web-dev-qa-db-ja.com

国土安全保障押収後のコンピューターの無害化

私は海外からアメリカに戻り、ラップトップコンピューター、外付けハードドライブ、フラッシュドライブなど、すべての電子機器が国土安全保障局によって押収されました。

1か月以上経過した後、ようやく荷物を取り戻しました。 2つの質問があります。

  1. 国土安全保障省が、押収されたコンピュータにスパイウェア、ウイルス、追跡デバイスなどを植え付けたかどうかは知られていますか?

  2. 私は何を探すべきか、私の物を消毒するためにどのような手順を踏むべきですか?あなたはどうしますか?

編集:非常に重要な作業がラップトップ、つまり1年以上取り組んできたソフトウェアであるため、再フォーマット、ハードドライブの書き込みなどができません。

はい、すべてのデータのバックアップがありました。残念ながら、バックアップはすべて私と一緒で、それらもすべて(2台の外付けハードドライブ、3台のUSBフラッシュドライブ)を押​​収しました。したがって、単にバックアップを利用することは選択肢ではありません。

また、誰かが法律を破ることなくして私を助けることはできないと言いました。私は、スパイウェア/マルウェア/ウイルスを削除することは違法である、または政府があなたのコンピュータに置いたものを削除することは違法であることを述べている法律には気づいていません。

編集:書き込んだソースコード(テキストファイル)をコンピュータから安全に削除するにはどうすればよいですか?その後、送信するか、どういうわけかそれらを別のコンピューターに入れますか?」

detectionspyware
74
user91785

あなたのラップトップが長期間にわたってあなたに向かって未知の意図を持つ政府機関を所有していたことを考えると、完全に信頼できる状態に復元する方法は本当にありません。

米国がDHSを敵対的であると想定している場合、次に進むための唯一の安全なプロセスには以下が含まれます。

  1. ラップトップ上のすべてのデータ、および他のすべての没収されたハードウェアが危険にさらされていると想定します。
    • デバイスに保存/キャッシュされている可能性のあるアカウントのすべてのパスワードを変更します。
    • デバイスに保存/キャッシュされている可能性のあるアカウントと同じパスワードを使用する他のアカウントのすべてのパスワードを変更します。
    • デバイスに保存/キャッシュされた可能性のあるすべての支払いメカニズムを無効にします。
    • 影響を受ける可能性のある第三者に適切なプライバシー警告を伝えます。
  2. ラップトップおよび他のすべての没収されたハードウェアが、将来のデータの収集またはシステムの制御を可能にするために、米国によって変更されたと仮定しますDHSまたは関連機関。
    • デバイスを破壊します。バックアップイメージをキャプチャしたり、ファイルをコピーしたりしないでください。そのまま燃やす/細断/粉砕/粉砕するだけです。
    • 信頼できるサプライチェーンを通じて、信頼できるソースから交換用ハードウェア/ソフトウェアを購入し、ゼロから再構築します。
    • 信頼できるバックアップが存在する場合(没収されておらず、没収されたデバイスに保存/キャッシュされている可能性のある資格情報ではリモートからアクセスできないバックアップ)、必要に応じてこれらのソースからデータを復元します。

これが不足すると、いくつかの非常に望ましくない可能性が開かれます。

  1. 米国DHSは、引き続きオンラインアカウントや財務リソースにアクセスできます。
  2. 1つ以上のデバイスに永続的なマルウェアが含まれている可能性があります。これにより、米国のDHSまたは関連機関があなたをスパイしたり、システムを制御したりできるようになります。そして、あなたは#1に戻ります。
  3. お使いのデバイスの1つに保存されているファイルには、開くと自動的にインストールされるマルウェアが含まれている可能性があります。次に、#2を参照してください。
  4. いずれかのデバイスのハードウェアまたはファームウェアが、マルウェアを含むように変更されている可能性があります。マルウェアは、別のデバイスへの接続時に自身をインストールする可能性があります。もう一度#2を見てください。
  5. 作業していたソフトウェアプロジェクト、および/またはそれらをコンパイルするために使用するツールは、マルウェアを含むように変更されている可能性があります。再び#2に戻り、配布前に発見および処理されない場合は、顧客にさらに影響を与えます。

