Vídeo: How To Play Magic: The Gathering (MTG) Learn To Play In About 15 Minutes! (Setembre 2024)
Segons un investigador kaspersky Lab, un atacant programari anti-robatori instal·lat als ordinadors portàtils de gairebé tots els principals fabricants d’ordinadors pot ser utilitzat pels atacants per segrestar ordinadors.
Absolute Software afirma que el seu producte Computrace ajuda a les organitzacions a fer el seguiment dels seus punts finals. Pel que fa a Kaspersky Lab, l'eina pot utilitzar l'eina per atacar i controlar les màquines i, fins i tot, esborrar tota la informació de l'ordinador.
"És clar que si hi ha molts ordinadors amb agents de Computrace en marxa, és responsabilitat del fabricant notificar als usuaris i explicar com es pot desactivar i desactivar el programari", va dir Vitaly Kamluk, investigador principal en seguretat del Kasperksy Lab.
Kamluk va dir als assistents a la cimera de l'analista de seguretat del laboratori de Kaspersky Lab de la setmana passada que va quedar sorprès de trobar Computrace al portàtil de casa, tot i no haver comprat ni instal·lat res de Absolute Software. No és l’únic, ja que hi ha altres informes d’usuaris en línia "afirmant que els van trobar a les seves màquines i que mai no havien comprat Absolut", va dir
Computrace per dins
Computrace sembla instal·lar-se preinstal·lat en una desena de fabricants de portàtils importants, com Samsung, Acer, Lenovo, Hewlett-Packard, Dell, Panasonic, Toshiba, Asus, Gateway, General Dynamics, Fujitsu i Gamatech. Com que es pretén utilitzar com a eina antirrobo, els principals venedors d'antivirus els proporciona una llista blanca, de manera que la majoria dels usuaris no tenen ni idea que el programari es trobi a les seves màquines. "Totes les empreses ho veuen com un producte legítim", va dir Anibal Sacco, cofundador i investigador de Cubica Labs que va analitzar per primera vegada Computrace el 2009 mentre Core Security Technologies.
L’agent resideix en el firmware, de manera que no importa quin sistema operatiu s’executa o quin tipus de proteccions de seguretat tinguis. Està integrat al maquinari i és difícil d'eliminar. La majoria de programari preinstal·lat pot ser eliminat o desactivat permanentment per l'usuari, però Computrace està dissenyat per sobreviure a la neteja professional del sistema i fins i tot al reemplaçament del disc dur.
Segons les estadístiques proporcionades per la xarxa de seguretat de Kaspersky, hi ha aproximadament 150.000 usuaris que tenen l’agent Computrace funcionant a les seves màquines, cosa que significa que el nombre d’usuaris a tot el món amb Computrace actiu pot superar els 2 milions. La majoria d'aquests ordinadors es troben als Estats Units i Rússia, va dir Kaspersky Lab.
Comportament problemàtic
Si bé Computrace és un programari comercial dissenyat per fer-ho bé, utilitza molts dels mateixos trucs que el programari maliciós, inclosos l'ús de tècniques anti-depuració i enginyeria anti-inversa, la injecció de memòria en altres processos i el xifrat de fitxers de configuració. Sacco va descriure l'eina com un "kit d'eines latent" i va assenyalar que l'agent Windows no té cap autenticació de cap tipus. Computrace es comunica amb els servidors de Absolute Software mitjançant un canal no xifrat i emmagatzema informació no xifrada. Sacco va advertir Sacco. El protocol de xarxa es pot utilitzar per a l'execució remota de codi i és vulnerable a abusos.
Kaspersky Lab va dir que sembla afegir-se el xifrat al protocol de xarxa en una fase posterior de les comunicacions, però que els atacants encara poden aprofitar els components no xifrats per segrestar el sistema de forma remota. Kamluk va dir que Computrace es podria utilitzar per instal·lar programari espia en els punts finals, redirigir tot el trànsit des d'un ordinador que executa Small Agent cap a l'amfitrió de l'atacant mitjançant intoxicació ARP i llançar un atac de servei DNS per enganyar l'agent a la connexió a un servidor C&C fals, per nomeneu-ne alguns.
"Hi ha un gran problema amb això", va dir Sacco als assistents.
No hi ha cap problema aquí?
Phil Gardner, del CTO de Absolute Software, va criticar la investigació de Kaspersky com "defectuosa" i va dir que tenia "mèrits tècnics qüestionables". Absolute Software va dir que Computrace utilitza el xifratge i l'autenticació del servidor, cosa que impediria els tipus d'atacs que Kamluk va advertir. L'agent no es comunicarà amb un servidor a menys que estigui autoritzat i "només es comunicarà amb autenticació mútua del servidor i del client", va dir Gardner.
Abans que un atacant pugui utilitzar Computrace de manera maliciosa, s'ha de posar en perill la finalitat. "Els obstacles per realitzar aquest atac són considerables i no es poden assolir mitjançant el mecanisme esborrat a l'informe Kaspersky", va dir Absolute Software en un FAQ.
Tot i així, si no us agrada la idea que funciona alguna cosa a l’ordinador que no coneixeu, podeu seguir les instruccions de Kaspersky Lab per trobar i desactivar Computrace.
Segrest i eixugar
Kamluk va demostrar una prova de concepte a la cimera que mostrava com un atacant podia llançar un atac de mà al centre contra una màquina en la qual estava instal·lat Computrace. L’atacant podria fingir ser un servidor de Absolute Software i canviar la memòria a la màquina de la víctima.
"Qualsevol que pugui controlar la vostra connexió a Internet podria fer el mateix, per exemple, un govern o un ISP", va dir Kamluk.
Kaspersky Lab assegura que no té proves que s'hagi utilitzat Absolute Computrace en atacs fins ara. Absolute Software necessita utilitzar autenticació i xifratge per protegir Computrace perquè no es pugui abusar, va dir Kamluk.
Durant la presentació de Kamluk, es va poder veure diversos assistents comprovant el seu BIOS per veure si Computrace estava present als seus ordinadors. Al final de la presentació, la tensió a la sala era gairebé palpable, ja que molts dels assistents es van adonar de com era de generalitzada la Computrace i que ni tan sols eren conscients de la seva presència a les seves màquines. També va resultar preocupant la quantitat d'ells que s'han habilitat per defecte.
