web-dev-qa-db-fra.com

Recherche de portes dérobées installées par des militaires sur un ordinateur portable

Mon ordinateur portable a été confisqué par l'institut militaire de mon pays et ils m'ont fait donner tous mes mots de passe (je ne peux pas vous dire le nom de mon pays). Ils ne me l'ont pas rendu pendant une semaine (oui, c'était hors de ma vue pendant un certain temps). Je l'ai annulé depuis l'orbite, mais je viens de réaliser qu'il était en veille pendant 2 jours et non en arrêt, il était donc connecté à mon modem via wifi. Faut-il s'inquiéter?

et

Je dois m'assurer qu'ils ont ajouté quelque chose pour surveiller mes activités ou voler mes données ou non? Et s'ils l'ont fait, que dois-je faire pour les empêcher?.

J'ai revérifié physiquement l'ordinateur portable et il n'y a aucun signe de vis ou de déformation plastique. Est-il encore possible qu'ils aient compromis son matériel?

malwarewindowsprivacybackdoor
186
Posse

Si l'appareil a quitté votre vue pendant un certain temps, remplacez-le. Il ne peut plus faire confiance.

Le coût pour s'assurer qu'il peut encore faire confiance dépasse considérablement le coût d'en obtenir un nouveau

Il n'y a effectivement aucun moyen de vérifier que le matériel n'a pas été falsifié sans une expertise significative et en utilisant des ressources non triviales. La seule solution est de remplacer l'ordinateur portable et tous les composants associés. Sans connaître votre pays ou d'autres aspects de la situation dans laquelle vous vous trouvez, il n'y a aucun moyen pour moi de commenter la probabilité de cela, seulement la faisabilité technique.

Si vous devez vérifier l'intégrité de l'ordinateur portable, il y a quelques points à vérifier (non exhaustifs):

  • Répartition du poids - Vérifiez le poids précis de chaque composant (IC, PCB, etc.). Les distributions de poids peuvent être analysées à l'aide d'effets gyroscopiques. Cela nécessite d'avoir un équipement sans compromis à proximité pour la comparaison. Un équipement de mesure extrêmement précis est nécessaire.

  • Consommation d'énergie - Vérifiez la consommation d'énergie de chaque composant au fil du temps. Les portes dérobées utilisent souvent de l'énergie, et leur présence peut parfois être détectée avec une attaque d'analyse de puissance. Ne vous y fiez pas cependant, car les circuits intégrés peuvent utiliser extrêmement très peu d'énergie de nos jours.

  • inspection des rayons X par PCB - Utilisez des rayons X pour visualiser les composants internes de la carte de circuit imprimé. Cela nécessite un équipement coûteux pour une carte de circuit imprimé multicouche telle qu'une carte mère d'ordinateur portable. Cela nécessite également de nombreuses heures-homme d'inspection intensive de chaque micromètre carré de l'appareil.

Cela semble excessif? C'est le cas, mais c'est ce que vous devez faire pour avoir un bon niveau de confiance qu'aucune modification matérielle malveillante n'a été apportée. Il sera moins cher d'acheter un nouvel ordinateur portable. Notez que ce n'est pas destiné à être un conseil pratique, et il n'est même pas près d'être terminé même s'il l'était. Il est destiné à illustrer cette quasi-impossibilité de rechercher des implants matériels sophistiqués.

Je l'ai annulé depuis l'orbite mais je viens de réaliser qu'il était en veille pendant 2 jours et non en arrêt, il était donc connecté à mon modem via wifi. Faut-il s'inquiéter?

En théorie, un matériel ou un micrologiciel compromis serait fait pour compromettre votre point d'accès sans fil ou d'autres appareils à l'écoute. Bien qu'un état suspendu (mode veille) désactive également normalement la carte réseau, vous ne pouvez pas faire cette supposition si le matériel est compromis. Cependant, bien que cela soit théoriquement possible, cela nécessiterait une attaque bien plus ciblée , et la plupart des groupes militaires ne voudront pas donner les 0 jours dont ils disposent par les tirer sur tout appareil sans fil à proximité qu'ils peuvent trouver.

