es computrace una puerta trasera permanente?

Navega tus respuestas
8

Estaba leyendo sobre CompuTrace y esto es casi una puerta trasera e inamovible. Está en el firmware, en el BIOS y sobrevive al formateo e incluso al cambio de disco duro y las reinstalaciones del sistema operativo.

Alguna pregunta vino a tu mente,

  1. ¿Funciona CompuTrace con Linux?

  2. ¿CompuTrace sigue funcionando al usar VPN o Tor?

  3. ¿Cómo saber si está en la computadora, incluso si está inactivo?

Hice algunas lecturas en línea y este exploit / backdoor es muy peligroso. Básicamente, puede obtener CUALQUIER información y enviarla a casa y es una pastilla venenosa y un dispositivo de rastreo. Uno de los problemas que he notado es la compra de cuadernos usados que no puede estar seguro de que no sean robados.

Lea esto: enlace

Un comentario fue particularmente interesante, aparentemente proveniente de un policía, que afirma (cita)

"En teoría, es agradable sentarse aquí y hablar sobre cómo crees que puedes deshabilitar el software, pero desde el punto de vista de la aplicación de la ley puedo decirte que es MUCHO más persistente de lo que sabes y hace una mucho más de lo que crees ".

Eso no suena bien y es casi un asesino de seguridad de la información.

¿Me estoy perdiendo algo aquí o es un exploit / backdoor permanente e inamovible?

    
pregunta elipconis 28.07.2014 - 17:01
fuente

2 respuestas

4

Según "Absolute Computrace Revisited" y "Absolute Computrace / Requisitos del sistema " las respuestas a sus preguntas son:

  1. Sí (Ubuntu, Debian). No debería haber un gran problema para Los desarrolladores de CompuTrace para que funcione con RH o SuSE I Creo, ya que las versiones SW, la colocación de binarios y el empaquetado son Más o menos estándar en estas distribuciones también. RH SeLinux y SuSE AppArmor puede ser un poco problemático, pero es más administrativo (para obtener un perfil adecuado incorporado) que técnico.

  2. Sí / probablemente. Desde VPN simplemente envuelve el tráfico IP y enruta todo o parte     De ello a otra ubicación, CompuTrace seguirá ese enrutamiento. Si     Las direcciones con las que desea contactar se enrutan a la puerta de enlace VPN y a la puerta de enlace     no sabe / no está configurado para enrutar estas direcciones aún más, CompuTrace lo hará     no funciona, pero este problema no es específico de VPN, lo mismo es también     Es cierto para cualquier enrutador que tenga tablas de enrutamiento configurables. En cuanto a TOR     Si se establece un proxy TOR en las propiedades de IE de un usuario, el proceso de IE iniciado por CompuTrace también usará esta configuración. Otras formas de     la conexión a Internet no está anunciada, pero los desarrolladores de CompuTrace no tienen problemas para desarrollar la detección de presencia de TOR y actuar en consecuencia.

  3. En la primera página vinculada hay una lista de signos de CompuTrace presencia en una computadora También en el sitio oficial de CompuTrace hay una lista de modelos de computadoras portátiles donde los fabricantes preinstalan CompuTrace, por lo que si compra una computadora portátil nueva que está en la lista, tiene CompuTrace.

Y la respuesta a su última pregunta sería "Sí, pero ..." Técnicamente CompuTrace es un backdoor permanente e inamovible (para un usuario promedio / superior al promedio). Legalmente, no fue desarrollado con intenciones maliciosas en mente (o eso espero) por lo que al menos en algunos países no se considera malware. No es un exploit per se, ya que fue diseñado para funcionar exactamente como funciona, pero puede ser explotado por personas malas, como cualquier otro SW habilitado para red.

    
respondido por el Yaris 06.08.2014 - 14:07
fuente
-1

Respuesta actualizada y editada de agosto de 2017

¡IMPORTANTE! Tenga en cuenta que la respuesta anterior puede estar desactualizada. Kaspersky realizó una investigación sobre Computrace en agosto de 2014, ¡que también está desactualizada hace 2 años!

Entonces, sí, computrace parece ser una puerta trasera permanente, a menos que tenga experiencia en hardware para inspeccionar y seguir la modificación del BIOS, descrita por Kaspersky. Cualquier autoridad o pirata informático puede alterar los archivos y tomar el control total de su máquina, incluida la supervisión completa de la actividad y la eliminación de archivos.

