Recherche de portes dérobées installées par l'armée sur un ordinateur portable

Question:

Posse

2018-12-18 16:43:20 UTC

view on stackexchange narkive permalink

Mon ordinateur portable a été confisqué par l'institut militaire de mon pays et ils m'ont obligé à leur donner tous mes mots de passe (je ne peux pas vous dire le nom de mon pays). Ils ne me l'ont pas rendu pendant une semaine (oui, il était hors de ma vue pendant un certain temps). il était connecté à mon modem via wifi. Dois-je m'inquiéter?

Je dois m'assurer qu'ils ont ajouté quelque chose pour surveiller mes activités ou voler mes données ou non? Et s'ils l'ont fait, que dois-je faire pour les éviter?

J'ai vérifié physiquement l'ordinateur portable et il n'y a aucun signe de vis ou de déformation plastique. Est-ce toujours possible qu'ils aient compromis son matériel?

Les commentaires ne sont pas destinés à une discussion approfondie;cette conversation a été [déplacée vers le chat] (https://chat.stackexchange.com/rooms/87365/discussion-on-question-by-posse-search-for-military-installed-backdoors-on-lapto).

«Nuked from orbite» signifie quoi exactement?(Je suppose que vous n'êtes pas réellement allé en orbite et que vous avez jeté une arme nucléaire sur votre ordinateur portable, car vous ne poseriez pas la question.)

@PaŭloEbermann C'est une référence à une citation du film Aliens, et cela signifie essentiellement supprimer tout ce que vous pouvez supprimer de l'ordinateur portable et recommencer à zéro.Il y a une belle question à ce sujet [ici] (https://security.stackexchange.com/questions/24195/how-do-you-explain-the-necessity-of-nuke-it-from-orbit-to-management-et-utilisateurs)

Onze réponses:

forest

2018-12-18 17:34:52 UTC

view on stackexchange narkive permalink

Si l'appareil a quitté votre vue pendant un certain temps, remplacez-le. On ne peut plus lui faire confiance.

Le coût pour s'assurer qu'il peut encore faire confiance dépasse largement le coût d'en obtenir un nouveau

Il n'y a effectivement pas moyen de vérifier que le matériel n'a pas été altéré sans une expertise significative et en utilisant des ressources non triviales. La seule solution est de remplacer le portable et tous les composants associés. Sans connaître votre pays ou d'autres aspects de la situation dans laquelle vous vous trouvez, je n'ai aucun moyen de commenter la probabilité que cela se produise, uniquement sur la faisabilité technique.

Si vous avez besoin de vérifier l'intégrité de l'ordinateur portable, il y a quelques points à vérifier (non exhaustifs):

Répartition du poids - Vérifiez le poids précis de chaque composant (IC, PCB , etc). Les distributions de poids peuvent être analysées à l'aide d'effets gyroscopiques. Cela nécessite d'avoir à proximité un équipement sans compromis pour comparaison. Un équipement de mesure extrêmement précis est nécessaire.
Consommation électrique - Vérifiez la consommation électrique de chaque composant au fil du temps. Les portes dérobées utilisent souvent de l'énergie, et leur présence peut parfois être détectée par une attaque d'analyse de puissance. Ne vous fiez pas à cela, car les circuits intégrés peuvent consommer extrêmement peu d’énergie de nos jours.
Inspection aux rayons X des PCB - Utilisez des rayons X pour voir les composants internes du circuit imprimé. Cela nécessite un équipement coûteux pour une carte de circuit imprimé multicouche telle qu'une carte mère d'ordinateur portable. Cela nécessite également de nombreuses heures de travail d'inspection intensive de chaque micromètre carré de l'appareil.

Cela vous semble excessif? C'est le cas, mais c'est ce que vous devez faire pour être sûr qu'aucune modification matérielle malveillante n'a été effectuée. Il sera moins cher d'acheter un nouvel ordinateur portable. Notez que ce n'est pas destiné à être des conseils pratiques, et ce n'est même pas près d'être terminé, même si c'était le cas. Il est destiné à illustrer cette quasi-impossibilité de rechercher des implants matériels sophistiqués.

Je l'ai atomisé depuis l'orbite mais je viens de réaliser qu'il était en état de veille pendant 2 jours et non en arrêt état, il était donc connecté à mon modem via wifi. Doit-il s'inquiéter?

En théorie, un matériel ou un micrologiciel compromis serait susceptible de compromettre votre point d'accès sans fil ou d'autres appareils écoutant. Pendant un état suspendu (mode veille) normalement désactive également la carte réseau, vous ne pouvez pas faire cette hypothèse si le matériel est compromis. Cependant, bien que cela soit théoriquement possible, cela nécessiterait une attaque loin plus ciblée, et la plupart des groupes militaires ne voudront pas dévoiler les jours qu’ils ont en leur tirant sur tout appareil sans fil à proximité qu’ils peuvent trouver.

Malheureusement, il est également théoriquement possible que votre modem ait été compromis. Je ne pense pas que ce soit très probable du tout, car ils auraient pu le faire via votre connexion Internet, en supposant qu'ils puissent contrôler ou compromettre votre FAI. S'ils ont altéré votre matériel, il est beaucoup plus probable qu'ils ne l'aient fait qu'à des fins de surveillance, et non pour propager un ver.

J'ai vérifié physiquement l'ordinateur portable et il n'y a aucun signe de déformation vis ou plastique. Est-ce toujours possible qu'ils aient compromis son matériel?

Absolument. Il existe de nombreuses façons d'ouvrir un ordinateur portable sans que cela soit apparent. Bien que des mécanismes sophistiqués de détection d'intrusion dans le châssis existent, il existe des techniques de «ghetto» que vous pourrez peut-être utiliser à l'avenir. Une technique consiste à saupoudrer du vernis à ongles avec des paillettes sur les joints du système, à l'intérieur et à l'extérieur. Prenez une photo haute résolution de ceci (et ne stockez pas la photo sur l'ordinateur!). Si l'appareil est ouvert, la disposition précise des paillettes sera perturbée, et il deviendra exceptionnellement difficile de le remettre en place. Vous pouvez la comparer avec la photo stockée et rechercher des différences subtiles.

