Que peut-on faire sous Linux contre ce backdoor ?

abecidofugy · Le 20/05/2014, à 17:35

Salut,

Je viens de lire un article sur Korben.info http://korben.info/computrace-lojack-ab … m=facebook ça fait froid dans le dos. Que peut-on faire sous Linux pour empêcher le beens de se connecter à notre insu ?

Merci.

cinaptix · Le 20/05/2014, à 18:21

À priori ça ne parle que de .exe, de .dll et de partition FAT ou NTFS.

Je ne vois pas de Linux la dedans. En plus, je me félicite tous les jours d'avoir assemblé ma tour moi-même avec des composants non évoqués dans cet article.

Morgiver · Le 20/05/2014, à 18:22

Wow O_o' c'est du lourd là !

J'avoue que ça m'intéresse aussi de savoir comment faire sous linux pour empêcher ce truc de fonctionner.

EDIT :
Ca parle beaucoup de EXE, mais apparemment, c'est sur le matos qu'est présente la backdoor, donc exploitable par tout les systèmes, non ?

Dernière modification par Morgiver (Le 20/05/2014, à 18:22)

billou · Le 20/05/2014, à 19:33

Morgiver a écrit :

Wow O_o' c'est du lourd là !
J'avoue que ça m'intéresse aussi de savoir comment faire sous linux pour empêcher ce truc de fonctionner.
EDIT :
Ca parle beaucoup de EXE, mais apparemment, c'est sur le matos qu'est présente la backdoor, donc exploitable par tout les systèmes, non ?

Effectivement, d'autant que d'après l'article, il existe une partie logicielle compatible Linux...

Belarrius · Le 21/05/2014, à 00:42

Je cite

Même si Kaspersky ne s'est penché que sur la version PC Windows, Computrace / LoJack existe aussi en version smartphone / tablette (Android) et Mac OSX.

Donc pas de Linux hors Android

Dernière modification par Belarrius (Le 21/05/2014, à 00:43)

tooguy66 · Le 21/05/2014, à 00:54

Allez devinez pourquoi vos contrats d'assurances vies vous ont été refusés messieurs mesdames....

billou · Le 21/05/2014, à 01:27

Belarrius a écrit :

Je cite
Même si Kaspersky ne s'est penché que sur la version PC Windows, Computrace / LoJack existe aussi en version smartphone / tablette (Android) et Mac OSX.
Donc pas de Linux hors Android

Ou pas justement... L'agent en question est aussi disponible sous Linux ! Donc si c'est prévu par le bios, le même genre de modifications pourrait être effectué, même en étant sous Linux.

http://www.absolute.com/en/products/abs … quirements

Computrace a écrit :

Computrace Agent System Requirements
Windows 8.x (32 & 64-bit)
Windows 7 (32 & 64-bit)
Windows Vista (32 & 64-bit)
Windows XP (32-bit only)
Windows Server 2008
Windows Server 2003
Mac OS X v10.4 or higher
Android 2.3 and later
Linux: RedHat 6, Ubuntu 10, Mint 9, openSuse 11, CentOS 5, Fedora 13 and Debian 5
Internet connection

tooguy66 · Le 21/05/2014, à 02:37

Mais les vendeurs chez dell, asus, fnac, auchan, etc, etc ne précisent-ils pas à leurs clients a la vente du produit que ce logiciel espion est présent.
Dans le cas contraire, quels seraient les éventuelles poursuites que les clients peuvent effectuer?
Y 'a pas un féru de droit dans le secteur?

Bigcake · Le 21/05/2014, à 08:10

Morgiver a écrit :

J'avoue que ça m'intéresse aussi de savoir comment faire sous linux pour empêcher ce truc de fonctionner

Ce qui peux être fait pour limiter son action, c'est bloquer les adresses suivantes dans sa box/router/modem ou les ajouter dans le fichiers /etc/hosts en les faisant pointer vers 127.0.0.1
search.namequery.com
search.us.namequery.com
search64.namequery.com
bh.namequery.com
namequery.nettrace.co.za
search2.namequery.com
absolute.com
209.53.113.223

Sinon il faudrai trouver le binaire créé sur linux et lui enlever les droits d'exécution, voire corrompre son contenu, et vérifier que le binaire est pas remis en état au redémarrage du poste

Dernière modification par Bigcake (Le 21/05/2014, à 08:11)

Belarrius · Le 21/05/2014, à 09:24

billou a écrit :

Belarrius a écrit :
Je cite
Même si Kaspersky ne s'est penché que sur la version PC Windows, Computrace / LoJack existe aussi en version smartphone / tablette (Android) et Mac OSX.
Donc pas de Linux hors Android
Ou pas justement... L'agent en question est aussi disponible sous Linux ! Donc si c'est prévu par le bios, le même genre de modifications pourrait être effectué, même en étant sous Linux.
http://www.absolute.com/en/products/abs … quirements

Computrace a écrit :
Computrace Agent System Requirements
Windows 8.x (32 & 64-bit)
Windows 7 (32 & 64-bit)
Windows Vista (32 & 64-bit)
Windows XP (32-bit only)
Windows Server 2008
Windows Server 2003
Mac OS X v10.4 or higher
Android 2.3 and later
Linux: RedHat 6, Ubuntu 10, Mint 9, openSuse 11, CentOS 5, Fedora 13 and Debian 5
Internet connection

Sa ne concerne que les machines & OS pré-installer en fait si je comprends bien.

