Ricerca di backdoor installate militari su laptop

Se il dispositivo lascia la vista per un qualsiasi periodo di tempo, sostituiscilo. Non è più affidabile.

Il costo per garantire che possa ancora essere considerato attendibile supera in modo significativo il costo per ottenerne uno nuovo

Non c'è in effetti alcun modo per verificare che l'hardware non sia stato manomesso senza una significativa esperienza e utilizzando risorse non banali. L'unica soluzione è sostituire il laptop e tutti i componenti associati. Senza conoscere il tuo paese o altri aspetti della situazione in cui ti trovi, non c'è modo per me di commentare la verosimiglianza di questo, solo sulla fattibilità tecnica.

Se hai bisogno di verificare l'integrità del laptop, ci sono alcune cose da controllare (non esaustivo):

• Distribuzione del peso : verifica il peso preciso di ciascun componente (IC, PCB, ecc.). Le distribuzioni del peso possono essere analizzate utilizzando effetti giroscopici. Ciò richiede di avere vicino equipaggiamento senza compromessi per il confronto. È richiesto un dispositivo di misurazione estremamente preciso.

• Consumo energetico : verifica il consumo energetico di ciascun componente nel tempo. Le backdoor usano spesso l'energia e la loro presenza a volte può essere rilevata con un attacco di analisi di potenza. Non fare affidamento su questo però, dato che i circuiti integrati possono usare estremamente poca potenza al giorno d'oggi.

• Ispezione a raggi X su PCB - Usa i raggi X per visualizzare gli interni del circuito stampato. Ciò richiede apparecchiature costose per una scheda a circuiti stampati multi-strato come una scheda madre per laptop. Richiede anche molte ore di ispezione intensiva di ciascun micrometro quadrato del dispositivo.

Suoni eccessivi? Lo è, ma è quello che dovresti fare per avere un buon livello di sicurezza sul fatto che non siano state apportate modifiche dannose all'hardware. Sarà più economico solo per comprare un nuovo laptop.

I nuked it from orbit but I just realised that it was on sleep state for 2 days and not in shutdown state, so it was connected to my modem via wifi. Does it need to be worried about?

In teoria, l'hardware o il firmware compromesso potrebbero compromettere il punto di accesso wireless o altri dispositivi in ascolto. Mentre uno stato sospeso (modalità di sospensione) normalmente disabilita anche la scheda NIC, non è possibile fare questa ipotesi se l'hardware è compromesso. Tuttavia, mentre ciò è teoricamente possibile, richiederebbe un attacco lontano più mirato, e la maggior parte dei gruppi militari non vorrà regalare gli 0 giorni che hanno sparando loro su qualsiasi dispositivo wireless nelle vicinanze che riescono a trovare.

Sfortunatamente, è anche teoricamente possibile che il tuo modem sia stato compromesso. Non penso che sia molto probabile, perché potrebbero averlo fatto attraverso la tua connessione internet, supponendo che possano controllare o compromettere il tuo ISP. Se hanno manomesso il tuo hardware, è molto più probabile che lo abbiano fatto solo a scopo di sorveglianza, non per diffondere qualche worm.

I have double checked the laptop physically and there is no sign of screw or plastic deformation. Is that still possible that they have compromised its hardware?

Assolutamente. Ci sono molti modi per aprire un laptop senza che questo sia evidente. Sebbene esistano sofisticati meccanismi di rilevamento delle intrusioni sul telaio, esistono alcune tecniche "ghetto" che potresti essere in grado di utilizzare in futuro. Una tecnica è quella di cospargere lo smalto per unghie con glitter sulle articolazioni del sistema, dentro e fuori. Scatta una foto ad alta risoluzione di questo (e non conservare la foto sul computer!). Se il dispositivo viene aperto, il layout preciso dello scintillio verrà interrotto e diventerà eccezionalmente difficile rimetterlo in posizione. Puoi confrontarlo con la foto archiviata e cercare delle sottili differenze.

Il termine per questo è prova di manomissione , che è una tecnica che rende difficile manomettere un dispositivo senza che ciò risulti evidente. Altre opzioni professionali includono nastro di sicurezza su misura antimanomissione o adesivi olografici. Sfortunatamente, questo può aiutarti solo in futuro e ovviamente non sarà in grado di proteggere retroattivamente il tuo sistema.

Le principali informazioni che ci mancano sono il tuo modello di minaccia.

