TL; DR
Absolute Computrace és una tecnologia que permet tancar el cotxe (i no ), fins i tot si el sistema operatiu s'hi va tornar a instal·lar o fins i tot es va substituir el disc dur, per 15 dòlars anuals. Vaig comprar un ordinador portàtil a eBay que estava bloquejat amb aquesta cosa. L'article descriu la meva experiència, com vaig lluitar amb ella i vaig intentar fer el mateix a Intel AMT, però de manera gratuïta.
Estem d'acord immediatament: no estic entrant a les portes obertes i no estic escrivint una conferència sobre aquestes coses remotes, sinó explicant una mica de fons i com obtenir ràpidament accés remot a la vostra màquina al genoll en qualsevol situació (si està connectada a la xarxa mitjançant RJ-45) o, si està connectat mitjançant Wi-Fi, només al sistema operatiu Windows. A més, serà possible registrar el SSID, l'inici de sessió i la contrasenya d'un punt concret en el mateix Intel AMT, i després també es podrà obtenir accés mitjançant Wi-Fi sense arrencar el sistema. I també, si instal·leu controladors per a Intel ME a GNU/Linux, tot això també hauria de funcionar. Com a resultat, no serà possible bloquejar un ordinador portàtil de manera remota i mostrar un missatge (no he pogut esbrinar si això és possible amb aquesta tecnologia), però hi haurà accés a un escriptori remot i Esborrat segur, i això és el principal.
El taxista va marxar amb el meu ordinador portàtil i vaig decidir comprar-ne un de nou a eBay. Què podria sortir malament?
De comprador a lladres: en un sol llançament
Després d'haver portat a casa un ordinador portàtil des de l'oficina de correus, em vaig posar a completar la preinstal·lació de Windows 10 i, després d'això, fins i tot vaig aconseguir descarregar Firefox, quan de sobte:
Vaig entendre perfectament que ningú modificaria la distribució de Windows, i si ho fessin, aleshores tot no semblaria tan maldestre i, en general, el bloqueig hauria passat més ràpid. I, al final, no tindria sentit bloquejar res, ja que tot es curaria reinstal·lant-lo. D'acord, reiniciem.
Reinicieu a la BIOS i ara tot queda una mica més clar:
I finalment, queda completament clar:
Com és que el meu propi ordinador portàtil em molesta? Què és Computrace?
En sentit estricte, Computrace és un conjunt de mòduls de la vostra BIOS EFI que, després de carregar el sistema operatiu Windows, hi insereixen els seus troians, trucant al servidor de programari Absolute remot i permetent, si cal, bloquejar el sistema a través d'Internet. Podeu llegir més detalls aquí . Computrace no funciona amb sistemes operatius diferents de Windows. A més, si connectem una unitat amb Windows xifrat per BitLocker o qualsevol altre programari, Computrace no tornarà a funcionar; els mòduls simplement no podran llançar els seus fitxers al nostre sistema.
Des de la distància, aquestes tecnologies poden semblar còsmiques, però només fins que descobrim que tot això es fa amb UEFI natiu utilitzant un mòdul i mig dubtós.
Sembla que aquesta cosa és freda i totpoderosa fins que intentem, per exemple, arrencar a GNU/Linux:
Aquest ordinador portàtil té activat el bloqueig de Computrace ara mateix.
Com diu la dita,
Què fer?
Hi ha quatre vectors evidents per resoldre el problema:
- Escriu al venedor a eBay
- Escriu al programari Absolute, creador i propietari de Computrace
- Feu un abocador des del xip de la BIOS, envieu-lo a tipus ombrívols perquè enviïn un abocador amb un pedaç que desactiva tots els bloquejos i menús l'identificador del dispositiu
- Truqueu a Lazard
Vegem-los per ordre:
- Nosaltres, com totes les persones raonables, primer escrivim al venedor que ens va vendre aquest producte i discutim el problema amb el principal responsable.
Fet:
- Segons un assessor descobert a les profunditats d'Internet,
Heu de contactar amb el programari absolut. Voldran el número de sèrie de la màquina i el número de sèrie de la placa base. També haureu de proporcionar un "prova de compra", com ara un rebut. Es posaran en contacte amb el propietari que tenen al fitxer i obtindran l'autorització per eliminar-lo. Suposant que no és robat, llavors el "marcaran per eliminar-lo". Després d'això, la propera vegada que us connecteu a Internet o tingueu una connexió a Internet oberta, es produirà un miracle i desapareixerà. Envieu les coses a què he esmentat [protegit per correu electrònic].
podem escriure directament a Absolute i comunicar-nos directament amb ells sobre el desbloqueig. Vaig prendre el meu temps i vaig decidir recórrer a aquesta solució només cap al final.
