Domanda:
Disinfetta il computer dopo il sequestro di Homeland Security
user91785
2015-11-13 00:09:05 UTC
view on stackexchange narkive permalink

Sono tornato dall'estero negli Stati Uniti e tutta la mia attrezzatura elettronica è stata sequestrata dalla Homeland Security, compreso il mio computer portatile, dischi rigidi esterni, unità flash, ecc.

Dopo più di un mese ho finalmente ho riavuto la mia roba. Ho 2 domande:

  1. È noto se Homeland Security ha mai installato spyware, virus, dispositivi di tracciamento, ecc. Sui computer sequestrati?

  2. Cosa dovrei cercare, quali misure dovrei intraprendere per disinfettare le mie cose, cosa faresti?

MODIFICA: I non è possibile riformattare, masterizzare il disco rigido, ecc. come alcuni hanno suggerito perché il lavoro molto importante è sul laptop, ovvero il software su cui lavoro da oltre un anno.

Sì, avevo backup di tutti i miei dati. Sfortunatamente, i backup erano tutti con me e hanno sequestrato anche tutti quelli (2 dischi rigidi esterni, 3 unità flash USB). Quindi il semplice utilizzo dei backup non è un'opzione.

Inoltre, qualcuno ha detto che le persone non possono aiutarmi senza infrangere le leggi. Non sono a conoscenza di alcuna legge che stabilisca che è illegale rimuovere spyware / malware / virus o che è illegale rimuovere qualsiasi cosa il governo abbia messo sul tuo computer.

MODIFICA: Immagino di poter riformulare la domanda come "come faresti per ottenere il codice sorgente che hai scritto (file di testo) dal computer in modo sicuro," in modo sicuro "significa scansionare file di testo per rilevare qualcosa di insolito, e poi trasmetterli o in qualche modo metterli su un altro computer? "