F50 · Le 21/05/2014, à 09:54

Salut,

Belarrius a écrit :

Sa ne concerne que les machines & OS pré-installer en fait si je comprends bien.

Je ne crois pas, le bios n'a pas besoin d'os pour tourner.

billou · Le 21/05/2014, à 10:28

fcn50 a écrit :

Salut,
Belarrius a écrit :
Sa ne concerne que les machines & OS pré-installer en fait si je comprends bien.
Je ne crois pas, le bios n'a pas besoin d'os pour tourner.

Effectivement, dans l'article de Korben il est bien spécifié que la version de computrace n'a pas besoin d'OS pour commencer à tourner, il scanne les partitions et écrit dessus, pour Windows sur du fat32/NTFS certes, mais on n'est absolument pas à l’abri si sur d'autres bios les partitions ext sont prises en compte, si cette partie logicielle intégrée au bios est accessible à distance, et peut trifouiller les fichiers systèmes, rien ne dit qu'elle ne peut pas se mettre à jour ou charger temporairement en mémoire à chaque connexion au net une mise à jour compatible avec les partitions Linux, et rien ne dit qu'elle n'existe pas déjà en dur dans nos bios/UEFI... L'affaire est tellement grave qu'on peut douter de tout désormais...

L'unique moyen de contrer le problème, serait la possibilité d'avoir un gros coup de boost du côté du projet coreboot, pour un bios/UEFI libre, qui contrecarrerait directement le backdoor/spyware.

Dernière modification par billou (Le 21/05/2014, à 10:29)

F50 · Le 21/05/2014, à 10:41

Le "problème" avec coreboot c'est qu'il faut avoir la chance de détenir une CM compatible, ce qui n'est pas mon cas mais à l'achat d'une nouvelle CM, c'est à prendre en compte impérativement.

P.S. En lançant un test rkhunter ça peut aider à voir si un /bin venu de nul part c'est glisser dans le FS.

Dernière modification par fcn50 (Le 21/05/2014, à 11:06)

Belarrius · Le 21/05/2014, à 11:25

billou a écrit :

fcn50 a écrit :
Salut,
Belarrius a écrit :
Sa ne concerne que les machines & OS pré-installer en fait si je comprends bien.
Je ne crois pas, le bios n'a pas besoin d'os pour tourner.
Effectivement, dans l'article de Korben il est bien spécifié que la version de computrace n'a pas besoin d'OS pour commencer à tourner, il scanne les partitions et écrit dessus, pour Windows sur du fat32/NTFS certes, mais on n'est absolument pas à l’abri si sur d'autres bios les partitions ext sont prises en compte, si cette partie logicielle intégrée au bios est accessible à distance, et peut trifouiller les fichiers systèmes, rien ne dit qu'elle ne peut pas se mettre à jour ou charger temporairement en mémoire à chaque connexion au net une mise à jour compatible avec les partitions Linux, et rien ne dit qu'elle n'existe pas déjà en dur dans nos bios/UEFI... L'affaire est tellement grave qu'on peut douter de tout désormais...
L'unique moyen de contrer le problème, serait la possibilité d'avoir un gros coup de boost du côté du projet coreboot, pour un bios/UEFI libre, qui contrecarrerait directement le backdoor/spyware.

Ou sinon une partition chiffré tout simplement. J'ai regarder dans le bios de ma carte mère, rien y faisant allusion, ce qui ne veux pas dire qu'il n'y ai pas. M'enfin..

Le truc chaud c'est que c'est le bios qui est équipé de cette daube aparement.

renaud07 · Le 21/05/2014, à 17:32

Belarrius a écrit :

Ou sinon une partition chiffré tout simplement. J'ai regarder dans le bios de ma carte mère, rien y faisant allusion, ce qui ne veux pas dire qu'il n'y ai pas. M'enfin..
Le truc chaud c'est que c'est le bios qui est équipé de cette daube aparement.

Effectivement ,c'est pas toujours qu'il y a l'option pour le désactiver. La seule manière de savoir s'il est présent ou non c'est de vérifier dans system32 s'il y a les fichiers.

