TL, DR
Absolute Computrace je technologie, která vám umožňuje zamknout auto (a ne ), i když na něm byl přeinstalován operační systém nebo dokonce vyměněn pevný disk, za 15 USD ročně. Koupil jsem si na eBay notebook, který byl uzamčen touto věcí. V článku jsou popsány mé zkušenosti, jak jsem se s tím potýkal a zkoušel to samé udělat na Intel AMT, ale zdarma.
Okamžitě se shodneme: nevloupám se do otevřených dveří a nepíšu přednášku o těchto vzdálených věcech, ale řeknu něco o pozadí a o tom, jak rychle získat vzdálený přístup k vašemu stroji na koleně v jakékoli situaci (pokud je připojen k síť přes RJ-45) nebo pokud je připojen přes Wi-Fi, tak pouze v OS Windows. Také bude možné zaregistrovat SSID, přihlašovací jméno a heslo konkrétního bodu v samotném Intel AMT a poté lze získat přístup přes Wi-Fi i bez bootování do systému. A také, pokud nainstalujete ovladače pro Intel ME na GNU/Linux, tak by to vše mělo fungovat i na něm. V důsledku toho nebude možné na dálku uzamknout notebook a zobrazit zprávu (nepodařilo se mi zjistit, zda je to pomocí této technologie vůbec možné), ale bude zde přístup ke vzdálené ploše a Secure Erase, a to je hlavní věc.
Taxikář odešel s mým notebookem a já se rozhodl, že si koupím nový na eBay. Co by se mohlo pokazit?
Od kupce po zloděje – v jednom spuštění
Poté, co jsem si domů přinesl notebook z pošty, pustil jsem se do dokončení předinstalace Windows 10 a poté se mi dokonce podařilo stáhnout Firefox, když najednou:
Pochopil jsem naprosto dobře, že distribuci Windows nikdo upravovat nebude, a pokud ano, pak by vše nevypadalo tak neohrabaně a obecně by blokování probíhalo rychleji. A nakonec by nemělo smysl cokoliv blokovat, protože vše by se vyléčilo přeinstalací. Dobře, restartujeme.
Restartujte do systému BIOS a nyní je vše trochu jasnější:
A nakonec je to úplně jasné:
Jak to, že mě trápí můj vlastní notebook? Co je to Computrace?
Přesně řečeno, Computrace je sada modulů ve vašem EFI BIOSu, která po načtení OS Windows do něj vloží své trojské koně, zaklepe na vzdálený softwarový server Absolute a umožní v případě potřeby zablokovat systém přes internet. Více podrobností si můžete přečíst zde . Computrace nefunguje s jinými operačními systémy než Windows. Pokud navíc připojíme disk s Windows zašifrovaný BitLockerem, nebo jakýmkoliv jiným softwarem, pak Computrace opět nebude fungovat – moduly prostě nebudou moci hodit své soubory do našeho systému.
Z dálky se takové technologie mohou zdát vesmírné, ale jen do té doby, než zjistíme, že se to všechno děje na nativním UEFI pomocí jednoho a půl pochybných modulů.
Zdá se, že tato věc je chladná a všemocná, dokud se například nepokusíme nabootovat do GNU/Linuxu:
Tento notebook má právě teď povoleno zamykání Computrace.
Jak se říká
Co dělat?
Existují čtyři zřejmé vektory pro řešení problému:
- Napište prodejci na eBay
- Napište Absolute software, tvůrce a vlastník Computrace
- Vytvořte výpis z čipu BIOS, odešlete jej stínovým typům, aby posílali zpět výpis s opravou, která deaktivuje všechny zámky a nabídne ID zařízení
- Zavolej Lazarda
Podívejme se na ně v pořadí:
- Jako všichni rozumní lidé nejprve napíšeme prodejci, který nám takový výrobek prodal, a problém probereme s tím, kdo je za něj primárně zodpovědný.
Vyrobeno:
- Podle poradce objeveného v hlubinách internetu
Musíte kontaktovat absolutní software. Budou chtít sériové číslo stroje a sériové číslo základní desky. Budete také muset dodat „doklad o nákupu“, jako je účtenka. Kontaktují vlastníka, kterého mají v evidenci, a dostanou souhlas k odstranění. Za předpokladu, že není odcizen, pak jej „označí ke smazání“. Poté, až se příště připojíte k internetu nebo budete mít otevřené internetové připojení, stane se zázrak a bude pryč. Pošlete věci, které jsem zmínil [chráněno e-mailem].
můžeme napsat přímo Absolute a přímo s nimi komunikovat o odemknutí. Dal jsem si na čas a rozhodl jsem se uchýlit se k tomuto řešení až ke konci.
- Naštěstí už bylo přítomno brutální řešení problému. Tyto a mnoho dalších specialistů počítačové podpory na stejném eBay a dokonce i Indové na Facebooku nám slibují, že odemkneme náš BIOS, pokud jim pošleme výpis a počkáme pár minut.
Proces odemykání je popsán následovně:
Řešení pro odblokování je konečně k dispozici a vyžaduje programátor SPEG, aby mohl flashovat BIOS.
Proces je:
- Čtení systému BIOS a vytvoření platného výpisu. V Thinkpadu je BIOS spojen s interním čipem TPM a obsahuje jeho jedinečný podpis, takže pro úspěch celé operace je důležité, aby byl původní BIOS správně načten a aby se BIOS následně obnovil.
- Opravte binární soubory systému BIOS a vložíte program UEFI all smallservice.ro. Tento program přečte zabezpečený eeprom, resetuje certifikát TPM a heslo, zapíše zabezpečený eeprom a zrekonstruuje všechna data.
- Napište opravený výpis BIOSu (bude to fungovat jen v tom TP mimochodem), spusťte notebook a vygenerujte ID hardwaru. Zašleme vám jedinečný klíč, který aktivuje Allservice BIOS a během načítání BIOSu provede odemykací rutinu a odemkne SVP a TPM.
- Nakonec zapište původní výpis BIOSu zpět pro normální provoz a užijte si notebook.
Můžeme také deaktivovat Computrace nebo změnit SN/UUID a resetovat chybu kontrolního součtu RFID pomocí našeho programu UEFI stejným způsobem, pokud je to nutné.
Cena služby odemknutí je za počítač (stejně jako my pro Macbook/iMac, HP, Acer atd.) Informace o ceně služby a dostupnosti si prosím přečtěte v následujícím příspěvku níže. Můžete kontaktovat [chráněno e-mailem] pro jakýkoli dotaz.
Zdá se legitimní! Ale i tohle je z pochopitelných důvodů varianta pro tu nejzoufalejší situaci a kromě toho veškerá legrace stojí 80 dolarů. Necháme na později.
- Pokud mi Lazard všechno rozbil a požádá mě, abych ti zavolal zpátky, pak bys neměl odmítat! Pojďme pracovat.
Nazýváme Lazard aka „přední světová společnost poskytující finanční poradenství a správu aktiv, radí v oblasti fúzí, akvizic, restrukturalizací, kapitálové struktury a strategie“
Zatímco prodejce z eBay odpovídá, hodím pár babek na zadarma a těším se na komunikaci s možná tím nejbezduchějším partnerem na planetě – na podporu obrovské finanční korporace z New Yorku. Dívka rychle zvedne telefon, poslouchá mojí soudružskou angličtinou nesmělá vysvětlení, jak jsem si tento notebook koupil, zapíše si jeho sériové číslo a slíbí, že ho dá adminům, kteří mi zavolají zpět. Tento proces se opakuje přesně dvakrát s odstupem jednoho dne. Potřetí jsem schválně počkal, až bude 10 hodin večer v New Yorku, zavolal jsem a rychle si přečetl známé těstoviny o svém nákupu. O dvě hodiny později mi stejná žena zavolala zpět a začala číst instrukce:
— Klikněte na Escape.
Klikám, ale nic se neděje.
– Něco nefunguje, nic se nemění.
- Lis.
- Tisknu.
— Nyní zadejte: 72406917
Vstupuji. Nic se neděje.
- Víš, obávám se, že to nepomůže... Ještě chvilku...
Notebook se najednou restartuje, systém naběhne, ta otravná bílá obrazovka kamsi zmizela. Pro jistotu jdu do BIOSu, Computrace není aktivován. Zdá se, že je to ono. Děkuji za podporu, píšu prodejci, že jsem všechny záležitosti vyřešil sám a relaxuji.
OpenMakeshift Computrace založené na Intel AMT
To, co se stalo, mě sklíčilo, ale ten nápad se mi líbil, moje fantomová bolest nad tím, co bylo průměrně ztraceno, hledalo nějaké východisko, chtěl jsem ochránit svůj nový notebook, jako by mi vrátil ten starý. Pokud někdo používá Computrace, můžu ho používat i já, ne? Ostatně byl tu Intel Anti-Theft, dle popisu - výborná technologie, která funguje jak má, ale zabila ji setrvačnost trhu, ale musí existovat alternativa. Ukázalo se, že tato alternativa začala na stejném místě, kde skončila – na tomto poli se dokázal prosadit pouze software Absolute.
Nejprve si připomeňme, co je Intel AMT: jedná se o sadu knihoven, která je součástí Intel ME, zabudovaná do EFI BIOSu, takže administrátor v nějaké kanceláři může, aniž by vstal ze židle, obsluhovat stroje v síti, i když se nespustí, vzdálené připojení ISO, ovládání přes vzdálenou plochu atd.
To vše běží na Minixu a přibližně na této úrovni:
Invisible Things Lab navrhla nazvat funkcionalitu technologie Intel vPro / Intel AMT kruhem ochrany -3. V rámci této technologie obsahují čipové sady, které podporují technologii vPro, nezávislý mikroprocesor (architektura ARC4), mají samostatné rozhraní k síťové kartě, exkluzivní přístup k vyhrazené části paměti RAM (16 MB) a přístup DMA k hlavní paměti RAM. Programy na něm jsou spouštěny nezávisle na centrálním procesoru, firmware je uložen společně s kódy BIOS nebo na podobné SPI flash paměti (kód má kryptografický podpis). Součástí firmwaru je vestavěný webový server. Ve výchozím nastavení je AMT zakázáno, ale některé kódy stále běží v tomto režimu, i když je AMT zakázáno. Vyzváněcí kód -3 je aktivní i v režimu spánku S3.
Zní to lákavě, protože se zdá, že pokud se nám podaří navázat zpětné připojení k nějakému administračnímu panelu pomocí Intel AMT, nebudeme mít přístup horší než Computrace (ve skutečnosti ne).
Aktivujeme Intel AMT na našem počítači
Za prvé, někteří z vás by se pravděpodobně rádi dotkli tohoto AMT vlastníma rukama, a zde začínají nuance. Za prvé: potřebujete procesor, který to podporuje. Naštěstí s tím nejsou žádné problémy (pokud nemáte AMD), protože vPro se přidává téměř ke všem procesorům Intel i5, i7 a i9 (můžete vidět ) od roku 2006 a normální VNC tam bylo přivedeno již v roce 2010. Za druhé: pokud máte desktop, pak potřebujete základní desku, která tuto funkcionalitu podporuje, konkrétně s čipsetem Q. U notebooků potřebujeme znát pouze model procesoru. Pokud najdete podporu pro Intel AMT, je to dobré znamení a budete moci použít zde získaná nastavení. Pokud ne, tak jste buď měli smůlu/schválně jste zvolili procesor či čipset bez podpory této technologie, nebo jste volbou AMD úspěšně ušetřili, což je také důvod k radosti.
Podle dokumentů
V nezabezpečeném režimu naslouchají zařízení Intel AMT na portu 16992.
V režimu TLS naslouchají zařízení Intel AMT na portu 16993.
Intel AMT přijímá připojení na portech 16992 a 16993. Přesuňme se tam.
Musíte zkontrolovat, zda je v systému BIOS povolena funkce Intel AMT:
Dále musíme restartovat a během načítání stisknout Ctrl + P
Standardní heslo, jako obvykle, administrátor.
Okamžitě změňte heslo v Intel ME General Settings. Dále v Intel AMT Configuration povolte Activate Network Access. Připraveno. Nyní jste oficiálně backdoored. Nahráváme do systému.
Nyní důležitá nuance: logicky můžeme přistupovat k Intel AMT z localhostu a vzdáleně, ale ne. Intel říká, že se můžete připojit lokálně a měnit nastavení pomocí , ale u mě se to plošně odmítlo připojit, takže mi připojení fungovalo jen na dálku.
Vezmeme nějaké zařízení a připojíme se přes : 16992
Vypadá to takto:
Vítejte ve standardním rozhraní Intel AMT! Proč "standardní"? Protože je osekaný a pro naše účely zcela nepoužitelný a my použijeme něco vážnějšího.
Seznámení s MeshCommanderem
Jako obvykle velké společnosti něco dělají a koncoví uživatelé si to upravují podle sebe. To se stalo i tady.
Tento skromný (bez nadsázky: jeho jméno není na jeho webu, musel jsem si to vygooglovat) muž jménem Ylian Saint-Hilaire vyvinul úžasné nástroje pro práci s Intel AMT.
Rád bych na něj okamžitě upozornil , ve svých videích jednoduše a přehledně v reálném čase ukazuje, jak provádět určité úkoly související s Intel AMT a jeho softwarem.
Začněme . Stáhněte, nainstalujte a zkuste se připojit k našemu stroji:
Proces není okamžitý, ale jako výsledek dostaneme tuto obrazovku:
Ne že bych byl paranoidní, ale citlivá data smažu, promiňte mi takovou koketizaci
Rozdíl, jak se říká, je zřejmý. Nevím, proč Intel Control Panel nemá takovou sadu funkcí, ale faktem je, že Ylian Saint-Hilaire dostává ze života podstatně víc. Jeho webové rozhraní si navíc můžete nainstalovat přímo do firmwaru, umožní vám využívat všechny funkce bez obslužného programu.
To se děje takto:
Upozorňuji, že jsem tuto funkcionalitu (Vlastní webové rozhraní) nevyužil a nemohu říci nic o její účinnosti a výkonu, protože není pro mé potřeby vyžadována.
S funkčností si můžete pohrát, je nepravděpodobné, že byste vše zkazili, protože výchozím a konečným výchozím bodem celého tohoto festivalu je BIOS, ve kterém pak můžete vše resetovat vypnutím Intel AMT.
Nasaďte MeshCentral a implementujte BackConnect
A zde začíná úplný pád hlavy. Můj strýc nám udělal nejen klienta, ale i celý admin panel pro našeho Trojana! A neudělal to jen tak, ale .
Začněte instalací vlastního serveru MeshCentral nebo pokud nejste obeznámeni s MeshCentral, můžete vyzkoušet veřejný server na vlastní nebezpečí na MeshCentral.com.
To vypovídá pozitivně o spolehlivosti jejího kódu, protože jsem během provozu služby nenašel žádné zprávy o hackech nebo únikech.
Osobně na svém serveru provozuji MeshCentral, protože se bezdůvodně domnívám, že je spolehlivější, ale není v něm nic kromě ješitnosti a malátnosti ducha. Pokud také chcete, tak existují dokumenty a kontejner s MeshCentral. Dokumenty popisují, jak to vše propojit v NGINX, takže implementace se snadno integruje do vašich domácích serverů.
Zaregistrujte se , přejděte a vytvořte skupinu zařízení výběrem možnosti „žádný agent“:
Proč "žádný agent"? Protože proč potřebujeme, aby instaloval něco zbytečného, není jasné, jak se to chová a jak to bude fungovat.
Klikněte na „Přidat CIRA“:
Stáhněte si cira_setup_test.mescript a použijte jej v našem MeshCommanderu takto:
Voila! Po nějaké době se náš stroj připojí k MeshCentral a můžeme s tím něco udělat.
Za prvé: měli byste vědět, že náš software na vzdáleném serveru jen tak nezaklepe. Důvodem je skutečnost, že Intel AMT má dvě možnosti připojení - přes vzdálený server a přímo lokálně. Nefungují současně. Náš skript již nakonfiguroval systém pro vzdálenou práci, ale možná se budete muset připojit lokálně. Abyste se mohli připojit lokálně, musíte jít sem
napište řádek, který je vaší lokální doménou (všimněte si, že náš skript tam JIŽ vložil nějaký náhodný řádek, aby bylo možné spojení navázat vzdáleně) nebo vymažte všechny řádky úplně (ale pak vzdálené připojení nebude dostupné). Moje lokální doména v OpenWrt je například lan:
Pokud tam tedy zadáme lan a pokud je náš počítač připojen k síti s touto lokální doménou, vzdálené připojení nebude dostupné, ale místní porty 16992 a 16993 se otevřou a přijmou připojení. Stručně řečeno, pokud existuje nějaký nesmysl, který nesouvisí s vaší místní doménou, pak se software buguje, pokud ne, musíte se k němu připojit sami pomocí drátu, to je vše.
Za druhé:
Vše je připraveno!
Můžete se zeptat - kde je AntiTheft? Jak jsem řekl na začátku, Intel AMT není příliš vhodný pro boj se zloději. Správa kancelářské sítě je vítána, ale boj s jednotlivci, kteří se nezákonně zmocnili majetku přes internet, není tak výjimečný. Podívejme se na sadu nástrojů, která nám teoreticky může pomoci v boji o soukromé vlastnictví:
- Samo o sobě je jasné, že ke stroji máte přístup, pokud je připojen přes kabel, nebo pokud je na něm nainstalován Windows, tak přes WiFi. Ano, je to dětinské, ale pro běžného člověka je již velmi obtížné takový notebook používat, i když někdo náhle převezme kontrolu. Navíc i přes to, že jsem nemohl přijít na skripty, je určitě možné umělecky navrhnout nějakou funkcionalitu pro blokování/zobrazování notifikací na nich.
- Vzdálené bezpečné vymazání s technologií Intel Active Management
Pomocí této možnosti můžete odstranit všechny informace ze zařízení během několika sekund. Není jasné, zda funguje na SSD jiných než Intel. Tady O této funkci si můžete přečíst více. Můžete obdivovat práci . Kvalita je hrozná, ale jen 10 megabajtů a podstata je jasná.
Problém odloženého spuštění zůstává nevyřešen, jinými slovy: musíte sledovat, kdy stroj vstoupí do sítě, abyste se k ní mohli připojit. Věřím, že i na to existuje nějaké řešení.
V ideální implementaci potřebujete zablokovat notebook a zobrazit nějaký nápis, ale v našem případě máme prostě nevyhnutelný přístup a co dělat dál, je otázkou fantazie.
Snad se vám podaří auto nějak zablokovat nebo alespoň zobrazit zprávu, napište, pokud víte. Děkuji!
Nezapomeňte nastavit heslo pro BIOS.
Díky uživateli na korekturu!
Zdroj: www.habr.com