Computrace

Aus ThinkPad-Wiki

Computrace (auch LoJack for Laptops genannt) ist eine hard- und softwarebasierte Lösung der Firma Absolute Software zur Diebstahlsicherung von Laptops. Bei vielen Notebooks (u.a. Lenovo Thinkpads) mit Phoenix-Bios ist ein Computrace-Biosmodul im BIOS des Rechners integriert und kann sich bereits während des Bootvorgangs automatisch in das Betriebssystem einnisten. Damit soll verhindert werden, dass ein gestohlener Laptop durch Austausch der Festplatte nicht mehr ausfindig gemacht werden kann. Dieser Schutzmechanismus (BIOS Persistence) funktioniert aber offenbar nur mit Windows-Betriebssystemen. Offiziell ist LoJack for Laptops nur für Windows und Mac OS erhältlich [1]. Im Falle von Apple-Rechnern handelt es sich jedoch um eine rein softwarebasierte Lösung (ohne BIOS Persistence), da Computrace dort nicht in die Firmware integriert ist [2]. Somit lässt sich der Diebstahlschutz bereits durch das Formatieren der Festplatte aushebeln.

Laut der Aussage eines Mitarbeiters von Absolute Software aus dem Jahr 2011 [3], funktioniert BIOS Persistence nicht, wenn der Rechner mit Linux läuft. Ob dies bei den neuesten Versionen von Computrace immer noch so ist, ist nicht bekannt.

Funktionsweise

Der Software-Teil von Computrace heißt Computrace Agent. Zumindest unter Windows ist seine Funktionsweise mittlerweile in öffentlich zugänglichen Quellen gut dokumentiert [4]. Das Programm tarnt sich als Windows-Dienst rpcnet und nimmt jeden Tag Kontakt mit den Servern von Absolute Software auf, um zu prüfen, ob der Laptop als gestohlen gemeldet wurde. Im Falle einer Diebstahlmeldung telefoniert der Agent alle 15 Minuten nach Hause und überträgt dabei allerlei Informationen (IP-Adresse, Benutzernamen, WLAN IDs, Webcam-Fotos, Screenshots, GPS-Koordinaten usw.), die zur Ergreifung des Täters hilfreich sein können. Außerdem ist es möglich, beliebige Software zu installieren und auszuführen, Festplatte zu formatieren oder ein BIOS-Passwort zu setzen.

Tauscht der Dieb die Festplatte aus und installiert das Betriebssystem neu, so macht ihm BIOS Persistence einen Strich durch die Rechnung. Noch während des Bootvorgangs kopiert das Biosmodul den Downloader rpcnetp.exe nach %WINDIR%\System32, welcher daraufhin den Computrace Agent nachinstalliert.

Möchte man als Thinkpad-Besitzer Computrace zur Diebstahlsicherung nutzen, so reicht es nicht aus, Computrace im BIOS zu aktivieren. Zusätzlich braucht man zwingend einen gültigen Vertrag mit Absolute Software, da es sonst keinerlei Hilfe bei der Wiederbeschaffung eines gestohlenen Thinkpads gibt.

Kritik

Im Jahr 2009 wurde Computrace von einigen Sicherheitsexperten heftig kritisiert [5] [6]. Nach deren Erkenntnissen ließe sich Computrace, entsprechende Kenntnisse vorausgesetzt, nicht nur austricksen und deaktivieren, sondern auch manipulieren und sogar zu einem Rootkit machen. In einer Stellungnahme [7] spielte Absolute Software die Kritik herunter.

Die Sicherheitsexperten von CoreSecurity stellten unter anderem fest, daß der zur Absicherung der Komunikation zwischen Computrace-Client und den Absolute-Servern vom Computrace-Client auf dem zu schützenden Rechner erzeugte Schlüssel ungesichert, also im Klartext, an den Absolute-Server gesendet wird. Damit lässt sich die Verschlüsselung der Komunikation aushebeln und diese mitlesen und manipulieren.

Auch die Experten von Kaspersky haben Computrace untersucht, mit vernichtenden Ergebissen.[8] [9] Der Updatemechanismus lässt sich zur Installation beliebiger Malware mißbrauchen, weil er ohne Verschlüsselung und Prüfungen jedweder Art arbeitet. Der Dienst ließ sich über eine Man-in-the-Middle-Attacke durch einen von den Forschern selbst geschriebenen Server steuern, der vorgab, der C&C-Server des Herstellers Absolute zu sein. Zwar wurden bislang noch keine realen Angriffe auf die Schwachstelle(n) beobachtet, auszuschließen ist das aber zukünftig nicht.