È probabile che i militari ti bersagliano specificamente e sarebbero disposti a spendere qualche risorsa per te? Non abbiamo bisogno di conoscere i dettagli, ma la risposta cambia a seconda che ciò che è accaduto sia una procedura più o meno standard per il tuo paese, o che tu sia stato individuato.

E non sappiamo quali segreti stai proteggendo. Se hai dati personali e comunicazioni, è un gioco diverso dall'essere un elemento attivo in un movimento di opposizione politica o da altre attività che potrebbero farti ammazzare se ottengono i dati. Ci sono paesi nel mondo in cui essere un attivista per i diritti umani può farti morire in una lista.

Se si tratta di una procedura standard e i tuoi dati non sono mortali, puoi prendere le consuete precauzioni, completare la reinstallazione del SO, il firmware lampeggiante, se vuoi fare il miglio supplementare, sostituire componenti come Ethernet porta e quant'altro è sostituibile. Quindi agisci assumendo che potresti aver perso qualcosa di più profondamente incorporato, ma le tue possibilità sono migliori della media che sei chiaro.

Lo stesso vale per la connessione di rete attiva. È probabile che il tuo avversario abbia fatto schemi di attacco standard. Se la tua rete è protetta e non vedi alcun segno di intrusione all'interno (registri del firewall, IDS se hai, ecc.) potresti essere a posto.

Se è più probabile che tu abbia ricevuto un'attenzione speciale, ti suggerirei caldamente di usare la macchina in alcuni modi innocenti (navigando sul web, ecc.) da qualche parte e poi lasciandola allo scoperto quando vai in bagno. O in altre parole: falla derubare. In questo modo nessuno può biasimarti, l'avversario non può dire con certezza se hai intenzionalmente "perso" il dispositivo e in ogni caso non puoi provarlo, ed è l'unico modo per essere sicuro. Anche se te ne stavi seduto nelle vicinanze spenti, potrebbe esserci ancora un microfono nascosto all'interno che ti sorveglia. Quindi liberarsene è l'unica opzione sicura.

Per i dettagli, non posso fare di meglio della foresta nella sua risposta per mostrare quanto profondamente possano essere nascoste cose all'interno. Potevano persino aver spento componenti con quelli apparentemente identici, oltre alle backdoor. Ci sono cose che puoi fare all'hardware che il produttore avrebbe problemi a trovare.

Lo stesso è purtroppo vero per la tua rete. C'è sempre un altro 0-day là fuori, e backdoor nei dispositivi di rete non sono esattamente uguali. Se sei un target di alto profilo, devi presupporre che la rete sia stata compromessa.

Tuttavia, tutto questo materiale avanzato non è gratuito o economico. Questo è il motivo per cui il modello di minaccia è importante. È improbabile che i militari utilizzino le sue migliori cose in una ricerca casuale.

Metodologia a parte, supponiamo solo che il laptop e qualsiasi altra cosa all'interno della portata audio e visiva del laptop sia compromessa e quindi soggetta a monitoraggio e all'attività sul computer stesso.

La ricerca, la manomissione o la rimozione del computer / dei dispositivi di monitoraggio potrebbero essere rilevati e visti come un atto criminale. Inoltre, la completa distruzione del laptop o che non viene utilizzato a priori può anche essere vista con estremo sospetto.

Tutto quello che puoi veramente fare è continuare a utilizzare il laptop, ma con la consapevolezza che l'attività viene monitorata (quindi solo cose "legali" su di esso). I dispositivi di monitoraggio visivo / audio non devono necessariamente coinvolgere il laptop acceso.

Investi in una borsa per computer portatile bella, sicura, imbottita (e insonorizzata) per riporre il laptop quando non è in uso.

Oltre a ciò che altri hanno menzionato riguardo al rilevamento di modifiche hardware (principalmente che è quasi impossibile), dovresti riconoscere che il vettore di compromesso più probabile sarebbe l'installazione di software, specialmente se il tuo periodo di tempo limitato.

Per avere un ragionevole livello di certezza che il tuo dispositivo è pulito dagli exploit del software, devi gettare fuori il disco rigido e iniziare con uno nuovo e una nuova installazione. Molti dei rootkit più semplici (e facili) di basso livello modificano il firmware sui dischi rigidi per impedire che un formato normale rimuova il malware. Questo è anche uno dei modi più semplici per modificare un sistema abbastanza rapidamente e "non rilevabile". Se il tuo laptop ha una scheda di rete sostituibile, anche questo dovrebbe essere considerato come una sostituzione in quanto è anche un altro posto abbastanza utile per l'installazione di un impianto hardware.

