TL, д-р
Absolute Computrace - тэхналогія, якая дазваляе заблакаваць машыну (і не ), нават калі на ёй пераўсталявалі аперацыйную сістэму або нават замянілі цвёрдую кружэлку, за $15 у год. Я купіў наўтбук на eBay, які быў залочаны гэтай штукай. У артыкуле апісваецца мой досвед, як я з ёй змагаўся і спрабаваў зрабіць тое ж самае на базе Intel AMT, але бясплатна.
Давайце адразу дамовімся: я не ўрываюся ў адчыненыя дзверы і не пішу лекцыю па гэтых выдаленых штуках, а распавядаю маленькую перадгісторыю і як хутка падняць на каленцы выдалены доступ да сваёй машыны ў любой сітуацыі (калі яна падлучаная да сеткі па RJ-45) ці, калі яна падлучаная па Wi-Fi, то толькі ў OS Windows. Таксама, можна будуць прапісаць SSID, лагін і пароль канкрэтнай кропкі ў самым Intel AMT і тады доступ па Wi-Fi можна будзе атрымаць таксама не загружаючыся ў сістэму. А яшчэ, калі вы ўсталюеце драйвера для Intel ME на GNU/Linux, тое гэта ўсё таксама павінна зарабіць і на ім. У выніку заблакаваць выдалена наўтбук і вывесці паведамленне магчымасці не будзе (я не змог разабрацца, ці магчыма такое наогул сіламі гэтай тэхналогіі), але доступ будзе да выдаленага працоўнага стала і Secure Erase, а гэта галоўнае.
Таксіст з'ехаў з маім наўтбукам і я вырашыў купіць новы на eBay. Што магло пайсці не так?
З пакупніка ў злодзеі - за адзін запуск
Прынясучы дадому наўтбук з паштовага аддзялення, я прыняўся за завяршэнне перадусталёўкі Windows 10, а пасля нават паспеў накаціць Firefox, як раптам:
Я выдатна разумеў, што мадыфікаваць дыстрыбутыў Windows ніхто б не стаў, а калі б і стаў, тое ўсё выглядала б не так аляпавата і наогул блакіроўка адбылася б тады хутчэй. Ды і сэнсу, у рэшце рэшт, не было б нешта блакаваць, бо ўсё лячылася б пераўсталёўкай. Окей, перазагружаемся.
Перазагрузка ў BIOS, і вось ужо ўсё становіцца ледзь ясней:
І, нарэшце, канчаткова зразумела:
Як так атрымалася, што мяне шчыміць уласны наўтбук? Што такое Computrace?
Строга кажучы, Computrace – гэта такі набор модуляў у вашай EFI BIOS, якія, пасля загрузкі OS Windows, падкідваюць у яе свае траяны, якія стукаюць на выдалены сервер Absolute software і дазваляюць, калі запатрабуецца, заблакаваць сістэму па інтэрнэце. Больш падрабязна можна пачытаць вось . З аперацыйнымі сістэмамі, выдатнымі ад Windows, Computrace не працуе. Больш за тое, калі мы падключым носьбіт з Windows, зашыфраваны BitLocker, або любым іншым софтам, то Computrace зноў не спрацуе – модулі проста не змогуць падкінуць нам у сістэму свае файлы.
Аддалена такія тэхналогіі могуць здацца касмічнымі, але толькі да таго часу, пакуль мы не даведаемся, што ўсё гэта робіцца на родным UEFI з дапамогай паўтары сумнеўных модуляў.
Здаецца, быццам гэтая штука лядоўня і ўсёмагутная, пакуль мы не паспрабуем, напрыклад, загрузіцца ў GNU/Linux:
На гэтым ноўтбуку прама зараз актывавана блакіроўка ў Computrace
Як гаворыцца,
Што рабіць?
Ёсць чатыры відавочных вектара дазволу ўзніклай праблемы:
- Напісаць прадаўцу на eBay
- Напісаць у Absolute software, стваральніку і ўладальніку Computrace
- Зрабіць дамп з мікрасхемы BIOS, адправіць яго каламутным тыпам, каб яны даслалі ў адказ дамп з патчам, якія дэзактывуюць усе локі і змяняюць айди девайса.
- Патэлефанаваць у Lazard
Разбяром іх па парадку:
- Мы, як усе адэкватныя людзі, спачатку пішам прадаўцу, які прадаў нам такі тавар і абмяркоўваем праблему з тым, хто адказвае за яе найперш.