Le terme pour cela est preuve d'inviolabilité , qui est toute technique qui rend difficile la falsification d'un appareil sans que ce fait soit perceptible. Des options plus professionnelles incluraient du ruban de sécurité inviolable ou des autocollants holographiques sur mesure. Malheureusement, cela ne peut que vous aider dans le futur et sera évidemment incapable de protéger votre système rétroactivement.

Les commentaires ne sont pas destinés à une discussion approfondie;cette conversation a été [déplacée vers le chat] (https://chat.stackexchange.com/rooms/87376/discussion-on-answer-by-forest-search-for-military-installed-backdoors-on-laptop).

Le remplacement de l'appareil peut constituer une menace de force équivalente dans ce cas.Le pays des PO pourrait prendre furtivement le contrôle de la chaîne d'approvisionnement informatique et infecter une offre importante à l'intérieur de ses frontières.

@redbow_kimee C'est ** extrêmement ** improbable en raison de la rapidité avec laquelle il deviendrait connu.

Surpris que vous ne mentionniez pas de firmware malveillant (pour la carte mère principale, ou pour l'un des appareils).Le mode de gestion système x86 permet de faire des choses de manière presque indétectable derrière le système d'exploitation.(Il existe un compteur de performances (AMD) ou MSR (Intel) qui compte les interruptions de gestion du système, vous pouvez donc vérifier l'activité SMI suspecte. [Existe-t-il un registre équivalent à MSR \ _SMI \ _COUNT d'Intel sur l'architecture AMD?] (https://stackoverflow.com/q/51055831))

@PeterCordes Un micrologiciel malveillant peut contourner `SMI_COUNT`.

Ok, cela rend les choses encore pires.Cela vous laisse avec des expériences de performances avec des interruptions (régulières) désactivées, par exempledans un pilote de noyau, pour essayer de détecter des SMI excessifs.Ou une autre façon d'essayer d'exclure d'autres causes de certains intervalles chronométrés plus longs que prévu, au moins statistiquement.

@PeterCordes Cela peut également être évité, car les minuteurs peuvent également être usurpés.Le micrologiciel a un contrôle absolu sur le logiciel, il n'y a donc rien qui puisse être fait pour le détecter avec un bon niveau de certitude.De plus, il pourrait être fait pour entrer dans SMM que très rarement pour éviter de déclencher des alarmes, ou même exécuter un micrologiciel malveillant sur le CSME, qui est un processeur séparé et n'aurait donc pas d'impact sur les performances du processeur x86 principal.

Je n'étais pas sûr que SMM puisse ajuster de manière convaincante à la fois le RDTSC et les compteurs de performance d'une manière cohérente jusqu'à quelques cycles avec ce que l'exécution dans le désordre aurait fait pour une boucle donnée qui est interrompue.Les boucles qui ne touchent pas la mémoire, juste les chaînes de dépendances ALU, peuvent être extrêmement répétables, mais le coût d'une interruption au milieu peut dépendre de la façon dont la boucle a bénéficié d'une exécution dans le désordre chevauchant le travail sur plusieurs itérations.Ou si la boucle stocke en mémoire, le coût d'une interruption peut inclure le vidage du tampon de stockage.

@PeterCordes Le RDTSC continue de compter même dans SMM.Vous avez raison de dire qu'il y aurait encore des moyens de le détecter si vous le vouliez vraiment (en supposant qu'il n'a pas été conçu pour contourner le mécanisme que vous avez utilisé), mais un micrologiciel malveillant peut configurer SMI pour qu'il se déclenche uniquement sur des événements rares, suffisamment pour que ce soittrès peu probable que vous le détectiez jamais, à moins d'utiliser une boucle `inc` et` jmp` comme compteur maximisant sur tous les cœurs.

Mais oui, n'entrer que très rarement dans SMM est beaucoup plus probable, et serait probablement presque impossible à distinguer du bruit de fond d'autres choses qui peuvent provoquer des pics de synchronisation, peut-être même dans une boucle désactivée par interruptions en mode noyau.

Je * pense * qu'il existe un moyen de changer le TSC, que les systèmes d'exploitation devaient utiliser pour essayer de synchroniser le TSC entre les cœurs avant que la fonction `constant_tsc` ne fasse HW le faire pour vous sur les cœurs dans un socket.Je sais qu'il existe des manipulations TSC pour que VT-X présente un TSC mis à l'échelle / décalé à l'invité, ce qui n'est pas disponible lorsque vous n'utilisez pas HW virt, mais je pense qu'il existe un moyen de définir simplement le TSC.Et oui, je parlais de chronométrer à plusieurs reprises quelque chose qui dure environ 200 cycles, avec `lfence;rdtsc` pour démarrer et `rdtscp;lfence` pour arrêter.Ou mieux, `rdpmc` pour compter les cycles de base, pas les cycles de référence.

VT-x ne permet pas de manipuler directement le TSC, il permet juste de déclencher un VMEXIT sur des instructions qui accèdent au TSC (ainsi l'hyperviseur peut modifier les GPR avant de reprendre la VM).

https://www.intel.com/content/dam/www/public/us/en/documents/white-papers/timestamp-counter-scaling-virtualization-white-paper.pdf documente la fonction de mise à l'échelle (ajoutée après le décalagefonctionnalité), qui permet une migration efficace d'une machine virtuelle entre du matériel avec différentes fréquences TSC.Le décalage et la mise à l'échelle sont configurés avec des champs VMCS et ne nécessitent pas de sortie de machine virtuelle.(En fait, cette fonctionnalité ne fonctionne que pour rdtsc et rdtscp si elle est définie pour ne pas provoquer de sortie de machine virtuelle. Elle s'applique toujours à RDMSR sur les horodatages MSR `IA32_TIME_STAMP_COUNTER` et PEBS / PT, cependant)

@PeterCordes Oh intéressant.Je ne savais pas ça, merci.

Assurez-vous que vous avez cette photo à un endroit en dehors de l'ordinateur, cependant.

Pourquoi perdre 0 jours lorsque le mot de passe de l'interface utilisateur d'administration du routeur Wi-Fi a probablement été enregistré dans le navigateur?Ou admin: admin ou quelque chose de connu du FAI.

@forest Le contrôle de la chaîne d'approvisionnement étant extrêmement improbable, la NSA n'a-t-elle pas fait quelque chose comme ça lorsqu'elle a intercepté des composants en route entre les fournisseurs et les clients?AFAIK qui n'a pas été révélé avant la fuite de Snowden

@JonBentley Oui, mais c'est un modèle de menace complètement différent.S'ils veulent obtenir OP, ils ne vont pas confisquer son ordinateur portable, ils l'interdiront au fur et à mesure de sa livraison.