10の不変のセキュリティ法則 を確認してください。法律#3は確かに適用されます。彼らがその法律を悪用したと仮定すると、おそらく法律#1と#2も適用できると賭けることができます。

法律#1:悪意のある人があなたのコンピュータで彼のプログラムを実行するようにあなたを説得できる場合、それはもはやあなたのコンピュータではありません
法律#2:悪者がコンピュータのオペレーティングシステムを変更できる場合、それはもうコンピュータではありません
法律#3:悪者が無制限の肉体を持っている場合あなたのコンピュータへのアクセス、それはあなたのコンピュータではありません

10の不変のセキュリティ管理法 も確認してください。ここでは、法律#4が最も適切です。

法律#4:最初からセキュリティ保護されていないコンピュータにセキュリティ修正をインストールすることはあまり役に立ちません

76
Iszi

これは素晴らしい質問です。

基本的に、デバイスが国家、特に米国として高度なレベルの敵によって押収されると、そのデバイスと含まれるすべてのデータは信頼できなくなります。唯一の安全なアプローチは、そのデバイスを信頼せずに破壊することです。

スノーデンリークは、アメリカ政府がコンピューターを危険にさらすことができるさまざまな方法を明らかにしました。これには、キーボード自体、GPU、またはO/Sが再インストールされた場合でもコンピューターを完全にルート化して危険にさらすその他のコンポーネントへのハードウェアのバグのインストールが含まれます。彼らはまた、無線送信機を設置して、隠された無線を介してデータを漏らしてインターネットに接続することのない「エアギャップ」コンピュータを打ち負かしました。 この件に関するジェイコブアペルバウムの講演は非常に有益です: このビデオを見て、政府が使用していることが知られているさまざまなデバイスについて詳しく説明します。 ウィキペディアの要約 も利用できます。

現在、国土安全保障局のエージェントはこれらのデバイスをまったく植え付けておらず、NSAと同じ機能を持っていない可能性があります。ただし、それを排除することはできません。

ハードドライブからデータを取り出してUSBエンクロージャーに挿入するか、SATA-USBケーブルを使用してデータを取得できる場合がありますが、これにはリスクがあります。ドライブの読み取りには使い捨ての使い捨てコンピューターを使用します。ドライブのファームウェアまたはコントローラーにマルウェアがインストールされていて、接続されているコンピューターに感染しようとしている可能性があるためです。

これに対処するには、フォレンジックハードウェアデュプリケーターデバイス(書き込みブロックデュッパーと呼ばれる)を購入することをお勧めします。次に、SATAドライブをコンピューターに接続し、別のディスクに複製します。次に、そのクローンディスクから別のコンピューターにファイルをコピーします。これにより、ファームウェアベースの侵害が防止されます。

ただし、特定の種類のワームなどがファイル自体に埋め込まれていないことは保証できません。複数のデバイスにコピーし、最初にハードドライブのプラグインに使用したデバイスを使用しないことにより、長時間の侵害の可能性を最小限に抑えることができます。しかし、ファイルに問題がある可能性はまだあります。アンチウイルスなどは、このような高度な攻撃には役立ちません。

そのため、コンピューターは信頼できなくなります。ただし、ハードウェアデュプリケーターのような手順を実行して、問題の可能性を最小限に抑えることができます。

また、この話は注目に値するかもしれません: http://www.wired.com/2010/11/hacker-border-search/ ..有名なハッカーが彼のコンピューターを国境で検査させていますDHSによる、そして彼の結論は非常に有効だと私が信じているものでした:

「今これらのデバイスを信頼することはできません」と本名を漏らしたくないマーリンスパイクは言う。 「彼らはハードウェアを変更したり、新しいキーボードファームウェアをインストールした可能性があります。」

