web-dev-qa-db-ja.com

ノートパソコンに軍用に設置されたバックドアを検索する

私のラップトップは私の国の軍事研究所によって没収され、彼らは私に彼らに私のすべてのパスワードを与えるようにさせました(私はあなたに私の国の名前を言うことはできません)。彼らはそれを1週間私に返さなかった(はい、それはしばらくの間私の視野の外にありました)。軌道から外したが、2日間はスリープ状態であり、シャットダウン状態ではないことに気付いたので、wifi経由でモデムに接続した。心配する必要はありますか?

そして

彼らが私の活動を監視したり、私のデータを盗んだりするために何かを追加したかどうかを確認する必要がありますか?そして、彼らがそれをしたなら、彼らを防ぐために私は何をすべきか。

ラップトップを物理的に再確認しましたが、ネジや塑性変形の兆候はありません。ハードウェアが侵害された可能性はまだありますか?

malwarewindowsprivacybackdoor
186
Posse

デバイスがしばらくの間視界から離れた場合は、交換してください。信頼できなくなります。

信頼できることを保証するコストは、新しいものを取得するコストを大幅に上回ります

重要な専門知識と重要なリソースを採用しない限り、ハードウェアが改ざんされていないことを確認する方法は事実上ありません。唯一の解決策は、ラップトップとすべての関連コンポーネントを置き換えることです。あなたの国やあなたが置かれている状況の他の側面を知らなければ、私がこれの可能性についてコメントする方法はありません。技術的な実現可能性についてのみです。

ラップトップの整合性を確認する必要がある場合は、いくつかのチェック事項があります(網羅的ではありません)。

  • 重量分布-各コンポーネント(IC、PCBなど)の正確な重量を確認します。重量分布は、ジャイロスコープ効果を使用して分析できます。これには、比較のために妥協のない機器を近くに置く必要があります。非常に正確な測定機器が必要です。

  • 消費電力-時間の経過に伴う各コンポーネントの消費電力を確認します。バックドアは電力を使用することが多く、その存在は電力分析攻撃で検出されることがあります。ただし、これに依存しないでください。現在、集積回路は非常にわずかな電力しか使用できません。

  • PCB X線検査-X線を使用して回路基板の内部を表示します。これには、ラップトップのマザーボードなどの多層プリント回路基板用の高価な機器が必要です。また、デバイスの1平方マイクロメートルごとに何時間もの集中的な検査が必要です。

過度に聞こえますか?そうですが、これは、悪意のあるハードウェアの変更が行われていないという十分なレベルの信頼を得るために必要なことです。新しいラップトップを購入するだけで安くなります。これはnotは実際的なアドバイスを意図したものであり、そうであったとしても完全に近いわけではないことに注意してください。これは、高度なハードウェアインプラントを検索することがほぼ不可能であることを説明するためのものです。

軌道から外したが、2日間はスリープ状態であり、シャットダウン状態ではないことに気付いたので、wifi経由でモデムに接続した。心配する必要はありますか?

理論的には、ハードウェアまたはファームウェアが侵害されると、ワイヤレスアクセスポイントや他のデバイスが傍受する可能性があります。一時停止状態(スリープモード)でも通常はNICが無効になりますが、ハードウェアが侵害されている場合、その仮定を行うことはできません。ただし、これは理論的には可能ですが、farより的を絞った攻撃が必要になるため、ほとんどの軍事グループは、見つけられる近くのワイヤレスデバイスで射撃することで、ゼロデイを手放したくないでしょう。

残念ながら、モデムが侵害された可能性もあります。 ISPを制御または危険にさらす可能性があると仮定すると、インターネット接続を介してそれを実行できた可能性があるため、その可能性は低いと思います。ハードウェアが改ざんされている場合は、監視目的でのみ行われており、ワームを拡散することはない可能性が高くなります。

ラップトップを物理的に再確認しましたが、ネジや塑性変形の兆候はありません。ハードウェアが侵害された可能性はまだありますか?

