Cumu compru un laptop chjusu in eBay è pruvatu à fà u mo propiu AntiTheft basatu in IntelAMT

TL; DR

Absolute Computrace hè una tecnulugia chì vi permette di chjude a vostra vittura (è micca solu), ancu s'è u sistema operatore hè statu reinstallatu nantu à questu o ancu u discu duru hè statu rimpiazzatu, per $ 15 annu. Aghju compru un laptop in eBay chì era chjusu cù questa cosa. L'articulu descrive a mo spirienza, cumu luttò cun ella è pruvatu à fà u listessu nantu à Intel AMT, ma per liberu.

Accettamu subitu: ùn sò micca sfondate e porte aperte è ùn scrive micca una lezione nantu à queste cose remote, ma dicendu un pocu sfondate è cumu per uttene rapidamente accessu remotu à a vostra macchina nantu à u ghjinochju in ogni situazione (se hè cunnessu à u rete via RJ-45) o, se hè cunnessu via Wi-Fi, allora solu in OS Windows. Inoltre, serà pussibule di registrà u SSID, u login è a password di un puntu specificu in Intel AMT stessu, è dopu l'accessu via Wi-Fi pò ancu esse acquistatu senza avvià in u sistema. È ancu, se installate i drivers per Intel ME in GNU/Linux, allora tuttu questu duverebbe travaglià ancu. In u risultatu, ùn serà micca pussibule di chjude remotamente un laptop è affissà un missaghju (ùn puderia micca capisce s'ellu hè ancu pussibule cù sta tecnulugia), ma ci sarà accessu à un desktop remoto è Secure Erase, è questu. hè a cosa principale.

U tassista partì cù u mo laptop è decisu di cumprà un novu in eBay. Chì puderia sbaglià?

Da u cumpratore à i ladri - in un lanciu

Dopu avè purtatu in casa un laptop da l'uffiziu postale, aghju cuminciatu à compie a preinstallazione di Windows 10, è dopu avè ancu riesciutu à scaricà Firefox, quandu di colpu:

Aghju capitu bè chì nimu hà da mudificà a distribuzione di Windows, è s'ellu l'avianu fattu, allora tuttu ùn pare micca cusì goffo è in generale u bloccu hè accadutu più veloce. È, à a fine, ùn ci saria nunda di bluccà qualcosa, postu chì tuttu saria guaritu da reinstallà. Va bè, riavviamu.

Reboot in u BIOS, è avà tuttu diventa un pocu più chjaru:

È infine, hè cumplettamente chjaru:

Cumu hè chì u mo propiu laptop mi disturba? Cosa hè Computrace?

Strictly speaking, Computrace hè un inseme di moduli in u vostru EFI BIOS chì, dopu avè caricatu OS Windows, inserisce i so Troiani in questu, chjappà in u servitore di u software Absolute remoto è permette, se ne necessariu, di bluccà u sistema nantu à Internet. Pudete leghje più dettagli quì ccà. Computrace ùn funziona micca cù sistemi operativi altru ch'è Windows. Inoltre, se cunnettamu una unità cù Windows criptata da BitLocker, o qualsiasi altru software, allora Computrace ùn funziona micca di novu - i moduli simpricimenti ùn puderanu micca scaccià i so schedari in u nostru sistema.

Da una distanza, tali tecnulugii pò parenu cosmicu, ma solu finu à chì avemu scupertu chì tuttu questu hè fattu nantu à UEFI nativu utilizendu un moduli dubious è mezu.

Sembra chì sta cosa hè fridda è onnipotente finu à chì pruvemu, per esempiu, di boot in GNU/Linux:

Stu laptop hà u bloccu Computrace attivatu avà.

Cume si dice,

Chì deve fà?

Ci sò quattru vettori evidenti per risolve u prublema:

1. Scrivite à u venditore in eBay
2. Scrivite à u software Absolute, creatore è pruprietariu di Computrace
3. Fate un dump da u chip BIOS, mandate à i tipi ombreggiati in modu chì rinvianu un dump cù un patch chì disattiveghja tutte e serrature è i menu l'ID di u dispositivu
4. Chjamate Lazard

Fighjemu elli in ordine:

1. Avemu, cum'è tutte e persone ragiunate, scrivite prima à u vinditore chì ci hà vindutu un tali pruduttu è discute u prublema cù quellu chì hè primurosu rispunsevuli di questu.

