it-swarm-es.com

Buscar puertas traseras militares instaladas en la computadora portátil

Mi computadora portátil fue confiscada por el instituto militar de mi país y me obligaron a darles todas mis contraseñas (no puedo decir el nombre de mi país). No me lo devolvieron durante una semana (sí, estuvo fuera de mi vista por un tiempo). Lo bombardeé desde la órbita, pero me di cuenta de que estaba en estado de suspensión durante 2 días y no en estado de apagado, por lo que estaba conectado a mi módem a través de wifi. ¿Tiene que preocuparse?

y

¿Debo asegurarme de que hayan agregado algo para monitorear mis actividades o robar mis datos o no? Y si lo han hecho, ¿qué debo hacer para evitarlos?.

He revisado físicamente la computadora portátil y no hay signos de tornillo o deformación plástica. ¿Todavía es posible que hayan comprometido su hardware?

186
Posse

Si el dispositivo se perdió de vista por algún tiempo, reemplácelo. Ya no se puede confiar

El costo para asegurar que aún se puede confiar excede significativamente el costo de obtener uno nuevo


Efectivamente, no hay forma de verificar que el hardware no haya sido manipulado sin una experiencia significativa y empleando recursos no triviales. La única solución es reemplazar la computadora portátil y todos los componentes asociados. Sin conocer su país u otros aspectos de la situación en la que se encuentra, no hay forma de que comente sobre la probabilidad de esto, solo sobre la viabilidad técnica.

Si necesita verificar la integridad de la computadora portátil, hay algunas cosas que debe verificar (no exhaustivas):

  • Distribución de peso - Verifique el peso preciso de cada componente (IC, PCB, etc.). Las distribuciones de peso pueden analizarse utilizando efectos giroscópicos. Esto requiere tener un equipo sin compromisos cerca para la comparación. Se requiere un equipo de medición extremadamente preciso.

  • Consumo de energía - Verifique el consumo de energía de cada componente a lo largo del tiempo. Las puertas traseras a menudo usan energía, y su presencia a veces se puede detectar con un ataque de análisis de energía. Sin embargo, no confíe en esto, ya que los circuitos integrados pueden usar extremadamente poca potencia hoy en día.

  • Inspección de rayos X de PCB - Use rayos X para ver las partes internas de la placa de circuito. Esto requiere un equipo costoso para una placa de circuito impreso de varias capas, como una placa base para computadora portátil. También requiere muchas horas hombre de inspección intensiva de cada micrómetro cuadrado del dispositivo.

¿Suena excesivo? Lo es, pero esto es lo que tendría que hacer para tener un buen nivel de confianza de que no se han realizado modificaciones maliciosas de hardware. Será más barato comprar una nueva computadora portátil. Tenga en cuenta que esto no pretende ser un consejo práctico, y ni siquiera está cerca de completarse, incluso si lo fuera. Su objetivo es ilustrar esta casi imposibilidad de buscar implantes de hardware sofisticados.


Lo bombardeé desde la órbita, pero me di cuenta de que estaba en estado de suspensión durante 2 días y no en estado de apagado, por lo que estaba conectado a mi módem a través de wifi. ¿Tiene que preocuparse?

En teoría, el hardware o firmware comprometido se vería comprometido con su punto de acceso inalámbrico u otros dispositivos que escuchan. Si bien un estado suspendido (modo de suspensión) normalmente también deshabilita la NIC, no puede hacer esa suposición si el hardware está comprometido. Sin embargo, si bien esto es teóricamente posible, requeriría un ataque mucho más específico, y la mayoría de los grupos militares no querrán regalar los 0 días que tienen por disparándoles a cualquier dispositivo inalámbrico cercano que puedan encontrar.

Desafortunadamente, también es teóricamente posible que su módem se haya visto comprometido. Sin embargo, no creo que sea muy probable, ya que podrían haberlo hecho a través de su conexión a Internet, suponiendo que puedan controlar o comprometer a su ISP. Si han manipulado su hardware, es mucho más probable que lo hayan hecho solo con fines de vigilancia, no para propagar algún gusano.

He revisado físicamente la computadora portátil y no hay signos de tornillo o deformación plástica. ¿Todavía es posible que hayan comprometido su hardware?

