TL; DR
Absolute Computrace is 'n tegnologie wat jou toelaat om jou motor te sluit (en nie ), selfs al is die bedryfstelsel daarop herinstalleer of selfs die hardeskyf vervang is, vir $15 per jaar. Ek het 'n skootrekenaar op eBay gekoop wat met hierdie ding gesluit was. Die artikel beskryf my ervaring, hoe ek daarmee gesukkel het en probeer het om dieselfde op Intel AMT te doen, maar gratis.
Kom ons stem dadelik saam: ek breek nie by oop deure in en skryf nie 'n lesing oor hierdie afgeleë dinge nie, maar vertel 'n bietjie agtergrond en hoe om vinnig afstandtoegang tot jou masjien op jou knie te kry in enige situasie (as dit gekoppel is aan die netwerk via RJ-45) of, as dit via Wi-Fi gekoppel is, dan slegs in OS Windows. Dit sal ook moontlik wees om die SSID, login en wagwoord van 'n spesifieke punt in Intel AMT self te registreer, en dan kan toegang via Wi-Fi ook verkry word sonder om in die stelsel te begin. En ook, as jy bestuurders vir Intel ME op GNU/Linux installeer, dan behoort dit alles ook daarop te werk. Gevolglik sal dit nie moontlik wees om 'n skootrekenaar oor 'n afstand te sluit en 'n boodskap te vertoon nie (ek kon nie agterkom of dit selfs moontlik is met hierdie tegnologie nie), maar daar sal toegang tot 'n afgeleë lessenaar en Veilige Erase wees, en dit is die belangrikste ding.
Die taxibestuurder is weg met my skootrekenaar en ek het besluit om 'n nuwe een op eBay te koop. Wat kan verkeerd gaan?
Van koper tot diewe - in een bekendstelling
Nadat ek 'n skootrekenaar van die poskantoor af huis toe gebring het, het ek begin om die voorafinstallasie van Windows 10 te voltooi, en daarna het ek selfs daarin geslaag om Firefox af te laai, toe skielik:
Ek het baie goed verstaan dat niemand die Windows-verspreiding sou verander nie, en as hulle dit sou doen, sou alles nie so lomp lyk nie en in die algemeen sou die blokkering vinniger gebeur het. En op die ou end sal daar geen sin wees om enigiets te blokkeer nie, aangesien alles genees sal word deur dit weer te installeer. Goed, kom ons herlaai.
Herlaai in die BIOS, en nou word alles 'n bietjie duideliker:
En uiteindelik is dit heeltemal duidelik:
Hoe is dit dat my eie skootrekenaar my pla? Wat is Computrace?
Streng gesproke is Computrace 'n stel modules in jou EFI BIOS wat, nadat hulle OS Windows gelaai het, hul Trojans daarin plaas, aanklop op die afgeleë Absolute sagteware bediener en toelaat, indien nodig, om die stelsel oor die internet te blokkeer. Jy kan meer besonderhede hier lees . Computrace werk nie met ander bedryfstelsels as Windows nie. Boonop, as ons 'n skyf koppel aan Windows wat deur BitLocker geïnkripteer is, of enige ander sagteware, sal Computrace nie weer werk nie - die modules sal eenvoudig nie hul lêers in ons stelsel kan gooi nie.
Van 'n afstand af lyk sulke tegnologieë dalk kosmies, maar net totdat ons uitvind dat dit alles op inheemse UEFI gedoen word deur een en 'n half twyfelagtige modules te gebruik.
Dit lyk asof hierdie ding koud en almagtig is totdat ons byvoorbeeld probeer om in GNU/Linux te begin:
Hierdie skootrekenaar het nou Computrace-sluiting geaktiveer.
Hoe om te sê,
Wat om te doen?
Daar is vier ooglopende vektore om die probleem op te los:
- Skryf aan die verkoper op eBay
- Skryf aan Absolute sagteware, skepper en eienaar van Computrace
- Maak 'n storting van die BIOS-skyfie, stuur dit na skaduryke tipes sodat hulle 'n storting terugstuur met 'n pleister wat alle slotte deaktiveer en die toestel-ID kies.
- Bel Lazard
Kom ons kyk na hulle in volgorde:
- Ons skryf, soos alle redelike mense, eers aan die verkoper wat so 'n produk aan ons verkoop het en bespreek die probleem met die een wat primêr daarvoor verantwoordelik is.