La risposta ovvia è: formatta tutto e reinstalla. Anche se questo non ti proteggerà se hanno modificato la scheda madre. Suggerimenti più dettagliati (se presenti) dipenderanno probabilmente dal sistema operativo in esecuzione (presumo Windows?), Dall'hardware del laptop, hai backup a casa di tutti i dati (ad es. Acquista un nuovo laptop e prendi il backup dati?)
Bene, lo brucerei e inizierei con uno nuovo acquistandolo in un negozio e non ordinandolo online. Poi di nuovo, sono solo paranoico. I firmware possono essere modificati, specialmente quelli su dischi rigidi, BIOS, schede video ecc.
Oltre ai passaggi di sicurezza, parlerei con un avvocato. Se ciò non costituisce perquisizione e sequestro irragionevoli, non riesco a immaginare cosa lo farebbe. Ciò è illegale senza che sia stata commessa una probabile causa del crimine.
@reirab In generale, la tua affermazione sarebbe vera. Tuttavia, le recenti leggi (successive all'11 settembre) negli Stati Uniti rendono le cose un po 'più confuse al confine. In sostanza, se viaggi da / verso gli Stati Uniti (soprattutto in, e soprattutto se non sei un cittadino), presumi che i tuoi beni e dispositivi elettronici siano * legalmente * vulnerabili alla perquisizione e al sequestro da parte delle autorità di frontiera. Tali casi sono relativamente rari, specialmente quelli che coinvolgono convulsioni di tale durata come questo, ma è tutt'altro che inaudito.
@Iszi Dipende dalla tua definizione di "legale", immagino. La Costituzione degli Stati Uniti non è cambiata dall'11 settembre e afferma esplicitamente che ciò è illegale, indipendentemente da ciò che può dire qualsiasi altra legge. Solo perché una legge non è stata ancora dichiarata incostituzionale non significa che non sia incostituzionale. Naturalmente, i diritti per i non cittadini possono essere significativamente diversi, ma OP sembra riferirsi agli Stati Uniti come casa, quindi ho pensato che fosse un cittadino.
Salva il testo del tuo codice sorgente in file di testo separati, quindi elimina il sistema.
Se hanno installato qualcosa nel / sul tuo computer e tu o qualcun altro siete in grado di trovarlo, questa sarebbe un'ottima opportunità per trapelarlo.
Come notato da @Jeroen-ITNerdbox, [il firmware può essere compromesso] (https://blog.kaspersky.com/equation-hdd-malware/7623/). Ma poi, questo è [un problema per tutti noi] (http://www.standard.net/Tech-Matters/2015/08/08/What-you-should-know-about-firmware-viruses) comunque. Cosa ti aspetti di sostituire la tua attrezzatura con quella affidabile come sembri desiderare? Perché sei particolarmente preoccupato? (A parte la preoccupazione generale condivisa dalla maggior parte di noi.)
Ti interessa se altre persone accedono a questo codice? Puoi trovare persone che vorrebbero invertire il motore dei tuoi laptop per denunciare un altro scandalo statunitense ("Gli Stati Uniti hanno piantato malware sui dispositivi elettronici dei turisti"). Forse questo potrebbe insegnare una o due cose agli Stati Uniti
Ho l'impressione che tu non voglia particolarmente rivelare che tipo di software stavi / stai sviluppando (che è certamente un tuo diritto e che sono certamente consapevole che potresti fare per un numero qualsiasi di motivi legittimi al 100%) . Ma penso che qualsiasi risposta reale e pragmatica debba prendere in considerazione le motivazioni che il DHS potrebbe avere per alterare il tuo codice sorgente, impiantare firmware dannoso, ecc. Il che dipende necessariamente da ciò che potrebbero vederti fare che varrebbe il tempo / la seccatura. In altre parole, se sei uno sviluppatore di giochi casual per smartphone, tu ...
... quasi certamente hanno poco di cui preoccuparsi. Se, d'altra parte, sei uno sviluppatore di software di sicurezza per una start-up che sta lavorando a un IDS di nuova generazione o qualcosa di simile, il rischio pratico potrebbe (forse, forse) non essere trascurabile. E se sei uno sviluppatore di malware a noleggio, appena tornato da un viaggio nel nord del Pakistan ... beh, hai capito. (Esempio deliberatamente estremo.)
Questo è il motivo per cui dovrebbe esserci un backup fuori sito http://www.hanselman.com/blog/TheComputerBackupRuleOfThree.aspx
Se fossi il governo e avessi pianificato di monitorarti, farei modifiche hardware che esisterebbero anche dopo una riformattazione. Potrebbe voler ispezionare visivamente i circuiti stampati e simili per eventuali saldature funky o chip che sembrano fuori posto ..
È possibile verificare se Homeland Security ha installato o meno spyware non rilevabile facendo esattamente quelle cose che sono destinate a catturare l'attenzione di Homeland Security senza violare effettivamente alcuna legge. Puoi pensare di scrivere un piano per lanciare un attacco terroristico, utilizzare la codifica RSA per crittografare il documento e quindi caricarlo su un server di posta, ad es. un account Gmail usa e getta. Ti comporti quindi come un terrorista che comunica tramite un account Gmail condiviso e la crittografia RSA.
Ora, se il personale di Homeland Security può leggere il tuo documento non crittografato, dovrà agire in base alle informazioni in esso contenute, supponendo che ciò sia sufficientemente allarmante. Homeland Security vorrà tenerti all'oscuro di ciò che sanno in questa fase per assicurarti di tenere il passo con le informazioni sui tuoi piani usando il tuo laptop. Se scrivi di un complotto contro un obiettivo che normalmente ha poca sicurezza e all'improvviso vedi molta sicurezza lì, allora questo è un segno che Homeland Security ha letto il tuo documento. Quindi vuoi sbarazzarti del tuo computer.
Jake - Ti dispiacerebbe spiegarmi il motivo per cui è successo? Forse quale comportamento dovremmo evitare in aeroporto?
Il codice sorgente del tuo anno valeva in un sistema di controllo delle versioni che ha un meccanismo di checksum? Se è così, hai qualche modo (archivi di posta elettronica per esempio) per verificare i checksum in qualsiasi momento? La maggior parte delle risposte finora sono allarmistiche e generalizzate. E c'è una buona ragione per questo, ma date alcune specifiche potrebbero esserci modi per recuperare in sicurezza alcuni dei tuoi dati.
Undici risposte:
#1
+76
Iszi
2015-11-13 01:25:41 UTC
view on stackexchange narkive permalink

Dato che il tuo laptop era in possesso di un ente governativo con intenzioni sconosciute nei tuoi confronti per un periodo prolungato, non c'è davvero modo di ripristinarlo a uno stato completamente affidabile.

Se presumi gli Stati Uniti DHS per essere ostile, quindi l'unico processo sicuro con cui andare avanti include:

  1. Presumere che tutti i dati sul laptop e tutto l'hardware confiscato siano compromessi.
    • Modifica tutte le password per gli account che potrebbero essere stati memorizzati / memorizzati nella cache sui dispositivi.
    • Cambia tutte le password per altri account che utilizzano la stessa password degli account che potrebbero essere stati memorizzati / memorizzati nella cache sui dispositivi.
    • Annulla tutti i meccanismi di pagamento che potrebbero essere stati archiviati / memorizzati nella cache sui dispositivi.
    • Comunica gli avvisi sulla privacy appropriati a terze parti potenzialmente interessate.
  2. Supponiamo che il laptop e tutto l'hardware confiscato siano stati modificati per consentire la futura raccolta di dati o il controllo del sistema da parte del DHS degli Stati Uniti o delle agenzie correlate.
    • Distruggi i dispositivi. Non acquisire alcuna immagine di backup o copiare alcun file. Basta bruciarli / distruggerli / polverizzarli / schiacciarli così come sono.
    • Acquista hardware / software sostitutivo da una fonte attendibile, tramite una catena di fornitura affidabile e ricostruiscili da zero.
    • Se esistono backup affidabili (backup che non sono stati confiscati e non sarebbero accessibili in remoto con credenziali che potrebbero essere state archiviate / memorizzate nella cache su dispositivi confiscati), ripristinare i dati da tali origini secondo necessità.

