# Computrace: Der Anti-Diebstahl-Schutz , der in Wirklichkeit ein Semihardware-Rootkit ist



## razzor1984 (11. Januar 2015)

Hallo, 

bin beim Surfen auf einen schon recht alten Artikel im Kasperky Blog gestoßen.
Also ich den durch hatte, musste ich erst einmal verdauen was ich da gerade gelesen hatte:

Anscheinend wird seit 2012 still und heimlich in fast jedes UEFI eine art schutzsoftware mit installiert (IMO nur bei Notebooks)
Diese hat den klingenden Namen "Computrace".



			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        





			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        


Was genau dieses Rootkit machen solle, im Falle des Diebstahl kann die Firma das notebook Orten und dem rechmtäßigen Besitzer zurückgeben(falls es im bios arktiviert wurde)
(Unter Orten versteh ich, dass sie eine routenverfolgung auf die Ziel IP machen werden, wenn noch extra HW im notebook verbaut wurde dann wird vielleicht auch ein GPS-Sender aktiv werden .......)

So das is mal die graue Theorie, was in wirklichkeit passiert die software, falls aktiv hat regen kontakt mit einen Comand&Controll server,  es werden auch "Verkehrsdaten" übermittelt. Laut dem abstract von Kasperspy ist diese auch noch sehr unsicher da es keine implementierte Verschlüsselung , Authentifizierung und update Funktion gibt (untersuchte version 2012)

Wie buggy diese Software / Rootkit jedoch ist, wurde schon auf der blackhat 2009 festgestellt (was nochmals ersschreckender wird)

Im momemnt ist die software nur auf WINDOWS - Systemen aktiv, ob eine LINUX - Anwendung auch möglich ist, muss noch untersucht werden(bis jetzt noch nicht gesichtet)

Wie kann man feststellen ob  die software aktiv ist ?
Laut Kaspersky reicht es nach  rpcnet.exe zu suchen diese  findet man unter C:Windows\System32\.....

Sollte nicht mein Virenscanner das Verhalten der Exe erkennen und dies melden ?
Microsofts hat es anscheinend als erstes festgestellt und ihn als VirTool:Win32/BeeInject getauft, da diese software jedoch legal ist wird sie einfach von viele AVs gewhitelisted 

Wenn Computrace einmal im UEFI/Bios aktiviert wurde dann ist eine deaktivierung nicht mehr möglich!
Angeblich wird Computrace nicht im aktiven zustand ausgeliefert, jedoch haufen sich die Meldungen das bei Usern dies out of the box aktiv war,
oder nurch Missconfiguration im UEFI eingeschaltet wurde
Das einzige was machbar ist, blackisten der ips & host in der Host datei von windows.
LINK: https://a.fsdn.com/con/app/proj/computrace-lojack-checker/screenshots/s2.png


Notebooks die angeblich ab Werk mit Computrace ausgeliefert werden findet man unter diesen 
LINK(ganz runter scrollen):  Computrace - Le mouchard universel présent sur les PC, Mac et appareils Android - Korben

Black Hat 2009 papers:
http://corelabs.coresecurity.com/in...per-Deactivate-the-Rootkit-AOrtega-ASacco.pdf
http://corelabs.coresecurity.com/in...des-Deactivate-the-Rootkit-ASacco-AOrtega.pdf


greets Razzor

QUELLEN:
Absolute Computrace Revisited - Securelist
Absolute Computrace: Frequently Asked Questions - Securelist
Computrace - Le mouchard universel présent sur les PC, Mac et appareils Android - Korben
http://corelabs.coresecurity.com/in...&type=publication&name=Deactivate_the_Rootkit
https://a.fsdn.com/con/app/proj/computrace-lojack-checker/screenshots/s2.png
https://www.google.com/patents/US20060272020


----------



## Amon (11. Januar 2015)

*AW: Computrace der Anti-Diebstahl-Schutz  der in wirklichkeit ein semihardware rootkit ist*

Sehr interessant. Muss ich mir später zu Hause mal in Ruhe ansehen. Jetzt mit dem phone is das etwas doof. Danke dir.


