Pytanie:
Oczyść komputer po przejęciu przez Homeland Security
user91785
2015-11-13 00:09:05 UTC
view on stackexchange narkive permalink

Przyleciałem z zagranicy z powrotem do USA i cały mój sprzęt elektroniczny został przejęty przez Homeland Security, w tym mój laptop, zewnętrzne dyski twarde, dyski flash itp.

Po ponad miesiącu mam w końcu odzyskałem swoje rzeczy. Mam 2 pytania:

  1. Czy wiadomo, czy Homeland Security kiedykolwiek umieszczał oprogramowanie szpiegujące, wirusy, urządzenia śledzące itp. Na zajętych komputerach?

  2. Czego powinienem szukać, jakie kroki powinienem podjąć, aby odkazić moje rzeczy, co byś zrobił?

EDYCJA: Ja nie można sformatować, nagrać dysku twardego itp., jak sugerowali niektórzy, ponieważ bardzo ważna praca jest na laptopie, tj. oprogramowanie, nad którym pracuję od ponad roku.

Tak, miałem kopie zapasowe wszystkie moje dane. Niestety, wszystkie kopie zapasowe były ze mną i wszystkie one zajęły (2 zewnętrzne dyski twarde, 3 dyski flash USB). Dlatego zwykłe wykorzystanie kopii zapasowych nie wchodzi w grę.

Ponadto ktoś powiedział, że ludzie nie mogą mi pomóc bez łamania prawa. Nie znam żadnych przepisów, które stwierdzają, że usuwanie oprogramowania szpiegującego / złośliwego oprogramowania / wirusów jest niezgodne z prawem lub usuwanie czegokolwiek, co rząd umieścił na Twoim komputerze.

EDYCJA: Myślę, że mógłbym przeformułować pytanie jako „jak zabrać się do bezpiecznego pobierania kodu źródłowego, który napisałeś (pliki tekstowe) z komputera”, „bezpiecznie”, co oznacza skanowanie plików tekstowych w celu wykrycia czegoś niezwykłego, a następnie przesyłanie lub w jakiś sposób umieszczanie ich na innym komputer? ”