もちろんです。その事実を明らかにせずにラップトップを開く方法はたくさんあります。洗練されたシャーシ侵入検知メカニズムは存在しますが、将来使用できる可能性があるいくつかの「ゲットー」技術があります。 1つのテクニックは、システムのジョイントの内側と外側にキラキラとマニキュアをまぶすことです。これの高解像度の写真を撮ります(写真をコンピューターに保存しないでください!)。デバイスを開くと、グリッターの正確なレイアウトが崩れ、元に戻すのが非常に難しくなります。保存した写真と比較して、微妙な違いを探すことができます。

この用語はtamper-evidenceです。これは、その事実に気付かれずにデバイスを改ざんすることを困難にする任意の手法です。より専門的なオプションには、オーダーメイドの不正開封防止セキュリティテープやホログラフィックステッカーが含まれます。残念ながら、これは将来的にのみあなたを助けることができ、明らかに遡及的にシステムを保護することができなくなります。

256
forest

欠けている主な情報は脅威モデルです。

軍があなたを明確に狙っており、あなたにいくらかの資源を費やすことをいとわないでしょうか?詳細を知る必要はありませんが、何が起こったかがお住まいの国の標準的な手順であるか、それとも特定されているかによって、答えは変わります。

そして、私たちはあなたが保護している秘密を知りません。個人データと通信がある場合、それは政治反対運動やその他の活動で積極的な要素になることとは異なるゲームであり、データを入手した場合に殺害される可能性があります。人権活動家であることであなたを死のリストに載せることができる国が世界にあります。

これが標準的な手順であり、データが生死にかかわらない場合は、通常の予防策を講じ、OSの再インストールを完了し、ファームウェアをフラッシュし、さらに進んだら、イーサネットポートなどのコンポーネントを交換します。他は取り替え可能です。次に、より深く埋め込まれたものを見逃した可能性があるという前提の下で操作しますが、あなたの可能性は平均よりもはっきりしています。

同じことがアクティブなネットワーク接続にも当てはまります。攻撃者が標準的な攻撃パターンを行った可能性があります。ネットワークが保護されていて、内部に侵入の兆候が見られない場合(ファイアウォールログ、IDSがある場合など)、couldで問題ありません。

特別な注意を受けた可能性が高い場合は、どこか無害な方法(ネットサーフィンなど)でマシンを使用し、トイレに行くときは屋外に置いておくことを強くお勧めします。または言い換えれば、盗まれるようにします。そうすれば、誰もあなたを責めることはできません。敵があなたが意図的にデバイスを「紛失」したかどうかを確実に伝えることはできず、いずれにせよそれを証明することはできません。近くに座って電源を切ったとしても、あなたを監視するマイクが内部に隠れている可能性があります。したがって、それを取り除くことが安全な唯一の選択肢です。

詳細については、私は森の答えよりも奥深くに物が隠される可能性があることを示すために、森よりも良いことはできません。彼らは、一見同一のコンポーネントとバックドアを備えたコンポーネントを交換することさえできたでしょう。製造元が見つけるのが難しいハードウェアに対してできることはいくつかあります。

残念ながら、同じことがネットワークにも当てはまります。ゼロデイは常に1つ以上あり、ネットワークデバイスのバックドアもまったく前例がありません。注目度の高いターゲットの場合は、ネットワークが侵害されていると想定する必要があります。

ただし、このすべての高度なものは無料または安価ではありません。そのため、脅威モデルが重要です。軍隊がランダム検索でその最高のものを使用する可能性は低いです。

68
Tom

方法論はさておき、ラップトップと、ラップトップのオーディオとビジュアルの到達範囲内にあるものすべてが危険にさらされているため、コンピュータ自体のアクティビティと同様に監視の対象となると仮定します。

コンピュータ/監視デバイスの検索、改ざん、または削除は、犯罪行為として検出および見られる可能性があります。また、ラップトップの完全な破壊や、使用されていないことがはっきりと疑われる場合もあります。

あなたが本当にできることは、ラップトップを使い続けることですが、アクティビティが監視されているという知識があります(したがって、「法的」なものだけを実行してください)。視覚/オーディオ監視デバイスは、電源が入っているラップトップを含む必要はありません。

使用しないときはラップトップを保管するために、安全でパッドが入った(防音の)素敵なラップトップバッグに投資してください。

53
user124164

ハードウェアの変更を検出することについて他の人が述べたことに加えて(主にそれはほとんど不可能であること)、特にデバイスがかなり限られた期間しかなかった場合、最も可能性の高い侵害のベクトルはソフトウェアのインストールであることを認識する必要があります時間。

