Question:
Désinfectez l'ordinateur après une saisie par la sécurité intérieure
user91785
2015-11-13 00:09:05 UTC
view on stackexchange narkive permalink

J'ai pris l'avion d'outre-mer pour retourner aux États-Unis et tout mon équipement électronique a été saisi par la sécurité intérieure, y compris mon ordinateur portable, mes disques durs externes, mes clés USB, etc.

Après plus d'un mois, j'ai j'ai finalement récupéré mes affaires. J'ai 2 questions:

  1. Sait-on si Homeland Security a déjà installé des logiciels espions, des virus, des dispositifs de suivi, etc. sur les ordinateurs saisis?

  2. Que dois-je rechercher, quelles mesures dois-je prendre pour nettoyer mes affaires, que feriez-vous?

MODIFIER: I impossible de reformater, graver le disque dur, etc. comme certains l'ont suggéré car un travail très important est sur l'ordinateur portable, c'est-à-dire le logiciel sur lequel je travaille depuis plus d'un an.

Oui, j'ai eu des sauvegardes de toutes mes données. Malheureusement, les sauvegardes étaient toutes avec moi, et elles se sont emparées de toutes (2 disques durs externes, 3 clés USB). Donc, simplement utiliser des sauvegardes n'est pas une option.

De plus, quelqu'un a dit que les gens ne pouvaient pas m'aider sans enfreindre les lois. Je ne suis au courant d'aucune loi qui stipule qu'il est illégal de supprimer les logiciels espions / programmes malveillants / virus, ou qu'il est illégal de supprimer tout ce que le gouvernement a mis sur votre ordinateur.

MODIFIER: Je suppose que je pourrais reformuler la question comme suit: «Comment feriez-vous pour obtenir le code source que vous avez écrit (fichiers texte) hors de l'ordinateur en toute sécurité, c'est-à-dire analyser les fichiers texte pour détecter tout ce qui est inhabituel, puis les transmettre ou les mettre sur un autre ordinateur? "

