TL; DR
Absolute Computrace er en teknologi, der giver dig mulighed for at låse din bil (og ikke ), selvom operativsystemet blev geninstalleret på det eller endda harddisken blev udskiftet, for $15 pr. år. Jeg købte en bærbar på eBay, der var låst med denne ting. Artiklen beskriver min oplevelse, hvordan jeg kæmpede med det og prøvede at gøre det samme på Intel AMT, men gratis.
Lad os straks blive enige: Jeg bryder ikke ind i åbne døre og skriver ikke et foredrag om disse fjerntliggende ting, men fortæller lidt om baggrunden og hvordan du hurtigt får fjernadgang til din maskine på dit knæ i enhver situation (hvis den er tilsluttet netværk via RJ-45) eller, hvis det er tilsluttet via Wi-Fi, kun i OS Windows. Det vil også være muligt at registrere SSID, login og adgangskode for et specifikt punkt i selve Intel AMT, og så kan adgang via Wi-Fi også opnås uden at starte op i systemet. Og også, hvis du installerer drivere til Intel ME på GNU/Linux, så burde alt dette også fungere på det. Som et resultat vil det ikke være muligt at fjernlåse en bærbar computer og vise en besked (jeg kunne ikke finde ud af, om dette overhovedet er muligt ved hjælp af denne teknologi), men der vil være adgang til et fjernskrivebord og Secure Erase, og dette er det vigtigste.
Taxachaufføren tog afsted med min bærbare computer, og jeg besluttede at købe en ny på eBay. Hvad kunne gå galt?
Fra køber til tyve - i én lancering
Efter at have hentet en bærbar computer hjem fra postkontoret, gik jeg i gang med at færdiggøre præinstallationen af Windows 10, og efter det lykkedes det endda at downloade Firefox, da jeg pludselig:
Jeg forstod udmærket, at ingen ville ændre Windows-distributionen, og hvis de gjorde det, så ville alt ikke se så klodset ud, og generelt ville blokeringen være sket hurtigere. Og i sidste ende ville der ikke være nogen mening i at blokere noget, da alt ville blive helbredt ved at geninstallere det. Okay, lad os genstarte.
Genstart i BIOS, og nu bliver alt lidt klarere:
Og endelig er det helt klart:
Hvordan er det, at min egen bærbare computer generer mig? Hvad er Computrace?
Strengt taget er Computrace et sæt moduler i din EFI BIOS, der efter indlæsning af OS Windows indsætter deres trojanske heste i den, banker på den eksterne Absolute-softwareserver og tillader, om nødvendigt, at blokere systemet over internettet. Du kan læse flere detaljer her . Computrace fungerer ikke med andre operativsystemer end Windows. Desuden, hvis vi forbinder et drev med Windows krypteret af BitLocker, eller anden software, så fungerer Computrace ikke igen - modulerne vil simpelthen ikke være i stand til at smide deres filer ind i vores system.
På afstand kan sådanne teknologier virke kosmiske, men kun indtil vi finder ud af, at alt dette er gjort på native UEFI ved hjælp af halvandet tvivlsomme modul.
Det ser ud til, at denne ting er kold og almægtig, indtil vi for eksempel prøver at starte op i GNU/Linux:
Denne bærbare computer har Computrace-låsning aktiveret lige nu.
Som man siger,
Hvad skal jeg gøre?
Der er fire åbenlyse vektorer til at løse problemet:
- Skriv til sælgeren på eBay
- Skriv til Absolute software, skaber og ejer af Computrace
- Lav et dump fra BIOS-chippen, send det til lyssky typer, så de sender et dump tilbage med en patch, der deaktiverer alle låse og menuer enheds-id'et
- Ring til Lazard
Lad os se på dem i rækkefølge:
- Vi, som alle fornuftige mennesker, skriver først til sælgeren, der har solgt os sådan et produkt, og diskuterer problemet med den, der er hovedansvarlig for det.