デバイスがソフトウェアの悪用からクリーンであることを合理的なレベルで確実にするには、ハードドライブを破棄し、新規ドライブと新規インストールから開始する必要があります。より実用的な(そして簡単な)低レベルのルートキットの多くは、ハードドライブのファームウェアを変更して、通常の形式でマルウェアが削除されないようにします。これは、システムをかなり迅速かつ「検出不能」に変更する最も簡単な方法の1つでもあります。ラップトップに交換可能なネットワークカードが搭載されている場合、これもハードウェアインプラントを展開するためのかなり便利な場所なので、交換を検討する必要があります。

いずれのマルウェアも、おそらく最終的には家に電話をかける必要があります。コンピュータと実行する一般的なアプリケーションを起動します。すべてのトラフィックを記録する外部ルーター(ラップトップで実行されているソフトウェアを信頼できないため、これは重要です)に接続します。ノートパソコンを24時間以上使用しないままにしておきます。次に、ARINまたは他のレジストリを介してすべてのIPを入念に検証し、疑わしいものがないかどうかを確認します。マシンが危険にさらされていない場合でも、ほとんどの場合、検証できないものがいくつかありますが、これはある程度の信頼レベルの危険を与える可能性があります。国民国家は、正当な場所から正当なストリームにトラフィックを注入する機能を持っていることが多く、正当なサービスを侵害したり、既存の正当なサービス(ユーザーが任意のデータのドキュメントを作成できるdocs.google.comなど)を使用したりする可能性があることに注意してください。 。さらに、ネットワークプロトコル上のネットワークトラフィックは疑わしいものであり、トラフィックを検証する際に値引きするべきではありません。

最後に、あなたのリスクプロファイルを考えてください。あなたの国は、デバイスをハッキングして監視することで知られていますか?あなたは不運の犠牲者ですか、それとも彼らがあなたを疑うべきか、疑った正当な理由がありますか?ある程度のパラノイアは健康ですが、あなたの評価では実用的です。カスタムのハードウェアインプラントは安価ではありません。また、発見のコストは恥ずかしくて高価な場合があります。疑わしい可能性がなく、重要性が非常に高い場合は、ソフトウェア/ファームウェアベースの移植が行われます。他の人が指摘したように、マシン上にある/提供した/またはアクティブなブラウザーCookieの資格情報、およびシステム上のファイルはすべて侵害されたと見なされます。

28
shellster

あなたが私たちに言ったことを考えると、ラップトップが回復不能に侵害されているだけでなく、ホームネットワーク全体、それに接続されているすべて、ラップトップまたは別の場所からアクセスされた場所にあるすべてのアカウントも同様に想定されている必要があります。デバイスがホームネットワークに接続されています。

  1. ラップトップを物理的に破壊します。単純な細断や粉砕ではなく、ラップトップを溶かして燃やしてください。

  2. ホームネットワークのすべてのコンポーネントに対して同じことを行います。

  3. ラップトップが「返却」された後の時間に、上記のネットワークに接続されていたすべてのデバイスに対して同じことを行います。

  4. ノートパソコンまたは手順3のデバイスからアクセスしたすべてのWebサイトにあるすべてのアカウントを閉じて削除します。

  5. ラップトップまたはステップ3のデバイスを介してこれまでに支払いを行ったすべてのクレジット/デビット/ギフトカードをキャンセルし、物理的に破棄します。また、これらのカードのいずれかを使用して行われた支払いを、その後にキャンセルします。ラップトップは「返却」されました。

  6. 銀行口座をすべて閉じ、内容全体を現金で引き出します。これらのアカウントのいずれかに関連付けられている、所持している書類を破棄します。

  7. 政府の武力によるこの種の虐待からの保護を強化した国に逃げることの重要性を十分に強調することはできません。

14
Sean

あなたが言うように、彼らがすべてのパスワードを持ち、ラップトップを所持していた場合、ラップトップ、そのオペレーティングシステム、およびソフトウェアがインストールされている可能性があります。示唆されたように、軌道から核。

また、埋め込まれた可能性のあるソフトウェアが、接続されたネットワーク上の他のコンピューターを危険にさらす可能性がある(そしてしようとする)ことも懸念します。このマシンをイーサネットに接続しないでください。また、WiFiが搭載されている場合はWiFiネットワークの近くで電源をオンにしないでください(Bluetoothデバイスの周辺では、私はこれについてほとんど知りません)。

