Co byś powiedział, gdyby okazało się, że na Twoim komputerze jest zainstalowane oprogramowanie antykradzieżowe, którego nigdy nie aktywowałeś? Program, który może uczynić Twój komputer zdalnie dostępnym. Program, którego nie możesz usunąć, nawet gdy fizycznie wymienisz twardy dysk. Brzmi trochę jak współczesna legenda miejska? Cóż, okazuje się jednak, że jest to możliwe.
Sytuacja taka przydarzyła się Sergiejowi Bielowowi, analitykowi szkodliwego oprogramowania w Kaspersky Lab, który zaczął badać błąd w oprogramowaniu na prywatnym laptopie swojej żony. Jego uwagę zwrócił podejrzany proces – z początku myślał, że jest to nieznany typ rootkita. Po dogłębnej analizie okazało się jednak, że były to nieuzasadnione podejrzenia – proces ten był bowiem częścią oprogramowania agenta Absolute Computrance, popularnego programu antykradzieżowego na laptopy. To, czym wyróżnia się Computrance na tle innych rozwiązań, jest miejsce jego przebywania w systemie komputerowym. Agent programu częściowo przebywa w BIOS-ie lub UEFI, chipie z zaprogramowaną sekwencją czynności, który uruchamia się wraz z pierwszym włączeniem komputera, przed załadowaniem systemu operacyjnego. Dzięki temu Computrance może pracować nawet w przypadku niespodziewanego restartu, a nawet po wymianie dysku. Ale najbardziej niepokojące w tym przypadku jest to, że żona Bielowa nigdy go nie aktywowała. Co więcej – nie była nawet świadoma jego istnienia na swoim komputerze. Dalsza analiza przyniosła kolejne niepokojące wnioski – każdy może zdalnie przejąć kontrolę nad agentem i przeprowadzić atak na komputer ofiary.
Rozwiązania antykradzieżowe są kluczowe dla urządzeń mobilnych, od kiedy złodzieje upodobali sobie te małe, lecz drogie gadżety jako cel ataku. Projektowanie oprogramowania do ochrony przed kradzieżą, nie jest łatwym zadaniem. Musi być ono bardzo małe i niewidoczne. Powinno utrzymywać stałe połączenie z serwerem dostawcy usługi, aby na bieżąco zgłaszać swoją lokalizację oraz zaalarmować w przypadku fizycznej kradzieży. Ostatecznie musi odeprzeć wszystkie próby usunięcia oprogramowania przez złodziei. Wszystkie te wymogi razem wzięte, oznaczają, że oprogramowanie zabezpieczające przed kradzieżą powinno być energooszczędne, a zarazem mieć imponujące przywileje na komputerze użytkownika. A więc co się wydarzy gdy tak potężna aplikacja stanie się podatna na zagrożenia? W najgorszym wypadku, hakerzy mogą zrobić cokolwiek tylko zechcą i właściwie stać się właścicielami Twojego urządzenia.
Niestety, nie są tylko teoretyczne wywody. Jakiś czas temu byłem świadkiem pokazu możliwości tego zagrożenia, przeprowadzonego prze Witalija Kamliuka i Siegieja Bielowa z Kaspersky Lab podczas Security Analyst Summit 2014. Na przykładzie nowo zakupionego (jeszcze zafoliowanego) laptopa marki Asus analitycy zaprezentowali, jak podczas wykonywania pierwszych procedur uruchamiania nowego sprzętu można za pomocą drugiego urządzenia zdalnie włączyć kamerę w laptopie, a nawet rozpocząć czyszczenie dysku. Procedura ta polegała na przechwytywaniu niezakodowanych pakietów sieciowych i odsyłaniu niektórych z nich, imitujących komunikację z oryginalnym serwerem Computrance.
Z pewnością czujesz teraz palącą potrzebę sprawdzenia, czy w Twoim laptopie jest zainstalowany agent Computrance. Jeżeli właśnie postanowiłeś go usunąć, nie zawracaj sobie głowy – jest to ogromne wyzwanie. Agent skutecznie zwalcza próby usunięcia, co jest zupełnie naturalne ze względu na jego antykradzieżowe funkcje. Aby sprostać temu zadaniu, BIOS-owa cześć agenta sprawdza obecność oprogramowania przy każdym uruchomieniu komputera. Jeżeli oprogramowanie nie zostanie znalezione, zostanie zainstalowana niewielka kopia programu z BIOS-u w systemie operacyjnym Windows. Podczas uruchamiania urządzenia program ten pobierze pełną wersję agenta Computrance z sieci oraz automatycznie ją uaktywni. Ten konkretny krok jest właśnie najbardziej podatny na zdalne przechwycenie kontroli, co zostało zaprezentowane na konferencji SAS 2014.
Pełna analiza oraz lista oznak aktywności agenta Computrance dostępna jest na angielskiej wersji serwisu SecureList. Dane z Kaspersky Security Network wskazują, że 150 tysięcy naszych klientów ma zainstalowanego aktywnego agenta na swoich urządzeniach. Witalij Kamliuk szacuje, że program jest aktywny na 2 milionach komputerów na całym świecie. Nie wiemy jednak, na ilu z nich został on aktywowany przez samych użytkowników.
Moduł Computrance przeznaczony dla BIOS-u jest preinstalowany w najbardziej popularnych chipach BIOS/UEFI i możesz się z nim spotkać na większości laptopów takich marek jak: Acer, Asus, Sony, Tochiba, HP, Lenovo, Samsung oraz innych. Niektóre z nich wyposażone są widoczne funkcje włączenia/wyłączenia agenta, inne takiej opcji nie przewidują. Ponadto, nie na każdym komputerze program działa – nawet jeżeli w urządzeniu jest BIOS-owy komponent, niekoniecznie Computrance będzie na nim działał. Badacze z Kaspersky Lab odkryli kilka najnowszych laptopów, które posiadają aktywowanego agenta Computrance już przy pierwszym włączeniu, zaraz po odpakowaniu z pudełka. Dlaczego ten program jest już na nich aktywny i kto sprawuje nad nim kontrolę – pozostaje tajemnicą.