Lavet:
- Ifølge en rådgiver opdaget i dybet af internettet,
Du skal kontakte absolut software. De vil have maskinens serienummer og bundkortets serienummer. Du skal også levere "købsbevis", som en kvittering. De vil kontakte ejeren, de har registreret, og få OK til at fjerne den. Forudsat at det ikke er stjålet, vil de derefter "markere det for sletning". Derefter, næste gang du opretter forbindelse til internettet eller har en åben internetforbindelse, vil der ske et mirakel, og det vil være væk. Send de ting, jeg nævnte, til [e-mail beskyttet].
vi kan skrive direkte til Absolute og kommunikere direkte med dem om oplåsning. Jeg tog mig god tid og besluttede at ty til denne løsning først mod slutningen.
- Heldigvis var der allerede en brutal løsning på problemet. dem her og mange andre computersupportspecialister på den samme eBay og endda indianere på Facebook lover os at låse vores BIOS op, hvis vi sender dem et dump og venter et par minutter.
Oplåsningsprocessen er beskrevet som følger:
Oplåsningsløsning er endelig tilgængelig og kræver, at SPEG-programmøren kan flashe BIOS.
Processen er:
- Læser BIOS og laver et gyldigt dump. I en Thinkpad er BIOS'en gift med den interne TPM-chip og indeholder en unik signatur af den, så det er vigtigt, at den originale BIOS er korrekt udlæst for succes med hele operationen og for at gendanne BIOS'en bagefter.
- Patching af BIOS-binære filer og injicer et all smallservice.ro UEFI-program. Dette program vil læse den sikre eeprom, nulstille TPM-certifikat og adgangskode, skrive sikker eeprom og rekonstruere alle data.
- Skriv den lappede BIOS-dump (dette vil kun fungere i den TP forresten), start den bærbare computer og generer et hardware-id. Vi sender dig en unik nøgle, der aktiverer Allservice BIOS, mens BIOS'en indlæses, vil den udføre oplåsningsrutinen og låse SVP og TPM op.
- Skriv endelig den originale BIOS-dump tilbage til normal drift og nyd den bærbare computer.
Vi kan også deaktivere Computrace eller ændre SN/UUID og nulstille RFID-kontrolsumfejl ved at bruge vores UEFI-program på samme måde, hvis det er nødvendigt
Oplåsningsserviceprisen er pr. maskine (som vi gør for Macbook/iMac, HP, Acer osv.) For servicepris og tilgængelighed læs venligst næste indlæg nedenfor. Du kan kontakte [e-mail beskyttet] for enhver henvendelse.
Virker lovligt! Men også dette er af indlysende grunde en mulighed for den mest desperate situation, og desuden koster alt det sjove $80. Vi lader det ligge til senere.
- Hvis Lazard har brudt alt for mig og beder mig ringe tilbage til dig, så skal du ikke nægte! Lad os komme i gang.
Vi kalder Lazard aka "verdens førende finansielle rådgivnings- og asset management firma, rådgiver om fusioner, opkøb, omstrukturering, kapitalstruktur og strategi"
Mens sælgeren fra eBay svarer, kaster jeg et par penge på zadarma og ser frem til at kommunikere med den måske mest sjælløse samtalepartner på planeten – støtten fra et kæmpestort finansselskab fra New York. Pigen tager hurtigt telefonen, lytter på min kammerat engelsk til frygtsomme forklaringer om, hvordan jeg købte denne bærbare computer, skriver dens serienummer ned og lover at give den til administratorerne, som vil ringe tilbage til mig. Denne proces gentages nøjagtigt to gange med en dags mellemrum. Tredje gang ventede jeg bevidst til klokken var 10 om aftenen i New York og ringede og læste hurtigt den velkendte pasta op om mit køb. To timer senere ringede den samme kvinde tilbage til mig og begyndte at læse instruktionerne op:
— Klik på escape.