Qualsiasi cosa al di sotto di questo lascia aperte diverse possibilità estremamente indesiderabili:

  1. US Il DHS potrebbe continuare ad avere accesso ai tuoi account online e / o alle tue risorse finanziarie.
  2. Uno o più dei tuoi dispositivi potrebbero contenere malware persistente che consente al DHS statunitense o ad agenzie correlate di spiarti o controllare i tuoi sistemi . E sei tornato al primo posto.
  3. I file archiviati su uno dei tuoi dispositivi potrebbero contenere malware che si installerà automaticamente all'apertura. Quindi vedi # 2.
  4. L'hardware o il firmware su uno dei tuoi dispositivi potrebbe essere stato modificato per includere malware, che potrebbe installarsi da solo al momento della connessione a un altro dispositivo. Vedere di nuovo il punto 2.
  5. Qualsiasi progetto software su cui stavi lavorando e / o gli strumenti che utilizzi per compilarli potrebbero essere stati modificati per includere malware. Torna di nuovo al punto 2 e aggiungi ulteriore impatto ai tuoi clienti se non viene scoperto e gestito prima della distribuzione.

Dovresti controllare le 10 leggi di sicurezza immutabili. La legge n. 3 si applica certamente. Supponendo che abbiano sfruttato quella legge, puoi probabilmente scommettere che si applicano anche le leggi # 1 & # 2.

Legge # 1: se un cattivo può convincerti a esegui il suo programma sul tuo computer, non è più il tuo computer
Legge n. 2: se un malintenzionato può alterare il sistema operativo del tuo computer, non è più il tuo computer
Legge n. 3: Se un malintenzionato ha accesso fisico illimitato al tuo computer, non è più il tuo computer

Consulta anche le 10 leggi immutabili dell'amministrazione della sicurezza. Qui, la legge n. 4 è più appropriata.

Legge n. 4: non serve a molto installare correzioni di sicurezza su un computer che non è mai stato protetto all'inizio

Buono, anche se sostituirei "ostile" con "non completamente affidabile".
Se vuoi davvero preservare i file leggibili dall'uomo in modo sicuro, la tua unica risorsa sarebbe aprirli sul dispositivo compromesso e * trascriverli manualmente * su un sistema affidabile. Doloroso? Sì. Ma l'unico dispositivo in grado di fornire un filtraggio sufficiente per garantire che i dati compromessi non entrino nella nuova macchina è il cervello, gli occhi e le dita. E, naturalmente, se stai parlando di codice sorgente, assicurati di aver compreso il codice che stai trascrivendo: P
@DoktorJ: Anche questo potrebbe non essere sufficiente (se sei davvero * così * paranoico). Potrebbero aver apportato una piccola modifica al codice che potresti inavvertitamente copiare (come: rimuovere un "+1" necessario su un controllo della lunghezza). Potrebbe essere meglio ottenere una panoramica di alto livello e reimplementare la funzionalità da zero. Bonus aggiunto: 1. modifica per migliorare il design già che ci sei, e 2. ti costringe a concentrarti sull'implementazione invece di controllare che i caratteri corrispondano 1 a 1.
Una crittografia abbastanza potente non proteggerebbe i tuoi dati da operazioni di lettura e scrittura significative?
@DoktorJ L'OP non può semplicemente caricare il codice tramite copia-incolla su un servizio online (GitHub o Google Docs per esempio), spostarsi su un computer sicuro / nuovo e copiarlo nuovamente? Non vedo come ciò possa danneggiare qualcosa, poiché il codice è già stato letto dal governo, e una volta che lo incolli in GitHub e lo carichi, controlla che abbia caricato il codice giusto (non sostituito da qualcos'altro mentre copi -pasted), il repository GitHub dovrebbe essere "pulito".
Dovrebbe essere sicuro trasferire i dati, se usi un software scritto da te. Per esempio. collegare il computer compromesso a uno affidabile tramite RS-232 (un protocollo semplice che è molto improbabile che abbia vulnerabilità remote) e fare in modo che il computer compromesso scarichi il proprio disco rigido sulla porta seriale e che il computer attendibile legga i dati in un file . Hai quindi un'immagine del disco rigido * (che potrebbe non essere sicura da avviare in una VM) *
"Distruggi i dispositivi" è un consiglio orribile. I dispositivi compromessi in questo modo sono incredibilmente preziosi per comprendere le capacità del nemico. Probabilmente potresti persino ** venderli ** a ricercatori di sicurezza se lo desideri, anche se dal punto di vista della protezione della tua privacy probabilmente ha più senso lavorare con quelli di cui ti fidi per salvare tutti i dati di cui hai bisogno e consentire loro di ricercare ciò che è stato fatto ai dispositivi.
@R .. è esattamente quello che stavo per scrivere qui ma hai scritto prima. Molte persone pagherebbero molto per mettere le mani su questi dispositivi. In effetti sarei molto sorpreso se gli Stati Uniti fossero così stupidi da piantare malware su tutti i dispositivi che sequestrano ahah. Tutto ciò che una spia deve fare è far sequestrare i suoi dispositivi e poi decodificarli (qualcuno ha detto la Cina?)
@Numeri il motivo per cui suggerisco la trascrizione è perché ogni singolo carattere del codice passa poi attraverso gli occhi, la mente e le dita dell'OP. Se i suoi sistemi fossero effettivamente compromessi, non lo metterei al di sopra di un cattivo attore per modificare il codice per incorporarvi cose dannose. Trascrivendo manualmente, tali cose salterebbero fuori dove sarebbero completamente perse in un copia / incolla.
Che ne dici di usare una fotocamera puntata sullo schermo del computer compromesso che esegue l'OCR al volo. È necessario creare uno script che elenchi il contenuto dei file come testo normale in modo che sia riconoscibile e uno che faccia il contrario. La stampa sarebbe un'alternativa davvero fastidiosa.
#2
+37
Herringbone Cat
2015-11-13 01:19:56 UTC
view on stackexchange narkive permalink

