我把它从轨道上挪了一下,但我才意识到它处于睡眠状态2天,而不是处于睡眠状态关闭状态,因此它已通过wifi连接到我的调制解调器。是否需要担心?
和
我需要确保他们是否添加了某些东西来监视我的活动或窃取我的数据?如果这样做了,我应该怎么做才能防止它们。
我已经仔细检查了笔记本电脑,没有螺钉或塑料变形的迹象。他们仍然有可能损害其硬件吗?
#1 楼
如果设备离开您的视线了一段时间,请更换它。它不再受信任。确保仍然可以信任的代价大大超过了获得新信任的代价。
实际上没有办法验证没有大量专业知识和使用非平凡资源的硬件是否未被篡改。唯一的解决方案是更换笔记本电脑和所有相关组件。不知道您所在的国家或您所处局势的其他方面,我无法评论这种可能性,只能评论技术可行性。
如果您确实需要验证完整性,在笔记本电脑中,需要检查以下内容(并非穷举):
重量分布-验证每个组件(IC,PCB等)的精确重量。可以使用陀螺效应分析重量分布。这就需要在附近安装完好无损的设备进行比较。需要极其精确的测量设备。
功耗-随时间推移验证每个组件的功耗。后门经常使用电源,有时可以通过电源分析攻击检测到它们的存在。但是,请不要依赖于此,因为当今集成电路可以使用极少的功率。
PCB X射线检查-使用X射线查看电路板的内部。这需要用于多层印刷电路板(例如笔记本电脑主板)的昂贵设备。还要对设备的每个平方微米进行大量的人工检查。
声音太大了吗?确实如此,但这是您必须要做的,以确保没有进行恶意的硬件修改。仅仅买一台新笔记本电脑会便宜一些。请注意,这并非实用建议,即使已经完成,也几乎没有完成。它旨在说明这种寻找复杂的硬件植入物的可能性。
我从轨道上摸了一下它,但我刚刚意识到它处于睡眠状态2天,而不是处于关机状态,因此它通过wifi连接到了我的调制解调器。它是否需要担心吗?
从理论上讲,将会制造出受损的硬件或固件来破坏您的无线访问点或其他正在监听的设备。处于挂起状态(睡眠模式)通常还会禁用NIC,如果硬件受到威胁,则无法进行假设。但是,尽管从理论上讲这是可能的,但是这将需要更有针对性的攻击,并且大多数军事团体都不希望通过在可以找到的任何附近的无线设备上进行射击来放弃他们拥有的0days。
不幸的是,从理论上讲,您的调制解调器也有可能遭到破坏。我认为这根本不可能,因为假设他们可以控制或损害您的ISP,他们可以通过您的Internet连接完成此操作。如果他们篡改了您的硬件,则很有可能只是出于监视目的而不是传播蠕虫。
我已经仔细检查了笔记本电脑,没有螺钉或塑料变形的迹象。他们仍然有可能损害其硬件吗?
绝对。有很多打开笔记本电脑的方法,但事实并不明显。尽管存在复杂的机箱入侵检测机制,但将来可能会使用某些“贫民窟”技术。一种技术是将指甲油内外都洒在系统的关节上。为此拍一张高分辨率照片(不要将照片存储在计算机上!)。如果打开设备,闪光的精确布局将被打乱,并且将其重新放回原处将变得异常困难。您可以将其与存储的照片进行比较,以查找细微的差异。
此术语是篡改证据,这是在不引起注意的情况下很难篡改设备的任何技术。更专业的选择包括定制防篡改安全带或全息贴纸。不幸的是,这只会在将来对您有所帮助,并且显然将无法追溯保护您的系统。
评论
评论不作进一步讨论;此对话已移至聊天。
–Rory Alsop♦
18/12/21在19:45
在这种情况下,更换设备可能会构成等效威胁。 OP国家可能会秘密控制计算机供应链,并感染其境内的大量供应。
– redbow_kimee
18/12/22在23:04
@redbow_kimee这是极不可能的,因为它很快就会被人们知道。
–森林
18/12/23在3:09
奇怪的是您没有提到恶意固件(用于主主板或任何设备)。 x86系统管理模式允许在操作系统背后进行几乎不可检测的操作。 (不过,有一个性能计数器(AMD)或MSR(Intel)对系统管理中断进行计数,因此您可以检查SMI活动是否可疑。在AMD体系结构上是否有与Intel的MSR_SMI_COUNT等效的寄存器?)
