Відео: 4 Unicode and N character in SQL Server (Вересень 2024)
За словами дослідника "Лабораторії Касперського", популярне протиугітне програмне забезпечення, встановлене на ноутбуках майже у всіх великих виробників комп'ютерів, зловмисники можуть використовувати для викрадення комп'ютерів.
Компанія Absolute Software заявляє, що продукт Computrace допомагає організаціям відстежувати та захищати їх кінцеві точки. Що стосується Лабораторії Касперського, то зловмисники можуть використовувати цей інструмент для віддаленого моніторингу та управління цими машинами та навіть протирати всю інформацію з комп'ютера.
"Зрозуміло, що якщо багато комп’ютерів із запущеними агентами Computrace, це відповідальність виробника повідомляти користувачів і пояснювати, як програмне забезпечення можна деактивувати та відключати", - сказав Віталій Камлюк, головний науковий співробітник лабораторії Kasperksy.
Камлук сказав учасникам минулого тижня на саміті лабораторії з питань безпеки лабораторії Касперського, що він здивований тим, що знайшов Computrace на своєму домашньому ноутбуці, незважаючи на те, що ніколи не купував і не встановлював нічого з Absolute Software. Він не єдиний, оскільки є інші звіти користувачів в Інтернеті, "які стверджують, що вони знайшли їх на своїх машинах, і вони ніколи не купували Absolute", - сказав він.
Computrace всередині
Здається, що Computrace встановлений на десятках великих виробників ноутбуків, включаючи Samsung, Acer, Lenovo, Hewlett-Packard, Dell, Panasonic, Toshiba, Asus, Gateway, General Dynamics, Fujitsu та Gamatech. Оскільки він призначений для використання як протиугінний інструмент, його містять у списку основні антивірусні постачальники, тому більшість користувачів ніколи не здогадуються про те, що програмне забезпечення є на своїх машинах. "Усі компанії розглядають це як законний продукт", - сказав Анібал Сакко, співзасновник і дослідник Cubica Labs, який вперше проаналізував Computrace ще в 2009 році, працюючи в Core Security Technologies.
Агент знаходиться в мікропрограмному забезпеченні, тому не має значення, в якій операційній системі ви працюєте, чи які у вас засоби захисту. Він вбудований прямо в апаратне забезпечення і його важко видалити. Більшість попередньо встановлених програм може бути остаточно видалено або вимкнено користувачем, однак Computrace призначений для того, щоб пережити професійне очищення системи та навіть заміну жорсткого диска.
Згідно зі статистикою, наданою Мережею безпеки Касперського, існує приблизно 150 000 користувачів, у яких на комп'ютерах працює агент Computrace, а це означає, що кількість користувачів у всьому світі з активною програмою Computrace може перевищувати 2 мільйони. Більшість цих комп'ютерів знаходяться у США та Росії, зазначила Лабораторія Касперського.
Проблемна поведінка
Хоча Computrace - це комерційне програмне забезпечення, яке покликане робити добро, воно використовує багато тих же хитрощів, що і зловмисне програмне забезпечення, включаючи використання методів антиналагодження та протизаконної інженерії, введення пам’яті в інші процеси та шифрування конфігураційних файлів. Sacco описав інструмент як "прихований набір інструментів" і зазначив, що агент Windows не має жодної аутентифікації. Computrace спілкується з серверами компанії Absolute Software по незашифрованому каналу і зберігає інформацію в незашифрованому вигляді. Мережевий протокол може використовуватися для віддаленого виконання коду та є вразливим до зловживань, попередив Сакко.
Лабораторія Касперського заявила, що шифрування, здається, додається до мережевого протоколу на більш пізньому етапі комунікацій, але що зловмисники все ще можуть скористатися незашифрованими компонентами для віддаленого викрадення системи. Камлук сказав, що Computrace може використовуватися для встановлення шпигунських програм на кінцевих точках, перенаправлення всього трафіку з комп'ютера, на якому працює Маленький агент, на хоста зловмисника через ARP-отруєння, та запуску атаки служби DNS, щоб обманути агента підключитися до підробленого сервера C&C, щоб назвіть декілька.
"У цьому є велика проблема", - сказав Сакко.
Тут немає проблем?
Філ Гарднер, компанія CTO Absolute Software, розкритикувала дослідження Касперського як "хибні" і заявила, що це "сумнівна технічна заслуга". Компанія Absolute Software повідомила, що Computrace використовує шифрування та автентифікацію на сервері, що запобігає типам атак, про які попереджав Камлук. Агент не буде спілкуватися з сервером, якщо він не авторизований, і "буде спілкуватися лише при взаємній аутентифікації сервера та клієнта", - сказав Гарднер.
Перш ніж зловмисник може зловмисно використовувати Computrace, кінцева точка повинна бути порушена. "Перешкоди для настання такої атаки значні і не досяжні через механізм, викладений у звіті Касперського", - сказано в FAQ.
Тим не менш, якщо вам не подобається ідея того, що на вашому комп’ютері працює щось, про що ви не знаєте, ви можете дотримуватися вказівок лабораторії Касперського, щоб знайти та вимкнути Computrace.
Викрадення та витирання
На саміті Камлук продемонстрував підтвердження своєї концепції, показавши, як зловмисник може запустити атаку "людина-в-середині" проти машини, в якій встановлено комп'ютер. Зловмисник міг прикинутися сервером з абсолютного програмного забезпечення та змінити пам'ять в машині жертви.
"Кожен, хто має владу контролювати ваше Інтернет-з'єднання, може зробити те ж саме, - наприклад, уряд чи Інтернет-провайдер", - сказав Камлук.
"Лабораторія Касперського" говорить, що вона не має доказів того, що "Абсолютна обчислювальна техніка" застосовувалася в атаках до сьогодні. Абсолютне програмне забезпечення повинно використовувати автентифікацію та шифрування для захисту Computrace, щоб не можна було ними зловживати, сказав Камлук.
Під час презентації Камлюка можна було побачити декількох присутніх, які перевіряли свій BIOS, щоб побачити, чи Computrace присутній на їхніх комп’ютерах. Наприкінці презентації напруга в кімнаті було майже відчутним, оскільки багато хто з присутніх зрозуміли, наскільки широко поширений Computrace, і що вони навіть не знали про його присутність на своїх машинах. Також непокоїть, скільки з них було включено за замовчуванням.
