Comprobando si la notebook está limpia de software espía

12

¿Hay algunos pasos sencillos que uno pueda seguir para verificar si una notebook está limpia de hardware spyware?

¿Qué se debe buscar? ¿Cómo debería verse?

Si hay tutoriales visuales con fotografías disponibles, sería maravilloso.

Una nota es que la persona que haría la búsqueda no tiene mucha experiencia en la identificación de hardware.

    
pregunta Strapakowsky 16.09.2011 - 06:33
fuente

5 respuestas

8

Esta es una pregunta importante. Pero supongo que no serás feliz con la respuesta. Si bien algunos de los ataques más simples se pueden detectar fácilmente, casi todos pueden detectar una gran variedad de ataques. Así que alguien con poca experiencia en la identificación de hardware será difícil de conseguir mucha confianza. Básicamente, esto subraya la importancia de la seguridad física en todo momento, lo que en sí mismo es un problema muy difícil.

Por otro lado, este tipo de ataque es probablemente bastante raro, asumiendo que no eres un objetivo de alto valor de algún atacante inteligente. Es fácil volverse tan paranoico con respecto a esas cosas que hace girar las ruedas y no trata de cosas realmente importantes. Ver por ejemplo ¿Cómo administra el TOC relacionado con la seguridad (es decir, la paranoia)? ? . Así que es mejor que no quieras sudarlo y omitir el resto.

Podría ser útil seguir los consejos de @KarelThönissen para tomar una fotografía de su hardware en su estado original, presumiblemente "limpio", por dentro y por fuera, para que tenga algo con qué compararlo cuando lo revise más tarde. Pero esto te ayudará a detectar solo los ataques más simples y audaces, como algunos keyloggers .

En el otro extremo del espectro, evidentemente, incluso los fabricantes de computadoras no pueden estar seguros de que las partes que llegan a su cadena de suministro estén libres de malware. Ver por ejemplo Los comentarios de Greg Schaffer en el DHS se informaron en la Semana de la información: Homeland Security: dispositivos, componentes que vienen con malware . Si las personas que hacen su computadora no pueden estar seguras de que no tenga malware de hardware, eso hace que sea muy difícil para una tienda de TI hacerlo.

Entre esos extremos, note uno de los muchos ejemplos de pirateo rápido de una máquina de votación en formas difíciles de detectar, por ejemplo. al reemplazar un chip ROM: el Demanda de la máquina de votación de Nueva Jersey y la máquina de votación AVC Advantage DRE (pdf).

@ this.josh señala algunas buenas fuentes sobre piratería de hardware en Información sobre seguridad de TI desde el punto de vista del hardware .

Tenga en cuenta también, como se explica en riesgo de rastreo del teclado inalámbrico , que algunos programas espía de hardware no está dentro de la computadora, pero detecta lo que está pasando a través de la vigilancia electromagnética o acústica. P.ej. incluso un teclado o pantalla con cable se puede espiar de forma remota, por lo que también debe verificar que el área circundante esté limpia.

Los ataques a firmware como el BIOS también pueden ser relevantes para usted. Consulte ¿Cómo verificar la integridad de mi BIOS? y contraseña de BIOS a prueba de manipulaciones y amp; ¿Configuraciones de almacenamiento con Trusted Platform Module? para obtener algunos buenos consejos en ese ámbito.

    
respondido por el nealmcb 16.09.2011 - 18:57
fuente
6

La mayoría de las computadoras portátiles vienen con todo el hardware que el software espía necesitaría, se llaman adaptadores de red, cámaras y micrófonos.

Si ignoras todo eso, todavía no hay manera de demostrar un negativo como ese. Lo mejor que puedes decir es "nada que pudiera encontrar".

    
respondido por el ddyer 16.09.2011 - 09:13
fuente
6

Tendrá que considerar qué tan maliciosa y poderosa podría ser la persona que roba su información para saber qué tipos de ataques debe buscar.

Esos errores comunes que cualquiera puede comprar a través de Internet son generalmente lo suficientemente pequeños como para que quepan dentro de una computadora portátil. Ejemplos: Spy Gear Pros , Construye tu propio keylogger . También son baratos, por lo que cualquiera podría comprarlo por algo muy simple de "espía".

Por espionaje pesado, las cosas se complican. Uno podría abrir un cuaderno, conectar algo a los puertos usb dentro de él, colocar un pequeño transmisor y luego tener un repetidor en la habitación contigua para poder transmitir todo a cualquier lugar más allá. Y entonces, tal vez, solo el escaneo de frecuencias de radio podría ayudarlo.