----------



## KonterSchock (12. Januar 2015)

*AW: Computrace der Anti-Diebstahl-Schutz  der in wirklichkeit ein semihardware rootkit ist*

check ich später auch mal ab, hört sich nach hinterlistigen Intrigen an, wäre mir nicht neu, das läuft schon ewig so, und ändern tut keiner was, stattdessen, bezahlen wir noch die Hardware damit uns die firmen noch besser belauschen können.

ich möchte nicht wissen, was intel mit ihren igpus treiben sprich wer weis ob das was wir am pc treiben irgendwo auf der welt analisiert wird, gestreamt etc, wer bitte schön hat heute noch Kontrolle trüber? es passiert so viel ohne das wir es mitbekommen, jedes smartphone ist im grunde ein Spion, während wir telefonieren, wird stillschweigen mitgehört und aufgenommen, wen wir schreiben, läuft die frontkamera, weis der geier wer alles dahinter steckt, ganz klar, die geheimdienste die in der cooperation mit firmen stehen.

ändern können wir es nur wen wir es nicht kaufen, anderes können wir es nicht mehr ändern.


----------



## Hatuja (12. Januar 2015)

*AW: Computrace der Anti-Diebstahl-Schutz  der in wirklichkeit ein semihardware rootkit ist*

Mit Computrace habe ich schon so meine Erfahrungen machen müssen. Wir setzten bei uns in der Firma fast ausschließlich Dell Geräte ein und diese unterstützen Computrace schon seit vielen Jahren.
Ja, einmal im BIOS/UEFI aktiviert, lässt es sich nicht mehr deaktivieren. Das ist, wenn man es denn bewusst nutzten will, ja auch durchaus sinnvoll. Sonnst könnte man gestohlene Geräte durch einfachen Bios-Reset ja da von befreien.

Die Funktionsweise entspricht tatsächlich einem RootKit auf BIOS-Ebene. Dell setzt dies sogar in maximaler Ausbaustufe ein. Nach unserer Recherche (angaben ohne Gewähr) schein Computrac quasi die komplette Kontrolle erlangen zu können.

- Die Grundfunktionen sind Betriebssystem unabhängig, da sie direkt im BIOS laufen.
- Erweiterte Funktionen laufen unter Windows (alle Versionen), Linux und sogar in Solaris registriert sich ein Computrace Service.
- Dies kann auch nicht verhindert werden. Werden die Dateien gelöscht, werden sie spätestens beim nächsten Booten des PCs, noch bevor das Betriebssystem geladen wird, wieder direkt auf die Festplatte geschrieben. Eine Unterstützung für diverse Dateisysteme scheint also vorhanden zu sein.
- Komplette Steuerung des PCs vom Command & Control Servers aus

Zu den Grundfunktionen, die auf BIOS-Ebene arbeiten, damit also Betriebssystem unabhängig funktionieren:
- Neukonfiguration des BIOS.
- Silent Boot des PCs. Der PC-Startet mit "Minimalkonfiguration" so, dass dies von außen nicht ersichtlich ist. Grafikkarten/Ausgänge bleiben deaktiviert, das Bild also dunkel. LEDs bleiben aus. CPU startet mit Minimal-Takt, Lüfter bleiben aus.
- Jederzeit volle Kontrolle des Onboard-Netzwerkchips. Alle Daten können mitgeschnitten und an Computrace übersendet werden.
- Festplatten können jederzeit ausgelesen, gelöscht und neu beschrieben werden.
- Tastatureingaben können protokolliert werden.
- Komplette deaktivierung des PCs incl. Zerstörung der Komponenten durch Überspannung.

Zu den erweiterten Funktionen, zu denen das Betriebssystem mit Computrace-Service geladen sein muss, zählen dann:
- Komplette Steuerung des Betriebssystems.
- Übertragung des Bildschirms.
- Steuerung von Maus/Tastatur.
- Steuerung des Audiochips, d.h. Lautsprecher und Micro.
- Steuerung von USB Geräten wie angeschlossenen Webcams und USB-Sticks.

Die komplette Kontrolle geht damit also an Computrace über, sie können wirklich alles tun.
Fatal dabei ist, dass deren System wohl tatsächlich so schlecht geschützt ist. Ein eigener Command and Control Server und ein gefälschter DNS-Eintrag im Router oder gar ein kompromittierter DNS-Server und schon liegt einem die Welt zu Füssen... 
Oft weiß man ja nichtmal, welcher Hersteller Computrace überhaupt einsetzt und wenn in welchem Umfang er es implementiert.

Wir haben dann die PCs, bei denen es warum auch immer aktiviert war (und selbst Dell es nicht deaktivieren konnte/wollte), aus Datenschutz-Gründen direkt entsorgt.


