התוקפים יכולים להשתמש בכלי נגד גניבות computrace כדי לנגב מחשבים מרחוק

על פי חוקר מעבדות קספרסקי, תוכנה פופולרית נגד גניבה המותקנת במחשבים ניידים של כמעט כל יצרנית מחשבים גדולה יכולה לשמש את התוקפים לחטיפת מחשבים.

תוכנה מוחלטת טוענת שמוצר Computrace שלה מסייע לארגונים לעקוב אחר נקודות הקצה שלהם ולאבטח אותם. מבחינת מעבדת קספרסקי הכלי יכול לשמש את התוקפים בכדי לפקח ולשלוט מרחוק על מכונות אלה ואף למחוק את כל המידע מהמחשב.

ויטלי קמלוק, חוקרת אבטחה ראשית במעבדת קאספרקסי, אמרה "ויתכן שאם יש הרבה מחשבים עם סוכני Computrace, האחריות של היצרן להודיע ​​למשתמשים ולהסביר כיצד ניתן לבטל ולהשבית את התוכנה.

קמלוק אמר למשתתפים בוועידת אנליסט האבטחה של מעבדת קספרסקי בשבוע שעבר כי הוא הופתע למצוא את מחשב Computrace במחשב הנייד שלו, אף על פי שמעולם לא קנה או התקין שום דבר מתוכנת Absolute. הוא לא היחיד, מכיוון שיש דיווחים אחרים של משתמשים ברשת "הטוענים שהם מצאו אותם במחשבים שלהם והם מעולם לא רכשו את Absolute", אמר.

חישוב בפנים

נראה כי Computrace הותקן מראש על תריסר יצרני מחשבים ניידים גדולים, כולל סמסונג, Acer, Lenovo, Hewlett-Packard, Dell, Panasonic, Toshiba, Asus, Gateway, General Dynamics, Fujitsu ו- Gamatech. מכיוון שהוא מיועד לשמש ככלי נגד גניבה, הוא מופיע ברשימת ההיתרים של ספקי האנטי-וירוס הגדולים, כך שלרוב המשתמשים אין שום מושג שהתוכנה נמצאת במחשבים שלהם. אניבל סוקו, מייסדת וחוקרת במעבדות קוביקה, שניתחה את Computrace לראשונה בשנת 2009 בזמן שהייתה ב- Core Security Technologies. "כל החברות רואות זאת כמוצר לגיטימי".

הסוכן שוכן בקושחה, כך שלא משנה איזו מערכת הפעלה אתה מפעיל, או איזה סוג של הגנות אבטחה יש לך. הוא מוטמע בחומרה וקשה להסרה. המשתמש יכול להסיר או להשבית לצמיתות את רוב התוכנות המותקנות מראש, אך Computrace נועד לשרוד ניקוי מערכות מקצועי ואפילו החלפת דיסק קשיח.

על פי נתונים סטטיסטיים שמספקת רשת האבטחה של קספרסקי, ישנם כ -150, 000 משתמשים אשר סוכן Computrace פועל על מכונותיהם, מה שאומר שמספר המשתמשים ברחבי העולם עם Computrace פעיל עשוי לעלות על 2 מיליון. מרבית המחשבים הללו ממוקמים בארצות הברית וברוסיה, מסר מעבדת קספרסקי.

התנהגות בעייתית

בעוד Computrace היא תוכנה מסחרית שנועדה לעשות טוב, היא מעסיקה רבים מאותם טריקים כמו תוכנות זדוניות, כולל שימוש בטכניקות הנדסיות נגד ניפוי שגיאות ואנטי הפוך, הזרקת זיכרון לתהליכים אחרים והצפנת קבצי תצורה. סאקו תיאר את הכלי כ"ערכת כלים סמויה "וציין שלסוכן Windows אין אימות מכל סוג שהוא. Computrace מתקשר עם השרתים ב- Absolute Software דרך ערוץ לא מוצפן ושומר מידע ללא מוצפנות. פרוטוקול הרשת יכול לשמש לביצוע קוד מרחוק והוא פגיע לשימוש לרעה, הזהיר סאקו.

ממעבדת קספרסקי נמסר כי נראה כי הצפנה מתווספת לפרוטוקול הרשת בשלב מאוחר יותר של תקשורת, אולם התוקפים עדיין יכולים לנצל את הרכיבים הלא מוצפנים כדי לחטוף מרחוק את המערכת. קמלוק אמר כי ניתן להשתמש ב Computrace להתקנת תוכנות ריגול בנקודות הקצה, להפנות את כל התעבורה ממחשב שמריץ סוכן קטן למארח התוקף באמצעות הרעלת ARP, ולהפעיל מתקפת שירות DNS כדי להערים את הסוכן להתחבר לשרת C & C מזויף, ל שם כמה.

"יש בעיה גדולה עם זה", אמר סאקו למשתתפים.

אין שום בעיה כאן?

ה- CTO של חברת תוכנה מוחלטת, פיל גארדנר, מתח ביקורת על המחקר של קספרסקי כ"פגום "ואמר כי הוא" כשרון טכני מפוקפק ". מתוכנה מוחלטת נמסר כי Computrace משתמש בהצפנה ואימות לשרת, מה שימנע את סוגי ההתקפות עליהן הזהיר קמלוק. הסוכן לא יתקשר עם שרת אלא אם הוא מורשה, ו"תקשר רק עם אימות הדדי של השרת והלקוח ", אמר גרדנר.

לפני שתוקף יכול להשתמש בזדון Computrace, יש לסכן את נקודת הקצה. "המכשולים להתקפת התקפה כזו הם ניכרים ואינם ניתנים להשגה באמצעות המנגנון המתואר בדו"ח קספרסקי, " אמרה תוכנה מוחלטת בשאלות נפוצות.

אף על פי כן, אם אינך אוהב את הרעיון של משהו שרץ במחשב שאתה לא יודע עליו, אתה יכול לעקוב אחר ההוראות של מעבדת קספרסקי כדי לאתר ולהשבית את Computrace.

חוטף ומוח

קמלוק הדגים הוכחת מושג בפסגה המראה כיצד תוקף יכול לפתוח מתקפה של אדם באמצע נגד מכונה בה הותקנה Computrace. התוקף יכול היה להעמיד פנים שהוא שרת של תוכנה מוחלטת ולשנות זיכרון במכונה של הקורבן.

"כל מי שיש לו את הכוח לשלוט בחיבור האינטרנט שלך יכול לעשות את אותו הדבר - ממשלה או ספק שירותי אינטרנט, למשל, " אמר קמלוק.

במעבדת קספרסקי נמסר כי אין הוכחה לכך שהחישוב המוחלט נעשה עד כה בפיגועים. תוכנה מוחלטת צריכה להשתמש באימות והצפנה כדי לאבטח את Computrace כך שלא ניתן יהיה לעשות בה שימוש לרעה, אמר Kamluk.

במהלך המצגת של קמלוק ניתן היה לראות כמה משתתפים בודקים את ה- BIOS שלהם כדי לראות אם Computrace היה קיים במחשבים שלהם. בסוף המצגת, המתח בחדר היה כמעט מוחשי, מכיוון שרבים מהנוכחים הבינו עד כמה Computrace היה נפוץ וכי הם אפילו לא היו מודעים לנוכחותו במכונות שלהם. זה גם היה מטריד כמה מהם אפשרו כברירת מחדל.