Desinfectar la computadora después de la incautación de Seguridad Nacional [cerrado]

Dado que su computadora portátil estaba en posesión de una entidad gubernamental con intenciones desconocidas hacia usted durante un período prolongado, realmente no hay manera de que pueda restaurarla a un estado totalmente confiable.

Si asume que el DHS de EE. UU. es hostil, el único proceso seguro para avanzar incluye:

1. Suponga que todos los datos de la computadora portátil y todos los demás hardware confiscados están comprometidos.
   • Cambie todas las contraseñas de las cuentas que puedan haber sido almacenadas / almacenadas en caché en los dispositivos.
   • Cambie todas las contraseñas de otras cuentas que usen la misma contraseña que las cuentas que pueden haberse almacenado / almacenado en caché en los dispositivos.
   • Anule todos los mecanismos de pago que puedan haber sido almacenados / almacenados en caché en los dispositivos.
   • Comunique las advertencias de privacidad adecuadas a terceros potencialmente afectados.
2. Supongamos que la computadora portátil, y todo el hardware confiscado, se modificó para permitir la recopilación futura de datos, o el control del sistema, por parte del DHS de los EE. UU. o agencias relacionadas.
   • Destruye los dispositivos. No capture imágenes de copia de seguridad ni copie ningún archivo. Solo quema / tritura / pulveriza / aplasta como están.
   • Compre hardware / software de reemplazo de una fuente confiable, a través de una cadena de suministro confiable, y vuelva a compilar desde cero.
   • Si existen copias de seguridad confiables (las copias de seguridad no se confiscaron y no serían accesibles de manera remota con las credenciales que se hayan almacenado / almacenado en caché en los dispositivos confiscados), restaure los datos de esas fuentes según sea necesario.

Nada menos que esto deja abiertas varias posibilidades extremadamente indeseables:

1. EE. UU. DHS puede seguir teniendo acceso a sus cuentas en línea y / o recursos financieros.
2. Uno o más de sus dispositivos pueden tener malware persistente que permite a los EE. UU. DHS, o agencias relacionadas, espiarlo o controlar sus sistemas. Y estás de vuelta en el # 1.
3. Los archivos almacenados en uno de sus dispositivos pueden tener malware que se instalará al abrirse. Entonces ve # 2.
4. Es posible que el hardware o firmware de uno de sus dispositivos se haya modificado para incluir malware, que puede instalarse al conectarse a otro dispositivo. Ver # 2 de nuevo.
5. Es posible que se hayan modificado todos los proyectos de software en los que estaba trabajando y / o las herramientas que utiliza para compilarlos para incluir malware. Vuelva al # 2 nuevamente y también agregue un mayor impacto a sus clientes si no se descubre y trata antes de la distribución.

Debe consultar 10 Leyes de seguridad inmutables . La ley # 3 ciertamente aplica. Suponiendo que hayan explotado esa ley, es probable que pueda apostar las Leyes 1 y amp; # 2 también se aplican.

  

Ley # 1: Si un malvado puede persuadirte para que ejecute su programa en tu computadora, ya no es tu computadora
Ley # 2: si un el malo puede alterar el sistema operativo de su computadora, ya no es su computadora
Ley 3: Si un malo tiene acceso físico sin restricciones a su computadora, no lo es. tu computadora ya

También consulte la 10 leyes inmutables de la administración de seguridad . Aquí, la Ley # 4 es la más apropiada.

  

Ley # 4: No sirve de nada instalar correcciones de seguridad en una computadora que nunca fue segura para comenzar con

Esta es una gran pregunta.

Básicamente, una vez que un adversario ha tomado un dispositivo con el nivel de sofisticación como nación-estado, especialmente en los Estados Unidos, no se puede confiar en ese dispositivo y todos los datos que contiene. El único enfoque seguro es no confiar en ese dispositivo y destruirlo.

Las fugas de Snowden han expuesto los diversos métodos mediante los cuales el gobierno estadounidense puede comprometer las computadoras. Esto incluye la instalación de errores de hardware en el teclado, la GPU u otros componentes que hacen que la computadora esté completamente enraizada y comprometida incluso si se reinstala un O / S. También han instalado transmisores de radio para derrotar a las computadoras con "espacio vacío" que nunca se conectan a Internet mediante la filtración de datos a través de la radio oculta. La charla de Jacob Appelbaum sobre el tema es muy informativa: Yo altamente Sugiera ver este video mientras detalla los diversos dispositivos que se sabe que usa el gobierno. También está disponible un resumen de wikipedia .

Ahora, es posible que los agentes de Seguridad Nacional no hayan plantado ninguno de estos dispositivos y no tengan las mismas capacidades que la NSA. Sin embargo, eso no se puede descartar.