----------



## razzor1984 (12. Januar 2015)

*AW: Computrace der Anti-Diebstahl-Schutz  der in wirklichkeit ein semihardware rootkit ist*

Ich dachte das es bei der software limits gibt  ok wie man sich täuschen kann, da ist ja wirklich alles umgesetzt worden was technisch machbar war.
Was mir aber nicht einleuchtet, warum wird es von den Herstellern überhaupt eingesetzt ?
Ist die Firma die Computrace herstellt ein NSA supplier ?
Denke das Computrace sicher nicht pro Laptop "Gratis" ist, es wäre ratsam den Kunden die Wahlmöglichkeit zu lassen opt in und nicht opt out^^
UPS das geht ja nicht wenn einmal aktiv dann müsste man den BIOS CHIP tauschen, wenn das nicht geht MB und dies gleicht ja nen Totalschaden ...

Es nützt nichts wenn es deaktiviert ist, falls es aktiviert wurde, schießt es ein großes Loch in jedes erdenkliche OS.
Wie schauts dann hierbei mit Haftung aus ?
Laut der Blackhat 2009 arbeitet die Firma ja mit den Amerikanischen Geheimdiensten zusammenm, glaub das ist dann der supergau ^^

Nach dem ich fast nur mehr opensource habe, such ich ab jetzt auch nach OPEN HARDWARE


----------



## Hatuja (12. Januar 2015)

*AW: Computrace der Anti-Diebstahl-Schutz  der in wirklichkeit ein semihardware rootkit ist*

Bei uns wurde es wohl durch ein "defektes" BIOS-Update aktiviert. Die hatte ein Kollege per Remote aufgespielt. 2 Stunden später schaltete unsere Firewall aufgrund verdächtigem Datenverkehr die Ports für die Rechner tot. Wir hatten dann recherchiert und sind auf die oben genannten Dinge gestoßen. Bei Dell meinten sie dann nur, dass sie das auch nicht wieder abstellen können. Nur ein Mainboard-Tausch würde da helfen. Da die Geräte (8 Stück) schon über der 2 Jahre Support-Zeit waren, wollten sie das auch nicht kostenlos machen. Da haben wir die Geräte dann entsorgt!

Ich denke, dass es überall implementiert ist, weil die Hersteller sich das Geld für die Entwicklung eines extra BIOS sparen wollen.
In den Business Geräten ist es halt drin, auch wenn's erstmal nicht aktiv ist (außer natürlich der Kunde wünscht es). Es ist halt ein "Sicherheits"-Feature, mit dem man werben kann.
Und vor allem amerikanische Unternehmen setzten es wohl doch recht häufig ein.
 Für die Consumer Geräte wird dann einfach das BIOS nur ein wenig angepasst. Dadurch, dass das Comutrace Zeug da aber gaaaz tief mit drin steckt, müssten sie ein Comutrace freies BIOS komplett von Grund auf neu entwickeln. Das Kostet.


----------



## razzor1984 (12. Januar 2015)

*AW: Computrace der Anti-Diebstahl-Schutz  der in wirklichkeit ein semihardware rootkit ist*



Hatuja schrieb:


> Ich denke, dass es überall implementiert ist, weil die Hersteller sich das Geld für die Entwicklung eines extra BIOS sparen wollen.
> In den Business Geräten ist es halt drin, auch wenn's erstmal nicht aktiv ist (außer natürlich der Kunde wünscht es). Es ist halt ein "Sicherheits"-Feature, mit dem man werben kann.


Bei meinen alten lenovo z360 hab ich im bios nichts gefunden, ist auch nicht mehr der jüngst^^
Das mit den sicherheitsfeature  wird nicht lange halten wenn es das Netzwerk kompromentiert. 

Kann mir nicht vorstelln, das der Durchschnits User eine HW firewall mit SNORT hat 

Damit ich die LOGIK von computrace verstehe. Es müsste ja permanent ON sein, damit im Falle des Falles das Gerät quasi geortet werden kann.
Nur keine Firma, wird sich so etwas freiwillig antun. Die Sicherheitsabteilung wird dabei nie den sanktus dazu geben!
Somit bleibt dann nur mehr der Customerbereich, so wenn ich jetzt als User ein bisschen Ahnung habe von der Materie habe, dann ist diese art von "SOFTWARE" glaubich OBSOLENT !!!



Hatuja schrieb:


> Und vor allem amerikanische Unternehmen setzten es wohl doch recht häufig ein.



Abwarten, wenn die nicht bald ihre Verbindung authetifizierne & verschlüsseln, dann wird dass ne neue Zerdoay-Lücke werden die nicht geschlossn werden kann 



Hatuja schrieb:


> Für die Consumer Geräte wird dann einfach das BIOS nur ein wenig angepasst. Dadurch, dass das Comutrace Zeug da aber gaaaz tief mit drin steckt, müssten sie ein Comutrace freies BIOS komplett von Grund auf neu entwickeln. Das Kostet.



Auch abwarten, nettes schreiben als Kunde an den Hersteller, im Falle für Schäden seit ihr Haftbar  - Nach deutschen recht müsste der Hersteller den Nutzer über dies in kenntnis setzen, da es wie oben von dir erwähnt einen sehr groben Eingriff in das ganze System ist.


----------



## Hatuja (12. Januar 2015)

*AW: Computrace der Anti-Diebstahl-Schutz  der in wirklichkeit ein semihardware rootkit ist*



razzor1984 schrieb:


> Kann mir nicht vorstelln, das der Durchschnits User eine HW firewall mit SNORT hat


Nee, das stimmt. Der Otto-Normalo wird davon nichts mitbekommen.



razzor1984 schrieb:


> Damit ich die LOGIK von computrace verstehe. Es müsste ja permanent ON sein, damit im Falle des Falles das Gerät quasi geortet werden kann.


Ja, wenn du Computrace einschaltest, meldet es sich immer in bestimmten Zeitintervallen beim Command and Control Server von Computrace. Wie bei einem "richtigen" Botnetz auch.



razzor1984 schrieb:


> Nur keine Firma, wird sich so etwas freiwillig antun. Die Sicherheitsabteilung wird dabei nie den sanktus dazu geben!


In Deutschland ja, da gebe ich dir Recht. Aber Die Amis (und andere Länder auch) haben ein, sagen wir mal, sehr viel liberaleres Datenschutzrecht.



razzor1984 schrieb:


> Somit bleibt dann nur mehr der Customerbereich, so wenn ich jetzt als User ein bisschen Ahnung habe von der Materie habe, dann ist diese art von "SOFTWARE" glaubich OBSOLENT !!!


Ja, da muss ich dir eigentlich recht geben. Aber der Normale, ggf. sogar ein wenig sicherheitsbewusste Benutzer auf der Suche nach einem neuen Notebook sieht bei einem Notebook-Hersteller, dass dieser ein Sicherheitspaket anbietet. Es wird mit "Wir orten Ihr Gerät" und "Löschen Sie Ihre persönlichen Daten aus der Ferne" usw. geworben, so wie er es schon von seinem Smartphone kennt. Das dahinter Computrace steckt, steht dann nur irgendwo im Kleingedrucken.



razzor1984 schrieb:


> Abwarten, wenn die nicht bald ihre Verbindung authetifizierne & verschlüsseln, dann wird dass ne neue Zerdoay-Lücke werden die nicht geschlossn werden kann


Ich frage mich sowieso schon seit langem, wieso das bisher noch nicht ausgenutzt wurde... Das ganze gibt es immerhin schon eine ganze Weile.



razzor1984 schrieb:


> Auch abwarten, nettes schreiben als Kunde an den Hersteller, im Falle für Schäden seit ihr Haftbar  - Nach deutschen recht müsste der Hersteller den Nutzer über dies in kenntnis setzen, da es wie oben von dir erwähnt einen sehr groben Eingriff in das ganze System ist.


Tja, nun. Ich denke, dass das ganze schon irgendwo ganz klein in den Lizenz- /Nutzungsbedingungen steht.

In letzter Zeit hört man aber doch häufig Beschwerden und Sicherheitsbedenken darüber, vielleicht passiert ja doch mal was.


----------



## Freakless08 (12. Januar 2015)

*AW: Computrace der Anti-Diebstahl-Schutz  der in wirklichkeit ein semihardware rootkit ist*

Das Feature wird es sicherlich in UEFI geben. Da hat schließlich Microsoft (powered by NSA) ordentlich mitgemischt und es gab/gibt auch UEFI Lücken indem man das UEFI ohne Probleme manipulieren und "Zusatzpakete für UEFI" installieren konnte. Erst einen enormen Zeitraum hinterher wurde das gefixt. Wird aber sicherlich nicht die letzte Lücke sein.
Man bedenkt auch das man beim einchecken im Flughafen sich den Bundestrojaner einfangen kann, wenn die Stasimita.... ähm... Sicherheitsleute dort deinen Rechner inspizieren wollen, aber auch bei Postversand von Hardware kann mal schnell der PC oder Router (z.B. bekannt : bei Cisco Routern die per Post und/oder Spedition unterwegs waren) abgefangen werden und mit Spyware/Rootkits verseucht werden.
Nicht zu vergessen die Sicherheitslücke in Windows die jedem Programm mal einfach so Adminrechte gibt, ohne das man selbst Adminrechte hat und die Lücke vor 4 Monaten an Microsoft gemeldet wurde aber bisher nicht gefixt.
Da kommt das Compurace doch gelegen.



Hatuja schrieb:


> Zu den Grundfunktionen, die auf BIOS-Ebene arbeiten, damit also Betriebssystem unabhängig funktionieren:
> - Neukonfiguration des BIOS.
> - Silent Boot des PCs. Der PC-Startet mit "Minimalkonfiguration" so, dass dies von außen nicht ersichtlich ist. Grafikkarten/Ausgänge bleiben deaktiviert, das Bild also dunkel. LEDs bleiben aus. CPU startet mit Minimal-Takt, Lüfter bleiben aus.
> - Jederzeit volle Kontrolle des Onboard-Netzwerkchips. Alle Daten können mitgeschnitten und an Computrace übersendet werden.
> ...


Klasse. Whistleblower und anderen "unliebsamen" Menschen die dem Staat zu aufdringlich werden, könnte man schnell mal die ganzen Daten löschen, KiPo unterschieben und dann gleich verhaften. Die Bild und der Mob machen ihr übriges. Willkommen in der neuen Diktatur.


----------



## ThomasGoe69 (13. Januar 2015)

*AW: Computrace der Anti-Diebstahl-Schutz  der in wirklichkeit ein semihardware rootkit ist*



Hatuja schrieb:


> Zu den Grundfunktionen, die auf BIOS-Ebene arbeiten, damit also Betriebssystem unabhängig funktionieren:
> - Neukonfiguration des BIOS.
> - Silent Boot des PCs. Der PC-Startet mit "Minimalkonfiguration" so, dass dies von außen nicht ersichtlich ist. Grafikkarten/Ausgänge bleiben deaktiviert, das Bild also dunkel. LEDs bleiben aus. CPU startet mit Minimal-Takt, Lüfter bleiben aus.
> - Jederzeit volle Kontrolle des Onboard-Netzwerkchips. Alle Daten können mitgeschnitten und an Computrace übersendet werden.
> ...


Oha... das liest sich wirklich übel. Dann noch eine schlechte Absicherung..: und feuchte Träume von Geheimdiensten und Hacker werden wahr...


----------



## Dooma (13. Januar 2015)

*AW: Computrace der Anti-Diebstahl-Schutz  der in wirklichkeit ein semihardware rootkit ist*



Freakless08 schrieb:


> Man bedenkt auch das man beim einchecken im Flughafen sich den Bundestrojaner einfangen kann, wenn die Stasimita.... ähm... Sicherheitsleute dort deinen Rechner inspizieren wollen, aber auch bei Postversand von Hardware kann mal schnell der PC oder Router (z.B. bekannt : bei Cisco Routern die per Post und/oder Spedition unterwegs waren) abgefangen werden und mit Spyware/Rootkits verseucht werden.



Wenn das stimmt wäre es wirklich verstörend, das wäre ja ein Wundern, dass man davon noch nie vorher etwas gehört hat. Kannst du auch mit Quellen beweisen was du da sagst?

Was computrace angeht, ich find es gar nicht so schlecht von der Grundidee her.
Aber das man es GAR nicht wieder ausstellen kann und den Server an den zurückgemeldet wird nicht selber bestimmen kann (So das man also die Server Software z.B. selber Betriebsintern nutzen könnte), ist ein totales KO Kriterium.
Eine fehlende Verschlüsselung finde ich jetzt nicht so dramatisch, wenn man bedenkt, dass es sich hier um ein im Notfall aktiviertes Tool handelt (handeln müsste).
Keinerlei Einfluss über die Aktivierung, Deaktivierung, Passwortverwaltung des Zugriffs und den Server an den Heimgerufen wird zu haben, finde ich viel schlimmer.


