如果设备离开您的视线一段时间,请更换它。它不再值得信任。
确保它仍然可以信任的成本大大超过了获得新的成本
如果没有重要的专业知识和使用非平凡的资源,实际上无法验证硬件是否未被篡改。唯一的解决方案是更换笔记本电脑和所有相关组件。在不了解您所在的国家或您所处情况的其他方面的情况下,我无法评论这种可能性,只能评论技术可行性。
如果您确实需要验证笔记本电脑的完整性,则需要检查一些事项(并非详尽无遗):
重量分布- 验证每个组件(IC、PCB 等)的精确重量。可以使用陀螺效应分析重量分布。这需要在附近有不折不扣的设备进行比较。需要极其精确的测量设备。您需要了解每个零件的不同公差,以便了解异常情况。
功耗- 验证每个组件随时间的功耗。后门经常使用电源,有时可以通过电源分析攻击检测到它们的存在。但是不要依赖这个,因为现在集成电路可以使用极少的功率。
PCB X 射线检查- 使用 X 射线查看电路板内部结构。这需要用于多层印刷电路板的昂贵设备,例如膝上型电脑主板。它还需要对设备的每一平方微米进行大量工时的密集检查。这可能是最容易做到的,尽管仍然需要专门的设备和技能。
IC 检查- 物理去除集成电路上的各个层(“去盖”)并分析内部管芯。对于任何比 8051 微控制器复杂得多的东西,这将需要大量的专业知识,并且如果没有高水平的领域知识和实验室是不可能的。但是,从主芯片组到板上的每个 CPLD,都必须这样做。你有一个全面罩呼吸器和一个通风柜来处理你需要使用的所有酸吗?
听起来太过分了?确实如此,但您必须这样做才能对没有进行恶意硬件修改有充分的信心。购买一台新笔记本电脑会更便宜。请注意,这不是实用的建议,即使它已经完成,它甚至还没有接近完成。这只是为了说明搜索复杂的硬件植入物几乎是不可能的。
我从轨道上对它进行了核对,但我刚刚意识到它处于睡眠状态 2 天而不是处于关机状态,所以它通过 wifi 连接到我的调制解调器。有必要担心吗?
从理论上讲,受损的硬件或固件会危及您的无线接入点或其他侦听设备。虽然挂起状态(睡眠模式)通常也会禁用 NIC,但如果硬件受损,您就不能做出这种假设。然而,虽然这在理论上是可行的,但它需要更有针对性的攻击,而且大多数军事团体都不想通过随机向附近的无线设备射击来放弃他们的 0days。
不幸的是,理论上你的调制解调器也有可能被入侵。如果是这样的话,我认为这不太可能是由您被利用的笔记本电脑完成的,因为他们可能刚刚通过您的互联网连接接管了您的调制解调器(TR-069 是个婊子),假设他们可以控制或损害您的 ISP。如果他们篡改了您的硬件,他们更有可能只是出于监视目的这样做,而不是为了传播一些愚蠢的蠕虫。
我已经对笔记本电脑进行了物理检查,没有螺丝或塑料变形的迹象。他们仍然有可能破坏了它的硬件吗?
绝对地。有很多方法可以打开笔记本电脑,而这一事实并不明显。虽然存在许多复杂的底盘入侵检测机制(有些甚至可以检测到气压的微小变化,这表明有人在弄乱它),但您将来可能会使用一些“贫民窟”技术。一种技术是将带有闪光的指甲油洒在系统的接缝处,从里到外。拍摄一张高分辨率照片(不要将照片存储在计算机上!)。如果设备被打开,闪光的精确布局将被打乱,并且将其放回原位将变得异常困难。您可以将其与存储的照片进行比较并寻找细微的差异。如果操作正确,这足以检测大多数对手的篡改。
对此的术语是篡改证据,这是任何使篡改设备变得困难而不会引起注意的技术。更专业的选择包括定制防篡改安全胶带或全息贴纸。也有很多环氧树脂灌封解决方案(但要注意过热!)。不幸的是,这只能在将来对您有所帮助,并且显然无法追溯保护您的系统。但是考虑一下他们真正妥协的可能性有多大。