Questa è un'ottima domanda.

Fondamentalmente, una volta che un dispositivo è stato sequestrato da un avversario con il livello di sofisticazione di uno stato-nazione, in particolare gli Stati Uniti, quel dispositivo e tutti i dati contenuti non possono essere attendibile. L'unico approccio sicuro è non fidarsi di quel dispositivo e distruggerlo.

Le fughe di notizie di Snowden hanno rivelato i vari metodi con cui il governo americano può compromettere i computer. Ciò include l'installazione di bug hardware nella tastiera stessa, nella GPU o in altri componenti che rendono il computer completamente radicato e compromesso anche se viene reinstallato un sistema operativo. Hanno anche installato trasmettitori radio per sconfiggere i computer "con aria compressa" che non si connettono mai a Internet esfiltrando dati tramite radio nascoste. Il discorso di Jacob Appelbaum sull'argomento è molto istruttivo: consiglio vivamente di guardare questo video mentre descrive i vari dispositivi che il governo è noto per usare. È disponibile anche un riepilogo di wikipedia.

Ora, è possibile che gli agenti della sicurezza nazionale non abbiano installato nessuno di questi dispositivi e non abbiano le stesse capacità dell'NSA. Tuttavia, ciò non può essere escluso.

Anche se potresti essere in grado di recuperare alcuni dati dal disco rigido estraendolo e inserendolo in una custodia USB / utilizzando un cavo da SATA a USB, questo presenta dei rischi . Vorrei utilizzare un computer usa e getta per leggere l'unità .. poiché nel firmware o nel controller dell'unità potrebbe essere stato installato un malware che tenterà di infettare qualsiasi computer a cui è collegato.

A contrastare questo, consiglierei di acquistare un dispositivo di duplicazione hardware forense (noto come duplicatore di blocchi di scrittura). Quindi, collega l'unità SATA dal tuo computer e clonala su un altro disco. Quindi, copia i file da quel disco clonato su un altro computer. Ciò dovrebbe impedire la compromissione basata sul firmware.

Tuttavia, non è possibile garantire che qualche tipo di worm, ecc., non sia stato installato nei file stessi. Copiando su più dispositivi e non utilizzando il dispositivo originariamente utilizzato per collegare il disco rigido, si riducono al minimo le possibilità di compromissione prolungata; ma c'è ancora una possibilità che qualcosa non funzioni con i file. AntiVirus ecc. Non aiuta contro attacchi sofisticati come questo.

Ecco perché il computer non è più affidabile. Tuttavia, puoi adottare misure come il duplicatore hardware per ridurre al minimo la possibilità di problemi.

Anche questa storia potrebbe essere degna di nota: http://www.wired.com/2010/11/hacker -border-search /.. famoso hacker fa ispezionare il suo computer al confine dal DHS, e la sua conclusione è stata quella che credo sia molto valida:

"Non posso fidarmi di nessuno di questi dispositivi ora ", dice Marlinspike, che preferisce non divulgare il suo nome legale. "Potrebbero aver modificato l'hardware o installato un nuovo firmware della tastiera."