La réponse évidente est: formatez tout et réinstallez. Bien que cela ne vous protégera pas s'ils ont modifié la carte mère. Des suggestions plus détaillées (le cas échéant) dépendront probablement du système d'exploitation que vous utilisez (je suppose que Windows?), Du matériel de l'ordinateur portable, avez-vous des sauvegardes à la maison de toutes les données (c'est-à-dire achetez un nouvel ordinateur portable et effectuez la sauvegarde) Les données?)
Eh bien, je le brûlerais et commencerais par un nouveau en en achetant un dans un magasin et je ne le commanderais pas en ligne. Là encore, je suis juste paranoïaque. Les micrologiciels peuvent être modifiés, en particulier ceux des disques durs, du BIOS, des cartes vidéo, etc.
En plus des étapes de sécurité, je parlerais à un avocat. Si cela ne constitue pas une fouille et une saisie déraisonnables, je ne peux pas imaginer ce que cela ferait. Cela est illégal sans que la cause probable d'un crime ait été commis.
@reirab En général, votre déclaration serait vraie. Cependant, les lois récentes (postérieures au 11 septembre) aux États-Unis rendent les choses un peu plus floues à la frontière. Essentiellement, si vous voyagez à destination / en provenance des États-Unis (plus particulièrement aux États-Unis et surtout si vous n'êtes pas citoyen), supposez que vos biens et appareils électroniques sont * légalement * vulnérables aux fouilles et aux saisies par les autorités frontalières. De tels cas sont relativement rares, en particulier ceux impliquant des crises d'une durée comme celle-ci, mais c'est loin d'être inconnu.
@Iszi Cela dépend de votre définition de «légal», je suppose. La Constitution américaine n'a pas changé depuis le 11 septembre et déclare explicitement que cela est illégal, indépendamment de ce que toute autre loi peut dire. Ce n'est pas parce qu'une loi n'a pas encore été déclarée inconstitutionnelle qu'elle n'est pas inconstitutionnelle. Bien sûr, les droits des non-citoyens peuvent être très différents, mais OP semble faire référence aux États-Unis comme à la maison, alors j'ai supposé qu'il / elle était un citoyen.
Enregistrez le texte de votre code source dans des fichiers texte séparés, puis effacez le système.
S'ils ont installé quelque chose dans / sur votre ordinateur et que vous ou quelqu'un d'autre êtes en mesure de le trouver, ce serait une excellente occasion de le divulguer.
Comme indiqué par @Jeroen-ITNerdbox, [le micrologiciel peut être compromis] (https://blog.kaspersky.com/equation-hdd-malware/7623/). Mais alors, c'est [un problème pour nous tous] (http://www.standard.net/Tech-Matters/2015/08/08/What-you-should-know-about-firmware-viruses) de toute façon. Qu'est-ce que vous attendez pour remplacer votre équipement par qui soit aussi fiable que vous semblez vouloir? Pourquoi êtes-vous particulièrement préoccupé? (Autre que la préoccupation générale partagée par la plupart d'entre nous.)
Vous souciez-vous que d'autres personnes accèdent à ce code? Vous pouvez trouver des personnes qui aimeraient inverser l'ingénierie de vos ordinateurs portables pour exposer un autre scandale américain («Les États-Unis ont installé des logiciels malveillants sur les appareils électroniques des touristes»). Peut-être que cela pourrait enseigner une ou deux choses aux États-Unis
J'ai l'impression que vous ne voulez pas particulièrement divulguer le type de logiciel que vous étiez / êtes en train de développer (ce qui est certainement votre droit, et que je suis certainement conscient que vous pourriez faire pour un certain nombre de raisons 100% légitimes) . Mais je pense que toute réponse réelle et pragmatique doit prendre en compte les motivations que le DHS pourrait avoir pour modifier votre code source, implanter un firmware malveillant, etc. Cela dépend nécessairement de ce qu'ils pourraient vous voir faire et qui en valoir la peine. En d'autres termes, si vous êtes un développeur de jeux occasionnels pour smartphones, vous ...
... ont presque certainement peu de raisons de s'inquiéter. Si, d'un autre côté, vous êtes un développeur de logiciels de sécurité pour une start-up qui travaille sur un IDS de nouvelle génération ou quelque chose, le risque pratique pourrait (peut-être, peut-être) être non négligeable. Et si vous êtes un développeur de logiciels malveillants pour compte d'autrui revenant tout juste d'un voyage dans le nord du Pakistan ... eh bien, vous comprenez. (Exemple délibérément extrême.)
C'est pourquoi il devrait y avoir une sauvegarde hors site http://www.hanselman.com/blog/TheComputerBackupRuleOfThree.aspx
Si j'étais au gouvernement et que j'avais prévu de vous surveiller, je ferais des mods matériels qui existeraient même après un reformatage. Vous voudrez peut-être inspecter visuellement vos cartes de circuits imprimés et autres pour toute soudure géniale ou puces qui semblent déplacées.
Vous pouvez tester si Homeland Security a installé ou non des logiciels espions indétectables en faisant précisément les choses qui ne manqueront pas d'attirer l'attention de Homeland Security sans enfreindre aucune loi. Vous pouvez penser à rédiger un plan pour lancer une attaque terroriste, utiliser le codage RSA pour crypter le document, puis le télécharger sur un serveur de messagerie, par exemple. un compte Gmail jetable. Vous vous comportez alors comme un terroriste qui communique via un compte gmail partagé et un cryptage RSA.
Désormais, si le personnel de la sécurité intérieure peut lire votre document non chiffré, il devra agir en fonction des informations qu'il contient, en supposant que cela soit suffisamment alarmant. Homeland Security voudra vous garder dans l'ignorance de ce qu'il sait à ce stade pour vous assurer que vous restez au courant des informations sur vos projets à l'aide de votre ordinateur portable. Si vous écrivez sur un complot contre une cible qui a normalement peu de sécurité et que vous voyez soudainement beaucoup de sécurité là-bas, c'est un signe que Homeland Security a lu votre document. Vous souhaitez alors vous débarrasser de votre ordinateur.
Jake - Pourriez-vous me dire pourquoi cela s'est produit? Quel comportement faut-il éviter à l'aéroport?
Votre année de code source était-elle dans un système de contrôle de version doté d'un mécanisme de somme de contrôle? Si oui, avez-vous un moyen (archives de courriels par exemple) de vérifier les sommes de contrôle à tout moment? La plupart des réponses à ce jour sont alarmistes et généralisées. Et il y a une bonne raison à cela, mais étant donné certains détails, il peut y avoir des moyens de récupérer en toute sécurité certaines de vos données.
Onze réponses:
Iszi
2015-11-13 01:25:41 UTC
view on stackexchange narkive permalink

Étant donné que votre ordinateur portable était en possession d'une entité gouvernementale avec des intentions inconnues à votre égard pendant une période prolongée, vous ne pouvez vraiment pas le restaurer dans un état entièrement digne de confiance.

Si vous supposez les États-Unis Le DHS est hostile, alors le seul processus sécurisé pour aller de l'avant comprend:

  1. Supposons que toutes les données de l'ordinateur portable et de tout autre matériel confisqué soient compromises.
    • Changement tous les mots de passe des comptes qui peuvent avoir été stockés / mis en cache sur les appareils.
    • Modifiez tous les mots de passe des autres comptes qui utilisent le même mot de passe que les comptes qui peuvent avoir été stockés / mis en cache sur les appareils.
    • Annulez tous les mécanismes de paiement qui peuvent avoir été stockés / mis en cache sur les appareils.
    • Communiquez les avertissements de confidentialité appropriés aux tiers potentiellement concernés.
  2. Supposons que l'ordinateur portable et tout autre matériel confisqué aient été modifiés pour permettre à l'avenir la collecte de données ou le contrôle du système par le DHS américain ou des agences apparentées.
    • Détruisez les appareils. Ne capturez aucune image de sauvegarde et ne copiez aucun fichier. Il vous suffit de les brûler / déchiqueter / pulvériser / écraser tels quels.
    • Achetez du matériel / logiciel de remplacement auprès d'une source fiable, via une chaîne d'approvisionnement fiable, et reconstruisez-les à partir de zéro.
    • S'il existe des sauvegardes fiables (sauvegardes qui n'ont pas été également confisquées et qui ne seraient pas accessibles à distance avec des informations d'identification qui auraient pu être stockées / mises en cache sur des appareils confisqués), restaurez les données de ces sources si nécessaire.