Oczywista odpowiedź brzmi: sformatuj wszystko i zainstaluj ponownie. Chociaż to cię nie ochroni, jeśli zmodyfikowali płytę główną. Bardziej szczegółowe sugestie (jeśli w ogóle) będą prawdopodobnie zależeć od używanego systemu operacyjnego (zakładam, że Windows?), Sprzętu laptopa, czy masz w domu kopie zapasowe wszystkich danych (tj. Kup nowego laptopa i weź kopię zapasową dane?)
Cóż, spaliłbym go i zacząłbym od nowego, kupując go w sklepie, a nie zamawiając online. Z drugiej strony jestem po prostu paranoikiem. Oprogramowanie układowe można modyfikować, zwłaszcza te na dyskach twardych, BIOS, kartach graficznych itp.
Oprócz czynności związanych z bezpieczeństwem, porozmawiałbym z prawnikiem. Jeśli nie stanowi to nierozsądnego przeszukania i zajęcia, nie mogę sobie wyobrazić, co by się stało. Jest to niezgodne z prawem bez prawdopodobnej przyczyny popełnienia przestępstwa.
@reirab Generalnie, twoje stwierdzenie byłoby prawdziwe. Jednak niedawne (po 11 września) przepisy w USA sprawiają, że sytuacja na granicy jest nieco bardziej niejasna. Zasadniczo, jeśli podróżujesz do / z USA (szczególnie do, a szczególnie, jeśli nie jesteś obywatelem), załóż, że twoje rzeczy i urządzenia elektroniczne są * prawnie * podatne na przeszukanie i zajęcie przez organy graniczne. Takie przypadki są stosunkowo rzadkie, zwłaszcza te obejmujące napady o takim czasie trwania, jak ten, ale nie są to rzadkie.
@Iszi Chyba zależy od twojej definicji „legalnego”. Konstytucja Stanów Zjednoczonych nie zmieniła się od 11 września i wyraźnie stwierdza, że ​​jest to nielegalne, niezależnie od tego, co mówi jakiekolwiek inne prawo. To, że prawo nie zostało uznane za niezgodne z konstytucją, nie oznacza, że ​​nie jest niezgodne z konstytucją. Oczywiście prawa osób niebędących obywatelami mogą się znacznie różnić, ale OP wydaje się odnosić do USA jako do domu, więc założyłem, że jest obywatelem.
Zapisz tekst kodu źródłowego w osobnych plikach tekstowych, a następnie wyrzuć system.
Jeśli zainstalowali cokolwiek w / na twoim komputerze i Ty lub ktoś inny jest w stanie to znaleźć, byłaby to doskonała okazja, aby to wyciekło.
Jak zauważył @Jeroen-ITNerdbox, [oprogramowanie układowe może być zagrożone] (https://blog.kaspersky.com/equation-hdd-malware/7623/). Ale z drugiej strony to [problem dla nas wszystkich] (http://www.standard.net/Tech-Matters/2015/08/08/What-you-should-know-about-firmware-viruses) i tak. Czego spodziewasz się, że zastąpisz swój sprzęt tak godnym zaufania, jak chcesz? Dlaczego jesteś szczególnie zaniepokojony? (Poza ogólnym problemem, który podziela większość z nas).
Czy obchodzi Cię, czy inne osoby mają dostęp do tego kodu? Możesz znaleźć osoby, które chciałyby odwrócić inżynierię twoich laptopów, aby zdemaskować kolejny skandal w USA („Stany Zjednoczone umieszczają szkodliwe oprogramowanie na urządzeniach elektronicznych turystów”). Może to mogłoby nauczyć USA czegoś lub dwóch
Odnoszę wrażenie, że nie chcesz szczególnie ujawniać, jakiego rodzaju oprogramowanie tworzyłeś / tworzysz (co z pewnością ma twoje prawo i jestem z pewnością świadomy, że możesz to robić z dowolnej liczby 100% uzasadnionych powodów) . Ale myślę, że każda prawdziwa, pragmatyczna odpowiedź musi uwzględniać motywacje, które DHS może mieć do zmiany kodu źródłowego, wszczepienia złośliwego oprogramowania układowego itp. Co z pewnością zależy od tego, co mogą cię postrzegać jako coś, co byłoby warte poświęcenia czasu / kłopotów. Innymi słowy, jeśli jesteś twórcą zwykłych gier na smartfony, to ...
... prawie na pewno nie ma się czym martwić. Z drugiej strony, jeśli jesteś programistą bezpieczeństwa dla start-upu, który pracuje nad IDS nowej generacji lub czymś, co praktyczne ryzyko (być może) może być nie do pominięcia. A jeśli jesteś twórcą złośliwego oprogramowania do wynajęcia, właśnie wracasz z podróży do północnego Pakistanu ... cóż, masz rację. (Celowo skrajny przykład.)
Dlatego też powinna istnieć kopia zapasowa poza witryną http://www.hanselman.com/blog/TheComputerBackupRuleOfThree.aspx
Gdybym był rządem i planowałbym cię monitorować, zrobiłbym modyfikacje sprzętu, które istniałyby nawet po ponownym sformatowaniu. Może zechcesz wizualnie skontrolować płytki drukowane i tym podobne pod kątem wszelkich fajnych lutów lub chipów, które wyglądają na nie na miejscu.
Możesz sprawdzić, czy Homeland Security zainstalował niewykrywalne oprogramowanie szpiegujące, robiąc dokładnie te rzeczy, które z pewnością przyciągną uwagę Homeland Security, bez naruszania jakichkolwiek przepisów. Możesz pomyśleć o napisaniu planu przeprowadzenia ataku terrorystycznego, zastosowaniu szyfrowania RSA do zaszyfrowania dokumentu, a następnie przesłaniu go na serwer pocztowy, np. jednorazowe konto Gmail. Zachowujesz się wtedy jak terrorysta, który komunikuje się za pośrednictwem wspólnego konta Gmail i szyfrowania RSA.
Teraz, jeśli pracownicy Homeland Security mogą odczytać Twój niezaszyfrowany dokument, będą musieli działać na podstawie zawartych w nim informacji, zakładając, że jest to wystarczająco niepokojące. Departament Bezpieczeństwa Krajowego będzie chciał, abyś nie wiedział o tym, co wiedzą na tym etapie, aby mieć pewność, że będziesz na bieżąco wyrzucać informacje o swoich planach korzystania z laptopa. Jeśli piszesz o jakimś spisku przeciwko celowi, który zwykle ma niewielką ochronę i nagle widzisz tam dużo bezpieczeństwa, to jest to znak, że Homeland Security przeczytał twój dokument. Następnie chcesz pozbyć się komputera.
Jake - Czy mógłbyś podać mi tło, dlaczego tak się stało? Może jakich zachowań powinniśmy unikać na lotnisku?
Czy Twój rok był wart kodu źródłowego w systemie kontroli wersji z mechanizmem sum kontrolnych? Jeśli tak, czy masz jakikolwiek sposób (na przykład archiwa e-mail) na weryfikację sum kontrolnych w dowolnym momencie? Większość dotychczasowych odpowiedzi jest alarmistyczna i uogólniona. Jest ku temu dobry powód, ale biorąc pod uwagę pewne szczegóły, mogą istnieć sposoby na bezpieczne odzyskanie niektórych danych.
Jedenaście odpowiedzi:
Iszi
2015-11-13 01:25:41 UTC
view on stackexchange narkive permalink

Biorąc pod uwagę, że Twój laptop był w posiadaniu podmiotu rządowego o nieznanych zamiarach wobec Ciebie przez dłuższy czas, naprawdę nie ma sposobu, aby przywrócić go do stanu w pełni godnego zaufania.

Zakładając, że Stany Zjednoczone DHS ma być wrogi, to jedyny bezpieczny proces, z którym należy postępować, obejmuje:

  1. Załóżmy, że wszystkie dane na laptopie i innym skonfiskowanym sprzęcie mają zostać przejęte.
    • Zmiana wszystkie hasła do kont, które mogły być przechowywane / buforowane na urządzeniach.
    • Zmień wszystkie hasła do innych kont, które używają tego samego hasła, co konta, które mogły być przechowywane / buforowane na urządzeniach.
    • Unieważnij wszystkie mechanizmy płatności, które mogły być przechowywane / buforowane na urządzeniach.
    • Przekaż odpowiednie ostrzeżenia dotyczące prywatności osobom trzecim, których może to dotyczyć.
  2. Załóżmy, że laptop i cały inny skonfiskowany sprzęt został zmodyfikowany, aby umożliwić przyszłe gromadzenie danych lub kontrolę nad systemem przez US DHS lub powiązane agencje.
    • Zniszcz urządzenia. Nie rób żadnych kopii zapasowych ani nie kopiuj żadnych plików. Po prostu wypal / zniszcz / sproszkuj / zmiażdż je tak, jak są.
    • Kup nowy sprzęt / oprogramowanie z zaufanego źródła, za pośrednictwem zaufanego łańcucha dostaw, i zbuduj ponownie od podstaw.
    • Jeśli istnieją wiarygodne kopie zapasowe (kopie zapasowe, które również nie zostały skonfiskowane i nie byłyby dostępne zdalnie z poświadczeniami, które mogły być przechowywane / buforowane na skonfiskowanych urządzeniach), w razie potrzeby przywróć dane z tych źródeł.

