Η Kaspersky επιμένει ότι το αντικλεπτικό Computrace μπορεί να γίνει όπλο

Στις 13 Φεβρουαρίου 2014 η Kaspersky Lab εξέδωσε ανακοίνωση με τίτλο «Πώς ένα «καλό» λογισμικό μπορεί να γίνει «κακό»», στην οποία χαρακτηρίζει ανεπαρκή την υλοποίηση του Computrace, του αντικλεπτικού λογισμικού της Absolute Software. Η ανεπαρκής αυτή υλοποίηση «μπορεί να μετατρέψει ένα χρήσιμο εργαλείο άμυνας σε ένα ισχυρό εργαλείο στα χέρια των ψηφιακών εισβολέων», προειδοποιεί κορυφαίος αναλυτής της.

Η σχετική έκθεση με τίτλο «Absolute Computrace Revisited» δημοσιεύεται στο securelist.com

• Το Computrace μπορεί να βρίσκεται στο BIOS του firmware ή της ROM σύγχρονων συστημάτων laptop και dekstop. Επί της ουσίας πρόκειται για ένα εργαλείο μιας υπηρεσίας που, για να ενεργοποιηθεί και να λειτουργήσει ως αντικλεπτικό ώστε το κλεμμένο π.χ. laptop να εντοπιστεί, θα πρέπει να έχει γίνει αγορά της υπηρεσίας από την Absolute. Εάν ο ιδιοκτήτης ενημερώσει την εταιρεία για κλοπή, τότε το Κέντρο Ελέγχου θα «διατάξει» τον υπολογιστή να δίνει αναφορά κάθε 15 λεπτά, ώστε να συγκεντρώσει συγκεκριμένες λεπτομέρειες, για την θέση του, ποιος το χρησιμοποιεί και τι κάνει με αυτό.

Αφορμή για την έρευνα της Kaspersky Lab στάθηκε το γεγονός ότι οι ίδιοι οι ερευνητές της διαπίστωσαν ότι το Computrace «έτρεχε» εν αγνοία τους, χωρίς την άδεια τους: Ορισμένοι ισχυρίστηκαν πως δεν είχαν εγκαταστήσει ή ενεργοποιήσει οι ίδιοι το λογισμικό στα μηχανήματά τους.

Το μυστήριο που μας μεταφέρουν οι αναγνωρισμένοι ειδικοί της Kaspersky περιγράφεται από τα ερωτήματα που παραθέτει ο ο Vitaly Kamluk, Principal Security Researcher, Global Research and Analysis Τeam της Kaspersky Lab: «Η δική μας εκτίμηση είναι ότι εκατομμύρια υπολογιστές “τρέχουν” το λογισμικό Absolute Computrace και ότι μεγάλος αριθμός χρηστών μπορεί να αγνοεί ότι το λογισμικό έχει ενεργοποιηθεί και λειτουργεί. Ποιος είχε λόγο να ενεργοποιήσει το Computrace σε όλους αυτούς τους υπολογιστές; Μήπως ένας άγνωστος φορέας τους παρακολουθεί; Αυτό είναι ένα μυστήριο που πρέπει να λυθεί».

Τα στατιστικά στοιχεία που δίνει η Kaspersky από το δικό της Kaspersky Security Network, το Computrace “τρέχει” στις συσκευές περίπου 150.000 χρηστών. Ο εκτιμώμενος συνολικός αριθμός των χρηστών που διαθέτουν ενεργοποιημένο το Computrace μπορεί να υπερβαίνει τα 2 εκατομμύρια. Δεν είναι σαφές πόσοι από αυτούς τους χρήστες γνωρίζουν ότι το Computrace “τρέχει” στα συστήματά τους. Επίσης, αναφέρεται πως η πλειονότητα αυτών των υπολογιστών βρίσκεται στις Ηνωμένες Πολιτείες και στη Ρωσία.

^{Στον χάρτη αυτόν εμφανίζεται η γεωγραφική κατανομή των συστημάτων στους οποίους εκτελείται ο Computrace Agent (η Ελλάδα εντάσσεται στην κατηγορία με τα λιγότερα από 1-670, δεν είναι όμως μηδενικά).}

• Τα κενά ασφαλείας που βρήκαν οι μηχανικοί της Kaspersky αφορούν στο πρωτόκολλο δικτύου που χρησιμοποιεί το Computrace Small Agent το οποίο παρέχει βασικά στοιχεία για την απομακρυσμένη εκτέλεση του κώδικα: Το πρωτόκολλο δεν απαιτεί τη χρήση οποιουδήποτε μηχανισμού κρυπτογράφησης ή ταυτοποίησης του απομακρυσμένου server, πράγμα που δημιουργεί πολλές ευκαιρίες για απομακρυσμένες επιθέσεις, εξηγούν.

