Absolute Lojack a rischio di violazione
Il software di sicurezza che molti usano per proteggere il proprio notebook è stato violato da Fancy Bear: alcune installazioni dialogano con server russi
Vale sempre il vecchio detto secondo cui pensare di essere protetti è peggio che non essere protetti affatto. I criminali informatici lo sanno benissimo e per questo ogni tanto qualche azienda di sicurezza segnala che moduli di software assolutamente leciti sono stati modificati da hacker ostili in modo da comportarsi come un malware. Solo che, essendo software leciti, non si pensa che possano comportare un pericolo.
Stavolta è toccato a Lojack di Absolute Software, un tool che diversi produttori di notebook consigliano come strumento per proteggere il proprio computer, tanto da prevederne l'integrazione direttamente con il BIOS dei loro PC. Lojack svolge essenzialmente tre funzioni in caso di furto di un notebook: permette bloccarlo da remoto, cancellarne i dati e localizzarlo (in base agli identificatori delle reti WiFi a cui si connette e agli indirizzi IP che gli vengono assegnati).
Il vantaggio di Lojack è che può avere una stretta integrazione con il BIOS del computer su cui si installa. È una funzione denominata Absolute Persistence che permette ai suoi moduli software di "sopravvivere" al ripristino delle condizioni di fabbrica del computer, all’installazione di un nuovo sistema operativo e anche alla sostituzione totale del disco.
NetScout però segnala che alcuni moduli di Lojack sono stati violati e ridistribuiti con una importante modifica: invece di collegarsi ai server di Absolute Software, dialogano con alcuni server di comando e controllo. A giudicare proprio dai server usati, l'operazione dovrebbe essere stata portata avanti dal gruppo di hacker ostili russi Fancy Bear. Al momento non sembra che i moduli modificati di Lojack facciano nulla di particolare, averli però installati sul proprio PC significa di fatto avere una backdoor aperta e potenzialmente pericolosa.
Il punto è che molti anti-malware non identificano i moduli di Lojack come software ostile ma solo, al massimo, come tool pericolosi. Per rilevare quelli modificati da Fancy Bear serve quindi una signature specifica che NetScout ha già messo a disposizione. Absolut Software è informata dell'accaduto, del quale ovviamente non ha responsabilità.
Stavolta è toccato a Lojack di Absolute Software, un tool che diversi produttori di notebook consigliano come strumento per proteggere il proprio computer, tanto da prevederne l'integrazione direttamente con il BIOS dei loro PC. Lojack svolge essenzialmente tre funzioni in caso di furto di un notebook: permette bloccarlo da remoto, cancellarne i dati e localizzarlo (in base agli identificatori delle reti WiFi a cui si connette e agli indirizzi IP che gli vengono assegnati).
Il vantaggio di Lojack è che può avere una stretta integrazione con il BIOS del computer su cui si installa. È una funzione denominata Absolute Persistence che permette ai suoi moduli software di "sopravvivere" al ripristino delle condizioni di fabbrica del computer, all’installazione di un nuovo sistema operativo e anche alla sostituzione totale del disco.
NetScout però segnala che alcuni moduli di Lojack sono stati violati e ridistribuiti con una importante modifica: invece di collegarsi ai server di Absolute Software, dialogano con alcuni server di comando e controllo. A giudicare proprio dai server usati, l'operazione dovrebbe essere stata portata avanti dal gruppo di hacker ostili russi Fancy Bear. Al momento non sembra che i moduli modificati di Lojack facciano nulla di particolare, averli però installati sul proprio PC significa di fatto avere una backdoor aperta e potenzialmente pericolosa.
Il punto è che molti anti-malware non identificano i moduli di Lojack come software ostile ma solo, al massimo, come tool pericolosi. Per rilevare quelli modificati da Fancy Bear serve quindi una signature specifica che NetScout ha già messo a disposizione. Absolut Software è informata dell'accaduto, del quale ovviamente non ha responsabilità.
Notizie correlate
G11 Media Networks
ImpresaCity e' un canale di BitCity, testata giornalistica registrata presso il tribunale di Como ,
n. 21/2007 del
11/10/2007- Iscrizione ROC n. 15698
G11 MEDIA S.R.L.
Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.
