警惕反盗窃类应用程序漏洞

如果您的计算机运行了并非您主动激活过的反盗窃软件该怎么办?这些反盗窃软件能够远程访问您的计算机。即便更换硬盘也无法将他们删除。这听起来挺令人匪夷所思的,但实际上的确如此。 卡巴斯基实验室的恶意软件研究员Sergey Belov在着手调查妻子的私人笔记本电脑是否有软件类问题时,发现这一问题确实存在。电脑中有一个可疑程序引起了他的注意;一开始,他以为是找到了之前未知的隐匿进程,但结果发现这是一个合法进程,它是Absolute Computrace软件代理程序的一部分,而Absolute Computrace软件代理程序正是笔记本电脑常用的一种反盗窃解决方案。反盗窃跟踪软件的独特之处在于它在用户计算机中占用专属位置。其代理程序甚至在操作系统启动之前,就有一部分驻留在BIOS或UEFI中,BIOS或UEFI是能够在计算机启动时率先执行硬编码程序序列的芯片。这可帮助反盗窃跟踪软件不受”硬复位”乃至更换磁盘的影响。那么反盗窃跟踪软件最让人感到不安的是什么呢?Belov的妻子从未激活过该软件,也完全不知道该软件的存在。而进一步的分析更令人惊讶 - 恶意的第三方能够劫持反盗窃跟踪软件的代理程序,对受害者的计算机执行任何类型的远程入侵。反盗窃解决方案对于移动设备至关重要,因为窃贼青睐于偷取这类高价值的小型电子产品。反盗窃软件的设计工作并不轻松。软件必须极小且隐密,而且应该与某些总部服务器保持连接,以便在被盗后报告位置和采取行动。最后,反盗窃软件还必须能防止窃贼卸载软件。所有这些要求都意味着反盗窃软件要低调运行,并且必须对用户的设备具有很大的特权。但是如果这种强大的应用程序存在漏洞会怎样呢?更糟糕的情况是,黑客可以在你的计算机上为所欲为,完全控制你的计算机。 反盗窃解决方案对于移动设备至关重要,因为窃贼青睐于偷取这类昂贵的小型电子产品 我所说的并非纸上谈兵。在上周举行的2014年安全分析专家峰会上,我亲眼目睹了卡巴斯基实验室的Vitaly Kamluk和Sergey Belov进行的实际演示。这两名研究员拆开新买的一台华硕笔记本电脑包装,执行了一组典型的首次运行进程,然后用另一台计算机远程激活这台笔记本电脑的摄像头,最终启动了远程擦除程序。擦除过程是这样的:通过拦截未加密的网络数据包,并向回发送一些数据,然后模拟与原反盗窃跟踪软件服务器的通信来完成擦除。 现在,您可能会感到立即检查笔记本电脑中是否存在反盗窃跟踪软件代理程序刻不容缓。如果您计划要强制删除该代理程序,那就不用麻烦了,因为这一过程难度太高。该代理程序会与移除尝试展开斗争,尽力拒绝成功移除,这是合情理的,因为它是防盗用途的软件。为了实现防盗目的,反盗窃跟踪软件的BIOS部分会在计算机每次启动时都检查该软件是否存在。如果找不到该软件,则会从BIOS将此小程序安装到Windows操作系统。Windows启动时,此程序会从互联网下载完整版反盗窃跟踪软件代理程序,并使其处于被激活状态。正如2014年SAS峰会上所演示的那样,这一特定步骤极易受到远程控制。 完整的分析内容可访问Securelist博客,也可查看反盗窃跟踪软件代理程序活动标志列表。卡巴斯基安全网络中的数据表明,我们有150,000名客户的计算机上装有处于激活状态的反盗窃跟踪软件代理程序。据Vitaly Kamluk估计,全球有200万台计算机上已装有处于激活状态的反盗窃跟踪软件代理程序。而我们并不知道其中有多少是用户自己主动激活的。 反盗窃跟踪软件的BIOS部分被预安装在最流行的BIOS/UEFI芯片上,而大多数笔记本电脑都装的是这种芯片,包括宏碁、华硕、索尼、东芝、惠普、联想、三星等品牌。但是,有些笔记本电脑可显示启用/关闭反盗窃跟踪软件的BIOS选项,而有些不显示。此外,并非所有主板上装有BIOS组件的计算机都会运行反盗窃跟踪软件,该软件在许多计算机上是被禁用的。但是卡巴斯基实验室的研究人员发现一些全新笔记本电脑在首次开箱运行时,反盗窃跟踪软件代理程序就处于活动状态。为什么在这些电脑上反盗窃跟踪代理程序会被激活,究竟是谁拥有相应的控制权仍是个迷。