Jeg klikker, men der sker ikke noget.
- Noget virker ikke, intet ændrer sig.
- Tryk.
- Jeg trykker.
— Indtast nu: 72406917
Jeg går ind. Intet sker.
- Du ved, jeg er bange for, at det ikke hjælper... Bare et øjeblik...
Den bærbare computer genstarter pludselig, systemet starter, den irriterende hvide skærm er forsvundet et sted. For at være sikker går jeg ind i BIOS, Computrace er ikke aktiveret. Det ser ud til at det er det. Tak for din støtte, jeg skriver til sælgeren, at jeg selv har løst alle problemerne og slapper af.
OpenMakeshift Computrace Intel AMT baseret
Det, der skete, gjorde mig modløs, men jeg kunne godt lide ideen, min fantomsmerte over det, der var middelmådigt tabt, ledte efter en vej ud, jeg ville beskytte min nye bærbare computer, som om den ville give mig den gamle tilbage. Hvis nogen bruger Computrace, så kan jeg også bruge det, ikke? Der var trods alt Intel Anti-Theft, ifølge beskrivelsen - en fremragende teknologi, der fungerer som den skal, men den blev dræbt af markedets træghed, men der må være et alternativ. Det viste sig, at dette alternativ begyndte samme sted, hvor det sluttede – kun Absolute software var i stand til at få fodfæste på dette felt.
Lad os først huske, hvad Intel AMT er: dette er et sæt biblioteker, der er en del af Intel ME, indbygget i EFI BIOS, så en administrator på et kontor kan, uden at rejse sig fra stolen, betjene maskiner på netværket, selvom de ikke starter op, fjerntilslutning af ISO'er, styring via fjernskrivebord osv.
Alt dette kører på Minix og på cirka dette niveau:
Invisible Things Lab foreslog at kalde funktionaliteten af Intel vPro / Intel AMT-teknologien en ring af beskyttelse -3. Som en del af denne teknologi indeholder chipsæt, der understøtter vPro-teknologi, en uafhængig mikroprocessor (ARC4-arkitektur), har en separat grænseflade til netværkskortet, eksklusiv adgang til en dedikeret sektion af RAM (16 MB) og DMA-adgang til hoved-RAM. Programmer på den udføres uafhængigt af den centrale processor; firmwaren gemmes sammen med BIOS-koder eller på en lignende SPI-flashhukommelse (koden har en kryptografisk signatur). En del af firmwaren er en indbygget webserver. Som standard er AMT deaktiveret, men noget kode kører stadig i denne tilstand, selv når AMT er deaktiveret. Ringekode -3 er aktiv selv i S3 dvaletilstand.
Dette lyder fristende, for det ser ud til, at hvis vi kan etablere en omvendt forbindelse til et eller andet adminpanel ved hjælp af Intel AMT, vil vi ikke kunne få adgang, der er værre end Computrace (faktisk nej).
Vi aktiverer Intel AMT på vores maskine
Først vil nogle af jer sikkert gerne røre ved denne AMT med egne hænder, og her begynder nuancerne. For det første: du har brug for en processor, der understøtter det. Heldigvis er der ingen problemer med dette (medmindre du har AMD), for vPro er tilføjet til næsten alle Intel i5, i7 og i9 processorer (du kan se ) siden 2006, og normal VNC blev bragt dertil allerede i 2010. For det andet: hvis du har en stationær computer, så skal du bruge et bundkort, der understøtter denne funktionalitet, nemlig med Q-chipsættet I bærbare computere skal vi kun kende processormodellen. Hvis du finder understøttelse af Intel AMT, så er dette et godt tegn, og du vil være i stand til at anvende indstillingerne opnået her. Hvis ikke, så var du enten uheldig/har du bevidst valgt en processor eller chipset uden understøttelse af denne teknologi, eller også har du med succes sparet penge ved at vælge AMD, hvilket også er en grund til glæde.