Tom

2018-12-19 17:55:50 UTC

view on stackexchange narkive permalink

La principale information qui nous manque est votre modèle de menace.

Est-il probable que les militaires vous ciblent spécifiquement et seraient prêts à dépenser des ressources sur vous? Nous n'avons pas besoin de connaître les détails, mais la réponse change selon que ce qui s'est passé est une procédure plus ou moins standard pour votre pays, ou si vous êtes sélectionné.

Et nous ne savons pas quoi secrets que vous protégez. Si vous avez des données personnelles et des communications, c'est un jeu différent de celui d'être un élément actif d'un mouvement d'opposition politique ou d'une autre activité qui pourrait vous faire assassiner s'ils obtiennent les données. Il y a des pays dans le monde où le fait d'être un activiste des droits de l'homme peut vous mettre sur une liste de décès.

S'il s'agit d'une procédure standard et que vos données ne sont pas la vie ou la mort, vous pouvez utiliser précautions, réinstallation complète du système d'exploitation, mise à jour du micrologiciel, si vous voulez faire un effort supplémentaire, remplacez les composants tels que le port Ethernet et tout ce qui est remplaçable. Ensuite, faites l'hypothèse que vous avez peut-être manqué quelque chose de plus profondément intégré, mais vos chances sont meilleures que la moyenne que vous soyez clair.

La même chose est vraie pour la connexion réseau active. Il est probable que votre adversaire ait fait des schémas d'attaque standard. Si votre réseau est sécurisé et que vous ne voyez aucun signe d'intrusion à l'intérieur (journaux du pare-feu, IDS si vous en avez, etc.), cela pourrait être bien.

S'il est plus probable que vous ayez reçu une attention particulière, je vous suggère fortement d'utiliser la machine de manière innocente (surfer sur le Web, etc.) quelque part, puis de la laisser à l'air libre lorsque vous allez aux toilettes. Ou en d'autres termes: faites-le voler. De cette façon, personne ne peut vous blâmer, l'adversaire ne peut pas dire avec certitude si vous avez intentionnellement «perdu» l'appareil et en tout cas ne peut pas le prouver, et c'est la seule façon d'être sûr. Même si vous l'aviez éteint à proximité, il se peut qu'il y ait toujours un microphone caché à l'intérieur qui vous surveille. Donc, s'en débarrasser est la seule option sûre.

Pour les détails, je ne peux pas faire mieux que Forest dans sa réponse pour montrer à quel point des choses pourraient être cachées à l'intérieur. Ils auraient même pu changer de composants avec des composants apparemment identiques, ainsi que des portes dérobées. Il y a des choses que vous pouvez faire sur le matériel que le fabricant aurait du mal à trouver.

La même chose est malheureusement vraie pour votre réseau. Il y a toujours un jour 0 de plus, et les portes dérobées dans les périphériques réseau ne sont pas exactement inconnues. Si vous êtes une cible de premier plan, vous devez supposer que le réseau a été compromis.

Cependant, tous ces éléments avancés ne sont ni gratuits ni bon marché. C'est pourquoi le modèle de menace est important. Il est peu probable que l'armée utilise ses meilleurs éléments lors d'une recherche aléatoire.

user124164

2018-12-18 22:33:22 UTC

view on stackexchange narkive permalink

Hormis la méthodologie, supposez simplement que l'ordinateur portable et tout ce qui se trouve à portée audio et visuelle de l'ordinateur portable est compromis et donc soumis à une surveillance ainsi que l'activité sur l'ordinateur lui-même.

Recherche, falsification , ou le retrait de l'ordinateur / des dispositifs de surveillance pourrait bien être détecté et considéré comme un acte criminel. En outre, la destruction complète de l'ordinateur portable ou son inutilisation intentionnelle peut également être considérée avec une extrême suspicion.

Tout ce que vous pouvez vraiment faire est de continuer à utiliser l'ordinateur portable, mais en sachant que l'activité est surveillée (donc ne faites que des trucs «légaux»). Il n'est pas nécessaire que les appareils de surveillance visuelle / audio impliquent la mise sous tension de l'ordinateur portable.

Investissez dans un joli sac pour ordinateur portable, sécurisé, rembourré (et insonorisé) pour ranger l'ordinateur portable lorsqu'il n'est pas utilisé.

Les commentaires ne sont pas destinés à une discussion approfondie;cette conversation a été [déplacée vers le chat] (https://chat.stackexchange.com/rooms/87377/discussion-on-answer-by-snow-search-for-military-installed-backdoors-on-laptop).

shellster

2018-12-19 03:05:45 UTC

view on stackexchange narkive permalink

En plus de ce que d'autres ont mentionné sur la détection des changements matériels (principalement que c'est presque impossible), vous devez reconnaître que le vecteur de compromis le plus probable serait l'installation de logiciels, surtout s'ils n'avaient votre appareil que pour un durée limitée.

Pour avoir un niveau de certitude raisonnable que votre appareil est exempt d'exploits logiciels, vous devez jeter le disque dur et commencer avec un nouveau et une nouvelle installation. La plupart des rootkits de bas niveau les plus pratiques (et les plus simples) modifient le micrologiciel des disques durs pour empêcher un format normal de supprimer le malware. C'est aussi l'un des moyens les plus simples de modifier un système assez rapidement et "indétectablement". Si votre ordinateur portable a une carte réseau remplaçable, il faudrait également envisager de la remplacer car c'est aussi un autre endroit assez utile pour déployer un implant matériel.

Tout logiciel malveillant devra probablement téléphoner à la maison. Démarrez votre ordinateur et toutes les applications courantes que vous exécutez. Connectez-le à un routeur externe (ceci est important car vous ne pouvez pas faire confiance aux logiciels exécutés sur l'ordinateur portable) qui enregistre tout le trafic. Laissez l'ordinateur portable inutilisé pendant au moins 24 heures. Maintenant, validez minutieusement toutes les adresses IP via ARIN ou d'autres registres, pour voir si l'un d'entre eux semble suspect. Vous en aurez presque certainement plusieurs que vous ne pouvez pas valider, même si la machine n'est pas compromise, mais cela peut vous donner un certain niveau de confiance de compromis. Sachez que les États-nations ont souvent la capacité d'injecter du trafic dans des flux légitimes à partir d'emplacements légitimes, et peuvent également compromettre des services légitimes ou utiliser des services légitimes existants (tels que docs.google.com où tout utilisateur peut créer des documents de données arbitraires) . De plus, le trafic réseau sur n'importe quel protocole réseau est suspect et ne doit pas être réduit en essayant de valider le trafic.

Enfin, pensez à votre profil de risque. Votre pays est-il connu pour pirater des appareils et les surveiller? Êtes-vous victime de malchance ou y a-t-il des raisons légitimes pour lesquelles ils devraient ou vous soupçonnent? Un certain niveau de paranoïa est sain, mais soyez pratique avec votre évaluation. Les implants matériels personnalisés ne sont pas bon marché et le coût de la découverte peut être à la fois embarrassant et coûteux. Si vous n'êtes pas un suspect probable et d'une importance significative, l'implant le plus probable sera basé sur un logiciel / micrologiciel, si quelque chose a été implanté. Comme d'autres l'ont souligné, toutes les informations d'identification que vous aviez sur votre ordinateur / que vous avez fournies / ou tous les cookies de navigateur actifs, et tous les fichiers sur le système doivent maintenant être considérés comme compromis.

Je ne comprends pas pourquoi cette réponse n'est pas la plus votée.Les portes dérobées logicielles sont un million de fois plus probables qu'une porte dérobée matérielle, pour toutes sortes de raisons.Je blâme la pièce Bloomberg effectivement démystifiée pour le battage médiatique excessif autour des portes arrière matérielles.

Sean

2018-12-20 05:01:32 UTC

view on stackexchange narkive permalink

Compte tenu de ce que vous nous avez dit, vous devez supposer que non seulement l'ordinateur portable est irrémédiablement compromis, mais tout votre réseau domestique, tout ce qui y est connecté, et chaque compte que vous avez n'importe où auquel vous avez accédé depuis l'ordinateur portable l'est également ou depuis un autre appareil connecté à votre réseau domestique.

Détruisez physiquement l'ordinateur portable, de préférence en le fondant / le brûlant plutôt qu'en le déchiquetant ou en le pulvérisant.
Faites de même pour chaque composant de votre réseau domestique.
Faites de même pour chaque appareil qui était connecté audit réseau pendant la période après que l'ordinateur portable a été "retourné".
Fermez et supprimez tous les comptes que vous avez sur tous les sites Web auxquels vous avez déjà accédé à partir de l'ordinateur portable ou de l'un des appareils à l'étape 3.
Annulez et détruisez physiquement toutes les cartes de crédit / débit / cadeaux à partir desquelles vous avez effectué des paiements via l'ordinateur portable ou via l'un des appareils de l'étape 3. Annulez également tous les paiements qui ont été effectués. nous a fait l'une de ces cartes pendant la période suivant le «retour» de l'ordinateur portable.
Fermez tous vos comptes bancaires et retirez tout leur contenu en espèces. Détruisez tous les documents en votre possession associés à l'un de ces comptes.
Je ne saurais trop insister sur l'importance de fuir vers un pays mieux protégé contre ce type d'abus commis par des armes le gouvernement.

Cela semblait vraiment * vraiment * excessif, mais tout cela avait du sens avant le dernier point, donc +1.Sauf peut-être vendre les appareils au lieu de les détruire.Et je suppose que cela peut aussi être un bon conseil: ** N'ESSAYEZ PAS DE QUITTER UN PAYS COMME CELA AVEC BEAUCOUP D'ARGENT, ILS LE PRENDRONT JUSTE À LA FRONTIÈRE **

Détruire la machine ne ferait que confirmer les soupçons du moniteur - continuez à l'utiliser, mais ne l'utilisez que pour des choses qui ne donneraient rien d'autre que du temps perdu et de l'ennui à un espion potentiel!

De plus, je suppose qu'une organisation autorisée par le gouvernement, ce qui signifie que les entreprises n'auraient pas besoin de faire une seule chose à un ordinateur personnel pour compromettre leur connexion Internet, leurs comptes bancaires ou leurs comptes de communication.Dans n'importe quel pays.

À moins que vous ne souhaitiez graver deux ordinateurs portables au lieu d'un, vous devriez probablement faire le n ° 4 avant le n ° 1.

newyork10023

2018-12-19 02:20:09 UTC

view on stackexchange narkive permalink

S'ils ont tous vos mots de passe, comme vous le dites, et qu'ils sont en possession de l'ordinateur portable, l'ordinateur portable, son système d'exploitation et les logiciels installés sont tous suspects. Comme suggéré, utiliser une arme nucléaire depuis l'orbite.

Je serais également préoccupé par le fait que tout logiciel qui aurait pu être implanté pourrait (et tenterait) de compromettre d'autres ordinateurs sur des réseaux connectés. Ne connectez pas cette machine à un Ethernet, ni ne l'allumez à proximité d'un réseau WiFi s'il dispose du WiFi (ni autour d'appareils Bluetooth bien que je sache peu de chose à ce sujet).

Il peut même ne pas être possible de l'effacer dans des conditions sûres en raison d'un micrologiciel compromis.

S'ils avaient eu l'ordinateur portable pendant, par exemple, 30 minutes (ou moins), le lecteur aurait pu (et aurait) été imagé / copié. Ses secrets ne sont plus les vôtres.

Vous avez également du travail à faire pour changer tous vos mots de passe: vous pourriez vouloir détruire les comptes pour plus de sécurité. Supprimez tout le contenu (si possible) et fermez le compte. Bonne chance avec ça. Cependant, des informations ont peut-être déjà été collectées.

Il y a eu des réponses concernant la modification du matériel, et bien que ce soit une possibilité, il est clair que la falsification de logiciel devrait vous préoccuper.

Oubliez le micrologiciel compromis, s'ils veulent vraiment surveiller l'OP, que diriez-vous d'un port Ethernet compromis ou d'un câble de moniteur compromis?

... ou une banque de mémoire compromise?Il n'y a pas de limite aux manigances auxquelles vous pouvez jouer avec le matériel.

@Tom Je pense qu'il serait très difficile de compromettre le DIMM (si c'est ce que vous entendez par banque de mémoire) sans que l'implant ne soit extrêmement évident.La DRAM moderne fonctionne à des vitesses incroyablement rapides et avec une sensibilité si extrême à la latence qu'un analyseur logique assez volumineux et volumineux est nécessaire pour analyser les commandes envoyées aux modules DRAM.L'humanité n'a tout simplement pas la capacité technologique de créer un petit implant capable de surveiller la mémoire de cette manière.

@forest - oui, vous devriez aller au-dessus du module individuel.Et vous n'aurez pas beaucoup de logique.Je pensais plutôt à une simple copie, similaire à un port de surveillance.

@Tom Je ne suis pas sûr qu'il puisse simplement copier des données non plus.À ces vitesses, les caractéristiques électriques des fils commencent à avoir de l'importance.

@forest - vous avez peut-être raison pour la RAM moderne.La dernière fois que j'ai travaillé au niveau matériel, c'était quand nous commençions à peine à ressentir des effets quantiques.Cela fait quelques années.

@forest Un appareil avec accès au bus mémoire serait un endroit idéal pour introduire un micrologiciel de contrebande dans le système, cependant!

usr-local-ΕΨΗΕΛΩΝ

2018-12-20 18:25:11 UTC

view on stackexchange narkive permalink

Je dois m'assurer qu'ils ont ajouté quelque chose pour surveiller mes activités ou voler mes données ou non

Considérez qu'ils ont déjà toutes vos données fort>. Vous avez rendu tous vos mots de passe. Ainsi, même les données qui ne se trouvent pas sur votre ordinateur portable (par exemple, la messagerie, le cloud) sont désormais entre leurs mains. Commentaire détaillé: si vous n'êtes pas en état d'arrestation, vous pouvez toujours changer autant de mots de passe que possible après les avoir donnés, mais nous voulons supposer que notre attaquant a tellement de ressources et d'efficacité qu'il a récupéré une copie complète de toutes vos activités en ligne à la seconde où vous avez noté votre mot de passe sur une feuille de papier. Approche pessimiste.

Comme l'a souligné @forest, vous pouvez faire quelque chose pour essayer de prouver qu'ils l'ont fait, mais cela coûte tellement cher que vous feriez mieux d'aller à BestBuy le plus rapidement possible pour obtenir un nouvel ordinateur portable. À moins que votre objectif ne soit de dénoncer, votre gouvernement vous espionne et comment.

Et s'ils l'ont fait, que dois-je faire pour les empêcher?

Je suppose que vous avez demandé "que dois-je faire pour les empêcher à l'avenir ?". Veuillez modifier si non. Obtenir un nouvel ordinateur portable et mettre en œuvre des mesures de sécurité appropriées est une bonne chose, tout comme nous le faisons.

Le chiffrement complet du disque, les volumes cachés plausibles et les mots de passe complexes sont les outils de base. Un corp militaire ciblant un individu peut avoir tellement de ressources (y compris 0 jours) que vous ne pouvez pas l'empêcher de vous pirater pour toujours, mais vous pouvez toujours vous protéger et en faire un moment douloureux pour eux.

N'oubliez pas, vous avez dit que vous leur aviez donné les mots de passe. C'est là que TrueCrypt / VeraCrypt sont utiles. Je vous recommande de jeter un œil à ce contrôle qualité. N'oubliez pas d'utiliser souvent le système d'exploitation de couverture. Une fois dans le futur, vous serez interrogé à nouveau pour vos mots de passe, donnez-leur la clé de décryptage pour le système d'exploitation "externe". Ils ne sont pas stupides, ils feront de leur mieux pour vous extorquer que vous utilisez également un système d'exploitation caché. Par exemple, le simple fait que vous utilisiez VeraCrypt au lieu de Windows BitLocker ou de Linux LVM, cela pourrait être un motif de remise en question / d'extorsion.

Vous pouvez également copier soigneusement et en toute sécurité les documents de l'ancien disque dur à l'aide d'un adaptateur USB. Documents, pas exécutables. Et, par paranoïa, qui peut dire si certains documents PDF ont été modifiés pour exploiter un 0day dans l'un des lecteurs populaires?

Vous voudrez peut-être vous échapper de ce pays le plus tôt possible, pour ce qui me préoccupe .

Quitter le pays est vraiment le meilleur conseil.

Il est important de noter que dans une telle situation, essayer de tromper l'armée qui tente de s'introduire par effraction dans votre ordinateur peut entraîner de graves conséquences.Leur mentir carrément est une recette pour le désastre.

Il y a une idée intéressante sur le «déni plausible» et le cryptage - [Le déni plausible de TrueCrypt est théoriquement inutile] (https://defuse.ca/truecrypt-plausible-deniability-useless-by-game-theory.htm) - * «C'est aussiune stratégie strictement dominante pour que le gouvernement continue de vous torturer ... Donc, peu importe si vous utilisez un volume caché ou non, le gouvernement obtient la plus grande récompense en continuant à vous torturer. Donc, si vous et le gouvernement êtes à la fois rationnels etintéressé, alors vous allez utiliser un volume caché, et le gouvernement continuera de vous torturer. "*

La question la plus intéressante est la suivante: si cette organisation militaire avait trouvé quelque chose qui l'intéressait en premier lieu, aurait-elle rendu le portable et laissé le propriétaire en liberté?

@Xen2050 Ce site Web a une compréhension extrêmement naïve de la théorie élémentaire des jeux.Le déni plausible de TrueCrypt est utile dans un grand nombre de modèles de menaces.Maintenant, qu'il soit facile ou non de maintenir un volume externe qui a des métadonnées convaincantes (horodatages indiquant un accès réel) est une autre histoire.

@forest,, il est * impossible * de maintenir un volume externe contenant des métadonnées convaincantes.Si je voulais prouver que quelqu'un utilisait un volume interne, j'ouvrirais le volume externe dans un visualiseur de système de fichiers de bas niveau approprié et rechercherais une grande région d'espace disque inutilisé.

@Mark Les volumes cachés ne fonctionnent pas de manière à ce que vous puissiez les trouver en recherchant de l'espace disque inutilisé.C'est une idée fausse courante.En supposant la sécurité du chiffrement sous-jacent, il est physiquement impossible de prouver l'existence d'un volume caché.Vous pouvez conclure qu'il existe probablement si le volume ouvert est "suspect" (par exemple, le système de fichiers est très obsolète), mais même dans ce cas, ce n'est que circonstanciel.

@forest, Quand TrueCrypt / VeraCrypt a-t-il fait cette percée?Chaque fois que j'ai vérifié, la fonction "volume caché" fonctionnait en rendant une partie du volume externe "hors limites" au système de fichiers externe.Bien sûr, vous ne pouvez pas prouver mathématiquement que l'énorme bloc contigu de données aléatoires qui ne fait partie d'aucun fichier est en fait un volume caché, mais pour quelqu'un qui est un expert médico-légal plutôt qu'un mathématicien, il semble * vraimentsacrément suspect *.

@Mark Il n'y a pas de gros morceau contigu.Le volume extérieur est créé en premier, comme s'il n'y avait pas du tout de volume caché.Seules les régions non allouées (qui sont fortement fragmentées) sont utilisées pour masquer le volume caché après la création.La seule et unique différence entre un volume réel sans volume caché et le volume factice externe est que l'un d'entre eux a un espace non alloué qui est randomisé et l'autre un espace non alloué contenant des données chiffrées.Pour un chiffrement moderne comme ceux utilisés dans TrueCrypt / VeraCrypt, il est impossible de distinguer le texte chiffré des données aléatoires uniformes.

@Mark Une façon d'y penser est qu'un volume _toujours_ a une sorte de volume caché, mais un volume caché "réel" est chiffré avec une clé dérivée de votre mot de passe.Si vous ne configurez pas de volume caché, il ne contient rien et est chiffré avec une clé jetable (pour un CSPRNG).

Veuillez déplacer le commentaire détaillé vers le chat

RandomUs1r

2018-12-19 04:22:12 UTC

view on stackexchange narkive permalink

Une porte dérobée doit toujours communiquer avec l'attaquant, donc regarder le bavardage du réseau via votre routeur devrait suffire. Effacer un disque dur et réinstaller un système d'exploitation peut ne pas être suffisant, ils l'ont eu pendant une semaine, ils auraient pu le démonter, installer un appareil de prise réseau et le remonter.

Ce n'est pas tout ce qu'il y a non plus, il peut n'y avoir aucune activité sur le réseau et le programme / périphérique peut collecter silencieusement des données pour que quelqu'un les récupère physiquement plus tard, probablement en frappant à votre porte.

Un nouvel ordinateur portable est en ordre, cependant je d garder l'ancien, peut-être même le mettre sur une DMZ pour qu'il ne puisse plus parler à d'autres appareils sur votre réseau domestique et il va sans dire qu'il ne pourra plus jamais être utilisé pour quelque chose de sensible.

Vous devriez probablement regarder une copie du catalogue d'implants matériels de la NSA qui a fui il y a quelques années.Ils ont des portes dérobées qui peuvent communiquer de toutes sortes de façons, y compris en modulant un signal radio transmis de l'extérieur.

@RandomUs1r - l'adversaire ici est le ** militaire **, pas un cybercriminel banal avec une porte dérobée qu'il a copiée à partir d'un forum darknet.Il existe ** de nombreuses ** façons d'envoyer des données d'une manière que même la plupart des professionnels de la cybersécurité ne détecteraient pas.Certains de mes amis aborderaient un appareil comme celui-ci avec un oscilloscope.Il existe une demi-douzaine de façons documentées d'obtenir des données dans et hors de machines qui ne sont apparemment connectées à aucun réseau.Il existe de nombreuses façons de masquer les activités du réseau, du système et de la mémoire.

Ou le logiciel malveillant ne communique pas du tout, mais stocke simplement les données jusqu'à ce que l'ordinateur portable soit à nouveau recherché.

Un utilisateur formé avec un oscilloscope n'aurait aucune chance s'il savait à peu près ce qu'il cherche même.

Basile Starynkevitch

2018-12-27 14:30:40 UTC

view on stackexchange narkive permalink

Le principal problème est d'avoir un bon modèle de menace. Peut-être que les militaires ne font que des choses de routine. Peut-être leur a-t-on ordonné de consacrer beaucoup d'efforts spécifiques pour vous espionner.

Si vous supposez que l'armée fait des choses routinières (peu sophistiquées) (alors ils ont probablement installé des logiciels malveillants, probablement l'un des logiciels les plus courants) n'a pas détecté et a copié tout le contenu de votre ordinateur portable sur leurs serveurs), vous pourriez envisager de effacer tout le disque (c'est-à-dire de le reformater complètement) et de l'installer (par exemple) une distribution Linux sur votre ordinateur (cependant, cela pourrait vous rendre suspect, mais c'est un problème différent). Copier tout le contenu et ajouter un malware est, du point de vue militaire, très facile (cela peut prendre 5 minutes de travail humain, et 1 heure pour attendre que la copie soit terminée).

Comment faire effacer tout le disque est une autre affaire. Sur Linux, je dd if = / dev / zero of = / dev / sda bs = 4k par exemple qui remplit le disque sda avec zéro octet. Bien sûr, toutes les données sont perdues (sur les SSD, il peut rester quelque chose) et vous devez reformater (techniquement pour repartitionner) le disque. Et vous pouvez simplement remplacer le disque (cela coûte quelques dizaines d'euros et peut être facilement changé).

Comme commenté, vous devriez peut-être réinstaller le firmwarev (par exemple le BIOS) de votre ordinateur portable.

Si vous supposez que l'armée déploie des efforts spécifiques contre vous, elle pourrait avoir physiquement intégré un microphone, un GPS, un autre matériel à l'intérieur de l'ordinateur portable pour vous espionner (et aucune solution logicielle n'existe; et, à moins que vous ne soyez un expert en matériel , vous ne pourrez pas le remarquer). Changer le matériel est moins facile (cela peut prendre des heures ou des jours). Dans ce cas, vous feriez mieux de détruire l'ordinateur portable.

Sachez que l'écrasement du disque de cette manière n'est pas sûr sur les disques SSD.

Les logiciels malveillants / portes dérobées du micrologiciel sont tout aussi simples et survivraient à chacune de vos suggestions.

peterh - Reinstate Monica

2018-12-27 09:35:25 UTC

view on stackexchange narkive permalink

Installez un point d'accès dans votre cave ou placez l'ordinateur portable dans une boîte métallique. Le but est de rendre impossible la communication avec les signaux radio, à l'exception de l'AP que vous avez fourni.

À l'intérieur de cette boîte métallique, mettez votre propre AP. Ainsi, l'ordinateur portable devrait voir un silence radio total, son seul moyen de communiquer avec le monde externe devrait être votre AP.