Respuestas de acuerdo a 2017:

  1. No lo sabemos, pero: Fuentes secundarias (como Kaspersky @ youtube y enlace ) se refieren a agentes de Ubuntu / Debian , que no se encuentran en el sitio oficial como se admite. También realicé una captura de paquetes de Wireshark con Linux, y no encontré ninguna actividad sospechosa en el final de la presentación de Kaspersky. Exe no se ejecuta en Linux, a menos que tenga instalado Wine.

En un correo de 2007, Absolute parece representar la filosofía de que Linux es un sistema operativo secundario, por eso no lo admiten:

"De: Miguel Guhlin [mailto: [email protected]] Enviado: lunes 22 de enero de 2007 Para: John Livingston Asunto: Re: Artículo del 10 de abril de 2006 "Protección de archivos eliminados": referencia a Computrace

(...)

1) ¿Qué sucede si el disco duro se reparte y los usuarios emplean el escenario de arranque dual, un lado ejecutando Linux y el otro Windows? Si ejecuta Linux, ¿CompuTrace todavía funcionaría?

Después de volver a particionar, Computrace funcionará cuando se ejecute en Windows.

2) Usted menciona que Eraser no causaría la eliminación de CompuTrace. Si CompuTrace es parte del BIOS, me imagino que no lo sería. Sin embargo, si se vuelve a formatear la máquina con una utilidad como Darik's Boot-n-Nuke, cargada con un nuevo sistema operativo (por ejemplo, Linux), y luego se pone en servicio, ¿Absolute Software podría encontrar el equipo? En otras palabras, ¿seguiría funcionando como se anuncia?

Bueno, admitimos Windows y MAC OS 10+ así que sí; Trabajaríamos si se reiniciara en un mundo de Windows, pero no si el usuario inicia Linux. "

(artículo completo: enlace !)

PERO, supongo, es solo una cuestión de tiempo desarrollarlo. Pasaron 2 años, y todavía no escriben nada al respecto. Kaspersky demostró en demostración en vivo, que los archivos modificados pueden ejecutarse en su sistema (Win).

  1. Sí, computrace reside en su BIOS, por lo tanto, tiene el mayor privilegio para enviar los datos recopilados sobre su actividad real. También aquí, el autor de la fuente secundaria dice que no desaparece con la reclasificación. Algunos otros artículos dicen, está en un CHIP. Obviamente hay diferentes informaciones de diferentes tiempos y versiones. Incluso si muestra "no activado", no significa que computrace no esté funcionando y llamando a casa.

  2. Usted hace una inspección de BIOS de hardware. De lo contrario, las herramientas de software no son confiables, pero Kaspersky también proporcionó información al final de la presentación y cómo eliminarlo. Pero advierten a todos que no se metan con él, a menos que tenga experiencia en BIOS, ya que puede habilitarlo accidentalmente de forma permanente, y ni siquiera Absolute puede desactivarlo. Si suponemos que no estamos infectados por una puerta trasera, podemos confiar parcialmente en una inspección de Wireshark limpia. Si sabe cómo modificar una BIOS, también puede hacerlo usted mismo, o simplemente confiar en alguien con eso.

ADVERTENCIA: debe hacer su propia prueba de Wirehark con su propia distribución de Linux y configuración de hardware. ¡NO HAGA FUNCIONAR Wirehark como superusuario!

"sudo addgroup -system wireshark sudo chown root: wireshark / usr / bin / dumpcap sudo setcap cap_net_raw, cap_net_admin = eip / usr / bin / dumpcap sudo usermod -a -G wireshark YOUR_USER_NAME

Luego simplemente inicie Wireshark y seleccione la interfaz de red. Funcionó para mí en 10.04 LTS. enlace permanente

respondió 04 abr '12, 11:41 kyphos "

De lo contrario, son malas noticias, todavía no hay nada 100% confiable al respecto, especialmente no sobre Linux. Puedes intentar comprar hardware de código abierto o militar.

(No podría vincular mucho, pero copie las cosas citadas para obtener más fuentes si lo desea)

    
respondido por el TriloByte 07.08.2017 - 08:04
fuente

Lea otras preguntas en las etiquetas

'Recordarme' combinado con el token de autenticación ¿Es un riesgo resaltar texto al leer una página web?