如何防止从 Windows 进入 Linux 的 CIA #Vault7 式攻击

Question

Linux 是从开源编译而来的，成千上万的开发人员会发现任何恶意源代码。然而，许多 Linux 用户双启动 Windows 和恶意软件/间谍软件/“间谍”软件 (CIA) 软件可以在安装干净版本后破解 Linux 的编译二进制文件。

我认为的解决方案是在安装更新后立即在 Linux 内核二进制文件上运行哈希总数，即在4.4.0-63-generic 上。

问题是需要包含哪些文件？即 /boot/ 4.4.0-63-generic或更多？

生成哈希总数后，cron可以每月、每周或每天运行一次作业以重新生成哈希总数并将其与原始版本进行比较以确保它没有更改。如果散列总数不匹配，则发生感染，需要重新安装干净的内核。

---

编辑 1到目前为止的答案更像是评论。这些答案和下面的评论似乎在说“中央情报局太聪明太富有了，无法保护自己，所以不要费心去尝试”。如果我没看错，那么所有的答案都可能是由中央情报局、国家安全局、军情六处或摩萨德支付的巨魔或工资单上的某个人写的。一个类比是“你附近的犯罪分子太聪明和老练了。他们监视你的房子并了解你的习惯。没有必要锁门或安装警报系统。”

其他人说，一旦您使用 Windows 重新启动，您用来加密哈希总数的密码就可以被间谍软件读取。我怀疑因为 Windows RAM 占用空间大于 Linux 的 RAM 占用空间，加载窗口会清除 Linux 可能留下的任何有价值的可搜索 RAM。除了简单的 10 秒断电会擦除所有 RAM。

在光谱的另一端，有人建议“不要使用 Windows”。嗯……不，我不会躲在恐惧中，也不会在需要使用的时候避开我需要使用的平台。这是一款配备混合 nVidia 显卡的超快笔记本电脑，当需要进行 Windows 游戏时，它将被如此使用。

1. 这更像是你会怎么做，但随着内核更新，你显然需要重新运行哈希，以创建一个新的。但是如果你忘记重新运行它，会发生什么？

通过内核更新，一个全新的内核将安装到/boot. 如果您忘记运行该作业以创建新的哈希总数，那么比较总数的 cron 作业会给您一个错误，就像有人在您背后修改了内核二进制文件一样。

脚本的实际设计和哈希总数的加密稍后出现。我们把车放在马前面。第一步是确定需要保护的内容。发布关于“你会怎么做？”的问题是 NAA（不是答案）。嵌入在答案中。

除了在内核映像上运行哈希总数之外，还部分回答了我的问题，还应包括选定的驱动程序。具体来说，我正在考虑一种他们可以关闭网络摄像头 LED 电源的方法，给人一种他们已关闭然后激活相机的错觉。可能与麦克风类似的东西？

消除所有关于是否应该监视对内核空间未经授权的修改的猜测——应该保护哪些二进制文件免受外部篡改？

Answer 1

我认为避免这种情况的唯一方法是避免双启动：摆脱 Windows。当然，如果您认为 CIA 无法安装隐藏在台式机/笔记本电脑 Linux 系统中的恶意软件，那么您还不够偏执......

Answer 2

除了 中的那些之外，以下是要保护的其他内核二进制文件的示例/boot：

\n\n

$ ls /lib/modules/4.9.13-040913-generic/\nbuild          modules.alias.bin    modules.dep.bin  modules.symbols\ninitrd         modules.builtin      modules.devname  modules.symbols.bin\nkernel         modules.builtin.bin  modules.order    updates\nmodules.alias  modules.dep          modules.softdep  vdso\n\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\nrick@dell:~$ ls /lib/modules/4.9.13-040913-generic/kernel\narch  crypto  drivers  fs  kernel  lib  mm  net  sound  virt\n\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\nrick@dell:~$ ls /lib/modules/4.9.13-040913-generic/kernel/drivers\nacpi        dca       hwmon       mcb       nvme      rapidio      uio\nata         dma       hwtracing   md        nvmem     regulator    usb\natm         edac      i2c         media     parport   reset        uwb\nauxdisplay  extcon    iio         memstick  pci       rtc          vfio\nbase        firewire  infiniband  message   pcmcia    scsi         vhost\nbcma        firmware  input       mfd       phy       spi          video\nblock       fmc       iommu       misc      pinctrl   spmi         virtio\nbluetooth   fpga      ipack       mmc       platform  ssb          vme\nchar        gpio      isdn        mtd       power     staging      w1\nclk         gpu       leds        net       powercap  target       watchdog\ncpufreq     hid       lightnvm    nfc       pps       thermal      xen\ncrypto      hsi       macintosh   ntb       ptp       thunderbolt\ndax         hv        mailbox     nvdimm    pwm       tty\n\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\nrick@dell:~$ ls /lib/modules/4.9.13-040913-generic/kernel/drivers/net/ethernet/realtek/\n8139cp.ko  8139too.ko  atp.ko  r8169.ko\n\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\xe2\x94\x80\nrick@dell:~$ \n

\n\n

需要递归算法来获取目录中所有子目录和文件的 md5sum 快照（或您喜欢的安全哈希和）/lib/modules/kernel_version/*

\n\n

可能还有其他二进制文件，但我想发布迄今为止已发现的答案。

\n