Absolute Computrace

Hüten Sie sich vor angreifbaren Diebstahlsicherungen

Kann es sein, dass auf Ihrem Computer eine Anti-Diebstahl-Software läuft, die Sie nie selbst aktiviert haben? Eine Software, über die vielleicht aus der Ferne auf den PC zugegriffen werden kann? Eine Software, die Sie nicht löschen können, nicht einmal, wenn Sie die Festplatte komplett austauschen? Das klingt nach moderner Legende, ist aber leider wahr.

Serge Malenkovich
20 Feb 2014

Kann es sein, dass auf Ihrem Computer eine Anti-Diebstahl-Software läuft, die Sie nie selbst aktiviert haben? Eine Software, über die vielleicht aus der Ferne auf den PC zugegriffen werden kann? Eine Software, die Sie nicht löschen können, nicht einmal, wenn Sie die Festplatte komplett austauschen? Das klingt nach moderner Legende, ist aber leider wahr.

Genau das ist Sergey Belov, einem der Virenforscher von Kaspersky Lab passiert, als er einen Software-Fehler auf dem privaten Laptop seiner Frau untersuchte. Ein verdächtiger Prozess erregte seine Aufmerksamkeit und zunächst dachte er, ein bisher unbekanntes Rootkit entdeckt zu haben. Doch der Prozess stellte sich als legitim heraus – er gehörte zum Software-Agenten von Absolute Computrace, einer beliebten Anti-Diebstahl-Software für Laptops. Das Besondere an Computrace ist die spezielle Position, die die Software auf dem Computer einnimmt. Der Computrace-Agent liegt zum Teil im BIOS oder UEFI, einem Chip mit fest programmierter Programm-Sequenz, die auf dem Computer direkt nach dem Einschalten als erstes ausgeführt wird, noch bevor das Betriebssystem startet. Dadurch kann Computrace sogar „Hard-Resests“ und sogar den Austausch der Festplatte überstehen. Das Besorgniserregende daran ist, dass Belovs Frau die Software nie aktiviert hat und von dessen Existenz nichts wusste. Die weitere Analyse brachte noch mehr schlechte Nachrichten hervor: Ein Angreifer kann den Computerace-Agenten übernehmen und auf dem PC dann alle möglichen Aktionen ausführen.

Diebstahlsicherungen sind für moderne Geräte enorm wichtig, da Diebe gerade auf solche kleinen und teuren Geräte scharf sind.

Diebstahlsicherungen sind für moderne Geräte enorm wichtig, da Diebe gerade auf solche kleinen und teuren Geräte scharf sind. Doch die Entwicklung einer Anti-Diebstahl-Software ist nicht gerade einfach. Sie muss klein und unauffällig sein. Sie sollte immer die Verbindung mit einem HQ-Server aufrechterhalten, um den Ort des Computers zu melden und im Fall eines Diebstahls die entsprechende Aktion einzuleiten. Und sie muss den Löschversuchen des Diebes standhalten. All das bedeutet, dass die Anti-Diebstahl-Software sehr tief im System arbeitet und ziemlich gute Rechte auf dem Computer haben muss. Doch was kann passieren, wenn so ein Programm eine Sicherheitslücke hat? Im schlimmsten Fall können Hacker mit dem Computer machen, was sie wollen.

Leider ist das nicht nur graue Theorie. In der letzten Woche war ich Zeuge einer entsprechenden Vorführung durch die Kaspersky-Experten Vitaly Kamluk und Sergey Belov auf dem Security Analysts Summit 2014. Die beiden haben einen brandneuen Asus-Laptop ausgepackt und die üblichen Einschaltaktionen durchgeführt und dann einen anderen PC benutzt, um die Kamera des Laptops aus der Ferne einzuschalten und dann Dateien aus der Ferne zu löschen. Das war möglich, indem unverschlüsselte Netzwerkpaket abgefangen und andere Daten zurückgeschickt wurden, so dass damit die Kommunikation mit dem Original-Computrace-Server nachgeahmt wurde.

Wahrscheinlich wollen Sie nun gleich Ihren Laptop auf die Installation von Computrace prüfen. Sollten Sie vorhaben, das Programm zu löschen, kann ich Ihnen sagen, dass dies eine echte Herausforderung ist. Der Agent muss nämlich alle Versuche, gelöscht zu werden, abwehren, denn das ist eine seiner Aufgaben als Anti-Diebstahl-Programm. Dafür prüft ein Teil von Computrace im BIOS bei jedem Einschalten des PCs, ob die Software vorhanden ist. Wird die Software nicht gefunden, wird ein kleines Programm aus dem BIOS in das Betriebssystem installiert. Beim Starten von Windows lädt dann dieses Programm einen kompletten Computrace-Agenten aus dem Internet herunter und aktiviert diesen. Dieser Schritt ist allerdings angreifbar, wie auf dem Security Analysts Summit gezeigt wurde.