Gemaak:
- Volgens 'n adviseur wat in die dieptes van die internet ontdek is,
Jy moet absolute sagteware kontak. Hulle sal die masjienreeksnommer en die moederbordreeksnommer wil hê. Jy sal ook "bewys van aankoop" moet verskaf, soos 'n kwitansie. Hulle sal die eienaar wat hulle op lêer het kontak en die OK kry om dit te verwyder. Gestel dit word nie gesteel nie, sal hulle dit dan “vlag vir delete”. Daarna, die volgende keer as jy aan die internet koppel of 'n oop internetverbinding het, sal 'n wonderwerk plaasvind en dit sal weg wees. Stuur die goed waarna ek genoem het [e-pos beskerm].
ons kan direk aan Absolute skryf en direk met hulle kommunikeer oor ontsluiting. Ek het my tyd geneem en besluit om eers teen die einde na hierdie oplossing toe te gryp.
- Gelukkig was daar reeds 'n brutale oplossing vir die probleem. Hierdies en baie ander rekenaarondersteuningspesialiste op dieselfde eBay en selfs Indiërs op Facebook belowe ons om ons BIOS te ontsluit as ons vir hulle 'n storting stuur en 'n paar minute wag.
Die ontsluitingsproses word soos volg beskryf:
Ontsluitoplossing is uiteindelik beskikbaar en vereis dat SPEG-programmeerder die BIOS kan flits.
Die proses is:
- Lees die BIOS en skep 'n geldige stortingsterrein. In 'n Thinkpad is die BIOS getroud met die interne TPM-skyfie en bevat 'n unieke handtekening daarvan, daarom is dit belangrik dat die oorspronklike BIOS 'n korrekte uitlees moet wees vir die sukses van die hele operasie en om die BIOS daarna te herstel.
- Patch die BIOS-binaries en spuit 'n all smallservice.ro UEFI-program in. Hierdie program sal die veilige eeprom lees, TPM-sertifikaat en wagwoord terugstel, veilige eeprom skryf en alle data rekonstrueer.
- Skryf die gelapte BIOS-storting (dit sal btw net in daardie TP funksioneer), begin die skootrekenaar en genereer 'n Hardeware-ID. Ons sal vir jou 'n unieke sleutel stuur wat die Allservice BIOS sal aktiveer, terwyl die BIOS besig is om te laai, sal dit die ontsluitroetine uitvoer en die SVP en TPM ontsluit.
- Ten slotte, skryf die oorspronklike BIOS dump terug vir normale bedrywighede en geniet die skootrekenaar.
Ons kan ook Computrace deaktiveer of die SN/UUID verander en RFID-kontrolesomfout terugstel deur ons UEFI-program op dieselfde manier te gebruik, indien nodig
Die ontsluitdiensprys is per masjien (soos ons vir die Macbook/iMac, HP, Acer, ens.) Vir diensprys en beskikbaarheid lees asseblief die volgende plasing hieronder. Jy kan kontak [e-pos beskerm] vir enige navrae.
Lyk wettig! Maar dit is ook om ooglopende redes 'n opsie vir die mees desperate situasie, en boonop kos al die pret $80. Ons los dit vir later.
- As Lazard alles vir my gebreek het en my vra om jou terug te bel, dan moet jy nie weier nie! Kom ons begin sake doen.
Ons noem Lazard aka “die wêreld se voorste finansiële advies- en batebestuursfirma, adviseer oor samesmeltings, verkrygings, herstrukturering, kapitaalstruktuur en strategie”
Terwyl die verkoper van eBay reageer, gooi ek 'n paar dollar op zadarma en sien uit daarna om met miskien die mees siellose gespreksgenoot op die planeet te kommunikeer - die ondersteuning van 'n groot finansiële korporasie van New York. Die meisie tel vinnig die foon op, luister in my kameraad Engels na bedeesde verduidelikings van hoe ek hierdie skootrekenaar gekoop het, skryf sy reeksnommer neer en belowe om dit aan die admins te gee, wat my sal terugbel. Hierdie proses word presies twee keer herhaal, een dag uitmekaar. Die derde keer het ek doelbewus gewag tot dit 10:XNUMX die aand was in New York en gebel en vinnig die bekende pasta oor my aankoop voorgelees. Twee ure later bel dieselfde vrou my terug en begin instruksies uitlees:
- Klik ontsnap.
