TL; DR
Absolute Computrace je tehnologija koja vam omogućava da zaključate automobil (i ne ), čak i ako je operativni sistem ponovo instaliran na njemu ili čak zamenjen hard disk, za 15 USD godišnje. Kupio sam laptop na eBayu koji je bio zaključan sa ovom stvari. Članak opisuje moje iskustvo, kako sam se borio sa tim i pokušao da uradim isto na Intel AMT-u, ali besplatno.
Hajde da se odmah složimo: neću provaljivati na otvorena vrata i ne pisati predavanja o ovim udaljenim stvarima, već ću ispričati malo pozadine i kako brzo dobiti daljinski pristup svojoj mašini na kolenu u bilo kojoj situaciji (ako je povezana sa mreže preko RJ-45) ili, ako je povezan preko Wi-Fi, onda samo u OS Windows. Takođe, biće moguće registrovati SSID, login i lozinku određene tačke u samom Intel AMT-u, a zatim će se pristup putem Wi-Fi mreže moći dobiti i bez dizanja sistema. Takođe, ako instalirate drajvere za Intel ME na GNU/Linux, onda bi sve ovo trebalo da funkcioniše i na njemu. Kao rezultat toga, neće biti moguće daljinski zaključati laptop i prikazati poruku (nisam mogao shvatiti da li je to uopće moguće pomoću ove tehnologije), ali će postojati pristup udaljenoj radnoj površini i Secure Erase, a ovo je glavna stvar.
Taksista je otišao sa mojim laptopom, a ja sam odlučio da kupim novi na eBayu. Šta bi moglo poći po zlu?
Od kupca do lopova - u jednom lansiranju
Donevši kući laptop iz pošte, krenuo sam sa dovršavanjem predinstalacije Windowsa 10, a nakon toga sam čak uspeo da preuzmem Firefox, kada iznenada:
Savršeno sam shvatio da niko neće modifikovati Windows distribuciju, a da jeste, onda sve ne bi izgledalo tako nespretno i generalno bi se blokiranje dogodilo brže. I, na kraju, ne bi imalo smisla bilo šta blokirati, jer bi se sve izliječilo ponovnom instalacijom. Ok, hajde da restartujemo.
Ponovo pokrenite BIOS i sada vam sve postaje malo jasnije:
I konačno, potpuno je jasno:
Kako to da me moj sopstveni laptop smeta? Šta je Computrace?
Strogo govoreći, Computrace je skup modula u vašem EFI BIOS-u koji, nakon učitavanja OS Windows-a, u njega ubacuje svoje trojance, kucajući na udaljeni server Absolute softvera i omogućavajući, ako je potrebno, da blokiraju sistem preko Interneta. Više detalja možete pročitati ovdje . Computrace ne radi sa operativnim sistemima koji nisu Windows. Štaviše, ako povežemo disk sa Windows šifrovanim BitLockerom ili bilo kojim drugim softverom, Computrace neće ponovo raditi - moduli jednostavno neće moći da ubace svoje datoteke u naš sistem.
Iz daljine takve tehnologije mogu izgledati kosmičke, ali samo dok ne saznamo da se sve to radi na izvornom UEFI-ju koristeći jedan i po sumnjiv modul.
Čini se da je ova stvar hladna i svemoćna dok ne pokušamo, na primjer, da pokrenemo GNU/Linux:
Ovaj laptop trenutno ima omogućeno Computrace zaključavanje.
Kako kažu
Što da radim?
Postoje četiri očigledna vektora za rješavanje problema:
- Pišite prodavcu na eBayu
- Pišite softveru Absolute, kreatoru i vlasniku Computracea
- Napravite dump od BIOS čipa, pošaljite ga mračnim tipovima tako da oni pošalju nazad dump sa zakrpom koja deaktivira sva zaključavanja i menije ID uređaja
- Zovi Lazarda
Pogledajmo ih redom:
- Mi, kao i svi razumni ljudi, prvo pišemo prodavcu koji nam je prodao takav proizvod i razgovaramo o problemu sa onim koji je prvenstveno odgovoran za to.
