Buscar puertas traseras instaladas por militares en la computadora portátil

Si el dispositivo dejó de verlo por un período de tiempo, reemplácelo. Ya no se puede confiar.

El costo para asegurar que aún se puede confiar supera significativamente el costo de obtener uno nuevo

No hay manera efectiva de verificar que el hardware no haya sido manipulado sin una experiencia significativa y que emplee recursos no triviales. La única solución es reemplazar la computadora portátil y todos los componentes asociados. Sin conocer su país u otros aspectos de la situación en la que se encuentra, no hay forma de que comente sobre la probabilidad de esto, solo sobre la viabilidad técnica.

Si necesita verificar la integridad de la computadora portátil, hay algunas cosas que debe verificar (no exhaustivas):

• Distribución del peso : verifique el peso exacto de cada componente (IC, PCB, etc.). Las distribuciones de peso pueden analizarse utilizando efectos giroscópicos. Esto requiere tener cerca equipo sin compromisos para la comparación. Se requiere un equipo de medición extremadamente preciso.

• Consumo de energía : verifique el consumo de energía de cada componente a lo largo del tiempo. Las puertas traseras a menudo utilizan el poder, y su presencia a veces se puede detectar con un ataque de análisis de poder. Sin embargo, no confíe en esto, ya que los circuitos integrados pueden usar extremadamente poca potencia hoy en día.

• Inspección de rayos X en PCB : use rayos X para ver las partes internas de la placa de circuitos. Esto requiere un equipo costoso para una placa de circuito impreso de múltiples capas, como una placa base para computadora portátil. También requiere muchas horas hombre de inspección intensiva de cada micrómetro cuadrado del dispositivo.

¿Suena excesivo? Lo es, pero esto es lo que tendría que hacer para tener un buen nivel de confianza de que no se han realizado modificaciones de hardware malintencionadas. Será más barato comprar una computadora portátil nueva.

  

Lo nuké desde la órbita, pero me di cuenta de que estaba en estado de reposo durante 2 días y no en estado de apagado, por lo que estaba conectado a mi módem a través de wifi. ¿Tiene que preocuparse?

En teoría, el hardware o el firmware comprometidos se harían para comprometer su punto de acceso inalámbrico u otros dispositivos que escuchen. Mientras que un estado suspendido (modo de suspensión) normalmente también desactiva la NIC, no puede hacer esa suposición si el hardware está comprometido. Sin embargo, si bien esto es teóricamente posible, requeriría un ataque más específico lejos , y la mayoría de los grupos militares no querrán regalar los días que tienen disparándolos a cualquier dispositivo inalámbrico cercano que puedan encontrar.

Desafortunadamente, también es teóricamente posible que su módem haya sido comprometido. Sin embargo, no creo que sea muy probable, ya que podrían haberlo hecho a través de su conexión a Internet, asumiendo que pueden controlar o comprometer su ISP. Si han manipulado su hardware, es mucho más probable que lo hayan hecho solo con fines de vigilancia, no para propagar un gusano.

  

He revisado dos veces el portátil físicamente y no hay signos de deformación de plástico o de tornillo. ¿Es posible que hayan comprometido su hardware?

Absolutamente. Hay muchas maneras de abrir una computadora portátil sin que ese hecho sea aparente. Si bien existen sofisticados mecanismos de detección de intrusión en el chasis, existen algunas técnicas de "gueto" que puede utilizar en el futuro. Una técnica es rociar esmalte de uñas con brillo en las juntas del sistema, por dentro y por fuera. Tome una foto de alta resolución de esto (¡y no almacene la foto en la computadora!). Si se abre el dispositivo, se interrumpirá el diseño preciso del brillo, y será excepcionalmente difícil volver a colocarlo en su lugar. Puedes compararlo con la foto almacenada y buscar diferencias sutiles.

El término para esto es prueba de manipulación indebida , que es cualquier técnica que dificulta la manipulación de un dispositivo sin que se note ese hecho. Las opciones más profesionales incluirían cintas de seguridad a prueba de manipulaciones a medida o calcomanías holográficas. Desafortunadamente, esto solo puede ayudarlo en el futuro y, obviamente, será incapaz de proteger su sistema de manera retroactiva.

Dejando de lado la metodología, solo suponga que la computadora portátil y todo lo que esté dentro del alcance visual y de audio de la computadora portátil esté comprometido y, por lo tanto, esté sujeto a monitoreo, así como a la actividad en la computadora misma.

La búsqueda, la manipulación o la eliminación de la computadora o los dispositivos de monitoreo pueden detectarse y considerarse como un acto delictivo. Además, la destrucción completa de la computadora portátil o el hecho de no estar en uso también se puede ver con extrema sospecha.

