Сколько частей среднего ноутбука могут быть скомпрометированы? И как подтвердить, что они в порядке?

Вопрос или проблема

Большинство вирусов/вредоносных программ хранится и сохраняется на жестком диске. Поэтому, форматируя жесткий диск или переустанавливая операционную систему, вирус удаляется.

Однако обычный ноутбук также предоставляет другие способы сохранения инфекций, возможно, через ЦП (кэш), видеокарту, ОЗУ и материнскую плату.

Как мы можем проверить и с уверенностью подтвердить, что прошивка видеокарты не была скомпрометирована, или BIOS, или что сам жесткий диск не был заражен таким образом, что его форматирование не удалит инфекцию.

Наконец, сколько других способов сохранения инфекции существует на среднем устройстве?

Это зависит от возраста вашего ноутбука и его производителя.

Для новых ноутбуков почти все аппаратные компоненты допускают только подписанную прошивку, что означает, что стирание ваших дисков достаточно для удаления низкоуровневого вредоносного ПО.

Для старых ноутбуков вредоносные программы могут существовать в:

прошивке BIOS/EFI
прошивке диска (Ars Technica опубликовала информацию об этом)
Теоретически (я никогда не видел подтверждения): прошивке GPU, прошивке сетевой карты, прошивке звуковой карты

Если ваш ноутбук находился в распоряжении людей, которые крайне заинтересованы в вас (например, агенты с тремя буквами), они могли просто установить аппаратный шпионский ключ или любой другой аппаратный компонент, чтобы получить доступ к вашей системе (например, устройство PCI-E/DMA, которое способно напрямую считывать вашу ОЗУ, чего достаточно, чтобы узнать все о вас, независимо от используемого шифрования).

Насколько я знаю, новые ноутбуки/тачпады/смартфоны Apple на базе ARM имеют большинство, если не все, свои периферийные устройства, использующие подписанные коммуникационные каналы, поэтому установка аппаратной жучки на ваше устройство почти невозможна, но я вполне уверен, что это могло быть уже обойдённым.

и как подтвердить, что они не скомпрометированы?

Для простого человека просто нет способа это узнать. Это чрезвычайно высококлассные технологии.

Если ваш аппаратный жучок использует обычные коммуникационные каналы (например, LAN/Wi-Fi карта), наличие сетевого анализатора между вашим ноутбуком и WAN будет достаточным, чтобы увидеть любые необычные активности и признаки компрометации.

Ответ или решение

На вопрос о том, сколько частей среднего ноутбука может быть скомпрометировано, можно ответить следующим образом. В современных ноутбуках существует несколько компонентов, которые могут быть подвержены вирусам или вредоносному ПО, что делает возможность их компрометации реалистичной.

Жесткий диск – это, пожалуй, самый распространенный носитель вредоносных программ. Форматирование или переустановка операционной системы обычно достаточно, чтобы удалить большинство угроз.
BIOS/EFI прошивка – это программное обеспечение, которое запускается при включении устройства. Если вредоносное ПО установлено в эту область, оно может оставаться даже после форматирования жесткого диска.
Прошивка дискового драйва – вредоносные программы могут внедряться в прошивки жестких дисков или SSD, что также утрудняет их удаление просто через переустановку ОС.
Видеокарта – хотя случаи компрометации прошивки графических карт встречаются реже, теоретически, наличие уязвимостей в ней предоставляет возможность для внедрения вредоносного ПО.
Сетевая карта (NIC) – подобно видеокартам, прошивки сетевых интерфейсов также могут быть компрометированы.
Звуковая карта – возможна, хотя и очень редкая, компрометация прошивки.

Кроме того, в некоторых случаях аппаратные устройства, такие как шпионские клавиатуры или PCIe/DMA устройства, могут использоваться для получения доступа к системе без необходимости установки вредоносного ПО на саму ОС.

Что касается проверки и подтверждения, что указанные компоненты не были скомпрометированы, стоит учитывать следующее:

Обновление прошивок – регулярно проверяйте наличие обновлений для BIOS, прошивки жесткого диска и других компонентов. Производители часто выпускают патчи для устранения известных уязвимостей.
Использование проверенного программного обеспечения – внедряйте антивирусное ПО и средства обнаружения вторжений, способные определять необычное поведение компонентов, особенно сетевых устройств.
Сетевой анализ – используйте анализаторы трафика (например, Wireshark) для мониторинга входящего и исходящего трафика. Это поможет обнаружить подозрительную активность, которая может указывать на наличие вредоносного ПО.
Проверка целостности системы – использование инструментов типа OmniMac, Chipsec или других средств для проверки целостности программного обеспечения на уровне аппаратуры может обнаружить несанкционированные изменения.

Важный момент: для обычного пользователя нет простых способов подтвердить полную безопасность своих аппаратных компонентов. Проверка и удаление компрометации оборудования требует высоких технологий и часто не доступно для широкого круга пользователей. Поэтому, если ваш ноутбук был в собственности у людей, которые потенциально могли бы вас преследовать, рекомендуется рассмотреть вероятность полного аппаратного сброса с заменой подозрительных компонентов.