Τεχνολογικά Νέα Όλα τα τελευταία νέα από την τεχνολογία
Η Kaspersky Lab επιμένει πως το «νόμιμο» και «χρήσιμο» λογισμικό ασφάλειας της Absolute Software που εκτελείται από το BIOS σε εκατομμύρια υπολογιστές ανά τον κόσμο, συχνά εν αγνοία του χρήστη, μπορεί να αποδειχτεί «ένα ισχυρό εργαλείο στα χέρια επίδοξων ψηφιακών εισβολέων». Και εδώ στο greek-nea.com θα σας φέρουμε τι απαντά ο δημιουργός του Computrace.
Στις 13 Φεβρουαρίου 2014 η Kaspersky Lab εξέδωσε ανακοίνωση με τίτλο «Πώς ένα “καλό” λογισμικό μπορεί να γίνει “κακό”», στην οποία χαρακτηρίζει ανεπαρκή την υλοποίηση του Computrace, του αντικλεπτικού λογισμικού της Absolute Software. Η ανεπαρκής αυτή υλοποίηση «μπορεί να μετατρέψει ένα χρήσιμο εργαλείο άμυνας σε ένα ισχυρό εργαλείο στα χέρια των ψηφιακών εισβολέων», προειδοποιεί κορυφαίος αναλυτής της.
Το Computrace μπορεί να βρίσκεται στο BIOS του firmware ή της ROM σύγχρονων συστημάτων desktop και laptop. Επί της ουσίας πρόκειται για ένα εργαλείο μιας υπηρεσίας που, για να ενεργοποιηθεί και να λειτουργήσει ως αντικλεπτικό ώστε το κλεμμένο π.χ. laptop να εντοπιστεί, θα πρέπει να έχει γίνει αγορά της υπηρεσίας από την Absolute. Εάν ο ιδιοκτήτης ενημερώσει την εταιρεία για κλοπή του υπολογιστή του, τότε το Κέντρο Ελέγχου θα «διατάξει» τον υπολογιστή να δίνει αναφορά κάθε 15 λεπτά, ώστε να συγκεντρώσει συγκεκριμένες λεπτομέρειες, για την θέση του, ποιος το χρησιμοποιεί και τι κάνει με αυτό.
Αφορμή για την έρευνα της Kaspersky Lab στάθηκε το γεγονός ότι οι ίδιοι οι ερευνητές της διαπίστωσαν ότι το Computrace «έτρεχε» χωρίς να το ξέρει ο χρήστης και δεν χρειαζότανε καν η άδεια τους: Ορισμένοι ισχυρίστηκαν πως δεν είχαν εγκαταστήσει ή ενεργοποιήσει οι ίδιοι το λογισμικό στα μηχανήματά τους.
Το μυστήριο που μας μεταφέρουν οι αναγνωρισμένοι ειδικοί της Kaspersky περιγράφεται από τα ερωτήματα που παραθέτει ο ο Vitaly Kamluk, Principal Security Researcher, Global Research and Analysis Τeam της Kaspersky Lab: «Η δική μας εκτίμηση είναι ότι εκατομμύρια υπολογιστές “τρέχουν” το λογισμικό Absolute Computrace και ότι μεγάλος αριθμός χρηστών μπορεί να μην ξέρουν ότι το λογισμικό έχει ενεργοποιηθεί και λειτουργεί. Ποιος είχε το δικαίωμα να ενεργοποιήσει το Computrace σε όλους αυτούς τους υπολογιστές; Μήπως ένας άγνωστος φορέας τους παρακολουθεί; Αυτό είναι ένα μυστήριο που πρέπει να λυθεί».
Τα στατιστικά στοιχεία που δίνει η Kaspersky από το δικό της Kaspersky Security Network, το Computrace “τρέχει” στις συσκευές περίπου 150.000 χρηστών. Ο εκτιμώμενος συνολικός αριθμός των χρηστών που διαθέτουν ενεργοποιημένο το Computrace μπορεί να υπερβαίνει τα 2 εκατομμύρια. Δεν είναι σαφές πόσοι από αυτούς τους χρήστες γνωρίζουν ότι το Computrace “τρέχει” στα συστήματά τους. Επίσης, αναφέρεται πως η πλειονότητα αυτών των υπολογιστών βρίσκεται στις Ηνωμένες Πολιτείες και στη Ρωσία.
Από την άλλη, διευκρινίζεται πως «Δεν υπάρχει καμία απόδειξη ότι το Absolute Computrace χρησιμοποιείται ως πλατφόρμα για επιθέσεις. Ωστόσο, οι ειδικοί διαφόρων εταιρειών διακρίνουν δυνατότητες επιθέσεων. Μερικά ανησυχητικά και ανεξήγητα συμβάντα που περιλάμβαναν μη εξουσιοδοτημένες ενεργοποιήσεις του Computrace κάνουν το παραπάνω σενάριο ολοένα και πιο ρεαλιστικό», γράφουν.
