Articulo de referencia

Hogar y oficina absolutos

Absolute Home & Office (originalmente conocido como CompuTrace y LoJack para portátiles ) es un software propietario de recuperación de portátiles robados ( software de rastreo ...

Absolute Home & Office (originalmente conocido como CompuTrace y LoJack para portátiles ) es un software propietario de recuperación de portátiles robados ( software de rastreo de portátiles ). Las funciones de seguridad persistentes están integradas en el firmware de los dispositivos. Absolute Home & Office cuenta con un equipo de investigación y recuperación que colabora con las fuerzas del orden para devolver los portátiles a sus propietarios. [ 1 ] [ 2 ] [ 3 ] [ 4 ] Absolute Security obtuvo la licencia del nombre LoJack del servicio de recuperación de vehículos LoJack en 2005. [ 5 ]

Un análisis de Absolute Home & Office (LoJack) realizado por Kaspersky Lab muestra que, en raras ocasiones, el software se preactivó sin la autorización del usuario. El agente de software se comporta como un rootkit , reinstalando un pequeño agente instalador en el sistema operativo Windows al arrancar. Este instalador descarga posteriormente el agente completo desde los servidores de Absolute Security a través de internet. Este instalador es vulnerable a ciertos ataques locales, [ 6 ] [ 7 ] y ataques de hackers que pueden controlar las comunicaciones de red de la víctima. [ 8 ]

Funcionalidad

Una vez instalado, el agente Absolute Home & Office se mantiene activo realizando una llamada inicial al "Centro de Monitoreo". [ 8 ] El software puede actualizarse mediante módulos, descargados desde un servidor de comandos. [ 8 ] El contacto posterior se realiza diariamente para verificar que el agente permanezca instalado y proporcione datos detallados como ubicación, usuario, software y hardware.

Si el dispositivo es robado, el propietario puede contactar a la empresa. Luego, la próxima vez que el dispositivo protegido se conecte a internet , cambia al modo antirrobo y acelera la comunicación con el Centro de Monitoreo. El equipo de Investigación y Recuperación realiza un análisis forense del equipo mediante captura de claves, escaneo de registro y archivos, geolocalización y otras técnicas de investigación. El equipo colabora con las fuerzas del orden locales para recuperar el dispositivo protegido y proporciona a la policía pruebas para la presentación de cargos penales . En caso de robo, el usuario puede iniciar sesión en su cuenta en línea para bloquear remotamente el equipo o eliminar archivos confidenciales y evitar el robo de identidad . [ 9 ]

Absolute Home & Office viene preinstalado en algunos equipos Acer , Asus , Fujitsu , Panasonic , Toshiba , Dell , HP y Lenovo . [ 10 ] Apple, a diferencia de otros fabricantes de PC , no permite que el software se instale en la BIOS. [ 11 ] Absolute Home & Office se puede instalar en ordenadores Apple, pero se almacenará en el disco duro en lugar de en la BIOS. Si se reemplaza o formatea el disco duro, el software se perderá.

El servicio BIOS está deshabilitado por defecto y se puede habilitar comprando una licencia para Absolute Home & Office ; al habilitarse, el BIOS copiará un agente de descarga llamado rpcnetp.exedesde la ROM flash del BIOS a la carpeta System32 en sistemas Windows. En algunos portátiles Toshiba, rpcnetp.exeviene preinstalado de fábrica por Toshiba en el disco duro de la unidad. A su vez, rpcnetp.exedescargará el software completo del agente e instalará el rpcnet.exeservicio de Windows . A partir de entonces, rpcnet.exese conectará a los servidores de Absolute Security una vez al día, consultando si hay un posible informe de robo y transmitiendo los resultados de un escaneo del sistema, la dirección IP, los nombres de usuario y de máquina y los datos de ubicación, que obtiene ya sea interceptando el flujo de datos GPS en máquinas equipadas con hardware GPS, o triangulando los puntos de acceso WLAN disponibles en las cercanías, proporcionando identificadores WLAN y potencias de señal para que los servidores de Absolute Security puedan geolocalizar el dispositivo utilizando la base de datos de Mexens Technology . Si Absolute Security recibe un informe de robo, se le puede ordenar al servicio de forma remota que llame a su servidor cada 15 minutos, instale software adicional de terceros, como un registrador de pulsaciones de teclas o un paquete forense, tome capturas de pantalla y realice otras acciones.

Absolute Home & Office también es compatible con el sistema de protección antirrobo AT-p de Intel . Si no puede conectarse a la red en un intervalo de tiempo configurable, requerirá una contraseña especial de la BIOS al reiniciar el equipo. En este caso, se puede configurar para que apague la fuente de alimentación del equipo inmediatamente y fuerce el reinicio.

