Masz komputer z tym BIOS-em? Grożą ci kłopoty

Masz komputer z tym BIOS-em? Grożą ci kłopoty12.02.2014 13:37
Źródło zdjęć: © Tremaster / Wikimedia / CC

Kaspersky Lab potwierdził istnienie ukrytego zagrożenia w BIOS-ach popularnych laptopów i ostrzega, że Absolute Computrace, oprogramowanie do ochrony przed kradzieżą, może być zdalnie kontrolowane przez cyberprzestępców. Zagrożonych jest kilka milionów komputerów na całym świecie.

Eksperci z Kaspersky Lab ujawnili wyniki badań, które potwierdzają –. i wykazują – że słaba implementacja oprogramowania zabezpieczającego przed kradzieżą sprzedawanego przez Absolute Software może zmienić przydatne narzędzie przeznaczone do ochrony w potężny instrument wykorzystywany do cyberataków.
Ta nieudana implementacja pozwala osobom atakującym, w sposób ukradkowy, uzyskać pełny dostęp do milionów komputerów. W badaniu skoncentrowano się głównie na agencie Absolute Computrace, który znajduje się w oprogramowaniu systemowym (tzw. firmware) lub w pamięci ROM BIOS-u współczesnych laptopów i komputerów stacjonarnych.

Głównym motywem podjęcia tego projektu badawczego było wykrycie agenta Computrace zainstalowanego na kilku prywatnych komputerach badaczy z Kaspersky Lab oraz komputerach korporacyjnych bez wcześniejszej autoryzacji. Chociaż Computrace jest legalnym produktem opracowanym przez Absolute Software, niektórzy właściciele systemów twierdzą, że nigdy nie zainstalowali i nie aktywowali tego oprogramowania na swoich maszynach, ani też nie wiedzieli nic o nim. Większość tradycyjnych, preinstalowanych pakietów oprogramowania może zostać trwale usunięta lub wyłączona przez użytkownika; jednak Computrace został stworzony w taki sposób, aby mógł przetrwać profesjonalne czyszczenie systemu, a nawet wymianę dysku twardego.

Użytkownik może przez pomyłkę uznać Computrace za zagrożenie, ponieważ aplikacja ta wykorzystuje wiele sztuczek typowych dla współczesnego szkodliwego oprogramowania: techniki ochrony przed debugowaniem oraz inżynierią wsteczną, wstrzykiwanie do pamięci innych procesów, nawiązywanie tajnej komunikacji, łatanie plików systemowych na dysku, szyfrowanie plików konfiguracyjnych oraz zapisywanie na plików wykonywalnych na dysku komputera wprost z pamięci BIOS-u/firmware’u.

„Potężne ugrupowania posiadające możliwość wykorzystywania światłowodów mogą potencjalnie porwać komputery, na których zainstalowano Absolute Computrace. Oprogramowanie to może być wykorzystywane do wprowadzania aplikacji szpiegujących”. – tłumaczy Witalij Kamliuk, główny badacz bezpieczeństwa, Globalny Zespół ds. Badań i Analiz, Kaspersky Lab. „Według naszych szacunków oprogramowanie Absolute Computrace jest zainstalowane na milionach komputerów, a spora część użytkowników może nie wiedzieć, że taka aplikacja jest aktywna w ich systemach. Komu mogło zależeć na aktywowaniu Computrace’a na wszystkich tych komputerach? Czy monitoruje je nieznany sprawca? To zagadka, która wymaga rozwiązania”.

Według danych pochodzących z Kaspersky Security Network, istnieje około 15. 000 użytkowników, którzy mają zainstalowanego agenta Computrace na swoich komputerach. Szacowana łączna liczba użytkowników z aktywowanym agentem Computrace może przekraczać 2 miliony. Nie wiadomo, ilu z tych użytkowników jest świadomych, że w ich systemie działa Computrace.

Luki w bezpieczeństwie

Protokół sieciowy wykorzystywany przez Computrace Small Agent posiada podstawowe funkcje umożliwiające zdalne wykonanie kodu. Protokół ten nie wymaga użycia szyfrowania ani uwierzytelnienia zdalnego serwera, co stwarza wiele możliwości przeprowadzenia zdalnych ataków w środowisku sieciowym.

Platforma ataków

Nie ma żadnego dowodu na to, że Absolute Computrace jest wykorzystywany jako platforma do przeprowadzania ataków. Jednak eksperci z kilku państw dostrzegają ryzyko; niektóre niepokojące i niewyjaśnione przypadki nieautoryzowanej aktywacji Computrace sprawiają, że zagrożenie to jest coraz bardziej realne.

Jeszcze w 200. roku badacze z Core Security Technologies zaprezentowali swoje ustalenia dotyczące Absolute Computrace. Badacze ostrzegli przed zagrożeniami związanymi z tą technologią i wyjaśnili, jak osoba atakująca mogłaby zmodyfikować rejestr systemu w celu przechwycenia wywołań zwrotnych z Computrace. Agresywne zachowanie Computrace Agent było czynnikiem, który spowodował, że aplikacja ta w przeszłości była już wykrywana jako szkodliwe oprogramowanie. Według niektórych doniesień, Computrace był wykrywany przez firmę Microsoft jako VirTool:Win32/BeeInject. Później jednak zarówno Microsoft, jak i kilku producentów rozwiązań do ochrony przed szkodliwym oprogramowaniem usunęło sygnatury tego programu ze swoich baz danych. Pliki wykonywalne Computrace’a znajdują się obecnie na białych listach większości firm z branży ochrony przed szkodliwym oprogramowaniem.
„Tak potężne narzędzie jak oprogramowanie Absolute Computrace, aby nadal mogło służyć dla dobra ogółu, musi wykorzystywać mechanizmy uwierzytelniania i szyfrowania. Nie ma wątpliwości, że w sytuacji, gdy istnieje wiele komputerów z zainstalowanym agentem Computrace, producent (w tym przypadku Absolute Software) jest odpowiedzialny za powiadomienie użytkowników i wytłumaczenie, w jaki sposób można dezaktywować i wyłączyć oprogramowanie”. – dodaje Witalij Kamluk. „W przeciwnym razie takie pozostawione samym sobie agenty pozostaną niezauważone przez użytkowników i będą umożliwiały zdalne wykorzystanie komputera do szkodliwych celów”.

Najnowsze i najpopularniejsze laptopy w najniższych cenach! Kliknij i sprawdź oferty!

© WP Tech·Redakcja·Regulamin·Polityka prywatności·Reklama
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź naUKRAINA