   Fattu:

   

2. Sicondu un cunsigliu scupertu in a prufundità di l'Internet,
   

   Avete bisognu di cuntattà u software assolutu. Vuleranu u numeru di serie di a macchina è u numeru di serie di a scheda madre. Avete ancu bisognu di furnisce "prova di compra", cum'è una ricevuta. Cuntattate u pruprietariu chì anu in u schedariu è uttene l'OK per sguassà. Assumendu chì ùn hè micca arrubatu, allora "marcheranu per sguassà". Dopu quì, a prossima volta chì vi cunnetta à l'internet o avete una cunnessione Internet aperta, un miraculu si verificarà è sarà andatu. Mandate e cose chì aghju citatu [email prutettu].

   pudemu scrive direttamente à Assoluta è cumunicà direttamente cun elli circa unlocking. Aghju pigliatu u mo tempu è decisu di ricurdà à sta suluzione solu versu a fine.

3. Fortunatamente, una suluzione brutale à u prublema era digià presente. Quessi Ragazzi è parechji altri specialisti di supportu di l'informatica nantu à u stessu eBay è ancu indiani in Facebook prumettenu di sbloccare u nostru BIOS se li mandemu un dump è aspittà un paru di minuti.

   U prucessu di sbloccare hè descrittu cusì:

   A suluzione di sbloccare hè finalmente dispunibule è richiede u prugrammatore SPEG per pudè lampà u BIOS.

   U prucessu hè:

   1. Leghje u BIOS è crea un dump validu. In un Thinkpad, u BIOS hè maritatu cù u chip TPM internu è cuntene una firma unica di questu, cusì hè impurtante chì u BIOS originale per esse una lettura curretta per u successu di l'operazione sana è per restaurà u BIOS dopu.
   2. Patching i binari di u BIOS è injecta un prugramma UEFI all smallservice.ro. Stu prugramma hà da leghje l'eeprom sicura, resettate u certificatu TPM è a password, scriverà eeprom sicura è ricustruisce tutte e dati.
   3. Scrivite u dump di u BIOS patchatu (questu funzionerà solu in quellu TP btw), inizià u laptop è generà un ID Hardware. Vi manderemu una chjave unica chì attiverà u BIOS Allservice, mentre chì u BIOS carica, eseguirà a rutina di sbloccare è sbloccarà l'SVP è TPM.
   4. Infine, scrivite u dump BIOS originale per l'operazioni normali è gode di u laptop.

   Pudemu ancu disattivà Computrace o cambià u SN / UUID è resettate l'errore di checksum RFID utilizendu u nostru prugramma UEFI in u listessu modu, se necessariu

   U prezzu di u serviziu di sbloccare hè per macchina (cum'è noi per u Macbook / iMac, HP, Acer, etc.) Per u prezzu di u serviziu è a dispunibilità, leghjite u prossimu post sottu. Pudete cuntattate [email prutettu] per ogni dumanda.

   Sembra legittimu! Ma questu, ancu, per ragioni evidenti, hè una opzione per a situazione più disperata, è in più, tuttu u divertimentu costa $ 80. Lasciamu per più tardi.

4. Sì Lazard hà rottu tuttu per mè è mi dumanda di chjamà torna, ùn avete micca ricusatu! Andemu à travaglià.

Chjamemu Lazard aka "a cumpagnia di cunsulenza finanziaria è gestione di patrimoniu di u mondu, cunsiglii nantu à fusioni, acquisizioni, ristrutturazioni, struttura di capitale è strategia"