Ek klik maar niks gebeur nie.
- Iets werk nie, niks verander nie.
- Druk.
- Ek druk.
— Voer nou in: 72406917
Ek gaan in. Niks gebeur.
- Jy weet, ek is bevrees dit sal nie help nie ... Net 'n oomblik ...
Die skootrekenaar herlaai skielik, die stelsel begin, die irriterende wit skerm het iewers verdwyn. Om seker te maak, gaan ek na die BIOS, Computrace is nie geaktiveer nie. Dit blyk dit is dit. Dankie vir jou ondersteuning, ek skryf aan die verkoper dat ek al die probleme self opgelos het en ontspan.
OpenMakeshift Computrace Intel AMT gebaseer
Wat gebeur het, het my moedeloos gemaak, maar ek het van die idee gehou, my spookpyn oor wat middelmatig verlore was, was op soek na 'n uitweg, ek wou my nuwe skootrekenaar beskerm, asof dit my die ou een sou teruggee. As iemand Computrace gebruik, dan kan ek dit ook gebruik, reg? Daar was immers Intel Anti-Theft, volgens die beskrywing - 'n uitstekende tegnologie wat werk soos dit moet, maar dit is doodgemaak deur die traagheid van die mark, maar daar moet 'n alternatief wees. Dit het geblyk dat hierdie alternatief op dieselfde plek begin het waar dit geëindig het - net Absolute sagteware kon 'n vastrapplek op hierdie gebied kry.
Laat ons eers onthou wat Intel AMT is: dit is 'n stel biblioteke wat deel is van Intel ME, ingebou in die EFI BIOS, sodat 'n administrateur in een of ander kantoor, sonder om uit sy stoel op te staan, masjiene op die netwerk kan bestuur, selfs as hulle nie selflaai nie, verbind ISO's op afstand, beheer via 'n afgeleë lessenaar, ens.
Dit alles loop op Minix en op ongeveer hierdie vlak:
Invisible Things Lab het voorgestel om die funksionaliteit van Intel vPro / Intel AMT-tegnologie 'n ring van beskerming te noem -3. As deel van hierdie tegnologie bevat skyfiestelle wat vPro-tegnologie ondersteun 'n onafhanklike mikroverwerker (ARC4-argitektuur), het 'n aparte koppelvlak tot die netwerkkaart, eksklusiewe toegang tot 'n toegewyde gedeelte van RAM (16 MB), en DMA-toegang tot die hoof-RAM. Programme daarop word onafhanklik van die sentrale verwerker uitgevoer, die firmware word saam met BIOS-kodes of op 'n soortgelyke SPI-flitsgeheue gestoor (die kode het 'n kriptografiese handtekening). Deel van die firmware is 'n ingeboude webbediener. By verstek is AMT gedeaktiveer, maar sommige kodes loop steeds in hierdie modus selfs wanneer AMT gedeaktiveer is. Luikode -3 is aktief selfs in S3-slaapkragmodus.
Dit klink aanloklik, want dit blyk dat as ons 'n omgekeerde verbinding met een of ander administrasiepaneel kan bewerkstellig deur Intel AMT te gebruik, ons toegang sal kan hê nie erger as Computrace nie (in werklikheid, nee).
Ons aktiveer Intel AMT op ons masjien
Eerstens sal sommige van julle waarskynlik hierdie AMT met jou eie hande wil aanraak, en hier begin die nuanses. Eerstens: jy benodig 'n verwerker wat dit ondersteun. Gelukkig is daar geen probleme hiermee nie (tensy jy AMD het), want vPro word by byna alle Intel i5, i7 en i9 verwerkers gevoeg (jy kan sien ) sedert 2006, en normale VNC is reeds in 2010 daarheen gebring. Tweedens: as jy 'n lessenaar het, het jy 'n moederbord nodig wat hierdie funksionaliteit ondersteun, naamlik met die Q-skyfiestel. In skootrekenaars hoef ons net die verwerkermodel te ken. As u ondersteuning vir Intel AMT vind, is dit 'n goeie teken en u sal die instellings wat hier verkry is, kan toepas. Indien nie, dan was jy óf ongelukkig/ jy het doelbewus 'n verwerker of skyfiestel gekies sonder ondersteuning vir hierdie tegnologie, óf jy het suksesvol geld gespaar deur AMD te kies, wat ook 'n rede tot vreugde is.