Tout ce qui est en dessous de cela laisse ouvertes plusieurs possibilités extrêmement indésirables:

  1. US Le DHS peut continuer à avoir accès à vos comptes en ligne et / ou à vos ressources financières.
  2. Un ou plusieurs de vos appareils peuvent contenir des logiciels malveillants persistants qui permettent au DHS américain ou à des agences associées de vous espionner ou de contrôler vos systèmes . Et vous êtes de retour au n ° 1.
  3. Les fichiers stockés sur l'un de vos appareils peuvent contenir des logiciels malveillants qui s'installeront à l'ouverture. Puis voir n ° 2.
  4. Le matériel ou le micrologiciel de l'un de vos appareils peut avoir été modifié pour inclure des logiciels malveillants, qui peuvent s'installer lors de la connexion à un autre appareil. Consultez à nouveau le n ° 2.
  5. Tous les projets logiciels sur lesquels vous travailliez et / ou les outils que vous utilisez pour les compiler peuvent avoir été modifiés pour inclure des logiciels malveillants. Revenez au n ° 2 encore une fois, et ajoutez également un impact supplémentaire à vos clients s'il n'est pas découvert et traité avant la distribution.

Vous devriez consulter les 10 lois de sécurité immuables. La loi n ° 3 s'applique certainement. En supposant qu'ils ont exploité cette loi, vous pouvez probablement parier que la loi n ° 1 & n ° 2 s'applique également.

Loi n ° 1: Si un méchant peut vous persuader de lancez son programme sur votre ordinateur, ce n'est plus votre ordinateur
Loi n ° 2: Si un méchant peut modifier le système d'exploitation de votre ordinateur, ce n'est plus votre ordinateur
Loi n ° 3: Si un méchant a un accès physique illimité à votre ordinateur, ce n'est plus votre ordinateur

Consultez également les 10 lois immuables de l'administration de la sécurité. Ici, la loi n ° 4 est la plus appropriée.

Loi n ° 4: il ne sert à rien d'installer des correctifs de sécurité sur un ordinateur qui n'a jamais été sécurisé au départ

Bon, même si je remplacerais «hostile» par «pas complètement digne de confiance».
Si vous voulez vraiment conserver des fichiers lisibles par l'homme en toute sécurité, votre seul recours serait de les ouvrir sur l'appareil compromis et de les * transcrire manuellement * sur un système de confiance. Douloureux? Oui. Mais le seul appareil capable de fournir un filtrage suffisant pour garantir que les données compromises ne parviennent pas à la nouvelle machine est votre cerveau, vos yeux et vos doigts. Et bien sûr, si vous parlez de code source, assurez-vous de bien comprendre le code que vous transcrivez: P
@DoktorJ: Même cela pourrait ne pas suffire (si vous êtes vraiment * que * paranoïaque). Ils ont peut-être apporté une petite modification au code que vous pourriez copier par inadvertance (comme: supprimer un «+1» nécessaire sur une vérification de longueur). Il serait peut-être préférable d'avoir une vue d'ensemble de haut niveau et de réimplémenter la fonctionnalité à partir de zéro. Bonus supplémentaire: 1. changer pour améliorer la conception pendant que vous y êtes, et 2. cela vous oblige à vous concentrer sur la mise en œuvre au lieu de vérifier que les personnages correspondent 1 par 1.
Un chiffrement suffisamment puissant ne protégerait-il pas vos données des opérations de lecture et d'écriture significatives?
@DoktorJ L'OP ne peut-il pas simplement télécharger le code via copier-coller sur un service en ligne (GitHub ou Google Docs par exemple), passer à un ordinateur sécurisé / frais et le recopier? Je ne vois pas en quoi cela pourrait nuire à quoi que ce soit, car le code a déjà été lu par le gouvernement, et une fois que vous le collez dans GitHub et le téléchargez, vérifiez qu'il a téléchargé le bon code (non remplacé par autre chose lorsque vous copiez -pasted), le repo GitHub doit être "propre".
Il devrait être sûr de transférer les données si vous utilisez un logiciel que vous avez écrit vous-même. Par exemple. connectez l'ordinateur compromis à un ordinateur de confiance via RS-232 (un protocole simple qui est très peu susceptible d'avoir des vulnérabilités à distance), et demandez à l'ordinateur compromis de vider son disque dur sur le port série, et demandez à l'ordinateur de confiance de lire ces données dans un fichier . Vous avez alors une image de disque dur * (qui pourrait ne pas être sûr de démarrer dans une VM) *
"Détruire les appareils" est un conseil terrible. Les appareils compromis comme celui-ci sont extrêmement précieux pour comprendre les capacités de l'ennemi. Vous pourriez probablement même les ** vendre ** à des chercheurs en sécurité si vous le souhaitez, bien que du point de vue de la protection de votre vie privée, il soit probablement plus logique de travailler avec des personnes en qui vous avez confiance pour récupérer toutes les données dont vous avez besoin et leur permettre de rechercher ce qui a été fait. aux appareils.
@R .. c'est exactement ce que j'allais écrire ici mais vous l'avez déjà écrit. Beaucoup de gens paieraient beaucoup pour mettre la main sur ces appareils. En fait, je serais très surpris si les États-Unis étaient assez stupides pour planter des logiciels malveillants sur tous les appareils qu'ils saisissent haha. Tout ce qu'un espion doit faire est de faire saisir ses appareils, puis de les désosser (quelqu'un a-t-il dit Chine?)
@Numeri la raison pour laquelle je suggère la transcription est que chaque caractère du code passe ensuite par les yeux, l'esprit et les doigts de l'OP. Si ses systèmes étaient effectivement compromis, je ne mettrais pas au-dessus d'un mauvais acteur de modifier le code pour y incorporer des éléments malveillants. En transcrivant manuellement, de telles choses sautaient là où elles seraient complètement manquées dans un copier / coller.
Que diriez-vous d'utiliser une caméra pointée vers l'écran de l'ordinateur compromis qui effectue l'OCR à la volée. Vous devez créer un script qui répertorie le contenu des fichiers sous forme de texte brut afin qu'il soit reconnaissable, et qui fait l'inverse. L'impression serait une alternative vraiment ennuyeuse.
Herringbone Cat
2015-11-13 01:19:56 UTC
view on stackexchange narkive permalink