- Afortunadament, ja hi havia una solució brutal al problema. Aquests i molts altres especialistes en suport informàtic al mateix eBay i fins i tot els indis a Facebook ens prometen desbloquejar la nostra BIOS si els enviem un abocador i esperem un parell de minuts.
El procés de desbloqueig es descriu de la següent manera:
La solució de desbloqueig està finalment disponible i requereix que el programador SPEG pugui flashejar la BIOS.
El procés és:
- Llegint la BIOS i creeu un bolcat vàlid. En un Thinkpad, la BIOS està casada amb el xip TPM intern i conté una signatura única d'aquest, per la qual cosa és important que la BIOS original sigui una lectura correcta per a l'èxit de tota l'operació i per restaurar la BIOS després.
- Apliqueu els binaris de la BIOS i injecteu un programa UEFI all smallservice.ro. Aquest programa llegirà l'eeprom segur, restablirà el certificat i la contrasenya del TPM, escriurà l'eeprom segur i reconstruirà totes les dades.
- Escriviu l'abocament de la BIOS pegat (això només funcionarà en aquest TP per cert), inicieu l'ordinador portàtil i genereu un ID de maquinari. T'enviarem una clau única que activarà la BIOS Allservice, mentre que la BIOS es carrega, executarà la rutina de desbloqueig i desbloquejarà l'SVP i el TPM.
- Finalment, torneu a escriure l'original de la BIOS per a les operacions normals i gaudiu de l'ordinador portàtil.
També podem desactivar Computrace o canviar el SN/UUID i restablir l'error de suma de comprovació RFID utilitzant el nostre programa UEFI de la mateixa manera, si cal
El preu del servei de desbloqueig és per màquina (com ho fem amb el Macbook/iMac, HP, Acer, etc.) Per conèixer el preu i la disponibilitat del servei, llegiu la següent publicació a continuació. Podeu contactar [protegit per correu electrònic] per a qualsevol consulta.
Sembla de fiar! Però això també, per raons òbvies, és una opció per a la situació més desesperada i, a més, tota la diversió costa 80 dòlars. Ho deixem per més endavant.
- Si Lazard m'ha trencat tot i em demana que et torni a trucar, no t'has de negar! Anem a treballar.
Anomenem Lazard, també conegut com "l'empresa líder mundial d'assessorament financer i gestió d'actius, assessora en fusions, adquisicions, reestructuracions, estructura de capital i estratègia".
Mentre el venedor d'eBay respon, dono uns quants dòlars a zadarma i espero comunicar-me amb potser l'interlocutor més sense ànima del planeta: el suport d'una gran corporació financera de Nova York. La noia ràpidament agafa el telèfon, escolta en el meu company anglès explicacions tímides de com vaig comprar aquest ordinador portàtil, anota el seu número de sèrie i es compromet a donar-lo als administradors, que em tornaran a trucar. Aquest procés es repeteix exactament dues vegades, amb un dia de diferència. La tercera vegada, vaig esperar deliberadament fins que eren les 10 del vespre a Nova York i vaig trucar, llegint ràpidament la pasta familiar sobre la meva compra. Dues hores més tard, la mateixa dona em va trucar i va començar a llegir instruccions:
— Feu clic a Escapada.
Faig clic però no passa res.
—Alguna cosa no funciona, no canvia res.
- Premeu.
-Prem.
— Ara introduïu: 72406917
Estic entrant. No passa res.
- Ja saps, em temo que això no ajudarà... Només un minut...
El portàtil es reinicia de sobte, el sistema arrenca, la molesta pantalla blanca ha desaparegut en algun lloc. Per estar segur, entro a la BIOS, Computrace no està activat. Això és tot, sembla. Gràcies pel vostre suport, escric al venedor que vaig resoldre tots els problemes jo mateix i em relaxo.
OpenMakeshift Computrace basat en Intel AMT
El que va passar em va descoratjar, però em va agradar la idea, el meu dolor fantasmal pel que s'havia perdut mediocrement buscava alguna sortida, volia protegir el meu nou ordinador portàtil, com si em tornés l'antic. Si algú fa servir Computrace, jo també el puc utilitzar, oi? Al cap i a la fi, hi havia Intel Anti-Theft, segons la descripció: una tecnologia excel·lent que funciona com hauria de ser, però que la va matar per la inèrcia del mercat, però hi ha d'haver una alternativa. Va resultar que aquesta alternativa va començar al mateix lloc on va acabar: només el programari Absolute va poder assentar-se en aquest camp.
En primer lloc, recordem què és Intel AMT: es tracta d'un conjunt de biblioteques que formen part d'Intel ME, integrades a la BIOS EFI, perquè un administrador d'alguna oficina pugui, sense aixecar-se de la cadira, operar màquines a la xarxa, fins i tot si no arrenquen, connectant ISO de manera remota, controlant mitjançant escriptori remot, etc.
