Na origem deste projeto de investigação esteve a descoberta de que o agente Computrace corria sem autorização prévia em vários equipamentos privados dos analistas da Kaspersky Lab, assim como nos computadores corporativos. O Computrace é um produto original desenvolvido pela Absolute Software e, apesar de ter um componente na BIOS, não deveria ser ativado a não ser que o proprietário contrate e instale o agente do Computrace. Alguns proprietários dos sistemas afirmaram que nunca o tinham instalado e apesar disso descobriram que se encontrava ativo.

A maioria dos pacotes de software pré-instalados nos equipamentos pode ser eliminada permanentemente ou desativada. No entanto, o Computrace está desenhado para sobreviver a essa limpeza do sistema inclusive se o disco rígido for substituído, uma vez que reside na BIOS.

"Existem pessoas com capacidade para aceder diretamente às redes de dados e que podem sequestrar os equipamentos que executam o Absolute Computrace. Pode-se manipular a comunicação deste software para que instale um spyware no equipamento vítima", adverte Vitaly Kamluk, principal analista de Segurança do GREAT da Kaspersky Lab. "Estimamos que milhões de computadores têm instalado por defeito o software Absolute Computrace e um grande número de utilizadores podem não ter consciência de que está ativo e em funcionamento. Quem teria um motivo para ativar o Computrace em todos os computadores afetados? Estarão a ser monitorizados por algum elemento desconhecido? Esse é um mistério que há que resolver".

Estatísticas 

●   O número estimado de utilizadores com este agente ativo pode ultrapassar os dois milhões. Não se sabe quantos desses utilizadores têm noção de ter o Computrace instalado nos seus sistemas. Segundo a Kaspersky Security Network, existem 150.000 utilizadores com um agente do Computrace instalado nos seus equipamentos.

●   A maioria destes computadores está localizada nos Estados Unidos e Rússia.

Falhas de segurança

O protocolo de rede utilizado pelo Computrace Small Agent proporciona funcionalidades básicas para executar código de forma remota. O protocolo não requer o uso de encriptação nem de autenticação do servidor remoto, o que dá muitas possibilidades para que sejam realizados ataques remotos num ambiente de rede hostil. 

Uma plataforma de ataque

Não há qualquer prova que indique que o Absolute Computrace está a ser usado como uma plataforma de ataque. De qualquer forma, peritos de várias companhias põem a hipótese de ataques motivados; algumas ativações sem autorização do Computrance tornam esta teoria cada vez mais credível.

Em 2009, investigadores da Core Security Technologies apresentaram as suas descobertas acerca do Absolute Computrace. Já então, os investigadores alertaram para os perigos desta tecnologia e como um cibercriminoso poderia modificar o registo para atacar as comunicações com os seus servidores. Anteriormente, tinha sido detetado como malware devido a um comportamento agressivo do Computrace Agent.

De acordo com vários relatórios, o Computrance foi detetado pela Microsoft como VirTool:Win32/BeeInject, embora esta deteção tenha sido depois eliminada pela Microsoft e outros fabricantes de antivírus e, hoje, os executáveis do Computrace estão categorizados nas listas brancas da maioria das marcas de soluções antimalware.

“Uma ferramenta tão potente como o software Absolute Computrance deve utilizar mecanismos de autentificação e encriptação para continuar a prestar um serviço de alta qualidade. Parece claro que, se existe um grande número de computadores com agentes do Computrance activos, é responsabilidade do fabricante (neste caso da Absolute Software) notificar os utilizadores e explicar-lhes como podem desativar e desinstalar o software”, explica Kamluk. “Caso contrário, os agentes continuarão a funcionar, dando azo a que se produza uma exploração remota do sistema”.

Para ler o relatório completo com uma descrição detalhada da operação Absolute Computrace Agent, visite a Securelist.