<
  • Главная
Статьи

Коли «антизлодій» проти вас

Що, якщо на вашому ноутбуці працює «антизлодійського» додаток, яке ви ніколи не активували? І воно може відкрити віддалений доступ до вашого комп'ютера? І його неможливо видалити, навіть замінивши жорсткий диск? Звучить як міська легенда, але, як не дивно, є чистою правдою.
Що, якщо на вашому ноутбуці працює «антизлодійського» додаток, яке ви ніколи не активували
Саме це виявив Сергій Бєлов, антивірусний експерт «Лабораторії Касперського», коли почав розбиратися з незрозумілою програмної помилкою на особистому ноутбуку своєї дружини. Його увагу привернув підозрілий процес, запущений на комп'ютері. Спочатку Бєлов вирішив, що йому попався досі невідомий руткит . Але в підсумку виявилося, що процес легітимний - він є частиною Absolute Computrace, популярного «протиугінного» додатка для ноутбуків. На відміну від багатьох аналогів, Computrace має дуже, дуже ексклюзивну можливість - частина програми «живе» в BIOS або UEFI, тобто мікросхемі, на якій зашита найперша програма, яка запускається на комп'ютері ще до запуску операційної системи. Завдяки цьому Computrace може «пережити» будь-які спроби видалення аж до заміни жорсткого диска. Тривогу експертів викликав той факт, що дружина Бєлова ніколи не запускала програму і навіть не знала, що воно встановлено на комп'ютері. А подальший аналіз приніс по-справжньому погані новини. Зловмисники за певних умов можуть перехопити управління додатком Computrace і, по суті, заволодіти комп'ютером користувача дистанційно.

«Протівоугонниє» додатка дуже корисні для мобільних пристроїв, оскільки маленькі і дорогі гаджети улюблені злодіями

Взагалі кажучи, «протиугінні» додатка дуже корисні для мобільних пристроїв, оскільки маленькі і дорогі гаджети улюблені злодіями. В силу своєї специфічної завдання антизлодійського програма повинна бути маленькою, непомітною, вона підтримує з'єднання з головним сервером, щоб при необхідності повідомити про місцезнаходження комп'ютера або виконати потрібну дію, якщо ноутбук вкрадений. Ну і нарешті, вона повинна опиратися спробам відключення з боку злодюжки. Через всього цього протиугінний додаток працює з комп'ютером на низькому рівні, тобто звертається безпосередньо до його апаратних ресурсів і має серйозні привілеї доступу. І що відбувається, якщо таке потужне додаток вразливе? У гіршому випадку хакер може отримати повний доступ до вашого комп'ютера.

На жаль, все це не теорія. Минулого тижня я був свідком демонстрації, проведеної експертами «Лабораторії Касперського» Віталієм Камлюка і Сергієм Бєловим на Security Analyst Summit 2014. Дует дослідників дістав з коробки свіжокуплений ноутбук ASUS, минув початкові екрани Windows, а потім скористався іншим комп'ютером, щоб дистанційно активувати на ноутбуці веб-камеру, а потім і ініціювати процедуру «зачистки» лептопа. Це було зроблено за допомогою перехоплення незашифрованих мережевих пакетів і відправки назад потрібних даних, що імітують команди легітимного сервера Computrace.

До цього моменту ви, ймовірно, вже дуже хочете перевірити свій ноутбук на наявність агента Computrace і зайнятися його нагальним видаленням. Не витрачайте сили, це вельми проблематично. Як вже говорилося, агент повинен опиратися видалення, і у Computrace для цього є карт-бланш. Та частина Computrace, яка знаходиться в BIOS, перевіряє, чи встановлений на комп'ютері повноцінний агент. Якщо немає - при черговій завантаженні на диск зберігається невелика Windows-додаток, яке, в свою чергу, завантажує з Інтернету повноцінний агент Computrace і активує його. Ось ця фаза роботи і вразлива до віддаленого злому, що і було показано на SAS 2014.

Повний аналіз ситуації доступний в пості Камлюка і Бєлова на Securelist , Також там наведені ознаки, за якими на комп'ютері можна визначити працює агент Computrace .

За даними хмарного сервісу Kaspersky Security Network , У 150 000 клієнтів «Лабораторії Касперського» запущений агент Computrace. Віталій Камлюк оцінює, що в цілому Computrace активний приблизно на 2 млн комп'ютерів у всьому світі. Ми не знаємо, наскільки багато з них активовані самостійно користувачами по своїй волі.

BIOS-компонента Computrace встановлена ​​на більшості популярних чіпів BIOS / UEFI, які використовуються в ноутбуках лідерів ринку: Acer, ASUS, Sony, Toshiba, HP, Lenovo, Samsung і інших. У деяких ноутбуках є настройка BIOS для включення / відключення Computrace, в інших такого зручності немає. Далеко не кожен комп'ютер має запущений агент Computrace, навіть якщо в BIOS ця функція зашита, на багатьох машинах додаток неактивно. У той же час нашим експертам вдалося придбати кілька нових ноутбуків, на яких агент був активний відразу ж після першого включення. Чому додаток активується саме і хто при цьому його контролює - залишається загадкою.
[Youtube http://www.youtube.com/watch?v=O-fa8rxO2YI]

Що, якщо на вашому ноутбуці працює «антизлодійського» додаток, яке ви ніколи не активували?
І воно може відкрити віддалений доступ до вашого комп'ютера?
І його неможливо видалити, навіть замінивши жорсткий диск?
І що відбувається, якщо таке потужне додаток вразливе?
Com/watch?


Новости
  • Виртуальный хостинг

    Виртуальный хостинг. Возможности сервера распределяются в равной мере между всеми... 
    Читать полностью

  • Редизайн сайта

    Редизайн сайта – это полное либо частичное обновление дизайна существующего сайта.... 
    Читать полностью

  • Консалтинг, услуги контент-менеджера

    Сопровождение любых интернет ресурсов;- Знание HTML и CSS- Поиск и обновление контента;-... 
    Читать полностью

  • Трафик из соцсетей

    Сравнительно дешевый способ по сравнению с поисковым и контекстным видами раскрутки... 
    Читать полностью

  • Поисковая оптимизация

    Поисковая оптимизация (англ. search engine optimization, SEO) — поднятие позиций сайта в результатах... 
    Читать полностью