Cokolwiek poza tym pozostawia kilka skrajnie niepożądanych możliwości:

  1. PL DHS może nadal mieć dostęp do Twoich kont online i / lub zasobów finansowych.
  2. Co najmniej jedno z Twoich urządzeń może zawierać trwałe złośliwe oprogramowanie, które umożliwia US DHS lub powiązanym agencjom szpiegowanie Ciebie lub kontrolowanie Twoich systemów . Wracasz do punktu 1.
  3. Pliki przechowywane na jednym z Twoich urządzeń mogą zawierać złośliwe oprogramowanie, które instaluje się po otwarciu. Następnie patrz punkt 2.
  4. Sprzęt lub oprogramowanie układowe na jednym z Twoich urządzeń mogło zostać zmodyfikowane i zawierać złośliwe oprogramowanie, które może zainstalować się samoczynnie po połączeniu z innym urządzeniem. Zobacz ponownie punkt 2.
  5. Wszelkie projekty oprogramowania, nad którymi pracowałeś i / lub narzędzia używane do ich kompilacji, mogły zostać zmodyfikowane i zawierać złośliwe oprogramowanie. Wróćmy ponownie do punktu 2, a także zwiększ wpływ na swoich klientów, jeśli nie zostanie wykryty i nie zostanie rozwiązany przed dystrybucją.

Powinieneś zapoznać się z 10 niezmiennymi prawami bezpieczeństwa. Prawo nr 3 z pewnością ma zastosowanie. Zakładając, że wykorzystali to prawo, prawdopodobnie możesz założyć się, że obowiązuje również zasada nr 1, & nr 2.

Prawo nr 1: Jeśli zły facet może cię przekonać uruchom swój program na swoim komputerze, to już nie jest Twój komputer
Prawo nr 2: Jeśli złoczyńca może zmienić system operacyjny na Twoim komputerze, to już nie jest Twój komputer
Prawo nr 3: Jeśli złoczyńca ma nieograniczony fizyczny dostęp do Twojego komputera, to już nie jest Twój komputer

Zapoznaj się też z 10 niezmiennymi prawami administracji bezpieczeństwa. Tutaj zasada nr 4 jest najbardziej odpowiednia.

Zasada nr 4: instalowanie poprawek zabezpieczeń na komputerze, który nigdy nie był zabezpieczony, nie przynosi wiele dobrego

Dobry, chociaż „wrogi” zastąpiłbym „nie do końca godnym zaufania”.
Jeśli naprawdę chcesz bezpiecznie zachować pliki czytelne dla człowieka, jedynym rozwiązaniem byłoby otwarcie ich na zaatakowanym urządzeniu i * ręczne przepisanie * na zaufany system. Bolesny? Tak. Ale jedynym urządzeniem, które jest w stanie zapewnić wystarczające filtrowanie, aby zapewnić, że zagrożone dane nie dostaną się do nowej maszyny, to mózg, oczy i palce. I oczywiście, jeśli mówisz o kodzie źródłowym, upewnij się, że rozumiesz kod, który transkrybujesz: P
@DoktorJ: Nawet to może nie wystarczyć (jeśli naprawdę jesteś * tym * paranoikiem). Mogli wprowadzić niewielką zmianę w kodzie, którą można nieumyślnie skopiować (na przykład: usunięcie koniecznego „+1” przy sprawdzaniu długości). Lepiej byłoby uzyskać ogólny przegląd i ponownie zaimplementować tę funkcję od zera. Dodatkowy bonus: 1. zmiana, aby ulepszyć projekt, gdy jesteś na nim, i 2. zmusza cię do skupienia się na implementacji, zamiast sprawdzania, czy postacie pasują do siebie 1 na 1.
Czy wystarczająco silne szyfrowanie nie chroniłoby danych przed odczytem i znaczącymi operacjami zapisu?
@DoktorJ Czy OP nie może po prostu przesłać kodu przez kopiowanie i wklejanie do usługi online (na przykład GitHub lub Google Docs), przenieść na bezpieczny / nowy komputer i skopiować go z powrotem? Nie widzę, jak to mogłoby cokolwiek zranić, skoro kod został już przeczytany przez rząd i po wklejeniu go do GitHub i załadowaniu, to sprawdź, czy wgrał właściwy kod (nie zastępowany czymś innym jak kopiujesz -pasted), repozytorium GitHub powinno być „czyste”.
Transfer danych powinien być bezpieczny, jeśli używasz oprogramowania, które sam napisałeś. Na przykład. podłącz zaatakowany komputer do zaufanego przez RS-232 (prosty protokół, w przypadku którego jest bardzo mało prawdopodobne, aby miał zdalne luki w zabezpieczeniach) i niech zaatakowany komputer zrzuci swój dysk twardy do portu szeregowego, a zaufany komputer odczyta te dane do pliku . Następnie masz obraz dysku twardego * (którego uruchomienie może nie być bezpieczne w maszynie wirtualnej) *
„Zniszcz urządzenia” to okropna rada. Urządzenia, które są tak narażone, są niezwykle cenne dla zrozumienia możliwości wroga. Prawdopodobnie możesz nawet ** sprzedać ** je badaczom bezpieczeństwa, jeśli chcesz, chociaż z punktu widzenia ochrony prywatności prawdopodobnie lepiej jest pracować z zaufanymi osobami w celu odzyskania wszelkich potrzebnych danych i umożliwienia im zbadania tego, co zostało zrobione do urządzeń.
@R .. dokładnie to miałem zamiar tutaj napisać, ale pisałeś już wcześniej. Wiele osób zapłaciłoby dużo, aby zdobyć te urządzenia. W rzeczywistości byłbym bardzo zaskoczony, gdyby US był na tyle głupi, by umieszczać złośliwe oprogramowanie na wszystkich urządzeniach, które przechwytuje, haha. Wszystko, co szpieg musi zrobić, to przejąć swoje urządzenia, a następnie poddać je inżynierii wstecznej (czy ktoś powiedział, że Chiny?)
@Numeri, dlatego sugeruję transkrypcję, ponieważ każdy pojedynczy znak kodu przechodzi następnie przez oczy, umysł i palce OP. Gdyby jego systemy rzeczywiście były zagrożone, nie stawiałbym tego ponad złym aktorem, aby zmodyfikować kod w celu osadzenia w nim złośliwych rzeczy. Dzięki ręcznej transkrypcji takie rzeczy wyskoczyłyby tam, gdzie zostałyby całkowicie pominięte podczas kopiowania / wklejania.
Co powiesz na użycie kamery skierowanej na ekran zaatakowanego komputera, który wykonuje w locie OCR. Musisz utworzyć skrypt, który wyświetla zawartość plików jako zwykły tekst, aby była rozpoznawalna, i taki, który robi odwrotnie. Drukowanie byłoby naprawdę irytującą alternatywą.
Herringbone Cat
2015-11-13 01:19:56 UTC
view on stackexchange narkive permalink