Je viens de regarder sur mon Dell vostro, dans le BIOS j'ai bien une option computrace qui heureusement était sur désactivé. Et les fichiers ne sont pas présent dans system32.

J'ai également vérifié sur mon Asus 1225B et malheureusement j'ai rpcnetp.exe présent dans system32 Et je n'ai pas d'option pour désactiver cette merde Mais Bizarrement je n'ai pas les autres fichiers présent et comme par hasard j'avais désactivé internet explorer dans les fonctionalités, serait-ce un moyen de bloquer l'agent vu qu'il se sert du processus iexplore.exe pour tourner ?

Aurais-je trouvé la solution ?

Belarrius · Le 21/05/2014, à 18:10

fcn50 a écrit :

Salut,
Belarrius a écrit :
Sa ne concerne que les machines & OS pré-installer en fait si je comprends bien.
Je ne crois pas, le bios n'a pas besoin d'os pour tourner.

En fait c'est vrai il n'a pas besoin de l'OS pour tourner, cependant pour accéder aux infos de l'OS il faut accéder au disque dur. Et pour faire certains actions il dois avoir l'intervention. À quoi sert le fameux SecureBoot sinon ? (Hormis imposer crosoft à la base certes)

Je me trompe peut être m'enfin le BIOS peut certes accéder a au réseau etc (wake up par ex), mais l'interface computrace se trouve quant à lui dans l'OS.

Sur Ubuntu par exemple, il suffit de chiffré le dossier personnel à l'installation ou carrément chiffré la partition pour que le bios n'y accède pas.

Ensuite comme je le disais, théoriquement SecureBoot permet de démarrer via une signature et ne permet qu'a ce système d'accéder à l'OS (ou qu'aux système ayant une signature compatible pour s'installer et booter).

renaud07 · Le 21/05/2014, à 18:30

Je crois avoir trouvé la solution : rpcnet.exe est en fait présent dans les services windows sous le nom "Remote Procedure Call (RPC) Net" qui peut être confondu avec "Appel de procédure distante (RPC)" car c'est le même nom en anglais. Et en vérifiant sur mon vostro qui à l'option désactivée dans le BIOS ben le service n'est pas présent !

Il suffit donc de désactiver le service et plus de rpcnet.exe dans les processus lancé ! Et pour le coup ça n'avait rien à voir avec IE désactivé ou non.

Dernière modification par renaud07 (Le 21/05/2014, à 18:31)

Morgiver · Le 21/05/2014, à 18:38

renaud07 a écrit :

Je crois avoir trouvé la solution : rpcnet.exe est en fait présent dans les services windows sous le nom "Remote Procedure Call (RPC) Net" qui peut être confondu avec "Appel de procédure distante (RPC)" car c'est le même nom en anglais. Et en vérifiant sur mon vostro qui à l'option désactivée dans le BIOS ben le service n'est pas présent !
Il suffit donc de désactiver le service et plus de rpcnet.exe dans les processus lancé ! Et pour le coup ça n'avait rien à voir avec IE désactivé ou non.

Un programme lancé via le bios, inclus dans le matos, ça passe inaperçu non ?

The Uploader · Le 21/05/2014, à 18:41

Je ne l'ai pas (ni dans l'UEFI, ni sous Windows 8). Et mon ordi n'est pas dans la liste de Korben, sembe-t-il.

Dernière modification par The Uploader (Le 21/05/2014, à 18:43)

renaud07 · Le 21/05/2014, à 18:43

Morgiver a écrit :

Un programme lancé via le bios, inclus dans le matos, ça passe inaperçu non ?

Ben la preuve que non. Et en faisant ça même si ça ne l'enlève pas au moins ça l’empêche de s’exécuter (pour ceux qui n'ont pas l'option de désactivation dans le BIOS) comme mon Asus 1225B.

renaud07 · Le 21/05/2014, à 19:55

The Uploader a écrit :

Je ne l'ai pas (ni dans l'UEFI, ni sous Windows 8). Et mon ordi n'est pas dans la liste de Korben, sembe-t-il.

As-tu vérifié dans SysWOW64 ? Car dans system32 sur mon asus il y a seulement rpcnetp.exe alors que dans SysWOW64 ils y sont tous :

Et soit dit en passant mon Asus n'est pas dans la liste donc...

