La tecnologia di persistenza assoluta equivale a un rootkit persistente preinstallato da molti produttori di dispositivi (Acer, Asus, Dell, HP, Lenovo, Samsung, Toshiba, ecc.) per facilitare LoJack per laptop e altri servizi backdoor:
The Absolute persistence module is built to detect when the Computrace and/or Absolute Manage software agents have been removed, ensuring they are automatically reinstalled, even if the firmware is flashed, the device is re-imaged, the hard drive is replaced, or if a tablet or smartphone is wiped clean to factory settings.
Absolute persistence technology is built into the BIOS or firmware of a device during the manufacturing process.
Questo ha echi di entrambi Rakshasa e vPro .
Inoltre, come altri rootkit aziendali , aumenta la superficie di attacco disponibile sul PC host e quindi apre la porta a malware aggiuntivo :
The protocol used by the Small Agent provides the basic feature of remote code execution [and] creates numerous opportunities for remote attacks in a hostile network environment. ... A typical attack on a local area network would be to redirect all traffic from a computer running Small Agent to the attacker’s host via ARP-poisoning. Another possibility is to use a DNS service attack to trick the agent into connecting to a fake C&C server. We believe there are more ways to accomplish such attacks, though this is beyond the scope of the current research.
In ogni caso, se un utente legalmente acquista, di seconda mano o nuovo, un dispositivo che in origine aveva la tecnologia di persistenza assoluta incorporata e potrebbe persino averlo attivato e desidera:
- per rilevare se la tecnologia è ancora presente nel dispositivo; e, in tal caso,
- per rimuovere la tecnologia dal dispositivo (ad es. disinfettare il dispositivo),
come meglio dovrebbe andare su questo?
Suppongo che Coreboot sia parte della risposta.