I dobar softver može da postane loš

Kompanija Kaspersky Lab je potvrdila da postoje skrivene pretnje u BIOS programima u popularnim laptopovima i upozorava da Absolute Computrace anti-malver softver može biti daljinskim zloupotrebljen

Moskva, 12. Februar 2014

Kaspersky LabIstraživački bezbednosni tim kompanije Kaspersky Lab je danas objavio izveštaj koji potvrđuje-i pokazuje-da neadekvatno korišćenje anti-malver softvera koji je razvio Absolute softver može da od korisnog odbrambenog sredstva načini moćno sredstvo za sajber kriminalce.

Na skriven način, ova mogućnost daje napadačima pristup računarima miliona korisnika. Fokus istraživanja je bio Absolute Computrace program koji se nalazi u preinstaliranom firmware softveru, ili PC ROM BIOS-u modernih laptopova i desktopova.

Najveći razlog za ovo istraživanje je bilo otkriće programa za Computrace softver, instaliranog bez prethodnog ovlašćenja i to na nekoliko privatnih računara istraživača koji rade za Kaspersky Lab.

Iako je Computrace legitimni proizvod koji je razvio Absolute Software, neki korisnici sistema su rekli da nikada nisu instalirali, aktivirali ili da nikada nisu čuli za ovaj softver na svojim uređajima. Većina dobro poznatih instaliranih softvera može trajno biti uklonjena ili deaktivirana od strane korisnika; međutim Computrace je napravljen zaštićenim od profesionalnog čišćenje sistema, pa čak i od zamene hard diska.

Korisnik bi mogao pogrešno da prepozna Computrace kao maliciozni softver jer koristi mnogo funkcija koje su karakteristične za moderne malvere: anti-debugging i anti-reverse inžinjerske tehnologije, upad u memoriju drugih procesa,uspostavljanje tajne komunikacije,pečovanje sistemskih fajlova na disku,šifrovanje konfiguracionih datoteka,i pokretanje Windows izvršnog fajla iz BIOS-a/firmware-a.

Vešti programeri koji prave softvere sa mogućnošću napada na druge računare mogli bi da napadnu računare koji imaju Absolute Computrace. Ovaj softver može biti iskorišćen za razvijanje dodataka za špijunažu,” upozorava Vitaly Kamluk, glavni bezbednosni istraživač u globalnom istraživačkim i analitičkom timu kompanije Kaspersky Lab. “Naša procena je da milioni računara koriste Absolute Computrace softver i da veliki broj korisnika možda nije svestan da je ovaj softver aktiviran i da radi. Ko je imao razlog da aktivira Computrace na svim tim računarima? Da li ih špijunira neki nepoznati programer? To je misterija koja mora biti rešena.”

Statistike:

  • Prema bezbednosnoj mreži kompanije Kaspersky Lab, otprilike 150,000 korisnika ima program Computrace na svojim uređajima. Procenjuje se da je ukupan broj korisnika koji imaju aktiviran Computrace veći od 2 miliona. Ne zna se tačno koliko tih korisnika zna da taj program radi u njihovim sistemima.

  • Većina tih računara se nalazi u Sjedinjenim Američkim Državama i u Rusiji.

Nedostaci u zaštiti

Mrežni protokol koji Computrace Small Agent koristi poseduje osnovne dodatke za daljinsko izvršenje koda. Potokol ne zahteva korišćenje enkripcije ili autorizacije servera, što predstavlja dobru priliku za daljinski napad u neprijateljskom mrežnom okruženju.

Platforma za napad

Nema dokaza de se Absolute Computrace koristi kao platforma za napade. Ipak, stručnjaci iz nekoliko kompanija vide mogućnosti za napad; neke alarmantne i neobjašnjive činjenice neautorizovanih Computrace aktivacija čine ovo još realnijim.

2009. godine, istraživači iz kompanije Core Security Technologies su predstavili svoja otkrića o programu Absolute Computrace. Oni su upozorili na opasnosti ove tehnologije kao i da postoji mogućnost da bi napadač mogao da modifikuje sistemski registar kako bi kontrolisao povratnu informaciju programa Computrace. Zbog takvih karakteristika ranije se smatralo da je u pitanju malver. Prema nekim izveštajima, Majkrosoft je prepoznao Computrace kao VirTool:Win32/Beelnject. Ipak to je kasnije uklonjeno od strane kompanije Majkrosoft i nekh drugih proizvođača antimalver programa. Programi Computrace se nalaze na beloj listi svih antimalver kompanija.

Tako moćna alatka kao što je Absolute Computrace mora da koristi autorizaciju i mehanizme za enkripciju kako bi nastavio da služi opštem dobru. Jasno je da ako postoji mnogo računara koji imaju Computrace, to je zadatak proizvođača (u ovom slučaju Absolute Softver) da upozori korisnike i objasni im kako softver može biti deaktiviran,” rekao je Kamluk. U suprotnom, ovi programi će nastaviti neprimetno da rade i mogu da izazovu daljinsko iskorišćavanje.“

Ako želite da pročitate ceo izveštaj sa detaljnim opisima rada programa Absolute Computrace, pogledajte Securelist.

O kompaniji Kaspersky Lab

Kompanija Kaspersky Lab je najveća privatna kompanija za proizvodnju zaštitnih programa za endpoint uređaje na svetu. Kompanija se nalazi među četiri najveća prodavca bezbednosnih programa za korisnike endpoint uređaja. Kroz njenu bogatu istoriju dužu od 16 godina kompanija Kaspersky Lab je ostala inovator u oblasti IT bezbednosti i obezbeđuje efikasna bezbednosna rešenja za velike kompanije, mala i srednja preduzeća i individualne potrošače. Kompanija Kaspersky Lab sa sedištem u Engleskoj, trenutno posluje u skoro 200 zemalja i oblasti širom sveta, obezbeđujući zaštitu za više od 300 miliona korisnika u svetu. Više informacija na www.kaspersky.com 

* Kompanija se nalazi na četvrtom mestu po rangiranju IDC rating Worldwide Endpoint Security Revenue by Vendor, 2012. Ova procena je objavljena u izveštaju IDC report “Worldwide Endpoint Security 2013–2017 Forecast and 2012 Vendor Shares (IDC #242618, August 2013). Izveštaj je uključio proizvođače softvera prema zaradama koje su ostvarili od prodaje bezbednosnih programa za endpoint uređaje u 2012. godini.

newsmaster