Malheureusement, il est également théoriquement possible que votre modem soit compromis. Je ne pense pas que ce soit très probable du tout, car ils auraient pu le faire via votre connexion Internet, en supposant qu'ils peuvent contrôler ou compromettre votre FAI. S'ils ont trafiqué votre matériel, il est beaucoup plus probable qu'ils ne l'ont fait qu'à des fins de surveillance, et non pour propager un ver.

J'ai vérifié physiquement l'ordinateur portable et il n'y a aucun signe de déformation de vis ou de plastique. Est-il encore possible qu'ils aient compromis son matériel?

Absolument. Il existe de nombreuses façons d'ouvrir un ordinateur portable sans que cela ne soit évident. Bien qu'il existe des mécanismes sophistiqués de détection des intrusions dans le châssis, il existe certaines techniques de "ghetto" que vous pourrez peut-être utiliser à l'avenir. Une technique consiste à saupoudrer de vernis à ongles avec des paillettes sur les articulations du système, à l'intérieur et à l'extérieur. Prenez une photo haute résolution de cela (et ne la stockez pas sur l'ordinateur!). Si l'appareil est ouvert, la disposition précise des paillettes sera perturbée et il deviendra exceptionnellement difficile de le remettre en place. Vous pouvez le comparer avec la photo stockée et rechercher des différences subtiles.

Le terme pour cela est preuve de falsification , qui est toute technique qui rend difficile la falsification d'un appareil sans que ce fait soit perceptible. Des options plus professionnelles incluraient une bande de sécurité inviolable sur mesure ou des autocollants holographiques. Malheureusement, cela ne peut que vous aider à l'avenir et sera évidemment incapable de protéger votre système rétroactivement.

256
forest

La principale information qui nous manque est votre modèle de menace.

Est-il probable que les militaires vous ciblent spécifiquement et seraient prêts à vous dépenser des ressources? Nous n'avons pas besoin de connaître les détails, mais la réponse change selon que ce qui s'est passé est une procédure plus ou moins standard pour votre pays ou si vous êtes choisi.

Et nous ne savons pas quels secrets vous protégez. Si vous avez des données personnelles et des communications, c'est un jeu différent que d'être un élément actif d'un mouvement d'opposition politique ou d'une autre activité qui pourrait vous faire assassiner s'ils obtiennent les données. Il y a des pays dans le monde où être un activiste des droits de l'homme peut vous mettre sur une liste de décès.

S'il s'agit d'une procédure standard et que vos données ne sont ni mortelles ni mortelles, vous pouvez prendre les précautions habituelles, réinstaller complètement le système d'exploitation, faire clignoter le micrologiciel, si vous voulez aller plus loin, remplacer des composants tels que le port Ethernet et autres sinon est remplaçable. Ensuite, opérez en supposant que vous avez peut-être manqué quelque chose de plus profondément intégré, mais vos chances sont meilleures que la moyenne que vous soyez clair.

Il en va de même pour la connexion réseau active. Il est probable que votre adversaire ait exécuté des schémas d'attaque standard. Si votre réseau est sécurisé et que vous ne voyez aucun signe d'intrusion à l'intérieur (journaux de pare-feu, IDS si vous en avez, etc.) vous pourriez être bien.

S'il est plus probable que vous ayez reçu une attention particulière, je vous suggère fortement d'utiliser la machine de manière innocente (surfer sur le Web, etc.) quelque part, puis de la laisser à l'air libre lorsque vous allez aux toilettes. Ou en d'autres termes: faites-le voler. De cette façon, personne ne peut vous blâmer, l'adversaire ne peut pas dire avec certitude si vous avez "intentionnellement" perdu l'appareil et ne peut en aucun cas le prouver, et c'est le seul moyen d'en être sûr. Même si vous l'aviez assis à proximité hors tension, il pourrait y avoir un microphone caché à l'intérieur qui vous surveille. Donc, s'en débarrasser est la seule option sûre.