Un blocco della scrittura potrebbe non essere sufficiente nel caso in cui il disco rigido abbia compromesso il firmware, il che potrebbe sfruttare una vulnerabilità nel driver.
@immibis In che modo? Trovo difficile credere che la ROM del firmware su un disco rigido possa avere spazio sufficiente per fornire attacchi basati su firmware personalizzati ai vari moduli duplicatori sul mercato; o che anche il miglior avversario ha malware in grado di infettare il firmware di qualsiasi dispositivo impaurito in grado di leggere / duplicare unità SATA.
Immagino che il blocco della scrittura passi le richieste di lettura inalterate, quindi se c'è qualche vulnerabilità nell'elaborazione delle richieste di lettura, il tuo computer sarebbe comunque vulnerabile con il blocco della scrittura.
@immibis Penso che questo sia altamente improbabile, dal momento che avresti dovuto trovare e in grado di sfruttare le vulnerabilità in ogni duplicatore di blocchi di scrittura sul mercato ... che probabilmente occuperebbe più spazio di quello che hanno a disposizione sulle ROM del firmware ecc.
o sfruttare il computer host con una lettura.
@immibis Non sono sicuro che siamo sulla stessa pagina: un duplicatore di blocchi di scrittura * è * il computer host e lo copia drive-> drive. Non sono coinvolti altri computer.
Oh, un dispositivo separato che copia l'unità, non solo un blocco di scrittura.
@immibis Sì, questo è ciò che lo rende un "blocco di scrittura * duper *"
#3
+28
Dragonel
2015-11-13 02:01:32 UTC
view on stackexchange narkive permalink

A seconda del tuo livello di paranoia su questo e della quantità di codice, puoi passare a un metodo LOW-TECH per aggirare tutto ciò che è stato fatto.
Acquista una stampante economica. Collegalo al tuo laptop. Stampa il tuo codice sorgente come risme e risme di testo. Stampa qualsiasi grafica, layout ecc. Stampa le impostazioni utente necessarie. Distruggi il laptop e la stampante.

Ovviamente ora devi reinserire tutto il tuo codice sorgente, ricreare la tua grafica e così via, ma non devi reinventare nessuno dei l'IP e NON esiste una connessione elettronica che nessuno possa tracciare.

È possibile scattare foto dei documenti stampati e utilizzare programmi per estrarre il testo dalle immagini.
E ovviamente devi presumere che DHS non abbia sporcato il tuo codice sorgente con il proprio malware - o che lo avresti preso se lo facessero, nel bel mezzo del processo sconvolgente di importare manualmente (ad esempio: digitare) risme e risme di codice sorgente da copia cartacea.
@Iszi Pensavo che l'OP conoscesse la sua fonte abbastanza bene da dire se qualcosa è stato cambiato e che il DHS non si sarebbe preso un tale rischio. Tuttavia, lo prenderei comunque come un'opportunità per rivedere il codice e quindi pensare a cosa fanno le righe quando le ho reinserite e rimuovere tutto ciò che non è necessario o escogitare metodi migliori e più efficienti.
@Dragonel Oh, per le prime ore potresti. Ma dopo che ci sono voluti giorni per completare tutto il codice (hai detto * risme *), mi aspetto che finirai per lucidarlo a un certo punto.
@CountIblis Il malware incorporato potrebbe essersi crittografato in uno schema di punti apparentemente casuali sulla stampa che si codifica in nuovo malware quando viene letto da qualsiasi lettore ottico commerciale sul mercato. [Sorriso estremamente paranoico]
No, le altre risposte ce l'hanno. La differenza tra "<" e "<=" in un ciclo for, o "+1" e "-1" o niente, è completamente sfruttabile, e sei psicologicamente incapace di coglierli [tutti].
L'OCR risponde alla noia obiezione, ma non al problema dell'alterazione. In effetti, l'OCR probabilmente eseguirà alcune modifiche da solo.
Se stai solo per estrarre il codice sorgente, l'avvio da un CD live e la copia dei file sorgente su un dispositivo cloud sembra molto più efficiente di così.
Meglio prendere screenshot che stampare su carta, non con il tasto print-screen, ma con una fotocamera esterna per riprendere lo scorrimento dello schermo.
@Iszi: D'altra parte, non so quale sia esattamente la legge sulla legalità che agisce per dipartimenti come il DHS, ma in Germania anche un tale dipartimento agirebbe illegalmente se posizionassero uno spyware senza alcun ragionevole sospetto sul tuo dispositivo. Se questo è il caso anche per il DHS, anche se hai ragione, supponendo che uno dopo più giorni possa smettere di controllare il codice riga per riga, se lo facessero davvero, nel caso in cui presumessero già che tu stia eseguendo quel passaggio, rischierebbero si rileva questo e risulta inferenziale nel renderlo pubblico che utilizzano metodi illegali.
Non utilizzare una stampante a colori: https://en.wikipedia.org/wiki/Printer_steganography
#4
+18
Ohnana
2015-11-13 01:13:50 UTC
view on stackexchange narkive permalink

1) Quindi non c'è modo di sapere che non lo hanno fatto. Mi sento come se fosse un po 'al di sopra del loro livello di pagamento (e avrebbero il tempo di farlo?). Dipende dal tuo livello di paranoia. Se i tuoi pensieri scorrono come un flusso tranquillo dopo il primo giorno di primavera, copia i dati su una nuova macchina e vai avanti con la vita. Se ti chiedi se i cani che ululano nei tuoi pensieri siano messaggeri del principe delle tenebre, brucia tutto in un falò alimentato dalla termite.