Mentre chì u vinditore di eBay risponde, aghju tiratu uni pochi di soldi nantu à zadarma è aspettu di cumunicà cù forsi l'interlocutore più senza anima di u pianeta - u sustegnu di una grande corporazione finanziaria da New York. A zitella piglia rapidamente u telefuninu, sente in u mo camarade inglesu timidi spiegazioni di cumu aghju compru stu laptop, scrive u so numeru di seriale è prumetti di dà à l'amministratori, chì mi chjamanu torna. Stu prucessu hè ripetutu esattamente duie volte, un ghjornu di distanza. A terza volta, aghju deliberatamente aspittatu finu à chì era 10 am in a sera in New York è chjamatu, leghje rapidamente a pasta familiare nantu à a mo compra. Dui ore dopu, a stessa donna m'hà chjamatu torna è hà cuminciatu à leghje istruzzioni:
- Cliccate fuga.
Facciu clicu ma ùn succede nunda.
- Qualcosa ùn viaghja, nunda ùn cambia.
- Press.
- Premu.
— Avà entre: 72406917
Sò intrutu. Nunda succede.
- Sapete, aghju paura chì questu ùn aiuta micca... Solu un minutu...
U laptop si riavvia di colpu, u sistema di stivali, u fastidiosu schermu biancu hè sparitu in qualchì locu. Per esse sicuru, entre in u BIOS, Computrace ùn hè micca attivatu. Hè cusì, pare. Grazie per u vostru sustegnu, scrivu à u venditore chì aghju risoltu tutti i prublemi per mè stessu è rilassate.

OpenMakeshift Computrace Intel AMT basatu

Ciò chì hè accadutu m'hà disgraziatu, ma mi piaceva l'idea, u mo dulore fantasma nantu à ciò chì era mediocremente persu cercava una via d'essa, vulia prutege u mo novu laptop, cum'è s'ellu mi rende u vechju. Se qualchissia usa Computrace, possu ancu aduprà, nò? Dopu tuttu, ci era Intel Anti-Theft, secondu a descrizzione - una tecnulugia eccellente chì travaglia cum'è duverebbe, ma hè statu uccisu da l'inerzia di u mercatu, ma ci deve esse una alternativa. Risultava chì sta alternativa principia in u stessu locu induve hè finita - solu u software Absolute hà sappiutu acquistà un postu in questu campu.

Prima, ricurdemu ciò chì hè Intel AMT: questu hè un inseme di biblioteche chì face parte di Intel ME, integrate in u BIOS EFI, per chì un amministratore in qualchì uffiziu pò, senza alzà da a so sedia, operare macchine nantu à a reta. ancu s'ellu ùn avvianu micca, cunnette ISOs remotamente, cuntrullà via desktop remoto, etc.

Tuttu chistu funziona nantu à Minix è à circa stu livellu:

Invisible Things Lab hà prupostu di chjamà a funziunalità di a tecnulugia Intel vPro / Intel AMT un anellu di prutezzione -3. Comu parte di sta tecnulugia, i chipsets chì supportanu a tecnulugia vPro cuntenenu un microprocessore indipendente (architettura ARC4), anu una interfaccia separata à a carta di rete, accessu esclusivu à una sezione dedicata di RAM (16 MB), è accessu DMA à a RAM principale. I prugrammi nantu à questu sò eseguiti indipindentamente da u processore cintrali, u firmware hè guardatu cù i codici di u BIOS o in una memoria flash SPI simile (u codice hà una firma criptografica). Parte di u firmware hè un servitore web integratu. Per automaticamente, AMT hè disattivatu, ma qualchì codice hè sempre in questu modu ancu quandu AMT hè disattivatu. Ring code -3 hè attivu ancu in u modu di putenza S3 Sleep.

Questu sona tentatore, perchè pare chì se pudemu stabilisce una cunnessione inversa à qualchì pannellu di amministratore cù Intel AMT, pudemu avè accessu micca peghju di Computrace (in fattu, no).

Attivamu Intel AMT nantu à a nostra macchina

Prima, alcuni di voi prubabilmente vulete toccu stu AMT cù e vostre mani, è quì cumincianu i sfumaturi. Prima: avete bisognu di un processore chì sustene. Fortunatamente, ùn ci sò micca prublemi cù questu (a menu chì ùn avete AMD), perchè vPro hè aghjuntu à quasi tutti i processori Intel i5, i7 è i9 (pudete vede ccà) da u 2006, è u VNC normale hè statu purtatu quì digià in 2010. Siconda: se avete un desktop, allora avete bisognu di una scheda madre chì sustene sta funziunalità, vale à dì cù u chipset Q In i laptops, avemu bisognu di cunnosce u mudellu di processore. Se truvate supportu per Intel AMT, allora questu hè un bonu signu è puderete applicà i paràmetri ottenuti quì. Se no, allora o avete sfurtunatu / avete sceltu deliberatamente un processore o chipset senza supportu per sta tecnulugia, o avete salvatu soldi cù successu scegliendu AMD, chì hè ancu un mutivu di gioia.