La liaison montante de votre AP devrait être l'une de vos machines externes. Démarrez un écouteur et un analyseur de paquets réseau dessus.

Vous pouvez essayer de déclencher leur écoute clandestine en faisant des choses délicates. Par exemple, vous pouvez rechercher les ennemis politiques de votre État, ou vous devriez essayer de sembler essayer de les contacter.

Attention, ces personnes sont très paranoïaques et elles ne sont pas affectées par des arguments comme " Je n'ai pas essayé de contacter le pays X, j'ai seulement essayé de le regarder ainsi "ou" Si j'avais vraiment essayé de communiquer avec le pays X, je ne l'avais pas fait avec votre ordinateur portable buggé ". Ce sont de solides arguments pour vous, mais rien pour eux. Vous serez poursuivi pour avoir contacté le pays X et personne ne sera intéressé par vos arguments. Votre seul moyen d'éviter la punition si vous ne le faites pas. Considérez maintenant le cas où vous pouvez jouer avec eux.

L'ordinateur portable doit être continuellement en ligne, vous devez continuellement faire des choses dessus (bien sûr rien d'illégal).

Ensuite, vérifiez le trafic de votre AP, de votre propre AP, de ce qu'il a communiqué et où.

Malheureusement, il ne peut avoir qu'une réponse positive: si l'ordinateur portable ne communique pas, vous n'avez aucun moyen de savoir que c'est parce qu'il ne l'a pas été buggé, ou qu'il était buggé, mais pas actif. S'il communique, vous saurez combien de trafic il a généré et où.

Si vous avez suffisamment joué, remettez le disque dur à zéro et vendez l'ordinateur portable sur Internet.

Si vous leur parlera plus tard, vous ne savez rien, vous venez de vendre votre ordinateur portable parce que vous vouliez un matériel plus fort, et vous ne pensiez même pas qu'il pourrait être buggé.

marshal craft

2018-12-20 17:22:12 UTC

view on stackexchange narkive permalink

Si l'ordinateur portable est un Windows 10 en raison d'un démarrage sécurisé, de la mémoire virtuelle Windows, de la signature du pilote, vous pouvez vous assurer que la machine est fiable. Cela n'exclut pas les applications malveillantes installées et configurées pour s'exécuter et accéder aux ressources de l'ordinateur, cependant, elles n'auraient pratiquement aucun moyen d'accéder à d'autres applications ou processus qui ne "se mettent pas là-bas".

L'adressage de la mémoire virtuelle Windows brouille essentiellement la mémoire des applications en mode utilisateur. Donc, si un virus tente d'accéder à la mémoire via des méthodes piratées, il ne peut pas discerner quoi. Ainsi, chaque processus a sa propre mémoire virtuelle d'environ 2 Go qu'il utilise, qui est traduite par Windows en espace d'adressage réel. La mémoire de processus est essentiellement privée pour ce processus. Ils peuvent partager la mémoire avec des poignées. Mais je pense que cela nécessiterait la coopération des deux processus.

De plus, les logiciels malveillants configurés pour s'exécuter peuvent voir le trafic réseau, mais qui peuvent être consultés par n'importe qui également une fois qu'ils sont diffusés sur un réseau.

Donc, fondamentalement, les applications écrites en toute sécurité ne peuvent pas être facilement supprimées. À moins que les «militaires» n'aient accès à OEM, Windows ou Intel / AMD et qu'ils mettent cette capacité à leur disposition, ou qu'ils aient réalisé des vulnérabilités dont l'existence n'est pas encore connue.

Je ne suis pas d'accord.Le démarrage sécurisé empêche le micrologiciel UEFI authentique d'exécuter un logiciel non approuvé (c'est-à-dire que le logiciel ne peut pas être falsifié).Cela n'empêche pas le matériel falsifié de démarrer le système d'exploitation authentique.Votre affirmation sur la mémoire virtuelle est correcte, mais personne n'empêche un corp militaire avec suffisamment de ressources pour remplacer le firmware UEFI par un hyperviseur sur lequel le système d'exploitation fonctionne.Ensuite, vous avez le contrôle ring-0 sur la machine.

Le moteur de gestion Intel est le point de départ, Intel doit fournir à l'OEM des informations et des outils pour utiliser le processeur d'exécution sécurisé, que Windows utilise.Il y a eu un exploit récent avec les macs, mais c'était avec le moteur d'exécution sécurisé non utilisé et configuré qui est fait par les OEM, Windows ne démarrerait pas dans un tel environnement, et cela nécessiterait toujours des outils Intel.

"Windows ne démarre pas".C'est nouveau pour moi, je vais faire des recherches là-dessus.Je vous remercie.Oui, un module TPM peut valider le matériel et refuser d'émettre la clé si le matériel est compromis, mais c'est quelque chose de différent du système d'exploitation pour valider le matériel.Un exemple est Magisk pour Android.Magisk fonctionne avec un chargeur de démarrage déverrouillé, mais est capable de faire croire à Android que le matériel et le système d'exploitation sont intacts.D'après ce que j'ai appris, Magisk est la plupart du temps invulnérable.Ainsi, Android * ne peut * refuser de démarrer.Cela justifie ma surprise dans votre phrase.C'est un sujet très intéressant

Dans l'exemple Magisk: le téléphone verrouillé refusera de démarrer Magisk car le matériel vérifie le système d'exploitation.Mais lorsque le logiciel (par exemple SafetyNet) tente d'évaluer le matériel, Magisk crée une couche de fumée qui fait croire au logiciel que le matériel est sain.Sûrement, Android vs Magisk n'est qu'un simple exemple, je ne sais pas ce que fait Windows pour valider le matériel lorsque le matériel est capable de fournir une fausse attestation

Fondamentalement, le moteur d'origine définit les fusibles en m.e.Qui sont utilisés pour vérifier que le micrologiciel a été signé en utilisant la cryptographie.L'OEM peut mettre à jour le micrologiciel, etc., mais maintient le système verrouillé.L'OEM fonctionne également avec Windows et uefi pour transmettre la confiance à ces composants.De plus, Windows n'utilise pas normalement les pilotes uefi.Bien que cela puisse être le pire des cas, une fonction plug and play où il ne trouve pas de pilote, je pense.De toute évidence, ce serait un trou dans son mécanisme de signature de pilote.Je ne sais donc pas comment cela est géré, mais je suppose que c'est le cas.

