Absolute Home & Office (originalmente conocido como CompuTrace y LoJack for Laptops ) es un software patentado de recuperación de robo de laptops ( software de rastreo de laptops ). Las funciones de seguridad persistentes están integradas en el firmware de los dispositivos. Absolute Home & Office cuenta con los servicios de un equipo de investigación y recuperación que se asocia con las fuerzas del orden para devolver las computadoras portátiles a sus propietarios. [1] [2] [3] [4] Absolute Software obtuvo la licencia del nombre LoJack del servicio de recuperación de vehículos LoJack en 2005. [5]
El análisis de Absolute Home & Office (LoJack) de Kaspersky Lab muestra que, en casos excepcionales, el software se preactivó sin la autorización del usuario. El agente de software se comporta como un rootkit , reinstalando un pequeño agente instalador en el sistema operativo Windows en el momento del arranque. Este instalador descarga posteriormente el agente completo de los servidores de Absolute a través de Internet. Este instalador es vulnerable a ciertos ataques locales, [6] [7] y ataques de piratas informáticos que pueden controlar las comunicaciones de red de la víctima. [8]
Funcionalidad
Una vez instalado, el agente Absolute Home & Office activa la "persistencia absoluta" haciendo una llamada inicial al "Centro de Monitoreo". [8] El software puede ser actualizado por módulos, descargado de un servidor de comando. [8] El contacto posterior se produce a diario, verificando que el agente permanezca instalado y proporcione datos detallados como la ubicación, el usuario, el software y el hardware.
Si el dispositivo es robado, el propietario primero se comunica con la policía para presentar una denuncia y luego se comunica con Absolute. La próxima vez que el dispositivo protegido se conecta a Internet , cambia silenciosamente al modo de robo y acelera la comunicación del Centro de Monitoreo. El equipo de Investigaciones y Recuperación extrae de forma forense la computadora mediante capturas de claves, escaneo de registros y archivos, geolocalización y otras técnicas de investigación. El equipo trabaja con la policía local para recuperar el dispositivo protegido y proporciona a la policía pruebas para presentar cargos penales . En caso de robo, un usuario puede iniciar sesión en su cuenta en línea para bloquear de forma remota la computadora o eliminar archivos confidenciales para evitar el robo de identidad . [9]
Absolute Home & Office viene preinstalado en algunas máquinas Acer , Asus , Fujitsu , Panasonic , Toshiba , Dell , HP y Lenovo . [10] Apple, a diferencia de otros fabricantes de PC , no permite que el software se instale en el BIOS. [11] Absolute Home & Office se puede instalar en computadoras Apple, pero se almacenará en el disco duro en lugar de en el BIOS. Si se reemplaza o se reformatea el disco duro , se perderá el software Absolute Home & Office .
El servicio BIOS está deshabilitado de forma predeterminada y se puede habilitar comprando una licencia para Absolute Home & Office ; una vez habilitado, el BIOS copiará un agente de descarga con el nombre rpcnetp.exe
de la ROM flash del BIOS a la carpeta System32 en los sistemas Windows. En algunas computadoras portátiles Toshiba, Toshiba lo rpcnetp.exe
preinstala de fábrica en el disco duro de la unidad. A su vez, rpcnetp.exe
descargará el software completo del agente e instalará el rpcnet.exe
servicio de Windows . A partir de ese momento, rpcnet.exe
llamará a casa a los servidores de Absolute Software una vez al día, consultará un posible informe de robo y transmitirá los resultados de un escaneo del sistema, la dirección IP, los nombres de usuario y máquina y los datos de ubicación, que obtiene al tocar el botón Flujo de datos GPS en máquinas equipadas con hardware GPS, o triangulando los puntos de acceso WLAN disponibles en las cercanías, proporcionando ID de WLAN y potencias de señal para que los servidores de Absolute Software puedan geolocalizar el dispositivo utilizando la base de datos de Mexens Technology . [ cita requerida ] Si Absolute recibe un informe de robo, el servicio puede ser comandado de forma remota para llamar a casa cada 15 minutos, instalar software adicional del tercer proveedor, como un registrador de teclas o un paquete forense, hacer capturas de pantalla , etc.
Absoluta de hogar y oficina también es compatible con Intel 's AT-p esquema de protección contra el robo: Si no es capaz de llamar a casa dentro de un intervalo de tiempo configurable se requerirá una contraseña de BIOS especial en el siguiente reinicio. Se puede configurar para apagar la fuente de alimentación de la máquina inmediatamente en este caso, para forzar un reinicio.