37
Herringbone Cat

これに関するパラノイアのレベルとコードの量に応じて、極端な場合は、LOW-TECHメソッドに移動して、行われたことをすべて回避できます。
安価なプリンターを購入します。ラップトップに接続します。ソースコードを一連のテキストとして印刷します。グラフィックス、レイアウトなどを印刷します。必要なユーザー設定を印刷します。ラップトップとプリンターを破壊します。

もちろん、すべてのソースコードを再入力したり、グラフィックスを再作成したりする必要がありますが、実際にIPを再発明する必要はなく、追跡するための電子接続はありません。

28
Dragonel

1)そのため、彼らが知らないことを知る方法はありません。私はそれが彼らの給与水準を少し上回っているように感じます(そして彼らには時間がありますか?)それはあなたの妄想レベルに依存します。最初の春の日の後、思考が穏やかな流れのように流れる場合は、データを新しいマシンにコピーして、次へ進みます。思考の中で吠えている犬が闇の王子のメッセンジャーであるかどうか疑問に思うなら、テルミットを燃料とする焚き火ですべてを燃やしてください。

2)個人的には、私は装備を破壊し、その墓で泣き、そして次に進む。物理的に私に存在しないバックアップを使用します。ただし、自分のマシンに保存しているほとんどのデータは、クラウドに保存されているか、置き換え可能です。

この作業が本当に価値のないものであれば、監査が必要です。まず、ラップトップからドライブを取り出し、それを隔離された環境(ネットワークのない新しいコンピューター)に接続します。ハンディダンディのLinux Live CDはこれに最適です。問題のドライブをマウントし、ファイルを確認します。何かおかしいと思いますか?不足しているものはありますか?奇妙なWindowsファイルはありますか?クラムAVを使用することも良い選択です。認識できない新しいファイルはありますか?それらを削除します。

また、Linux Live CDを使用している間に、コピーを細かく分割してコピーします。それらがWindowsやLinuxのマルウェアを配置するのに十分なほど洗練されていない限り、監視プログラムが自動再生して新しい家を見つけることはできません。私はこれを十分に強調することはできません-あなたがコピーしているものを知っています。プロジェクトを確認してください-覚えていない新しい追加はありますか?

その後、クリーンなWindows環境を使用して、疑わしいアクティビティがないか監視します。適切なセキュリティポリシーを作成し、次回はドライブを暗号化してください!ああ、データを回復したら、すべてを投げます。ファームウェア攻撃は本物です。

18
Ohnana

他の人が指摘したように、ソースコードの場合、安全にコピーするだけでは不十分です。改ざんを検出できる必要があります。そのためには、大幅なコードレビューを行う必要があります。

コードが非常に複雑である場合、またはコードを十分に理解するのに十分な知識がない場合は、別の選択肢があります。レビューをクラウドソーシングすることです。コードをオープンソースとして公開し、人々にインプラントを見つけてもらうだけです。何人かの人が挑戦を楽しんでいると思います。

6
piers7
  1. 別の(信頼できる)コンピューターを入手します。
  2. 2つのUSB /シリアルアダプターと、(それらを接続するための)ヌルモデムケーブルを入手します。信頼できるコンピューターがシリアル接続を介してリモートで悪用される可能性はほとんどありません。各コンピューターに1つのアダプターを接続します。
  3. 信頼されたコンピューターで、cat /dev/ttyS0 > hd.imgを実行します。 (あなたのシリアルアダプタは/ dev/ttyS0ではないかもしれません;どういうわけかこれをチェックしたいかもしれません)
  4. 2台のコンピューターを接続します。
  5. 信頼されていないコンピューターでcat /dev/sda > /dev/ttyS0(またはイメージを作成するハードドライブ、およびそのコンピューターでシリアルアダプターが呼び出されるもの)を実行します。
    (そのコンピューターでLinuxがまだ実行されていない場合は、Live CDまたは使い捨てのLive USBを使用してください)
  6. これが完了すると、ctrl-Cで信頼されたコンピューターのcatプロセスが実行されます(追加のデータを待機し続けるため)。

(イメージ化するドライブがさらにある場合は、信頼できないコンピューターにそれらを接続し、手順を繰り返します)