– Peter Cordes
18/12/23在18:11
@PeterCordes恶意固件可以解决SMI_COUNT。
–森林
18/12/24在3:24
#2 楼
我们缺少的主要信息是您的威胁模型。军方是否有可能专门针对您,并愿意在您身上花费一些资源?我们不需要知道详细信息,但是答案会根据所发生的是您所在国家/地区的标准程序或多或少而有所变化。
而且我们不知道您正在保护什么秘密。如果您拥有个人数据和通讯,那将是不同于政治反对派运动或其他活动中活跃的元素的游戏,如果他们获得了这些数据,可能会使您被谋杀。世界上许多国家/地区都可以成为人权活动家,使您进入死亡名单。
如果这是标准程序,并且您的数据不是生死攸关的话,则可以通常的预防措施,完整的操作系统重新安装,固件更新,如果您想加倍努力,请更换诸如以太网端口之类的组件,以及其他可更换的组件。然后,假设您可能错过了一些更深层的内容,但您的机会要比一般情况要好得多。
活动网络连接也是如此。您的对手可能采用了标准的攻击方式。如果您的网络是安全的,并且内部没有任何入侵迹象(防火墙日志,IDS,如果有的话,等等),您可能会满意的。
如果您更有可能受到特别关注,我强烈建议您以某种无辜的方式(在网上等)使用本机,然后在上厕所时将其放在外面。或者换句话说:使其被盗。这样,没人能责怪您,对手无法确定您是否故意“丢失”了该设备,无论如何也无法证明它,这是唯一可以确定的方法。即使您将它放在电源关闭的地方,里面也可能隐藏着一个麦克风来监视您。因此,摆脱掉它是唯一安全的选择。
关于细节,我不能比森林做得更好,因为他的回答表明了东西可能被深深地隐藏了。他们甚至可以关闭看似相同的组件,再加上后门。对于硬件制造商来说,您可以做一些事情,他们很难找到它们。
不幸的是,对于您的网络也是如此。总是还有另外0天,而且网络设备中的后门也不是完全没有听说过的。如果您是一个备受瞩目的目标,则需要假定网络已受到破坏。
但是,所有这些高级功能都不是免费的或廉价的。这就是为什么威胁模型很重要的原因。军方不太可能在随机搜索中使用其最好的东西。
#3 楼
除了方法论外,只要假设笔记本电脑以及笔记本电脑在音频和视频范围内的任何东西都受到了损害,就应该受到监视以及对计算机本身的活动进行监控。搜索,篡改或拆除计算机/监控设备很可能会被发现并被视为犯罪行为。此外,还可以非常怀疑地查看笔记本电脑的完全毁坏或未使用的情况。
您真正能做的就是继续使用笔记本电脑,但要知道正在监视活动(因此只能对其进行“合法”处理)。视觉/音频监视设备不需要打开笔记本电脑的电源。
投资一个美观,安全,有衬垫(隔音)的笔记本电脑包,以在不使用笔记本电脑时将其存放。
评论
评论不作进一步讨论;此对话已移至聊天。
–Rory Alsop♦
18/12/21在19:46
#4 楼
除了其他人提到的检测硬件变化(很可能几乎不可能)之外,您还应该认识到,最有可能受到损害的媒介是软件的安装,尤其是当它们仅在相当有限的时间内拥有您的设备时。时间。要合理确定设备是不受软件攻击的,则应扔掉硬盘驱动器,然后重新安装并重新安装。许多更实用(且容易)的低级rootkit会修改硬盘驱动器上的固件,以防止普通格式删除恶意软件。这也是相当快速且“不可检测”地更改系统的最简单方法之一。如果您的笔记本电脑具有可更换的网卡,则也应该考虑对其进行更换,因为它也是部署硬件植入物的另一个相当有用的地方。
任何恶意软件最终都可能需要打电话回家。启动计算机以及您运行的所有常见应用程序。将其连接到记录所有流量的外部路由器(这很重要,因为您不能信任笔记本电脑上运行的软件)。让笔记本电脑闲置至少24小时。现在,通过ARIN或其他注册表来仔细验证所有IP,以查看它们中的任何一个是否可疑。几乎可以肯定的是,即使计算机没有受到损害,您也有几个无法验证的地方,但这可能会给您造成一定程度的损害。请注意,民族国家通常具有将流量从合法位置注入合法流的能力,并且还可能损害合法服务或使用现有的合法服务(例如docs.google.com,其中任何用户都可以创建任意数据的文档) 。另外,在任何网络协议上的网络流量都是可疑的,在尝试验证流量时不应打折。