C'est une excellente question.

Fondamentalement, une fois qu'un appareil a été saisi par un adversaire avec le niveau de sophistication d'un État-nation, en particulier les États-Unis, cet appareil et toutes les données qu'il contient ne peuvent pas faire confiance. La seule approche sûre est de ne pas faire confiance à cet appareil et de le détruire.

Les fuites de Snowden ont révélé les différentes méthodes par lesquelles le gouvernement américain peut compromettre les ordinateurs. Cela inclut l'installation de bogues matériels dans le clavier lui-même, le GPU ou d'autres composants qui rendent l'ordinateur complètement rooté et compromis même si un O / S est réinstallé. Ils ont également installé des émetteurs radio pour vaincre les ordinateurs «à vide» qui ne se connectent jamais à Internet en exfiltrant des données via une radio cachée. Le discours de Jacob Appelbaum sur le sujet est très instructif: Je suggère vivement de regarder cette vidéo car il détaille les différents appareils que le gouvernement est connu pour utiliser. Un résumé wikipedia est également disponible.

Désormais, il est possible que les agents de la sécurité intérieure n'aient installé aucun de ces appareils et n'aient pas les mêmes capacités que la NSA. Cependant, cela ne peut pas être exclu.

Bien que vous puissiez récupérer certaines données du disque dur en le retirant et en le plaçant dans un boîtier USB / en utilisant un câble SATA vers USB, cela présente des risques . J'utiliserais un ordinateur jetable à usage unique pour lire le lecteur ... car le micrologiciel ou le contrôleur du lecteur aurait pu contenir des logiciels malveillants qui tenteront d'infecter tout ordinateur sur lequel il est branché.

Pour contrebalancer cela, je recommanderais l'achat d'un duplicateur de matériel médico-légal (connu sous le nom de duplicateur de bloc d'écriture). Ensuite, branchez le lecteur SATA de votre ordinateur et clonez-le sur un autre disque. Ensuite, copiez les fichiers de ce disque cloné vers un autre ordinateur. Cela devrait empêcher les compromis basés sur le micrologiciel.

Cependant, vous ne pouvez pas être assuré qu'un certain type de ver, etc. n'a pas été implanté dans les fichiers eux-mêmes. En copiant sur plusieurs appareils et en n'utilisant pas l'appareil sur lequel vous avez initialement branché le disque dur, vous minimisez vos chances de compromission prolongée; mais il y a toujours une chance que quelque chose ne va pas avec les fichiers. L'antivirus, etc. n'aidera pas contre des attaques sophistiquées comme celle-ci.

C'est pourquoi on ne peut plus faire confiance à l'ordinateur. Cependant, vous pouvez prendre des mesures telles que le duplicateur de matériel pour minimiser les risques de problèmes.

Cette histoire pourrait également être intéressante: http://www.wired.com/2010/11/hacker -border-search /.. un pirate informatique célèbre fait inspecter son ordinateur à la frontière par le DHS, et sa conclusion est, je crois, très valable:

«Je ne peux faire confiance à aucun de ces appareils maintenant », dit Marlinspike, qui préfère ne pas divulguer son nom légal. "Ils auraient pu modifier le matériel ou installer un nouveau micrologiciel de clavier."

