我正在阅读有关 CompuTrace 的信息,而这东西几乎是一个后门并且无法移除。它在固件中,在 BIOS 中,并且在格式化甚至硬盘驱动器更改和操作系统重新安装时仍然存在。
想到了一个问题,
CompuTrace 是否适用于 Linux?
CompuTrace 在使用 VPN 或 Tor 时是否仍然有效?
即使处于非活动状态,您如何确定它是否在计算机上?
我在网上做了一些阅读,这个漏洞利用/后门非常危险。它基本上可以获取任何信息并将其发送回家,并且是毒丸和跟踪设备。我注意到的问题之一是购买二手笔记本,你不能确定它没有被盗。
阅读:http ://www.freakyacres.com/remove_computrace_lojack
一条评论特别有趣,显然来自一名警察,他声称(引用)
“从理论上讲,坐在这里谈论你认为你可以如何禁用软件很好,但从执法的角度来看,我可以告诉你它比你知道的要持久得多,它做的比你想象的要多得多确实如此。”
这听起来不太好,几乎是一个信息安全杀手。
我在这里遗漏了什么,还是这是一个永久的、不可移除的漏洞利用/后门?
根据“Absolute Computrace Revisited”和“Absolute Computrace / System Requirements”,您的问题的答案是:
是的(Ubuntu,Debian)。我相信 CompuTrace 开发人员使其与 RH 或 SuSE 一起工作应该没有什么大问题,因为 SW 版本、二进制文件的放置和打包在这些发行版中也或多或少是标准的。RH SeLinux 和 SuSE AppArmor 可能有点问题,但它更多的是管理(为了获得适当的内置配置文件)而不是技术。
应该是。由于 VPN 只是打包 IP 流量并将其全部或部分路由到另一个位置,因此 CompuTrace 将遵循该路由。如果它想要联系的地址被路由到 VPN 网关并且网关不知道/未配置为进一步路由这些地址,CompuTrace 将无法工作,但此问题并非特定于 VPN,任何路由器也是如此具有可配置的路由表。至于 TOR,如果在用户的 IE 属性中设置了 TOR 代理,则 CompuTrace 启动的 IE 进程也将使用此设置。其他连接 Internet 的方式未公布,但 CompuTrace 开发人员构建 TOR 存在检测并采取相应措施是没有问题的。
在第一个链接页面上有一个计算机上存在 CompuTrace 的迹象列表。此外,在 CompuTrace 官方网站上,还有制造商预装 CompuTrace 的笔记本电脑型号列表,因此,如果您购买列表中的新笔记本电脑 - 您拥有 CompuTrace。
您最后一个问题的答案是“是的,但是……” 从技术上讲,CompuTrace是一个永久不可移除的(对于普通/高于平均水平的用户)后门。从法律上讲,它的开发并非出于恶意(或者我希望如此),因此至少在某些国家/地区,它不被视为恶意软件。它本身并不是一个漏洞利用,因为它的功能与它的功能完全相同,但它可以被坏人利用,就像任何其他支持网络的软件一样。
2017 年 8 月更新、编辑的答案
重要的!请注意,以前的答案可能已过时。卡巴斯基在 2014 年 8 月对 Computrace 做了研究,也已经过时了 2 年!
所以是的,computrace 似乎是一个永久的后门,除非你有硬件经验来检查和遵循卡巴斯基所描述的 BIOS 修改。任何权威或黑客都可以更改文件并完全控制您的机器,包括完整的活动监控和删除文件。
根据 2017 年的答案:
在 2007 年的一封邮件中,Absolute 似乎代表了 Linux 是次要操作系统的理念,这就是他们不支持它的原因:
“发件人:Miguel Guhlin [mailto:mguhlin@yahoo.com] 发送时间:2007 年 1 月 22 日,星期一 收件人:John Livingston 主题:回复:2006 年 4 月 10 日文章“保护已删除文件”- 参考 Computrace
(...)
1)如果硬盘被重新分区,并且用户采用双启动方案,一侧运行Linux,另一侧运行Windows,该怎么办?如果运行 Linux,CompuTrace 还可以工作吗?
重新分区后,Computrace 将在 Windows 中运行。
2) 你提到 Eraser 不会导致 CompuTrace 被删除。如果 CompuTrace 是 bios 的一部分,我想它不会。但是,如果使用像Darik 的Boot-n-Nuke 这样的实用程序重新格式化机器,加载新的操作系统(例如Linux),然后投入使用,Absolute Software 是否能够找到该设备?换句话说,它还能像宣传的那样工作吗?
好吧,我们支持 Windows 和 MAC OS 10+,所以是的;如果重新启动进入 Windows 世界,我们会工作,但如果用户启动进入 Linux,则不会。"
(全文: http ://www.mguhlin.org/2008/10/computrace-revisited.html?_escaped_fragment_ =# !)
但我认为,开发它只是时间问题。2年过去了,他们仍然没有写任何关于它的东西。卡巴斯基在现场演示中证明,修改后的文件可以在您的系统中运行(Win)。
是的,computrace 驻留在您的 BIOS 中,因此它拥有最高权限来发送收集到的有关您的实际活动的数据。同样在这里,第二来源的作者说它不会随着重新闪烁而消失。其他一些文章说,它在芯片上。显然有来自不同时代和版本的不同信息。即使它显示“未激活”,也不意味着 computrace 没有运行和打电话回家。
您进行硬件 BIOS 检查。否则软件工具不可靠,但卡巴斯基还在演示结束时提供了一些关于它的信息,以及如何杀死它。但是他们警告大家不要乱用它,除非你有 BIOS 经验,因为你可以不小心永久启用它,甚至 Absolute 也不能为你关闭它。如果我们假设我们没有被后门感染,我们可以部分依赖干净的 Wireshark 检查。如果你知道如何修改 BIOS,你也可以自己做,或者只是相信别人。
警告:您应该使用自己的 Linux 发行版和硬件设置进行自己的 wireshark 测试。不要以超级用户身份运行wireshark!
" sudo addgroup -system wireshark sudo chown root:wireshark /usr/bin/dumpcap sudo setcap cap_net_raw,cap_net_admin=eip /usr/bin/dumpcap sudo usermod -a -G wireshark YOUR_USER_NAME
然后只需启动 Wireshark 并选择网络接口。它在 10.04 LTS 上对我有用。永久链接
回答于 2012 年 4 月 4 日,11:41 kyphos"
否则坏消息,它仍然没有 100% 可靠,尤其是 Linux。您可以尝试购买开源或军用硬件。
(我无法链接太多,但如果您愿意,可以复制引用的内容以获取更多来源)