Sicondu i ducumenti

In modu micca sicuru, i dispositi Intel AMT ascoltanu u portu 16992.
In u modu TLS, i dispositi Intel AMT ascoltanu u portu 16993.

Intel AMT accetta cunnessione à i porti 16992 è 16993. Andemu quì.

Avete bisognu di verificà chì Intel AMT hè attivatu in u BIOS:

Dopu avemu bisognu di reboot è appughjà Ctrl + P mentre carica

A password standard, cum'è di solitu, Admin.

Cambia subitu a password in Intel ME General Settings. In seguitu, in Intel AMT Configuration, attivate Attivà l'accessu à a rete. Pronti. Avà site ufficialmente backdoored. Carichemu in u sistema.

Avà una sfumatura impurtante: logicamente, pudemu accede à Intel AMT da localhost è remotamente, ma no. Intel dice chì pudete cunnette lucale è cambià i paràmetri utilizendu Utilità di cunfigurazione Intel AMT, ma per mè hà rifiutatu categoricamente di cunnette, cusì a mo cunnessione hà travagliatu solu remotamente.

Pigliemu qualchi dispusitivu è cunnette via u vostru IP: 16992

Sembra cusì:

Benvenuti à l'interfaccia standard Intel AMT! Perchè "standard"? Perchè hè truncatu è cumplettamente inutile per i nostri scopi, è avemu aduprà qualcosa di più seriu.

Cunniscite MeshCommander

Comu di solitu, e grande cumpagnie facenu qualcosa, è l'utilizatori finali mudificanu per adattà à elli. A listessa cosa hè accaduta quì.

Questu modestu (senza esagerazione: u so nome ùn hè micca in u so situ web, aghju avutu à Google) omu chjamatu Ylian Saint-Hilaire hà sviluppatu strumenti maravigliosi per travaglià cù Intel AMT.

Vogliu attirà immediatamente a vostra attenzione à ellu Canali YouTube, in i so video si mostra in modu simplice è chjaramente in tempu reale cumu fà certi travaglii ligati à Intel AMT è u so software.

Cuminciamu cu cuminciari MeshCommander. Scaricate, installate è pruvate à cunnette à a nostra macchina:

U prucessu ùn hè micca istantaneu, ma cum'è u risultatu, uttene stu schermu:

Ùn hè micca ch'e sò paranoica, ma sguassate i dati sensittivi, perdonami per una tale coqueteria

A diferenza, cum'è dicenu, hè evidenti. Ùn sò micca sapè perchè l'Intel Control Panel ùn hà micca un tali inseme di funzioni, ma u fattu hè chì Ylian Saint-Hilaire prende significativamente più fora di a vita. Inoltre, pudete installà a so interfaccia web direttamente in u firmware, vi permetterà di utilizà tutte e funzioni senza utilità.

Questu hè fattu cusì:

Deve nutà chì ùn aghju micca utilizatu sta funziunalità (Interfaccia web persunalizata) è ùn pò micca dì nunda di a so efficacità è u so rendiment, postu chì ùn hè micca necessariu per i mo bisogni.

Pudete ghjucà cù e funziunalità, hè improbabile chì arruvinà tuttu, perchè u puntu di partenza è finali di sta festa sana hè u BIOS, in quale pudete poi resettate tuttu disattivendu Intel AMT.

Implementa MeshCentral è implementa BackConnect

È quì principia a caduta completa di a testa. U mo ziu ùn hà micca solu fattu un cliente, ma ancu un pannellu amministratore tutale per u nostru Trojan! È micca solu l'hà fattu, ma lanciatu per tutti nantu à u mo servitore.

Accuminciate installendu un servitore MeshCentral di u vostru propiu o se ùn site micca familiarizatu cù MeshCentral, pudete pruvà u servitore publicu à u vostru propiu risicu in MeshCentral.com.

Questu parla positivamente di l'affidabilità di u so codice, postu chì ùn aghju micca pussutu truvà nutizie nantu à pirate o fughe durante l'operazione di u serviziu.

In modu persunale, esegui MeshCentral nantu à u mo servitore perchè crede senza ragiuni chì hè più affidabile, ma ùn ci hè nunda in questu, salvu vanità è languore di spiritu. Se vulete ancu, allora ccà ci sò documenti è ccà cuntainer cù MeshCentral. I documenti descrizanu cumu ligà tuttu in NGINX, cusì l'implementazione s'integra facilmente in i vostri servitori di casa.