Un bloqueur d'écriture peut ne pas être suffisant au cas où le disque dur aurait un micrologiciel compromis, ce qui pourrait éventuellement exploiter une vulnérabilité dans son pilote.
@immibis Comment cela? J'ai du mal à croire que la ROM du micrologiciel sur un disque dur puisse avoir suffisamment d'espace pour fournir des attaques personnalisées basées sur le micrologiciel aux divers modules de duplication sur le marché; ou que même le meilleur adversaire possède des logiciels malveillants capables d'infecter le micrologiciel de l'un des nombreux périphériques capables de lire / dupliquer des disques SATA.
J'imagine que le bloqueur d'écriture transmet les demandes de lecture sans modification, donc s'il y a une vulnérabilité dans le traitement des demandes de lecture, votre ordinateur serait toujours vulnérable avec le bloqueur d'écriture.
@immibis Je pense que c'est hautement improbable, car vous auriez dû trouver et être en mesure d'exploiter des vulnérabilités dans chaque duplicateur de bloc d'écriture sur le marché ... ce qui prendrait probablement plus d'espace que celui disponible sur les ROM du micrologiciel, etc.
ou exploitez l'ordinateur hôte avec une lecture.
@immibis Je ne suis pas sûr que nous soyons sur la même page - un duplicateur de bloc d'écriture * est * l'ordinateur hôte et le copie lecteur-> lecteur. Il n'y a pas d'autre ordinateur impliqué.
Oh, un périphérique séparé qui copie le lecteur, pas seulement un bloqueur d'écriture.
@immibis Oui, c'est ce qui en fait un "bloc d'écriture * duper *"
Dragonel
2015-11-13 02:01:32 UTC
view on stackexchange narkive permalink

En fonction de votre niveau de paranoïa à ce sujet et de la quantité de code, vous pouvez à l'extrême passer à une méthode LOW-TECH pour contourner tout ce qui a été fait.
Achetez une imprimante bon marché. Connectez-le à votre ordinateur portable. Imprimez votre code source sous forme de rames et de rames de texte. Imprimez tous les graphiques, mises en page, etc. Imprimez les paramètres utilisateur nécessaires. Détruisez l'ordinateur portable et l'imprimante.

Bien sûr, vous devez maintenant saisir à nouveau tout votre code source, recréer vos graphiques et ainsi de suite, mais vous n'avez pas à réinventer l'IP et il n'y a AUCUNE connexion électronique à suivre.

Vous pouvez prendre des photos des documents imprimés et utiliser des programmes pour extraire le texte des images.
Et bien sûr, vous devez supposer que DHS n'a pas souillé votre code source avec son propre logiciel malveillant - ou que vous l'attraperiez s'il le faisait, au milieu du processus stupéfiant d'importation manuelle (c'est-à-dire de saisie) de rames. et des rames de code source sur papier.
@Iszi Je supposais que l'OP connaîtrait suffisamment bien sa source pour dire si quelque chose a été changé, et que le DHS ne prendrait pas un tel risque. Cependant, je prendrais de toute façon l'occasion de revoir le code et donc de réfléchir à ce que font les lignes lorsque je les ressaisis, et de supprimer tout ce qui est inutile ou de proposer des méthodes meilleures et plus efficaces.
@Dragonel Oh, pour les premières heures, vous pourriez. Mais après avoir mis des jours à parcourir tout le code (vous avez dit * rames *), je pense que vous allez finir par le passer sous silence à un moment donné.
@CountIblis Le logiciel malveillant intégré peut s'être chiffré lui-même en un motif de points apparemment aléatoires sur l'impression qui s'encode en un nouveau logiciel malveillant lorsqu'il est lu par un lecteur optique commercial sur le marché. [Sourire extrêmement paranoïaque]
Non, les autres réponses l'ont. La différence entre "<" et "<=" dans une boucle for, ou "+1" et "-1" ou rien du tout, est pleinement exploitable, et vous êtes psychologiquement incapable de les attraper.
L'OCR répond à l'objection de l'ennui, mais pas à la question de la modification. En fait, l'OCR apportera probablement des modifications tout seul.
Si vous voulez simplement extraire le code source, démarrer à partir d'un live CD et copier les fichiers source sur un appareil cloud semble bien plus efficace que cela.
Mieux vaut prendre des captures d'écran que l'impression sur papier, non pas avec la touche d'impression, mais avec un appareil photo externe pour filmer le défilement de l'écran.
@Iszi: D'un autre côté, je ne sais pas quelle est exactement la loi sur l'action légale pour des départements comme le DHS, mais en Allemagne même un tel département agirait illégalement s'il venait de placer un logiciel espion sans aucun soupçon raisonnable sur votre appareil. Si tel est le cas pour le DHS également, même si votre droit avec votre hypothèse d'un pourrait après plusieurs jours cesser de vérifier le code ligne par ligne, s'ils le feraient vraiment au cas où ils supposeraient déjà que vous passiez par cette étape, ils risqueraient vous détectez cela et par déduction résultant en le rendant public, ils utilisent des méthodes illégales.
N'utilisez pas d'imprimante couleur: https://en.wikipedia.org/wiki/Printer_steganography
Ohnana
2015-11-13 01:13:50 UTC
view on stackexchange narkive permalink

1) Il n'y a donc aucun moyen de savoir qu'ils ne l'ont pas fait. J'ai l'impression que c'est un peu au-dessus de leur salaire (et auraient-ils le temps de le faire?). Cela dépend de votre niveau de paranoïa. Si vos pensées coulent comme un courant tranquille après le premier jour de printemps, copiez les données sur une nouvelle machine et passez à autre chose. Si vous vous demandez si les chiens qui hurlent dans vos pensées sont des messagers pour le prince des ténèbres, brûlez tout dans un feu de joie alimenté par la thermite.

