Cocktail blog

Kaspersky;Το αντικλεπτικό Computrace μπορεί να γίνει όπλο

Στις 13 Φεβρουαρίου 2014 η Kaspersky Lab εξέδωσε ανακοίνωση με τίτλο «Πώς ένα "καλό" λογισμικό μπορεί να γίνει "κακό"», στην οποία χαρακτηρίζει ανεπαρκή την υλοποίηση του Computrace, του αντικλεπτικού λογισμικού της Absolute Software. Η ανεπαρκής αυτή υλοποίηση «μπορεί να μετατρέψει ένα χρήσιμο εργαλείο άμυνας σε ένα ισχυρό εργαλείο στα χέρια των ψηφιακών εισβολέων», προειδοποιεί κορυφαίος αναλυτής της. 


Η σχετική έκθεση με τίτλο "Absolute Computrace Revisited" δημοσιεύεται στο securelist.com

Το Computrace μπορεί να βρίσκεται στο BIOS του firmware ή της ROM σύγχρονων συστημάτων laptop και dekstop. Επί της ουσίας πρόκειται για ένα εργαλείο μιας υπηρεσίας που, για να ενεργοποιηθεί και να λειτουργήσει ως αντικλεπτικό ώστε το κλεμμένο π.χ. laptop να εντοπιστεί, θα πρέπει να έχει γίνει αγορά της υπηρεσίας από την Absolute. Εάν ο ιδιοκτήτης ενημερώσει την εταιρεία για κλοπή, τότε το Κέντρο Ελέγχου θα «διατάξει» τον υπολογιστή να δίνει αναφορά κάθε 15 λεπτά, ώστε να συγκεντρώσει συγκεκριμένες λεπτομέρειες, για την θέση του, ποιος το χρησιμοποιεί και τι κάνει με αυτό.

Αφορμή για την έρευνα της Kaspersky Lab στάθηκε το γεγονός ότι οι ίδιοι οι ερευνητές της διαπίστωσαν ότι το Computrace «έτρεχε» εν αγνοία τους, χωρίς την άδεια τους: Ορισμένοι ισχυρίστηκαν πως δεν είχαν εγκαταστήσει ή ενεργοποιήσει οι ίδιοι το λογισμικό στα μηχανήματά τους. 

Το μυστήριο που μας μεταφέρουν οι αναγνωρισμένοι ειδικοί της Kaspersky περιγράφεται από τα ερωτήματα που παραθέτει ο ο Vitaly Kamluk, Principal Security Researcher, Global Research and Analysis Τeam της Kaspersky Lab: «Η δική μας εκτίμηση είναι ότι εκατομμύρια υπολογιστές “τρέχουν” το λογισμικό Absolute Computrace και ότι μεγάλος αριθμός χρηστών μπορεί να αγνοεί ότι το λογισμικό έχει ενεργοποιηθεί και λειτουργεί. Ποιος είχε λόγο να ενεργοποιήσει το Computrace σε όλους αυτούς τους υπολογιστές; Μήπως ένας άγνωστος φορέας τους παρακολουθεί; Αυτό είναι ένα μυστήριο που πρέπει να λυθεί».

Τα στατιστικά στοιχεία που δίνει η Kaspersky από το δικό της Kaspersky Security Network, το Computrace “τρέχει” στις συσκευές περίπου 150.000 χρηστών. Ο εκτιμώμενος συνολικός αριθμός των χρηστών που διαθέτουν ενεργοποιημένο το Computrace μπορεί να υπερβαίνει τα 2 εκατομμύρια.Δεν είναι σαφές πόσοι από αυτούς τους χρήστες γνωρίζουν ότι το Computrace “τρέχει” στα συστήματά τους. Επίσης, αναφέρεται πως η πλειονότητα αυτών των υπολογιστών βρίσκεται στις Ηνωμένες Πολιτείεςκαι στη Ρωσία.
Στον χάρτη αυτόν εμφανίζεται η γεωγραφική κατανομή των συστημάτων στους οποίους εκτελείται ο Computrace Agent (η Ελλάδα εντάσσεται στην κατηγορία με τα λιγότερα από 1-670, δεν είναι όμως μηδενικά).
  • Τα κενά ασφαλείας που βρήκαν οι μηχανικοί της Kaspersky αφορούν στο πρωτόκολλο δικτύου που χρησιμοποιεί το Computrace Small Agent το οποίο παρέχει βασικά στοιχεία για την απομακρυσμένη εκτέλεση του κώδικα: Το πρωτόκολλο δεν απαιτεί τη χρήση οποιουδήποτε μηχανισμού κρυπτογράφησης ή ταυτοποίησης του απομακρυσμένου server, πράγμα που δημιουργεί πολλές ευκαιρίες για απομακρυσμένες επιθέσεις, εξηγούν.
 Από την άλλη, διευκρινίζεται πως «Δεν υπάρχει καμία απόδειξη ότι το Absolute Computrace χρησιμοποιείται ως πλατφόρμα για επιθέσεις. Ωστόσο, οι ειδικοί διαφόρων εταιρειών διακρίνουν δυνατότητες επιθέσεων. Μερικά ανησυχητικά και ανεξήγητα συμβάντα που περιλάμβαναν μη εξουσιοδοτημένες ενεργοποιήσεις του Computrace κάνουν το παραπάνω σενάριο ολοένα και πιο ρεαλιστικό», γράφουν.

