Absolute Computrace: Kako dobar softver za zaštitu od krađe može postati oruđe u rukama kriminalaca

Vesti, 13.02.2014, 07:00 AM

Absolute Computrace: Kako dobar softver za zaštitu od krađe može postati oruđe u rukama kriminalaca

Istraživački tim kompanije Kaspersky Lab je objavio izveštaj o tome kako korišćenje softvera za zaštitu od krađe koji je razvio Absolute Software može da od korisnog odbrambenog sredstva načini moćno sredstvo za sajber kriminalce.

Na skriven način, loša implementacija ove tehnologije daje napadačima pristup računarima miliona korisnika. Istraživači Kaspersky Lab-a fokusirali su se na Absolute Computrace program koji se nalazi u preinstaliranom firmware-u, ili PC ROM BIOS-u modernih laptop i desktop računara.

Razlog za ovo istraživanje je bilo otkriće Computrace softvera, instaliranog bez prethodnog ovlašćenja, na nekoliko privatnih računara istraživača koji rade za Kaspersky Lab.

Iako je Computrace legitimni proizvod koji je razvio Absolute Software, neki korisnici sistema su tvrdili da ga nikada nisu instalirali, aktivirali ili da nisu znali da je ovaj softver na njihovim računarima. Većina dobro poznatih preinstaliranih softverskih paketa može trajno biti uklonjena ili deaktivirana od strane korisnika; međutim, Computrace je dizajniran tako da „preživi“ profesionalno čišćenje sistema, pa čak i zamenu hard diska.

Korisnik bi mogao pogrešno da prepozna Computrace kao maliciozni softver jer koristi mnogo „trikova“ koji su karakteristični za moderne malvere: anti-debugging kao i tehnike protiv reverznog inženjeringa, upad u memoriju drugih procesa,uspostavljanje tajne komunikacije,patching sistemskih fajlova na disku,šifrovanje konfiguracionih fajlova i druge.

Vešti programeri koji prave softvere sa mogućnošću napada na druge računare mogli bi da napadnu računare koji imaju Absolute Computrace. Ovaj softver može biti iskorišćen za razvijanje dodataka za špijunažu,” upozorava Vitali Kamluk, glavni istraživač u globalnom istraživačkom i analitičkom timu kompanije Kaspersky Lab. “Naša procena je da milioni računara koriste Absolute Computrace softver i da veliki broj korisnika možda nije ni svestan da je ovaj softver aktiviran i da radi. Ko je imao razlog da aktivira Computrace na svim tim računarima? Da li ih špijunira neki nepoznati programer? To je misterija koja mora biti rešena.”

Prema podacima Kaspersky Security Network, otprilike 150000 korisnika ima Computrace na svojim uređajima. Procenjuje se da je ukupan broj korisnika koji imaju aktiviran Computrace veći od 2 miliona. Ne zna se tačno koliko tih korisnika zna da taj program radi u njihovim sistemima. Većina tih računara se nalazi u Sjedinjenim Američkim Državama i u Rusiji.

Mrežni protokol koji koristi Computrace Small Agent pruža osnovne mogućnosti za daljinsko izvršenje koda. Potokol ne zahteva korišenje enkripcije ili autorizaciju udaljenog servera, što stvara brojne mogućnosti za daljinski napad u neprijateljskom mrežnom okruženju.

Nema dokaza de se Absolute Computrace koristi kao platforma za napade. Ipak, stručnjaci iz nekoliko kompanija vide mogućnosti za napade; neke alarmantne i neobjašnjive činjenice o neautorizovanim Computrace aktivacijama čine ovo još realnijim.

2009. godine, istraživači iz kompanije Core Security Technologies su predstavili svoja otkrića o programu Absolute Computrace. Oni su upozorili na opasnosti ove tehnologije, kao i na to da postoji mogućnost da napadač modifikuje sistemski registar kako bi kontrolisao povratne informacije programa Computrace. Agresivno ponašanje Computrace Agenta je razlog zbog čega je ovaj program u prošlosti bio detektovan kao malver. Prema nekim izveštajima, Microsoft je takođe detektovao Computrace kao VirTool:Win32/Beelnject. Microsoft, ali i neki proizvođači antivirusa kasnije su uklonili ovu detekciju. Sada se Computrace nalazi na beloj listi većine proizvođača antivirusa.

Tako moćna alatka kao što je Absolute Computrace mora da koristi autorizaciju i mehanizme za enkripciju kako bi nastavio da služi opštem dobru. Jasno je da ako postoji mnogo računara koji imaju Computrace, to je zadatak proizvođača (u ovom slučaju Absolute Software) da upozori korisnike i objasni im kako softver može biti deaktiviran,” kaže Kamluk. U suprotnom, ovi programi će nastaviti neprimetno da rade i mogu da dovedu do daljinska iskorišćavanja.“

Ceo izveštaj sa detaljnim opisima rada softvera Absolute Computrace možete naći na blogu kompanije Kaspersky Lab, Securelist.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Kako veštačka inteligencija pomaže u borbi protiv prevara na internetu

Kako veštačka inteligencija pomaže u borbi protiv prevara na internetu

Više od decenije, Google koristi veštačku inteligenciju za zaštitu korisnika od prevara na internetu koji žele da dobiju pristup njihovom novcu i... Dalje

Da li su vaše lozinke među najslabijim lozinkama?

Da li su vaše lozinke među najslabijim lozinkama?

Analiza više od 19 milijardi procurelih lozinki otkrila je i dalje prisutnu, široko rasprostranjenu pojavu ponovne upotrebe slabih lozinki. Lozinke,... Dalje

Prevare sa „tajanstvenim kutijama“ kradu podatke sa platnih kartica i novac sa računa kupaca

Prevare sa „tajanstvenim kutijama“ kradu podatke sa platnih kartica i novac sa računa kupaca

Istraživači kompanije Bitdefender upozorili su veoma sofisticirane prevare putem pretplata, za koje sajber kriminalci koriste „neverovatno ube... Dalje

Nalozi trećine korisnika interneta hakovani prošle godine zbog slabe lozinke

Nalozi trećine korisnika interneta hakovani prošle godine zbog slabe lozinke

Bar jedan onlajn nalog više od trećine (36%) ljudi prošle godine je hakovan zbog slabe ili ukradene lozinke, otkrilo je novo istraživanje FIDO al... Dalje

Google: Softverske ranjivosti nultog dana veoma tražene i sve ih je lakše nabaviti, a evo ko ih i zašto koristi

Google: Softverske ranjivosti nultog dana veoma tražene i sve ih je lakše nabaviti, a evo ko ih i zašto koristi

Sajber kriminalci su koristili najmanje 75 bezbednosnih ranjivosti za koje proizvođači softvera nisu znali - takozvane nulte ranjivosti - otkriva iz... Dalje