Si bien es posible que pueda recuperar algunos datos del disco duro sacándolos y guardándolos en un alojamiento USB / utilizando un cable SATA a USB, esto conlleva riesgos. Yo usaría una computadora desechable de un solo uso para leer la unidad ... ya que el firmware o el controlador de la unidad pueden tener un malware instalado que intentará infectar cualquier computadora a la que esté conectado.

Para contrarrestar esto, recomendaría comprar un dispositivo duplicador de hardware forense (conocido como duper de bloque de escritura). Luego, conecte la unidad SATA de su computadora y clónela en otro disco. Luego, copie los archivos de ese disco clonado a otra computadora. Eso debería evitar el compromiso basado en el firmware.

Sin embargo, no se puede garantizar algún tipo de gusano, etc. no se ha plantado en los archivos. Al copiar en múltiples dispositivos y no usar el dispositivo que usó originalmente para conectar el disco duro, minimiza las posibilidades de un compromiso prolongado; pero todavía existe la posibilidad de que algo esté mal con los archivos. AntiVirus, etc., no ayuda contra ataques sofisticados como este.

Es por eso que ya no se puede confiar en la computadora. Sin embargo, puede tomar medidas como el duplicador de hardware para ayudar a minimizar la posibilidad de problemas.

También esta historia podría ser importante: enlace .. famoso hacker obtiene su computadora inspeccionado en la frontera por el DHS, y su conclusión fue una que creo que es muy válida:

  

"No puedo confiar en ninguno de estos dispositivos ahora", dice Marlinspike, quien prefiere no divulgar su nombre legal. "Podrían haber modificado el hardware o instalado un nuevo firmware de teclado".

Dependiendo de su nivel de paranoia acerca de esto y de la cantidad de su código, en el extremo puede pasar a un método de BAJA TECNOLOGÍA para evitar cualquier cosa que se haya hecho.
Comprar una impresora barata. Conéctalo a tu laptop. Imprima su código fuente como resmas y resmas de texto. Imprima los gráficos, diseños, etc. Imprima las configuraciones de usuario necesarias. Destruye el portátil y la impresora.

Por supuesto, ahora tiene que volver a ingresar todo su código fuente, volver a crear sus gráficos, etc., pero no tiene que reinventar ninguna parte de la IP y NO hay conexión electrónica para nadie. para realizar un seguimiento.

1) Así que no hay forma de saber que no lo han hecho. Siento que eso está un poco por encima de su nivel de calificación (¿y tendrían tiempo para hacerlo?). Depende de tu nivel de paranoia. Si sus pensamientos fluyen como una corriente tranquila después del primer día de primavera, copie los datos en una nueva máquina y continúe con la vida. Si te preguntas si los perros aullando en tus pensamientos son mensajeros del príncipe de las tinieblas, quema todo en una hoguera alimentada por termitas.

2) Para mí, personalmente, destruiría el equipo, lloraría en su tumba y seguiría adelante. Con copias de seguridad que no son físicamente en mí. Sin embargo, la mayoría de los datos que guardo en mis máquinas viven en la nube o son reemplazables.

Si este trabajo no tiene precio, una auditoría está en orden. En primer lugar, saque la unidad de la computadora portátil y conéctela a un entorno aislado: una computadora nueva sin red. Un CD de Linux en vivo es muy bueno para esto. Monte la unidad en cuestión y mire los archivos: ¿ve algo extraño? ¿Falta algo? ¿Algún archivo extraño de Windows? Usar Clam AV también es una buena opción. ¿Hay algún archivo nuevo que no reconozcas? Borra los.

También haría la copia en trozos pequeños mientras estaba en el Live CD de Linux. A menos que sean lo suficientemente sofisticados como para colocar malware de Windows y Linux, evitará que los programas de vigilancia se reproduzcan automáticamente y encuentren un nuevo hogar. No puedo enfatizar esto lo suficiente: sepa lo que está copiando . Revisa tu proyecto: ¿alguna nueva adición que no recuerdes?

Después de eso, use un entorno Windows limpio y esté atento a cualquier actividad sospechosa. ¡Construya una buena política de seguridad, y la próxima vez cifre sus unidades! Ah, y tira todo una vez que hayas recuperado los datos. Los ataques de firmware son reales.

Como han señalado otros, para el código fuente necesita hacer más que simplemente copiarlo de forma segura: debe poder detectar la manipulación. Y para eso necesitas hacer una revisión sustancial del código.

Si el código es muy complejo, o si no sabe lo suficiente para hacerlo adecuadamente, tiene otra opción: agregue su opinión por medio de una fuente colectiva. Simplemente publique el código como fuente abierta e invite a las personas a encontrar el implante. Me imagino que a algunas personas les encantaría el desafío.