Από την άλλη, διευκρινίζεται πως «Δεν υπάρχει καμία απόδειξη ότι το Absolute Computrace χρησιμοποιείται ως πλατφόρμα για επιθέσεις. Ωστόσο, οι ειδικοί διαφόρων εταιρειών διακρίνουν δυνατότητες επιθέσεων. Μερικά ανησυχητικά και ανεξήγητα συμβάντα που περιλάμβαναν μη εξουσιοδοτημένες ενεργοποιήσεις του Computrace κάνουν το παραπάνω σενάριο ολοένα και πιο ρεαλιστικό», γράφουν.

Τι απαντά στην Kaspersky Lab η Absolute Software

Το tech.in.gr απευθύνθηκε στην Absolute Software. Η εκπρόσωπος της εταιρείας, Jenny Sneyd μας απαντά με έκπληξη, ότι το θέμα αυτό είχε ανακύψει και είχε αντιμετωπιστεί πριν από πέντε χρόνια. Σημειώνει δε πως, το Computrace έχει αναγνωριστεί ως ασφαλές και νόμιμο που βελτιώνει την ασφάλεια στο τελικό σημείο, από όλους τους μεγάλους κατασκευαστές λογισμικού anti-malware (και ως εκ τούτου η εταιρεία είναι «white list vendor»- κάτι το οποίο άλλωστε, οφείλουμε να συμπληρώσουμε, πως, πολύ προσεκτικά, σημειώνει και η Kaspersky Lab.

H Absolute αναφέρει επίσης πως, το Computrace είναι ενσωματωμένο στο firmware υπολογιστών, netbook, tablet και smartphone από διεθνείς κατασκευαστές, συμπεριλαμβανομένων των Acer, ASUS, Dell, Fujitsu, HP, Lenovo, Motion, Panasonic, Samsung, και Toshiba. Ακόμα η εταιρεία έχει συμφωνίες μεταπώλησης με αυτούς τους κατασκευαστές OEM και άλλους, συμπεριλαμβανομένης της Apple.

• Στον δικτυακό τόπο της Absolute βρήκαμε μια δημοσιευμένη λίστα των συστημάτων που φέρουν ενσωματωμένο το Computrace.

Η Absolute επισημαίνει πως το «Absolute persistence module» παραμένει σε λανθάνουσα κατάσταση μέχρι το λογισμικό (o Computrace software client) να εγκατασταθεί και να ενεργοποιηθεί. Πάντως, η εταιρεία στην απάντησή της στο tech.in.gr, δεν αναφέρεται ρητά στην εγκατάσταση και ενεργοποίηση αποκλειστικά από τον τελικό χρήστη.

Ενημέρωση, 24 Φεβρουαρίου 2014:
Σε νεότερη επικοινωνία με την Absolute Software, μας απαντά Gernot Hacker, Professional Services Solution Architect EMEA στην εταιρεία.

Ο κος Χάκερ, αναφέρεται στον ισχυρισμό ότι το Computrace μπορεί να ενεργοποιηθεί στο BIOS/firmware και ως εκ τούτου, να κατεβάσει επιπλέον software. Όπως επισημαίνει «υπάρχει μια παρανόηση, σχετικά με το τι μπορεί να κάνει αυτός ο διακόπτης ενεργοποίησης στο firmware». και εξηγεί:

• «Αν και μπορεί να ενεργοποιηθεί η λειτουργία σε κάποια προϊόντα, αυτό δεν σημαίνει ότι θα εκτελεστεί κάποια λειτουργία, τουλάχστον προς το παρόν. Αυτή η λειτουργικότητα θα ενεργοποιηθεί εάν δοθεί η εντολή από την εγκατάσταση του σχετικού προγράμματος για τα Windows (Windows agent).Έως τότε, η λειτουργία δείχνει ότι είναι ενεργοποιημένη (“activated”) στο firmware, αλλά δεν κάνει τίποτα. Για να γίνει κάτι, θα πρέπει να γυρίσει τον διακόπτη η εφαρμογή.»

«Also, the described scenario will only work on a machine that doesn’t have that Windows agent on it, so by definition it is in a state that’s most probably not containing the to-be-attacked Windows, because that would have that Windows agent installed thus the described procedure to take control can’t apply.»

Σχετικά με την δυνατότητα να είναι ορατή η ύπαρξη του Computrace στο firmware, η εταιρεία απαντά ότι αυτό αφορά στους κατασκευαστές, κάποιοι από τους οποίους μπορεί να την παρέχουν, ενώ άλλοι όχι. «This is out of our reach. But by our design we deliver the firmware component in a state where it won’t trigger without activation via the Windows agent.»

Τέλος, στο ερώτημά μας σχετικά με την δυνατότητα των χρηστών να επιλέξουν, η απάντηση του κου Χάκερ αναφέρεται ξανά στην ύπαρξη ή μη του σχετικού προγράμματος στο λειτουργικό και προσθέτει πως ακόμα και στο firmware υπάρχει η αναφορά του αριθμού τηλεφωνικής επικοινωνίας με την εταιρεία, η οποία δηλώνει πρόθυμη να λύσει οποιαδήποτε σχετική απορία.

«And if a user doesn’t want to use that functionality, he simply shouldn’t activate it in the first place – so the stated choice for the user is present. And when that feature is not visible in the firmware, it is also deactivated and will only go live when switched on by the Windows agent. Which is again every users choice to do or not to do, so it’s hard to argue that there’s something activated without user consent or knowledge. The firmware does even present our phone number so one can reach out to us in case of wondering what this switch would do – so what else could we do?»

Η αναφορά της Kaspersky Lab στην έκθεση του 2009

Σχετικά με την αναφορά στις ανησυχίες που εκδηλώθηκαν πριν από πέντε χρόνια, η Kaspersky αναφέρει πως «Το 2009, ερευνητές της Core Security Technologies παρουσίασαν τα ευρήματά τους σχετικά με το Absolute Computrace. Οι ερευνητές προειδοποίησαν για τους κινδύνους αυτής της τεχνολογίας και για το πώς ένας εισβολέας θα μπορούσε να τροποποιήσει το μητρώο του συστήματος για να επιτεθεί στα “callbacks” του Computrace. Η επιθετική συμπεριφορά του Computrace Agent ήταν ο λόγος για τον οποίο στο παρελθόν ανιχνευόταν ως malware. Σύμφωνα με ορισμένες μελέτες, το Computrace χαρακτηρίστηκε από τη Microsoft ως “VirTool: Win32/BeeInject”. Παρ ‘όλα αυτά, αργότερα η Microsoft και κάποιοι πάροχοι λύσεων anti-malware εγκατέλειψαν αυτόν τον χαρακτηρισμό. Εκτελέσιμα αρχεία του Computrace ανήκουν σήμερα εγκεκριμένα στις “λευκές λίστες” των περισσότερων εταιρειών anti-malware.».

Εντούτοις, η Kaspersky επιμένει πως «Ένα τόσο ισχυρό εργαλείο, όπως το λογισμικό Absolute Computrace, πρέπει να χρησιμοποιεί τους μηχανισμούς ταυτοποίησης και κρυπτογράφησης για να συνεχίσει να υπηρετεί το “καλό”. Είναι σαφές ότι εάν υπάρχουν πολλοί υπολογιστές που “τρέχουν” Computrace agents, είναι ευθύνη του κατασκευαστή (σε αυτή την περίπτωση της Absolute Software) να ενημερώσει τους χρήστες και να εξηγήσει πως το λογισμικό μπορεί να απενεργοποιηθεί και να αποκλειστεί», σημείωσε ο κύριος Kamluk. «Διαφορετικά, αυτά τα “ορφανά” agents θα συνεχίσουν να “τρέχουν” απαρατήρητα, προσφέροντας δυνατότητες απομακρυσμένης εκμετάλλευσης», καταλήγει ο αξιωματούχος της Kaspersky.

Όπως επισημαίνει η Kaspersky Lab και όπως επιβεβαιώνεται και από την Absolute, το Computrace «επιβιώνει» ακόμα κι αν ο χρήστης κάνει επανεγκατάσταση του λειτουργικού συστήματος, αλλάξει σκληρό δίσκο ή κάνει format ξανά και ξανά (αυτό συμβαίνει όταν έρχεται προεγκαταστημένο στο firmware και βρίσκεται στο BIOS). Η δυνατότητα ενεργοποίησης/απενεργοποίησης του Persistant Agent, αναφέρει η Absolute δεν αφαιρείται ακόμα και με flash (διαγραφή) του BIOS.

Όπως διαβάζουμε στον δικτυακό τόπο της Absolute, για την απεγκατάσταση του λογισμικού απαιτείται επικοινωνία με την υποστήριξη πελατών (για την Ελλάδα, οι χρήστες παραπέμπονται στο +44 118 902 2004).

In.gr Τεχνολογία