Si realmente te preocupa que alguien haga eso, compra otro cuaderno. Es más rápido y más barato.

    
respondido por el woliveirajr 16.09.2011 - 14:00
fuente
5
  

¿Se pueden seguir algunos pasos sencillos para verificar si una notebook está limpia de software espía?

No. Los pasos simples solo pueden identificar ataques simples, especialmente si el investigador no está familiarizado con el hardware de la computadora. Plantar un dispositivo de hardware para vigilancia o reingreso es un ataque muy sofisticado y costoso.

  

¿Qué se debe buscar? ¿Cómo debería verse?

Nunca he visto una computadora portátil, portátil o cualquier tipo de dispositivo que tuviera un hardware de vigilancia oculto en su interior. No conozco a nadie en la comunidad de Seguridad de TI que haya visto un hardware espía oculto en una computadora. Y no pude encontrar una investigación criminal registrada donde una pieza de hardware espía estaba escondida en una computadora.

Dicho esto, para investigar una computadora portátil, tendrá que ser un experto en ASIC (Circuitos Integrados Específicos de la Aplicación), tableros de circuitos impresos, conjuntos de cableado impreso, buses de datos de computadora, FPGA (Arreglos de Puertas Programables de Campo), diagramas esquemáticos, soldadura por ola, soldadura por reflujo y soldadura manual.

Comenzaría con el manual de servicio para la computadora portátil. Lee el manual y encuentra todo el lugar donde hay tornillos para extraer. Mire en esas áreas en busca de evidencia de que se haya aflojado o retirado un tornillo. La evidencia podría ser: rasguños o abolladuras donde la parte superior de un destornillador golpeó o frotó contra la caja, el tornillo se encuentra en la profundidad incorrecta en comparación con un tornillo idéntico, un aceite ligero o un residuo de grafito. Luego busque una pequeña abertura donde se pueda insertar algo en la computadora portátil sin sacar los tornillos. Estas son cosas como: salidas de aire, ranuras PCMCIA, salidas de altavoces, una unidad de CD / DVD-ROM extraíble, la ranura del cable de seguridad. Es útil fotografiar estas áreas antes de hacer algo a la computadora portátil, para que pueda enviar las fotos a otras personas en busca de signos de intrusión.

Luego retire todos los cables y componentes de la computadora portátil. A continuación, retire cualquier componente que no requiera que quite los tornillos para extraerlos: la batería y, a menudo, la unidad de CD / DVD-ROM. A medida que vayas examinando y fotografiando cada paso. A continuación me gustaría eliminar el disco duro y la memoria RAM. Por lo general, estos requieren la extracción de los tornillos, pero son fáciles de quitar.

A continuación, me gustaría ir a la pantalla, quitar cualquier pieza que necesites para ajustar la pantalla. Buscaría un dispositivo oculto cerca de la base de la pantalla donde entra el cable detrás de la pantalla. Un dispositivo espía de hardware tendrá que venir con su propio poder o usar el poder de la computadora. Si usa la energía de la computadora, tendrá que estar cerca de un cable o de un cable que lleve energía. Sería pequeño y similar en color y marcas a otros chips.

Entonces me gustaría comprobar en el caso principal. Una vez más, es probable que sea pequeño y esté conectado a una línea eléctrica o cable. Incluso podría tener su propio cable plano de tabla pequeña para que se vea como una parte intencional del diseño.

Su mejor oportunidad es comparar las piezas con la gestión del servicio y encontrar algo que no esté en el esquema o diagrama, o más probablemente algo que sea un poco más grande o un poco fuera de lugar.

Especulación en el dispositivo:

¿Qué datos se deben capturar? Tal vez el audio, tal vez el video, tal vez ambos. Es probable que no sean datos almacenados en su computadora. Los datos almacenados en su computadora son más fáciles de acceder mediante otros métodos de ataque más comunes.

Entonces, ¿por qué audio o video? Tal vez su computadora portátil no tiene un micrófono integrado o una cámara. O tal vez la intención es poder observar o escuchar en múltiples direcciones a la vez. El portátil solo puede ser una plataforma para la transmisión de energía y datos. Estos tipos de dispositivos en el pasado tenían que tener su propia RF para transmitir, pero con la transmisión de datos de la computadora portátil cualquier transmisión de RF extraña solo expondría el dispositivo oculto.

    
respondido por el this.josh 17.09.2011 - 00:48
fuente
3

Tome una fotografía de una máquina limpia: cuando se sepa o se suponga que está limpia, es decir, cuando sea nueva, y úsela para futuras referencias. No es perfecto, pero puede ser útil y simple.

    
respondido por el Karel Thönissen 16.09.2011 - 10:01
fuente

Lea otras preguntas en las etiquetas