Зроблена:
- Паводле знойдзенага ў глыбінях інтэрнэту адвайсу,
Вы павінны contact absolute software. Яны будуць купляць машыну сярэдняга нумара і матэрыю лічыльнага нумара. Вы будзеце патрабаваць "адчыненасці", як прыходзіць. Яны будуць contact owner they have on file and get the OK to remove it. Зразумела, што гэта не пазбаўляецца, яны будуць «flag it for delete». Після того, як далейшы час вы падключыцеся да інтэрнэту або маеце абанентны інтэрнет-кантэкст, а мілалька будзе прытрымлівацца і гэта будзе быць. Send the stuff I mentioned to [электронная пошта абаронена].
мы можам напісаць адразу ў Absolute і размаўляць на тэму разблакіроўкі з імі напрамую. Я не стаў спяшацца і вырашыў звярнуцца да такога рашэння толькі бліжэй да канца.
- Брутальнае вырашэнне праблемы таксама, на шчасце, ужо прысутнічала. Вось гэтыя і шматлікія іншыя майстры кампутарнай падтрымкі на тым жа eBay і нават індусы ў Facebook абяцаюць нам разблакаваць наш BIOS, калі мы ім дашлем дамп і пачакаем пару хвілінак.
Працэс анлока апісваецца так:
Памятаньне сыходу нястача і неабходныя SPEG праграмавальнік можа быць прапушчаны BIOS.
Працэс:
- Выдаленне BIOS і стварэнне valid dump. У thinkpad, BIOS з'явиться для internal TPM chip and contains unique signature of to, so it is important that the original BIOS to be correct read out for success of the operation and restore the BIOS afterwards.
- Пакарыстоўвайце BIOS віртуалаў і ўціснуць невялікі allservice.ro UEFI праграма. Гэта праграма будзе выконваць бяспечную электронную праграму, задаць TPM certificate and password, весці бяспечную электронную праграму і reconstruct all data.
- Захоўвай BIOS падтрымліванне (гэта будзе толькі функцый у тым, што TP btw), запускае кампутар і генеруе Hardware ID. Вы будзеце мець асаблівы ключ, які будзе актываваць Allservice BIOS, прычым BIOS loading it execute unlock routine and unlock the SVP and TPM.
- Абсалютна, скарыстоўвайце арыгінальны BIOS ануляцыі для normal operations and enjoy the laptop.
Вы можаце задаволіць кампутарнае забеспячэнне або змяненне SN / UUID і запусціць RFID з'яўленне патрэбаў шляхам выкарыстання нашага UEFI праграмы ў той жа дзень, калі неабходна
Замежны сервісны кошт з'яўляецца для машыны (якраз для Macbook/iMac, HP, Acer, etc) Для абслугоўвання цаны і прыдатнасці read the next post below. You may contact [электронная пошта абаронена] for any inquiry.
Seems legit! Але гэта таксама, па зразумелых чынніках, варыянт для самай адчайнай сітуацыі, да таго ж усё задавальненне варта $80. Пакідаем яго на потым.
- Калі Lazard мне ўсё паламалі і просяць ператэлефанаваць, тое не варта адмаўляцца! За справу.
Тэлефануем у Lazard як «the world's leading financial advisory and asset management firm, advises on mergers, acquisitions, restructuring, capital structure and strategy»
Пакуль прадавец з eBay адказвае, я закідваю некалькі баксаў на zadarma і прадчуваю зносіны з, мабыць, самым самым бяздушным суразмоўцам на планеце – сапартам велізарнай фінансавай карпарацыі з Нью-Ёрка. Дзяўчына хутка паднімае трубку, выслухоўвае на маім камрадглішы нясмелыя тлумачэнні таго, як я купіў гэты наўтбук, запісвае яго серыйнік і абяцае перадаць адмінам, якія мне ператэлефануюць. Гэты працэс у дакладнасці паўтараецца два разы з розніцай у суткі. На трэці раз я спецыяльна дачакаўся вечара, пакуль у Нью-Ёрку будзе 10 раніцы і патэлефанаваў, скорагаворкай зачытаўшы ўжо звыклую мне пасту пра маю пакупку. Праз дзве гадзіны мне ператэлефанавала ўсё тая ж жанчына і пачала зачытваць інструкцыі:
- Націсніце эскейп.