Todo lo que realmente puede hacer es continuar usando la computadora portátil, pero con el conocimiento de que la actividad está siendo monitoreada (así que solo haga cosas "legales" en ella). Los dispositivos de monitoreo visual / de audio no necesitan involucrar que la computadora portátil esté encendida.

Invierta en una bolsa para computadora portátil agradable, segura, acolchada (e insonorizada) para guardar la computadora portátil cuando no esté en uso.

La información principal que nos falta es su modelo de amenaza.

¿Es probable que los militares te apunten específicamente y que estén dispuestos a expandir algunos recursos sobre ti? No necesitamos conocer los detalles, pero la respuesta cambia dependiendo de si lo que sucedió es un procedimiento más o menos estándar para su país, o si se lo destaca.

Y no sabemos qué secretos estás protegiendo. Si tiene datos personales y comunicaciones, es un juego diferente al de ser un elemento activo en un movimiento de oposición política u otra actividad que podría asesinarlo si obtienen los datos. Hay países en el mundo donde ser un activista de derechos humanos puede conseguirlo en una lista de defunciones.

Si este es un procedimiento estándar y sus datos no son de vida o muerte, puede tomar las precauciones habituales, volver a instalar el sistema operativo, parpadeo del firmware, si desea hacer un esfuerzo adicional, reemplazar componentes como el Ethernet Puerto y todo lo demás es reemplazable. Luego opte por el supuesto de que es posible que hayas omitido algo más profundamente incrustado, pero tus posibilidades son mejores que el promedio de que estés claro.

Lo mismo es cierto para la conexión de red activa. Es probable que tu adversario hiciera patrones de ataque estándar. Si su red es segura y no ve signos de intrusión en el interior (registros de firewall, IDS si tiene, etc.) podría estar bien.

Si es más probable que haya recibido atención especial, le sugiero encarecidamente que utilice la máquina de alguna manera inocente (navegando por la web, etc.) en algún lugar y luego la deje a la intemperie cuando vaya al baño. O en otras palabras: haz que sea robado. De esa manera, nadie puede culparlo, el adversario no puede estar seguro de si intencionalmente "perdió" el dispositivo y, en cualquier caso, no puede probarlo, y es la única manera de estar seguro. Incluso si lo tuvieras cerca apagado, podría haber un micrófono oculto en tu interior que te vigile. Así que deshacerse de él es la única opción segura.

Para los detalles, no puedo hacer nada mejor que el bosque en su respuesta para mostrar cuán profundamente se pueden esconder las cosas dentro. Incluso podrían haber cambiado los componentes por otros aparentemente idénticos, más las puertas traseras. Hay cosas que puede hacer con el hardware que el fabricante podría tener problemas para encontrar.

Lamentablemente, lo mismo se aplica a su red. Siempre hay uno más de 0 días por ahí, y las puertas traseras en los dispositivos de red tampoco son desconocidas. Si eres un objetivo de alto perfil, debes asumir que la red se ha visto comprometida.

Sin embargo, todas estas cosas avanzadas no son gratis ni baratas. Es por eso que el modelo de amenaza es importante. Es poco probable que los militares utilicen su mejor material en una búsqueda aleatoria.

Además de lo que otros han mencionado sobre la detección de cambios de hardware (principalmente que es casi imposible), debe reconocer que el vector más probable de compromiso sería la instalación de software, especialmente si solo tenían su dispositivo por un tiempo razonable. período limitado de tiempo.

Para tener un nivel de seguridad razonable de que su dispositivo está limpio de las vulnerabilidades del software, debe desechar el disco duro y comenzar con uno nuevo y una instalación nueva. Muchos de los rootkits de bajo nivel más prácticos (y fáciles) modifican el firmware en los discos duros para evitar que un formato normal elimine el malware. Esta es también una de las maneras más fáciles de alterar un sistema de manera bastante rápida y "indetectable". Si su computadora portátil tiene una tarjeta de red reemplazable, esto también debería considerarse como reemplazo, ya que también es otro lugar bastante útil para implementar un implante de hardware.

Por último, cualquier malware probablemente necesite llamar a su hogar eventualmente. Inicie su computadora y cualquier aplicación común que ejecute. Conéctelo a un enrutador externo (esto es importante ya que no puede confiar en el software que se ejecuta en la computadora portátil) que registra todo el tráfico. Deje la computadora portátil sin usar durante al menos 24 horas. Ahora, valide cuidadosamente todos los IP a través de ARIN u otros registros, para ver si alguno de ellos parece sospechoso. Es casi seguro que tendrá varios que no pueda validar, incluso si la máquina no está comprometida, pero esto puede darle un nivel de compromiso de confianza. Tenga en cuenta que los estados nacionales a menudo poseen la capacidad de inyectar tráfico en flujos legítimos desde ubicaciones legítimas, y también pueden comprometer servicios legítimos o utilizar servicios legítimos existentes (como un servicio como docs.google.com donde cualquier usuario puede crear documentos de datos arbitrarios). Además, el tráfico de red en cualquier protocolo de red es sospechoso y no debe descontarse al intentar validar el tráfico.

