è computrace una backdoor permanente?

Naviga le tue risposte
8

Stavo leggendo su CompuTrace e questa cosa è praticamente una backdoor e inamovibile. È nel firmware, nel BIOS e sopravvive alla formattazione e persino alle modifiche del disco rigido e alle reinstallazioni del sistema operativo.

Mi è venuta in mente qualche domanda,

  1. CompuTrace funziona con Linux?

  2. CompuTrace funziona ancora quando si utilizza VPN o Tor?

  3. Come fai a sapere se è sul computer, anche se inattivo?

Ho fatto qualche lettura online e questo exploit / backdoor è molto pericoloso. Può fondamentalmente ottenere QUALSIASI informazione e rimandarla a casa ed è una pillola avvelenata e un dispositivo di localizzazione. Uno dei problemi che ho notato è l'acquisto di notebook usati che non si può essere sicuri di non essere stati rubati.

Leggi questo: link

Un commento è stato particolarmente interessante, apparentemente proveniente da un poliziotto, che afferma (citazione)

"In teoria è bello sedersi qui e parlare di come pensi di poter disabilitare il software, ma dal punto di vista delle forze dell'ordine posso dirti che è molto più persistente di quanto tu sappia e fa un molto più di quanto pensi che faccia. "

Questo non suona bene ed è praticamente un killer per la sicurezza delle informazioni.

Mi manca qualcosa qui o si tratta di un exploit / backdoor permanente e inamovibile?

    
posta elipconis 28.07.2014 - 17:01
fonte

2 risposte

4

In base a "Absolute Computrace Revisited" e "Compolrace assoluto / Requisiti di sistema " le risposte alle tue domande sono:

  1. Sì (Ubuntu, Debian). Non ci dovrebbe essere un grosso problema per Sviluppatori CompuTrace per farlo funzionare con RH o SuSE I credo, dal momento che le versioni SW, il posizionamento di binari e confezioni sono più o meno standard anche in queste distribuzioni. RH SeLinux e SuSE AppArmor può essere un po 'un problema, ma è di più amministrativo (per ottenere un vero profilo integrato) che tecnico.

  2. Si / probabilmente. Dal momento che la VPN avvolge il traffico IP e indirizza tutto o in parte     di esso in un'altra posizione, CompuTrace seguirà tale instradamento. Se     gli indirizzi che desidera contattare vengono indirizzati al gateway VPN e al gateway     non sa / non è configurato per instradare ulteriormente questi indirizzi, CompuTrace lo farà     non funziona, ma questo problema non è specifico per VPN, lo stesso è anche     vero per qualsiasi router che ha tabelle di routing configurabili. Per quanto riguarda TOR     se un proxy TOR è impostato nelle proprietà IE di un utente, allora il processo IE lanciato da CompuTrace utilizzerà anche questa impostazione. Altri modi per     la connessione a Internet non viene annunciata, ma per gli sviluppatori CompuTrace non c'è alcun problema a creare il rilevamento di presenza TOR e ad agire di conseguenza.

  3. Sulla prima pagina collegata c'è un elenco di segni di CompuTrace presenza su un computer. Anche sul sito ufficiale CompuTrace c'è un elenco di modelli di laptop in cui CompuTrace è preinstallato dai produttori, quindi se acquisti un nuovo computer portatile che è nella lista, hai CompuTrace.

E la risposta alla tua ultima domanda sarebbe "Sì, ma ..." Tecnicamente CompuTrace è una backdoor permanente inamovibile (per un utente medio / superiore alla media). Legalmente non è stato sviluppato pensando intenzioni malevole (o lo spero), quindi almeno in alcuni paesi non è considerato malware. Non è un exploit di per sé, dal momento che è stato fatto per funzionare esattamente come funziona, ma può essere sfruttato da cattivi, proprio come qualsiasi altro SW abilitato alla rete.

    
risposta data 06.08.2014 - 14:07
fonte
-1

Risposta aggiornata e modificata, 2017 agosto

IMPORTANTE! Si noti che la risposta precedente potrebbe essere obsoleta. Kaspersky ha condotto una ricerca su Computrace nel 2014, che è già obsoleto da 2 anni!

Quindi sì, computrace sembra essere una backdoor permanente, a meno che tu non abbia esperienza hardware per ispezionare e seguire la modifica del BIOS, decifrata da Kaspersky. Qualsiasi autorità o hacker può alterare i file e assumere il pieno controllo della macchina, incluso il monitoraggio completo dell'attività e l'eliminazione dei file.