Alla fine ogni malware dovrebbe essere chiamato a casa. Avvia il computer e tutte le applicazioni comuni che esegui. Collegalo a un router esterno (questo è importante in quanto non ti puoi fidare del software in esecuzione sul laptop) che registra tutto il traffico. Lasciare inutilizzato il portatile per almeno 24 ore. Ora, convalidare scrupolosamente tutti gli IP tramite ARIN o altri registri, per vedere se qualcuno di loro sembra sospetto. Quasi sicuramente ne avrai parecchie che non puoi convalidare, anche se la macchina non è compromessa, ma questo potrebbe darti dei compromessi di livello confidenziale. Essere consapevoli del fatto che gli stati-nazione spesso possiedono la capacità di iniettare traffico in flussi legittimi da sedi legittime, e possono anche compromettere servizi legittimi o utilizzare servizi legittimi esistenti (come docs.google.com dove qualsiasi utente può creare documenti di dati arbitrari) . Inoltre, il traffico di rete su qualsiasi protocollo di rete è sospetto e non dovrebbe essere scontato durante il tentativo di convalidare il traffico.

Infine, pensa al tuo profilo di rischio. La tua nazione è conosciuta per i dispositivi di hacking e per monitorarli? Sei vittima di sfortuna o ci sono motivi legittimi per cui dovrebbero o sospettarti? Un certo livello di paranoia è sano, ma sii pratico con la tua valutazione. Gli impianti hardware personalizzati non sono economici e il costo della scoperta può essere sia imbarazzante che costoso. Se non sei un probabile sospettato e di una certa importanza, l'impianto più probabile sarà basato su software / firmware, se qualcosa è stato impiantato del tutto. Come altri hanno sottolineato, tutte le credenziali che hai sul tuo computer / che hai fornito / o i cookie attivi del browser e qualsiasi file sul sistema dovrebbero ora essere considerati compromessi.

Dato ciò che ci hai detto, devi presupporre che non solo il laptop sia irrimediabilmente compromesso, ma lo è anche l'intera rete domestica, tutto ciò che è connesso ad esso, e ogni account che hai ovunque sia stato raggiunto dal portatile o da un altro dispositivo collegato alla rete domestica.

1. Distruggi fisicamente il laptop, preferibilmente sciogliendolo / bruciandolo piuttosto che sminuzzare o polverizzare.

2. Fai lo stesso per ogni singolo componente della tua rete domestica.

3. Fai lo stesso per ogni dispositivo che è stato collegato a detta rete durante il periodo di tempo successivo al "ritorno" del laptop.

4. Chiudi e cancella tutti gli account di cui disponi su ogni sito web a cui hai mai effettuato l'accesso dal laptop o da qualsiasi dispositivo nel passaggio 3.

5. Annulla e distruggi fisicamente tutte le carte di credito / debito / regalo che hai mai effettuato pagamenti tramite il laptop o tramite uno dei dispositivi nel passaggio 3. Annulla anche qualsiasi pagamento effettuato con uno di questi le carte durante il tempo in cui il laptop è stato "restituito".

6. Chiudi tutti i tuoi conti bancari, ritirando il loro intero contenuto in contanti. Distruggi qualsiasi documento in tuo possesso associato a uno qualsiasi di questi account.

7. Non posso sottolineare abbastanza l'importanza di fuggire in un paese con migliori protezioni contro questi tipi di abusi da parte delle armi del governo.

Se hanno tutte le password, come dici tu, e hanno avuto il possesso del laptop, il laptop, il suo sistema operativo e il software installato sono tutti sospetti. Come suggerito, nuke dall'orbita.

Sarei anche preoccupato che qualsiasi software che potrebbe essere stato impiantato potesse (e avrebbe) tentato di compromettere altri computer su reti connesse. Non connettere questa macchina a una rete Ethernet, né accenderla vicino a reti WiFi se ha WiFi (né intorno ai dispositivi Bluetooth, anche se ne so poco).

Potrebbe non essere possibile cancellarlo anche in condizioni di sicurezza a causa di un firmware compromesso.

Se avessero il portatile per, diciamo, 30 minuti (o meno), l'unità potrebbe (e sarebbe) stata riprodotta / copiata. I suoi segreti non sono più solo tuoi.

Hai anche un po 'di lavoro da parte tua per cambiare tutte le tue password: potresti voler nuotare gli account per maggiore sicurezza. Elimina tutto il contenuto (se possibile) e chiudi l'account. Buona fortuna. Le informazioni potrebbero essere già state raccolte, tuttavia.