Absolutamente. Hay muchas formas de abrir una computadora portátil sin que eso sea evidente. Si bien existen sofisticados mecanismos de detección de intrusión en el chasis, existen algunas técnicas de "gueto" que puede utilizar en el futuro. Una técnica es rociar esmalte de uñas con brillo en las articulaciones del sistema, por dentro y por fuera. Tome una foto de alta resolución de esto (¡y no almacene la foto en la computadora!). Si se abre el dispositivo, el diseño preciso del brillo se verá afectado y será excepcionalmente difícil volver a colocarlo en su lugar. Puede compararlo con la foto almacenada y buscar diferencias sutiles.

El término para esto es evidencia de manipulación , que es cualquier técnica que hace que sea difícil manipular un dispositivo sin que ese hecho sea notable. Las opciones más profesionales incluirían cinta de seguridad a prueba de manipulaciones a medida o pegatinas holográficas. Desafortunadamente, esto solo puede ayudarlo en el futuro y obviamente será incapaz de proteger su sistema de manera retroactiva.

256
forest

La información principal que nos falta es su modelo de amenaza.

¿Es probable que el ejército lo ataque específicamente y esté dispuesto a gastar algunos recursos en usted? No necesitamos conocer los detalles, pero la respuesta cambia dependiendo de si lo que sucedió es un procedimiento más o menos estándar para su país, o si está siendo seleccionado.

Y no sabemos qué secretos estás protegiendo. Si tiene datos personales y comunicaciones, ese es un juego diferente a ser un elemento activo en un movimiento de oposición política u otra actividad que podría asesinarlo si obtienen los datos. Hay países en el mundo donde ser un activista de derechos humanos puede llevarte a la lista de muertos.

Si este es un procedimiento estándar, y sus datos no son de vida o muerte, puede tomar las precauciones habituales, completar la reinstalación del sistema operativo, flashear el firmware, si desea hacer un esfuerzo adicional, reemplazar componentes como el puerto Ethernet y lo que sea lo demás es reemplazable. Luego, opere bajo el supuesto de que podría haberse perdido algo más profundamente incrustado, pero sus posibilidades son mejores que el promedio de que está claro.

Lo mismo es cierto para la conexión de red activa. Es probable que su adversario haya realizado patrones de ataque estándar. Si su red está asegurada y no ve ningún signo de intrusión en el interior (registros de firewall, IDS si tiene, etc.) usted podría estar bien.

Si es más probable que haya recibido atención especial, le sugiero encarecidamente que use la máquina de alguna manera inocente (navegar por la web, etc.) en algún lugar y luego dejarla a la intemperie cuando vaya al baño. O en otras palabras: haz que te lo roben. De esa manera nadie puede culparlo, el adversario no puede decir con certeza si intencionalmente "perdió" el dispositivo y, en cualquier caso, no puede probarlo, y es la única manera de estar seguro. Incluso si lo tuviera sentado cerca apagado, aún podría haber un micrófono oculto dentro que lo supervise. Así que deshacerse de él es la única opción segura.

Para los detalles, no puedo hacerlo mejor que el bosque en su respuesta para mostrar cuán profundamente podrían ocultarse cosas dentro. Incluso podrían haber cambiado componentes con otros aparentemente idénticos, además de puertas traseras. Hay cosas que puede hacer al hardware que el fabricante tendría problemas para encontrar.

Lo mismo es lamentablemente cierto para su red. Siempre hay un día 0 más, y las puertas traseras en los dispositivos de red tampoco son desconocidas. Si es un objetivo de alto perfil, debe asumir que la red se ha visto comprometida.

Sin embargo, todas estas cosas avanzadas no son gratuitas ni baratas. Es por eso que el modelo de amenaza es importante. Es poco probable que los militares usen sus mejores cosas en una búsqueda aleatoria.

68
Tom

Dejando de lado la metodología, solo suponga que la computadora portátil y cualquier cosa dentro del alcance de audio y visual de la computadora portátil está comprometida y, por lo tanto, sujeta a monitoreo, así como a la actividad en la computadora misma.

La búsqueda, la manipulación o la eliminación de la computadora/dispositivos de monitoreo bien podrían ser detectados y vistos como un acto criminal. Además, la destrucción completa de la computadora portátil o el hecho de que no se esté utilizando también se puede ver con extrema sospecha.

Todo lo que realmente puede hacer es continuar usando la computadora portátil, pero con el conocimiento de que la actividad está siendo monitoreada (así que solo haga cosas "legales" en ella). Los dispositivos de monitoreo visual/de audio no necesitan involucrar la computadora portátil que se está encendiendo.

Invierta en una bolsa para computadora portátil agradable, segura, acolchada (e insonorizada) para almacenar la computadora portátil cuando no esté en uso.