ファームウェアが危険にさらされているため、安全な条件下でもワイプできない場合があります。

たとえば30分間(またはそれ以下)ラップトップを持っていた場合、ドライブはイメージ化/コピーされていた可能性があります。その秘密はもはやあなただけのものではありません。

また、すべてのパスワードを変更する前に、いくつかの作業が必要です。安全性を高めるためにアカウントを核にしたい場合があります。すべてのコンテンツを削除し(可能な場合)、アカウントを閉鎖します。頑張ってください。ただし、情報はすでに収集されている可能性があります。

ハードウェアの変更に関する回答があり、これは可能性ですが、ソフトウェアの改ざんはあなたの心に強くあるはずです。

11
newyork10023

彼らが私の活動を監視したり、私のデータを盗んだりするために何かを追加したかどうかを確認する必要があります

それらがすべてのデータをすでに持っていると考えてください。すべてのパスワードを破棄したパスワードなので、ラップトップにないデータ(メール、クラウドなど)でもです今彼らの手に。拡張コメント:逮捕されていない場合は、パスワードを与えた後、いつでもできるだけ多くのパスワードを変更できますが、攻撃者は仮定したいと考えていますあなたがパスワードを紙に書き留めた秒までに、すべてのオンライン活動の完全なコピーを入手した多くのリソースと効率。悲観的なアプローチ。

@forestで指摘されているように、試してみることを証明するために何かを行うことができますが、コストがかかるため、新しいノートパソコンを入手するためにできるだけ早くBestBuyを使用することをお勧めします。あなたの目標が内部告発であることを除いて、あなたの政府はあなたとその方法をスパイしています。

彼らがそれをしたなら、私は彼らを防ぐために何をすべきか。

私はあなたが「将来的にそれらを防ぐために何をすべきか?」と尋ねたと思います。そうでない場合は編集してください。他の人が行っているように、新しいラップトップを入手して適切なセキュリティ対策を実装することは良いことです。

完全なディスク暗号化、もっともらしい拒否可能な隠しボリューム、複雑なパスワードは基本的なツールです。個人を標的とする軍団は非常に多くのリソース(0日間を含む)を持っている可能性があるため、永久にハッキングされるのを防ぐことはできませんが、自分自身を保護して苦痛な時間にすることはできます。

覚えておいてください、あなたは彼らにパスワードを与えたと言いました。これがTrueCrypt/VeraCryptが便利になる場所です。 this QA をご覧になることをお勧めします。カバーOSを頻繁に使用することを忘れないでください。将来的にはパスワードについて再度質問され、「外部」OSの復号化キーを提供します。彼らは愚かではありません、彼らはあなたが隠しOSを実行していることをあなたに強要しようと最善を尽くします。たとえば、標準のWindows BitLockerや標準のLinux LVMの代わりにVeraCryptを使用しているというだけのことです。これは、尋問/恐喝の根拠になる可能性があります。

USBアダプターを使用して、古いハードドライブからドキュメントを注意深く安全にコピーすることもできます。実行ファイルではなくドキュメント。そして、パラノイアから、一部のPDFドキュメントが、人気のある読者のいずれかで0dayを悪用するために変更されたかどうかを知ることができますか?

気になることがあるので、できるだけ早くその国から脱出したいと思うかもしれません。

5
usr-local-ΕΨΗΕΛΩΝ

バックドアは依然として攻撃者と通信する必要があるため、ルーターを介してネットワークのチャタリングを監視するだけで十分です。ハードドライブを拭いてOSを再インストールするだけでは不十分かもしれません。彼らは1週間それを持ち、分解してネットワークタップデバイスをインストールして、元に戻すことができました。

それだけではありません。ネットワークアクティビティがない可能性があり、プログラム/デバイスは誰かが後でドアをノックすることによって物理的に取得するために静かにデータを収集している可能性があります。

新しいノートパソコンが必要ですが、古いノートパソコンはそのままにしておきます。おそらく、DMZに置いて、ホームネットワーク上の他のデバイスと通信できないため、言うまでもありません。 、二度と敏感なものには使用できません。

0
RandomUs1r