Tot això funciona amb Minix i aproximadament a aquest nivell:
Invisible Things Lab va proposar anomenar la funcionalitat de la tecnologia Intel vPro / Intel AMT un anell de protecció -3. Com a part d'aquesta tecnologia, els chipsets que admeten la tecnologia vPro contenen un microprocessador independent (arquitectura ARC4), tenen una interfície separada per a la targeta de xarxa, accés exclusiu a una secció dedicada de RAM (16 MB) i accés DMA a la RAM principal. Els programes s'executen independentment del processador central; el firmware s'emmagatzema juntament amb els codis de la BIOS o en una memòria flash SPI similar (el codi té una signatura criptogràfica). Una part del firmware és un servidor web integrat. Per defecte, l'AMT està desactivat, però alguns codis encara s'executen en aquest mode fins i tot quan l'AMT està desactivat. El codi de trucada -3 està actiu fins i tot en el mode d'alimentació de repòs S3.
Això sembla temptador, perquè sembla que si podem establir una connexió inversa a algun panell d'administració mitjançant Intel AMT, podrem tenir accés no pitjor que Computrace (de fet, no).
Activem Intel AMT a la nostra màquina
En primer lloc, alguns de vosaltres probablement voldríeu tocar aquest AMT amb les vostres pròpies mans, i aquí comencen els matisos. Primer: necessiteu un processador que el suporti. Afortunadament, no hi ha problemes amb això (tret que tingueu AMD), perquè vPro s'afegeix a gairebé tots els processadors Intel i5, i7 i i9 (podeu veure ) des del 2006, i el VNC normal ja es va portar allà el 2010. En segon lloc: si teniu un escriptori, necessiteu una placa base que admeti aquesta funcionalitat, és a dir, amb el chipset Q En els ordinadors portàtils, només necessitem conèixer el model de processador. Si trobeu suport per a Intel AMT, això és un bon senyal i podreu aplicar la configuració rebuda aquí. Si no, vau tenir mala sort/vau triar deliberadament un processador o un conjunt de xips sense suport per a aquesta tecnologia, o heu estalviat diners amb èxit escollint AMD, que també és un motiu d'alegria.
Segons els documents
En mode no segur, els dispositius Intel AMT escolten al port 16992.
En mode TLS, els dispositius Intel AMT escolten al port 16993.
Intel AMT accepta connexions als ports 16992 i 16993. Anem-hi.
Heu de comprovar que Intel AMT està habilitat a la BIOS:
A continuació, hem de reiniciar i prémer Ctrl + P mentre es carrega
La contrasenya estàndard, com és habitual, admin.
Canvieu immediatament la contrasenya a la configuració general d'Intel ME. A continuació, a la configuració d'Intel AMT, activeu Activa l'accés a la xarxa. A punt. Ara estàs oficialment a la porta enrere. Estem carregant al sistema.
Ara un matís important: lògicament, podem accedir a Intel AMT des de localhost i de forma remota, però no. Intel diu que us podeu connectar localment i canviar la configuració , però per a mi es va negar rotundament a connectar-me, de manera que la meva connexió només funcionava de manera remota.
Agafem algun dispositiu i ens connectem mitjançant : 16992
Es veu així:
Benvingut a la interfície estàndard Intel AMT! Per què "estàndard"? Perquè està truncat i completament inútil per als nostres propòsits, i farem servir quelcom més seriós.
Coneixement de MeshCommander
Com és habitual, les grans empreses fan alguna cosa i els usuaris finals ho modifiquen per adaptar-se a ells mateixos. Això també va passar aquí.
Aquest modest (sense exageració: el seu nom no apareix al seu lloc web, vaig haver de buscar-lo a Google) home anomenat Ylian Saint-Hilaire ha desenvolupat meravelloses eines per treballar amb Intel AMT.
M'agradaria cridar la vostra atenció immediatament sobre ell , als seus vídeos mostra de manera senzilla i clara en temps real com realitzar determinades tasques relacionades amb Intel AMT i el seu programari.
Comencem . Baixeu, instal·leu i intenteu connectar-vos a la nostra màquina:
El procés no és instantani, però com a resultat obtindrem aquesta pantalla:
No és que sigui paranoic, però esborraré dades sensibles, perdoneu-me aquesta coqueteria
La diferència, com diuen, és evident. No sé per què el tauler de control d'Intel no té aquest conjunt de funcions, però el fet és que Ylian Saint-Hilaire treu molt més de la vida. A més, podeu instal·lar la seva interfície web directament al firmware, us permetrà utilitzar totes les funcions sense utilitat.
Això es fa així:
He de tenir en compte que no he utilitzat aquesta funcionalitat (interfície web personalitzada) i no puc dir res sobre la seva eficàcia i rendiment, ja que no és necessària per a les meves necessitats.