53
user124164

Además de lo que otros han mencionado sobre la detección de cambios de hardware (principalmente que es casi imposible), debe reconocer que el vector de compromiso más probable sería la instalación de software, especialmente si solo tuvieron su dispositivo durante un período bastante limitado de hora.

Para tener un nivel razonable de certeza de que su dispositivo está limpio de vulnerabilidades de software, debe tirar el disco duro y comenzar con uno nuevo y una instalación nueva. Muchos de los rootkits de bajo nivel más prácticos (y fáciles) modifican el firmware en los discos duros para evitar que un formato normal elimine el malware. Esta es también una de las formas más fáciles de alterar un sistema de manera bastante rápida e "indetectable". Si su computadora portátil tiene una tarjeta de red reemplazable, esto también sería algo a considerar, ya que también es otro lugar bastante útil para implementar un implante de hardware.

Cualquier malware probablemente necesite llamar a casa eventualmente. Inicie su computadora y cualquier aplicación común que ejecute. Conéctelo a un enrutador externo (esto es importante ya que no puede confiar en el software que se ejecuta en la computadora portátil) que registra todo el tráfico. Deje la computadora portátil sin usar durante al menos 24 horas. Ahora, valide minuciosamente todas las IP a través de ARIN u otros registros, para ver si alguno de ellos parece sospechoso. Es casi seguro que tendrá varios que no puede validar, incluso si la máquina no está comprometida, pero esto puede brindarle cierto nivel de confianza. Tenga en cuenta que los estados nacionales a menudo poseen la capacidad de inyectar tráfico en transmisiones legítimas desde ubicaciones legítimas, y también pueden comprometer los servicios legítimos o utilizar los servicios legítimos existentes (como docs.google.com donde cualquier usuario puede crear documentos de datos arbitrarios) . Además, el tráfico de red en cualquier protocolo de red es sospechoso y no debe descartarse al intentar validar el tráfico.

Por último, piense en su perfil de riesgo. ¿Su país es conocido por piratear dispositivos y monitorearlos? ¿Eres víctima de la mala suerte o hay razones legítimas por las que deberían o sospechaban de ti? Un cierto nivel de paranoia es saludable, pero sea práctico con su evaluación. Los implantes de hardware personalizados no son baratos, y el costo del descubrimiento puede ser tanto embarazoso como costoso. Si no es un sospechoso probable y tiene una importancia significativa, el implante más probable será basado en software/firmware, si es que se implantó algo. Como otros han señalado, cualquier credencial que tenía en su máquina/que proporcionó/​​o cualquier cookie activa del navegador, y cualquier archivo en el sistema ahora debe considerarse comprometido.

28
shellster

Teniendo en cuenta lo que nos ha contado, debe asumir que no solo la computadora portátil está irremediablemente comprometida, sino también su red doméstica completa, todo lo que está conectado a ella y cada cuenta que tenga en cualquier lugar a la que haya accedido desde la computadora portátil o desde otra dispositivo conectado a su red doméstica.

  1. Destruya físicamente la computadora portátil, preferiblemente derritiéndola/quemándola en lugar de simplemente triturarla o pulverizarla.

  2. Haga lo mismo para cada componente de su red doméstica.

  3. Haga lo mismo para cada dispositivo que se conectó a dicha red durante el tiempo posterior a la "devolución" de la computadora portátil.

  4. Cierre y elimine cada cuenta que tenga en cada sitio web al que haya accedido desde la computadora portátil o desde cualquiera de los dispositivos en el paso 3.

  5. Cancele y destruya físicamente todas y cada una de las tarjetas de crédito/débito/regalo desde las que haya realizado pagos a través de la computadora portátil o de cualquiera de los dispositivos en el paso 3. También cancele cualquier pago que se haya realizado utilizando cualquiera de esas tarjetas durante el tiempo posterior al la computadora portátil fue "devuelta".

  6. Cierre todas sus cuentas bancarias, retirando todo su contenido en efectivo. Destruya cualquier papeleo en su posesión asociado con cualquiera de esas cuentas.

  7. No puedo enfatizar lo suficiente la importancia de huir a un país con mejores protecciones contra este tipo de abusos por parte de las armas del gobierno.

14
Sean

Si tienen todas sus contraseñas, como usted dice, y tenían posesión de la computadora portátil, la computadora portátil, su sistema operativo y software instalados son sospechosos. Según lo sugerido, ataque nuclear desde la órbita.

