittografia.L'oem può aggiornare il firmware ecc., Ma mantiene il sistema bloccato.Anche l'oem funziona con Windows e uefi per trasmettere la fiducia a quei componenti.Inoltre, Windows stesso non utilizza normalmente i driver uefi.Anche se può funzionare come plug and play nel caso peggiore in cui non può trovare un driver, credo.Ovviamente questo sarebbe un buco nel meccanismo di firma del driver.Quindi non sono sicuro di come venga gestito, ma presumo che lo sia.
Sto parlando di PC Windows, non di telefoni.Windows non è solo completamente progettato per utilizzare l'avvio sicuro, ma lo richiede!Inoltre intel atom x86 soc funzionerà solo in uno stato limitato senza il motore di gestione configurato correttamente, per non parlare del fatto che potrebbe eseguire mac o.s.Per non parlare delle finestre.
Scusa, stavo parlando in generale di hardware e kernel.Voglio dire che ciò che * può * essere fatto in Windows può essere fatto potenzialmente in Linux, Android, Mac e Rasbperry Pi
Cerchiamo di [continuare questa discussione in chat] (https://chat.stackexchange.com/rooms/87325/discussion-between-usr-local--and-marshal-craft).
@usr-local-ΕΨΗΕΛΩΝ Se hai accesso fisico, sconfiggere TPM è ** banale **.In effetti, almeno per SRTM, che è ciò che viene descritto qui, tutto ciò che devi fare per sconfiggerlo è sostituire il chip BIOS con uno che non abbia un blocco di avvio bloccato (CRTM).SRTM è utile solo per rilevare le modifiche del firmware, non l'hardware.
@ forest è chiamato descrittore flash, vedere Intel Trusted Execution Engine, che è il motore di gestione chiamato ultimamente (2017?).È certo che almeno il nuovo firmware dovrebbe avere il supporto Intel per ottenere da Microsoft, se questo è fatto sicuro che può fare molte cose come usare il wifi mentre il pc è spento in s0 stati di sospensione non comunicati a Windows o ai driver.Intel fornisce i file binari dei componenti principali richiesti da uefi.Non sorgente ma binari.È del tutto possibile che un governo si rivolga a qualsiasi azienda nazionale e chieda loro di consegnare questi strumenti.
@marshalcraft Non sto parlando del descrittore flash CSME, sto parlando del bootblock del BIOS che contiene il CRTM sul chip flash.Di solito è di sola lettura nell'hardware e viene utilizzato per eseguire il bootstrap dell'avvio misurato insieme al TPM.Il CRTM legge il resto del flash del BIOS in PCR0 prima di saltarci sopra ed eseguire.Per questo motivo, puoi bypassarlo semplicemente sostituendo il chip flash.
Inoltre, il Trusted Execution Engine (TXE) _non_ è quello che viene chiamato il Management Engine (CSME).
Txe sembra sostituire la tecnologia chiamata motore di gestione.Molti aspetti sono gli stessi come il descrittore flash, che agisce come un sommario che descrive le dimensioni e le posizioni mappate della memoria flash spi delle sezioni obbligatorie.Txe fornisce inoltre un'unità di elaborazione sicura.Wikipedia è decisamente obsoleta su questo argomento.
@marshalcraft Non è corretto.TXE è un modulo che è _parte_ del CSME.Hanno anche diverse interfacce PCIe virtuali, la prima è TEXI e la seconda è HECI.Correlati, ma non uguali.
Beh, la documentazione di Intel è privata, quindi non posso dire altro sull'argomento, il che è un peccato.Questo ha letteralmente trasformato l'architettura basata su PC x86 / 64 in un'arena privata a porte chiuse.I giorni dell'ingegnosità dei PC americani dei megatrend americani, degli scrittori di sistemi operativi Bill Gates e Paul Allen, Dell, ecc. Sono finiti, invece abbiamo microprocessori intercettati e sfruttati ... e "applicazioni" che sostituiscono lo standard .exe da asporto a prezzi efficienti completamente programmabilipc.È abbastanza ovvio dove stessero andando analoghi ai secoli bui dopo l'impero romano.
@marshalcraft Sebbene il loro database interno del servizio di contenuti possa essere privato, la documentazione relativa a TXT e CSME è assolutamente pubblica.Non è qualcosa per cui devi firmare un accordo di non divulgazione.
@usr-local-ΕΨΗΕΛΩΝ In realtà la sua affermazione sulla memoria virtuale non è corretta.Solo perché la memoria è "codificata" non significa che il firmware non sarà in grado di vedere cosa è cosa.Ha le tabelle delle pagine, dopotutto ...
E sì, devi sospirare e nda.
Inoltre avevo ragione, posso garantire che il contenuto della mia applicazione Windows dice una variabile chiamata flag, non può essere conosciuto il contenuto al di fuori di quell'applicazione, in particolare a causa dell'indirizzamento virtuale di Windows.Oppure potresti usare la tua conoscenza matematica per cose migliori.
@marshalcraft Non ho idea di cosa stai parlando.E le informazioni di base sul CSME _non_ richiedono la firma di un NDA.Sì, ottenere informazioni dettagliate sulla programmazione OEM o sulla toolchain sì, ma semplicemente conoscere le interfacce di base che utilizza (HECI e TEXI)?Niente affatto.Perché dovrebbe?
Ad ogni modo, l'avvio sicuro ha lo scopo di verificare il software, ma presume che il firmware non sia compromesso.Poiché a OP è stato confiscato il suo laptop, è molto probabile che il _firmware_ sia stato modificato, cosa che nemmeno SRTM può sconfiggere (dato che puoi semplicemente sostituire il blocco di avvio CRTM / BIOS con accesso fisico).Penso che BootGuard potrebbe aiutare un po ', ma anche se non è perfetto.Quindi la tua idea che l'avvio sicuro proteggerà il sistema?Risibile.
E a quali rapide ricerche su Google ti riferisci?Non ho dovuto cercare _ alcun_ di questo, come puoi vedere dalle mie domande e risposte esistenti.Indipendentemente da ciò, se stai arrivando al punto in cui affermi di essere l'unica persona sana di mente in un mondo di pazzi e che "tutti possono vederlo" (mi chiedo perché sei -7 allora?), Allora non c'è niente che posso fareper insegnarti, scusa.Per favore, renditi conto che alcuni di noi lo fanno per un _job_.Non siamo solo hobbisti che si divertono a speculare.Molti di noi sono professionisti.
@marshalcraft Ho problemi a sostenere l'idea che questo risponda effettivamente alla domanda.Che i fatti siano veri o no, in che modo questo affronta le domande sollevate?Riesci a collegare i punti un po 'meglio?


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 4.0 con cui è distribuito.
Loading...