2) Pour moi personnellement, je détruirais l'équipement, pleurerais sur sa tombe et passerais à autre chose. Avec des sauvegardes qui ne sont pas physiquement sur moi. Cependant, la plupart des données que je conserve sur mes machines se trouvent dans le cloud ou sont remplaçables.

Si ce travail n'a vraiment pas de prix, un audit s'impose. Tout d'abord, retirez le lecteur de l'ordinateur portable et branchez-le dans un environnement isolé - un nouvel ordinateur sans réseau. Un CD Linux Live pratique est parfait pour cela. Montez le lecteur en question et parcourez les fichiers - voyez-vous quelque chose d'étrange? Il manque quelque chose? Des fichiers Windows étranges? L'utilisation de Clam AV est également un bon choix. Y a-t-il de nouveaux fichiers que vous ne reconnaissez pas? Supprime-les.

Je ferais aussi la copie en petits morceaux sur le Linux Live CD. À moins qu'ils ne soient suffisamment sophistiqués pour y installer des logiciels malveillants Windows et Linux, vous empêcheriez tout programme de surveillance de s'exécuter automatiquement et de trouver une nouvelle maison. Je ne saurais trop insister sur ce point - savez ce que vous copiez . Vérifiez votre projet - De nouveaux ajouts dont vous ne vous souvenez pas?

Après cela, utilisez un environnement Windows propre et soyez à l'affût de toute activité suspecte. Élaborez une bonne politique de sécurité et cryptez vos disques la prochaine fois! Oh, et lancez tout une fois que vous avez récupéré les données. Les attaques de micrologiciels sont réelles.

[Voici un excellent article] (https://www.eff.org/wp/defending-privacy-us-border-guide-travelers-carrying-digital-devices) avec des conseils pour amener des données sensibles au-delà de la frontière. Il n'est pas clair pour moi que crypter votre disque dur aiderait une fois qu'ils ont saisi votre ordinateur portable; ils vous demanderont le mot de passe et si vous refusez, ils ne vous rendront certainement pas l'ordinateur portable.
Je sais que cela a aidé Moxie Marlinspike quand il a été harcelé - il a récupéré ses affaires. Si rien d'autre, cela vous donnera la tranquillité d'esprit que tout ce qui se trouve dans le conteneur crypté pourrait bien se passer.
Il a fait? Intéressant.
@Ohnana Tout * dans * le conteneur peut être correct, mais si le conteneur lui-même (par exemple: le micrologiciel du disque dur) ne l'est pas, vous êtes toujours arrosé.
Si vous êtes vraiment paranoïaque, j'opterais si possible avec un OS moins utilisé que Linux sur votre live CD. BSD au minimum, quelque chose de plus étrange comme le clone de Haiku (un BeOS) serait mieux.
@Ohnana après avoir pris une copie et ajouté des bogues matériels sur le clavier pour renvoyer son mot de passe?
Clarifié. Je pensais que sortir le lecteur serait une seconde nature :)
piers7
2015-11-13 06:18:23 UTC
view on stackexchange narkive permalink

Comme d'autres l'ont souligné, pour le code source , vous devez faire plus que le copier en toute sécurité - vous devez être en mesure de détecter la falsification. Et pour cela, vous devez faire une révision de code substantielle.

Si le code est très complexe, ou si vous n'en savez pas assez à son sujet pour le faire correctement, vous avez une autre option: le crowdsourcing de votre révision. Publiez simplement le code en open source et invitez les gens à trouver l'implant. J'imagine que certaines personnes apprécieraient le défi.

... et à défaut, postez-le un fichier à la fois sur Stack Overflow, avec une question noob connexe comme appât. Je jure que c'est ainsi que certaines personnes effectuent leur contrôle qualité.
+1 pour la créativité, et peut-être une étape pratique vers la récupération du code source non fiable (c'est-à-dire en réduisant la probabilité qu'il soit buggé, sans le détruire)
Si le code source était conservé dans git, le simple fait de connaître le hachage correct pour un commit récent d'une source non compromise vous donnerait un niveau de confiance raisonnable que ** aucun ** de l'historique n'a été falsifié.
user253751
2015-11-13 11:45:40 UTC
view on stackexchange narkive permalink
  1. Procurez-vous un autre ordinateur (fiable).
  2. Procurez-vous deux adaptateurs USB / série et un câble null modem (pour les connecter). Il est peu probable que votre ordinateur de confiance soit exploitable à distance via une connexion série. Connectez un adaptateur à chaque ordinateur.
  3. Sur l'ordinateur de confiance, exécutez cat / dev / ttyS0 > hd.img . (Votre adaptateur série n'est peut-être pas / dev / ttyS0; vous voudrez peut-être vérifier cela d'une manière ou d'une autre)
  4. Connectez les deux ordinateurs.
  5. Sur l'ordinateur non approuvé, exécutez cat / dev / sda > / dev / ttyS0 (ou quel que soit le disque dur que vous souhaitez imager, et quel que soit le nom de l'adaptateur série sur cet ordinateur)
    (Si cet ordinateur n'exécute pas déjà Linux, utilisez un Live CD ou Live USB jetable)
  6. Lorsque cela est terminé, ctrl-C le processus cat de l'ordinateur de confiance (car il continuera à attendre plus de données).

