Video: Computrace Destroys Computers and I Hate It (Absolute Software "LoJack") - Jody Bruchon (November 2024)
Podľa výskumníka spoločnosti Kaspersky Lab môže útočník používať útočník na únos počítačov populárny softvér proti krádeži nainštalovaný v prenosných počítačoch od takmer každého významného výrobcu počítačov.
Absolute Software tvrdí, že jeho produkt Computrace pomáha organizáciám sledovať a zabezpečovať ich sledované parametre. Pokiaľ ide o spoločnosť Kaspersky Lab, útočníci môžu tento nástroj použiť na diaľkové monitorovanie a riadenie týchto počítačov a dokonca aj na vymazanie všetkých informácií z počítača.
„Je zrejmé, že ak je spustených veľa počítačov s agentmi Computrace, výrobca je povinný informovať používateľov a vysvetliť, ako možno softvér deaktivovať a deaktivovať, “ uviedol Vitaly Kamluk, hlavný výskumný pracovník v oblasti bezpečnosti spoločnosti Kasperksy Lab.
Kamluk povedal účastníkom minulého týždňa na analytickom samite Kaspersky Lab Security Analyst, že bol prekvapený, keď našiel Computrace na svojom domácom prenosnom počítači napriek tomu, že od spoločnosti Absolute Software nič nenakupoval ani neinštaloval. Nie je jediný, pretože existujú aj ďalšie správy od používateľov online, „ktorí tvrdia, že ich našli na svojich počítačoch a nikdy si nekúpili produkt Absolute, “ uviedol.
Výpočty vo vnútri
Zdá sa, že počítač Computrace je predinštalovaný na tucte hlavných výrobcov prenosných počítačov vrátane spoločností Samsung, Acer, Lenovo, Hewlett-Packard, Dell, Panasonic, Toshiba, Asus, Gateway, General Dynamics, Fujitsu a Gamatech. Keďže je určený na použitie ako nástroj na ochranu proti krádeži, je na zozname povolených antivírusových programov, takže väčšina používateľov nikdy netuší, že softvér je na ich počítačoch. „Všetky spoločnosti to považujú za legitímny produkt, “ povedal Anibal Sacco, spoluzakladateľ a výskumník v spoločnosti Cubica Labs, ktorý prvýkrát analyzoval počítač Computrace v roku 2009, zatiaľ čo v spoločnosti Core Security Technologies.
Agent sídli vo firmvéri, takže nezáleží na tom, aký operačný systém používate alebo aký druh zabezpečenia máte. Je zabudovaný priamo v hardvéri a je ťažké ho odstrániť. Väčšina predinštalovaného softvéru môže používateľ natrvalo odstrániť alebo vypnúť, ale počítač Computrace je navrhnutý tak, aby prežil profesionálne vyčistenie systému a dokonca aj výmenu pevného disku.
Podľa štatistík poskytnutých spoločnosťou Kaspersky Security Network existuje približne 150 000 používateľov, ktorí majú na svojich počítačoch spustený agent Computrace, čo znamená, že počet používateľov na celom svete s aktívnym počítačom Computrace môže prekročiť 2 milióny. Väčšina týchto počítačov sa nachádza v Spojených štátoch a Rusku, uviedla spoločnosť Kaspersky Lab.
Problematické správanie
Aj keď je Computrace komerčný softvér navrhnutý tak, aby fungoval dobre, využíva veľa rovnakých trikov ako malware, vrátane použitia techník anti-debugovania a reverzného inžinierstva, vkladania pamäte do iných procesov a šifrovania konfiguračných súborov. Sacco opísal tento nástroj ako „latentnú súpravu nástrojov“ a poznamenal, že agent systému Windows nemá žiadnu autentifikáciu. Computrace komunikuje so servermi Absolute Software cez nešifrovaný kanál a ukladá nešifrované informácie. Sacco protokol je možné použiť na vzdialené vykonávanie kódu a je náchylný na zneužitie, varoval Sacco.
Spoločnosť Kaspersky Lab uviedla, že šifrovanie sa zdá byť pridané do sieťového protokolu v neskoršej fáze komunikácie, ale že útočníci môžu stále využívať výhody nešifrovaných komponentov na diaľkové unesenie systému. Kamluk uviedol, že program Computrace sa dá použiť na inštaláciu spywaru v koncových bodoch, presmerovanie všetkej prevádzky z počítača so spusteným malým agentom na hostiteľa útočníka pomocou otravy ARP a spustenie útoku služby DNS, ktorý by ho prinútil pripojiť k falošnému serveru C&C, aby vymenujte pár.
„S tým je veľký problém, “ povedal Sacco účastníkom.
Žiadny problém tu?
CTO spoločnosti Absolute Software Phil Gardner kritizoval výskum spoločnosti Kaspersky ako „chybný“ a uviedol, že má „pochybné technické zásluhy“. Absolute Software uviedol, že Computrace používa šifrovanie a autentifikáciu na serveri, čo by zabránilo typom útokov, na ktoré varoval Kamluk. Agent nebude komunikovať so serverom, pokiaľ nebude autorizovaný, a „bude komunikovať iba so vzájomnou autentifikáciou servera a klienta, “ uviedol Gardner.
Predtým, ako útočník môže zneužiť Computrace, musí byť koncový bod ohrozený. „Prekážky, ktoré bránia vytvoreniu takéhoto útoku, sú značné a nedajú sa dosiahnuť pomocou mechanizmu načrtnutého v správe spoločnosti Kaspersky, “ uviedol Absolute Software v FAQ.
Napriek tomu, ak sa vám nepáči myšlienka niečoho bežiaceho na vašom počítači, o ktorom nepoznáte, môžete podľa pokynov spoločnosti Kaspersky Lab nájsť a vypnúť počítač Computrace.
Hijack and Wipe
Kamluk na summite demonštroval koncept konceptu, ktorý ukazuje, ako by útočník mohol spustiť útok typu človek v strede proti stroju, na ktorom bol nainštalovaný Computrace. Útočník by mohol predstierať, že je serverom Absolute Software a meniť pamäť v počítači obete.
„Ktokoľvek s právomocou ovládať vaše internetové pripojenie by mohol urobiť to isté - napríklad vláda alebo poskytovateľ internetových služieb, “ povedal Kamluk.
Spoločnosť Kaspersky Lab tvrdí, že nemá žiadny dôkaz o tom, že sa spoločnosť Absolute Computrace doteraz používa pri útokoch. Absolute Software musí používať autentifikáciu a šifrovanie na zabezpečenie Computrace, aby nemohol byť zneužitý, povedal Kamluk.
Počas prezentácie Kamluka bolo možné vidieť niekoľko účastníkov, ktorí skontrolovali svoje BIOS, či sa na ich počítačoch nenachádza počítač Computrace. Na konci prezentácie bolo napätie v miestnosti takmer hmatateľné, pretože mnohí z účastníkov si uvedomili, aký je rozšírený Computrace a že si ani neuvedomujú jeho prítomnosť na svojich strojoch. Bolo tiež znepokojujúce, koľko z nich bolo predvolene povolených.