Napravljeno:
- Prema savjetniku otkrivenom u dubinama interneta,
Morate kontaktirati apsolutni softver. Oni će tražiti serijski broj mašine i serijski broj matične ploče. Također ćete morati dostaviti „dokaz o kupovini“, kao što je račun. Oni će kontaktirati vlasnika kojeg imaju u dosijeu i dobiti u redu da ga uklone. Pod pretpostavkom da nije ukraden, oni će ga onda "označiti za brisanje". Nakon toga, sljedeći put kada se povežete na internet ili imate otvorenu internetsku vezu, dogodit će se čudo i nestat će. Pošaljite stvari koje sam spomenuo [email zaštićen].
možemo direktno pisati Absoluteu i direktno komunicirati s njima o otključavanju. Uzeo sam svoje vreme i odlučio da pribegnem ovom rešenju tek pred kraj.
- Na sreću, brutalno rješenje problema je već bilo prisutno. Ove i mnogi drugi stručnjaci za kompjutersku podršku na istom eBayu, pa čak i Indijci na Facebooku obećavaju nam da ćemo otključati BIOS ako im pošaljemo dump i pričekamo nekoliko minuta.
Proces otključavanja je opisan na sljedeći način:
Rešenje za otključavanje je konačno dostupno i zahteva SPEG programer da može da flešuje BIOS.
Proces je:
- Čitanje BIOS-a i kreiranje važećeg dump-a. U Thinkpad-u, BIOS je povezan sa internim TPM čipom i sadrži njegov jedinstveni potpis, tako da je važno da originalni BIOS bude ispravno očitan za uspeh cele operacije i da se BIOS naknadno vrati.
- Zakrpa binarnih datoteka BIOS-a i ubacivanje all smallservice.ro UEFI programa. Ovaj program će pročitati sigurni eeprom, resetirati TPM certifikat i lozinku, napisati sigurni eeprom i rekonstruirati sve podatke.
- Napišite zakrpljeni BIOS dump (ovo će funkcionirati samo u tom TP-u, btw), pokrenite laptop i generirajte ID hardvera. Poslat ćemo vam jedinstveni ključ koji će aktivirati Allservice BIOS, dok se BIOS učitava izvršit će rutinu otključavanja i otključati SVP i TPM.
- Na kraju, zapišite originalni BIOS damp za normalne operacije i uživajte u laptopu.
Također možemo onemogućiti Computrace ili promijeniti SN/UUID i resetirati grešku kontrolne sume RFID koristeći naš UEFI program na isti način, ako je potrebno
Cijena usluge otključavanja je po mašini (kao što radimo za Macbook/iMac, HP, Acer, itd.) Za cijenu usluge i dostupnost pročitajte sljedeći post ispod. Možete kontaktirati [email zaštićen] za bilo kakav upit.
Izgleda legitimno! Ali i ovo je, iz očiglednih razloga, opcija za najočajniju situaciju, a osim toga, sva zabava košta 80 dolara. Ostavljamo za kasnije.
- Ako mi je Lazard sve pokvario i traži da te pozovem, onda ne bi trebalo da odbiješ! Hajdemo na posao.
Lazard nazivamo „vodećim svetskim finansijskim savetnicima i firmom za upravljanje imovinom, savetuje o spajanjima, akvizicijama, restrukturiranju, strukturi kapitala i strategiji”
Dok se javlja prodavac sa eBaya, ja bacim par dolara na zadarmu i radujem se komunikaciji sa možda najbezdušnijim sagovornikom na planeti - podrškom ogromne finansijske korporacije iz Njujorka. Devojka brzo digne slušalicu, sluša na mom drugarskom engleskom stidljiva objašnjenja kako sam kupio ovaj laptop, zapisuje njegov serijski broj i obećava da će ga dati adminima, koji će mi se javiti. Ovaj proces se ponavlja tačno dva puta u razmaku od jednog dana. Treći put sam namjerno čekao 10 sati uveče u New Yorku i nazvao, brzo čitajući poznatu pastu o mojoj kupovini. Dva sata kasnije ista žena me nazvala i počela da čita uputstva:
— Kliknite na escape.