Ifølge dokumenterne
I ikke-sikker tilstand lytter Intel AMT-enheder på port 16992.
I TLS-tilstand lytter Intel AMT-enheder på port 16993.
Intel AMT accepterer forbindelser på porte 16992 og 16993. Lad os flytte derhen.
Du skal kontrollere, at Intel AMT er aktiveret i BIOS:
Dernæst skal vi genstarte og trykke på Ctrl + P under indlæsning
Standardadgangskoden, som sædvanlig, admin.
Skift straks adgangskoden i Intel ME General Settings. Aktivér derefter Aktiver netværksadgang i Intel AMT-konfiguration. Parat. Du er nu officielt bagdør. Vi læser ind i systemet.
Nu en vigtig nuance: logisk set kan vi få adgang til Intel AMT fra localhost og eksternt, men nej. Intel siger, at du kan oprette forbindelse lokalt og ændre indstillinger vha , men for mig nægtede den blankt at oprette forbindelse, så min forbindelse fungerede kun eksternt.
Vi tager noget apparat og forbinder via : 16992
Det ser sådan ud:
Velkommen til standard Intel AMT-grænsefladen! Hvorfor "standard"? Fordi den er afkortet og fuldstændig ubrugelig til vores formål, og vi vil bruge noget mere seriøst.
Lær MeshCommander at kende
Som sædvanlig gør store virksomheder noget, og slutbrugerne ændrer det, så det passer til dem selv. Det er også det, der skete her.
Denne beskedne (ingen overdrivelse: hans navn er ikke på hans hjemmeside, jeg var nødt til at Google det) mand ved navn Ylian Saint-Hilaire har udviklet vidunderlige værktøjer til at arbejde med Intel AMT.
Jeg vil gerne straks henlede din opmærksomhed på ham , i sine videoer viser han enkelt og tydeligt i realtid, hvordan man udfører visse opgaver relateret til Intel AMT og dets software.
Lad os begynde med . Download, installer og prøv at oprette forbindelse til vores maskine:
Processen er ikke øjeblikkelig, men som et resultat får vi denne skærm:
Det er ikke fordi jeg er paranoid, men jeg vil slette følsomme data, tilgiv mig for sådan koketteri
Forskellen er, som de siger, indlysende. Jeg ved ikke, hvorfor Intel Control Panel ikke har sådan et sæt funktioner, men faktum er, at Ylian Saint-Hilaire får markant mere ud af livet. Desuden kan du installere dens webgrænseflade direkte i firmwaren, det giver dig mulighed for at bruge alle funktionerne uden et hjælpeprogram.
Dette gøres sådan:
Jeg skal bemærke, at jeg ikke har brugt denne funktionalitet (Custom web interface) og kan ikke sige noget om dens effektivitet og ydeevne, da det ikke er påkrævet til mine behov.
Du kan lege lidt med funktionaliteten, det er usandsynligt, at du ødelægger alt, fordi start- og sidste udgangspunkt for hele denne festival er BIOS'en, hvor du så kan nulstille alt ved at deaktivere Intel AMT.
Implementer MeshCentral og implementer BackConnect
Og her begynder hovedets fuldstændige fald. Min onkel lavede ikke kun en klient, men også et helt adminpanel til vores trojaner! Og han gjorde det ikke bare, men .
Kom i gang ved at installere din egen MeshCentral-server, eller hvis du ikke er bekendt med MeshCentral, kan du prøve den offentlige server på egen risiko på MeshCentral.com.
Dette taler positivt om pålideligheden af dens kode, da jeg ikke kunne finde nogen nyheder om hacks eller lækager under tjenestens drift.
Personligt kører jeg MeshCentral på min server, fordi jeg urimeligt tror, at det er mere pålideligt, men der er intet i det, undtagen forfængelighed og åndens træghed. Hvis du også vil, så der er dokumenter og beholder med MeshCentral. Dokumenterne beskriver, hvordan man binder det hele sammen i NGINX, så implementeringen nemt kan integreres i dine hjemmeservere.