Я націскаю, але нічога не адбываецца.
- Нешта не працуе, нічога не мяняецца.
- Націскайце.
- Цісну.
- Цяпер уводзіце: 72406917
Уводжу. Нічога не здараецца.
- Вы ведаеце, баюся гэта не дапаможа... Хвіліначку...
Наўтбук раптам перазагружаецца, загружаецца сістэма, назойлівы белы экран кудысьці знік. Для вернасці заходжу ў биос, Computrace не актываваны. Здаецца, усё. Дзякую за падтрымку, пішу прадаўцу, што вырашыў усе пытанні сам і расслабляюся.
OpenMakeshift Computrace Intel AMT based
Тое, што адбылося мяне збянтэжыла, але ідэя мне спадабалася, мой фантомны боль па бяздарна страчаным шукаў нейкага выхаду, мне хацелася абараніць свой новы ноўтбук, нібы гэта вярнула б мне стары. Калі хтосьці выкарыстоўвае Computrace, то і я магу яго выкарыстоўваць, так? Бо быў жа Intel Anti-Theft, па апісанні – цудоўная тэхналогія, якая працуе так, як трэба, але яе забіла інэртнасць рынку, аднак бо павінна быць альтэрнатыва. Аказалася, што гэтая альтэрнатыва пачыналася там жа, дзе і заканчвалася – на гэтай ніве змагла замацавацца толькі Absolute software.
Для пачатку ўспомнім што такое Intel AMT: гэта такі набор бібліятэк, які з'яўляецца часткай Intel ME, ушыты ў EFI BIOS, для таго, каб адмін у якім-небудзь офісе мог, не ўстаючы з крэсла, апераваць машынамі ў сетцы, нават калі яны не загружаюцца. , падлучаючы выдалена ISOшкі, кіруючы праз выдалены працоўны стол і г.д.
Круціцца ўсё гэта на Minix і прыкладна на такім узроўні:
Invisible Things Lab прапанавала называць функцыянальнасць тэхналогіі Intel vPro / Intel AMT кольцам абароны -3. У рамках гэтай тэхналогіі чыпсэты, якія падтрымліваюць тэхналогію vPro, утрымоўваюць незалежны мікрапрацэсар (архітэктура ARC4), маюць асобны інтэрфейс да сеткавай карце, эксклюзіўны доступ да вылучанага ўчастку АЗП (16 МБ), DMA-доступ да асноўнай АЗП. Праграмы на ім выконваюцца незалежна ад цэнтральнага працэсара, прашыўка захоўваецца сумесна з кодамі BIOS або на аналагічнай флэш-памяці SPI (код мае крыптаграфічны подпіс). Часткай прашыўкі з'яўляецца ўбудаваны вэб-сервер. Па змаўчанні AMT выключаны, але частка кода ўсё ж працуе ў гэтым рэжыме нават пры выключаным AMT. Код кольца -3 актыўны нават у рэжыме сілкавання S3 Sleep.
Гэта гучыць павабна, бо бачыцца, што калі мы зможам наладзіць зваротнае падлучэнне да якой-небудзь адмінцы сіламі Intel AMT, то зможам мець доступ не горш чым у Computrace (насамрэч не).
Актывуем Intel AMT на нашай машыне
Перш, некаторым з вас напэўна хацелася б пакратаць гэты AMT сваімі рукамі, а тут і пачынаюцца нюансы. Па-першае: вам патрэбен працэсар з яго падтрымкай. З гэтым, на шчасце, праблем няма (калі ў вас не AMD), бо vPro дададзеная амаль ва ўсе працэсары Intel i5, i7 і i9 (паглядзець можна ) пачынаючы з 2006-га года, а нармальны VNC туды завезлі ўжо з 2010-га. Па-другое: калі ў вас дэсктоп, то вам патрэбна матчына плата з падтрымкай такой функцыянальнасці, а менавіта з чыпсэтам Q. У наўтбуках жа нам дастаткова ведаць толькі мадэль працэсара. Калі вы выявілі ў сябе падтрымку Intel AMT, тое гэта добры знак і вы зможаце ўжыць атрыманыя тут усталёўкі. Калі ж не, то альбо вам не павезла/вы наўмысна абралі працэсар ці чыпсэт без падтрымкі гэтай тэхналогіі, альбо вы ўдала зэканомілі, узяўшы сабе AMD, што таксама з'яўляецца падставай для радасці.