Por último, piensa en tu perfil de riesgo. ¿Es tu nación conocida por hackear dispositivos y monitorearlos? ¿Eres víctima de la mala suerte o hay razones legítimas por las que deberían o te sospecharon? Un cierto nivel de paranoia es saludable, pero sea práctico con su evaluación. Los implantes de hardware personalizados no son baratos, y el costo del descubrimiento puede ser embarazoso y costoso. Si no es un sospechoso probable y tiene alguna importancia, el implante más probable será el software o el firmware, si es que se implantó algo. Como han señalado otros, todas las credenciales que tenía en su máquina / que proporcionó / o cualquier cookie activa del navegador, y todos los archivos en el sistema ahora deben considerarse comprometidos.

Si tienen todas sus contraseñas, como usted dice, y tenían posesión de la computadora portátil, la computadora portátil, su sistema operativo y el software instalado son todos sospechosos. Como se sugiere, bombardeo de la órbita.

También me preocuparía que cualquier software que posiblemente se haya implantado podría (y lo haría) intentar comprometer otras computadoras en redes conectadas. No conecte esta máquina a una red Ethernet, ni la encienda cerca de ninguna red WiFi si tiene WiFi (ni cerca de dispositivos Bluetooth, aunque sé poco sobre esto).

Puede que no sea posible borrarlo incluso en condiciones de seguridad debido a un firmware comprometido.

Si tuvieran la computadora portátil durante, por ejemplo, 30 minutos (o menos), la unidad podría (y habría) grabada. Sus secretos ya no son solo tuyos.

También tiene un poco de trabajo por delante para cambiar todas sus contraseñas: es posible que desee destruir las cuentas para mayor seguridad. Eliminar todo el contenido (si es posible) y cerrar la cuenta. Buena suerte con eso. Sin embargo, es posible que ya se haya recopilado información.

Ha habido respuestas con respecto a la modificación de hardware, y si bien esta es una posibilidad, es evidente que la manipulación del software debería ser una gran idea.

Teniendo en cuenta lo que nos ha dicho, debe suponer que no solo la computadora portátil se compromete de manera irrecuperable, sino que también lo está toda su red doméstica, todo lo que está conectado a ella y todas las cuentas que tenga en cualquier lugar a las que haya accedido desde la computadora portátil. o desde otro dispositivo conectado a su red doméstica.

1. Destruye físicamente el portátil, preferiblemente fundiéndolo / quemándolo en lugar de simplemente triturándolo o pulverizándolo.

2. Haga lo mismo con cada componente de su red doméstica.

3. Haga lo mismo con cada dispositivo que se conectó a dicha red durante el tiempo posterior a la "devolución" de la computadora portátil.

4. Cierre y elimine todas las cuentas que tenga en todos los sitios web a los que haya accedido desde la computadora portátil o desde cualquiera de los dispositivos en el paso 3.

5. Cancele y destruya físicamente todas y cada una de las tarjetas de crédito / débito / regalo de las que haya realizado pagos a través de la computadora portátil o a través de cualquiera de los dispositivos en el paso 3. También cancele cualquier pago que se haya realizado con cualquiera de ellos tarjetas durante el tiempo después de que la computadora portátil fue "devuelta".

6. Cierre todas sus cuentas bancarias, retirando todo su contenido en efectivo. Destruya cualquier papeleo en su poder asociado con cualquiera de esas cuentas.

7. No puedo enfatizar lo suficiente la importancia de huir a un país con mejores protecciones contra este tipo de abusos por parte del gobierno.

  

Necesito asegurarme de que hayan agregado algo para monitorear mis actividades o robar mis datos o no

Considera que ya tienen todos tus datos . Ha entregado todas sus contraseñas, por lo que incluso los datos que no están en su computadora portátil (por ejemplo, correo, nube) ahora están en sus manos. Comentario extendido: si no estuvo bajo arresto, siempre podría cambiar tantas contraseñas como pueda después de darlas, pero queremos asumir que nuestro atacante tiene tantos recursos y eficiencia que capturó una copia completa de todas sus actividades en línea en el momento en que anotó su contraseña en un papel. Enfoque pesimista.

Como lo señaló @forest, puede hacer algo para intentar y probar que lo hicieron, pero es tan caro que es mejor que BestBuy compre lo más rápido posible para obtener una computadora portátil nueva. A menos que su objetivo sea silbar, su gobierno lo está espiando y cómo.