Risposte secondo 2017:

  1. Non lo sappiamo, ma: Le fonti secondarie (come Kaspersky @ youtube e link ) si riferiscono agli agenti di Ubuntu / Debian , che non si trovano sul sito ufficiale come supportato. Ho anche effettuato un'acquisizione di pacchetti Wireshark con Linux e non ho trovato alcuna attività sospetta elencata alla fine della presentazione di Kaspersky. Exe non funziona su Linux, a meno che tu non abbia installato il vino.

In una mail del 2007 Absolute sembra rappresentare la filosofia secondo cui Linux è un sistema operativo minore, ecco perché non lo supportano:

"Da: Miguel Guhlin [mailto: [email protected]] Inviato: lunedì 22 gennaio 2007 A: John Livingston Oggetto: Oggetto: 10 aprile 2006 articolo "Protezione dei file eliminati" - riferimento a Computrace

(...)

1) Cosa succede se il disco rigido viene ripartizionato e gli utenti utilizzano lo scenario dual-boot, un lato con Linux e l'altro Windows? Se stai usando Linux, CompuTrace funzionerà ancora?

Dopo il partizionamento, Computrace funzionerà durante l'esecuzione in Windows.

2) Si cita che Eraser non causerebbe la rimozione di CompuTrace. Se CompuTrace fa parte del bios, immagino che non lo farebbe. Tuttavia, se la macchina viene riformattata utilizzando un'utilità come Boot-n-Nuke di Darik, caricata con un nuovo sistema operativo (ad es. Linux), quindi messa in servizio, il software Absolute sarà in grado di trovare l'apparecchiatura? In altre parole, funzionerebbe ancora come pubblicizzato?

Bene, supportiamo Windows e MAC OS 10+ quindi sì; lavoreremmo se riavviato in un mondo Windows, ma non se l'utente si avvierà su Linux. "

(full artice: link !)

MA suppongo, è solo una questione di tempo per svilupparlo. Sono passati 2 anni e ancora non scrivono nulla a riguardo. Kaspersky ha dimostrato durante la dimostrazione dal vivo, che i file modificati possono essere eseguiti nel tuo sistema (Win).

  1. Sì, computrace risiede nel tuo BIOS, quindi ha il privilegio più alto di inviare dati raccolti sulla tua attività reale. Anche qui l'autore della fonte secondaria dice che non scompare con il reflashing. Alcuni altri articoli dicono, è su un CHIP. Ovviamente ci sono informazioni diverse da tempi e versioni differenti. Anche se mostra "non attivato", non significa che computrace non sta funzionando e sta telefonando a casa.

  2. Esegui un'ispezione hardware del BIOS. In caso contrario, gli strumenti software non sono affidabili, ma Kaspersky ha anche fornito alcune informazioni al riguardo alla fine della presentazione e su come eliminarlo. Ma avvertono tutti di non scherzare, a meno che tu non abbia esperienza nel BIOS, perché puoi accidentalmente abilitarlo in modo permanente, e nemmeno Absolute può disattivarlo per te. Se supponiamo, che non siamo infetti da backdoor, possiamo fare affidamento parzialmente su un'ispezione Wireshark pulita. Se sai come modificare un BIOS, puoi farlo anche tu stesso, o fidarti solo di qualcuno con questo.

ATTENZIONE: dovresti fare il tuo test di wirehark con il tuo distributore Linux e la tua configurazione hardware. NON ESEGUIRE i cavi come superutente!

"sudo addgroup -system wireshark sudo chown root: wireshark / usr / bin / dumpcap sudo setcap cap_net_raw, cap_net_admin = eip / usr / bin / dumpcap sudo usermod -a -G wireshark YOUR_USER_NAME

Quindi avvia Wireshark e seleziona l'interfaccia di rete. Ha funzionato per me su 10.04 LTS. link permanente

ha risposto 04 apr '12, 11:41 kyphos "

Altrimenti cattive notizie, non c'è ancora nulla di affidabile al 100%, specialmente riguardo a Linux. Puoi provare ad acquistare hardware open source o militare.

(Non potrei collegare molto, ma copiare le cose citate per più fonti se lo desideri)

    
risposta data 07.08.2017 - 08:04
fonte

Leggi altre domande sui tag

Come gestire i diritti di amministratore per il personale dell'helpdesk? Quali file devo scaricare o controllare su un sistema Windows in caso di Local File Inclusion (LFI)?