Video: Computrace Destroys Computers and I Hate It (Absolute Software "LoJack") - Jody Bruchon (November 2024)
Volgens een onderzoeker van kaspersky Lab kan een populaire anti-diefstal software die op laptops van vrijwel elke grote computerfabrikant is geïnstalleerd door aanvallers worden gebruikt om computers te kapen.
Absolute Software claimt dat zijn Computrace-product organisaties helpt hun eindpunten te volgen en te beveiligen. Wat Kaspersky Lab betreft, kan de tool door aanvallers worden gebruikt om deze machines op afstand te controleren en te bedienen, en zelfs alle informatie van de computer te wissen.
"Het is duidelijk dat als er veel computers met Computrace-agenten actief zijn, het de verantwoordelijkheid van de fabrikant is om gebruikers op de hoogte te stellen en uit te leggen hoe de software kan worden gedeactiveerd en uitgeschakeld", aldus Vitaly Kamluk, een hoofdonderzoeker bij Kasperksy Lab.
Kamluk vertelde de aanwezigen op de Kaspersky Lab Security Analyst Summit vorige week dat hij verrast was Computrace op zijn thuislaptop te vinden, ondanks dat hij nooit iets van Absolute Software had gekocht of geïnstalleerd. Hij is niet de enige, want er zijn andere rapporten van gebruikers online "die beweren dat ze ze op hun machines hebben gevonden en ze nog nooit Absolute hebben gekocht, " zei hij
Computrace binnen
Computrace lijkt vooraf te zijn geïnstalleerd op een tiental grote laptopfabrikanten, waaronder Samsung, Acer, Lenovo, Hewlett-Packard, Dell, Panasonic, Toshiba, Asus, Gateway, General Dynamics, Fujitsu en Gamatech. Omdat het bedoeld is om te worden gebruikt als een antidiefstaltool, staat het op de witte lijst van grote antivirusleveranciers, zodat de meeste gebruikers nooit enig idee hebben dat de software op hun machines staat. "Alle bedrijven zien het als een legitiem product", zegt Anibal Sacco, mede-oprichter en onderzoeker bij Cubica Labs die Computrace voor het eerst analyseerde in 2009 bij Core Security Technologies.
De agent bevindt zich in de firmware, dus het maakt niet uit welk besturingssysteem u gebruikt of wat voor soort beveiliging u hebt. Het is ingebed in de hardware en is moeilijk te verwijderen. De meeste vooraf geïnstalleerde software kan permanent door de gebruiker worden verwijderd of uitgeschakeld, maar Computrace is ontworpen om professioneel systeemopruimen en zelfs vervanging van de harde schijf te overleven.
Volgens statistieken van het beveiligingsnetwerk van Kaspersky zijn er ongeveer 150.000 gebruikers die de Computrace-agent op hun machines hebben, wat betekent dat het aantal gebruikers wereldwijd met actieve Computrace mogelijk meer dan 2 miljoen bedraagt. De meeste van deze computers bevinden zich in de Verenigde Staten en Rusland, zei Kaspersky Lab.
Problematisch gedrag
Hoewel Computrace commerciële software is die is ontworpen om goed te doen, gebruikt het veel van dezelfde trucs als malware, waaronder het gebruik van technieken voor het opsporen van fouten en reverse engineering, het injecteren van geheugen in andere processen en het coderen van configuratiebestanden. Sacco beschreef de tool als een "latente toolkit" en merkte op dat de Windows-agent geen enkele authenticatie heeft. Computrace communiceert met de servers van Absolute Software via een niet-gecodeerd kanaal en slaat informatie ongecodeerd op. Het netwerkprotocol kan worden gebruikt voor het uitvoeren van externe code en is kwetsbaar voor misbruik, waarschuwde Sacco.
Kaspersky Lab zei dat codering in een later communicatiestadium lijkt te zijn toegevoegd aan het netwerkprotocol, maar dat aanvallers nog steeds kunnen profiteren van de niet-gecodeerde componenten om het systeem op afstand te kapen. Kamluk zei dat Computrace kan worden gebruikt om spyware op de eindpunten te installeren, al het verkeer van een computer met Small Agent via ARP-vergiftiging om te leiden naar de host van de aanvaller en een DNS-serviceaanval te starten om de agent te misleiden om verbinding te maken met een nep-C & C-server, om noem er een paar.
"Er is hier een groot probleem", zei Sacco tegen de aanwezigen.
Geen probleem hier?
CTO van Absolute Software, Phil Gardner, bekritiseerde het onderzoek van Kaspersky als "gebrekkig" en zei dat het "twijfelachtige technische verdienste" had. Absolute Software zei dat Computrace codering en authenticatie op de server gebruikt, waardoor de soorten aanvallen waarvoor Kamluk waarschuwde voorkomen zouden worden. De agent zal niet communiceren met een server tenzij deze geautoriseerd is, en "zal alleen communiceren met wederzijdse authenticatie van de server en de client, " zei Gardner.
Voordat een aanvaller Computrace kwaadaardig kan gebruiken, moet het eindpunt in gevaar worden gebracht. "De obstakels voor het opzetten van een dergelijke aanval zijn aanzienlijk en zijn niet haalbaar via het mechanisme dat wordt beschreven in het Kaspersky-rapport, " zei Absolute Software in een FAQ.
Als u echter niet van het idee houdt dat er iets op uw computer draait dat u niet kent, kunt u de instructies van Kaspersky Lab volgen om Computrace te vinden en uit te schakelen.
Kaping en veeg
Kamluk demonstreerde een proof-of-concept op de top en liet zien hoe een aanvaller een man-in-the-middle-aanval kon uitvoeren op een machine waarin Computrace was geïnstalleerd. De aanvaller kan zich voordoen als een server van Absolute Software en het geheugen in de machine van het slachtoffer wijzigen.
"Iedereen die de macht heeft om uw internetverbinding te beheren, kan hetzelfde doen, bijvoorbeeld een overheid of een internetprovider, " zei Kamluk.
Kaspersky Lab zegt dat het tot nu toe geen bewijs heeft dat Absolute Computrace bij aanvallen is gebruikt. Absolute Software moet authenticatie en codering gebruiken om Computrace te beveiligen, zodat het niet kan worden misbruikt, zei Kamluk.
Tijdens de presentatie van Kamluk konden verschillende aanwezigen hun BIOS controleren om te zien of Computrace op hun computers aanwezig was. Tegen het einde van de presentatie was de spanning in de kamer bijna voelbaar, omdat veel aanwezigen zich realiseerden hoe wijdverbreid Computrace was en dat ze zich niet eens bewust waren van de aanwezigheid op hun machines. Het was ook verontrustend hoeveel van hen standaard waren ingeschakeld.
