El documento vinculado especifica un formato de intercambio de datos basado en XML. Describe cómo empaquetar todos los datos (incluida la huella digital.codex.xml) en 3. (U) Estructura de directorios .
Los datos completos de CODEX, incluidos los archivos xml individuales (por ejemplo, huella digital.codex) o los metadatos de los datos recuperados (como correos electrónicos o capturas de pantalla) no deben generarse en el host de destino:
Generación de estos archivos de metadatos y
Los formatos NO DEBEN tener lugar en el objetivo. En su lugar, las herramientas DEBEN enviarse al usuario lo necesario
detalles tales que un archivo o estructura Codex puede producirse a partir del formato personalizado específico de la herramienta en usercontrolled,
potencialmente no conectado a internet, hardware. Para repetir, las herramientas NO DEBEN almacenar datos en
target en formato Codex o generar cualquier formato Codex personalizado en target.
Destino aquí significa: un host monitoreado / atacado. Usuario aquí probablemente significa: un evaluador / procesador de datos de la agencia o uno de sus contratistas.
Como consecuencia, la huella digital.codex.xml ni siquiera existe en el host del objetivo, sino que se genera en otro lugar según los datos transmitidos.
De acuerdo con el documento ( 4.4 (U // FOUO) Fingerprint XML Format ), una huella digital macOS consiste simplemente en el UUID en minúscula md5 del sistema raíz. Todas las demás claves, excepto usertag , están relacionadas con los sistemas operativos Windows o Linux.
El UUID se puede recuperar ingresando:
diskutil info / | grep "Volume UUID" | tr '[:upper:]' '[:lower:]' | awk '{print $3}'
y su hash md5 con:
md5 -s $(diskutil info / | grep "Volume UUID" | tr '[:upper:]' '[:lower:]' | awk '{print $3}')
El archivo completo de huellas dactilares se vería así para una Mac (aquí hay un ejemplo de macOS VM):
<codex version=”1”>
<fingerprint target=”machine” type=”os” version=”1”>
<uid>“db78ec1b99a4e71fabbc0e23888baf64</uid>
<rootfsid>d15d6f4e-d213-373d-893e-f975126cb767</rootfsid>
<usertag>NONE</usertag>
</fingerprint>
<fingerprint target=”machine” type=”hardware” version=”1”>
</fingerprint>
<timestamp>2017-03-24 07:11:00.000000Z</timestamp>
</codex>
En las circunstancias dadas, el archivo de huellas dactilares no se puede "corromper" o "falsificar" en su host, simplemente se genera y almacena en otro lugar.
Por supuesto, puede invalidar la huella digital actual relacionada con su Mac borrando su volumen de arranque e instalando un nuevo sistema. Esto generará un nuevo UUID de volumen (o rootfsid).
No sé si la agencia tiene una herramienta o un método para vincular una nueva huella digital (y los datos relacionados de CODEX) creados después de una "segunda visita amistosa" / vigilancia / ataque a la antigua huella digital (y datos relacionados de CODEX) de su volumen de raíz ahora sobrescrito. Probablemente tiene!
Y para responder a tus preguntas de alguna manera:
- No puede detectar si el archivo de huellas dactilares está dañado porque probablemente no tenga acceso a las instalaciones de almacenamiento de datos de la CIA.
- No puede falsificar el archivo de huellas dactilares porque probablemente no tiene acceso a las instalaciones de almacenamiento de datos de la CIA y ¿por qué un malware remoto no puede funcionar con un archivo de huellas dactilares remoto?
- Puede usar un algoritmo hash más "menos" seguro para calcular el uid en el archivo de huellas dactilares. Sin embargo, por definición es md5.