To świetne pytanie.

Zasadniczo, gdy urządzenie zostało przejęte przez przeciwnika o poziomie zaawansowania państwa narodowego, zwłaszcza Stanów Zjednoczonych, urządzenie to i wszystkie zawarte w nim dane nie mogą Zaufaj. Jedynym bezpiecznym podejściem jest nie ufanie temu urządzeniu i zniszczenie go.

Wycieki Snowdena ujawniły różne metody, za pomocą których amerykański rząd może włamać się do komputerów. Obejmuje to instalowanie błędów sprzętowych w samej klawiaturze, GPU lub innych komponentach, które sprawiają, że komputer jest w pełni zrootowany i zagrożony, nawet jeśli system operacyjny zostanie ponownie zainstalowany. Zainstalowali także nadajniki radiowe, aby pokonać komputery „z izolacją powietrzną”, które nigdy nie łączą się z Internetem poprzez eksfiltrację danych przez ukryte radio. Przemówienie Jacoba Appelbauma na ten temat jest bardzo pouczające: Gorąco polecam obejrzenie tego filmu, ponieważ szczegółowo opisuje on różne urządzenia używane przez rząd. Dostępne jest również podsumowanie Wikipedii.

Jest możliwe, że agenci Homeland Security nie umieścili żadnego z tych urządzeń i nie mają takich samych możliwości jak NSA. Jednak nie można tego wykluczyć.

Chociaż możesz być w stanie odzyskać niektóre dane z dysku twardego, wyjmując go i umieszczając w obudowie USB / używając kabla SATA do USB, wiąże się to z ryzykiem . Do odczytu dysku użyłbym komputera jednorazowego użytku, ponieważ oprogramowanie układowe lub kontroler dysku mogły mieć zainstalowane złośliwe oprogramowanie, które będzie próbowało zainfekować każdy komputer, do którego jest podłączony.

Aby Aby temu przeciwdziałać, poleciłbym zakup urządzenia do powielania sprzętu kryminalistycznego (znanego jako duper blokujący zapis). Następnie podłącz do niego dysk SATA z komputera i sklonuj go na inny dysk. Następnie skopiuj pliki z tego sklonowanego dysku na inny komputer. Powinno to zapobiec kompromitacji opartej na oprogramowaniu układowym.

Nie można jednak zagwarantować, że jakiś rodzaj robaka itp. nie został umieszczony w samych plikach. Kopiując na wiele urządzeń i nie korzystając z urządzenia, do którego był pierwotnie podłączony dysk twardy, minimalizujesz szanse na długotrwałe kompromisy; ale nadal istnieje szansa, że ​​coś jest nie tak z plikami. Antywirus itp. Nie pomoże w przypadku wyrafinowanych ataków, takich jak ten.

Dlatego komputerowi nie można już ufać. Możesz jednak podjąć kroki, takie jak powielacz sprzętu, aby zminimalizować możliwość wystąpienia problemów.

Również ta historia może być warta uwagi: http://www.wired.com/2010/11/hacker -border-search /.. słynny haker otrzymuje inspekcję swojego komputera na granicy przez DHS, a jego wniosek jest taki, który uważam za bardzo ważny:

„Nie mogę ufać żadnemu tych urządzeń ”- mówi Marlinspike, który woli nie ujawniać swojego nazwiska. „Mogli zmodyfikować sprzęt lub zainstalować nowe oprogramowanie układowe klawiatury.”

