Obrana paranoika před sledováním
Zaujal mě connecťácký článek Je to v háji, všechny nás sledují.
Citace:
Software, který si kupující pořídí, se umí jednoduše dostat do koncového zařízení uživatelů (nezáleží na operačním systému ani výrobci) a tam dělat různou neplechu – třeba odposlouchávat Skype hovory, vyzobávat kontakty, číst e-maily a IM komunikaci, nevědomky zapínat webové kamery a mikrofony, zaznamenávat stisknuté klávesy (keyloggery) a mnoho dalšího. Je jedno, zda se jedná o tradiční počítač nebo nové mobilní hračky.
A tak by mě zajímalo, zda se dá účinně bránit. Nemyslím tím mít PC odpojen od netu, od elektřiny a ještě ho vrazit do Faradayovy klece. Prostě klasický příklad: připojení od providera, doma router a na něj připojeno několik zařízení.
Jistě, doma nemůžu zabránit MITM útoku, nešifrované maily jsou prostě jako pohlednice. Také potenciálním možnostem odposlouchávat Skype, IM, VoiP se neubráním, pokud tyhle služby využívám.
Ale co přímý útok na router? Bude stačit zakázat remote control a Mikrotik zabezpečit silným heslem? Nepovolit domácí wifi a používat jen ethernet?
Keylogger, ano, pokud si ho člověk nainstaluje (či je mu vnucen v rámci nějaké oficiální aktualizace všeobecně rozšířeného softwaru), může údery do klávesnice krást. Netuším, zda je v silách pokročilého BFU jej odhalit, když může být schován za těch různými svchosty a ne přímo v keylogger.exe.
Co ty kamery a mikrofony? Předpokládám, že zapnout kameru bez rozblikání její ledky možné bude. Ale už mě nenapadá, jak se k ní zvenčí (pominu-li předchozí napadení PC spywarem) přes router dostat. Jo, napadá, třeba přes hypotetickou díru ve Skype, když momentálně neběží hovor, ale je jen shozen v liště.
Dostat někomu do PC malware a pak jej využívat, to problém být nemusí. Ale nějak moc nevěřím tomu, že lze z ničeho nic (bez předchozí "přípravy" PC napadeného) provést nějaký online útok na PC za zabezpečeným routerem. A kdyby to nakonec šlo, pořád lze mít imrvére spuštěn nějaký nástroj na sledování připojení v domácí síti, třeba v Mikrotiku DHCP Server s aktivními připojeními.
Třeba jsem naivní a vše je jinak. Třeba opravdu mohou kdykoliv, cokoliv.
Jak to tedy je? 
------------
Vůbec nepředpokládám, že by někdo (nějací třípísmenkoví agenti) měli zájem přímo o můj PC. Citlivých dat (klientů) tu sice mám spousty, ale ty mohou získat přímo u klientů, nebo třeba na FÚ, OSSZ. Policie, když bude chtít zjistit, zda si Lojza Votrčálek nedal do nákladů čtvery montérky, nepotřebuje se bourat do PC L-Corovi, ale vyřeší to formou kontroly votrčálkovic účetnictví prostřednictvím FÚ.
L-Core, zatiaľ v celosvetových fórach som sa nedozvedel podľa presného návodu, akým spôsobom si má "záujmová" fyzická osoba pred imaginárnym útokom zabezpečiť svoje dáta uložené v PC. (napríklad kúpou predradeného hardvérového firewallu, usw.)
Nemám na mysli ochranu toku odoslaných či prichádzajúcich dát mimo môj skromný HW reťazec.
Dokáže mne, laikovi, niekto podať erudované vysvetlenie?
Ten hw firewall niekto vyrobil, myslis, ze ten niekto, hlavne ak je to americka firma tam nema nejaky backdoor?
A když je to Čínská/Ruská firma?
Tam to beriem, ze je to automaticky z nariadenia vlady;o).
Ja jen, že poměrně dlouho a hluboku pracuju s bezpečnostními zařízeními Juniper (Firewally, Routry) a vůbec nic ani náznakem, že by ta myšlenka měla nějaký reálný základ.
