I dobar softver može da postane loš

Na skriven način, ova mogućnost daje napadačima pristup računarima miliona korisnika. Fokus istraživanja je bio Absolute Computrace program koji se nalazi u preinstaliranom firmware softveru, ili PC ROM BIOS-u modernih laptopova i desktopova.

Najveći razlog za ovo istraživanje je bilo otkriće programa za Computrace softver, instaliranog bez prethodnog ovlašćenja i to na nekoliko privatnih računara istraživača koji rade za Kaspersky Lab.

Iako je Computrace legitimni proizvod koji je razvio Absolute Software, neki korisnici sistema su rekli da nikada nisu instalirali, aktivirali ili da nikada nisu čuli za ovaj softver na svojim uređajima. Većina dobro poznatih instaliranih softvera može trajno biti uklonjena ili deaktivirana od strane korisnika; međutim Computrace je napravljen zaštićenim od profesionalnog čišćenje sistema, pa čak i od zamene hard diska.

Korisnik bi mogao pogrešno da prepozna Computrace kao maliciozni softver jer koristi mnogo funkcija koje su karakteristične za moderne malvere: anti-debugging i anti-reverse inžinjerske tehnologije, upad u memoriju drugih procesa, uspostavljanje tajne komunikacije, pečovanje sistemskih fajlova na disku, šifrovanje konfiguracionih datoteka, i pokretanje Windows izvršnog fajla iz BIOS-a/firmware-a.

“Vešti programeri koji prave softvere sa mogućnošću napada na druge računare mogli bi da napadnu računare koji imaju Absolute Computrace. Ovaj softver može biti iskorišćen za razvijanje dodataka za špijunažu,” upozorava Vitaly Kamluk, glavni bezbednosni istraživač u globalnom istraživačkim i analitičkom timu kompanije Kaspersky Lab.

“Naša procena je da milioni računara koriste Absolute Computrace softver i da veliki broj korisnika možda nije svestan da je ovaj softver aktiviran i da radi. Ko je imao razlog da aktivira Computrace na svim tim računarima? Da li ih špijunira neki nepoznati programer? To je misterija koja mora biti rešena.”

Statistike:

• Prema bezbednosnoj mreži kompanije Kaspersky Lab, otprilike 150,000 korisnika ima program Computrace na svojim uređajima. Procenjuje se da je ukupan broj korisnika koji imaju aktiviran Computrace veći od 2 miliona. Ne zna se tačno koliko tih korisnika zna da taj program radi u njihovim sistemima.
• Većina tih računara se nalazi u Sjedinjenim Američkim Državama i u Rusiji.

Nedostaci u zaštiti

Mrežni protokol koji Computrace Small Agent koristi poseduje osnovne dodatke za daljinsko izvršenje koda. Potokol ne zahteva korišćenje enkripcije ili autorizacije servera, što predstavlja dobru priliku za daljinski napad u neprijateljskom mrežnom okruženju.

Platforma za napad

Nema dokaza de se Absolute Computrace koristi kao platforma za napade. Ipak, stručnjaci iz nekoliko kompanija vide mogućnosti za napad; neke alarmantne i neobjašnjive činjenice neautorizovanih Computrace aktivacija čine ovo još realnijim.

2009. godine, istraživači iz kompanije Core Security Technologies su predstavili svoja otkrića o programu Absolute Computrace. Oni su upozorili na opasnosti ove tehnologije kao i da postoji mogućnost da bi napadač mogao da modifikuje sistemski registar kako bi kontrolisao povratnu informaciju programa Computrace.

Zbog takvih karakteristika ranije se smatralo da je u pitanju malver. Prema nekim izveštajima, Majkrosoft je prepoznao Computrace kao VirTool:Win32/Beelnject. Ipak to je kasnije uklonjeno od strane kompanije Majkrosoft i nekh drugih proizvođača antimalver programa. Programi Computrace se nalaze na beloj listi svih antimalver kompanija.

“Tako moćna alatka kao što je Absolute Computrace mora da koristi autorizaciju i mehanizme za enkripciju kako bi nastavio da služi opštem dobru. Jasno je da ako postoji mnogo računara koji imaju Computrace, to je zadatak proizvođača (u ovom slučaju Absolute Softver) da upozori korisnike i objasni im kako softver može biti deaktiviran,” rekao je Kamluk. U suprotnom, ovi programi će nastaviti neprimetno da rade i mogu da izazovu daljinsko iskorišćavanje.“

Foto: freedigitalphotos.net/Stuart Miles