Blokada zapisu może nie wystarczyć w przypadku, gdy dysk twardy zawiera oprogramowanie wewnętrzne, które może wykorzystać lukę w sterowniku.
@immibis Jak to? Trudno mi uwierzyć, że pamięć ROM oprogramowania układowego na dysku twardym może mieć wystarczająco dużo miejsca, aby przeprowadzić niestandardowe ataki oparte na oprogramowaniu sprzętowym na różne moduły powielaczy dostępne na rynku; lub że nawet najlepszy przeciwnik ma złośliwe oprogramowanie zdolne do infekowania oprogramowania sprzętowego któregokolwiek z obawiających się urządzeń, które mogą odczytywać / kopiować dyski SATA.
Wyobrażam sobie, że bloker zapisu przekazuje żądania odczytu niezmienione, więc jeśli istnieje jakaś luka w przetwarzaniu żądań odczytu, komputer nadal byłby podatny na blokadę zapisu.
@immibis Myślę, że jest to wysoce nieprawdopodobne, ponieważ musiałbyś znaleźć i być w stanie wykorzystać luki w każdym duperze blokującym zapis na rynku ... które prawdopodobnie zajęłyby więcej miejsca niż mają dostępne w pamięci ROM oprogramowania układowego itp.
lub wykorzystaj komputer hosta za pomocą odczytu.
@immibis Nie jestem pewien, czy jesteśmy na tej samej stronie - duper bloku zapisu * jest * komputerem-hostem i kopiuje go dysk-> dysk. Nie ma innego komputera.
Och, osobne urządzenie, które kopiuje dysk, a nie tylko bloker zapisu.
@immibis Tak, to właśnie sprawia, że ​​jest to „blok zapisu * duper *”
Dragonel
2015-11-13 02:01:32 UTC
view on stackexchange narkive permalink

W zależności od poziomu paranoi i ilości kodu, w skrajnym przypadku możesz przejść do metody LOW-TECH, aby obejść wszystko, co zostało zrobione.
Kup tanią drukarkę. Podłącz go do laptopa. Wydrukuj swój kod źródłowy w ryzach tekstu. Wydrukuj wszelkie grafiki, układy itp. Wydrukuj wszystkie potrzebne ustawienia użytkownika. Zniszcz laptopa i drukarkę.

Oczywiście musisz teraz ponownie wprowadzić cały kod źródłowy, ponownie utworzyć grafikę i tak dalej, ale nie musisz tak naprawdę IP i nie ma połączenia elektronicznego, które ktokolwiek mógłby śledzić.

Możesz robić zdjęcia drukowanych dokumentów i używać programów do wyodrębniania tekstu z obrazów.
I oczywiście musisz założyć, że DHS nie zabrudził twojego kodu źródłowego własnym złośliwym oprogramowaniem - lub że złapiesz go, jeśli to zrobią, w środku odrętwiającego procesu ręcznego importowania (tj. Pisania) ryz i mnóstwo kodu źródłowego z wydruku.
@Iszi Zakładałem, że OP zna swoje źródło na tyle dobrze, by stwierdzić, czy coś zostało zmienione, i że DHS nie podejmie takiego ryzyka. Niemniej jednak wziąłbym to jako okazję do przejrzenia kodu i zastanowienia się nad tym, co robią wiersze, gdy je ponownie wprowadzam, i usuwania wszystkiego, co jest niepotrzebne, lub wymyślania lepszych i wydajniejszych metod.
@Dragonel Och, przez pierwsze kilka godzin możesz. Ale po kilku dniach przejrzenie całego kodu (powiedziałeś * ryzach *), spodziewam się, że w pewnym momencie po prostu go przejdziesz.
@CountIblis Wbudowane złośliwe oprogramowanie mogło zaszyfrować się w układzie pozornie przypadkowych kropek na wydruku, które po odczytaniu przez dowolny komercyjny czytnik optyczny na rynku kodują się w nowe złośliwe oprogramowanie. [Ekstremalnie paranoiczny uśmiech]
Nie, inne odpowiedzi mają to. Różnica między „<” i „<=” w pętli for lub „+1” i „-1” lub w ogóle nic, jest w pełni możliwa do wykorzystania, a wyłapanie ich [wszystkich] jest psychologicznie nieudolne.
OCR odpowiada na nudne zastrzeżenia, ale nie na kwestię zmian. W rzeczywistości OCR prawdopodobnie sam dokona pewnych zmian.
Jeśli zamierzasz tylko wyodrębnić kod źródłowy, uruchamianie z Live CD i kopiowanie plików źródłowych na urządzenie w chmurze wydaje się o wiele bardziej wydajne niż to.
Lepiej rób zrzuty ekranu niż drukowanie na papierze, nie za pomocą klawisza drukowania ekranu, ale za pomocą zewnętrznej kamery, aby zrobić przewijanie ekranu.
@Iszi: Z drugiej strony nie wiem, jakie dokładnie są przepisy dotyczące legalnego działania takich działów jak DHS, ale w Niemczech nawet taki wydział działałby bezprawnie, gdyby po prostu umieścił oprogramowanie szpiegowskie bez żadnego uzasadnionego podejrzenia na twoim urządzeniu. Jeśli tak jest również w przypadku DHS, nawet jeśli twoje prawo z założeniem jednego może po wielu dniach przestać sprawdzać kod wiersz po wierszu, jeśli naprawdę by to zrobili na wypadek, gdyby wszyscy już zakładali, że przechodzisz przez ten krok, zaryzykowaliby wykrywając to i wnioskując w wyniku upublicznienia, stosują bezprawne metody.
Nie używaj kolorowej drukarki: https://en.wikipedia.org/wiki/Printer_steganography
Ohnana
2015-11-13 01:13:50 UTC
view on stackexchange narkive permalink

1) Więc nie ma sposobu, aby wiedzieć, że nie. Wydaje mi się, że to trochę powyżej ich wynagrodzenia (i czy mieliby na to czas?). To zależy od twojego poziomu paranoi. Jeśli twoje myśli płyną jak spokojny strumień po pierwszym wiosennym dniu, skopiuj dane do nowej maszyny i ruszaj dalej. Jeśli zastanawiasz się, czy psy wyjące w twoich myślach są posłańcami księcia ciemności, spal wszystko w ognisku opalanym termitem.