Tilmeld dig på , gå ind og opret en enhedsgruppe ved at vælge muligheden "ingen agent":
Hvorfor "ingen agent"? For hvorfor har vi brug for det til at installere noget unødvendigt, det er ikke klart, hvordan det opfører sig, og hvordan det vil fungere.
Klik på "Tilføj CIRA":
Download cira_setup_test.mescript og brug det i vores MeshCommander sådan her:
Voila! Efter noget tid vil vores maskine oprette forbindelse til MeshCentral, og vi kan gøre noget med den.
For det første: du skal vide, at vores software ikke vil banke på en ekstern server bare sådan. Det skyldes, at Intel AMT har to muligheder for tilslutning – gennem en ekstern server og direkte lokalt. De virker ikke på samme tid. Vores script har allerede konfigureret systemet til fjernarbejde, men du skal muligvis oprette forbindelse lokalt. For at du kan oprette forbindelse lokalt, skal du gå her
skriv en linje, der er dit lokale domæne (bemærk, at vores script ALLEREDE har indsat en eller anden tilfældig linje der, så forbindelsen kan foretages eksternt) eller slet alle linjer helt (men så vil fjernforbindelsen ikke være tilgængelig). For eksempel er mit lokale domæne i OpenWrt lan:
Følgelig, hvis vi indtaster lan der, og hvis vores maskine er forbundet til et netværk med dette lokale domæne, så vil fjernforbindelsen ikke være tilgængelig, men lokale porte 16992 og 16993 vil åbne og acceptere forbindelser. Kort sagt, hvis der er noget sludder, der ikke er relateret til dit lokale domæne, så fejler softwaren, hvis ikke, så skal du selv oprette forbindelse til den via en ledning, det er alt.
For det andet:
Alt er klar!
Du kan spørge - hvor er AntiTheft? Som jeg sagde indledningsvis, er Intel AMT ikke særlig velegnet til at bekæmpe tyve. Det er velkomment at administrere et kontornetværk, men at slås med personer, der ulovligt har taget ejendom i besiddelse via internettet, er ikke så specielt. Lad os overveje et værktøjssæt, som i teorien kan hjælpe os i kampen for privat ejendom:
- I sig selv er det klart, at du har adgang til maskinen, hvis den er tilsluttet via kabel, eller, hvis Windows er installeret på den, så via WiFi. Ja, det er barnligt, men det er allerede meget svært for en almindelig person at bruge sådan en bærbar computer, selvom nogen lige pludselig overtager kontrollen. Desuden, på trods af at jeg ikke kunne finde ud af scripts, er det bestemt muligt kunstnerisk at designe en eller anden funktionalitet til at blokere/vise notifikationer på dem.
- Sikker fjernsletning med Intel Active Management Technology
Ved at bruge denne mulighed kan du slette al information fra maskinen på få sekunder. Det er ikke klart, om det virker på ikke-Intel SSD'er. Her Du kan læse mere om denne funktion. Du kan beundre værket . Kvaliteten er forfærdelig, men kun 10 megabyte og essensen er klar.
Problemet med udskudt udførelse forbliver uløst, med andre ord: du skal se, hvornår maskinen kommer ind i netværket for at oprette forbindelse til den. Jeg tror også, at der er en løsning på dette.
I en ideel implementering skal du blokere den bærbare computer og vise en form for inskription, men i vores tilfælde har vi simpelthen uundgåelig adgang, og hvad du skal gøre næste er et spørgsmål om fantasi.
Måske vil du på en eller anden måde kunne blokere bilen eller i det mindste vise en besked, skriv hvis du ved det. Tak skal du have!
Glem ikke at indstille en adgangskode til BIOS.
Tak til brugeren til korrekturlæsning!
Kilde: www.habr.com