これでハードドライブイメージが作成され、信頼できるコンピューターを脆弱にすることなくそれを取得できました。 イメージの内容は信頼できないため、仮想マシンで起動しないでください。

これを16進エディタで開いて必要なデータを検索しようとすることもできますが、ファイルをつなぎ合わせるのに永久にかかります。

代わりに、(JavaまたはPythonなどのメモリセーフ言語で)プログラムを記述して、ファイルシステムのデータ構造を解析し、必要なファイルを抽出します。抽出された各ファイルを16進数で確認してください改ざんされた場合に備えて、他の目的で使用する前にエディタ(catを使用しないでください。xxdは、ASCII文字)

信頼できないコンピュータとデバイス(そのコンピュータで使用したLive USBを含む)を破壊します。彼らが追跡装置を追加していないことはわかりません。 彼らは(おそらく)過去にそれを行ったことがあります なので、この懸念は不当ではありません。

3
user253751

私はこのシナリオに直面したことがありません。しかし、私が知っていることから、逆クリーンアップ手順は機能します。外部メディアを起動し、作業ファイルを1つずつ注意深くコピーして、作業を監査します。その後、再フォーマットします。

最新のシステムには、テキストファイルや画像ファイル(少なくとも既知のファイル)を介した攻撃がありません。不可解なプロセスが表示される場合は、マルウェア分析のために作業ファイルを送信してください。もしあなたが何かを手に入れたら、DHSはあなたをターゲットにしたことを後悔し、優先度の低いターゲットで最も洗練されたマルウェアを無駄にしました。

2
Joshua

将来の参考のために、あなた自身と他の人の両方のために、そのような旅行の前後に、コンピューター上のすべてのファイルとファームウェアの完全なSHA256ハッシュを実行することをお勧めします。 SHA1ハッシュリストは必ず自宅に置いておきます。

また、国外への旅行の場合は、旅行前に消去して古いOSを選択し、OSを新しくインストールしておくことをお勧めします。必要なファイルだけを取得してください。小さいファイルはクラウドでホストするか、リモートでアクセスする必要があります。大きなファイルは個別に暗号化し、その目的を明らかにしない無害な名前と非標準のファイル拡張子を付ける必要があります。

戻る前に、税関の担当者がアクセスしたくないファイルをすべて削除する必要があります。

少なくとも、これらの手順では、追加/変更/削除された可能性のあるファイルを特定するために焦点を絞ります。

2
Byron Jones

他の回答で述べたように、BIOSにスパイウェアが存在するか、変更されたハードウェアに隠されている可能性があります。 (たとえば、理論的には、元のプロセッサをエミュレートするだけでなくスパイ目的で追加の処理を行うチップにプロセッサが置き換えられる複雑な攻撃を想像できます。)

そのようなスパイウェアを確実に削除するには、電子機器の専門知識が必要であり、その場合でも、ハードウェアの価値以上の価値があるかもしれません。

ただし、data(実行可能コードではない)、特にプレーンテキストを、侵害されたマシン(直接書き込まれたファイルを含む)から直接または間接的に得られたコードを実行しない限り、特にそれを復元できます。侵害されたラップトップのハードウェア)。つまり:

  1. ラップトップ自体を使用してデータをコピーすることはできません。
  2. コンパイルされたコードを復元することはできません(逆アセンブルしてすべてを完全に読み取ることはないと想定しています)。
  3. 回復したソースコードは手動で検査する必要があります。独自のコードの場合、追加されたスパイウェアをチェックすることは可能ですが、時間がかかります。
  4. 上記の2つのポイントは、マクロやスクリプトを含めることができるすべてのドキュメントタイプ(Microsoft WordおよびExcelドキュメントなど)に適用されます。
  5. 信頼できるソフトウェアを使用してマクロを確認および削除することにより、マクロをサポートするドキュメントタイプを回復できます。