2) Dla mnie osobiście zniszczyłbym sprzęt, zapłakał na jego grobie i ruszył dalej. Z kopiami zapasowymi, których fizycznie nie mam przy sobie. Jednak większość danych, które przechowuję na moich komputerach, albo znajduje się w chmurze, albo można je wymienić.

Jeśli ta praca jest naprawdę bezcenna, należy przeprowadzić audyt. Po pierwsze, wyjmij dysk z laptopa i podłącz go do izolowanego środowiska - nowego komputera bez sieci. Poręczna, elegancka płyta Linux Live CD jest do tego świetna. Zamontuj dysk, o którym mowa, i przejrzyj pliki - czy widzisz coś dziwnego? Czy czegoś brakuje? Jakieś dziwne pliki Windows? Używanie Clam AV jest również dobrym wyborem. Czy są jakieś nowe pliki, których nie rozpoznajesz? Usuń ich.

Zrobiłbym również kopię w małych kawałkach, gdy znajdowałem się na Linux Live CD. O ile nie są wystarczająco wyrafinowane, aby umieścić tam złośliwe oprogramowanie dla systemów Windows i Linux, uniemożliwiłoby to automatyczne odtwarzanie programów monitorujących i znajdowanie nowego domu. Nie mogę tego wystarczająco podkreślić - wiem, co kopiujesz . Sprawdź swój projekt - jakieś nowe dodatki, których nie pamiętasz?

Następnie korzystaj z czystego środowiska Windows i uważaj na podejrzaną aktywność. Zbuduj dobrą politykę bezpieczeństwa i następnym razem zaszyfruj swoje dyski! Aha, i wyrzuć wszystko, gdy odzyskasz dane. Ataki na oprogramowanie układowe są prawdziwe.

[Oto świetny artykuł] (https://www.eff.org/wp/defending-privacy-us-border-guide-travelers-carrying-digital-devices) z poradami dotyczącymi przenoszenia poufnych danych przez granicę. Nie jest dla mnie jasne, czy zaszyfrowanie dysku pomogłoby po przejęciu laptopa; poprosiliby cię o hasło, a jeśli odmówisz, z pewnością nie zwrócą ci laptopa.
Wiem, że pomogło to Moxie Marlinspike, gdy był nękany - odzyskał swoje rzeczy. Jeśli nic innego, to zapewni Ci spokój, że wszystko w zaszyfrowanym kontenerze może być w porządku.
On zrobił? Ciekawy.
@Ohnana Wszystko * w * kontenerze może być w porządku, ale jeśli sam kontener (np. Oprogramowanie układowe dysku twardego) nie jest, to nadal jesteś podłączony.
Jeśli jesteś naprawdę paranoikiem, wybrałbym system operacyjny mniej powszechnie używany niż Linux na twojej Live CD, jeśli to możliwe. Przynajmniej BSD, coś dziwniejszego, jak klon Haiku (BeOS), byłoby lepsze.
@Ohnana po tym, jak zrobili kopię i dodali błędy sprzętowe klawiatury, aby odesłać jego hasło?
Wyjaśniono. Myślałem, że wyskoczenie dysku będzie drugą naturą :)
piers7
2015-11-13 06:18:23 UTC
view on stackexchange narkive permalink

Jak zauważyli inni, w przypadku kodu źródłowego potrzebujesz czegoś więcej niż tylko bezpiecznego skopiowania - musisz być w stanie wykryć manipulacje. W tym celu musisz dokonać gruntownego przeglądu kodu.

Jeśli kod jest bardzo złożony lub nie wiesz o nim wystarczająco dużo, aby to zrobić, masz inną opcję: poprowadź swoją recenzję. Po prostu opublikuj kod jako oprogramowanie open source i zaproś ludzi do znalezienia implantu. Wyobrażam sobie, że niektórym ludziom spodobałoby się to wyzwanie.

... a jeśli to się nie uda, przesyłaj po jednym pliku do Stack Overflow, z powiązanym pytaniem noob jako przynętą. Przysięgam, że tak niektórzy ludzie przeprowadzają kontrolę jakości.
+1 za kreatywność i być może praktyczny krok w kierunku odzyskania niezaufanego kodu źródłowego (tj. Obniżenia prawdopodobieństwa, że ​​jest on zbugowany, ale nie niszczy go).
Jeśli kod źródłowy był przechowywany w git, sama znajomość poprawnego skrótu dla niedawnego zatwierdzenia z jakiegoś źródła, które nie zostało naruszone, dałoby rozsądny poziom pewności, że ** żadna ** z historii nie została zmieniona.
user253751
2015-11-13 11:45:40 UTC
view on stackexchange narkive permalink
  1. Zdobądź inny (zaufany) komputer.
  2. Zdobądź dwa adaptery USB / szeregowe i kabel modemu zerowego (aby je podłączyć). Jest mało prawdopodobne, że zaufany komputer może być zdalnie wykorzystywany przez połączenie szeregowe. Podłącz jeden adapter do każdego komputera.
  3. Na zaufanym komputerze uruchom cat / dev / ttyS0 > hd.img . (Twój adapter szeregowy może nie być / dev / ttyS0; możesz chcieć to jakoś sprawdzić)
  4. Połącz dwa komputery.
  5. Na niezaufanym komputerze uruchom cat / dev / sda > / dev / ttyS0 (lub dowolny dysk twardy, który chcesz obrazować i jakikolwiek adapter szeregowy jest wywoływany na tym komputerze)
    (Jeśli na tym komputerze nie jest jeszcze uruchomiony system Linux, użyj Live CD lub jednorazowy Live USB)
  6. Po zakończeniu naciśnij ctrl-C proces cat zaufanego komputera (ponieważ będzie czekał na więcej danych).