Kliknem ali ništa se ne dešava.
— Nešto ne funkcioniše, ništa se ne menja.
- Pritisnite.
- Pritiskam.
— Sada unesite: 72406917
Ulazim. Ništa se ne događa.
- Znaš, bojim se da ovo neće pomoći... Samo trenutak...
Laptop se iznenada ponovo pokreće, sistem se pokreće, dosadni bijeli ekran je nestao negdje. Da budem siguran, ulazim u BIOS, Computrace nije aktiviran. Izgleda da je to to. Hvala na podršci, pišem prodavcu da sam sve probleme sam riješio i opusti se.
OpenMakeshift Computrace zasnovan na Intel AMT-u
Ono što se desilo me je obeshrabrilo, ali ideja mi se dopala, moj fantomski bol zbog osrednje izgubljenog tražio je neki izlaz, želeo sam da zaštitim svoj novi laptop, kao da će mi vratiti stari. Ako neko koristi Computrace, onda ga i ja mogu koristiti, zar ne? Uostalom, postojao je Intel Anti-Theft, prema opisu - odlična tehnologija koja radi kako treba, ali ju je ubila inercija tržišta, ali mora postojati alternativa. Ispostavilo se da je ova alternativa počela na istom mestu gde je i završila – samo je apsolutni softver uspeo da stekne uporište u ovoj oblasti.
Prvo, prisjetimo se šta je Intel AMT: ovo je skup biblioteka koji je dio Intel ME, ugrađen u EFI BIOS, tako da administrator u nekoj kancelariji može, bez ustajanja iz stolice, upravljati mašinama na mreži, čak i ako se ne pokrenu, daljinsko povezivanje ISO-a, upravljanje preko udaljene radne površine, itd.
Sve ovo radi na Minix-u i otprilike na ovom nivou:
Invisible Things Lab je predložio da se funkcionalnost Intel vPro / Intel AMT tehnologije nazove zaštitnim prstenom -3. Kao dio ove tehnologije, skupovi čipova koji podržavaju vPro tehnologiju sadrže nezavisan mikroprocesor (ARC4 arhitektura), imaju zasebno sučelje za mrežnu karticu, ekskluzivni pristup namjenskom dijelu RAM-a (16 MB) i DMA pristup glavnoj RAM-u. Programi na njemu se izvršavaju nezavisno od centralnog procesora, firmver se pohranjuje zajedno sa BIOS kodovima ili na sličnoj SPI fleš memoriji (kod ima kriptografski potpis). Dio firmvera je ugrađeni web server. Podrazumevano, AMT je onemogućen, ali neki kod i dalje radi u ovom režimu čak i kada je AMT onemogućen. Kod zvona -3 je aktivan čak iu S3 režimu mirovanja.
Ovo zvuči primamljivo, jer se čini da ako možemo uspostaviti obrnutu vezu sa nekim admin panelom koristeći Intel AMT, moći ćemo imati pristup ništa lošiji od Computrace-a (u stvari, ne).
Aktiviramo Intel AMT na našoj mašini
Prvo, neki od vas bi vjerovatno željeli vlastitim rukama dodirnuti ovaj AMT, a ovdje počinju nijanse. Prvo: potreban vam je procesor koji to podržava. Srećom, s tim nema problema (osim ako nemate AMD), jer je vPro dodat u skoro sve Intel i5, i7 i i9 procesore (možete vidjeti ) od 2006. godine, a normalan VNC je tamo doveden već 2010. godine. Drugo: ako imate desktop, onda vam je potrebna matična ploča koja podržava ovu funkcionalnost, naime sa Q čipsetom. Ako nađete podršku za Intel AMT, onda je to dobar znak i moći ćete primijeniti postavke dobivene ovdje. Ako niste, onda ili niste imali sreće/namjerno ste odabrali procesor ili čipset bez podrške za ovu tehnologiju, ili ste uspješno uštedjeli novac odabirom AMD-a, što je također razlog za radost.