如果您的计算机运行了并非您主动激活过的反盗窃软件该怎么办?这些反盗窃软件能够远程访问您的计算机。即便更换硬盘也无法将他们删除。这听起来挺令人匪夷所思的,但实际上的确如此。

卡巴斯基实验室的恶意软件研究员Sergey Belov在着手调查妻子的私人笔记本电脑是否有软件类问题时,发现这一问题确实存在。电脑中有一个可疑程序引起了他的注意;一开始,他以为是找到了之前未知的隐匿进程,但结果发现这是一个合法进程,它是Absolute Computrace软件代理程序的一部分,而Absolute Computrace软件代理程序正是笔记本电脑常用的一种反盗窃解决方案。反盗窃跟踪软件的独特之处在于它在用户计算机中占用专属位置。其代理程序甚至在操作系统启动之前,就有一部分驻留在BIOS或UEFI中,BIOS或UEFI是能够在计算机启动时率先执行硬编码程序序列的芯片。这可帮助反盗窃跟踪软件不受”硬复位”乃至更换磁盘的影响。那么反盗窃跟踪软件最让人感到不安的是什么呢?Belov的妻子从未激活过该软件,也完全不知道该软件的存在。而进一步的分析更令人惊讶 - 恶意的第三方能够劫持反盗窃跟踪软件的代理程序,对受害者的计算机执行任何类型的远程入侵。反盗窃解决方案对于移动设备至关重要,因为窃贼青睐于偷取这类高价值的小型电子产品。反盗窃软件的设计工作并不轻松。软件必须极小且隐密,而且应该与某些总部服务器保持连接,以便在被盗后报告位置和采取行动。最后,反盗窃软件还必须能防止窃贼卸载软件。所有这些要求都意味着反盗窃软件要低调运行,并且必须对用户的设备具有很大的特权。但是如果这种强大的应用程序存在漏洞会怎样呢?更糟糕的情况是,黑客可以在你的计算机上为所欲为,完全控制你的计算机。

反盗窃解决方案对于移动设备至关重要,因为窃贼青睐于偷取这类昂贵的小型电子产品

我所说的并非纸上谈兵。在上周举行的2014年安全分析专家峰会上,我亲眼目睹了卡巴斯基实验室的Vitaly Kamluk和Sergey Belov进行的实际演示。这两名研究员拆开新买的一台华硕笔记本电脑包装,执行了一组典型的首次运行进程,然后用另一台计算机远程激活这台笔记本电脑的摄像头,最终启动了远程擦除程序。擦除过程是这样的:通过拦截未加密的网络数据包,并向回发送一些数据,然后模拟与原反盗窃跟踪软件服务器的通信来完成擦除。

现在,您可能会感到立即检查笔记本电脑中是否存在反盗窃跟踪软件代理程序刻不容缓。如果您计划要强制删除该代理程序,那就不用麻烦了,因为这一过程难度太高。该代理程序会与移除尝试展开斗争,尽力拒绝成功移除,这是合情理的,因为它是防盗用途的软件。为了实现防盗目的,反盗窃跟踪软件的BIOS部分会在计算机每次启动时都检查该软件是否存在。如果找不到该软件,则会从BIOS将此小程序安装到Windows操作系统。Windows启动时,此程序会从互联网下载完整版反盗窃跟踪软件代理程序,并使其处于被激活状态。正如2014年SAS峰会上所演示的那样,这一特定步骤极易受到远程控制。

完整的分析内容可访问Securelist博客,也可查看反盗窃跟踪软件代理程序活动标志列表卡巴斯基安全网络中的数据表明,我们有150,000名客户的计算机上装有处于激活状态的反盗窃跟踪软件代理程序。据Vitaly Kamluk估计,全球有200万台计算机上已装有处于激活状态的反盗窃跟踪软件代理程序。而我们并不知道其中有多少是用户自己主动激活的。