Pour les détails, je ne peux pas faire mieux que forest dans sa réponse pour montrer à quel point les choses pourraient être cachées à l'intérieur. Ils auraient même pu remplacer des composants avec des composants apparemment identiques, ainsi que des portes dérobées. Il y a des choses que vous pouvez faire pour le matériel que le fabricant aurait du mal à trouver.

Il en va malheureusement de même pour votre réseau. Il y a toujours un jour 0 de plus, et les portes dérobées des périphériques réseau ne sont pas exactement inconnues non plus. Si vous êtes une cible de haut niveau, vous devez supposer que le réseau a été compromis.

Cependant, toutes ces choses avancées ne sont ni gratuites ni bon marché. C'est pourquoi le modèle de menace est important. Il est peu probable que l'armée utilise ses meilleurs éléments lors d'une recherche aléatoire.

68
Tom

Mis à part la méthodologie, supposons simplement que l'ordinateur portable et tout ce qui se trouve à portée audio et visuelle de l'ordinateur portable est compromis et donc soumis à une surveillance ainsi qu'à l'activité sur l'ordinateur lui-même.

La recherche, la falsification ou la suppression de l'ordinateur/des dispositifs de surveillance pourrait bien être détectée et considérée comme un acte criminel. En outre, la destruction complète de l'ordinateur portable ou manifestement non utilisé peut également être considérée avec une suspicion extrême.

Tout ce que vous pouvez vraiment faire est de continuer à utiliser l'ordinateur portable, mais en sachant que l'activité est surveillée (ne faites donc que des choses "légales"). Les dispositifs de surveillance visuelle/audio ne nécessitent pas la mise sous tension de l'ordinateur portable.

Investissez dans un sac pour ordinateur portable agréable, sécurisé, rembourré (et insonorisé) pour ranger l'ordinateur portable lorsqu'il n'est pas utilisé.

53
user124164

En plus de ce que d'autres ont mentionné à propos de la détection des modifications matérielles (principalement qu'il est presque impossible), vous devez reconnaître que le vecteur de compromis le plus probable serait l'installation de logiciels, surtout s'ils n'avaient votre appareil que pour une période assez limitée de temps.

Pour avoir un niveau de certitude raisonnable que votre appareil est à l'abri des exploits logiciels, vous devez jeter le disque dur et commencer par un nouveau et une nouvelle installation. La plupart des rootkits de bas niveau les plus pratiques (et les plus faciles) modifient le firmware des disques durs pour empêcher un format normal de supprimer le malware. C'est aussi l'un des moyens les plus simples de modifier un système assez rapidement et "indétectablement". Si votre ordinateur portable dispose d'une carte réseau remplaçable, ce serait également quelque chose à envisager car c'est également un autre endroit assez utile pour déployer un implant matériel.

Tout malware devra probablement éventuellement téléphoner à la maison. Démarrez votre ordinateur et toutes les applications courantes que vous exécutez. Connectez-le à un routeur externe (ce qui est important car vous ne pouvez pas faire confiance aux logiciels exécutés sur l'ordinateur portable) qui enregistre tout le trafic. Laissez l'ordinateur portable inutilisé pendant au moins 24 heures. Maintenant, validez minutieusement toutes les adresses IP via ARIN ou d'autres registres, pour voir si certaines semblent suspectes. Vous en aurez presque certainement plusieurs que vous ne pourrez pas valider, même si la machine n'est pas compromise, mais cela peut vous donner un certain niveau de confiance. Sachez que les États-nations ont souvent la capacité d'injecter du trafic dans des flux légitimes à partir d'emplacements légitimes, et peuvent également compromettre les services légitimes ou utiliser les services légitimes existants (tels que docs.google.com où tout utilisateur peut créer des documents de données arbitraires) . De plus, le trafic réseau sur tout protocole réseau est suspect et ne doit pas être actualisé lors de la tentative de validation du trafic.