Згодна з дакументамі
У non-secure mode, AMT Intel Intel Devices listen on port 16992.
У TLS рэжыме, Intel AMT прылады знаходзяцца на парты 16993.
Intel AMT прымае да сябе канекты на партах 16992 і 16993. Туды і рушым.
Неабходна праверыць што Intel AMT уключана ў BIOS:
Далей нам трэба перазагрузіцца і націснуць падчас загрузкі Ctrl+P
Стандартны пароль, як водзіцца, адмін.
Адразу ж мяняем пароль у Intel ME General Settings. Далей у Intel AMT Configuration уключаем Activate Network Access. Гатова. Вы зараз афіцыйна пробэкдурены. Грузімся ў сістэму.
Цяпер важны нюанс: па логіцы рэчаў мы можам атрымаць доступ да Intel AMT з localhost і выдалена, але не. Intel кажа што лакальна падлучацца і мяняць наладкі можна з дапамогай , Але ў мяне яна наадрэз адмаўлялася падлучацца, так што ў мяне падлучэнне зарабіла толькі выдалена.
Бярэм якую-небудзь прыладу і падключаемся па : 16992
Выглядае гэта так:
Сардэчна запрашаем стандартны інтэрфейс Intel AMT! Чаму "стандартны"? Таму што ён падрэзаны і для нашых мэт цалкам бескарысны, а мы будзем выкарыстоўваць нешта больш сур'ёзнае.
Знаёмімся з MeshCommander
Як гэта водзіцца - вялікія кампаніі нешта робяць, а канчатковыя карыстальнікі дапрацоўваюць пад сябе. Так здарылася і тут.
Вось гэты сціплы (не перабольшанне: яго імя адсутнічае на яго ж сайце, прыйшлося трошкі) мужчына па імі Ylian Saint-Hilaire распрацаваў выдатныя прылады для працы з Intel AMT.
Адразу хачу звярнуць увагу на яго , У сваіх відэа ён проста і зразумела паказвае ў рэжыме рэальнага часу як выканаць тыя ці іншыя задачы звязаныя з Intel AMT і яго софтам.
Пачнем з . Качаем, усталёўваны і спрабуем падлучыцца да нашай машыны:
Працэс не імгненны, але ў выніку мы атрымаем вось такі экран:
Не тое, каб я параноік, але sensitive data затру, прабачыце мне такое какецтва
Розніца, як гаворыцца, у наяўнасці. Я не ведаю чаму ў панэлі кіравання Intel няма такога набору функцый, але факт ёсць факт: Ylian Saint-Hilaire бярэ ад жыцця адчувальна больш. Больш за тое, вы можаце ўсталяваць яго вэб-інтэрфейс прама ў прашыўку, ён дасць магчымасць карыстацца ўсімі функцыямі без утыліты.
Робіцца гэта так:
Павінен адзначыць, што я гэтую функцыянальнасць (Custom web interface) не выкарыстоўваў і нічога не магу сказаць пра яе эфектыўнасць і працаздольнасць, бо для маіх патрэб ён не патрабуецца.
Вы можаце пагуляцца з функцыянальнасцю, ці наўрад у вас атрымаецца ўсё сапсаваць, бо пачатковай і канчатковай адпраўной кропкай усяго гэтага фэсту з'яўляецца BIOS, у ім вы потым зможаце ўсё скінуць, адключыўшы Intel AMT.
Разгортваем MeshCentral і рэалізуем BackConnect
А вось тут пачынаецца поўная паліца башкі. Дзядзька не проста зрабіў кліент, а яшчэ і цэлую адмінку да нашага траяна! І не проста зрабіў, а .
Выкарыстоўваеце, калі вы наважылі на MeshCentral server вашага або або вы не з'яўляецеся папулярнасцю з MeshCentral, вы можаце стварыць public server на вашым сваім рызыку на MeshCentral.com.
Гэта дадатна кажа аб надзейнасці яго кода, бо мне не атрымалася знайсці ніякіх навін аб узломах і ўцечках на працягу працы сэрвісу.
Асабіста я кручу MeshCentral на сваім серверы бо неабгрунтавана лічу што гэта больш надзейна, але ў гэтым няма нічога акрамя мітусні і знямогі духу. Калі вы хочаце таксама, то ёсць дакументы, а кантэйнер з MeshCentral. У дакументах напісана як звязаць усё гэта ў NGINX, так што рэалізацыя лёгка інтэгруецца ў вашыя хатнія сервера.