ハードディスクを新しいマシンに接続し、そこからコピーして、後で破棄します。

文書を表示するために使用する可能性のある特定のアプリケーションを標的にして、文書にバッファオーバーラン攻撃のリスクがまだあります。これらに対する考えられる防御策(既知の脆弱性のチェックを除く)は、あまり一般的ではないアプリケーション(ラップトップにインストールされているものではなく、使用することが想定されているものではない)を使用してドキュメントを表示することです。または、それらを別の形式に変換し(信頼できるソースからのソフトウェアを使用して変換する)、場合によっては元に戻します。

侵害されたラップトップのハードディスクは、ファームウェアが変更されている可能性がありますが、コピー元のマシンでコードを直接実行することはできません(読み取りまたは書き込み時にデータが変更される可能性があります)。理論的には、ディスクドライバーを標的としたバッファーオーバーランエクスプロイトが存在する可能性があります。

理想的には、すべてのコピーと変換(およびマクロの削除)は、後で再インストール(または破棄)するマシンで行われます。 (Raspberry Piまたは類似のものはセットアップが簡単で、使い捨て可能です)。

1
John B. Lambe

新しいコンピュータに感染するリスクなしに、侵入先のマシンからソースコードをコピーしたいですか?

簡単:

  1. オープンなWiFiネットワークにアクセスする
  2. ソースコードファイルを無料のストレージクラウドサービス(または貼り付けビン)にコピーします
  3. 自宅のコンピュータでソースファイルをダウンロードする
  4. すべてのソースの改ざんを注意深く検査します(通常、どこかにバックアップコピーがあると思われ、気にしないと思われますが、ソフトウェアの複雑さに依存します)。

このようにして、(おそらく)侵害されたマシンからホームコンピュータへの直接接続はありません。転送するファイルは、生のテキストファイルであり、手動で検査されます。したがって、残っている唯一の攻撃ベクトルは、ソースコードファイル内のアンダーハンドコードです。これに対する弾丸の証拠となる唯一の方法は、新しいプロジェクトのすべてのメソッドを書き直すことです。古いソースコードを見て、いくつかのマイナーな修正とクリーンアップを行って、各メソッドを新しく記述します。

1
Falco

他の人たちはここで危険と問題を完全にカバーしているので、私はそれを再現しようとはしません。私は避けられないコードレビューの後に提案を追加したかっただけです。問題はコンピュータのサント化に関するものだと思いますが、コードについても対策を講じる必要があることをお勧めします。

それで、すべてのハードウェアを完全に書き込みがなく、敵対的であるかのように扱い、そこからコードを取り戻す必要があると仮定しましょう。使い捨てプリンターを使用して別のマシンにコードを出し入れする方法の提案はすでにあり、それを行ったとしましょう(念のため、ブートする前に侵入先のマシンから物理的にワイヤレスアダプターを取り外しました)も)。

したがって、コードを再度入力し、変更内容をすでに確認して、満足しています。私が今取る追加のステップは、コードが調査され、機能レベルでレビューする必要があり、必要に応じて変更する必要があると想定することです。

これは、パスワードをハッシュして保存する方法である可能性があり、おそらくライセンスメカニズムがある場合はライセンスメカニズムである可能性があります。または、コードがインターネットを介して特定の方法でユーザーと通信する可能性があります。私が国家国家の俳優にとって興味深いものを実行するコードを持っているかどうかを考えているだけです、彼らが内部の仕組みから何かを収集した場合、次に彼らが見るときにそれを変更するように私はそれを修正することを検討します使用中は異なる動作をします

tl; dr

あなたが持っていたコードの機能について考えてみることをお勧めします。潜在的に敵対的な俳優は、それがどのように機能するかを理解することから何らかの利益を得るでしょうか?もしそうなら、誰かがその知識を持っているという事実をどのように軽減するかを検討してください。

もちろん、これはあなたが持っていたコードが潜在的に彼らにとって興味深いものであると想定しています。

最後のメモ;このステップは、既知の安全なバックアップからコードを復元した場合でも、コードが公開されている方法であるので、私の心の中で必要になります。

あなたの状況は関係なくそれほど楽しいように聞こえません-それをすべて整理するのに頑張ってください。

0
GreatSeaSpider