Video: Computrace - Track, Manage, Secure IT Assets (Octombrie 2024)
Potrivit unui cercetător kaspersky Lab, un popular software anti-furt instalat pe laptopuri de la aproape toate producătorii majori de computere poate fi folosit de atacatori pentru a deturna computerele.
Absolute Software susține că produsul său Computrace ajută organizațiile să-și urmărească obiectivele sigure. În ceea ce privește Kaspersky Lab, instrumentul poate fi folosit de atacatori pentru a monitoriza și controla de la distanță aceste mașini și chiar pentru a șterge toate informațiile de pe computer.
"Este clar că, în cazul în care funcționează o mulțime de calculatoare cu agenți Computrace, este responsabilitatea producătorului să notifice utilizatorii și să explice modul în care software-ul poate fi dezactivat și dezactivat", a spus Vitaly Kamluk, cercetător principal în securitate la Kasperksy Lab.
Kamluk le-a spus participanților la Summit-ul analistului de securitate al Laboratorului Kaspersky de săptămâna trecută că a fost surprins să găsească Computrace pe laptopul de acasă, în ciuda faptului că nu a cumpărat sau instalat nimic din Absolute Software. El nu este singurul, deoarece există alte rapoarte de la utilizatorii online "care susțin că i-au găsit pe mașinile lor și că nu au cumpărat niciodată Absolut", a spus el
Computrace în interior
Computrace pare să fie preinstalat pe o duzină de producători importanți de laptopuri, printre care Samsung, Acer, Lenovo, Hewlett-Packard, Dell, Panasonic, Toshiba, Asus, Gateway, General Dynamics, Fujitsu și Gamatech. Întrucât este destinat să fie utilizat ca instrument anti-furt, acesta este listat de către furnizorii majori de antivirus, astfel încât majoritatea utilizatorilor nu au niciodată idee că software-ul este pe mașinile lor. „Toate companiile îl văd ca un produs legitim”, a declarat Anibal Sacco, co-fondator și cercetător la Cubica Labs care a analizat Computrace pentru prima dată în 2009, în timp ce la Core Security Technologies.
Agentul se află în firmware, deci nu contează ce sistem de operare executați sau ce fel de protecții de securitate aveți. Este încorporat chiar în hardware și este dificil de eliminat. Majoritatea software-ului preinstalat poate fi eliminat sau dezactivat permanent de către utilizator, dar Computrace este proiectat pentru a supraviețui curățării profesionale a sistemului și chiar înlocuirea hard disk-ului.
Conform statisticilor furnizate de Rețeaua de securitate Kaspersky, există aproximativ 150.000 de utilizatori care au agentul Computrace care rulează pe mașinile lor, ceea ce înseamnă că numărul de utilizatori din întreaga lume cu Computrace activ poate depăși 2 milioane. Majoritatea acestor calculatoare sunt situate în Statele Unite și Rusia, a spus Kaspersky Lab.
Comportament problematic
În timp ce Computrace este un software comercial conceput pentru a face bine, acesta folosește multe din aceleași trucuri ca malware, inclusiv utilizarea tehnicilor anti-debugging și anti-revers, injectarea memoriei în alte procese și criptarea fișierelor de configurare. Sacco a descris instrumentul drept un „set de instrumente latent” și a menționat că agentul Windows nu are nicio autentificare de niciun fel. Computrace comunică cu serverele de la Absolute Software pe un canal necriptat și stochează informațiile necriptate. Protocolul de rețea poate fi utilizat pentru executarea la distanță a codului și este vulnerabil la abuzuri, a avertizat Sacco.
Kaspersky Lab a spus că criptarea pare să fie adăugată la protocolul de rețea într-o etapă ulterioară a comunicațiilor, dar că atacatorii pot profita în continuare de componentele necriptate pentru a deturna sistemul de la distanță. Kamluk a spus că Computrace ar putea fi folosit pentru a instala spyware-ul pe punctele finale, redirecționa tot traficul de la un computer care rulează Small Agent către gazda atacatorului prin intoxicație ARP și pentru a lansa un atac de serviciu DNS pentru a păcăli agentul să se conecteze la un server fals C&C, pentru numiți câteva.
„Există o mare problemă în acest sens”, le-a spus Sacco participanților.
Nici o problemă aici?
Phil Gardner, CTO de la Absolute Software, a criticat cercetarea Kaspersky ca fiind „defectuoasă” și a spus că are „un merit tehnic îndoielnic”. Absolute Software a spus că Computrace folosește criptarea și autentificarea serverului, ceea ce ar împiedica tipurile de atacuri avertizate de Kamluk. Agentul nu va comunica cu un server decât dacă este autorizat și "va comunica numai cu autentificarea reciprocă a serverului și a clientului", a spus Gardner.
Înainte ca un atacator să poată folosi Computrace în mod rău, obiectivul trebuie să fie compromis. "Obstacolele de a efectua un astfel de atac sunt considerabile și nu sunt realizabile prin mecanismul prezentat în raportul Kaspersky", a spus Absolute Software într-un FAQ.
Chiar și așa, dacă nu vă place ideea de a rula ceva pe computer despre care nu știți, puteți urma instrucțiunile de la Kaspersky Lab pentru a găsi și dezactiva Computrace.
Hijack și Ștergeți
Kamluk a demonstrat o probă de concept în cadrul summitului care arată cum un atacator putea să lanseze un atac din partea unui om împotriva unei mașini în care a fost instalat Computrace. Atacatorul ar putea pretinde că este un server de la Absolute Software și poate schimba memoria din mașina victimei.
"Oricine are puterea de a vă controla conexiunea la Internet ar putea face la fel - un guvern sau un ISP, de exemplu", a spus Kamluk.
Kaspersky Lab spune că nu are nicio dovadă că Absolute Computrace a fost folosit în atacuri până în prezent. Absolute Software trebuie să utilizeze autentificarea și criptarea pentru a securiza Computrace, astfel încât să nu poată fi abuzat, a spus Kamluk.
În timpul prezentării lui Kamluk, mai mulți participanți au putut fi văzuți verificând BIOS-ul lor pentru a vedea dacă Computrace a fost prezent pe calculatoarele lor. Până la sfârșitul prezentării, tensiunea din sală era aproape palpabilă, deoarece mulți dintre participanți și-au dat seama cât de răspândită era Computrace și că nici nu erau conștienți de prezența sa pe mașinile lor. De asemenea, a fost deranjant doar câte dintre acestea au fost activate în mod implicit.