Τι απαντά στην Kaspersky Lab η Absolute Software

Το tech.in.gr απευθύνθηκε στην Absolute Software. Η εκπρόσωπος της εταιρείας, Jenny Sneyd μας απαντά με έκπληξη, ότι το θέμα αυτό είχε ανακύψει και είχε αντιμετωπιστεί πριν από πέντε χρόνια. Σημειώνει δε πως, το Computrace έχει αναγνωριστεί ως ασφαλές και νόμιμο που βελτιώνει την ασφάλεια στο τελικό σημείο, από όλους τους μεγάλους κατασκευαστές λογισμικού anti-malware (και ως εκ τούτου η εταιρεία είναι "white list vendor"- κάτι το οποίο άλλωστε, οφείλουμε να συμπληρώσουμε, πως, πολύ προσεκτικά, σημειώνει και η Kaspersky Lab.

H Absolute αναφέρει επίσης πως, το Computrace είναι ενσωματωμένο στο firmware υπολογιστών, netbook, tablet και smartphone από διεθνείς κατασκευαστές, συμπεριλαμβανομένων των Acer, ASUS, Dell, Fujitsu, HP, Lenovo, Motion, Panasonic, Samsung, και Toshiba. Ακόμα η εταιρεία έχει συμφωνίες μεταπώλησης με αυτούς τους κατασκευαστές OEM και άλλους, συμπεριλαμβανομένης της Apple.
Η Absolute επισημαίνει πως το "Absolute persistence module" παραμένει σε λανθάνουσα κατάσταση μέχρι το λογισμικό (o Computrace software client) να εγκατασταθεί και να ενεργοποιηθεί. Πάντως, η εταιρεία στην απάντησή της στο tech.in.gr, δεν αναφέρεται ρητά στην εγκατάσταση και ενεργοποίηση αποκλειστικά από τον τελικό χρήστη.

Η αναφορά της Kaspersky Lab στην έκθεση του 2009

Σχετικά με την αναφορά στις ανησυχίες που εκδηλώθηκαν πριν από πέντε χρόνια, η Kaspersky αναφέρει πως «Το 2009, ερευνητές της Core Security Technologies παρουσίασαν τα ευρήματά τους σχετικά με το Absolute Computrace. Οι ερευνητές προειδοποίησαν για τους κινδύνους αυτής της τεχνολογίας και για το πώς ένας εισβολέας θα μπορούσε να τροποποιήσει το μητρώο του συστήματος για να επιτεθεί στα “callbacks” του Computrace. Η επιθετική συμπεριφορά του Computrace Agent ήταν ο λόγος για τον οποίο στο παρελθόν ανιχνευόταν ως malware. Σύμφωνα με ορισμένες μελέτες, το Computrace χαρακτηρίστηκε από τη Microsoft ως “VirTool: Win32/BeeInject”. Παρ 'όλα αυτά, αργότερα η Microsoft και κάποιοι πάροχοι λύσεων anti-malware εγκατέλειψαν αυτόν τον χαρακτηρισμό.Εκτελέσιμα αρχεία του Computrace ανήκουν σήμερα εγκεκριμένα στις “λευκές λίστες” των περισσότερων εταιρειών anti-malware.».

Εντούτοις, η Kaspersky επιμένει πως «Ένα τόσο ισχυρό εργαλείο, όπως το λογισμικό Absolute Computrace, πρέπει να χρησιμοποιεί τους μηχανισμούς ταυτοποίησης και κρυπτογράφησης για να συνεχίσει να υπηρετεί το “καλό”. Είναι σαφές ότι εάν υπάρχουν πολλοί υπολογιστές που “τρέχουν” Computrace agents, είναι ευθύνη του κατασκευαστή (σε αυτή την περίπτωση της Absolute Software) να ενημερώσει τους χρήστες και να εξηγήσει πως το λογισμικό μπορεί να απενεργοποιηθεί και να αποκλειστεί», σημείωσε ο κύριος Kamluk. «Διαφορετικά, αυτά τα “ορφανά” agents θα συνεχίσουν να “τρέχουν” απαρατήρητα, προσφέροντας δυνατότητες απομακρυσμένης εκμετάλλευσης», καταλήγει ο αξιωματούχος της Kaspersky.

Όπως επισημαίνει η Kaspersky Lab και όπως επιβεβαιώνεται και από την Absolute, το Computrace «επιβιώνει» ακόμα κι αν ο χρήστης κάνει επανεγκατάσταση του λειτουργικού συστήματος, αλλάξει σκληρό δίσκο ή κάνει format ξανά και ξανά (αυτό συμβαίνει όταν έρχεται προεγκαταστημένο στο firmware και βρίσκεται στο BIOS). Η δυνατότητα ενεργοποίησης/απενεργοποίησης του Persistant Agent, αναφέρει η Absolute δεν αφαιρείταιακόμα κα ι με flash (διαγραφή) του BIOS. 

Όπως διαβάζουμε στον δικτυακό τόπο της Absolute, για την απεγκατάσταση του λογισμικού απαιτείται επικοινωνία με την υποστήριξη πελατών (για την Ελλάδα, οι χρήστες παραπέμπονται στο +44 118 902 2004).
In.gr Τεχνολογία

Δεν υπάρχουν σχόλια: