Kann es sein, dass auf Ihrem Computer eine Anti-Diebstahl-Software läuft, die Sie nie selbst aktiviert haben? Eine Software, über die vielleicht aus der Ferne auf den PC zugegriffen werden kann? Eine Software, die Sie nicht löschen können, nicht einmal, wenn Sie die Festplatte komplett austauschen? Das klingt nach moderner Legende, ist aber leider wahr.
Genau das ist Sergey Belov, einem der Virenforscher von Kaspersky Lab passiert, als er einen Software-Fehler auf dem privaten Laptop seiner Frau untersuchte. Ein verdächtiger Prozess erregte seine Aufmerksamkeit und zunächst dachte er, ein bisher unbekanntes Rootkit entdeckt zu haben. Doch der Prozess stellte sich als legitim heraus – er gehörte zum Software-Agenten von Absolute Computrace, einer beliebten Anti-Diebstahl-Software für Laptops. Das Besondere an Computrace ist die spezielle Position, die die Software auf dem Computer einnimmt. Der Computrace-Agent liegt zum Teil im BIOS oder UEFI, einem Chip mit fest programmierter Programm-Sequenz, die auf dem Computer direkt nach dem Einschalten als erstes ausgeführt wird, noch bevor das Betriebssystem startet. Dadurch kann Computrace sogar „Hard-Resests“ und sogar den Austausch der Festplatte überstehen. Das Besorgniserregende daran ist, dass Belovs Frau die Software nie aktiviert hat und von dessen Existenz nichts wusste. Die weitere Analyse brachte noch mehr schlechte Nachrichten hervor: Ein Angreifer kann den Computerace-Agenten übernehmen und auf dem PC dann alle möglichen Aktionen ausführen.
Diebstahlsicherungen sind für moderne Geräte enorm wichtig, da Diebe gerade auf solche kleinen und teuren Geräte scharf sind. Doch die Entwicklung einer Anti-Diebstahl-Software ist nicht gerade einfach. Sie muss klein und unauffällig sein. Sie sollte immer die Verbindung mit einem HQ-Server aufrechterhalten, um den Ort des Computers zu melden und im Fall eines Diebstahls die entsprechende Aktion einzuleiten. Und sie muss den Löschversuchen des Diebes standhalten. All das bedeutet, dass die Anti-Diebstahl-Software sehr tief im System arbeitet und ziemlich gute Rechte auf dem Computer haben muss. Doch was kann passieren, wenn so ein Programm eine Sicherheitslücke hat? Im schlimmsten Fall können Hacker mit dem Computer machen, was sie wollen.
Leider ist das nicht nur graue Theorie. In der letzten Woche war ich Zeuge einer entsprechenden Vorführung durch die Kaspersky-Experten Vitaly Kamluk und Sergey Belov auf dem Security Analysts Summit 2014. Die beiden haben einen brandneuen Asus-Laptop ausgepackt und die üblichen Einschaltaktionen durchgeführt und dann einen anderen PC benutzt, um die Kamera des Laptops aus der Ferne einzuschalten und dann Dateien aus der Ferne zu löschen. Das war möglich, indem unverschlüsselte Netzwerkpaket abgefangen und andere Daten zurückgeschickt wurden, so dass damit die Kommunikation mit dem Original-Computrace-Server nachgeahmt wurde.
Wahrscheinlich wollen Sie nun gleich Ihren Laptop auf die Installation von Computrace prüfen. Sollten Sie vorhaben, das Programm zu löschen, kann ich Ihnen sagen, dass dies eine echte Herausforderung ist. Der Agent muss nämlich alle Versuche, gelöscht zu werden, abwehren, denn das ist eine seiner Aufgaben als Anti-Diebstahl-Programm. Dafür prüft ein Teil von Computrace im BIOS bei jedem Einschalten des PCs, ob die Software vorhanden ist. Wird die Software nicht gefunden, wird ein kleines Programm aus dem BIOS in das Betriebssystem installiert. Beim Starten von Windows lädt dann dieses Programm einen kompletten Computrace-Agenten aus dem Internet herunter und aktiviert diesen. Dieser Schritt ist allerdings angreifbar, wie auf dem Security Analysts Summit gezeigt wurde.
Den kompletten Bericht dazu finden Sie auf Securelist. Hier gibt es auch eine Liste der Anzeichen, dass der Computrace-Agent aktiv ist. Daten des Kaspersky Security Network zeigen, dass 150.000 der Kaspersky-Kunden einen aktiven Computrace-Agenten auf ihrem Computer haben. Vitaly Kamluk schätzt, dass Computrace weltweit auf etwa zwei Millionen Computern aktiviert ist. Wobei wir nicht sagen können, wie viele davon von den Nutzern selbst aktiviert wurden.
Der BIOS-Teil von Computrace ist auf den meisten populären BIOS/UEFI-Chips vorinstalliert, die sie auf den meisten Laptops finden, unter anderem den Geräten von Acer, Asus, Sony, Toshiba, HP, Lenovo, Samsung und vielen anderen. Manche Laptops bieten aber eine sichtbare BIOS-Option, mit der Sie Computrace ein- oder ausschalten können. Zudem läuft Computrace nicht auf jedem Computer, denn auch wenn eine BIOS-Komponente vorhanden ist, ist die Software auf vielen Computern inaktiv. Allerdings haben die Kaspersky-Forscher einige neue Laptops gekauft, die bereits beim ersten Starten nach dem Auspacken aktive Computrace-Agenten besitzen. Warum diese Agenten bereits aktiv sind und wer die Kontrolle darüber hat, kann nur spekuliert werden.