Je parle des PC Windows, pas des téléphones.Windows n'est pas seulement entièrement conçu pour utiliser le démarrage sécurisé, il l'exige!De plus, Intel Atom x86 soc ne fonctionnera que dans un état limité avec un moteur de gestion correctement configuré, et encore moins il pourrait exécuter mac o.s.Sans parler des fenêtres.

Désolé, je parlais en général des matériels et des noyaux.Je veux dire que ce qui * peut * être fait sous Windows peut être fait sous Linux, Android, Mac et Rasbperry Pi potentiellement

Laissez-nous [continuer cette discussion dans le chat] (https://chat.stackexchange.com/rooms/87325/discussion-between-usr-local--and-marshal-craft).

@usr-local-ΕΨΗΕΛΩΝ Si vous avez un accès physique, vaincre le TPM est ** trivial **.En fait, pour SRTM du moins, ce qui est décrit ici, tout ce que vous avez à faire pour le vaincre est de remplacer la puce BIOS par une puce qui n'a pas de bloc de démarrage verrouillé (CRTM).SRTM n'est utile que pour détecter les modifications du micrologiciel, pas du matériel.

@ forest son descripteur flash appelé, voir le moteur d'exécution de confiance Intel qui est ce que le moteur de gestion est appelé récemment (2017?).Il est certain qu'au moins le nouveau micrologiciel devrait avoir un support Intel pour obtenir par Microsoft, une fois que cela est fait, il peut faire beaucoup de choses comme utiliser le wifi pendant que le PC est éteint dans les états de veille s0 sans que Windows ou les pilotes ne le déclarent.Intel fournit les binaires des composants principaux dont uefi a besoin.Pas de source mais des binaires.Il est fort possible qu'un gouvernement puisse se tourner vers n'importe quelle entreprise nationale et exiger qu'elle remette ces outils.

@marshalcraft Je ne parle pas du descripteur flash CSME, je parle du bootblock BIOS qui contient le CRTM sur la puce flash.Il est généralement en lecture seule dans le matériel et est utilisé pour amorcer le démarrage mesuré avec le TPM.Le CRTM lit le reste de la mémoire flash du BIOS dans PCR0 avant de sauter dessus et de l'exécuter.Pour cette raison, vous pouvez le contourner simplement en remplaçant la puce flash.

De plus, le Trusted Execution Engine (TXE) n'est pas le nom du Management Engine (CSME).

Txe semble remplacer la technologie appelée moteur de gestion.De nombreux aspects sont les mêmes que le descripteur flash, qui agit comme une table des matières décrivant la taille et les emplacements mappés en mémoire flash spi des sections obligatoires.Txe fournit en outre une unité de traitement sécurisée.Wikipédia n'est pas à jour sur ce sujet.

@marshalcraft C'est incorrect.TXE est un module qui fait partie du CSME.Ils ont même différentes interfaces PCIe virtuelles, la première étant TEXI et la seconde étant HECI.Liés, mais pas les mêmes.

Eh bien, la documentation Intel est privée, donc je ne peux vraiment rien dire de plus à ce sujet, ce qui est regrettable.Cela a littéralement transformé l'architecture x86 / 64 pc en une arène privée à huis clos.L'époque de l'ingéniosité informatique américaine des mégatendances américaines, des écrivains d'os Bill Gates et de Paul Allen, Dell, etc. est révolue, au lieu de cela, nous avons mis sur écoute et exploité des microprocesseurs ... et des "applications" remplaçant le .exe standard à emporter efficacement à un prix entièrement programmablepc.Il est assez évident où allaient les âges sombres après l'empire romain.

@marshalcraft Bien que leur base de données de service de contenu interne puisse être privée, la documentation concernant TXT et CSME est absolument publique.Ce n'est pas quelque chose que vous devez signer un NDA pour l'obtenir.

@usr-local-ΕΨΗΕΛΩΝ En fait, sa déclaration sur la mémoire virtuelle est incorrecte.Ce n'est pas parce que la mémoire est «brouillée» que le firmware sera incapable de voir ce qui est quoi.Il a les tableaux de pages, après tout ...

Et oui, vous devez soupirer un nda.

De plus, j'avais raison, je peux garantir que le contenu de mon application Windows dit une variable appelée indicateur, ne peut pas être connu le contenu en dehors de cette application, en particulier en raison de l'adressage virtuel de Windows.Ou vous pourriez utiliser vos connaissances mathématiques pour de meilleures choses.

@marshalcraft Je n'ai aucune idée de ce dont vous parlez.Et les informations de base sur le CSME ne nécessitent _pas_ de signer un NDA.Oui, obtenir des informations détaillées sur la programmation OEM ou la chaîne d'outils, mais simplement connaître les interfaces de base qu'il utilise (HECI et TEXI)?Pas du tout.Pourquoi le ferait-il?

Quoi qu'il en soit, le démarrage sécurisé est destiné à vérifier le logiciel, mais il suppose un firmware sans compromis.Comme OP a confisqué son ordinateur portable, il est très possible que le _firmware_ ait été modifié, ce que même SRTM ne peut pas vaincre (étant donné que vous pouvez simplement remplacer le bloc de démarrage CRTM / BIOS par un accès physique).Je pense que BootGuard pourrait aider un peu, mais même ce n'est pas parfait.Donc, votre idée que le démarrage sécurisé sécurisera le système?Ridicule.

Et à quelles recherches Google rapides faites-vous référence?Je n'avais pas besoin de regarder _any_ de ceci, comme vous pouvez le voir par mes questions et réponses existantes.Quoi qu'il en soit, si vous arrivez maintenant au point où vous prétendez être la seule personne sensée dans un monde de fous et que "tout le monde peut voir ça" (je me demande pourquoi vous êtes -7 alors?), Alors je ne peux rien fairepour vous apprendre, désolé.Veuillez noter que certains d'entre nous font cela pour un _job_.Nous ne sommes pas seulement des amateurs qui s'amusent à spéculer.Nous sommes nombreux à être des professionnels.

@marshalcraft J'ai du mal à défendre l'idée que cela répond réellement à la question.Que les faits soient vrais ou non, comment cela répond-il aux questions soulevées?Pouvez-vous relier un peu mieux les points?

ⓘ

Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.

À propos - jargon juridique