1. Consigue otra computadora (confiable).
2. Obtenga dos adaptadores USB / serie y un cable de módem nulo (para conectarlos). Es poco probable que su computadora de confianza sea explotable de forma remota a través de una conexión en serie. Conecte un adaptador a cada computadora.
3. En el equipo de confianza, ejecute cat /dev/ttyS0 > hd.img . (Es posible que su adaptador serie no sea / dev / ttyS0; es posible que desee verificarlo de alguna manera)
4. Conecta las dos computadoras.
5. En la computadora que no es de confianza, ejecute cat /dev/sda > /dev/ttyS0 (o el disco duro que desee visualizar, y se llame al adaptador serie en esa computadora)
   (Si esa computadora no está ejecutando Linux, use un Live CD o un Live USB desechable)
6. Cuando esto termine, presione ctrl-C el proceso cat del equipo de confianza (ya que seguirá esperando más datos).

(Si tiene más unidades de las que desea crear imágenes, adjúntelas a la computadora no confiable y repita el procedimiento)

Ahora debería tener una imagen de disco duro, y la obtuvo sin que su computadora de confianza sea vulnerable. Como el contenido de la imagen no es confiable, no lo arranque en una máquina virtual .

Puedes abrirlo con un editor hexadecimal e intentar buscar los datos que deseas, pero te llevará para siempre reunir los archivos.

En su lugar, escriba un programa (en un lenguaje seguro para la memoria, como Java o Python) para analizar las estructuras de datos del sistema de archivos y extraer los archivos que desee. Asegúrese de revisar cada archivo extraído en un editor hexadecimal antes de usarlo para cualquier otra cosa, en caso de que haya sido manipulado. (Ni siquiera utilice cat . xxd está bien siempre y cuando no esté configurado para mostrar caracteres ASCII)

Destruye la computadora y los dispositivos no confiables (incluidos los dispositivos USB en vivo que usaste en esa computadora); No sabes que no han agregado ningún dispositivo de seguimiento. Ellos (probablemente) han hecho eso en el pasado , por lo que esta preocupación no es injustificada.

Nunca me he enfrentado a este escenario; Sin embargo, por lo que sé, funciona el procedimiento de limpieza inversa. Arranque medios externos y copie cuidadosamente sus archivos de trabajo uno por uno, auditándolos a medida que avanza. Luego vuelva a formatear.

Tenga en cuenta que los sistemas actualizados no tienen ataques a través de archivos de texto o de imagen (al menos conocidos). Si aparecen procesos misteriosos, envíe sus archivos de trabajo para el análisis de malware. Si obtuviste alguno, el DHS lamentará haberte apuntado y haber desperdiciado su malware más sofisticado en un objetivo de baja prioridad.

Para futuras referencias, tanto para usted como para otros, recomendaría realizar un hashing SHA256 completo de todos los archivos en la computadora y del firmware, antes y después de un viaje de este tipo. Asegúrese de dejar la lista de hash SHA1 en casa.

También recomendaría que, para viajes fuera del país, tome una computadora portátil más antigua que haya borrado y se le haya dado una nueva instalación del sistema operativo de su elección antes del viaje. Toma solo los archivos que necesitas. Los archivos más pequeños deben estar alojados en la nube o acceder de forma remota. Los archivos más grandes deben cifrarse individualmente y se les debe dar nombres inocuos y extensiones de archivo no estándar que no revelen su propósito.

Antes de regresar, debe eliminar los archivos a los que no desea que accedan los agentes de aduanas.

Por lo menos, estos pasos reducirán su enfoque para determinar qué archivos podrían haberse agregado / modificado / eliminado.

Como se indicó en otras respuestas, podría haber spyware en el BIOS o, de lo contrario, ocultarse en el hardware modificado. (Por ejemplo, en teoría, uno puede imaginar un ataque complejo en el que un procesador es reemplazado por un chip que emula al procesador original pero también hace cosas adicionales para propósitos de espionaje).

Para estar absolutamente seguro de haber eliminado cualquier tipo de software espía, se requiere experiencia en la electrónica, e incluso entonces, el tiempo para hacerlo podría valer más que el valor del hardware.