----------



## Freakless08 (13. Januar 2015)

*AW: Computrace der Anti-Diebstahl-Schutz  der in wirklichkeit ein semihardware rootkit ist*



Dooma schrieb:


> Wenn das stimmt wäre es wirklich verstörend, das wäre ja ein Wundern, dass man davon noch nie vorher etwas gehört hat. Kannst du auch mit Quellen beweisen was du da sagst?


Der Bundestrojaner stieg am Airport zu - Nachrichten Print - DIE WELT - Wissen (Print DW) - DIE WELT
Bundestrojaner: Die Herkunft ist belegt - Aktuell - FAZ

Router-Manipulation: Cisco empört über Spähattacken der NSA - Golem.de
Brief an Obama: Cisco-Chef John Chambers kritisiert Überwachung - SPIEGEL ONLINE



Dooma schrieb:


> Eine fehlende Verschlüsselung finde ich jetzt nicht  so dramatisch, wenn man bedenkt, dass es sich hier um ein im Notfall  aktiviertes Tool handelt (handeln müsste).


Im Notfall aktiviert? ROFL
Das Teil muss man, wenn, dann VOR dem Diebstahl aktivieren und nicht während oder danach, falls es nicht schon vom Hersteller als Standard aktiv ist oder durch eine "Sicherheitslücke" von der ferne aktiviert wird (siehe manipuliertes Bios/UEFI). Mit anderen Worten das Teil kann 10 Jahre aktiv sein und in den 10 Jahren durchgehend, fleisig deine ganzen Daten übertragen. Das deine ganzen Daten abrufbar sind und dein Computer manipulierbar ist, ist wohl das letzte, da, wie ich schon geschrieben hatte, dir einfach Daten auf deinen Rechner übertragen könnte und man dir Sachen angehängen kann ohne das du damit etwas zu tun hast. Nebenbei können sich auch dritte in deine Verbindung heften und Daten abschnüffeln. Ideal für Industriespionage.


----------



## DKK007 (13. Januar 2015)

*AW: Computrace der Anti-Diebstahl-Schutz  der in wirklichkeit ein semihardware rootkit ist*

Über Computertrace war auch ein Artikel in der aktuellen C't.

Es wäre ja sinnvoll, wenn einfach im Handbuch ein (individueller) Code stehen würde, mit dem man das Tool wieder deaktivieren könnte, wenn man es aus versehen aktiviert hat.


----------



## Hatuja (15. Januar 2015)

*AW: Computrace der Anti-Diebstahl-Schutz  der in wirklichkeit ein semihardware rootkit ist*



DKK007 schrieb:


> Über Computertrace war auch ein Artikel in der aktuellen C't.
> 
> Es wäre ja sinnvoll, wenn einfach im Handbuch ein (individueller) Code stehen würde, mit dem man das Tool wieder deaktivieren könnte, wenn man es aus versehen aktiviert hat.



Ja und Nein. 
Aus dem Sicherheitsaspekt bietet so ein Code aber auch ein hohes Risiko. Ein Script/Dongle, dass alle Kombinationen durchprobiert (dauert vielleicht eine Weile, aber ist ja egal) und der Schutz ist ausgehebelt.
Als rechtmäßiger Eigentümer kann es schon gut sein, dass man es irgendwann mal deaktivieren möchte und dann dafür einen Code hätte. Wenn man es z.B. verkaufen möchte. (Daher würde ich auch keine Notebooks ungesehen gebraucht kaufen...)


----------



## DKK007 (15. Januar 2015)

Vielleicht sollte man einfach seinen Laptop nicht unbeobachtet rumstehen lassen, dann hat man das Problem nicht. Den Code kann man ja mit maximalen Versuchen und/oder Wartezeit zwischen den Eingaben absichern.


----------



## Hatuja (15. Januar 2015)

DKK007 schrieb:


> Vielleicht sollte man einfach seinen Laptop nicht unbeobachtet rumstehen lassen, dann hat man das Problem nicht. Den Code kann man ja mit maximalen Versuchen und/oder Wartezeit zwischen den Eingaben absichern.



Wenn ich das Notebook aber schon geklaut habe, habe ich alle Zeit der Welt.


----------



## DKK007 (16. Januar 2015)

Hatuja schrieb:


> Wenn ich das Notebook aber schon geklaut habe, habe ich alle Zeit der Welt.



Nur das der normale Dieb die heiße Ware ja so schnell wie möglich weiterverkaufen will. 
Wenn es jemand auf die Daten abgesehen hat baut er einfach die Platte aus.