( Si vous avez plus de lecteurs que vous souhaitez imager, attachez-les à l'ordinateur non fiable et répétez la procédure)

Vous devriez maintenant avoir une image de disque dur, et vous l'avez obtenue sans rendre votre ordinateur de confiance vulnérable. Le contenu de l'image n'étant pas digne de confiance, ne le démarrez pas dans une machine virtuelle .

Vous pouvez l'ouvrir avec un éditeur hexadécimal et essayer de rechercher les données souhaitées, mais il vous faudra une éternité pour reconstituer les fichiers.

Au lieu de cela, écrivez un programme (dans un langage sans mémoire tel que Java ou Python) pour analyser les structures de données du système de fichiers et extrayez les fichiers souhaités. Assurez-vous de revoir chaque fichier extrait dans un éditeur hexadécimal avant de l'utiliser pour autre chose, au cas où il aurait été falsifié. (N'utilisez même pas cat . xxd est très bien tant qu'il n'est pas configuré pour afficher des caractères ASCII)

Détruisez l'ordinateur et les appareils non fiables ( y compris les USB Live que vous avez utilisés sur cet ordinateur); vous ne savez pas qu'ils n'ont ajouté aucun dispositif de suivi. Ils l'ont (probablement) fait dans le passé, donc cette préoccupation n'est pas injustifiée.

Joshua
2015-11-13 03:13:59 UTC
view on stackexchange narkive permalink

Je n'ai jamais affronté ce scénario; Cependant, d'après ce que je sais, la procédure de nettoyage inverse fonctionne. Démarrez un support externe et copiez soigneusement vos fichiers de travail un par un, en les vérifiant au fur et à mesure. Puis reformatez.

Soyez heureux que les systèmes mis à jour n'aient pas d'attaques via des fichiers texte ou image (du moins connus). Si des processus mystérieux apparaissent, soumettez vos fichiers de travail à l'analyse des logiciels malveillants. Si vous en avez, le DHS regrettera de vous avoir ciblé et d'avoir gaspillé son malware le plus sophistiqué sur une cible de faible priorité.

Byron Jones
2015-11-13 22:32:00 UTC
view on stackexchange narkive permalink

Pour référence future, à la fois pour vous-même et pour les autres, je recommanderais d'effectuer un hachage SHA256 complet de tous les fichiers sur l'ordinateur et du firmware, avant et après un tel voyage. Assurez-vous de laisser la liste de hachage SHA1 à la maison.

Pour les voyages à l'étranger, je vous recommande également de prendre un ancien ordinateur portable que vous avez effacé et une nouvelle installation du système d'exploitation de votre choix avant au voyage. Prenez uniquement les fichiers dont vous avez besoin. Les fichiers plus petits doivent être hébergés dans le cloud ou accessibles à distance. Les fichiers plus volumineux doivent être chiffrés individuellement et recevoir des noms inoffensifs et des extensions de fichier non standard qui ne révèlent pas leur objectif.

Avant de retourner, vous devez supprimer tous les fichiers auxquels vous ne voulez pas que les agents des douanes accèdent.

À tout le moins, ces étapes vous permettront de vous concentrer sur la détermination des fichiers qui auraient pu être ajoutés / modifiés / supprimés.

John B. Lambe
2015-11-13 05:08:12 UTC
view on stackexchange narkive permalink

Comme indiqué dans d'autres réponses, il peut y avoir des logiciels espions dans le BIOS ou autrement cachés dans du matériel modifié. (Par exemple, en théorie, on peut imaginer une attaque complexe où un processeur est remplacé par une puce qui émule le processeur d'origine mais fait également des choses supplémentaires à des fins d'espionnage.)

Pour être absolument sûr que vous aviez la suppression de tout logiciel espion de ce type nécessiterait une expertise en électronique, et même dans ce cas, le temps nécessaire pour le faire pourrait valoir plus que la valeur du matériel.

Cependant, la récupération de données ( non exécutable), en particulier du texte brut, à condition de ne jamais exécuter de code provenant - directement ou indirectement - de la machine compromise (y compris les fichiers directement écrits par le matériel à partir de l'ordinateur portable compromis). p>

  1. Vous ne pouvez pas utiliser l'ordinateur portable lui-même pour copier les données.
  2. Vous ne pouvez pas récupérer le code compilé (en supposant que vous n'allez pas le démonter et le lire complètement ).
  3. Tout code source que vous récupérez doit être inspecté manuellement. S'il s'agit de votre propre code, la recherche de logiciels espions ajoutés devrait être faisable, mais prend du temps.
  4. Les deux points ci-dessus s'appliquent à tous les types de documents pouvant inclure des macros ou des scripts (par exemple, les documents Microsoft Word et Excel).
  5. Vous pouvez récupérer des types de documents prenant en charge les macros en utilisant un logiciel de confiance pour rechercher et supprimer les macros.