最后,考虑一下您的风险状况。您所在的国家/地区以黑客入侵和监控设备而闻名?您是倒霉的受害者吗?或者有正当的理由为什么他们应该或曾经怀疑您?一定程度的偏执狂是健康的,但在评估中是可行的。定制硬件植入物并不便宜,发现的成本既令人尴尬又昂贵。如果您不是一个可能的嫌疑人,并且不是很重要,那么如果有任何植入物,则最有可能的植入物将基于软件/固件。正如其他人指出的那样,您在计算机上/提供的任何凭据/或任何活动的浏览器Cookie以及系统上的所有文件现在都应视为已泄露。
评论
我不明白为什么这个答案不是最受支持的。由于各种原因,软件后门的可能性是硬件后门的百万倍。我归咎于彭博社(Bloomberg)被有效抨击的那部分是由于对硬件后门的过度宣传。
–安吉洛·席林(Angelo Schilling)
18/12/26在19:42
#5 楼
鉴于您已经告诉我们的内容,您需要假设笔记本电脑不仅受到不可挽回的损害,而且整个家庭网络,与之相连的所有内容以及您从笔记本电脑或其他任何地方访问过的每个帐户都将受到损害。连接到家庭网络的设备。物理上破坏笔记本电脑,最好是通过熔化/燃烧笔记本电脑,而不是简单地粉碎或粉碎。
对笔记本电脑的每个组件进行相同操作家庭网络。
对笔记本电脑“归还”之后的每个连接到该网络的设备执行相同的操作。
关闭并删除您曾经访问过的每个网站上的每个帐户在步骤3中从笔记本电脑或任何设备中进行删除。
在步骤3中取消并物理销毁您曾经通过笔记本电脑或任何设备从中进行付款的所有信用卡/借记卡/礼品卡。同时取消在以下时间段内使用这些卡进行的所有付款:在笔记本电脑“归还”之后。
关闭所有银行帐户,并提取全部现金。销毁您拥有的与任何上述账目相关的任何文书。
我不能太过强调强调逃离一个国家的重要性,而该国应得到更好的保护,以免受到政府武器的此类虐待。
评论
这似乎确实太过分了,但是在最后一点之前都有意义,所以+1。除了出售设备而不是销毁设备。而且我想这可能也是个好建议:不要试图让一个国家像很多现金一样,他们只会把它带到边界
– Xen2050
18/12/22在15:55
销毁机器只会确认显示器的怀疑-继续使用它,而只会将其用于只会浪费时间和无聊的间谍物!
–rackandboneman
18/12/22在19:54
此外,我假设政府授权的组织意味着企业无需对个人家用计算机做任何一件事情就可以破坏其互联网连接,银行帐户或通信帐户。在任何国家。
–rackandboneman
18/12/22在19:57
除非您要燃烧两台笔记本电脑而不是一台,否则您可能应该在#1之前执行#4。
–传真
19年5月23日在12:33
#6 楼
如您所说,如果他们拥有您的所有密码并且拥有笔记本电脑,则怀疑笔记本电脑,其操作系统和安装的软件都是如此。正如建议的那样,来自轨道的核武器。我还担心,可能已经植入的任何软件都可能(并且会)试图危害已连接网络上的其他计算机。请勿将本机连接到以太网,也不要在具有WiFi的任何WiFi网络附近打开电源(尽管我对此知之甚少,也不能在蓝牙设备周围)。
可能无法擦除它即使在由于固件受损而导致的安全条件下。
如果他们在30分钟(或更短的时间)内使用笔记本电脑,则驱动器可能已经(并且应该已经)成像/复制了。它的秘密不再只属于您。
您还需要做一些工作来更改所有密码:您可能希望对帐户进行核对以提高安全性。删除所有内容(如果可能),然后关闭该帐户。祝你好运。但是,可能已经收集了信息。
已经有关于硬件修改的答案,尽管这是有可能的,但显然应该对软件进行篡改。
评论
如果他们对监控OP十分认真,忘记了受损的固件,那么受损的以太网端口或受损的监控电缆又如何呢?