Τι απαντά στην Kaspersky Lab η Absolute Software
Η εκπρόσωπος της εταιρείας, Jenny Sneyd απαντά με έκπληξη, ότι το θέμα αυτό είχε ανακύψει και είχε αντιμετωπιστεί πριν από πέντε χρόνια. Σημειώνει δε πως, το Computrace έχει αναγνωριστεί ως ασφαλές και νόμιμο που βελτιώνει την ασφάλεια στο τελικό σημείο, από όλους τους μεγάλους κατασκευαστές λογισμικού anti-malware (και ως εκ τούτου η εταιρεία είναι “white list vendor”- κάτι το οποίο άλλωστε, οφείλουμε να συμπληρώσουμε, πως, πολύ προσεκτικά, σημειώνει και η Kaspersky Lab.
H Absolute αναφέρει επίσης πως, το Computrace είναι ενσωματωμένο στο firmware υπολογιστών, netbook, tablet και smartphone από διεθνείς κατασκευαστές, συμπεριλαμβανομένων των Acer, ASUS, Dell, Fujitsu, HP, Lenovo, Motion, Panasonic, Samsung, και Toshiba. Ακόμα η εταιρεία έχει συμφωνίες μεταπώλησης με αυτούς τους κατασκευαστές OEM και άλλους, συμπεριλαμβανομένης της Apple.
Η Absolute επισημαίνει πως το “Absolute persistence module” παραμένει σε λανθάνουσα κατάσταση μέχρι το λογισμικό (o Computrace software client) να εγκατασταθεί και να ενεργοποιηθεί.
Η αναφορά της Kaspersky Lab στην έκθεση του 2009
Σχετικά με την αναφορά στις ανησυχίες που εκδηλώθηκαν πριν από πέντε χρόνια, η Kaspersky αναφέρει πως «Το 2009, ερευνητές της Core Security Technologies παρουσίασαν τα ευρήματά τους σχετικά με το Absolute Computrace. Οι ερευνητές προειδοποίησαν για τους κινδύνους αυτής της τεχνολογίας και για το πώς ένας εισβολέας θα μπορούσε να τροποποιήσει το μητρώο του συστήματος για να επιτεθεί στα “callbacks” του Computrace. Η επιθετική συμπεριφορά του Computrace Agent ήταν ο λόγος για τον οποίο στο παρελθόν ανιχνευόταν ως malware. Σύμφωνα με ορισμένες μελέτες, το Computrace χαρακτηρίστηκε από τη Microsoft ως “VirTool: Win32/BeeInject”. Παρ ‘όλα αυτά, αργότερα η Microsoft και κάποιοι πάροχοι λύσεων anti-malware εγκατέλειψαν αυτόν τον χαρακτηρισμό. Εκτελέσιμα αρχεία του Computrace ανήκουν σήμερα εγκεκριμένα στις “λευκές λίστες” των περισσότερων εταιρειών anti-malware.».
Εντούτοις, η Kaspersky επιμένει πως «Ένα τόσο ισχυρό εργαλείο, όπως το λογισμικό Absolute Computrace, πρέπει να χρησιμοποιεί τους μηχανισμούς ταυτοποίησης και κρυπτογράφησης για να συνεχίσει να υπηρετεί το “καλό”. Είναι σαφές ότι εάν υπάρχουν πολλοί υπολογιστές που “τρέχουν” Computrace agents, είναι ευθύνη του κατασκευαστή (σε αυτή την περίπτωση της Absolute Software) να ενημερώσει τους χρήστες και να εξηγήσει πως το λογισμικό μπορεί να απενεργοποιηθεί και να αποκλειστεί», σημείωσε ο κύριος Kamluk. «Διαφορετικά, αυτά τα “ορφανά” agents θα συνεχίσουν να “τρέχουν” απαρατήρητα, προσφέροντας δυνατότητες απομακρυσμένης εκμετάλλευσης», καταλήγει ο αξιωματούχος της Kaspersky.
Όπως επισημαίνει η Kaspersky Lab και όπως επιβεβαιώνεται και από την Absolute, το Computrace «επιβιώνει» ακόμα κι αν ο χρήστης κάνει επανεγκατάσταση του λειτουργικού συστήματος, αλλάξει σκληρό δίσκο ή κάνει format ξανά και ξανά (αυτό συμβαίνει όταν έρχεται προεγκαταστημένο στο firmware και βρίσκεται στο BIOS). Η δυνατότητα ενεργοποίησης/απενεργοποίησης του Persistant Agent, αναφέρει η Absolute δεν αφαιρείται ακόμα και με flash (διαγραφή) του BIOS.
