stringtranslate.com

Абсолютный дом и офис

Absolute Home & Office (первоначально известный как CompuTrace и LoJack для ноутбуков ) — это проприетарное программное обеспечение для восстановления кражи ноутбука ( программное обеспечение для отслеживания ноутбуков ). Постоянные функции безопасности встроены в прошивку устройств. В компании Absolute Home & Office есть группа по расследованию и восстановлению, которая сотрудничает с правоохранительными органами и возвращает ноутбуки их владельцам. [1] [2] [3] [4] Absolute Software лицензировала название LoJack у службы восстановления автомобилей LoJack в 2005 году. [5]

Анализ Absolute Home & Office (LoJack), проведенный «Лабораторией Касперского», показывает, что в редких случаях программа предварительно активировалась без авторизации пользователя. Программный агент ведет себя как руткит , переустанавливая небольшой агент-установщик в ОС Windows во время загрузки. Этот установщик позже загружает полную версию агента с серверов Absolute через Интернет. Этот установщик уязвим для некоторых локальных атак [6] [7] и атак хакеров, которые могут контролировать сетевые коммуникации жертвы. [8]

Функциональность

После установки агент Absolute Home & Office становится постоянным, делая первоначальный вызов «Центру мониторинга». [8] Программное обеспечение может обновляться модулями, загружаемыми с командного сервера. [8] Последующий контакт происходит ежедневно, проверяя, остается ли агент установленным и предоставляет ли он подробные данные, такие как местоположение, пользователь, программное обеспечение и оборудование.

В случае кражи устройства владелец может связаться с Абсолютом. Затем при следующем подключении защищенного устройства к Интернету оно переключается в режим кражи и ускоряет связь с Центром мониторинга. Команда по расследованиям и восстановлению проводит криминалистическую экспертизу компьютера, используя захват ключей, сканирование реестра и файлов, геолокацию и другие методы расследования. Команда сотрудничает с местными правоохранительными органами, чтобы вернуть защищенное устройство, и предоставляет полиции доказательства для предъявления уголовных обвинений . В случае кражи пользователь может войти в свою онлайн-учетную запись, чтобы удаленно заблокировать компьютер или удалить конфиденциальные файлы, чтобы избежать кражи личных данных . [9]

Приложение Absolute Home & Office предустановлено на некоторых компьютерах Acer , Asus , Fujitsu , Panasonic , Toshiba , Dell , HP и Lenovo . [10] Apple, в отличие от некоторых других производителей ПК , не позволяет устанавливать программное обеспечение в BIOS. [11] Программу Absolute Home & Office можно установить на компьютеры Apple, но она будет храниться на жестком диске, а не в BIOS. Если жесткий диск будет заменен или переформатирован, программное обеспечение будет потеряно.

Служба BIOS отключена по умолчанию, и ее можно включить, купив лицензию на Absolute Home & Office ; после включения BIOS скопирует агент загрузчика, указанный rpcnetp.exeиз флэш-ПЗУ BIOS, в папку System32 в системах Windows. На некоторых ноутбуках Toshiba rpcnetp.exeон предварительно установлен компанией Toshiba на жестком диске устройства. В свою очередь, rpcnetp.exeвы загрузите полную версию программного обеспечения агента и установите rpcnet.exe службу Windows . С этого момента rpcnet.exeон будет звонить домой на серверы Absolute Software один раз в день, запрашивая отчет о возможной краже и передавая результаты сканирования системы, IP-адрес, имена пользователей и компьютеров, а также данные о местоположении, которые он получает либо путем нажатия Поток данных GPS на машинах, оснащенных оборудованием GPS, или путем триангуляции доступных точек доступа WLAN поблизости, предоставляя идентификаторы WLAN и мощность сигнала, чтобы серверы Absolute Software могли геолокировать устройство с помощью базы данных Mexens Technology . [ нужна цитата ] Если Absolute получает отчет о краже, службе можно удаленно дать команду звонить домой каждые 15 минут, устанавливать дополнительное программное обеспечение стороннего поставщика, такое как кейлоггер или криминалистический пакет, делать снимки экрана и выполнять различные другие действия.

Absolute Home & Office также поддерживает схему защиты от краж Intel AT-p . Если он не сможет позвонить домой в течение настраиваемого интервала времени, при следующей перезагрузке потребуется специальный пароль BIOS. В этом случае его можно настроить на немедленное отключение питания машины для принудительной перезагрузки.