Vous connecteriez le disque dur à une nouvelle machine, pour copiez-le et supprimez-le par la suite.

Il existe toujours un risque d'attaques par dépassement de tampon dans les documents, ciblant une application particulière que vous pourriez utiliser pour afficher le document. pour les vulnérabilités connues) serait d'utiliser des applications moins courantes (et non celles qui ont été installées sur votre ordinateur portable, car ce sont celles qu'ils s'attendent à ce que vous utilisiez) pour afficher les documents, ou les convertir dans un autre format (à l'aide d'un logiciel d'une source fiable pour le faire), et éventuellement de retour.

Le (s) disque (s) dur (s) de l'ordinateur portable compromis pourrait avoir modifié le micrologiciel, mais cela ne peut pas directement provoquer l'exécution du code sur la machine que vous utilisez pour copier à partir d'eux (cela pourrait altérer les données lors de la lecture ou de l'écriture). Bien qu'en théorie, cela puisse avoir un exploit de dépassement de tampon ciblant un pilote de disque.

Idéalement, toutes les copies et conversions (et la suppression de macros) seraient effectuées sur une machine que vous réinstalleriez (ou supprimeriez) par la suite. (Un Raspberry Pi ou similaire est rapide à installer et peut être consommable).

Falco
2015-11-13 22:15:36 UTC
view on stackexchange narkive permalink

Vous souhaitez copier votre code source depuis la machine compromise sans risquer d'infecter votre nouvel ordinateur?

Facile:

  1. Accédez à un réseau WiFi ouvert
  2. Copiez vos fichiers de code source vers un service cloud de stockage gratuit (ou paste-bin)
  3. téléchargez les fichiers source avec votre ordinateur personnel
  4. Inspectez soigneusement toutes vos sources pour falsification (ce qui est plutôt improbable, car ils pensent généralement que vous avez des copies de sauvegarde quelque part et ne vous dérangeraient pas, mais dépend de la complexité de votre logiciel)

De cette façon, vous ne Je n'ai pas de connexion directe entre la machine (éventuellement) compromise et votre ordinateur personnel. Les seuls fichiers que vous transférez sont des fichiers texte bruts et inspectés à la main. Donc, le seul vecteur d'attaque qui reste est le code sournois dans vos fichiers de code source. La seule façon d'être à l'épreuve des balles serait de réécrire chaque méthode dans un nouveau projet. Regardez l'ancien code source et écrivez à nouveau chaque méthode avec quelques corrections mineures et le nettoyage.

GreatSeaSpider
2015-11-13 17:08:35 UTC
view on stackexchange narkive permalink

D'autres ont parfaitement couvert les dangers liés aux problèmes d'& ici, donc je ne vais pas essayer de reproduire cela. Je voulais juste ajouter une suggestion pour après la révision du code inévitable. Je me rends compte que la question concerne la santisation de l'ordinateur, mais je vous suggère de prendre également des mesures concernant votre code.

Supposons donc que vous ayez traité tout le matériel comme s'il s'agissait d'une écriture totale off et hostile, et vous devez en récupérer le code. Il y a déjà eu des suggestions sur la façon d'obtenir le code sur une autre machine à l'aide d'une imprimante jetable et disons que vous l'avez fait (j'aurais phycisally supprimé l'adaptateur sans fil de la machine compromise avant de le démarrer par précaution supplémentaire aussi).

Vous avez donc à nouveau saisi votre code et l'avez déjà revu pour des modifications et vous en êtes satisfait. L'étape supplémentaire que je prendrais maintenant est de supposer également que le code a été examiné et doit être révisé au niveau fonctionnel et, si nécessaire, modifié.

Cela pourrait être la façon dont vous hachez et stockez les mots de passe, peut-être un mécanisme de licence s'il en a un, ou peut-être que votre code communique sur Internet avec les utilisateurs d'une manière particulière. Je pense juste que si je portais le code qui exécutait quelque chose qui intéresserait un acteur d'un État-nation, j'envisagerais de le modifier pour que s'ils ont glané quelque chose de son fonctionnement interne, la prochaine fois qu'ils le verront en cours d’utilisation, il se comportera différemment de la façon dont ils s’attendaient à ce qu’il se comporte.

tl; dr

I ' d suggérer de réfléchir à la fonctionnalité du code que vous portiez; un acteur potentiellement hostile gagnerait-il à comprendre comment cela fonctionne? Si tel est le cas, réfléchissez à la manière dont vous atténueriez le fait que quelqu'un possède ces connaissances.

Cela suppose bien sûr que le code que vous portiez pourrait les intéresser.

Note finale; cette étape serait nécessaire dans mon esprit même si j'avais restauré le code à partir d'une sauvegarde sûre connue, car c'est la façon dont le code fonctionne qui a été exposée.

Votre situation ne semble pas très amusante peu importe - bonne chance pour tout régler.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...