  

Y si lo han hecho, ¿qué debo hacer para prevenirlos?

Supongo que preguntaste "¿qué debo hacer para prevenirlos en el futuro ?". Por favor, edite si no. Obtener una computadora portátil nueva e implementar medidas de seguridad adecuadas es bueno, como lo estamos haciendo los demás.

El cifrado completo del disco, los volúmenes ocultos plausiblemente negables y las contraseñas complejas son las herramientas básicas. Un cuerpo militar que ataca a un individuo puede tener tantos recursos (incluidos 0 días) que no puede evitar que lo pirateen para siempre, pero aún puede protegerse y hacer que sea un momento doloroso para ellos.

Recuerda, dijiste que les diste las contraseñas. Aquí es donde TrueCrypt / VeraCrypt son útiles. Le recomiendo que eche un vistazo a este QA . Recuerde utilizar la cubierta del sistema operativo a menudo. Una vez en el futuro, se le volverá a preguntar por sus contraseñas, asígnele la clave de descifrado para el sistema operativo "externo". No son estúpidos, harán todo lo posible por extorsionarte diciendo que también estás ejecutando un sistema operativo oculto. Por ejemplo, solo que está utilizando VeraCrypt en lugar de Windows BitLocker o Linux LVM en existencia, eso podría ser motivo de cuestionamiento / extorsión.

Es posible que también desee copiar de forma cuidadosa y segura los documentos del disco duro antiguo con un adaptador USB. Documentos, no ejecutables. Y, fuera de la paranoia, ¿quién puede saber si se modificaron algunos documentos PDF para explotar un día en uno de los lectores populares?

Es posible que desee escapar de ese país lo antes posible, por lo que me preocupa.

Una puerta trasera todavía tiene que comunicarse con el atacante, por lo que debería bastar con ver el chatter de la red a través de su enrutador. Limpiar un disco duro y reinstalar un sistema operativo puede no ser suficiente, lo tuvieron durante una semana, podrían haberlo desarmado, instalado un dispositivo de red y volver a armarlo.

Tampoco es todo lo que hay, puede que no haya actividad en la red y que el programa / dispositivo esté recolectando datos en silencio para que alguien pueda recuperarlos físicamente más tarde, probablemente a través de un golpe en la puerta.

Una nueva computadora portátil está en orden, sin embargo, mantendría la vieja, tal vez incluso la puse en una DMZ para que no pueda hablar con otros dispositivos en su red doméstica y no hace falta decir que no puede ser. Usado para cualquier cosa sensible nunca más.

Instala tu propio software espía en él y déjalo funcionar en modo inactivo durante una semana, atrapa a los fisgones en el acto o simplemente destruye el portátil y compra uno nuevo.

Como a mí también me gustaría estar en esta lista de vigilancia, daré mi propia respuesta. 1, si estás en internet de alguna manera ya estás siendo observado. 2, si tiene dispositivos de red en su computadora, usted está siendo monitoreado. 3, cuanto más nueva es la computadora, más fácil es monitorearlo. 4, realmente no debería haber nada ilegal en su computadora, de lo contrario es su derecho buscarlo. 5, tómese un momento para revisar ciertas leyes en ciertos países, especialmente cuando se trata de WiFi y su capacidad de visualización o cualquier ley que rija la transmisión de radio.

Etc. Básicamente, tus pensamientos podrían ya no ser privados. Pero sugiero seguir intentando.

Si la computadora portátil es una Windows 10 debido al arranque seguro, la memoria virtual de Windows, la firma del controlador, puede asegurarse de que la máquina sea confiable. Esto no descarta las aplicaciones malintencionadas instaladas y configuradas para ejecutarse y acceder a los recursos de las computadoras, sin embargo, no tendrían prácticamente ninguna forma de acceder a otras aplicaciones o procesos que no se "pongan en evidencia".

El direccionamiento de la memoria virtual de Windows esencialmente codifica la memoria de las aplicaciones en modo de usuario. Entonces, si un virus intenta acceder a la memoria a través de métodos pirateados, no es capaz de discernir qué es qué. Por lo tanto, cada proceso tiene su propia memoria virtual de 2 GB o más que utiliza, que se traduce por ventanas al espacio de direcciones real. La memoria del proceso es básicamente privada a ese proceso. Pueden compartir memoria con asas. Pero creo que esto requeriría la cooperación de ambos procesos.

El software adicional malicioso que se ejecute puede ver el tráfico de la red, pero cualquiera puede verlo también, una vez que se emite en una red física.

Así que, básicamente, las aplicaciones escritas de forma segura no se pueden eliminar. A menos que los "militares" tuvieran acceso a oem, Windows o intel / amd y ellos pongan esa capacidad a su disposición o se hayan dado cuenta de vulnerabilidades que aún no se conocen.