Ci sono state delle risposte riguardo alla modifica dell'hardware, e mentre questa è una possibilità, chiaramente la manomissione del software dovrebbe essere in cima alla tua mente.

I need to make sure if they have added something to monitor my activities or steal my data or not

Considera che hanno già tutti i tuoi dati . Hai ceduto tutte le tue password, quindi anche i dati che non sono sul tuo laptop (ad es., Mail, cloud) è ora nelle loro mani. Commenti estesi: se non eri in arresto, puoi sempre cambiare quante più password possibile dopo averle dato, ma vogliamo assumere che il nostro aggressore disponga di così tanta risorse ed efficienza da aver afferrato un'intera copia di tutte le tue attività online entro il secondo hai annotato la tua password su un pezzo di carta. Approccio pessimistico.

Come sottolineato da @forest, puoi fare qualcosa per provare per dimostrare che l'hanno fatto, ma è così costoso che è meglio andare su BestBuy il più velocemente possibile per ottenere un nuovo laptop. A meno che il tuo obiettivo non sia quello di denunciare, il tuo governo ti sta spiando e come.

And if they have done that, what should I do to prevent them.

Suppongo che tu abbia chiesto "cosa devo fare per impedirli in futuro ?". Si prega di modificare se non. Ottenere un nuovo laptop e implementare misure di sicurezza adeguate è buono, proprio come facciamo noi altri.

La crittografia completa del disco, i volumi nascosti plausibilmente negabili e le password complesse sono gli strumenti di base. Un esercito militare che bersaglia un individuo può avere così tante risorse (inclusi gli 0 giorni) che non puoi impedire che ti incidano per sempre, ma puoi comunque proteggerti e renderlo un momento doloroso per loro.

Ricorda, hai detto che hai dato loro le password. È qui che TrueCrypt / VeraCrypt viene a portata di mano. Ti consiglio di dare un'occhiata a questo QA . Ricordarsi di usare spesso il sistema operativo di copertura. Una volta in futuro verrai nuovamente interrogato per le tue password, assegnando loro la chiave di decrittazione per il sistema operativo "esterno". Non sono stupidi, faranno del loro meglio per estorcervi che anche voi state usando un sistema operativo nascosto. Ad esempio, solo che stai usando VeraCrypt invece di Windows BitLocker o Linux LVM di serie, questo potrebbe essere motivo di interrogatorio / estorsione.

Si consiglia inoltre di copiare con attenzione e sicurezza i documenti dal vecchio disco rigido utilizzando un adattatore USB. Documenti, non eseguibili. E, per paranoia, chi può sapere se alcuni documenti PDF sono stati modificati per sfruttare uno 0day in uno dei lettori più popolari?

Potresti voler fuggire da quel Paese il prima possibile, per quello che mi riguarda.

Una backdoor deve ancora comunicare con l'attaccante, quindi guardare le chatter di rete tramite il router dovrebbe essere sufficiente. Pulire un hard disk e reinstallare un sistema operativo potrebbe non essere sufficiente, l'hanno avuto per una settimana, avrebbero potuto smontarlo, installare un dispositivo di rete e rimetterlo insieme.

Questo non è tutto quello che c'è, potrebbe non esserci attività di rete e il programma / dispositivo potrebbe raccogliere in silenzio i dati affinché qualcuno possa recuperarli fisicamente in un secondo momento, probabilmente con un colpo alla porta.

Un nuovo laptop è in ordine, tuttavia manterrei il vecchio, forse lo metto su una DMZ in modo che non possa parlare con altri dispositivi sulla rete domestica e va da sé che non può essere usato per qualcosa di sensibile mai più.

Installa un AP nella tua cantina o, in alternativa, metti il portatile in una scatola di metallo. L'obiettivo è rendere impossibile comunicare con i segnali radio, ad eccezione dell'AP fornito da te.

Dentro quella scatola di metallo, metti il tuo AP. Quindi, il portatile dovrebbe vedere un totale silenzio radio, il suo unico modo per comunicare con il mondo esterno dovrebbe essere il tuo AP.

L'uplink del tuo AP dovrebbe essere uno dei tuoi computer esterni. Avvia un listener e un analizzatore di pacchetti di rete su di esso.

Potresti provare a innescare le loro intercettazioni facendo alcune cose complicate. Ad esempio, puoi cercare i nemici politici del tuo stato, o dovresti provare a cercare di contattarli.