----------



## Nickles (16. Januar 2015)

Blöde Frage, kann man nicht einfach ein anderes Bios aufspielen ohne den Mist?


----------



## razzor1984 (16. Januar 2015)

Nickles schrieb:


> Blöde Frage, kann man nicht einfach ein anderes Bios aufspielen ohne den Mist?


 
Wenn das so einfach gehn würde dann wäre der vorgegaugelte Schutz überhaupt nicht gegeben.
I.d.r ist der update prozess durch signaturen geschützt. Es hatte einmal einen bug in einem UEFI gegeben wo man eben so eine check routine versagt hat, jedoch wurde dies recht zügig ausgebessert!

In der letzten C't, wurde auch Computrace behandelt, dort hat sich ein Kunde genau deswegen beschwert, selbst Dell konnt das bios/UEFI nicht reflashen, nach ungewollter aktivierung. Ein service Techniker musst das ganze MB tauschen  So jetzt denk mal nach wie stark COMPUTRACE im system verankert ist 

Was man machen kann, die Verbindungen zu den C&C server blockieren oder sich ein script schreiben welches nach jeden start die bösartige EXE löscht.

Ich hab gelesen, dass sich manche Hersteller die Mühe gemacht haben es wirklich permanet abzuschalten drei MODI, on, off, disable permanent. Ob bei disable permanent wirklich der code gelöscht wird ?
Aber immerhin gibts ein paar vereinzelte Hersteller die sich gedanken gemacht haben(leider viel zu wenige)

Wie schon gesagt computrace ist von GRUND auf eine Fehlkonstruktion, im Eneffekt übergibt man die Kontrolle den Betreiber von Computrace. Dazu muss man es permanent eingeschaltet haben 
Man begibt sich damit in gefahr selbst von dritten gehacked zu werden, da wie schon erwähnt keine rundimentären Sicherheitsfunktionen implementiert wurden(Was leider extrem verstörend ist )

AJA  ZUM VERKAUFS MODELL VON COMUTRACE:
Pro verkauften Labtop bekommt computrace eine Provision.
Will man das Service nutzen, dann kommen abo - Modelle zur Hand, glaub 1 jahre Nutzung 300 euro 
(nach drei Jahren ist der Kaufpreis drinnen und der PC dann wirkich nichts mehr wert, glaub da wäre ein versicherung bald effektiver + FULL HD ENCRYPTION wenn man sooo sicherheitsbewusst ist)


----------



## Nickles (17. Januar 2015)

Das Bios wird ja auf einem Speichermedium auf der Platine gespeichert oder? Also Den rausholen dann einen neuen rein, geht das?


----------



## razzor1984 (17. Januar 2015)

Nickles schrieb:


> Das Bios wird ja auf einem Speichermedium auf der Platine gespeichert oder? Also Den rausholen dann einen neuen rein, geht das?



Wenn der bios sockel einen normalen microcontroller chip benötigt und dieser entfernbar ist, wäre es eine Option.Nur auf vielen MB ist dieser fix am mb verlötet(SMD)Das sauberauslöten und passend beschreiben wird eine Herausforderung. Man benötigt eine spezielles Lötwerkezeug (SMD), ein Gerät damit man den Microcontroller programmieren kann. Weiters braucht man ein UNTOUCHED BIOS/ UEFI wo eben kein Computrace enthalten ist.
Das wird m.m nach die größte Herausforderung sein,  man kann nicht irgend ein BIOS/UEFI nehmen, sonst grillst du den PC 
Man müsste es testen wie sich die HW verhält wenn man das PCI Option Rom entfernt(dort liegt ja Computrace), ist dann noch ein boot möglich ?
Wenn aber eine Abhängigkeit zw Core Bios & PCI Optionrom besteht wird auch dies scheitern.

Wie gesagt das BIOS/UEFI ist der perfecte Ort für ein ROOTKIT


----------



## Nickles (17. Januar 2015)

Naja kann man ja ein geschäftsmodell draus machen.
leute schicken ihre boards ein und die Firma macht den ganzen tag das und wird dafür bezahlt


----------



## Hatuja (17. Januar 2015)

Nickles schrieb:


> Naja kann man ja ein geschäftsmodell draus machen.
> leute schicken ihre boards ein und die Firma macht den ganzen tag das und wird dafür bezahlt



Mit dem Problem, dass du das Hersteller-BIOS/UEFI nicht verändern darfst, da Copyright geschützt. Du müsstest also entweder jeweils einen eigenen Chip bauen, der mit einem selbst geschriebenen, aber trotzdem kompatiblen BIOS/UEFI-Firmware ausgestattet ist einsetzten oder im originalen Chip den PCI Option-Rom "veröden" und hoffen, dass das ganze auch ohne fehlerfrei arbeitet...