También me preocuparía que cualquier software que posiblemente se haya implantado podría (e intentaría) comprometer otras computadoras en las redes conectadas. No conecte esta máquina a un ethernet, ni la encienda cerca de ninguna red WiFi si tiene WiFi (ni cerca de dispositivos Bluetooth, aunque sé poco sobre esto).

Es posible que no sea posible limpiarlo incluso en condiciones seguras debido a un firmware comprometido.

Si tuvieran la computadora portátil por, digamos, 30 minutos (o menos), la unidad podría (y habría) sido fotografiada/copiada. Sus secretos ya no son solo tuyos.

También tiene un poco de trabajo por delante para cambiar todas sus contraseñas: puede desear destruir las cuentas para mayor seguridad. Elimine todo el contenido (si es posible) y cierre la cuenta. Buena suerte con eso. Sin embargo, es posible que ya se haya recopilado información.

Ha habido respuestas con respecto a la modificación de hardware, y si bien esta es una posibilidad, claramente la alteración del software debe ser una prioridad para usted.

11
newyork10023

Necesito asegurarme de que hayan agregado algo para monitorear mis actividades o robar mis datos o no

Tenga en cuenta que ya tienen todos sus datos . Entregó ¡todos sus contraseñas, por lo que incluso los datos que no están en su computadora portátil (por ejemplo, correo, nube) ahora están en sus manos Comentario extendido: si no estaba bajo arresto, siempre podría cambiar tantas contraseñas como pudiera después de darlas, pero queremos asumir que nuestro atacante lo ha hecho muchos recursos y eficiencia obtuvieron una copia completa de todas sus actividades en línea en el momento en que escribió su contraseña en una hoja de papel. Enfoque pesimista.

Como señaló @forest, puede hacer algo para ¡probar para demostrar que lo hicieron, pero es tan costoso que es mejor que vaya a BestBuy lo más rápido posible para obtener una nueva computadora portátil. A menos que su objetivo sea denunciar a su gobierno, lo está espiando y cómo.

Y si lo han hecho, ¿qué debo hacer para evitarlos?.

Supongo que preguntó "¿qué debo hacer para evitarlos en el futuro ?". Por favor edite si no. Obtener una nueva computadora portátil e implementar medidas de seguridad adecuadas es bueno, tal como lo estamos haciendo los demás.

El cifrado completo del disco, los volúmenes ocultos plausiblemente negables y las contraseñas complejas son las herramientas básicas. Un cuerpo militar dirigido a un individuo puede tener tantos recursos (incluidos 0 días) que no puede evitar que lo pirateen para siempre, pero aún puede protegerse y hacer que sea un momento doloroso para ellos.

Recuerde, usted dijo que les dio las contraseñas. Aquí es donde TrueCrypt/VeraCrypt son útiles. Le recomiendo que eche un vistazo a este control de calidad . Recuerde usar el sistema operativo de la cubierta a menudo. Una vez en el futuro, se le preguntará nuevamente por sus contraseñas, asígneles la clave de descifrado para el sistema operativo "externo". No son estúpidos, harán todo lo posible para extorsionarlo de que también está ejecutando un sistema operativo oculto. Por ejemplo, solo que está utilizando VeraCrypt en lugar de Windows BitLocker o Linux LVM, eso podría ser motivo de cuestionamiento/extorsión.

También es posible que desee copiar con cuidado y seguridad los documentos del disco duro anterior con un adaptador USB. Documentos, no ejecutables. Y, paranoia, ¿quién puede saber si algunos PDF documentos fueron alterados para explotar un día 0 en uno de los lectores populares?

Es posible que desee escapar de ese país lo antes posible, por lo que a mí respecta.

Una puerta trasera aún tiene que comunicarse con el atacante, por lo que debería bastar ver la conversación de la red a través de su enrutador. Limpiar un disco duro y reinstalar un sistema operativo puede no ser suficiente, lo tuvieron durante una semana, podrían haberlo desmontado, instalado un dispositivo de red y volver a armarlo.

Eso tampoco es todo lo que hay, puede que no haya actividad de red y el programa/dispositivo puede estar recopilando datos silenciosamente para que alguien los recupere físicamente más tarde, probablemente tocando a su puerta.

Una nueva computadora portátil está en orden, sin embargo, me quedaría con la anterior, tal vez incluso ponerla en un DMZ para que no pueda hablar con otros dispositivos en su red doméstica y no hace falta decir , no se puede usar para nada sensible nunca más.

0
RandomUs1r