2) Per me personalmente, distruggerei l'attrezzatura, piangerei sulla sua tomba e andrei avanti. Con backup che non sono fisicamente su di me. Tuttavia, la maggior parte dei dati che conservo sulle mie macchine risiede nel cloud o è sostituibile.

Se questo lavoro è davvero inestimabile, è necessario un audit. Prima di tutto, estrai l'unità dal laptop e collegala a un ambiente isolato: un nuovo computer senza rete. Un pratico CD Linux Live è ottimo per questo. Monta l'unità in questione e guarda tra i file: vedi qualcosa di strano? Manca qualcosa? Qualche strano file di Windows? Anche l'uso di Clam AV è una buona scelta. Ci sono nuovi file che non riconosci? Eliminali.

Farei anche la copia in piccoli pezzi mentre sono nel Linux Live CD. A meno che non siano abbastanza sofisticati da inserire malware Windows e Linux, impediresti a qualsiasi programma di sorveglianza di riprodursi automaticamente e trovare una nuova casa. Non lo sottolineerò mai abbastanza: so cosa stai copiando . Controlla il tuo progetto: ci sono nuove aggiunte che non ricordi?

Dopodiché, utilizza un ambiente Windows pulito e fai attenzione a qualsiasi attività sospetta. Crea una buona politica di sicurezza e la prossima volta crittografa le tue unità! Oh, e lancia tutto dopo aver recuperato i dati. Gli attacchi al firmware sono reali.

[Ecco un ottimo articolo] (https://www.eff.org/wp/defending-privacy-us-border-guide-travelers-carrying-digital-devices) con suggerimenti per portare dati sensibili oltre confine. Non è chiaro per me che crittografare il tuo disco sarebbe utile una volta che hanno sequestrato il tuo laptop; ti chiederebbero la password e se rifiuti di certo non ti restituiranno il laptop.
So che ha aiutato Moxie Marlinspike quando è stato molestato - ha riavuto la sua roba. Se non altro, ti darà la tranquillità che tutto all'interno del contenitore crittografato potrebbe essere a posto.
Lui ha fatto? Interessante.
@Ohnana Tutto * all'interno * del contenitore potrebbe essere a posto, ma se il contenitore stesso (ad esempio: firmware del disco rigido) non lo è, allora sei ancora hosed.
Se sei davvero paranoico, preferirei un sistema operativo meno utilizzato di Linux sul tuo live CD, se possibile. BSD come minimo, sarebbe meglio qualcosa di più strano come Haiku (un BeOS) clone.
-1
Chiarito. Pensavo che far scoppiare l'unità sarebbe stata una seconda natura :)
#5
+6
piers7
2015-11-13 06:18:23 UTC
view on stackexchange narkive permalink

Come altri hanno sottolineato, per il codice sorgente devi fare di più che copiarlo in modo sicuro: devi essere in grado di rilevare la manomissione. E per questo devi fare una revisione sostanziale del codice.

Se il codice è molto complesso, o non ne sai abbastanza per farlo adeguatamente, hai un'altra opzione: crowdsourcing la tua recensione. Basta pubblicare il codice come open source e invitare le persone a trovare l'impianto. Immagino che alcune persone apprezzerebbero la sfida.

... e in caso contrario, postalo un file alla volta su Stack Overflow, con una domanda noob correlata come esca. Giuro che è così che alcune persone eseguono il controllo qualità.
+1 per la creatività, e forse un passo pratico verso il salvataggio del codice sorgente non affidabile (ovvero abbassando la probabilità che sia infettato, sebbene non lo distrugga).
Se il codice sorgente è stato mantenuto in git, solo conoscere l'hash corretto per un commit recente da una fonte che non è compromessa ti darebbe un livello ragionevole di sicurezza che ** nessuno ** della cronologia è stato manomesso.
#6
+3
user253751
2015-11-13 11:45:40 UTC
view on stackexchange narkive permalink
  1. Procurati un altro computer (affidabile).
  2. Procurati due adattatori USB / seriali e un cavo null modem (per collegarli). È improbabile che il tuo computer fidato sia sfruttabile in remoto tramite una connessione seriale. Collega un adattatore a ogni computer.
  3. Sul computer attendibile, esegui cat / dev / ttyS0 > hd.img . (Il tuo adattatore seriale potrebbe non essere / dev / ttyS0; potresti volerlo controllare in qualche modo)
  4. Collega i due computer.
  5. Sul computer non attendibile, esegui cat / dev / sda > / dev / ttyS0 (o qualsiasi disco rigido si desideri visualizzare e qualunque sia l'adattatore seriale chiamato su quel computer)
    (Se quel computer non esegue già Linux, utilizzare un Live CD o un Live USB usa e getta)
  6. Al termine, ctrl-C il processo cat del computer attendibile (poiché continuerà ad attendere altri dati).