–马克
18/12/19在0:45
...或受损的存储库?您可以使用硬件玩的恶作剧没有限制。
–汤姆
18/12/19在13:36
@Tom我认为很难破坏DIMM(如果这就是存储库的意思),而无需非常明显地植入。现代DRAM的运行速度如此之快,并且对延迟的灵敏度极高,以至于需要一个相当大,体积庞大的逻辑分析仪来分析发送给DRAM模块的命令。人类只是缺乏创建小型植入物的技术能力,而这种植入物却可以这种方式实际监视内存。
–森林
18/12/21在4:07
@forest-是的,您必须超越各个模块。而且您不会得到太多逻辑。我更多地在考虑一个简单的副本,类似于监视端口。
–汤姆
18/12/21在9:45
@Tom我不确定它是否能够简单地复制数据。以这些速度,电线的电气特性开始变得重要。
–森林
18/12/21在9:52
#7 楼
我需要确保他们是否添加了某些东西来监视我的活动或窃取我的数据
考虑他们已经拥有了您的所有数据。您放弃了所有密码,因此,即使笔记本电脑上没有的数据(例如邮件,云)也都在他们手中。扩展评论:如果您没有被捕,您可以在提供密码后随时更改尽可能多的密码,但是我们要假设攻击者拥有如此多的资源和效率,以至于他们在第二秒就掌握了您所有在线活动的完整副本您在一张纸上写下了密码。悲观的方法。
@forest指出,您可以做一些事来证明他们做到了,但是它是如此昂贵,以至于您最好尽快去BestBuy以获得新笔记本电脑。除非您的目标是告密,否则您的政府会监视您以及如何监视。
如果他们这样做了,我应该怎么做才能阻止他们。
我假设您问过“将来应该怎么做才能防止它们发生?”。如果没有,请编辑。就像我们其他人一样,购买一台新笔记本电脑并采取适当的安全措施也是不错的选择。
全盘加密,可否认的隐藏卷和复杂的密码是基本工具。以个人为目标的军事军团可以拥有太多资源(包括0天),因此您无法阻止他们永远入侵您,但是您仍然可以保护自己并为他们度过痛苦的时光。
记住,您说过您给了他们密码。这是TrueCrypt / VeraCrypt派上用场的地方。我建议您看一下此质量检查。记住要经常使用Cover OS。将来,您将再次被询问您的密码,并为他们提供“外部”操作系统的解密密钥。它们并不愚蠢,它们会尽力向您勒索您也正在运行隐藏的OS。例如,仅当您使用VeraCrypt而不是库存的Windows BitLocker或库存的Linux LVM时,这可能是质疑/勒索的理由。
您可能还需要仔细安全地从旧硬盘上复制文档。使用USB适配器驱动器。文档,而不是可执行文件。而且,出于偏执狂,谁能告诉一些PDF文档是否被某个流行的读者利用0day进行了修改?
您可能想尽快逃离该国,对此有何担忧?我。
评论
最好离开这个国家。
–盖尔曼
18/12/20在15:01
重要的是要注意,在这种情况下,试图欺骗试图闯入您计算机的军人可能会带来严重的后果。完全对他们说谎是灾难的根源。
– schroeder♦
18/12/20在19:24
关于“合理的拒绝性”和加密,有一个有趣的想法-TrueCrypt的“合理的拒绝性”从理论上讲是无用的-“这也是政府不断折磨您的严格主导策略……因此,无论您是否使用隐藏卷,政府继续折磨您会得到最高的回报。因此,如果您和政府既理性又自私,那么您将使用隐藏的内容,而政府将继续折磨您。”
– Xen2050
18/12/22在16:51
更为有趣的问题是,如果该军事组织首先发现了令他们感兴趣的任何东西,那么他们是否会把笔记本电脑全部退还并把车主全部丢掉?