Der Aufwand, egal für welches Szenario, wäre teurer als ein neues Gerät.


----------



## DKK007 (18. Januar 2015)

Wie wird eigentlich das Notebook, wenn es Gestohlen wird dem Eigentümer zugeordnet. Da müsste doch Computertrace vom Notebookhersteller den Eigentümer übermittelt bekommen.


----------



## Hatuja (19. Januar 2015)

DKK007 schrieb:


> Wie wird eigentlich das Notebook, wenn es Gestohlen wird dem Eigentümer zugeordnet. Da müsste doch Computertrace vom Notebookhersteller den Eigentümer übermittelt bekommen.



Wenn du bei Dell ein Gerät kaufst und den "Service" mit buchst,  registriert Dell dein Gerät mit einer Dostumer-ID bei Computrace. Wird dein Gerät gestohlen, musst du dich erst an Dell wenden, die regeln dann den Rest.
Buchst du Computrace auf eigene Fast, musst du dich dann dort mit deinem Gerät (der Seriennummer/Geräte ID/Computrace-Geräte-ID, ...what ever) registrieren.


----------



## DKK007 (20. Januar 2015)

Hatuja schrieb:


> Wenn du bei Dell ein Gerät kaufst und den "Service" mit buchst,  registriert Dell dein Gerät mit einer Dostumer-ID bei Computrace. Wird dein Gerät gestohlen, musst du dich erst an Dell wenden, die regeln dann den Rest.
> Buchst du Computrace auf eigene Fast, musst du dich dann dort mit deinem Gerät (der Seriennummer/Geräte ID/Computrace-Geräte-ID, ...what ever) registrieren.



Es gibt doch aber Fälle, in denen Computertrace schon bei Auslieferung lief, ohne dass es gebucht wurde. Wie kann das sein?


----------



## Hatuja (20. Januar 2015)

DKK007 schrieb:


> Es gibt doch aber Fälle, in denen Computertrace schon bei Auslieferung lief, ohne dass es gebucht wurde. Wie kann das sein?



Im Computrace-Bios trägst du keine Daten ein. Dort stellst du nur den Schalter auf "ON". Ist Computrace eingeschaltet, werden alle Funktionen aktiviert und er nimmt dann selbstständig immer wieder Kontakt zum Computrace-Server. Erst deren Server schaut dann nach, ob du für den Service angemeldet bist oder nicht. Wenn ja, bekommt er ggf. seine Instruktionen, wenn nein, wird die Anfrage verworfen.

Es ist daher egal, ob du den Service wirklich gebucht hast oder nicht; ist Computrace aktiv, ist das Tor offen!


----------



## Bandicoot (21. Januar 2015)

Heisst aber auch, das man nicht mal so Einfach wie ne Google suche nach "offene Rechnern" suchen kann und los gehts. Oder etwas doch


----------



## Nickles (21. Januar 2015)

Wer weiss wieviele Angriffe schon durch das Teil gelaufen sind undf es wurden eventuell nicht öffentlich oder gar von Dell totgeschwiegen.
Denn wie gesagt die können es ja nicht mehr deaktivieren und updaten anscheinend auch nicht. Müssten dann ja Millionen von NBs zurücknehmen.


----------



## Hatuja (21. Januar 2015)

Nein, einfach nach "offenen" Rechnern googeln nicht.
"Einfach" funktioniert das nur innerhalb eines Netzwerkes, zu dem du irgendwie Zugriff hast. Dann kannst du schauen, welche Computer versuchen, sich bei Computrace zu melden. Wenn du dann den DNS Server kompromittierst, kannst du alle Anfragen auf deinen eigenen C&C Server umleiten. Theoretisch funktioniert das auch "in freier Wildbahn", ist aber ein bisschen schwieriger an die DNS-Server zu kommen (vor allem, ohne das es auffällt).


----------



## razzor1984 (22. Januar 2015)

Da gibts ja ne eigene Abteilung in der nsa "Tailored Access Operations". Da werden alllllle Register gezogen, ist ja viel einfach wenn quasi das Rootkit schon vor Ort ist.
Da muss man die Peripherie nicht aufwending umbauen


----------