Prema dokumentima
U nebezbednom režimu, Intel AMT uređaji slušaju na portu 16992.
U TLS modu, Intel AMT uređaji slušaju na portu 16993.
Intel AMT prihvata veze na portovima 16992 i 16993. Idemo tamo.
Morate provjeriti da li je Intel AMT omogućen u BIOS-u:
Zatim moramo ponovo pokrenuti i pritisnuti Ctrl + P tokom učitavanja
Standardna lozinka, kao i obično, admin.
Odmah promijenite lozinku u Intel ME General Settings. Zatim, u Intel AMT konfiguraciji, omogućite Aktiviraj pristup mreži. Spreman. Sada ste zvanično zaštićeni. Učitavamo se u sistem.
Sada važna nijansa: logično, možemo pristupiti Intel AMT-u sa lokalnog hosta i daljinski, ali ne. Intel kaže da se možete povezati lokalno i promijeniti postavke koristeći , ali kod mene je glatko odbio da se poveže, tako da je moja veza radila samo na daljinu.
Uzimamo neki uređaj i povezujemo se putem : 16992
To izgleda ovako:
Dobrodošli u standardni Intel AMT interfejs! Zašto "standardni"? Zato što je skraćeno i potpuno beskorisno za naše potrebe, a mi ćemo koristiti nešto ozbiljnije.
Upoznavanje sa MeshCommander-om
Kao i obično, velike kompanije nešto rade, a krajnji korisnici to modifikuju kako bi sebi odgovarali. To se dogodilo i ovdje.
Ovaj skromni (bez pretjerivanja: njegovog imena nema na njegovoj web stranici, morao sam ga proguglati) čovjek po imenu Ylian Saint-Hilaire razvio je divne alate za rad sa Intel AMT-om.
Želeo bih da vam odmah skrenem pažnju na njega , u svojim video zapisima jednostavno i jasno pokazuje u realnom vremenu kako se obavljaju određeni poslovi vezani za Intel AMT i njegov softver.
Počnimo odavde . Preuzmite, instalirajte i pokušajte se povezati na našu mašinu:
Proces nije trenutan, ali kao rezultat ćemo dobiti ovaj ekran:
Nije da sam paranoičan, ali ću obrisati osetljive podatke, oprostite mi na takvoj koketnosti
Razlika je, kako kažu, očigledna. Ne znam zašto Intel Control Panel nema takav skup funkcija, ali činjenica je da Ylian Saint-Hilaire dobija znatno više od života. Štaviše, možete instalirati njegovo web sučelje direktno u firmver, što će vam omogućiti da koristite sve funkcije bez pomoćnog programa.
Ovo se radi ovako:
Napominjem da nisam koristio ovu funkcionalnost (Custom web interface) i ne mogu ništa reći o njenoj efikasnosti i performansama, jer nije potrebna za moje potrebe.
Možete se poigrati sa funkcionalnošću, teško da ćete sve pokvariti, jer je početna i konačna polazna tačka čitavog ovog festivala BIOS, u kojem onda sve možete resetovati tako što ćete onemogućiti Intel AMT.
Postavite MeshCentral i implementirajte BackConnect
I tu počinje potpuni pad glave. Moj ujak nije napravio samo klijenta, već i cijeli admin panel za našeg Trojanca! I ne samo da je to uradio, nego .
Započnite tako što ćete instalirati vlastiti MeshCentral server ili ako niste upoznati sa MeshCentral-om, možete isprobati javni server na vlastitu odgovornost na MeshCentral.com.
Ovo pozitivno govori o pouzdanosti njegovog koda, jer nisam mogao pronaći nikakve vijesti o hakovima ili curenjima tokom rada servisa.