Den kompletten Bericht dazu finden Sie auf Securelist. Hier gibt es auch eine Liste der Anzeichen, dass der Computrace-Agent aktiv ist. Daten des Kaspersky Security Network zeigen, dass 150.000 der Kaspersky-Kunden einen aktiven Computrace-Agenten auf ihrem Computer haben. Vitaly Kamluk schätzt, dass Computrace weltweit auf etwa zwei Millionen Computern aktiviert ist. Wobei wir nicht sagen können, wie viele davon von den Nutzern selbst aktiviert wurden.

Der BIOS-Teil von Computrace ist auf den meisten populären BIOS/UEFI-Chips vorinstalliert, die sie auf den meisten Laptops finden, unter anderem den Geräten von Acer, Asus, Sony, Toshiba, HP, Lenovo, Samsung und vielen anderen. Manche Laptops bieten aber eine sichtbare BIOS-Option, mit der Sie Computrace ein- oder ausschalten können. Zudem läuft Computrace nicht auf jedem Computer, denn auch wenn eine BIOS-Komponente vorhanden ist, ist die Software auf vielen Computern inaktiv. Allerdings haben die Kaspersky-Forscher einige neue Laptops gekauft, die bereits beim ersten Starten nach dem Auspacken aktive Computrace-Agenten besitzen. Warum diese Agenten bereits aktiv sind und wer die Kontrolle darüber hat, kann nur spekuliert werden.

Facebook übernimmt WhatsApp: Was sind die Konsequenzen für die Nutzer der App?

Der Kauf von WhatsApp durch Facebook hat in der letzten Woche hohe Wellen geschlagen, denn das Soziale Netzwerk zahlte eine Rekordsumme für das Messaging-Startup. Sage und schreibe 19 Milliarden US-Dollar wurden für eine Firma mit 450 Millionen aktiven Anwendern ausgegeben – Das sind fast 42 Dollar pro Anwender! Wenn man bedenkt, dass WhatsApp einen symbolischen Beitrag von einem Dollar pro Jahr von den Anwendern verlangt, ist klar, dass diese Einnahmen niemals kurz- oder mittelfristig die Übernahmekosten decken werden. Natürlich gibt es die Befürchtung, dass Werbung in WhatsApp auftauchen wird – zusammen mit Privatsphäre-schädlichen Überwachungs-Tools, inklusive dem Mitlesen von Nachrichten (man denke nur an Gmail). Ist es also an der Zeit, sich eine Alternative zu WhatsApp zu suchen?

Tipps

Gleich kommt das (verifizierte) Vögelchen – Fake oder Wirklichkeit?

So unterscheidest du echte Fotos und Videos von Fakes und stellst ihre Herkunft fest

Zu Kaspersky wechseln: Schritt-für-Schritt-Anleitung für die Migration

So stellst du den Cyberschutz deines Computers oder Smartphones auf die am häufigsten ausgezeichnete Kaspersky-Sicherheitslösung um.

Boss oder Betrüger? Betrug, getarnt als Auftrag deines Chefs

Du hast eine Nachricht von deinem Chef oder einem Kollegen erhalten, in der du auf unerwartete Weise aufgefordert wirst, ein Problem zu beheben? Achtung vor Betrügern! Wie schützt du dich und dein Unternehmen vor einem möglichen Angriff?

Mehr Sicherheit für Privatanwender

Sicherheitsunternehmen bieten intelligente Technologien – in erster Linie Kameras – an, um dein Zuhause vor Einbruch, Feuer und anderen Zwischenfällen zu schützen. Aber wie wäre es, diese Sicherheitssysteme selbst vor Eindringlingen zu schützen? Das ist eine Lücke, die wir füllen.

KOSTENLOSE TOOLS

TARGETED SECURITY-LÖSUNGEN

ENTERPRISE SOLUTIONS

Hüten Sie sich vor angreifbaren Diebstahlsicherungen

Echtzeit-Hacking bei Apex Legends: Skandal in einem E-Sports-Turnier

Boss oder Betrüger? Betrug, getarnt als Auftrag deines Chefs

Facebook übernimmt WhatsApp: Was sind die Konsequenzen für die Nutzer der App?

Tipps

Gleich kommt das (verifizierte) Vögelchen – Fake oder Wirklichkeit?

Zu Kaspersky wechseln: Schritt-für-Schritt-Anleitung für die Migration

Boss oder Betrüger? Betrug, getarnt als Auftrag deines Chefs

Mehr Sicherheit für Privatanwender

Abonnieren Sie uns und bleiben Sie auf dem neuesten Stand mit unseren Beiträgen

LÖSUNGEN FÜR HEIMANWENDER

KLEINE UNTERNEHMEN

MITTLERE UNTERNEHMEN

GROSSE UNTERNEHMEN

Securelist

Eugene Personal Blog

Enzyklopädie