¿Cómo puedo saber si una computadora portátil ha sido comprometida?

Realmente no hay una solución general, porque cuando se trata de seguridad, básicamente no tenemos remedio. Todo lo que realmente puedes hacer es minimizar las consecuencias. Aquí hay algunos consejos:

Para la mayoría de los casos, puede tomar una instantánea de su sistema de archivos. Cuando regrese de su viaje, restaure el sistema de archivos al estado original.

Los servicios externos son altamente vulnerables, especialmente si ha guardado contraseñas en su máquina. Debe configurar su llavero que le da acceso exclusivo a estos servicios.

SIEMPRE bloquee su máquina. Simplemente vaya a la página de inicio de sesión o cierre su máquina. Es molesto, pero te salvará.

Si no toma una instantánea de su sistema de archivos, alguien puede cambiar un archivo de configuración para uno de los procesos que ejecuta en su computadora. Si desea detectar qué archivos de configuración han cambiado, siempre puede crear un script simple (usando stat) para ver la última hora modificada de cada archivo y diferenciarla con las últimas horas modificadas antes de viajar. Recomiendo cifrar su disco duro si aún no lo ha hecho.

Siempre existe la posibilidad de que alteren la memoria de un proceso, que no puede detectar en el disco. Esto se puede solucionar fácilmente encendiendo y apagando su computadora (suponiendo que el proceso no almacene su memoria en el disco durante el reinicio). Puede ver si se están ejecutando nuevos procesos yendo al monitor de actividad.

Ejecute una prueba de hardware de Apple antes de emprender su viaje. Luego, ejecútelo nuevamente y asegúrese de que funcione de manera similar (en caso de que algunas partes de su máquina sean reemplazadas de alguna manera).

Si tienes un amigo experto en tecnología, dale tu computadora y pídele que la piratee. Sin embargo, antes de eso, aplique todas las precauciones de seguridad para que no puedan hacer nada.

Rob McQueen resumió bien sus opciones con algunos consejos anticipados también.

Sin embargo, hasta que encuentre a su amigo pirata informático ético o hasta que tenga tiempo para hacer un análisis usted mismo, puede utilizar la conocida solución generalista para detectar si está permanentemente molesto ( probablemente detectaría intrusiones de una sola vez) es decir, si piratearon su máquina, copiaron los datos de interés y eliminaron sus pistas. Probablemente cifraría su dispositivo con una combinación de algoritmos y lo haría solo a través de la autenticación de dos factores si tuviera que llevar ese tipo de alta sensibilidad adicional información sobre el valor. La razón por la que digo que probablemente lo haría es que, a diferencia de las películas, el sistema comprometido generalmente informa en algún mecanismo: entregar datos, hacer que su dispositivo forme parte del grupo de bot, enviar su información registrada, etc.)

Un sistema comprometido no está comprometido al 100% (en la mayoría de los casos), hasta que pueda informar alguna información útil a los “hackers”. A menos que tenga razones para creer que el pirata informático tiene acceso personal frecuente a la máquina que está tratando de proteger, para que puedan copiar fácilmente los datos de la máquina, puede probar el procedimiento que generalmente sigo:

Aquí está mi prueba rápida de sí / no.
Instale el software de firewall de red (ya que mencionó MacBook, recomendaré Little Snitch), si aún no lo ha hecho.
Asegúrese de que el software esté en modo interactivo, Little Snitch lo está.
Reiniciar.
Ahora Little Snitch lo alertará cada vez que se realice una comunicación de red junto con el software que está tratando de hacerlo.
También lo alertará si se realizó alguna comunicación de red antes de que se iniciara el sistema (si el pirata informático utilizó técnicas avanzadas, módulos del núcleo, etc.).
Debería tomarse el tiempo para revisar cada uno de ellos, incluso los que tienen URL conocidas como Google, etc. Su objetivo es asegurarse de que la comunicación esté dirigida por el usuario (esto incluye elementos de inicio automático).

Al final del proceso, sabrá que su sistema está comprometido o que probablemente esté comprometido, pero sus datos están seguros y nadie más tiene acceso a ellos.

En primer lugar, puede evitar que entren en su sistema. Cifre su disco duro a través de FileVault. Asegúrese de tener el último sistema operativo (> 10.7.2) y active su contraseña de protector de pantalla. (Si no tiene el último sistema operativo, apáguelo por completo, sin modo de suspensión). Use una contraseña segura y no permita que otros lo filmen mientras lo escribe. Eche un vistazo a su tabla de particiones y compárela antes y después del viaje. (Quizás firme su disco duro para ver si alguien lo reemplazó). Un atacante podría cambiarlo para arrancar malware. El atacante necesitará que ingrese su contraseña después de tener acceso físico. Un estuche con un candado que no se puede abrir sin destruirlo también podría ayudar.

Respuesta corta: no se puede decir con certeza.

Si está lidiando con un nivel de amenaza de estado-nación que potencialmente obtiene acceso físico a su máquina, ya no puede confiar en él. El malware en este nivel de amenaza es extremadamente sofisticado y, a menudo, totalmente indetectable con la mayoría de las herramientas comerciales. Cuando regrese a casa, no lo conecte a ninguna red, limpie el disco duro y vuelva a instalarlo desde el medio original o una copia de seguridad de imagen limpia conocida, y probablemente también vuelva a actualizar el firmware. También agregaría que antes de un viaje a ese lugar, debe eliminar todos los datos confidenciales de la máquina que no necesitará, usar una herramienta como CCleaner para eliminar todas sus cookies y archivos temporales, y luego usar una herramienta como Eraser para sobrescribir todos los sectores del disco duro no utilizados * para que un atacante no pueda recuperar nada.

Es una verdad desafortunada que no se puede confiar en los sistemas operativos de los consumidores a un nivel que la respuesta anterior no sería necesaria.

* Esto puede no ser efectivo en un SSD.

EDITAR: se agregaron algunos detalles adicionales.

(Tengo 15 años de experiencia en seguridad informática … Sí, soy paranoico).