Computrace bei Thinkpads

Laut Absolute Software [10] ist Computrace im BIOS der Thinkpads der Z-Reihe, der X-Reihe (ab X41), der T-Reihe (ab T43), der R-Reihe, der L-Reihe, der SL-Reihe, der W-Reihe und der G-Reihe (nur G50) enthalten. Bei den meisten Thinkpads findet man die Einstellungen zu Computrace im BIOS unter Security->Anti-Theft->Computrace. Bei diesen Einstellungen gibt es im Wesentlichen vier Möglichkeiten

  • Computrace Module Activation ist nicht ausgegraut,
    • Current Setting: Disabled
    • Current State: Inactive oder Not Activated
Das sind normalerweise die Standardwerte. Computrace ist vorhanden, aber nicht aktiv. Es findet keine Überwachung statt, diese lässt sich aber aktivieren, indem man Current Setting auf Enabled setzt.
  • Computrace Module Activation ist nicht ausgegraut,
    • Current Setting: Enabled
    • Current State:
Computrace ist aktiv, aber nicht scharf gestellt. Wird in diesem Zustand Windows installiert (evtl. auch nur betrieben), so wird der entsprechende Dienst gestartet. Somit ist eine potentielle Überwachung möglich.
  • Computrace Module Activation ist ausgegraut, es erscheint ein Hinweis beim Betreten des Bios.
    • Current Setting: Enabled
    • Current State: Activated
Computrace ist aktiv und bei Absolute Software zur Überwachung gelistet. Somit verbindet sich Computrace Agent regelmäßig mit den Servern von Absolute Software. Einmal aktiiviert und scharf gestellt, lässt sich Computrace offiziell nur mit Hilfe von Absolute Software wieder deaktivieren.
  • Computrace Module Activation ist ausgegraut,
    • Current Setting: Permanently Disabled
    • Current State: Inactive oder Not Activated
Computrace wurde permanent deaktiviert, indem Current Setting auf Permanently Disabled gesetzt wurde. Offiziell lässt sich eine solche Deaktiviertung nicht mehr rückgängig machen (auch nicht von Absolute Software) und führt zu einer irreversiblen Abschaltung von Computrace auf der Hardware-Ebene.

Aktiviertes Computrace deaktivieren

Wurde Computrace einmal scharf gestellt (also bei Absolute zur Überwachung aktiviert), lässt sich diese Einstellung im BIOS nicht mehr rückgängig machen. Erkennbar ist dies an der ganzseitigen Computrace-Meldung, die direkt beim Betreten des Bios (F1) erscheint. Insbesondere Thinkpads, die früher in Unternehmen im Einsatz waren und nun von Gebrauchthändlern als Leasingrückläufer o.Ä. verkauft werden, haben Computrace häufig aktiviert, auch wenn die entsprechenden Verträge mit Absolute Software bereits ausgelaufen sind. Meist werden solche Laptops vor dem Verkauf oder Leasingrückgabe nicht extra bei Absolute Software abgemeldet und telefonieren deshalb weiterhin nach Hause. Möchte man als Neubesitzer dieses Verhalten unterbinden und Computrace permanent deaktivieren, so muss man sich direkt an die Firma Absolute Software wenden.

Dazu verfasst man am besten eine freundliche E-Mail in englischer Sprache an techsupport@absolute.com, in der man den Sachverhalt schildert und um die Deaktivierung von Computrace auf dem betreffenden Thinkpad bittet. Als Kaufnachweis genügt eine Kopie der Rechnung vom Händler. Unbedingt mitzuteilen sind das Modell (z.B. Lenovo X200), der Machine Type (z.B. 7459-GH6) und die Seriennummer (z.B. A123BC4). Auch ein Screenshot von Lenovo Warranty Lookup, sowie System-unit serial number und System board serial number können hilfreich sein. In der Regel kann es einige Tage dauern, bis sich der Support von Absolute Software meldet und die Deaktivierung veranlasst. Diese wird entweder nach positiver Rückmeldung des Vorbesitzers vorgenommen oder nach 30 Tagen, wenn keine Rückmeldung erfolgt.

Damit der Vorgang klappt, muss das Thinkpad unter Windows (z.B. Windows 7, Aktivierung ist nicht nötig) laufen und über 24 Stunden mit dem Internet verbunden sein. Sobald Computrace Agent von dem Steuerungsserver einen Deaktivierungsbefehl empfängt, wird die Einstellung "Current Setting" im BIOS wieder freigegeben. Diese kann man dann auf Permanently Disabled setzen, womit Computrace endgültig deaktiviert wird.

Erscheint die genannte Meldung beim Betreten des Bios nicht, kann Computrace zwar aktiv sein, lässt sich aber problemlos (permanent) abschalten. Man sollte Computrace zumindest auf disabled setzen, um zu verhindern das der Dienst mitläuft.

War Computrace enabled und der Dienst aktiv, sollte man Computrace im Bios auf (permanently) disabled setzten, und den Dienst unter Windows deaktivieren. Die sichere Lösung ist aber, Windows mit formatieren der Partition neu zu installieren.

Weblinks