( Se hai più unità di cui desideri creare l'immagine, collegale al computer non affidabile e ripeti la procedura)

Ora dovresti avere un'immagine del disco rigido e l'hai ottenuta senza rendere vulnerabile il tuo computer fidato. Poiché il contenuto dell'immagine non è degno di fiducia, non avviarlo in una macchina virtuale .

Potresti aprirlo con un editor esadecimale e provare a cercare i dati che desideri, ma ti ci vorrà per sempre per mettere insieme i file.

Invece, scrivi un programma (in un linguaggio sicuro per la memoria come Java o Python) per analizzare le strutture di dati del filesystem ed estrai i file che desideri. Assicurati di rivedere ogni file estratto in un editor esadecimale prima di utilizzarlo per qualsiasi altra cosa, nel caso in cui sia stato manomesso. (Non usare nemmeno cat . xxd va bene fintanto che non è impostato per visualizzare caratteri ASCII)

Distruggi computer e dispositivi non affidabili ( inclusi eventuali Live USB che hai utilizzato su quel computer); non sai che non hanno aggiunto alcun dispositivo di tracciamento. L'hanno (probabilmente) fatto in passato, quindi questa preoccupazione non è ingiustificata.

#7
+2
Joshua
2015-11-13 03:13:59 UTC
view on stackexchange narkive permalink

Non ho mai affrontato questo scenario; tuttavia da quello che so la procedura di pulizia inversa funziona. Avvia il supporto esterno e copia attentamente i file di lavoro uno per uno, controllandoli mentre procedi. Quindi riformatta.

Sii felice che i sistemi aggiornati non abbiano attacchi tramite file di testo o immagine (almeno quelli conosciuti). Se vengono visualizzati processi misteriosi, inviare i file di lavoro per l'analisi del malware. Se ne hai, il DHS si pentirà di averti preso di mira e di aver sprecato il suo malware più sofisticato su un obiettivo a bassa priorità.

#8
+2
Byron Jones
2015-11-13 22:32:00 UTC
view on stackexchange narkive permalink

Per riferimento futuro, sia per te che per gli altri, consiglierei di eseguire un hashing SHA256 completo di tutti i file sul computer e del firmware, prima e dopo tale viaggio. Assicurati di lasciare a casa l'elenco hash SHA1.

Per i viaggi all'estero, ti consiglio anche di prendere un laptop più vecchio che hai cancellato e di aver installato prima una nuova installazione del tuo sistema operativo preferito al viaggio. Prendi solo i file che ti servono. I file più piccoli dovrebbero essere ospitati nel cloud o accessibili in remoto. I file più grandi devono essere crittografati individualmente e dotati di nomi innocui ed estensioni di file non standard che non rivelano il loro scopo.

Prima di restituire, è necessario rimuovere tutti i file a cui non si desidera che gli agenti doganali accedano.

Come minimo, questi passaggi restringeranno il tuo obiettivo per determinare quali file potrebbero essere stati aggiunti / modificati / eliminati.

#9
+1
John B. Lambe
2015-11-13 05:08:12 UTC
view on stackexchange narkive permalink

Come affermato in altre risposte, potrebbe esserci spyware nel BIOS o altrimenti nascosto nell'hardware modificato. (Ad esempio, in teoria, si può immaginare un attacco complesso in cui un processore viene sostituito da un chip che emula il processore originale ma fa anche cose aggiuntive a scopo di spionaggio.)

Per essere assolutamente sicuri di aver rimuovere qualsiasi spyware di questo tipo richiederebbe esperienza nell'elettronica e, anche in questo caso, il tempo per farlo potrebbe valere più del valore dell'hardware.

Tuttavia, il recupero di dati ( codice non eseguibile), in particolare testo normale, da esso è possibile, a condizione che non si esegua mai codice proveniente - direttamente o indirettamente - dalla macchina compromessa (inclusi i file scritti direttamente dall'hardware dal laptop compromesso) .Questo significa:

  1. Non puoi usare il laptop stesso per copiare i dati.
  2. Non puoi recuperare il codice compilato (supponendo che non lo smonterai e lo leggerai tutto a fondo ).
  3. Qualsiasi codice sorgente recuperato deve essere controllato manualmente. Se è il tuo codice, la verifica della presenza di spyware aggiunti dovrebbe essere fattibile, ma richiede molto tempo.
  4. I due punti precedenti si applicano a qualsiasi tipo di documento che può includere macro o script (ad esempio documenti Microsoft Word ed Excel).
  5. È possibile ripristinare i tipi di documento che supportano le macro utilizzando un software affidabile per verificare e rimuovere le macro.

