Absolute Home & Office (первоначально известный как CompuTrace и LoJack для ноутбуков ) — это проприетарное программное обеспечение для восстановления кражи ноутбука ( программное обеспечение для отслеживания ноутбуков ). Постоянные функции безопасности встроены в прошивку устройств. В компании Absolute Home & Office есть группа по расследованию и восстановлению, которая сотрудничает с правоохранительными органами и возвращает ноутбуки их владельцам. [1] [2] [3] [4] Absolute Software лицензировала название LoJack у службы восстановления автомобилей LoJack в 2005 году. [5]
Анализ Absolute Home & Office (LoJack), проведенный «Лабораторией Касперского», показывает, что в редких случаях программа предварительно активировалась без авторизации пользователя. Программный агент ведет себя как руткит , переустанавливая небольшой агент-установщик в ОС Windows во время загрузки. Этот установщик позже загружает полную версию агента с серверов Absolute через Интернет. Этот установщик уязвим для некоторых локальных атак [6] [7] и атак хакеров, которые могут контролировать сетевые коммуникации жертвы. [8]
После установки агент Absolute Home & Office становится постоянным, делая первоначальный вызов «Центру мониторинга». [8] Программное обеспечение может обновляться модулями, загружаемыми с командного сервера. [8] Последующий контакт происходит ежедневно, проверяя, остается ли агент установленным и предоставляет ли он подробные данные, такие как местоположение, пользователь, программное обеспечение и оборудование.
В случае кражи устройства владелец может связаться с Абсолютом. Затем при следующем подключении защищенного устройства к Интернету оно переключается в режим кражи и ускоряет связь с Центром мониторинга. Команда по расследованиям и восстановлению проводит криминалистическую экспертизу компьютера, используя захват ключей, сканирование реестра и файлов, геолокацию и другие методы расследования. Команда сотрудничает с местными правоохранительными органами, чтобы вернуть защищенное устройство, и предоставляет полиции доказательства для предъявления уголовных обвинений . В случае кражи пользователь может войти в свою онлайн-учетную запись, чтобы удаленно заблокировать компьютер или удалить конфиденциальные файлы, чтобы избежать кражи личных данных . [9]
Приложение Absolute Home & Office предустановлено на некоторых компьютерах Acer , Asus , Fujitsu , Panasonic , Toshiba , Dell , HP и Lenovo . [10] Apple, в отличие от некоторых других производителей ПК , не позволяет устанавливать программное обеспечение в BIOS. [11] Программу Absolute Home & Office можно установить на компьютеры Apple, но она будет храниться на жестком диске, а не в BIOS. Если жесткий диск будет заменен или переформатирован, программное обеспечение будет потеряно.
Служба BIOS отключена по умолчанию, и ее можно включить, купив лицензию на Absolute Home & Office ; после включения BIOS скопирует агент загрузчика, указанный rpcnetp.exe
из флэш-ПЗУ BIOS, в папку System32 в системах Windows. На некоторых ноутбуках Toshiba rpcnetp.exe
он предварительно установлен компанией Toshiba на жестком диске устройства. В свою очередь, rpcnetp.exe
вы загрузите полную версию программного обеспечения агента и установите rpcnet.exe
службу Windows . С этого момента rpcnet.exe
он будет звонить домой на серверы Absolute Software один раз в день, запрашивая отчет о возможной краже и передавая результаты сканирования системы, IP-адрес, имена пользователей и компьютеров, а также данные о местоположении, которые он получает либо путем нажатия Поток данных GPS на машинах, оснащенных оборудованием GPS, или путем триангуляции доступных точек доступа WLAN поблизости, предоставляя идентификаторы WLAN и мощность сигнала, чтобы серверы Absolute Software могли геолокировать устройство с помощью базы данных Mexens Technology . [ нужна цитата ] Если Absolute получает отчет о краже, службе можно удаленно дать команду звонить домой каждые 15 минут, устанавливать дополнительное программное обеспечение стороннего поставщика, такое как кейлоггер или криминалистический пакет, делать снимки экрана и выполнять различные другие действия.
Absolute Home & Office также поддерживает схему защиты от краж Intel AT-p . Если он не сможет позвонить домой в течение настраиваемого интервала времени, при следующей перезагрузке потребуется специальный пароль BIOS. В этом случае его можно настроить на немедленное отключение питания машины для принудительной перезагрузки.
Модуль сохранения , установленный как часть системного BIOS/UEFI, определяет, когда программное обеспечение Absolute Home & Office было удалено. Это гарантирует автоматическую переустановку программного обеспечения даже в случае замены жесткого диска или прошивки . Absolute Software сотрудничает со многими производителями оригинального оборудования для внедрения этой технологии в прошивку компьютеров, нетбуков, смартфонов и планшетов компаний Acer , ASUS , Dell , Fujitsu , HP , Lenovo , Motion, Panasonic , Samsung и Toshiba . [12]
Клиент Absolute Home & Office ведет себя как троян и руткит , но некоторые из его модулей занесены в белый список несколькими поставщиками антивирусов. [6] [8]
На конференции Black Hat Briefings в 2009 году исследователи показали, что реализация агента Computrace/LoJack, встроенного в BIOS, имеет уязвимости и что этот «доступный контроль над агентом защиты от кражи позволяет использовать очень опасную форму руткита с расширенными возможностями BIOS, который может обойти все ограничения набора микросхем или установки и повторно использовать многие существующие функции, предлагаемые в этом виде программного обеспечения». [13] [14] [15] Absolute Software отвергла утверждения, сделанные в ходе исследования, заявив, что «наличие модуля Computrace никоим образом не ослабляет безопасность BIOS». Другой независимый аналитик подтвердил наличие недостатков, отметив, что атака с использованием вредоносного ПО будет «весьма экзотической», и предположил, что более серьезное беспокойство вызывает то, что сообразительные воры могут отключить функцию домашнего телефона. [16] Позже компания Core Security Technologies подтвердила выводы исследователя, опубликовав на своей веб-странице несколько доказательств концепции, видео и утилиты. [17]
Локальная и удаленная эксплуатация агента CompuTrace первого этапа, который используется для установки полной версии после активации или переустановки операционной системы, была продемонстрирована на выставке BlackHat USA 2014. Этот агент-дроппер внесен в белый список несколькими поставщиками антивирусов и может использоваться для установки до некоторых локальных атак, например, для загрузки и установки программного обеспечения с разных серверов. [8] Компания ESET обнаружила первую атаку с использованием руткита под названием LoJax, который заражал уязвимые конфигурации LoJack. [18]