Pretoze rozumny clovek pouzije takyto backdoor len ked potrebuje. Cize u vas urcite nie.
Neverim, ze si firma len tak sama pre seba a svoju potrebu nespravi bypass na vsetko co kedy vyrobi.
Pokud má být backdoor k něčemu dobrý, tak musí být dostupný a to:
1) má neustále navázané spojení někam
během pár hodin by to bylo odhaleno
2) periodicky kontroluje nějaký cíl
to už by trvalo déle, ale i to by bylo odhaleno (záleží na frekvenci kontrol)
3) má otevřený přístup nějakým způsobem z venku a očekává spojení
Tohle by eventuelně bylo obtížené zjistit (v případě správně nastaveného firewallu by to neodhalil ani port-scan), ale zase by to vyžadovalo, aby permanentně dával vědět, na jaké adrese se nachází (viz. 2), v okamžiku, kdy mu předřadim jiný firewall, nebo NAT, pak je to totálně nepoužitelné.
4)
Třeba takový Total Commander kontroluje aktualizace - jak poznáš jako BFU, že jsou to aktualizace a ne odesílaná data?
S profi zařízeními, o kterých se tu bavím nepracují BFU a ty zažízení jsou podrobovány různým testům různými skupinami nadšenců u profíků. Ti by si toho zřejmě všimli.
PS: o BFU se bude zajímat málokdo, i když ty nejlevnější krámy jsou nejčastěji na přetřesu, že obsahují nějakou kritickou chybu
Normalne nepotrebujes odesilat prilis moc dat, vlastne staci ID instance. IP adresu si zjisti server z paketu, odkud mu prisel. Pokud se to maskuje jako test na update, tak bych to doplnil par dalsimi hodnotami jako cislem verze a dvema kontrolnimi soucty hlavnich souboru, ID bych bud nechal jako ID, nebo maskoval jako treti soucet. A testoval to treba jen jednou za mesic v pravidelnou dobu (treba prvni utery).
Pokud "test" projde, tak server vi, kde se mu toula ktera jednotka a to mu staci. V pripade potreby tu jednotku "aktivovat" proste posle zpravu o existenci updatu. Pokud bude kontrolni soucet updatu delitelny 11 (treba) tak jednotka prechazi do aktivniho rezimu, update netreba stahovat.
Podobnych mechanizmu se da vymyslet cela rada a v podstate nejsou jako takove odhalitelne, dokud nezacnou pusobit (treba streamovat ulozena data za minuly mesic), kdy uz je ale celkem pozde. (A samozrejme jako cil tech dat lze urcit predem nejaky zcela jiny server, se kterym se zatim nic nedelalo, takze vazba na puvodni firmu je podstatne hur viditelna).
Vy tu vytváříte ale teorie, které by se týkaly staticíců zařízení. Je vyločené, že by si toho opravdu nikdo nevšimnul (cílený sniffing, bezpečnostní audity, kaskádování firewallů). A stačil by jediný takový případ a vzhledem ke konkurenci v oboru by ta firma prostě přestala na trhu existovat. Jakmile totiž v oblasti bezpečnosti ztatí důvěru (nebavíme se o zařízeních pro BFU), tak už se do žádných vělkých projektů nedostanou a konkurence je sežere zaživa.
Mně se tvé zdůvodnění líbí a rád mu uvěřím. Proč ale pak Kaspersky & spol vedou takovéto řeči?
Aby bylo jasno, vůbec mi nejde o sledování mé maličkosti; dred jsem zakládal s úmysly čistě "edukativně-technikálními". Dobrat se toho, zda takovéto (všeobecné) sledování zvenčí je reálně proveditelné a úspěšně nasaditelné. Pokud ano, jak se mu jako BFU bránit.
Kaspersky se teď poměrně agresivně snaží urvat větší díl na trhu, zejména na západě (kde v tomhle oboru vedou Symantec, McAfee, NOD).
Tomu říkám slovo chlapa.