Savunmasız Hırsızlık Engelleme Yazılımlarına Dikkat Edin

Ya bilgisayarınızda sizin kurmadığınız bir hırsızlık engelleme yazılımı çalışıyorsa? Bilgisayarınıza uzaktan erişim sağlayan bir yazılım. Sabit diskinizi değiştirseniz bile silemediğiniz bir yazılım. Şehir efsanesi gibi geliyor değil mi? Ancak bu

Ya bilgisayarınızda sizin kurmadığınız bir hırsızlık engelleme yazılımı çalışıyorsa? Bilgisayarınıza uzaktan erişim sağlayan bir yazılım. Sabit diskinizi değiştirseniz bile silemediğiniz bir yazılım. Şehir efsanesi gibi geliyor değil mi? Ancak bu hikaye artık gerçek oluyor.

Bu olay Kaspersky Lab zararlı yazılım araştırmacısı Sergey Belov’un başına geldi. Karısının dizüstü bilgisayarında yazılım kaynaklı bir hatayı araştırırken şüpheli bir işlem dikkatini çekti. İlk başta bunun önceden bilinmeyen bir rootkit olduğunu düşündü. Ancak çalışan uygulama yasal gözüküyordu ve dizüstüler için popüler hırsızlık koruması çözümü Absolute Computrace yazılımı istemcisinin bir parçasıydı. Computrace konusunda eşsiz olan şey kullanıcının bilgisayarında özel bir yerde durmasıdır. Computrace istemcisi, bilgisayarın ilk açılışında işletim sistemi daha açılmadan önce çalışan sabit kodlu BIOS yada UEFI çipinde yer almaktadır. Bu sayede Computrace “donanım sıfırlamaları” ve hatta sabit disk değiştirme işlemleri sonunda bile bilgisayardaki varlığını sürdürmeye devam eder. Computrace hakkında en rahatsız edici olan şey ise, Belov’un karısının bu yazılımı kendisinin etkinleştirmemiş olması ve hatta varlığından bile haberdar olmamasıydı. İlerleyen analizler kötü haberleri ortaya çıkardı. Zararlı üçüncü partiler Computrace istemcisini ele geçirip kurbanın bilgisayarına istedikleri gibi uzaktan müdahale edebiliyorlardı.

Hırsızlar bu küçük ver pahalı cihazları sevdikleri için hırsızlık koruması yazılımları mobil cihazlar için vaz geçilmezdir. Hırsızlık yazılımı tasarlamak kolay bir iş değildir. Yazılım çok ufak ve görünmez olmalıdır. Ayrıca merkezi bir sunucuyla sürekli bağlantı halinde olmalı ve eğer çalınırsa konumunu bildirmeli veya harekete geçilmesi için arama yapmalıdır. Bunlara ek olarak da hırsızın yazılımı silme eylemlerine karşı direnmelidir. Tüm bu gereksinimler hırsızlık koruma yazılımının en alt seviyede çalışıp aynı zamanda kullanıcının makinasında önemli haklara sahip olmasını gerektirir. Peki böylesi güçlü bir uygulamada güvenlik açığı olursa ne olur? En kötü senaryoda bir hacker bilgisayarınızı kendi bilgisayarıymış gibi kullanabilir ve tüm istediklerini yapabilir.

Hırsızlar bu küçük ve pahalı cihazları sevdikleri için, hırsızlık koruması yazılımları mobil cihazlar için vaz geçilmezdir.

Ne yazık ki bu teorik bir şey değil. Geçen hafta Güvenlik Analizcileri Zirvesi 2014 etkinliğinde Kaspersky Lab araştırmacıları Vitaly Kamluk ve Sergey Belov bunu gerçek hayat örnekleri ile gösterdiler. Araştırmacı yepyeni alınmış bir Asus dizüstü bilgisayarı bildik ilk kurulum prosedürleri ile hazırladıktan sonra başka bir bilgisayar kullanarak dizüstü bilgisayarın kamerasını çalıştırdı. Ardından da uzaktan silme prosedürünü başlattı. Silme işlemi kriptosuz ağ paketlerine araya girip müdahale ederek ve bazı verileri geri yollayarak gerçekleştirildi. Bu esnada araya giren bilgisayar kendisini orijinal Computrace sunucusuymuş gibi gösterdi.

Şu anda hemen Computrace istemcisi var mı diye dizüstü bilgisayarınızı kontrol etmek istiyor olabilirsiniz. Eğer yazılımı tamamen silmek gibi bir planınız varsa uyaralım bu hiç kolay bir işlem değil. Yazılım hırsızlık koruma özelliğinin doğasından dolayı silmeye çalıştığınızda sizinle mücadele etmeye başlıyor. Bunu yapmak için bilgisayar her başlatıldığında BIOS Computrace istemcisinin varlığını kontrol ediyor. Eğer yazılım bulunamazsa ufacık bir program BIOS üzerinden Windows işletim sistemine kuruluyor. Windows açıldığında ise bu küçük program tam ölçekli Computrace istemcisinin Internet üzerinden indirerek etkinleştiriyor. İşte bu adım SAS 2014’de ispatlandığı gibi uzaktan müdahaleye açık.anti-theft2

Bu konu ile ilgili tam analiz Computrace istemcisinin aktivitelerini gösteren liste ile birlikte Securelist üzerinde mevcut. Kaspersky Security Network üzerinden gelen verilere göre müşterilerimizden 150.000’inin bilgisayarında Computrace istemcisi aktif çalışır durumda. Vitaly Kamluk, dünya çapında 2 milyon bilgisayarda bu yazılımın çalıştığını tahmin ediyor. Bu yazılımların kaç tanesinin kullanıcıların kendileri tarafından etkinleştirildiğini bilmiyoruz.

Computrace istemcisinin BIOS tarafı çoğu popüler BIOS/UEFI çiplerinde bulunuyor ve bu çiplere Acer, Asus, Sony, Toshiba, HP, Lenovo, Samsung dahil çoğu dizüstü bilgisayarda rastlayabilirsiniz. Bazı dizüstü bilgisayarlar Computrace yazılımını açmak/kapamak için BIOS seçeneklerine sahipken bazılarında böyle bir seçenek bulunmuyor. Ek olarak, BIOS bileşeni ana kartta bulunsa bile tüm bilgisayarlarda Computrace yazılımı aktif olarak çalışmıyor ve kapalı durumda bekliyor. Ancak Kaspersky Lab araştırmacıları yeni bir dizüstü satın alarak yaptıkları testlerde bilgisayarın kutusundan çıkarılıp daha ilk çalıştırılması ile birlikte Computrace yazılımının aktif hale geldiğini gördüler. Bu istemcilerin neden aktif olduğu ve kontrolünün kimlerin elinde olduğu ise bir sır olarak kalmaya devam ediyor.

İpuçları