Stuff

Computrace dost mu yoksa düşman mı?

Yaygın şekilde kullanılan dizüstü bilgisayarların BIOS sistemlerinde gizli bir tehdit saptayan Kaspersky, güvenlik yazılımı Absolute Computrace’in ele geçirilebileceği konusunda uyarıda bulunuyor.

Kaspersky Lab’in güvenlik araştırma ekibi, “Absolute Software” tarafından satışa sunulan hırsızlık engelleme yazılımındaki yetersiz uygulamaların, faydalı bir koruma yardımcı programını siber suçlular için güçlü bir hizmet programına dönüştürebileceğini onaylayan ve gösteren bir rapor yayınladı.

Bu yetersiz uygulama gizli bir şekilde, saldırganların milyonlarca kullanıcının bilgisayarına tam erişim sahibi olmasını sağlıyor. Araştırmanın temel odağı, modern dizüstü ve masaüstü bilgisayarlarda PC ROM BIOS ya da aygıt yazılımında yer alan Absolute Computrace aracı oldu.

Bu araştırma projesinin asıl amacı, kurumsal bilgisayarlarda ve Kaspersky Lab araştırmacılarına ait çeşitli özel bilgisayarlarda önceden izin almaksızın çalışan Computrace aracını keşfetmekti. Computrace’in “Absolute Software” tarafından geliştirilen yasal bir ürün olmasına rağmen, bazı sistem kullanıcıları, bu yazılımı kendi makinelerine hiçbir zaman kurmadıklarını, etkinleştirmediklerini ya da bilgi sahibi olmadıklarını iddia etmişlerdi.

Üstelik önceden yüklenmiş geleneksel yazılım paketlerinin birçoğu, kullanıcı tarafından kalıcı olarak kaldırılabilirken ya da devre dışı bırakılabilirken Computrace’in profesyonel sistem temizliğinde ve hatta sabit disk değişiminde bile çalışmaya devam edecek şekilde tasarlandığı belirtiliyor.

Çözülmesi gereken bir gizem

Kaspersky Lab Global Araştırma ve Analiz Ekibi Kıdemli Güvenlik Araştırmacısı Vitaly Kamluk, “Fiber optiği kullanmayı bilen güçlü oyuncular, Absolute Computrace’in çalıştığı bilgisayarları potansiyel olarak ele geçirebilir. Bu yazılım, casus yazılım eklentilerini uygulamak için kullanılabilir” şeklinde uyarıda bulunuyor ve açıklamasına şöyle devam ediyor: “Tahminlerimiz doğrultusunda Absolute Computrace yazılımının çalıştığı milyonlarca bilgisayar ve çok sayıda kullanıcının bu yazılımın etkinleştirildiğinden ve çalıştığından habersiz olabileceğini söyleyebiliriz. Peki tüm bu bilgisayarlar üzerinde Computrace’i etkinleştirmenin amacı ne olabilir? Kimliği belirsiz bir kimse tarafından izleniyorlar mı? Bu gerçekten çözülmesi gereken bir gizem.”

Vitaly Kamluk ayrıca “Absolute Computrace yazılımı gibi etkili araçların, herkesin yararına olmayı sürdürmesi için kimlik doğrulaması ve şifreleme mekanizmalarını kullanması zorunlu. Computrace yazılımının birçok bilgisayarda çalıştığı düşünüldüğünde, kullanıcıların uyarılmaları ve yazılımın ne şekilde devre dışı bırakılabileceği konusunda bilgilendirilmeleri sorumluluğunun üreticiye (bu durumda Absolute Software) ait olduğu çok açık” ifadesinde bulundu. Kamluk, “Aksi takdirde, bu sahiplenilmeyen yazılımlar, fark edilmeden çalışmaya ve kötüye kullanılma olasılığı taşımaya devam edecek” diye ekledi.

İstatistikler

Kaspersky’nin güvenlik ağına göre, makinelerinde Computrace yazılımının çalıştığı yaklaşık 150.000 kullanıcı bulunuyor. Computrace yazılımının etkinleştirildiği toplam kullanıcı sayısı tahmini olarak 2 milyondan fazla. Kendi sistemlerinde Computrace’in çalıştığını bilen kullanıcıların sayısı ise belirsiz. Bu bilgisayarların büyük bölümü Amerika Birleşik Devletleri ve Rusya’da bulunuyor.

Güvenlik açıkları

Computrace Small Agent tarafından kullanılan ağ protokolü, uzaktan kod çalıştırma için temel özellikleri sağlıyor. Protokol, saldırgan ağ ortamında uzaktan saldırılar için birçok fırsat oluşturan uzaktan sunucunun herhangi bir şifreleme veya kimlik doğrulama işlemini kullanmasını gerektirmiyor.

Saldırı platformu

Absolute Computrace’in saldırı amaçlı bir platform olarak kullanıldığına yönelik herhangi bir kanıt bulunmuyor. Ancak yine de birçok şirketten uzmanlar, saldırı olasılığını göz önünde bulunduruyor; yetkisiz Computrace etkinleştirmelerinin bazı endişe verici ve açıklanmayan gerçekleri de bu durumun giderek daha gerçekçi bir hal almasına neden oluyor.

2009 yılında, Çekirdek Güvenliği Teknolojileri’ndeki araştırmacılar, Absolute Computrace hakkındaki bulgularını ortaya koymuştu. Araştırmacılar, bu teknolojinin tehlikeleri ve saldırganların Computrace’den gelen bildirimleri ele geçirmek için sistem kayıt defterini nasıl değiştirebilecekleri hakkında uyarıda bulunmuşlardı. Computrace Agent yazılımının agresif tutumu, geçmişte zararlı bir yazılım olarak görülmesinin bir nedeni… Bazı raporlara göre Computrace, Microsoft tarafından VirTool:Win32/BeeInject olarak tespit edilmiş durumda… Buna rağmen bu tespit daha sonra Microsoft ve bazı zararlı yazılım önleme tedarikçileri tarafından geri alınmıştı. Computrace’nin yürütülebilir işlemleri artık, zararlı yazılım engelleme şirketlerinin büyük bir bölümü tarafından güvenilir adresler listesine alınmıştı.