Enfin, pensez à votre profil de risque. Votre nation est-elle connue pour pirater des appareils et les surveiller? Êtes-vous victime de malchance ou y a-t-il des raisons légitimes pour lesquelles ils devraient ou vous ont soupçonné? Un certain niveau de paranoïa est sain, mais soyez pratique avec votre évaluation. Les implants matériels personnalisés ne sont pas bon marché et le coût de la découverte peut être à la fois embarrassant et coûteux. Si vous n'êtes pas un suspect probable et d'une certaine importance, l'implant le plus probable sera basé sur un logiciel/micrologiciel, si quelque chose a été implanté. Comme d'autres l'ont souligné, toutes les informations d'identification que vous aviez sur votre machine/que vous avez fournies/ou tout cookie de navigateur actif, et tous les fichiers sur le système doivent maintenant être considérés comme compromis.

28
shellster

Compte tenu de ce que vous nous avez dit, vous devez supposer que non seulement l'ordinateur portable est irrémédiablement compromis, mais que votre réseau domestique tout entier, tout ce qui y est connecté et tous les comptes que vous avez n'importe où ont été accessibles à partir de l'ordinateur portable ou d'un autre. appareil connecté à votre réseau domestique.

  1. Détruisez physiquement l'ordinateur portable, de préférence en le faisant fondre/en le brûlant plutôt qu'en le déchiquetant ou en le pulvérisant.

  2. Faites de même pour chaque composant de votre réseau domestique.

  3. Faites de même pour chaque appareil qui a été connecté audit réseau pendant la période qui a suivi le "retour" de l'ordinateur portable.

  4. Fermez et supprimez chaque compte que vous avez sur chaque site Web auquel vous avez déjà accédé depuis l'ordinateur portable ou l'un des appareils de l'étape 3.

  5. Annulez et détruisez physiquement toutes les cartes de crédit/débit/cadeaux que vous avez déjà effectuées via l'ordinateur portable ou via l'un des appareils de l'étape 3. Annulez également tous les paiements effectués à l'aide de l'une de ces cartes pendant la période suivant la ordinateur portable a été "rendu".

  6. Fermez tous vos comptes bancaires en retirant tout leur contenu en espèces. Détruisez tous les documents en votre possession associés à l'un de ces comptes.

  7. Je ne saurais trop insister sur l'importance de fuir vers un pays mieux protégé contre ce type d'abus par les armes du gouvernement.

14
Sean

S'ils ont tous vos mots de passe, comme vous le dites, et qu'ils étaient en possession de l'ordinateur portable, l'ordinateur portable, son système d'exploitation et les logiciels installés sont tous suspects. Comme suggéré, nuke de l'orbite.

Je serais également préoccupé par le fait que tout logiciel qui aurait pu être implanté pourrait (et tenterait) de compromettre d'autres ordinateurs sur des réseaux connectés. Ne connectez pas cette machine à un réseau Ethernet et ne l'allumez pas à proximité de réseaux WiFi si elle dispose du WiFi (ni autour des appareils Bluetooth bien que je sache peu à ce sujet).

Il peut ne pas être possible de l'essuyer même dans des conditions de sécurité en raison d'un micrologiciel compromis.

S'ils avaient l'ordinateur portable pendant, disons, 30 minutes (ou moins), le lecteur aurait pu (et aurait) été imagé/copié. Ses secrets ne sont plus seuls à vous.

Vous avez également du travail devant vous pour changer tous vos mots de passe: vous voudrez peut-être neutraliser les comptes pour plus de sécurité. Supprimez tout le contenu (si possible) et fermez le compte. Bonne chance avec ça. Il se peut cependant que des informations aient déjà été collectées.

Il y a eu des réponses concernant la modification du matériel, et bien que cela soit possible, il est clair que la falsification de logiciels devrait être une priorité.