Registratevi nantu meshcentral.com, entra è crea un Gruppu di Dispositivi selezziunate l'opzione "senza agente":

Perchè "senza agente"? Perchè perchè avemu bisognu di installà qualcosa innecessariu, ùn hè micca chjaru cumu si cumporta è cumu si travaglia.

Cliccate "Add CIRA":

Scaricate cira_setup_test.mescript è aduprà in u nostru MeshCommander cusì:

Voila! Dopu qualchì tempu, a nostra macchina si cunnette à MeshCentral è pudemu fà qualcosa cun ella.

Prima: duvete sapè chì u nostru software ùn batterà micca in un servitore remotu cusì cusì. Questu hè duvuta à u fattu chì Intel AMT hà duie opzioni per cunnette - attraversu un servitore remoto è direttamente in u locu. Ùn travaglianu micca à u stessu tempu. U nostru script hà digià cunfiguratu u sistema per u travagliu remoto, ma pudete avè bisognu di cunnette in u locu. Per pudè cunnette in u locu, avete bisognu à andà quì

scrivite una linea chì hè u vostru duminiu lucale (nota chì u nostru script hà DIGIÀ inseritu una linea aleatoria quì per chì a cunnessione pò esse fatta remotamente) o sguassate tutte e linee in tuttu (ma allora a cunnessione remota ùn serà micca dispunibule). Per esempiu, u mo duminiu lucale in OpenWrt hè lan:

In cunsiquenza, s'ellu entremu in lan, è se a nostra macchina hè cunnessa à una reta cù stu duminiu lucale, allora a cunnessione remota ùn serà micca dispunibule, ma i porti lucali 16992 è 16993 si apre è accettanu cunnessione. In corta, s'ellu ci hè un tipu di sciocchezza chì ùn hè micca ligata à u vostru duminiu lucale, allora u software hè bugging, se no, allora avete bisognu di cunnette cù ellu stessu via un filu, questu hè tuttu.

Siconda:

Tuttu hè prontu !

Pudete dumandà - induve hè AntiTheft? Comu dissi inizialmente, Intel AMT ùn hè micca assai adattatu per cumbatte i ladri. L'amministrazione di una reta di l'uffiziu hè benvenuta, ma a lotta cù l'individui chì anu pigliatu pussessu illegale di pruprietà via Internet ùn hè micca cusì speciale. Cunsideremu un toolkit chì, in teoria, ci pò aiutà in a lotta per a pruprietà privata:

1. In sè stessu, hè chjaru chì avete accessu à a macchina s'ellu hè cunnessu via cable, o, se Windows hè stallatu nantu à questu, allora via WiFi. Iè, hè zitellu, ma hè digià assai difficiuli per una persona urdinaria per utilizà un tali laptop, ancu s'ellu qualcunu di colpu piglia u cuntrollu. Inoltre, malgradu u fattu chì ùn aghju micca pussutu capisce i scripts, hè certamente pussibule cuncepisce artisticamente alcune funziunalità per bluccà / visualizà notificazioni nantu à elli.
2. Cancellazione sicura remota cù Tecnulugia Intel Active Management

   
   
   Utilizendu sta opzione, pudete sguassà tutte l'infurmazioni da a macchina in sicondi. Ùn hè micca chjaru se funziona nantu à SSD non-Intel. Quì ccà Pudete leghje più nantu à sta funzione. Pudete ammirazione di u travagliu ccà. A qualità hè terribili, ma solu 10 megabytes è l'essenza hè chjara.

U prublema di l'esekzione differita ùn resta micca risolta, in altri palori: avete bisognu di fighjà quandu a macchina entra in a reta per cunnette à questu. Credu chì ci hè ancu una suluzione per questu.

In una implementazione ideale, avete bisognu di bluccà u laptop è di vede un tipu d'inscription, ma in u nostru casu avemu solu un accessu inevitabbile, è ciò chì fà dopu hè una materia di imaginazione.

Forsi, in qualchì modu, puderà bluccà a vittura o almenu vede un missaghju, scrivite se sapete. Grazie!

Ùn vi scurdate di stabilisce una password per u BIOS.

Grazie à l'utilizatori berez per a correzione!

Source: www.habr.com