Attenzione, queste persone sono altamente paranoiche e non sono interessate da argomenti come "Non ho provato a contattare il Paese X, ho solo cercato di vederlo così" o "Se avessi davvero provato a comunicare con il Paese X, non l'avevo fatto con il tuo laptop ". Sono argomenti forti per te, ma niente per loro. Sarai denunciato per aver contattato il paese X e nessuno sarà interessato ai tuoi argomenti. Il tuo unico modo per evitare la punizione se non lo fai. Ora considera il caso in cui puoi giocare con loro.

Il laptop dovrebbe essere costantemente online, dovresti fare continuamente cose su di esso (ovviamente niente di illegale).

Quindi controlla il traffico del tuo AP, il tuo AP, cosa comunica e dove.

Sfortunatamente può avere solo una risposta positiva: se il portatile non comunica, non hai modo di sapere che è perché non è stato buggato, o che è stato buggato, ma non attivo. Se comunica, saprai quanti spostamenti ha fatto e dove.

Se hai giocato abbastanza, azzerare il disco rigido e vendere il laptop su Internet.

Se in seguito parlerai con loro, non sai niente, hai appena venduto il tuo laptop perché volevi un hardware più potente, e non ci hai nemmeno pensato che potesse esserci un bug.

Il problema principale è avere un buon modello di minaccia. Forse i militari stanno solo facendo cose di routine. Forse gli è stato ordinato di spendere un sacco di sforzi specifici per spiarti.

Se si suppone che l'esercito stia facendo cose rozze (non sofisticate) (allora probabilmente hanno installato malware, probabilmente uno che la maggior parte degli strumenti software non rileva e ha copiato tutti i contenuti del proprio laptop su loro server), potresti prendere in considerazione cancellare tutto il disco (ovvero, riformattarlo completamente) e installare (ad esempio) alcuni Distribuzione Linux sul tuo computer (tuttavia, farlo potrebbe destare sospetti, ma questo è un altro problema). Copiare tutti i contenuti e aggiungere malware è, dal punto di vista militare, molto semplice (potrebbero richiedere 5 minuti di lavoro umano e 1 ora di attesa per il completamento della copia).

Come cancellare tutto il disco è una questione diversa. Su Linux vorrei dd if=/dev/zero of=/dev/sda bs=4k per esempio che riempie il disco sda con zero byte. Ovviamente, tutti i dati sono persi (su SSD, qualcosa potrebbe rimanere) ed è necessario riformattare (tecnicamente per ripartizionare) il disco. E potresti semplicemente sostituire il disco (costa qualche dozzina di euro e può essere facilmente modificato).

Come commentato, dovresti forse reinstallare il firmwarev (ad esempio il BIOS) del tuo laptop.

Se si suppone che l'esercito dispieghi sforzi specifici contro di te, potrebbero avere fisicamente incorporato un microfono, un GPS, un altro hardware all'interno del laptop per spiarti (e quindi non esiste alcuna soluzione software e, a meno che tu non sia un esperto di hardware) , non sarai in grado di notare). Cambiare l'hardware è meno facile (potrebbe richiedere ore o giorni). In tal caso, distruggi il laptop.

Se il laptop è un Windows 10 a causa dell'avvio protetto, della memoria virtuale di Windows, della firma del driver, è possibile garantire che la macchina sia affidabile. Ciò non esclude le applicazioni maligne installate e impostate per l'esecuzione e l'accesso alle risorse del computer, tuttavia non avrebbero praticamente alcun modo di accedere ad altre applicazioni o processi che non "si espongono".

L'indirizzamento della memoria virtuale di Windows essenzialmente rimescola la memoria delle applicazioni in modalità utente. Quindi, se un virus tenta di accedere alla memoria con metodi compromessi, non è in grado di discernere cosa sia. Quindi ogni processo ha la sua memoria virtuale da 2 GB o così via da utilizzare che viene tradotta da Windows in uno spazio di indirizzamento reale. La memoria di processo è fondamentalmente privata di quel processo. Possono condividere la memoria con le maniglie. Ma credo che ciò richiederebbe la cooperazione di entrambi i processi.

Inoltre, il software dannoso impostato per l'esecuzione può visualizzare il traffico di rete, ma può essere visualizzato da chiunque anche una volta che viene trasmesso su una rete.

Quindi, in pratica, le applicazioni scritte in modo sicuro non possono essere facilmente eliminate. A meno che i "militari" abbiano accesso a OEM, Windows o Intel / AMD e rendano tale abilità disponibile a loro, oppure hanno realizzato vulnerabilità non ancora note per esistere.