( Jeśli masz więcej dysków, które chcesz sfotografować, podłącz je do niewiarygodnego komputera i powtórz procedurę)

Powinieneś teraz mieć obraz dysku twardego i uzyskałeś go bez narażania zaufanego komputera. Ponieważ zawartość obrazu jest niewiarygodna, nie uruchamiaj go na maszynie wirtualnej .

Możesz go otworzyć za pomocą edytora szesnastkowego i spróbować wyszukać żądane dane, ale poskładanie plików zajmie Ci wieczność .

Zamiast tego napisz program (w języku bezpiecznym dla pamięci, takim jak Java lub Python), który przeanalizuje struktury danych systemu plików i wyodrębnij żądane pliki. Pamiętaj, aby przejrzeć każdy wyodrębniony plik w edytorze szesnastkowym przed użyciem go do jakichkolwiek innych celów, na wypadek gdyby został naruszony. (Nie używaj nawet cat . xxd jest w porządku, o ile nie jest ustawione na wyświetlanie znaków ASCII)

Zniszcz niewiarygodny komputer i urządzenia ( w tym wszelkie Live USB używane na tym komputerze); nie wiesz, że nie dodali żadnych urządzeń śledzących. Zrobili to (prawdopodobnie) w przeszłości, więc ta obawa nie jest nieuzasadniona.

Joshua
2015-11-13 03:13:59 UTC
view on stackexchange narkive permalink

Nigdy nie spotkałem się z takim scenariuszem; jednak z tego, co wiem, działa procedura odwrotnego czyszczenia. Uruchom nośniki zewnętrzne i ostrożnie kopiuj pliki robocze jeden po drugim, kontrolując je na bieżąco. Następnie sformatuj ponownie.

Ciesz się, że aktualne systemy nie mają ataków za pośrednictwem plików tekstowych lub obrazów (przynajmniej znanych). Jeśli pojawią się tajemnicze procesy, prześlij swoje pliki robocze do analizy złośliwego oprogramowania. Jeśli masz jakieś, DHS pożałuje, że namierzył cię i zmarnował swoje najbardziej wyrafinowane złośliwe oprogramowanie na cel o niskim priorytecie.

Byron Jones
2015-11-13 22:32:00 UTC
view on stackexchange narkive permalink

Na przyszłość, zarówno dla siebie, jak i dla innych, zalecałbym wykonanie pełnego skrótu SHA256 wszystkich plików na komputerze i oprogramowania układowego przed i po takiej podróży. Pamiętaj, aby zostawić listę skrótów SHA1 w domu.

Zalecałbym również, aby na wyjazdy za granicę zabrać ze sobą starszego laptopa, który wcześniej wymazałeś i otrzymałeś nową instalację wybranego systemu operacyjnego. na wycieczkę. Weź tylko te pliki, których potrzebujesz. Mniejsze pliki powinny być przechowywane w chmurze lub dostępne zdalnie. Większe pliki powinny być zaszyfrowane indywidualnie i nadać im nieszkodliwe nazwy i niestandardowe rozszerzenia, które nie ujawniają ich przeznaczenia.

Przed zwróceniem należy usunąć wszystkie pliki, do których nie mają mieć dostępu agenci celni.

Te kroki przynajmniej zawężą Twoją uwagę przy określaniu, które pliki mogły zostać dodane / zmodyfikowane / usunięte.

John B. Lambe
2015-11-13 05:08:12 UTC
view on stackexchange narkive permalink

Jak stwierdzono w innych odpowiedziach, w systemie BIOS może znajdować się oprogramowanie szpiegujące lub w inny sposób ukryte w zmodyfikowanym sprzęcie. (Na przykład teoretycznie można sobie wyobrazić złożony atak, w którym procesor jest zastępowany chipem, który emuluje oryginalny procesor, ale wykonuje również dodatkowe czynności w celach szpiegowskich).

Aby mieć absolutną pewność, że miałeś Usunięcie takiego oprogramowania szpiegującego wymagałoby doświadczenia w elektronice, a nawet wtedy czas na to może być wart więcej niż wartość sprzętu.

Jednak odzyskanie danych ( nie wykonywalny), zwłaszcza zwykły tekst, jest to możliwe pod warunkiem, że nigdy nie uruchamiasz kodu, który przyszedł - bezpośrednio lub pośrednio - z zaatakowanej maszyny (w tym wszelkich plików zapisanych bezpośrednio przez sprzęt z zainfekowanego laptopa). p>

  1. Nie możesz użyć samego laptopa do skopiowania danych.
  2. Nie możesz odzyskać skompilowanego kodu (zakładając, że nie zamierzasz go deasemblować i czytać go dokładnie ).
  3. Każdy odzyskiwany kod źródłowy należy sprawdzić ręcznie. Jeśli jest to Twój własny kod, sprawdzenie dodanego oprogramowania szpiegującego powinno być wykonalne, ale czasochłonne.
  4. Powyższe dwa punkty dotyczą wszystkich typów dokumentów, które mogą zawierać makra lub skrypty (np. Dokumenty Microsoft Word i Excel).
  5. Możesz odzyskać typy dokumentów obsługujące makra, używając zaufanego oprogramowania do wyszukiwania i usuwania makr.