Collegare il disco rigido a una nuova macchina, per copia da esso e poi scartalo.

C'è ancora il rischio di attacchi di sovraccarico del buffer nei documenti, che prendono di mira una particolare applicazione che potresti usare per visualizzare il documento. Una possibile difesa contro questi (oltre a controllare per vulnerabilità note) consisterebbe nell'usare applicazioni meno comuni (e non quelle installate sul tuo laptop, dato che sono quelle che si aspetterebbero che tu utilizzi) per visualizzare i documenti o convertirli in un altro formato (usando software da una fonte attendibile per farlo) e possibilmente indietro.

I dischi rigidi del laptop compromesso potrebbero aver modificato il firmware, ma ciò non può causare direttamente l'esecuzione del codice sulla macchina che utilizzi per copiarli (potrebbe alterare i dati mentre vengono letti o scritti). Sebbene in teoria, potrebbe avere un exploit di sovraccarico del buffer che mira a un driver del disco.

Idealmente, tutte le operazioni di copia e conversione (e rimozione di macro) dovrebbero essere eseguite su una macchina che dovresti reinstallare (o eliminare) in seguito. (Un Raspberry Pi o simile è veloce da configurare e può essere sacrificato).

#10
+1
Falco
2015-11-13 22:15:36 UTC
view on stackexchange narkive permalink

Desideri copiare il codice sorgente dalla macchina compromessa senza il rischio di infettare il tuo nuovo computer?

Facile:

  1. Accedi a una rete WiFi aperta
  2. Copia i tuoi file codice sorgente su un servizio cloud di archiviazione gratuito (o paste-bin)
  3. scarica i file sorgente con il tuo computer di casa
  4. Ispeziona attentamente tutte le tue fonti per manomissione (cosa piuttosto improbabile, perché di solito penserebbero che tu abbia copie di backup da qualche parte e non ti darebbero fastidio, ma dipende dalla complessità del tuo software)

In questo modo non non hai alcun collegamento diretto dalla macchina (forse) compromessa al tuo computer di casa. Gli unici file trasferiti sono file di testo non elaborati e controllati a mano. Quindi l'unico vettore di attacco rimasto è il codice subdolo nei file del codice sorgente. L'unico modo per essere a prova di proiettile contro questo sarebbe riscrivere ogni metodo in un nuovo progetto. Guarda il vecchio codice sorgente e scrivi di nuovo ogni metodo con alcune piccole correzioni e pulizia.

#11
  0
GreatSeaSpider
2015-11-13 17:08:35 UTC
view on stackexchange narkive permalink

Altri hanno coperto perfettamente i pericoli dei problemi di & qui, quindi non cercherò di riprodurlo. Volevo solo aggiungere un suggerimento per dopo l'inevitabile revisione del codice. Mi rendo conto che la domanda riguarda la santizzazione del computer, ma ti suggerisco di prendere provvedimenti anche riguardo al tuo codice.

Quindi supponiamo che tu abbia trattato tutto l'hardware come se fosse una scrittura totale off e ostile, e devi recuperare il codice da esso. Ci sono già stati suggerimenti su come trasferire il codice su un'altra macchina usando una stampante usa e getta e diciamo che l'hai fatto (avrei rimosso fisicamente l'adattatore wireless dalla macchina compromessa prima di avviarla come precauzione aggiuntiva troppo).

Quindi hai digitato di nuovo il tuo codice e lo hai già esaminato per eventuali modifiche e sei soddisfatto. Il passaggio aggiuntivo che vorrei intraprendere ora è anche presumere che il codice sia stato esaminato e debba essere rivisto a livello funzionale e, se necessario, modificato.

Questo potrebbe essere il modo in cui si hash e si memorizzano le password, forse un meccanismo di licenza se ne ha uno, o forse il tuo codice comunica su Internet con gli utenti in un modo particolare. Sto solo pensando che se stessi portando il codice che gestiva qualcosa che potrebbe interessare un attore di uno stato nazionale, proverei a modificarlo in modo che se hanno raccolto qualcosa dai suoi meccanismi interni, la prossima volta che vedono in uso si comporterà diversamente da come si aspetterebbero che si comporti.

tl; dr

I ' d suggerire di riflettere sulla funzionalità del codice che stavi trasportando; un attore potenzialmente ostile trarrebbe beneficio dalla comprensione di come funziona? In tal caso, considera come mitigheresti il ​​fatto che qualcuno abbia quella conoscenza.

Questo ovviamente presuppone che il codice che stavi portando potrebbe essere di suo interesse.

Nota finale; questo passaggio sarebbe necessario nella mia mente anche se avessi ripristinato il codice da un backup sicuro noto, poiché è il modo in cui funziona il codice che è stato esposto.

La tua situazione non sembra molto divertente a prescindere, buona fortuna per aver risolto tutto.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...