Vídeo: LIMPA CONTATO! O produto mágico da Informática e Eletrônica (Outubro 2024)
De acordo com um pesquisador da Kaspersky Lab, um software anti-roubo popular instalado em laptops de praticamente todos os principais fabricantes de computadores pode ser usado por atacantes para seqüestrar computadores.
A Absolute Software alega que seu produto Computrace ajuda as organizações a rastrear e proteger seus pontos de extremidade. No que diz respeito à Kaspersky Lab, a ferramenta pode ser usada por atacantes para monitorar e controlar remotamente essas máquinas e até mesmo limpar todas as informações do computador.
"Está claro que, se houver muitos computadores com agentes da Computrace em execução, é responsabilidade do fabricante notificar os usuários e explicar como o software pode ser desativado e desativado", disse Vitaly Kamluk, pesquisador principal de segurança da Kasperksy Lab.
Kamluk disse aos participantes da Kaspersky Lab Security Analyst Summit da semana passada que ficou surpreso ao encontrar o Computrace em seu laptop doméstico, apesar de nunca ter comprado ou instalado nada da Absolute Software. Ele não é o único, pois há outros relatos de usuários on-line "alegando que os encontraram em suas máquinas e nunca compraram a Absolute", disse ele.
Computrace Inside
O Computrace parece vir pré-instalado em uma dúzia dos principais fabricantes de laptops, incluindo Samsung, Acer, Lenovo, Hewlett-Packard, Dell, Panasonic, Toshiba, Asus, Gateway, General Dynamics, Fujitsu e Gamatech. Como ele deve ser usado como uma ferramenta anti-roubo, ele está na lista de permissões dos principais fornecedores de antivírus, para que a maioria dos usuários nunca tenha idéia do software estar em suas máquinas. "Todas as empresas o veem como um produto legítimo", disse Anibal Sacco, co-fundador e pesquisador do Cubica Labs, que analisou o Computrace pela primeira vez em 2009 enquanto estava na Core Security Technologies.
O agente reside no firmware, portanto, não importa qual sistema operacional você está executando ou que tipo de proteção de segurança você possui. Está embutido no hardware e é difícil de remover. A maioria dos softwares pré-instalados pode ser permanentemente removida ou desativada pelo usuário, mas o Computrace foi projetado para sobreviver à limpeza profissional do sistema e até à substituição do disco rígido.
De acordo com as estatísticas fornecidas pela Kaspersky Security Network, existem aproximadamente 150.000 usuários que têm o agente Computrace em execução em suas máquinas, o que significa que o número de usuários em todo o mundo com o Computrace ativo pode exceder 2 milhões. A maioria desses computadores está localizada nos Estados Unidos e na Rússia, disse a Kaspersky Lab.
Comportamento problemático
Embora o Computrace seja um software comercial projetado para fazer o bem, ele emprega muitos dos mesmos truques que o malware, incluindo o uso de técnicas de engenharia anti-depuração e engenharia reversa, injetando memória em outros processos e criptografando arquivos de configuração. Sacco descreveu a ferramenta como um "kit de ferramentas latente" e observou que o agente do Windows não possui autenticação de nenhum tipo. O Computrace se comunica com os servidores da Absolute Software por um canal não criptografado e armazena informações não criptografadas. O protocolo de rede pode ser usado para execução remota de código e é vulnerável a abusos, alertou Sacco.
A Kaspersky Lab disse que a criptografia parece ser adicionada ao protocolo de rede em um estágio posterior das comunicações, mas que os invasores ainda podem tirar proveito dos componentes não criptografados para seqüestrar remotamente o sistema. Kamluk disse que o Computrace pode ser usado para instalar spywares nos terminais, redirecionar todo o tráfego de um computador executando o Small Agent para o host do invasor via envenenamento por ARP e iniciar um ataque de serviço DNS para induzir o agente a se conectar a um servidor C&C falso, cite alguns.
"Há um grande problema com isso", disse Sacco aos participantes.
Nenhum problema aqui?
O diretor de tecnologia da Absolute Software, Phil Gardner, criticou a pesquisa da Kaspersky como "falha" e disse que tinha "mérito técnico questionável". A Absolute Software disse que o Computrace usa criptografia e autenticação no servidor, o que impediria os tipos de ataques que Kamluk alertou. O agente não se comunicará com um servidor a menos que esteja autorizado e "somente se comunicará com autenticação mútua do servidor e do cliente", afirmou Gardner.
Antes que um invasor possa usar o Computrace de maneira maliciosa, o terminal deve estar comprometido. "Os obstáculos para montar um ataque desse tipo são consideráveis e não são alcançáveis através do mecanismo descrito no relatório da Kaspersky", disse a Absolute Software em uma FAQ.
Mesmo assim, se você não gosta da ideia de algo em execução no seu computador que não conhece, siga as instruções da Kaspersky Lab para localizar e desativar o Computrace.
Seqüestrar e limpar
Kamluk demonstrou uma prova de conceito na cúpula, mostrando como um invasor poderia lançar um ataque de intermediário contra uma máquina na qual o Computrace estava instalado. O invasor pode fingir ser um servidor da Absolute Software e alterar a memória na máquina da vítima.
"Qualquer pessoa com o poder de controlar sua conexão com a Internet pode fazer o mesmo - um governo ou um provedor de serviços de Internet, por exemplo", disse Kamluk.
A Kaspersky Lab diz que não há provas de que o Absolute Computrace tenha sido usado em ataques até o momento. A Absolute Software precisa usar autenticação e criptografia para proteger o Computrace, para que não possa ser abusado, disse Kamluk.
Durante a apresentação de Kamluk, vários participantes puderam ser vistos verificando seu BIOS para ver se o Computrace estava presente em seus computadores. No final da apresentação, a tensão na sala era quase palpável, pois muitos dos participantes perceberam o quão difundida era a Computrace e que eles nem estavam cientes de sua presença em suas máquinas. Também era perturbador o número de opções ativadas por padrão.