Упорство

Модуль сохранения , установленный как часть системного BIOS/UEFI, определяет, когда программное обеспечение Absolute Home & Office было удалено. Это гарантирует автоматическую переустановку программного обеспечения даже в случае замены жесткого диска или прошивки . Absolute Software сотрудничает со многими производителями оригинального оборудования для внедрения этой технологии в прошивку компьютеров, нетбуков, смартфонов и планшетов компаний Acer , ASUS , Dell , Fujitsu , HP , Lenovo , Motion, Panasonic , Samsung и Toshiba . [12]

Уязвимости

Клиент Absolute Home & Office ведет себя как троян и руткит , но некоторые из его модулей занесены в белый список несколькими поставщиками антивирусов. [6] [8]

На конференции Black Hat Briefings в 2009 году исследователи показали, что реализация агента Computrace/LoJack, встроенного в BIOS, имеет уязвимости и что этот «доступный контроль над агентом защиты от кражи позволяет использовать очень опасную форму руткита с расширенными возможностями BIOS, который может обойти все ограничения набора микросхем или установки и повторно использовать многие существующие функции, предлагаемые в этом виде программного обеспечения». [13] [14] [15] Absolute Software отвергла утверждения, сделанные в ходе исследования, заявив, что «наличие модуля Computrace никоим образом не ослабляет безопасность BIOS». Другой независимый аналитик подтвердил наличие недостатков, отметив, что атака с использованием вредоносного ПО будет «весьма экзотической», и предположил, что более серьезное беспокойство вызывает то, что сообразительные воры могут отключить функцию домашнего телефона. [16] Позже компания Core Security Technologies подтвердила выводы исследователя, опубликовав на своей веб-странице несколько доказательств концепции, видео и утилиты. [17]

Локальная и удаленная эксплуатация агента CompuTrace первого этапа, который используется для установки полной версии после активации или переустановки операционной системы, была продемонстрирована на выставке BlackHat USA 2014. Этот агент-дроппер внесен в белый список несколькими поставщиками антивирусов и может использоваться для установки до некоторых локальных атак, например, для загрузки и установки программного обеспечения с разных серверов. [8] Компания ESET обнаружила первую атаку с использованием руткита под названием LoJax, который заражал уязвимые конфигурации LoJack. [18]

Смотрите также

Рекомендации

  1. ^ Официальные документы отчета о краже, заархивированные 18 марта 2013 г. в Wayback Machine . от Абсолютного программного обеспечения
  2. ^ Дэвид А. Андельман (19 августа 2005 г.). «Работает ли LoJack для ноутбуков?». Форбс . Архивировано из оригинала 19 декабря 2005 года.
  3. ^ LoJack предотвращает кражу ноутбука, Techworld.com
  4. ^ «Обзор программного обеспечения LoJack для ноутбуков от PCMag.com» . 21 июня 2011 г.
  5. ^ «LoJack лицензирует технологию для отслеживания украденных компьютеров» . Бостонский деловой журнал. 27 июня 2005 года . Проверено 10 апреля 2009 г.
  6. ^ ab Absolute Computrace Revisited / SecureList, Виталий Камлюк, 12 февраля 2014 г.
  7. ^ Ортега, Альфредо; Сакко, Анибал (24 июля 2009 г.). Деактивировать руткит: Атаки на технологии защиты от кражи BIOS (PDF) . Черная шляпа США, 2009 г. (PDF) . Бостон, Массачусетс: Основные технологии безопасности . Проверено 12 июня 2014 г.
  8. ^ abcde Камлюк, Виталий; Белов, Сергей; Сакко, Анибал (август 2014 г.). Новый взгляд на абсолютный бэкдор (PDF) . Черная шляпа США, 2014 г. (PDF) . Лас Вегас . Проверено 27 января 2015 г.
  9. ^ Как защитить ваш ноутбук от кражи - Эндрю Нуска для The ToyBox, 26 февраля 2009 г.
  10. ^ Absolute Software, партнер: совместимость с BIOS, Absolute.com
  11. ^ «Как может loJack быть эффективным, если у меня есть пароль… кто-то украл мой ноутбук, и они не могут войти в систему, чтобы подключиться к Интернету». Архивировано из оригинала 18 января 2012 г. Проверено 18 июня 2012 г.
  12. ^ Генеральный директор Absolute заявляет, что рост ускорится после победы Samsung / Bloomberg, Хьюго Миллер - 15 апреля 2013 г.
  13. ^ Сакко, Анибал; Альфредо Ортега. «Деактивировать руткит». Использование вещей . Проверено 6 октября 2009 г.
  14. ^ Робертсон, Джордан. «Программное обеспечение для защиты от кражи может создать дыру в безопасности». Ассошиэйтед Пресс . Архивировано из оригинала 8 августа 2009 г. Проверено 6 августа 2009 г.
  15. ^ Сакко, Анибал; Альфредо Ортега. «Деактивировать руткит». Брифинги «Черной шляпы» . Архивировано из оригинала 8 июля 2011 г. Проверено 6 августа 2009 г.
  16. ^ «Absolute Software преуменьшает претензии к руткитам BIOS» . ЗДНет . Архивировано из оригинала 14 октября 2012 г. Проверено 20 августа 2009 г.
  17. ^ Сакко, Анибал; Альфредо Ортега. «Деактивировать руткит». Основные технологии безопасности . Проверено 8 сентября 2009 г.
  18. ^ LoJax: первый руткит UEFI, обнаруженный в дикой природе, любезно предоставлен группой Sednit, WeLiveSecurity от ESET, 27 сентября 2018 г.

Внешние ссылки