Absolut hem & kontor

Absolute Home & Office (ursprungligen känd som CompuTrace och LoJack för bärbara datorer ) är en proprietär programvara för stöldåterställning för bärbara datorer ( programvara för spårning av bärbara datorer) . De beständiga säkerhetsfunktionerna är inbyggda i enheternas fasta programvara. Absolute Home & Office har tjänster från ett utrednings- och återställningsteam som samarbetar med brottsbekämpande myndigheter för att lämna tillbaka bärbara datorer till sina ägare. Absolute Software licensierade namnet LoJack från fordonsåterställningstjänsten LoJack 2005.

Analys av Absolute Home & Office (LoJack) av Kaspersky Lab visar att programvaran i sällsynta fall föraktiverades utan användartillstånd. Programvaruagenten beter sig som ett rootkit och installerar om en liten installationsagent i Windows OS vid uppstart. Detta installationsprogram laddar senare ner hela agenten från Absolutes servrar via internet. Det här installationsprogrammet är sårbart för vissa lokala attacker och attacker från hackare som kan kontrollera offrets nätverkskommunikation.

Funktionalitet

När den väl har installerats gör Absolute Home & Office -agenten sig självständig genom att ringa ett första samtal till "övervakningscentret". Programvaran kan uppdateras av moduler, nedladdade från en kommandoserver. Efterföljande kontakt sker dagligen och kontrollerar att agenten förblir installerad och tillhandahåller detaljerad information som plats, användare, mjukvara och hårdvara.

Om enheten blir stulen kan ägaren kontakta Absolute. Nästa gång den skyddade enheten ansluter till internet växlar den till stöldläge och påskyndar kommunikationen i Monitoring Center. Utrednings- och återställningsteamet bryter kriminaltekniskt datorn med hjälp av nyckelfångst, register- och filskanning, geolokalisering och andra undersökningstekniker. Teamet samarbetar med lokala brottsbekämpande myndigheter för att återställa den skyddade enheten och förser polisen med bevis för att driva brottsanklagelser . I händelse av stöld kan en användare logga in på sitt onlinekonto för att fjärrlåsa datorn eller radera känsliga filer för att undvika identitetsstöld .

Absolute Home & Office kommer förinstallerat i vissa Acer- , Asus- , Fujitsu- , Panasonic- , Toshiba- , Dell- , HP- och Lenovo- maskiner. Apple, till skillnad från vissa andra PC- tillverkare, tillåter inte att programvaran installeras i BIOS. Absolute Home & Office kan installeras på Apple-datorer, men det kommer att lagras på hårddisken istället för BIOS. Om hårddisken byts ut eller omformateras kommer programvaran att gå förlorad.

BIOS - tjänsten är inaktiverad som standard och kan aktiveras genom att köpa en licens för Absolute Home & Office ; När BIOS har aktiverats, kopierar BIOS en nedladdningsagent vid namn rpcnetp.exe från BIOS-flash-ROM till System32 -mappen på Windows-system. På vissa bärbara datorer från Toshiba rpcnetp.exe fabriksförinstallerat av Toshiba på enhetens hårddisk. I sin tur rpcnetp.exe att ladda ner hela agentprogramvaran och installera rpcnet.exe Windows-tjänsten . Från och med då rpcnet.exe att ringa hem till Absolute Software- servrar en gång om dagen, fråga efter en eventuell stöldrapport och sända resultaten av en systemskanning, IP-adress, användar- och maskinnamn och platsdata, som den får antingen genom att trycka på GPS- dataströmmen på maskiner utrustade med GPS-hårdvara, eller genom att triangulera tillgängliga WLAN- åtkomstpunkter i närheten, genom att tillhandahålla WLAN-ID:n och signalstyrkor så att Absolute Software- servrar kan geolokalisera enheten med hjälp av Mexens Technologys databas. ^{[ citat behövs ]} Om Absolute tar emot en stöldrapport kan tjänsten fjärrkommanderas att ringa hem var 15:e minut, installera ytterligare programvara från tredje part, såsom en nyckellogger eller ett kriminaltekniskt paket, göra skärmdumpar och olika andra åtgärder .

Absolute Home & Office stöder även Intels AT -p stöldskyddssystem. Om det inte går att ringa hem inom ett konfigurerbart tidsintervall kommer det att kräva ett speciellt BIOS-lösenord vid nästa omstart. Den kan konfigureras för att stänga av maskinens strömförsörjning omedelbart i detta fall, för att tvinga fram en omstart.

Uthållighet

Persistensmodulen , installerad som en del av system-BIOS/UEFI, upptäcker när programmet Absolute Home & Office har tagits bort. Det säkerställer att programvaran automatiskt installeras om även om hårddisken byts ut eller om den fasta programvaran blinkar. Absolute Software samarbetar med många tillverkare av originalutrustning för att bädda in denna teknik i firmware för datorer, netbooks, smartphones och surfplattor från Acer , ASUS , Dell , Fujitsu , HP , Lenovo , Motion, Panasonic , Samsung och Toshiba .

Sårbarheter

Absolute Home & Office- klienten har ett trojan- och rootkit -liknande beteende, men några av dess moduler har vitlistats av flera antivirusleverantörer. Tidigare upptäcktes den som TR/Hijack.Explor.1245 eller W32/Agent.SW!tr . ^{[ citat behövs ]}

Vid Black Hat Briefings- konferensen 2009 visade forskare att implementeringen av Computrace/LoJack-agenten inbäddad i BIOS har sårbarheter och att denna "tillgängliga kontroll av stöldskyddsmedlet tillåter en mycket farlig form av BIOS-förbättrat rootkit som kan kringgå alla styrkrets- eller installationsbegränsningar och återanvänd många befintliga funktioner som erbjuds i den här typen av programvara." Absolute Software avvisade påståendena i undersökningen och påstod att "närvaron av Computrace-modulen inte på något sätt försvagar säkerheten för BIOS". En annan oberoende analytiker bekräftade bristerna, noterade att en kapningsattack med skadlig programvara skulle vara en "mycket exotisk sådan", och föreslog att det större problemet var att kunniga tjuvar kunde inaktivera telefonens hemfunktion. Senare bevisade Core Security Technologies forskarens fynd genom att offentliggöra flera proof of concept, videor och verktyg på sin webbsida.

Lokal och fjärrexploatering av CompuTrace-agenten i det första steget, som används för att installera den fullständiga versionen efter aktivering eller ominstallation av operativsystemet, demonstrerades på BlackHat USA 2014. Denna dropper-agent är vitlistad av flera antivirusleverantörer och kan användas för att ställa in upp några lokala attacker, till exempel för att ladda ner och installera programvara från olika servrar. ESET upptäckte en första attack i naturen med ett rootkit som heter LoJax som infekterade sårbara LoJack-konfigurationer.

Se även

• Byte (programvara)

externa länkar

• 11 säkerhetslösningar för 2013 / PCWorld
  • Hur du skyddar din bärbara dator / PCWorld
• Återställ en stulen bärbar dator med stöldskyddsprogram / About.com
• Nya sista minuten-presenter till affärsresenärer / USA Today
• CompuTrace på ThinkWiki (på tyska)
• Miljontals datorer som påverkas av Mysterious Computrace Backdoor / Threatpost, 2014-08-11