Absolute Computrace: Kako dobar softver za zaštitu od krađe može postati oruđe u rukama kriminalaca

Vesti, 13.02.2014, 07:00 AM

Istraživački tim kompanije Kaspersky Lab je objavio izveštaj o tome kako korišćenje softvera za zaštitu od krađe koji je razvio Absolute Software može da od korisnog odbrambenog sredstva načini moćno sredstvo za sajber kriminalce.

Na skriven način, loša implementacija ove tehnologije daje napadačima pristup računarima miliona korisnika. Istraživači Kaspersky Lab-a fokusirali su se na Absolute Computrace program koji se nalazi u preinstaliranom firmware-u, ili PC ROM BIOS-u modernih laptop i desktop računara.

Razlog za ovo istraživanje je bilo otkriće Computrace softvera, instaliranog bez prethodnog ovlašćenja, na nekoliko privatnih računara istraživača koji rade za Kaspersky Lab.

Iako je Computrace legitimni proizvod koji je razvio Absolute Software, neki korisnici sistema su tvrdili da ga nikada nisu instalirali, aktivirali ili da nisu znali da je ovaj softver na njihovim računarima. Većina dobro poznatih preinstaliranih softverskih paketa može trajno biti uklonjena ili deaktivirana od strane korisnika; međutim, Computrace je dizajniran tako da „preživi“ profesionalno čišćenje sistema, pa čak i zamenu hard diska.

Korisnik bi mogao pogrešno da prepozna Computrace kao maliciozni softver jer koristi mnogo „trikova“ koji su karakteristični za moderne malvere: anti-debugging kao i tehnike protiv reverznog inženjeringa, upad u memoriju drugih procesa,uspostavljanje tajne komunikacije,patching sistemskih fajlova na disku,šifrovanje konfiguracionih fajlova i druge.

“Vešti programeri koji prave softvere sa mogućnošću napada na druge računare mogli bi da napadnu računare koji imaju Absolute Computrace. Ovaj softver može biti iskorišćen za razvijanje dodataka za špijunažu,” upozorava Vitali Kamluk, glavni istraživač u globalnom istraživačkom i analitičkom timu kompanije Kaspersky Lab. “Naša procena je da milioni računara koriste Absolute Computrace softver i da veliki broj korisnika možda nije ni svestan da je ovaj softver aktiviran i da radi. Ko je imao razlog da aktivira Computrace na svim tim računarima? Da li ih špijunira neki nepoznati programer? To je misterija koja mora biti rešena.”

Prema podacima Kaspersky Security Network, otprilike 150000 korisnika ima Computrace na svojim uređajima. Procenjuje se da je ukupan broj korisnika koji imaju aktiviran Computrace veći od 2 miliona. Ne zna se tačno koliko tih korisnika zna da taj program radi u njihovim sistemima. Većina tih računara se nalazi u Sjedinjenim Američkim Državama i u Rusiji.

Mrežni protokol koji koristi Computrace Small Agent pruža osnovne mogućnosti za daljinsko izvršenje koda. Potokol ne zahteva korišenje enkripcije ili autorizaciju udaljenog servera, što stvara brojne mogućnosti za daljinski napad u neprijateljskom mrežnom okruženju.

Nema dokaza de se Absolute Computrace koristi kao platforma za napade. Ipak, stručnjaci iz nekoliko kompanija vide mogućnosti za napade; neke alarmantne i neobjašnjive činjenice o neautorizovanim Computrace aktivacijama čine ovo još realnijim.

2009. godine, istraživači iz kompanije Core Security Technologies su predstavili svoja otkrića o programu Absolute Computrace. Oni su upozorili na opasnosti ove tehnologije, kao i na to da postoji mogućnost da napadač modifikuje sistemski registar kako bi kontrolisao povratne informacije programa Computrace. Agresivno ponašanje Computrace Agenta je razlog zbog čega je ovaj program u prošlosti bio detektovan kao malver. Prema nekim izveštajima, Microsoft je takođe detektovao Computrace kao VirTool:Win32/Beelnject. Microsoft, ali i neki proizvođači antivirusa kasnije su uklonili ovu detekciju. Sada se Computrace nalazi na beloj listi većine proizvođača antivirusa.

“Tako moćna alatka kao što je Absolute Computrace mora da koristi autorizaciju i mehanizme za enkripciju kako bi nastavio da služi opštem dobru. Jasno je da ako postoji mnogo računara koji imaju Computrace, to je zadatak proizvođača (u ovom slučaju Absolute Software) da upozori korisnike i objasni im kako softver može biti deaktiviran,” kaže Kamluk. U suprotnom, ovi programi će nastaviti neprimetno da rade i mogu da dovedu do daljinska iskorišćavanja.“

Ceo izveštaj sa detaljnim opisima rada softvera Absolute Computrace možete naći na blogu kompanije Kaspersky Lab, Securelist.