Tecnología de persistencia absoluta
El módulo de persistencia , instalado como parte del BIOS / UEFI del sistema, detecta cuándo se ha eliminado el software Absolute Home & Office . Garantiza que el software se reinstale automáticamente incluso si se reemplaza el disco duro o si se actualiza el firmware . Absolute Software se asocia con muchos fabricantes de equipos originales para integrar esta tecnología en el firmware de computadoras, netbooks, teléfonos inteligentes y tabletas de Acer , ASUS , Dell , Fujitsu , HP , Lenovo , Motion, Panasonic , Samsung y Toshiba . [12]
Vulnerabilidades
El cliente Absolute Home & Office tiene un comportamiento similar al de un troyano y un rootkit , pero algunos de sus módulos han sido incluidos en la lista blanca por varios proveedores de antivirus. [6] [8] Anteriormente se detectó como TR / Hijack.Explor.1245 o W32 / Agent.SW! Tr . [ cita requerida ]
En la conferencia Black Hat Briefings en 2009, los investigadores demostraron que la implementación del agente Computrace / LoJack incrustado en el BIOS tiene vulnerabilidades y que este "control disponible del agente antirrobo permite una forma altamente peligrosa de rootkit mejorado por BIOS que puede evitar todas las restricciones de instalación o de chipset y reutilizar muchas de las funciones existentes que se ofrecen en este tipo de software ". [13] [14] [15] Absolute Software rechazó las afirmaciones hechas en la investigación, afirmando que "la presencia del módulo Computrace de ninguna manera debilita la seguridad del BIOS". Otro analista independiente confirmó las fallas, señaló que un ataque de secuestro de malware sería "muy exótico" y sugirió que la mayor preocupación era que los ladrones inteligentes pudieran desactivar la función del teléfono residencial. [16] Más tarde, Core Security Technologies demostró el hallazgo del investigador al poner a disposición del público varias pruebas de concepto, videos y utilidades en su página web. [17]
La explotación local y remota del agente CompuTrace de primera etapa, que se utiliza para instalar la versión completa después de la activación o reinstalación del sistema operativo, se demostró en BlackHat USA 2014. Este agente cuentagotas está incluido en la lista blanca de varios proveedores de antivirus y se puede utilizar para configurar algunos ataques locales, por ejemplo, para descargar e instalar software de diferentes servidores. [8] ESET descubrió un primer ataque en la naturaleza con un rootkit llamado LoJax que infectó configuraciones LoJack vulnerables. [18]
Referencias
- ^ Libros blancos del informe de robo archivados el 18 de marzo de 2013 en la Wayback Machine . por Absolute Software
- ↑ David A. Andelman (19 de agosto de 2005). "¿Funciona LoJack para portátiles?" . Forbes .
- ^ LoJack frustra el robo de portátiles , Techworld.com
- ^ "Revisión de software de LoJack para portátiles por PCMag.com" . 2011-06-21.
- ^ "LoJack licencia tecnología para rastrear equipos robados" . Boston Business Journal. 27 de junio de 2005 . Consultado el 10 de abril de 2009 .
- ^ a b Absolute Computrace Revisited / SecureList, Vitaly Kamluk, 12 de febrero de 2014.
- ^ Ortega, Alfredo; Sacco, Anibal (24 de julio de 2009). Desactive el Rootkit: Ataques a tecnologías antirrobo de BIOS (PDF) . Black Hat USA 2009 (PDF). Boston, MA: Tecnologías de seguridad básicas . Consultado el 12 de junio de 2014 .
- ^ a b c d e Kamlyuk, Vitaliy; Belov, Sergey; Sacco, Anibal (agosto de 2014). Absolute Backdoor revisitado (PDF) . Black Hat USA 2014 (PDF). Las Vegas . Consultado el 27 de enero de 2015 .
- ^ Cómo evitar que le roben su computadora portátil - por Andrew Nusca para The ToyBox, 26 de febrero de 2009
- ^ Absolute Software, Socio: Compatibilidad con BIOS , absolute.com
- ^ "¿Cómo puede ser efectivo loJack? Si tengo una contraseña ... alguien roba mi computadora portátil, no puede iniciar sesión para conectarse a Internet" . Archivado desde el original el 18 de enero de 2012 . Consultado el 18 de junio de 2012 .
- ^ El CEO absoluto dice que el crecimiento se acelerará después de Samsung Win / Bloomberg, por Hugo Miller - 15 de abril de 2013
- ^ Sacco, Anibal; Alfredo Ortéga. "Desactivar el Rootkit" . Explotación de cosas . Consultado el 6 de octubre de 2009 .
- ^ Robertson, Jordan. "El software antirrobo podría crear un agujero de seguridad" . The Associated Press . Archivado desde el original el 8 de agosto de 2009 . Consultado el 6 de agosto de 2009 .
- ^ Sacco, Anibal; Alfredo Ortéga. "Desactivar el Rootkit" . Sesiones informativas de sombrero negro . Archivado desde el original el 8 de julio de 2011 . Consultado el 6 de agosto de 2009 .
- ^ "Absolute Software minimiza las afirmaciones de rootkit de BIOS" . ZDNet . Consultado el 20 de agosto de 2009 .
- ^ Sacco, Anibal; Alfredo Ortéga. "Desactivar el Rootkit" . Tecnologías de seguridad básicas . Consultado el 8 de septiembre de 2009 .
- ^ LoJax: primer rootkit UEFI encontrado en la naturaleza, cortesía del grupo Sednit , WeLiveSecurity de ESET, 2018-09-27
enlaces externos
- 11 resoluciones de seguridad para 2013 / PCWorld
- Cómo proteger su computadora portátil / PCWorld
- Recupere una computadora portátil robada con software antirrobo / About.com
- Nuevos obsequios de última hora para viajeros de negocios / USA Today
- CompuTrace en ThinkWiki (en alemán)
- Millones de PC afectadas por la misteriosa puerta trasera / Threatpost de Computrace , 2014-08-11