11
newyork10023

Je dois m'assurer qu'ils ont ajouté quelque chose pour surveiller mes activités ou voler mes données ou non

Considérez qu'ils ont déjà toutes vos données . Vous avez abandonné tous vos mots de passe, donc même les données qui ne sont pas sur votre ordinateur portable (par exemple, courrier, cloud) sont maintenant entre leurs mains. Commentaire étendu: si vous n'étiez pas en état d'arrestation, vous pouvez toujours changer autant de mots de passe que vous pouvez après les avoir donnés, mais nous voulons supposer que notre attaquant l'a beaucoup de ressources et d'efficacité qu'ils ont saisi une copie complète de toutes vos activités en ligne à la seconde où vous avez écrit votre mot de passe sur un morceau de papier. Approche pessimiste.

Comme l'a souligné @forest, vous pouvez faire quelque chose pour - essayer pour prouver qu'ils l'ont fait, mais c'est tellement cher que vous feriez mieux d'aller BestBuy le plus rapidement possible pour obtenir un nouvel ordinateur portable. À moins que votre objectif ne soit de dénoncer votre gouvernement et de vous espionner.

Et s'ils l'ont fait, que dois-je faire pour les empêcher?.

Je suppose que vous avez demandé "que dois-je faire pour les empêcher à l'avenir ?". Veuillez modifier sinon. Obtenir un nouvel ordinateur portable et mettre en œuvre des mesures de sécurité appropriées est une bonne chose, tout comme nous le faisons pour les autres.

Le chiffrement complet du disque, les volumes cachés vraisemblablement négables et les mots de passe complexes sont les outils de base. Un corp militaire ciblant un individu peut avoir tellement de ressources (dont 0 jours) que vous ne pouvez pas les empêcher de vous pirater pour toujours, mais vous pouvez toujours vous protéger et en faire un moment douloureux pour eux.

Rappelez-vous, vous avez dit que vous leur avez donné les mots de passe. C'est là que TrueCrypt/VeraCrypt sont utiles. Je vous recommande de jeter un œil à ce QA . N'oubliez pas d'utiliser souvent l'OS de couverture. Une fois à l'avenir, vous serez à nouveau interrogé sur vos mots de passe, donnez-leur la clé de déchiffrement pour le système d'exploitation "externe". Ils ne sont pas stupides, ils feront de leur mieux pour vous extorquer que vous utilisez également un système d'exploitation caché. Par exemple, juste que vous utilisez VeraCrypt au lieu du stock Windows BitLocker ou du stock LVM Linux, cela pourrait être un motif de remise en question/d'extorsion.

Vous pouvez également copier soigneusement et en toute sécurité des documents de l'ancien disque dur à l'aide d'un adaptateur USB. Documents, pas exécutables. Et, par paranoïa, qui peut savoir si certains documents PDF ont été modifiés pour exploiter un 0day dans l'un des lecteurs populaires?

Vous voudrez peut-être vous échapper de ce pays dès que possible, pour ce qui me concerne.

5
usr-local-ΕΨΗΕΛΩΝ

Une porte dérobée doit encore communiquer avec l'attaquant, donc regarder un chat réseau via votre routeur devrait suffire. Essuyer un disque dur et réinstaller un système d'exploitation peut ne pas être suffisant, ils l'ont eu pendant une semaine, ils auraient pu le démonter, installer un appareil de prise réseau et le remonter.

Ce n'est pas tout ce qu'il y a non plus, il peut n'y avoir aucune activité réseau et le programme/périphérique peut collecter silencieusement des données pour que quelqu'un les récupère physiquement plus tard, probablement en frappant à votre porte.

Un nouvel ordinateur portable est en règle, mais je garderais l'ancien, peut-être même le placer sur un DMZ pour qu'il ne puisse pas parler à d'autres appareils sur votre réseau domestique et cela va sans dire , il ne peut plus être utilisé pour quelque chose de sensible.

0
RandomUs1r