Volgens die dokumente
In nie-veilige modus luister Intel AMT-toestelle op poort 16992.
In TLS-modus luister Intel AMT-toestelle op poort 16993.
Intel AMT aanvaar verbindings op poorte 16992 en 16993. Kom ons beweeg soontoe.
Jy moet seker maak dat Intel AMT in die BIOS geaktiveer is:
Volgende moet ons herlaai en druk Ctrl + P terwyl ons laai
Die standaard wagwoord, soos gewoonlik, admin.
Verander onmiddellik die wagwoord in Intel ME Algemene instellings. Aktiveer dan Aktiveer netwerktoegang in Intel AMT-konfigurasie. Gereed. Jy is nou amptelik agterdeur. Ons laai in die stelsel.
Nou 'n belangrike nuanse: logies kan ons toegang verkry tot Intel AMT vanaf localhost en op afstand, maar nee. Intel sê dat jy plaaslik kan koppel en instellings kan verander met behulp van , maar vir my het dit botweg geweier om te koppel, so my verbinding het net op afstand gewerk.
Ons neem een of ander toestel en verbind via : 16992
Dit lyk so:
Welkom by die standaard Intel AMT-koppelvlak! Hoekom "standaard"? Want dit is afgekap en heeltemal nutteloos vir ons doeleindes, en ons sal iets ernstiger gebruik.
Leer ken MeshCommander
Soos gewoonlik doen groot maatskappye iets, en eindgebruikers verander dit om hulself te pas. Dis wat hier ook gebeur het.
Hierdie beskeie (geen oordrywing: sy naam is nie op sy webwerf nie, ek moes dit Google) man met die naam Ylian Saint-Hilaire het wonderlike gereedskap ontwikkel om met Intel AMT te werk.
Ek wil dadelik u aandag op hom vestig , in sy video's wys hy eenvoudig en duidelik in reële tyd hoe om sekere take uit te voer wat verband hou met Intel AMT en sy sagteware.
Kom ons begin met . Laai af, installeer en probeer om aan ons masjien te koppel:
Die proses is nie onmiddellik nie, maar as gevolg hiervan sal ons hierdie skerm kry:
Dit is nie dat ek paranoïes is nie, maar ek sal sensitiewe data uitvee, vergewe my vir sulke kokettery
Die verskil, soos hulle sê, is duidelik. Ek weet nie hoekom die Intel Control Panel nie so 'n stel funksies het nie, maar die feit is dat Ylian Saint-Hilaire aansienlik meer uit die lewe kry. Boonop kan u die webkoppelvlak direk in die firmware installeer, dit sal u toelaat om al die funksies sonder 'n hulpprogram te gebruik.
Dit word so gedoen:
Ek moet daarop let dat ek nie hierdie funksionaliteit (Gepasmaakte webkoppelvlak) gebruik het nie en niks kan sê oor die doeltreffendheid en werkverrigting daarvan nie, aangesien dit nie vir my behoeftes vereis word nie.
Jy kan rondspeel met die funksionaliteit, dit is onwaarskynlik dat jy alles sal verwoes, want die begin- en finale beginpunt van hierdie hele fees is die BIOS, waarin jy dan alles kan terugstel deur Intel AMT te deaktiveer.
Ontplooi MeshCentral en implementeer BackConnect
En hier begin die algehele val van die kop. My oom het nie net 'n kliënt gemaak nie, maar ook 'n hele admin paneel vir ons Trojan! En nie net het hy dit gedoen nie, maar .
Begin deur 'n MeshCentral-bediener van jou eie te installeer of as jy nie vertroud is met MeshCentral nie, kan jy die publieke bediener op eie risiko by MeshCentral.com probeer.
Dit spreek positief oor die betroubaarheid van die kode, aangesien ek geen nuus kon vind oor hacks of lekkasies tydens die diens se werking nie.
Persoonlik loop ek MeshCentral op my bediener omdat ek onredelik glo dat dit meer betroubaar is, maar daar is niks daarin nie, behalwe ydelheid en traagheid van gees. As jy ook wil, dan daar is dokumente en houer met MeshCentral. Die dokumente beskryf hoe om dit alles saam te bind in NGINX, sodat die implementering maklik in jou tuisbedieners kan integreer.