Po podłączeniu dysku twardego do nowego komputera, skopiuj go, a następnie wyrzuć.

Wciąż istnieje ryzyko ataków polegających na przepełnieniu bufora w dokumentach, skierowanych na konkretną aplikację, której możesz użyć do wyświetlenia dokumentu. Możliwa obrona przed nimi (poza sprawdzeniem znanych luk) polegałoby na użyciu mniej popularnych aplikacji (a nie tych, które zostały zainstalowane na Twoim laptopie, ponieważ są to te, których oczekują od Ciebie) do przeglądania dokumentów lub konwertowania ich na inny format (za pomocą oprogramowania z zaufanego źródła) i prawdopodobnie z powrotem.

Dyski twarde z zainfekowanego laptopa mogły mieć zmodyfikowane oprogramowanie układowe, ale nie może to bezpośrednio spowodować uruchomienia kodu na maszynie używanej do kopiowania z nich (może to zmienić dane podczas ich odczytywania lub zapisywania). Chociaż teoretycznie może mieć exploit przepełnienia bufora, którego celem jest sterownik dysku.

Idealnie byłoby, gdyby wszystkie kopiowanie i konwersje (i usuwanie makr) były wykonywane na maszynie, którą później ponownie zainstalowałbyś (lub wyrzucił). (Raspberry Pi lub podobny jest szybki w konfiguracji i może być zbędny).

Falco
2015-11-13 22:15:36 UTC
view on stackexchange narkive permalink

Chcesz skopiować kod źródłowy z zaatakowanej maszyny bez ryzyka zainfekowania nowego komputera?

Łatwe:

  1. Uzyskaj dostęp do otwartej sieci Wi-Fi
  2. Skopiuj swoje pliki kodu źródłowego do bezpłatnej usługi przechowywania w chmurze (lub wklejarki)
  3. pobierz pliki źródłowe na swój domowy komputer
  4. Dokładnie sprawdź wszystkie źródła do manipulacji (co jest raczej mało prawdopodobne, ponieważ zwykle myślą, że masz gdzieś kopie zapasowe i nie zawracają sobie głowy, ale zależy to od złożoności oprogramowania)

W ten sposób nie nie ma żadnego bezpośredniego połączenia z (prawdopodobnie) zainfekowanej maszyny do komputera domowego. Jedyne pliki, które przesyłasz, to nieprzetworzone pliki tekstowe i sprawdzane ręcznie. Więc jedyny wektor ataku to podstępny kod w twoich plikach kodu źródłowego. Jedynym sposobem na uniknięcie tego byłoby przepisanie każdej metody w nowym projekcie. Spójrz na stary kod źródłowy i napisz każdą metodę od nowa z kilkoma drobnymi poprawkami i czyszczeniem.

GreatSeaSpider
2015-11-13 17:08:35 UTC
view on stackexchange narkive permalink

Inni doskonale opisali niebezpieczeństwa, jakie stwarza &, więc nie zamierzam tego powtarzać. Chciałem tylko dodać sugestię po nieuniknionym przeglądzie kodu. Zdaję sobie sprawę, że pytanie dotyczy rozmiaru komputera, ale sugerowałbym, abyś musiał również podjąć kroki dotyczące swojego kodu.

Więc załóżmy, że potraktowałeś cały sprzęt tak, jakby był to całkowity zapis wyłączony i wrogi, i musisz odzyskać z niego kod. Były już sugestie, jak usunąć kod i włączyć go na inną maszynę za pomocą wyrzuconej drukarki i powiedzmy, że to zrobiłeś (fizycznie usunąłbym adapter bezprzewodowy z zainfekowanej maszyny przed uruchomieniem go jako dodatkowe zabezpieczenie też).

Więc wpisałeś swój kod ponownie i sprawdziłeś już pod kątem modyfikacji i jesteś z niego zadowolony. Dodatkowym krokiem, który podjąłbym teraz, jest również założenie, że kod został zbadany i wymaga przeglądu na poziomie funkcjonalnym i, jeśli to konieczne, zmiany.

Może to być sposób, w jaki haszujesz i przechowujesz hasła, być może mechanizm licencjonowania, jeśli taki posiada, a może Twój kod komunikuje się przez Internet z użytkownikami w określony sposób. Po prostu myślę, że gdybym nosił kod, który uruchamiał coś, co byłoby interesujące dla aktora z państwa narodowego, spojrzałbym na zmodyfikowanie go tak, aby gdyby wyciągnęli cokolwiek z jego wewnętrznych działań, następnym razem, gdy zobaczą w użyciu będzie zachowywał się inaczej niż by się tego spodziewali.

tl; dr

I ' d zasugeruj, aby zastanowić się nad funkcjonalnością kodu, który nosiłeś; czy potencjalnie wrogi aktor odniósłby jakąkolwiek korzyść ze zrozumienia, jak to działa? Jeśli tak, zastanów się, jak złagodzić fakt, że ktoś ma tę wiedzę.

Jest to oczywiście założenie, że kod, który nosiłeś, mógłby go potencjalnie zainteresować.

Ostatnia uwaga; ten krok byłby konieczny w mojej głowie, nawet gdybym przywrócił kod ze znanej bezpiecznej kopii zapasowej, ponieważ ujawniono sposób działania kodu.

Twoja sytuacja nie wygląda na zbyt zabawną niezależnie od tego - powodzenia w załatwianiu tego wszystkiego.



To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 3.0, w ramach której jest rozpowszechniana.
Loading...