Sin embargo, es posible recuperar datos (no código ejecutable), especialmente texto sin formato, siempre que nunca ejecute código que provenga, directa o indirectamente, de la máquina comprometida (incluidos los archivos). Escrito directamente por hardware desde el portátil comprometido). Eso significa:

1. No puede usar la computadora portátil para copiar los datos.
2. No puede recuperar el código compilado (asumiendo que no va a desarmarlo y leerlo todo a fondo).
3. Cualquier código fuente que recupere debe ser inspeccionado manualmente. Si se trata de su propio código, la verificación de programas espía agregados debería ser factible, pero requiere mucho tiempo.
4. Los dos puntos anteriores se aplican a cualquier tipo de documento que pueda incluir macros o scripts (por ejemplo, documentos de Microsoft Word y Excel).
5. Puede recuperar tipos de documentos que admiten macros utilizando un software confiable para verificar y eliminar las macros.

Conectarías el disco duro a una máquina nueva, para copiarlo y luego descartarlo.

Todavía existe el riesgo de ataques de saturación del búfer en los documentos, que se dirigen a una aplicación en particular que puede usar para ver el documento. Una posible defensa contra estos (además de verificar las vulnerabilidades conocidas) sería usar aplicaciones menos comunes (y no las que se instalaron en su computadora portátil, ya que son las que esperan que usted use) para ver los documentos. o convertirlos a otro formato (usando software de una fuente confiable para hacerlo), y posiblemente volver.

El (los) disco (s) duro (s) de la computadora portátil comprometida podría haber modificado el firmware, pero eso no puede hacer que el código se ejecute directamente en la máquina que utiliza para copiarlos (podría alterar los datos a medida que se leen o escriben). Aunque en teoría, podría tener una vulnerabilidad de saturación de búfer dirigida a un controlador de disco.

Lo ideal sería que todas las copias y conversiones (y la eliminación de macros) se hicieran en una máquina que luego reinstalarías (o descartarías). (Una Raspberry Pi o similar es rápida de configurar y puede ser prescindible).

¿Desea copiar su código fuente de la máquina comprometida sin el riesgo de infectar su nueva computadora?

Fácil:

1. Obtenga acceso a una red WiFi abierta
2. Copie sus archivos de código fuente a un servicio gratuito de almacenamiento en la nube (o pegar-bin)
3. descargue los archivos de origen con la computadora de su casa
4. Inspeccione cuidadosamente todas las fuentes para detectar alteraciones (lo cual es bastante improbable, ya que generalmente piensan que tiene copias de respaldo en algún lugar y no se molestaría, pero depende de la complejidad de su software)

De esta manera, no tiene ninguna conexión directa desde la máquina (posiblemente) comprometida a la computadora de su hogar. Los únicos archivos que transfiere son archivos de texto sin procesar e inspeccionados a mano. Por lo tanto, el único vector de ataque que queda es el código secreto en sus archivos de código fuente. La única forma de ser a prueba de balas contra eso sería reescribir cada método en un nuevo proyecto. Mire el viejo código fuente y escriba cada método nuevamente con algunas correcciones menores y limpiando.

Otros han cubierto los peligros & Los problemas aquí perfectamente, así que no voy a tratar de reproducir eso. Solo quería agregar una sugerencia para después de la inevitable revisión del código. Me doy cuenta de que la pregunta es sobre el uso de la computadora, pero le sugiero que también debe tomar medidas con respecto a su código.

Así que supongamos que ha tratado todo el hardware como si fuera una cancelación total y hostil, y necesita recuperar el código. Ya ha habido sugerencias de cómo activar y desactivar el código en otra máquina usando una impresora desechable y digamos que ya lo hizo (habría retirado el adaptador inalámbrico de la máquina comprometida antes de iniciarlo como una precaución adicional) también).

Así que has escrito tu código nuevamente y ya lo revisaste para modificaciones y estás contento con él. El paso adicional que tomaría ahora es asumir también que el código ha sido examinado y necesita ser revisado a un nivel funcional y, si es necesario, cambiar.

Esta podría ser la forma en que hash y almacenas las contraseñas, quizás un mecanismo de licencia si tiene una, o tal vez tu código se comunique a través de Internet con los usuarios de una manera particular. Solo estoy pensando que si estuviera llevando el código que incluía algo que sería de interés para un actor del estado nacional, vería cómo modificarlo para que, si han recogido algo de su funcionamiento interno, la próxima vez que lo vean en uso, se comportará de manera diferente con respecto a cómo esperan que se comporte.

tl;dr

Le sugiero que reflexione sobre la funcionalidad del código que llevaba; ¿Obtendría algún actor potencialmente hostil algún beneficio al entender cómo funciona? Si es así, considere cómo mitigaría el hecho de que alguien tenga ese conocimiento.

Por supuesto, esto supone que el código que llevabas podría ser de su interés.

Nota final; este paso sería necesario en mi mente incluso si hubiera restaurado el código desde una copia de seguridad segura conocida, ya que es la forma en que funciona el código que se ha expuesto.

Tu situación no suena muy divertida, sin embargo, buena suerte para solucionarlo todo.