Dernière modification par renaud07 (Le 21/05/2014, à 19:57)

The Uploader · Le 21/05/2014, à 19:58

Négatif.

tooguy66 · Le 22/05/2014, à 00:19

Faut quand même bien lire...
"En ce qui concerne Computrace sur PC, il est normalement désactivable dans le BIOS mais pas dans tous, puisque certains des ordinateurs analysés par Kaspersky n'avaient même pas cette option visible dans le BIOS et contenaient pourtant l'agent Computrace."
Partie toute aussi intéressante:
"N'espérez pas pouvoir l'effacer en mettant à jour votre BIOS. Non, car il est présent dans une partie non modifiable et si vous flashez votre BIOS avec un nouveau firmware, il ne sera pas dégagé."
A moins de griller la carte mère pour l'enlever c'est même pas la peine et visiblement si j'ai bien compris il peut même effacer des dossiers, documents voire formater le disque dur
" De sécuriser les données d'un parc de postes à distance
De déployer toujours à distance des mises à jour, des licences ou de lancer des audits
De géolocaliser des ordinateurs volés
De produire des rapports concernant les machines
De récupérer des fichiers
D'effacer à distance des documents ou tout le disque dur"
Donc j'ai l'impression que c'est pas la peine de chercher tels ou tels fichiers dans windows ou autre, le mieux quand on en a les moyens financiers c'est de le jeter a la poubelle.

Dernière modification par tooguy66 (Le 22/05/2014, à 00:20)

renaud07 · Le 22/05/2014, à 04:32

tooguy66 a écrit :

Donc j'ai l'impression que c'est pas la peine de chercher tels ou tels fichiers dans windows ou autre, le mieux quand on en a les moyens financiers c'est de le jeter a la poubelle.

Si l'agent ne peux pas s'exécuter (ni communiquer avec le net), il ne peut pas effacer de fichiers/dossiers ou autre. Et à moins qu'Absolute développe un outil totalement indépendant de l'OS capable d'effacer le DD rien qu'en s'exécutant dans le BIOS comme failsafe sur les BIOS Phoenix (abordé dans l'article) à priori on a rien à craindre.

Dernière modification par renaud07 (Le 22/05/2014, à 04:33)

tooguy66 · Le 22/05/2014, à 14:18

Entièrement d'accord avec toi, mais un pc qui ne va pas sur internet c'est bof....

Dernière modification par tooguy66 (Le 22/05/2014, à 14:30)

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 20/05/2014, à 17:35

Que peut-on faire sous Linux contre ce backdoor ?

#2 Le 20/05/2014, à 18:21

Re : Que peut-on faire sous Linux contre ce backdoor ?

#3 Le 20/05/2014, à 18:22

Re : Que peut-on faire sous Linux contre ce backdoor ?

#4 Le 20/05/2014, à 19:33

Re : Que peut-on faire sous Linux contre ce backdoor ?

#5 Le 21/05/2014, à 00:42

Re : Que peut-on faire sous Linux contre ce backdoor ?

#6 Le 21/05/2014, à 00:54

Re : Que peut-on faire sous Linux contre ce backdoor ?

#7 Le 21/05/2014, à 01:27

Re : Que peut-on faire sous Linux contre ce backdoor ?

#8 Le 21/05/2014, à 02:37

Re : Que peut-on faire sous Linux contre ce backdoor ?

#9 Le 21/05/2014, à 08:10

Re : Que peut-on faire sous Linux contre ce backdoor ?

#10 Le 21/05/2014, à 09:24

Re : Que peut-on faire sous Linux contre ce backdoor ?

#11 Le 21/05/2014, à 09:54

Re : Que peut-on faire sous Linux contre ce backdoor ?

#12 Le 21/05/2014, à 10:28

Re : Que peut-on faire sous Linux contre ce backdoor ?

#13 Le 21/05/2014, à 10:41

Re : Que peut-on faire sous Linux contre ce backdoor ?

#14 Le 21/05/2014, à 11:25

Re : Que peut-on faire sous Linux contre ce backdoor ?

#15 Le 21/05/2014, à 17:32

Re : Que peut-on faire sous Linux contre ce backdoor ?

#16 Le 21/05/2014, à 18:10

Re : Que peut-on faire sous Linux contre ce backdoor ?

#17 Le 21/05/2014, à 18:30

Re : Que peut-on faire sous Linux contre ce backdoor ?

#18 Le 21/05/2014, à 18:38

Re : Que peut-on faire sous Linux contre ce backdoor ?

#19 Le 21/05/2014, à 18:41

Re : Que peut-on faire sous Linux contre ce backdoor ?

#20 Le 21/05/2014, à 18:43

Re : Que peut-on faire sous Linux contre ce backdoor ?

#21 Le 21/05/2014, à 19:55

Re : Que peut-on faire sous Linux contre ce backdoor ?

#22 Le 21/05/2014, à 19:58

Re : Que peut-on faire sous Linux contre ce backdoor ?

#23 Le 22/05/2014, à 00:19

Re : Que peut-on faire sous Linux contre ce backdoor ?

#24 Le 22/05/2014, à 04:32

Re : Que peut-on faire sous Linux contre ce backdoor ?

#25 Le 22/05/2014, à 14:18

Re : Que peut-on faire sous Linux contre ce backdoor ?

Pied de page des forums