Registreer op , gaan in en skep 'n Toestelgroep deur die opsie "geen agent" te kies:
Hoekom "geen agent"? Want hoekom het ons dit nodig om iets onnodig te installeer, dit is nie duidelik hoe dit optree en hoe dit sal werk nie.
Klik "Voeg CIRA by":
Laai cira_setup_test.mescript af en gebruik dit so in ons MeshCommander:
Voila! Na 'n rukkie sal ons masjien aan MeshCentral koppel en ons kan iets daarmee doen.
Eerstens: jy moet weet dat ons sagteware nie net so op 'n afgeleë bediener sal klop nie. Dit is te wyte aan die feit dat Intel AMT twee opsies het om te koppel - deur 'n afgeleë bediener en direk plaaslik. Hulle werk nie op dieselfde tyd nie. Ons skrif het reeds die stelsel vir afgeleë werk opgestel, maar jy sal dalk plaaslik moet koppel. Om plaaslik te kan koppel, moet jy hierheen gaan
skryf 'n reël wat jou plaaslike domein is (let daarop dat ons skrif REEDS een of ander ewekansige reël daar ingevoeg het sodat die verbinding op afstand gemaak kan word) of maak alle lyne heeltemal skoon (maar dan sal die afstandverbinding nie beskikbaar wees nie). Byvoorbeeld, my plaaslike domein in OpenWrt is lan:
Gevolglik, as ons lan daar ingaan, en as ons masjien aan 'n netwerk gekoppel is met hierdie plaaslike domein, dan sal die afstandverbinding nie beskikbaar wees nie, maar plaaslike poorte 16992 en 16993 sal oopmaak en verbindings aanvaar. Kortom, as daar een of ander nonsens is wat nie verband hou met jou plaaslike domein nie, dan is die sagteware fout, indien nie, dan moet jy self daaraan koppel via 'n draad, dis al.
In die tweede plek:
Alles is gereed!
Jy mag dalk vra - waar is AntiTheft? Soos ek aanvanklik gesê het, is Intel AMT nie baie geskik om diewe te beveg nie. Die administrasie van 'n kantoornetwerk is welkom, maar baklei met individue wat onwettig besit van eiendom via die internet geneem het, is nie so spesiaal nie. Kom ons kyk na 'n gereedskapstel wat ons in teorie kan help in die stryd vir private eiendom:
- Op sigself is dit duidelik dat jy toegang tot die masjien het as dit via kabel gekoppel is, of, as Windows daarop geïnstalleer is, dan via WiFi. Ja, dit is kinderagtig, maar dit is reeds baie moeilik vir 'n gewone mens om so 'n skootrekenaar te gebruik, al neem iemand net skielik beheer oor. Boonop, ten spyte van die feit dat ek nie die skrifte kon uitvind nie, is dit beslis moontlik om een of ander funksionaliteit artistiek te ontwerp om kennisgewings daarop te blokkeer/vertoon.
- Veilige verwydering op afstand met Intel Active Management Technology
Deur hierdie opsie te gebruik, kan jy alle inligting binne sekondes van die masjien uitvee. Dit is nie duidelik of dit op nie-Intel SSD's werk nie. Hier Jy kan meer oor hierdie funksie lees. Jy kan die werk bewonder . Die kwaliteit is verskriklik, maar net 10 megagrepe en die essensie is duidelik.
Die probleem van uitgestelde uitvoering bly onopgelos, met ander woorde: jy moet kyk wanneer die masjien die netwerk binnekom om daaraan te koppel. Ek glo dat daar ook 'n oplossing hiervoor is.
In 'n ideale implementering moet u die skootrekenaar blokkeer en 'n soort inskripsie vertoon, maar in ons geval het ons eenvoudig onvermydelike toegang, en wat om volgende te doen is 'n kwessie van verbeelding.
Miskien sal jy op een of ander manier die motor kan blokkeer of ten minste 'n boodskap kan vertoon, skryf as jy weet. Dankie!
Moenie vergeet om 'n wagwoord vir die BIOS in te stel nie.
Dankie aan die gebruiker vir proeflees!
Bron: will.com