–rackandboneman
18/12/22在20:01
@ Xen2050该网站对基本博弈论非常幼稚。 TrueCrypt的合理可否认性在许多威胁模型中很有用。现在,维护具有令人信服的元数据(表示真正访问的时间戳)的外部卷是否容易,是另一回事了。
–森林
18/12/24在3:43
#8 楼
后门仍然必须与攻击者进行通信,因此通过路由器观看网络聊天就足够了。擦拭硬盘并重新安装OS可能还不够,他们花了一个星期的时间,可以拆开它,安装一个网络分接头设备并将其放回原处。这还不是全部要么是,可能没有网络活动,并且程序/设备可能正在默默地收集数据,以便稍后可能通过敲门声供某人进行物理检索。
需要准备一台新笔记本电脑我会保留旧的,甚至将其放在DMZ上,这样它就无法与家庭网络中的其他设备通信,而且不用说,它不能再用于任何敏感的设备。
评论
您可能应该看一下几年前泄漏的NSA硬件植入物目录的副本。他们拥有可通过各种方式进行通信的后门,包括通过调制外部传输的无线电信号。
–马克
18/12/19在0:43
@ RandomUs1r-这里的对手是军人,而不是一些普通的网络犯罪分子,他是从某个暗网论坛复制的后门。有很多方法可以发送数据,即使大多数网络安全专业人员也无法检测到。我的一些朋友会使用示波器接近这种设备。有六种有据可查的方法可以将数据进出似乎未连接到任何网络的机器。有很多隐藏网络,系统和内存活动的方法。
–汤姆
18/12/19在11:44
或者,该恶意软件根本无法通信,而只是存储数据,直到再次搜索笔记本电脑为止。
– allo
18/12/20在14:11
训练有素的示波器用户只有大致了解自己在寻找什么,才有机会。
–rackandboneman
18/12/22在19:58
#9 楼
主要问题是拥有良好的威胁模型。也许军方只是在做例行事情。如果您假设军方正在做例行的(不复杂的)事情(那么他们可能安装了一些恶意软件,可能是大多数软件所为)。工具无法检测到并已将笔记本电脑的所有内容复制到服务器上),则可以考虑清除所有磁盘(即完全重新格式化)并在计算机上安装(例如)一些Linux发行版(但是,这样做可能会让您感到怀疑,但这是另一个问题)。从军事角度来看,复制所有内容并添加恶意软件非常容易(人工操作可能需要5分钟,等待1小时才能完成复制)。
如何清除所有磁盘是另一回事。在Linux上,我将以
dd if=/dev/zero of=/dev/sda bs=4k为例,它以零字节填充sda磁盘。当然,所有数据都会丢失(在SSD上,可能会残留一些东西),您需要重新格式化(技术上重新分区)磁盘。而且您可以只更换磁盘(它要花费几十欧元,并且可以轻松更换)。如前所述,您也许应该重新安装笔记本电脑的固件v(例如BIOS)。
如果您认为军方针对您进行了特定的努力,他们可能会在笔记本电脑中实际嵌入一些麦克风,某些GPS,一些其他硬件来监视您(然后不存在任何软件解决方案;并且,除非您是硬件专家,您将无法注意到)。更改硬件不太容易(可能需要数小时或数天)。在这种情况下,您最好销毁笔记本电脑。
评论
知道以这种方式覆盖磁盘在固态驱动器上是不安全的。
–森林
18/12/27在8:40
固件恶意软件/后门程序同样简单,可以保留您的每个建议。
– schroeder♦
18/12/27在11:58
#10 楼
将AP安装在地窖中,或者将笔记本电脑放入金属盒中。目的是使除了您提供的AP之外,无法与无线电信号进行通信。在金属盒中放入您自己的AP。因此,笔记本电脑应该完全看不见无线电,他与外界通信的唯一方法应该是您的AP。
AP的上行链路应该是您的外部计算机之一。在其上启动网络数据包侦听器和分析器。
您可以通过做一些棘手的事情来尝试触发他们的窃听。例如,您可以搜索您所在州的政治敌人,或者您应该尝试与他们接触。
