Attenzione: alcuni software antifurto sono vulnerabili

Che cosa pensereste se il vostro computer eseguisse un software antifurto che non avete mai attivato? Un software che può raggiungere il vostro PC in remoto e che non potete cancellare, nemmeno se cambiate fisicamente l’hardisk? Sembra una leggenda urbana, ma in vece è tutto vero. Anche Sergey Belov, ricercatore malware di Kaspeky Lab, è rimasto molto stupido quando ha iniziato a dare un’occhiata al portatile di sua moglie che presentava qualche errore di software. Un processo sospetto ha attirato la sua attenzione e in un primo momento il ricercatore ha pensato di aver trovato un rootkit sconosciuto. In realtà, il processo si è poi rivelato legittimo, parte dell’agente del software Absolute Computrace, una popolare soluzione antifurto per portatili. Quello che rende unico Computrace è la posizione esclusiva in cui risiede all’interno del PC dell’utente. Computrace risiede in parte nel BIOS o UEFI, dove si trova un chip con una sequenza di programma “hardcoded” che si esegue durante la fase boot del compter, ancora prima del sistema operativo. Questo aiuta Computrace a resistere alla puliza del sistema e persino alla sostituzione dell’hard disk. Computrace non sarebbe dannoso di per sé (a parte che la moglie di Belov non ha mai attivato il software ed era totalmente all’oscuro della sua esistenza). Tuttavia analisi successive hanno dimostrato che criminali o entità esterne dannose sono in grando di manomettere un componente di Computrace e realizzare qualsiasi tipo di hackeraggio in remoto sul PC della vittima. Le soluzione antifurto sono fondamentali per i dispositivi mobili, dato che i ladri adorano questi piccoli e costosi gadget. Disegnare un software antifurto non è affatto facile. Deve essere piccolo e resistente. Deve mantenere la connessione con il centro operativo di un dato server per comunicare la sua localizzazione o per realizzare velocemente una determinata azione in caso di furto. Infine, deve resistere ai tentativi del ladri di rimuovere il software. Per poter riunire e rendere operativi tutti questi requisiti, il software deve lavorare ad un livello profondo del sistema e avere notevoli privilegi sulla macchina dell’utente. Cosa succede se una applicazione così potente diventa vulnerabile? Nel peggiore dei casi, gli hacker possono fare qualsiasi cose e prendere addirittura il controllo totale del computer. Sfortunatamente, queste non sono semplici supposizioni. La scorsa settimana, sono stato testimone di una dimostrazione realizzata in tempo reale da Vitaly Kamluk e Sergey Belov di Kaspersky Lab durante il Security Analyst Summitdi quest’anno. I due ricercatori hanno scartato un portatile Asus nuovo di pacca e realizzato le prime procedure iniziali; poi hanno usato un altro PC per attivare la videocamera del portatile e una procedura di eliminazione dati, il tutto in remoto. Tutto questo è stato realizzato per intercettare pacchetti di rete non criptati e inviare indietro dati, e così imitare le comunicazioni con il server originale di Computrace. È probabile che ora sentirete un’irresistibile voglia di verificare se il vostro portatile ha Computrace. Se la vostra intenzione è disinstallare il programma, lasciate perdere: è quasi impossibile eliminarlo. Il software è disegnato per poter resistere ai tentativi di rimozione, il che è piuttosto naturale data la sua funzione antifurto. Per poter cancellarlo, la parte del BIOS di Computrace si mette in moto alla ricerca della presenza del software su ogni boot. Se non viene trovato nessun software, un piccolo software viene installato dal BIOS sul sistema operativo Windows. Sul boot di Windows, il programma installerà da Internet il software competo e lo renderà attivo. Questa è la fase vulnerabile a una violazione in remoto, dimostrata durante il SAS 2014. L’analisi completa è disponibile su Securelist (in inglese), così come una lista dei segnali dell’attività di Computrace. I dati di Kaspersky Security Network indicano che 150.000 dei clienti Kaspersky Lab hanno Computrace attivo sui loro computer. Vitaly Kamluk stima che Computrace è attivo su 2 milioni di computer in tutto il mondo. Chissà quanti di questi programmi sono attivi all’insaputa dell’utente e chissà lo ha installato apposta. La parte BIOS di Computrace è preinstallata sulla maggior parte dei più popolari chip BIOS/UEFI e si trova sulla maggior parte dei computer portatili, tra cui Acer, Asus, Sony, Toshiba, HP, Lenovo, Samsung e molti altri. Tuttavia, molti laptop includono un’opzione BIOS visibile per abilitare/disabilitare Computrace. Inoltre, non tutti i computer avviano Computrace, sebbene abbia un componente BIOS, e il software è inattivo su molti computer. I ricercatori di Kaspersky Lab hanno scoperto e comprato alcuni portatili nuovo e hanno visto che supportano Computrace al primo avvio. Perché questi componenti siano attivi e chi li controlla rimane un mistero.