反盗窃跟踪软件的BIOS部分被预安装在最流行的BIOS/UEFI芯片上,而大多数笔记本电脑都装的是这种芯片,包括宏碁、华硕、索尼、东芝、惠普、联想、三星等品牌。但是,有些笔记本电脑可显示启用/关闭反盗窃跟踪软件的BIOS选项,而有些不显示。此外,并非所有主板上装有BIOS组件的计算机都会运行反盗窃跟踪软件,该软件在许多计算机上是被禁用的。但是卡巴斯基实验室的研究人员发现一些全新笔记本电脑在首次开箱运行时,反盗窃跟踪软件代理程序就处于活动状态。为什么在这些电脑上反盗窃跟踪代理程序会被激活,究竟是谁拥有相应的控制权仍是个迷。

RSA 2014 安全大会网络安全畅销书目推荐

尽管近期深陷负面新闻,但RSA 2014 安全大会依然是网络安全业内最大的盛会。这里汇聚了全球最精英的人才、最出色的管理者以及最具影响力的专家(不过从应用安全角度看,安全分析师峰会才是目前被公认为行业内最高端会议-作者注)。如何才能接触到极为私人的安全专家团体,并紧随其步伐呢?最佳方式便是通过调查和阅读时刻掌握最新趋势。当然我指的是海量的阅读。去年我们对RSA 2013安全大会畅销书目进行了总结,今年我们将继续这一传统。下文列出了本年度网络安全行业最优秀书目名单: 1.《谷歌知道你多少秘密?》 本年度最引起恐慌的一本书:) 当你在使用谷歌的”免费”服务时,你付出的代价就是花费大量时间以及个人信息。谷歌靠着对每一名用户的了解大发横财…如果知道谷歌对你的了解程度,相信你定会大吃一惊。《谷歌知道你多少秘密?》是首本揭露谷歌如何利用其巨大的信息库存来赚取用户或用户企业的巨额利益,以及用户应如何保护自己的一本书。 本书与关于谷歌黑客的其他书籍完全不同,其内容不仅仅是讲述聪明的用户如何利用谷歌搜索结果进行检索那么简单,而用户在使用所有谷歌高级应用程序时所泄露的信息。西点军校计算机科学教授格雷格•康蒂(Greg Conti)揭露了Gmail、 Google Maps、 Google Talk、 Google Groups、 Google Alerts以及谷歌全新手机应用等所涉及的隐私问题。康蒂教授通过进行高级安全研究,揭示了谷歌数据库如何被别有企图的人所利用,尽管谷歌长久以来秉承”不作恶”的承诺。 发现用户使用谷歌搜索后遗留下零碎信息的蛛丝马迹。 Gmail是如何被利用来追踪个人朋友网络、家人以及熟人信息的。 谷歌地图和定位工具如何揭露你的家庭住址、工作单位、家人和朋友、旅行计划以及一些个人意图的。 谷歌以及其他网络公司的信息库存是如何被泄露、丢失、获取、共享或传播,之后被用于身份盗窃甚至敲诈勒索的。 谷歌AdSense和DoubleClick广告服务如何通过网络对你进行跟踪。 如何系统逐步地减少你的个人信息公开和泄露。 本书为网络用户敲响了警钟,同时还是一本”网络自我保护”指导手册。《谷歌知道你多少秘密?》对每一名谷歌用户来说都是一本不可或缺的好书,无论是私人用户还是安全专家,都值得拥有。 2.《黑客大曝光7:网络安全机密与解决方案》 专业人士通常都会从他人的经验和教训中学习。索尼团队首席问题官和FBI前执行助理局长强力推荐本书,原因如下: “我们现在所面临的现实是不断受到零日漏洞攻击、高级持续威胁攻击以及国家资助的攻击。如今,黑客攻击愈演愈烈,安全专家需要精确掌握黑客的思维方式、方法和所用工具箱,如此才能成功阻止这些近乎疯狂的攻击。该版本向读者介绍了最新的攻击途径,以及如何有效应对这些不断演变威胁的方法。”索尼网络娱乐首席问题官布雷特•沃何林(Brett Wahlin)这样评论道。 “不再’重拳出击’ –

提示