Computrace

Die Markenbezeichnung Computrace, Eigenschreibweise CompuTrace und auch bekannt unter den Bezeichnungen Absolute Home & Office und LoJack for Laptops, bezeichnet eine proprietäre Software der kanadischen Firma Absolute Software zur Diebstahlsicherung von Laptops und Arbeitsplatzrechnern. Als Besonderheit sind die grundlegenden Basisfunktionen dauerhaft im BIOS bzw. im Unified Extensible Firmware Interface (UEFI) der betroffenen Arbeitsplatzrechner integriert und lassen sich durch den Benutzer, auch durch Entfernung der Massenspeicher wie Festplatten und Neuinstallation des Betriebssystems Microsoft Windows, nicht entfernen, was der Funktion eines sogenannten Backdoors entspricht.^[1] Integriert ist der BIOS-basierende Teil der Software in praktisch allen am Markt befindlichen PC-Systemen und Laptops, die seit ungefähr 2008 hergestellt wurden und werden. Beispiele von Herstellern, welche die Funktion von Computrace in das BIOS eingebaut haben, sind Acer, Asus, Dell Technologies, Fujitsu, HP Inc., Lenovo, Toshiba und weitere.^[2]

Computrace stellt primär eine Form von Telemetriefunktion dar, welche von seitens des Herstellers zur Wiederherstellung oder Entfernung von beliebigen Softwareteilen im Rahmen einer Fernwartung verwendet wird und vom Endanwender möglichst wenig beeinflusst werden kann. Weiters arbeitet die Firma laut eigenen Angaben mit Strafverfolgungsbehörden zusammen, um gestohlene und sichergestellte Rechner durch diese Funktion an die rechtmäßigen Eigentümer zurückzugeben.^[3]

Funktion

 

BIOS von einer Dell Workstation mit den Konfigurationsoptionen zu Computrace

Die Software besteht aus mehreren Teilen. Der initiale Teil ist vom Umfang klein und fix in das BIOS bzw. UEFI integriert, welches am Motherboard des Rechners verbaut ist und vom Endanwender auch nicht einfach ausgetauscht werden kann. Dieser Teil dient dazu ein auf der im Rechner verbauten Festplatte bzw. Solid-State-Drive (SSD) installiertes Microsoft-Windows-Betriebssystem durch den Austausch von Dateien so zu manipulieren, dass beim Booten entsprechende weitere und im Umfang größere Softwaremodule von Computrace über eine bestehende Netzwerkverbindung nachgeladen, permanent am Speichermedium mit vollen Zugriffsrechten installiert werden und in Folge im Hintergrund aktiv bleiben. Die Steuerung erfolgt dann über zentrale Server der Firma Absolute Software, die damit den Rechner mittels einer Fernwartungsfunktion fernsteuern kann. Diese Methoden und Verfahren sind prinzipiell identisch wie bei einem Rootkit.^[4]

Wenngleich die Funktion auf beliebige Betriebssysteme anwendbar wäre, ist mit Stand 2014 Computrace nur unter Microsoft Windows lauffähig. Der fixe im BIOS integrierte Teil, so er aktiviert ist, prüft zunächst, ob der im Rechner verbaute Massenspeicher im Format VFAT oder NTFS formatiert ist und sich eine bootfähige Microsoft-Windows-Version darauf befindet. In diesem Fall wird die Datei AUTOCHK.EXE durch eine neue Datei ersetzt, deren Inhalt aus dem BIOS stammt. Die Datei AUTOCHK.EXE dient normalerweise dazu, den Festplattenspeicher vor dem Start auf mögliche Fehler zu prüfen. Computrace nutzt das Ausführen dieser Datei im Rahmen des Bootprozesses von Windows, um einen neuen Systemdienst rpcnetd.exe bzw. rpcnet.exe mit Administrationsrechten permanent zu installieren und zu starten. Dieser Prozess nimmt dann bei Bestehen einer Internetverbindung mittels Hypertext Transfer Protocol (http) mit einem Command & Control-Server der Firma Absolute Software Kontakt auf, um von dort weitere Anweisungen zu erhalten bzw. Daten des Laptops an die Firma Absolute Software zu übertragen.^[4]

Sicherheitsprobleme

Auch wenn die vorgegebene Intention zum Schutz vor Diebstahl von Endgeräten unter bestimmten Anwendungsfällen und unter Missachtung von Fragen des Datenschutzes noch akzeptierbar sein mag, eröffnet Computrace durch das Verfahren und vorhandene Schwachstellen im Ablauf auch Dritten die Möglichkeit die Kontrolle über das Endgerät zu erlangen, auf welchem Computrace aktiv ist. So wurde ein Angriffsszenario auf Computrace im Jahr 2009 öffentlich beschrieben. Dabei wird der Kontakt zu den Command & Control-Servern der Firma Absolute Software auf andere, vom Angreifer kontrollierte Server umgeleitet.^[5] Im Jahr 2018 wurde mit dieser Methode ein erfolgreicher Angriff mit der Bezeichnung LoJax Rootkit bekannt.^[6]

Deaktivierung

Die praktische Schwierigkeit zur Deaktivierung ergibt sich aus dem Umstand, dass der initiale Teil fix in das BIOS des Rechners integriert ist, welcher vom Anwender im Regelfall nicht mit vertretbarem Aufwand ausgetauscht werden kann, und dass der Programminhalt des BIOS vom Hersteller des Endgerätes stammt. Weiters sind die Einstellmöglichkeiten im BIOS je nach Gerätehersteller beschränkt, da es seitens der Firma Absolute Software keine Vorgaben an die BIOS-Hersteller gibt, welche Funktionen dem Anwender zur Verfügung gestellt werden sollen. So erlauben es manche Computerhersteller in den Einstellungen des BIOS die Funktion Computrace einmalig zu aktivieren, aber nach der Aktivierung kann Computrace im BIOS nicht mehr deaktiviert werden. Manche Hersteller geben im BIOS auch keinerlei Information an, ob Computrace aktiviert ist oder nicht.^[1]

Einzelnachweise

1. Brian Donohue: Millions of PCs Affected by Mysterious Computrace Backdoor. 14. August 2014, abgerufen am 6. Mai 2022. 
2. BIOS & Firmware Compatibility Checker. Absolute Software, abgerufen am 6. Mai 2022. 
3. Gestohlene Notebooks mit GPS-Tracking und WLAN finden. Abgerufen am 6. Mai 2022. 
4. Vitaly Kamluk et al.: Absolute Computrace Revisited. 12. Februar 2014, abgerufen am 6. Mai 2022. 
5. Altfredo Ortega et al.: Deactivate the Rootkit: Attacks on BIOS anti-theft technologies. Core Security Technologies, 24. Juni 2009, abgerufen am 6. Mai 2022. 
6. Mina Hao: Tracking and Analysis of the LoJack/CompuTrace Incident. 9. Dezember 2019, abgerufen am 6. Mai 2022.