Lično, na svom serveru pokrećem MeshCentral jer neopravdano vjerujem da je pouzdaniji, ali u njemu nema ničega osim taštine i klonulosti duha. Ako i ti želiš, onda postoje dokumenti i kontejner sa MeshCentral-om. Dokumenti opisuju kako sve to povezati u NGINX, tako da će se implementacija lako integrirati u vaše kućne servere.
Registrujte se , uđite i kreirajte grupu uređaja odabirom opcije “bez agenta”:
Zašto "bez agenta"? Jer zašto nam treba da instaliramo nešto nepotrebno, nije jasno kako se ponaša i kako će raditi.
Kliknite "Dodaj CIRA":
Preuzmite cira_setup_test.mescript i koristite ga u našem MeshCommanderu na ovaj način:
Voila! Nakon nekog vremena, naša mašina će se spojiti na MeshCentral i možemo nešto učiniti s njom.
Prvo: treba da znate da naš softver neće samo tako kucati na udaljeni server. To je zbog činjenice da Intel AMT ima dvije opcije za povezivanje - preko udaljenog servera i direktno lokalno. Ne rade u isto vrijeme. Naša skripta je već konfigurisala sistem za daljinski rad, ali možda ćete morati da se povežete lokalno. Da biste se mogli lokalno povezati, morate otići ovdje
napišite liniju koja je vaša lokalna domena (imajte na umu da je naša skripta VEĆ ubacila neki slučajni red tamo kako bi se veza mogla uspostaviti na daljinu) ili potpuno obrišite sve linije (ali tada udaljena veza neće biti dostupna). Na primjer, moja lokalna domena u OpenWrt-u je lan:
Shodno tome, ako tamo unesemo lan i ako je naša mašina povezana na mrežu sa ovom lokalnom domenom, tada udaljena veza neće biti dostupna, ali će se lokalni portovi 16992 i 16993 otvoriti i prihvatiti veze. Ukratko, ako postoji neka glupost koja nije vezana za vašu lokalnu domenu, onda softver bugira, ako ne, onda se morate sami povezati na njega preko žice, to je sve.
Drugo:
Sve je spremno!
Možete pitati - gdje je AntiTheft? Kao što sam na početku rekao, Intel AMT nije baš pogodan za borbu protiv lopova. Upravljanje kancelarijskom mrežom je dobrodošlo, ali tuča sa pojedincima koji su nezakonito zauzeli imovinu putem interneta nije toliko posebna. Pogledajmo alat koji nam, teoretski, može pomoći u borbi za privatno vlasništvo:
- Samo po sebi, jasno je da imate pristup mašini ako je povezana kablom, ili, ako je na njoj instaliran Windows, onda preko WiFi mreže. Da, djetinjasto je, ali običnom čovjeku je već jako teško koristiti takav laptop, čak i ako neko iznenada preuzme kontrolu. Štaviše, unatoč činjenici da nisam mogao shvatiti skripte, svakako je moguće umjetnički dizajnirati neke funkcionalnosti za blokiranje/prikaz obavijesti na njima.
- Daljinsko sigurno brisanje sa Intel Active Management tehnologijom
Koristeći ovu opciju, možete izbrisati sve informacije sa uređaja za nekoliko sekundi. Nije jasno da li radi na SSD-ovima koji nisu Intel. Evo Možete pročitati više o ovoj funkciji. Možete se diviti radu . Kvalitet je užasan, ali samo 10 megabajta i suština je jasna.
Problem odgođenog izvršenja ostaje neriješen, drugim riječima: morate gledati kada mašina ulazi u mrežu da biste se povezali s njom. Vjerujem da i za ovo postoji neko rješenje.
U idealnoj implementaciji trebate blokirati laptop i prikazati neku vrstu natpisa, ali u našem slučaju jednostavno imamo neizbježan pristup, a šta dalje je stvar mašte.
Možda ćete nekako uspjeti blokirati auto ili barem prikazati poruku, napišite ako znate. Hvala ti!
Ne zaboravite postaviti lozinku za BIOS.
Hvala korisniku za lekturu!
izvor: www.habr.com