Risque de falsification lorsque l'expédition du matériel est retardée
Je reçois actuellement une commande de pièces d'ordinateur par la poste, y compris un SSD. Le suivi a montré que le colis est arrivé dans ma ville le jour X et devait initialement être livré le jour X également. Le suivi indique maintenant qu'il sera livré le jour (X + 3).
Étant la personne paranoïaque que je suis, y a-t-il une raison de craindre que le SSD soit altéré/un logiciel malveillant installé dessus? Puis-je faire quelque chose avant/quand j'installe le système d'exploitation afin de vérifier la falsification?
Si vous ne voulez pas courir de risques, demandez à l'avenir à un tiers d'acheter des trucs comme celui-ci en espèces, dans un magasin qui n'est pas près de votre maison ou de votre travail.
Vous devriez voir si vous pouvez télécharger le micrologiciel du lecteur à partir du site du fabricant. Mettez à jour le micrologiciel sur le lecteur ou au moins vérifiez sa signature.
N'oubliez pas que c'est près de Noël et que la livraison prendra probablement plus de temps que d'habitude.
Le risque que des logiciels malveillants arrivent sur le matériel informatique nouvellement acheté est très réel. Cependant, je pense que vous avez bien plus de raisons de craindre les pratiques de fabrication d'origine que ce qui se passe pendant l'expédition.
Considérez que l'interception, l'ouverture et la refermeture secrètes d'équipements sont une entreprise à coûts élevés et à risques élevés. C'est également très illégal. En supposant que vous vivez aux États-Unis, la loi fédérale 18 USC Section 1702 rend illégal d'ouvrir sciemment une correspondance adressée à quelqu'un d'autre. Bien qu'il y ait une exception pour l'ouverture du courrier par erreur, je pense que les actes que vous craignez seraient très difficiles à argumenter comme une erreur (mais IANAL).
Cependant, il existe d'innombrables exemples de logiciels malveillants installés en usine. Plus récemment, Dell a livré des ordinateurs avec un certificat racine auto-signé préinstallé, ainsi que sa clé privée non chiffrée. Cela brise toutes les PKI pour tous les clients Dell récents:
Cela n'a été fait que quelques semaines après que Lenovo ait été surpris en train de faire la même chose. Et il existe d'innombrables autres exemples. En voici une autre: http://www.zdnet.com/article/malware-found-on-new-hard-drives/
Le Taipei Times rapporte qu'environ 1 800 nouveaux disques durs externes de 300 Go et 500 Go fabriqués par Maxtor sont livrés avec des logiciels malveillants. Ce qui rend cette histoire encore plus intéressante, c'est que les autorités taiwanaises soupçonnaient que les autorités chinoises étaient impliquées.
Dans ces cas, la falsification ne serait pas évidente. Les disques arriveraient scellés en usine! De plus, ce sont exactement les types de problèmes qui peuvent être (et en fait déjà) argumentés comme des erreurs. Déni plausible et tout ça. Si j'étais un gouvernement heureux de la surveillance, c'est ainsi que j'aborderais le problème (mais je ne suis pas si paranoïaque).
En bref, si vous êtes inquiet (et vous l'êtes clairement), utilisez peut-être une machine Linux (peut-être démarrée à partir d'un DVD live) pour formater profondément votre lecteur avant de l'utiliser. Hé, peut-être que cela ferait un projet Raspberry Pi amusant.
Pas de soucis, c'est probablement juste au " station de charge ":
La méthode, appelée "interdiction", est l'une des opérations les plus réussies menées par le Bureau des opérations d'accès personnalisé (TAO) de la NSA, qui se spécialise dans l'infiltration d'ordinateurs, a écrit la publication, citant un document top secret.
"Si une personne, une agence ou une entreprise cible commande un nouvel ordinateur ou des accessoires connexes, par exemple, TAO peut détourner la livraison de l'expédition vers ses propres ateliers secrets", a écrit Der Spiegel.
Les ateliers, appelés " stations de charge ", installent des logiciels malveillants ou des composants matériels qui donnent au NSA accès à l’ordinateur, il a écrit.
Source: Jeremy Kirk, PCWorld, " Rapport: NSA intercepte les livraisons d'ordinateurs pour planter des logiciels espions ", 2013-12-30
Oh, allez mec; il n'y a pratiquement aucune chance que la NSA/CIA ou le FBI ait interdit à votre SSD d'y installer des logiciels malveillants. Pas réaliste.
Je veux dire, pourquoi faire cela quand le NSA peut simplement utiliser QUANTUMINSERT pour détecter lorsque vous accédez à un serveur Web sur le Internet, usurpez une réponse du serveur pour créer une attaque Man-on-the-Side , et déposez du code malveillant (peut-être un jour zéro pour votre navigateur?) Dans le trafic http dirigé vers votre PC?;)
Qu'est-ce que c'est? Vous utilisez un VPN chaque fois que vous accédez à Internet? Ou vous ne visitez que les sites Web https? Vous utilisez toujours TOR? Oh, ça devrait aller, alors. ( pas .)
Points à retenir assez sérieux: si vous utilisez l'ordinateur sur lequel le SSD va accéder à Internet, il existe de nombreuses façons plus faciles et plus efficaces pour un attaquant très avancé d'entrer dans vos systèmes en interceptant et en trompant physiquement avec un SSD. Ce n'est pas que l'interdiction physique soit impossible dans tous les cas, comme vous l'avez noté. Juste que ce n'est (probablement) efficace que pour les agences à trois lettres de faire un dernier recours, pour les cibles qui restent largement ou complètement à l'écart de la connexion à l'Internet public. Si la machine d'un utilisateur individuel se connecte à Internet ... un cyber-attaquant à ressources élevées appelle probablement cette situation "pratique cible".
Il y a de fortes chances que, à moins que vous n'achetiez chez un vendeur sommaire, vous êtes en sécurité. Cependant, si vous êtes toujours paranoïaque (ce que je ne vous reprocherais pas vraiment, surtout aujourd'hui), le mieux que vous puissiez faire est de formater les disques selon les normes de nettoyage DoD. Sans la partie "tout détruire" bien sûr.
Je réutilise les systèmes tout le temps, et la première chose que je fais avant de les brancher sur mon réseau est de vérifier qu'ils sont effacés et s'ils ne le sont pas, je les essuie.