Persistencia

El módulo de persistencia , instalado como parte del BIOS/UEFI del sistema, detecta cuándo se ha eliminado el software Absolute Home & Office . Garantiza que el software se reinstale automáticamente incluso si se reemplaza el disco duro o se actualiza el firmware . Absolute Security colabora con numerosos fabricantes de equipos originales para integrar esta tecnología en el firmware de ordenadores, netbooks, smartphones y tabletas de Acer , ASUS , Dell , Fujitsu , HP , Lenovo , Motion, Panasonic , Samsung y Toshiba . [ 12 ]

Vulnerabilidades

El cliente Absolute Home & Office tiene un comportamiento similar al de un troyano y un rootkit , pero algunos de sus módulos han sido incluidos en la lista blanca de varios proveedores de antivirus. [ 6 ] [ 8 ]

En la conferencia Black Hat Briefings de 2009, los investigadores demostraron que la implementación del agente Computrace/LoJack integrado en la BIOS presenta vulnerabilidades y que este "control disponible del agente antirrobo permite una forma altamente peligrosa de rootkit mejorado por la BIOS que puede eludir todas las restricciones del chipset o de instalación y reutilizar muchas funciones existentes ofrecidas en este tipo de software". [ 13 ] [ 14 ] [ 15 ] Absolute Security rechazó las afirmaciones hechas en la investigación, declarando que "la presencia del módulo Computrace no debilita en modo alguno la seguridad de la BIOS". Otro analista independiente confirmó las fallas, señaló que un ataque de secuestro de malware sería "muy exótico" y sugirió que la mayor preocupación era que los ladrones expertos pudieran deshabilitar la función de conexión a la red. [ 16 ] Posteriormente, Core Security Technologies demostró el hallazgo del investigador al poner a disposición del público varias pruebas de concepto, videos y utilidades en su página web. [ 17 ]

La explotación local y remota del agente CompuTrace de primera etapa, que se utiliza para instalar la versión completa después de la activación o reinstalación del sistema operativo, se demostró en BlackHat USA 2014. Este agente de descarga está en la lista blanca de varios proveedores de antivirus y puede utilizarse para configurar algunos ataques locales, por ejemplo, para descargar e instalar software desde diferentes servidores. [ 8 ] ESET descubrió un primer ataque en la práctica con un rootkit llamado LoJax que infectó configuraciones vulnerables de LoJack. [ 18 ]

Véase también

Referencias

  1. Documentos técnicos sobre informes de robo archivados el 18/03/2013 en Wayback Machine . Por Absolute Software
  2. David A. Andelman (19 de agosto de 2005). "¿Funciona LoJack para portátiles?" . Forbes . Archivado del original el 19 de diciembre de 2005.
  3. LoJack frustra el robo de portátiles , Techworld.com
  4. "Análisis del software LoJack para portátiles por PCMag.com" . 21/06/2011.
  5. "LoJack licencia tecnología para rastrear computadoras robadas" . Boston Business Journal. 27 de junio de 2005. Consultado el 10 de abril de 2009 .
  6. 1 2 Absolute Computrace Revisited / SecureList, Vitaly Kamluk, 12 de febrero de 2014.
  7. Ortega, Alfredo; Sacco, Aníbal (24 de julio de 2009). Desactivar el rootkit: ataques a las tecnologías antirrobo de la BIOS (PDF) . Black Hat USA 2009 (PDF). Boston, MA: Core Security Technologies . Consultado el 12 de junio de 2014 .
  8. 1 2 3 4 5 Kamlyuk, Vitaliy; Belov, Sergey; Sacco, Aníbal (agosto de 2014). Puerta trasera absoluta revisada (PDF) . Black Hat EE. UU. 2014 (PDF). Las Vegas . Consultado el 27 de enero de 2015 .
  9. Cómo evitar que te roben el portátil - por Andrew Nusca para The ToyBox, 26 de febrero de 2009
  10. Absolute Software, Socio: Compatibilidad con BIOS , absolute.com
  11. "¿Cómo puede ser efectivo loJack si tengo una contraseña... si alguien roba mi portátil, no puede iniciar sesión para conectarse a internet?" . Archivado del original el 18 de enero de 2012. Consultado el 18 de junio de 2012 .
  12. El CEO de Absolute afirma que el crecimiento se acelerará tras la victoria de Samsung / Bloomberg, por Hugo Miller - 15 de abril de 2013
  13. Sacco, Anibal; Alfredo Ortéga. "Desactivar el rootkit" . Exploiting Stuff . Consultado el 6 de octubre de 2009 .
  14. Robertson, Jordan. "El software antirrobo podría crear una brecha de seguridad" . The Associated Press . Archivado del original el 8 de agosto de 2009. Consultado el 6 de agosto de 2009 .
  15. Sacco, Anibal; Alfredo Ortéga. "Desactivar el rootkit" . Black Hat Briefings . Archivado del original el 8 de julio de 2011. Consultado el 6 de agosto de 2009 .
  16. "Absolute Software minimiza las afirmaciones sobre el rootkit de BIOS" . ZDNet . Archivado del original el 14 de octubre de 2012. Consultado el 20 de agosto de 2009 .
  17. Sacco, Anibal; Alfredo Ortéga. "Desactivar el rootkit" . Core Security Technologies . Consultado el 8 de septiembre de 2009 .
  18. LoJax: Primer rootkit UEFI detectado en la práctica, cortesía del grupo Sednit , WeLiveSecurity de ESET, 27/09/2018
  • 11 resoluciones de seguridad para 2013 / PCWorld
    • Cómo proteger tu portátil / PCWorld
  • Recuperar un portátil robado con software antirrobo. Archivado el 11/05/2013 en Wayback Machine / About.com
  • Nuevos regalos de última hora para viajeros de negocios / USA Today
  • CompuTrace en ThinkWiki (en alemán)
  • Millones de PC afectadas por la misteriosa puerta trasera Computrace / Threatpost, 11 de agosto de 2014