请注意,这些人非常偏执,他们不受诸如“我做了不尝试与X国家联系,我只是尝试看起来是这样”或“如果我真的尝试与X国家进行通信,那么我并没有使用有问题的笔记本电脑来做到这一点”。它们对您来说是有力的论据,但对他们而言却无济于事。您将被要求联系X国,而没有人会对您的论点感兴趣。如果不这样做,避免惩罚的唯一方法。现在考虑您可以和他们一起玩的情况。
笔记本电脑应该一直在线,您应该不断在上面进行操作(当然没有违法的事情)。
然后检查您的AP的流量,您自己的AP的流量,通信的位置以及在何处。
不幸的是,它只能给出肯定的答案:如果笔记本电脑没有通信,您将无法知道这是因为它没有被窃听,或者被窃听了,但是没有激活。如果通信,您将知道它产生了多少流量以及在何处。
如果玩得足够多,请将硬盘驱动器清零并在互联网上出售笔记本电脑。
如果您以后再与他们交谈,您一无所知,您只是卖了笔记本电脑,因为您想要更坚固的硬件,甚至没有想到它可能会被窃听。
#11 楼
如果由于安全启动,Windows虚拟内存,驱动程序签名而使笔记本电脑是Windows 10,则可以确保计算机可信任。这并不排除安装并设置为运行和访问计算机资源的恶意应用程序,但是,它们实际上无法访问其他不会“自行放置”的应用程序或进程。 Windows虚拟内存寻址本质上扰乱了用户模式应用程序的内存。因此,如果病毒尝试通过黑客入侵的方法访问内存,则无法分辨出什么是什么。因此,每个进程都有自己的2 GB左右虚拟内存,它使用的虚拟内存由Windows转换为实际地址空间。进程内存基本上是该进程专用的。他们可以与句柄共享内存。但是我认为这将需要两个过程的合作。另外,要运行的恶意软件可以看到网络流量,但是一旦它在网络上广播,任何人都可以查看。
因此,基本上,不能轻易删除安全编写的应用程序。除非“军人”能够访问OEM,Windows或Intel / AMD并向他们提供该功能,否则他们将意识到尚不存在的漏洞。
评论
我不同意。受信任的启动会阻止正版UEFI固件运行不受信任的软件(即,软件无法被篡改)。它不会阻止硬件被篡改以启动正版操作系统。您对虚拟内存的断言是正确的,但是没有人阻止具有足够资源的军事公司用运行操作系统的虚拟机管理程序替换UEFI固件。然后,您可以对机器进行Ring-0控制。
–usr-local-ΕΨΗΕΛΩΝ
18/12/20在12:07
英特尔管理引擎是起点,英特尔需要为OEM提供信息和工具,以使用Windows使用的安全执行处理器。 Mac最近有一个利用,但是这是由oems完成的,没有使用和配置安全执行引擎,Windows无法在这样的环境下启动,并且仍然需要intels工具。
–元帅
18/12/20在12:33
“ Windows无法启动”。这对我来说是新的,我将继续研究。谢谢。是的,如果硬件受到威胁,TPM模块可以验证硬件并拒绝颁发密钥,但这与OS验证硬件不同。例如Android的Magisk。 Magisk使用解锁的引导加载程序进行操作,但是能够欺骗Android认为硬件和操作系统是完整的。据我了解,Magisk几乎是无敌的。因此,Android无法拒绝启动。这使我对你的判决感到惊讶。这是一个非常有趣的话题
–usr-local-ΕΨΗΕΛΩΝ
18/12/20在12:39
在Magisk示例中:由于硬件检查操作系统,因此锁定的电话将拒绝启动Magisk。但是,当软件(例如SafetyNet)试图评估硬件时,Magisk会产生一层烟雾,使软件认为硬件是理智的。当然,Android vs Magisk只是一个简单的例子,当硬件能够提供伪造的证明时,我不知道Windows将如何验证硬件
–usr-local-ΕΨΗΕΛΩΝ
18/12/20在12:41
让我们继续聊天中的讨论。
–usr-local-ΕΨΗΕΛΩΝ
18/12/20在12:57
评论
评论不作进一步讨论;此对话已移至聊天。“从轨道上裸”到底是什么意思? (我想您实际上并没有进入轨道并将核武器扔到笔记本电脑上,因为那样您就不会问这个问题了。)
@PaŭloEbermann它引用了电影《外星人》中的一句话,它基本上意味着删除您可以从笔记本电脑中删除的所有内容,而只是从头开始。这里有一个很好的问题