Podeu jugar amb la funcionalitat, és poc probable que ho arruïneu tot, perquè el punt de partida i final de tot aquest festival és la BIOS, en la qual després podeu restablir-ho tot desactivant Intel AMT.
Desplegueu MeshCentral i implementeu BackConnect
I aquí comença la caiguda completa del cap. El meu oncle no només va fer un client, sinó també tot un panell d'administració per al nostre troià! I no només ho va fer, sinó .
Comenceu instal·lant un servidor MeshCentral propi o si no esteu familiaritzat amb MeshCentral, podeu provar el servidor públic sota el vostre propi risc a MeshCentral.com.
Això parla positivament de la fiabilitat del seu codi, ja que no he trobat cap notícia sobre hacks o filtracions durant el funcionament del servei.
Personalment, executo MeshCentral al meu servidor perquè crec sense raó que és més fiable, però no hi ha res més que vanitat i languidència d'esperit. Si tu també vols, doncs hi ha documents i contenidor amb MeshCentral. Els documents descriuen com lligar-ho tot a NGINX, de manera que la implementació s'integrarà fàcilment als servidors domèstics.
Registra't a , entreu i creeu un grup de dispositius seleccionant l'opció "sense agent":
Per què "cap agent"? Perquè per què el necessitem per instal·lar alguna cosa innecessària, no està clar com es comporta i com funcionarà.
Feu clic a "Afegeix CIRA":
Baixeu cira_setup_test.mescript i utilitzeu-lo al nostre MeshCommander així:
Voila! Després d'un temps, la nostra màquina es connectarà a MeshCentral i podem fer-hi alguna cosa.
En primer lloc: heu de saber que el nostre programari no trucarà a un servidor remot així. Això es deu al fet que Intel AMT té dues opcions per connectar-se: mitjançant un servidor remot i directament localment. No funcionen al mateix temps. El nostre script ja ha configurat el sistema per al treball remot, però és possible que hàgiu de connectar-vos localment. Per connectar-vos localment, heu d'anar aquí
escriviu una línia que sigui el vostre domini local (tingueu en compte que el nostre script JA hi ha inserit alguna línia aleatòria perquè la connexió es pugui fer de forma remota) o esborra totes les línies (però aleshores la connexió remota no estarà disponible). Per exemple, el meu domini local a OpenWrt és lan:
En conseqüència, si hi introduïm lan i si la nostra màquina està connectada a una xarxa amb aquest domini local, la connexió remota no estarà disponible, però els ports locals 16992 i 16993 s'obriran i acceptaran connexions. En resum, si hi ha algun tipus de disbarat que no està relacionat amb el vostre domini local, el programari està fallant, si no, heu de connectar-vos-hi vosaltres mateixos mitjançant un cable, això és tot.
En segon lloc:
Tot a punt!
Podeu preguntar-vos: on és AntiTheft? Com he dit al principi, Intel AMT no és gaire adequat per lluitar contra lladres. L'administració d'una xarxa d'oficines és benvinguda, però barallar-se amb persones que s'han apoderat il·legalment d'una propietat a través d'Internet no és tan especial. Considerem un conjunt d'eines que, en teoria, ens pot ajudar en la lluita per la propietat privada:
- En si mateix, està clar que tens accés a la màquina si està connectada per cable o, si hi ha instal·lat Windows, llavors mitjançant WiFi. Sí, és infantil, però ja és molt difícil per a una persona normal utilitzar un ordinador portàtil, fins i tot si algú pren el control de sobte. A més, malgrat que no he pogut esbrinar els scripts, sens dubte és possible dissenyar artísticament alguna funcionalitat per bloquejar/visualitzar notificacions sobre ells.
- Esborrat segur remot amb la tecnologia Intel Active Management
Amb aquesta opció, podeu esborrar tota la informació de la màquina en qüestió de segons. No està clar si funciona en SSD que no siguin Intel. Aquí Podeu llegir més informació sobre aquesta funció. Podeu admirar l'obra . La qualitat és terrible, però només 10 megabytes i l'essència és clara.
El problema de l'execució ajornada continua sense resoldre, és a dir: cal vigilar quan la màquina entra a la xarxa per connectar-s'hi. Crec que també hi ha alguna solució a això.
En una implementació ideal, cal bloquejar l'ordinador portàtil i mostrar algun tipus d'inscripció, però en el nostre cas simplement tenim un accés inevitable, i què fer després és qüestió d'imaginació.
Potser d'alguna manera podreu bloquejar el cotxe o almenys mostrar un missatge, escriviu si ho sabeu. Gràcies!
No us oblideu d'establir una contrasenya per a la BIOS.
Gràcies a l'usuari per corregir!
Font: www.habr.com