Рэгіструемся на , заходзім і ствараем Device Group, выбраўшы опцыю "no agent":
Чаму "no agent"? Таму што навошта нам каб ён усталёўваў нешта лішняе, незразумела як гэта сябе паводзіць і як будзе працаваць.
Націскаем "Add CIRA":
Качаем cira_setup_test.mescript і выкарыстоўваем яго ў нашым MeshCommander вось такім чынам:
Voilà! Праз нейкі час наша машына далучыцца да MeshCentral і можна будзе што-небудзь з ёй зрабіць.
Па-першае: вам варта ведаць што проста так наш софт стукацца на выдалены сервер не будзе. Гэта звязана з тэму, што ў Intel AMT ёсць дзве опцыі для падлучэння – праз выдалены сервер і непасрэдна лакальна. Адначасова яны не працуюць. Наш скрыпт ужо наладзіў сістэму для выдаленай працы, але вам можа запатрабавацца падлучыцца лакальна. Для таго, каб вы маглі падключыцца лакальна, трэба вось тут
напісаць радок, якая з'яўляецца вашым лакальным даменам(звярніце ўвагу, што наш скрыпт туды ЎЖО ўбіў нейкі рандомны радок, каб падлучэнне ажыццявілася выдалена) ці ачысціць усе радкі зусім(але тады выдаленае падлучэнне будзе недаступна). Напрыклад, у мяне ў OpenWrt лакальны дамен гэта lan:
Адпаведна, калі мы туды ўпішам lan, і калі наша машына будзе падлучаная ў сетку з гэтым лакальным даменам, тое выдаленае падлучэнне будзе недаступна, а лакальныя парты 16992 і 16993 адкрыюцца і будуць прымаць падлучэнні. Карацей, калі там нейкая бязглуздзіца, не мелая дачыненне да вашага лакальнага дамена, то софт стукае, калі не, то вам трэба падлучацца да яго самім па провадзе, вось і ўсё.
Па-другое:
Усё гатова!
Вы спытаеце - а дзе ж тут AntiTheft? Як я сказаў першапачаткова – Intel AMT не вельмі прыстасаваны для барацьбы са злодзеямі. Адмініць офісную сетку - гэта калі ласка, а вось ваяваць з неправамерна якія завалодалі маёмасцю асобамі з дапамогай сеткі інтэрнэт - не асабліва. Разгледзім інструментар, які, у тэорыі, можа нам дапамагчы ў дужанні за прыватную ўласнасць:
- Сама па сабе адназначная наяўнасць доступу да машыны, калі яна падлучаная па кабелі, альбо, калі на ёй усталяваны Windows, то і па WiFi. Так, дзяцінства, але карыстацца такім наўтбукам звычайнаму чалавеку ўжо вельмі цяжка ўжо нават калі хтосьці проста раптам перахапляе кіраванне. Прытым, нягледзячы на ??тое, што я не змог разабрацца са скрыптамі, напэўна ёсць магчымасць мастацка выпілаваць на іх нейкую функцыянальнасць для блакіроўкі / вывядзення натыфікацыі.
- Remote Secure Erase with Intel Active Management Technology
З дапамогай гэтай опцыі можна выдаліць усю інфу з машыну за секунды. Не высветлена, ці працуе яна на SSD выдатных ад Intel. Вось можна больш падрабязна пачытаць аб гэтай функцыі. Палюбавацца на працу можна . Якасць жудаснае, затое ўсяго 10 мегабайт і сутнасць зразумелая.
Застаецца нявырашанай праблема адкладзенага выканання, іншымі словамі: трэба пільнаваць калі машына ўвойдзе ў сетку каб выканаць да яе падлучэнне. Мяркую, што гэтаму таксама ёсьць нейкае рашэньне.
У ідэальным выкананні трэба блакаваць наўтбук і выводзіць нейкі надпіс, але ў нашым выпадку мы проста маем няўхільны доступ, і як дзейнічаць далей - справа фантазіі.
Магчыма ў вас неяк атрымаецца блакаваць машыну ці хаця б выводзіць паведамленне, напішыце, калі ведаеце. Дзякуй!
Не забудзьцеся паставіць пароль на BIOS.
дзякуй карыстачу за вычытку!
Крыніца: habr.com