TL; DR
Absolute Computrace ist eine Technologie, die es Ihnen ermöglicht, Ihr Auto zu verriegeln (und nicht). ), selbst wenn das Betriebssystem darauf neu installiert oder sogar die Festplatte ausgetauscht wurde, für 15 US-Dollar pro Jahr. Ich habe bei eBay einen Laptop gekauft, der mit diesem Ding verschlossen war. Der Artikel beschreibt meine Erfahrungen, wie ich damit zu kämpfen hatte und versuchte, dasselbe auf Intel AMT zu tun, aber kostenlos.
Lassen Sie uns sofort zustimmen: Ich breche nicht in offene Türen ein und schreibe keinen Vortrag über diese Remote-Dinge, sondern erzähle ein paar Hintergrundinformationen und wie Sie in jeder Situation schnell Fernzugriff auf Ihre Maschine auf Ihrem Knie erhalten (sofern diese mit dem verbunden ist). Netzwerk über RJ-45) oder, wenn es über WLAN verbunden ist, dann nur im Betriebssystem Windows. Außerdem wird es möglich sein, die SSID, den Login und das Passwort eines bestimmten Punkts in Intel AMT selbst zu registrieren, und dann kann auch der Zugriff über WLAN erfolgen, ohne das System zu booten. Und wenn Sie Treiber für Intel ME unter GNU/Linux installieren, sollte das alles auch funktionieren. Infolgedessen wird es nicht möglich sein, einen Laptop aus der Ferne zu sperren und eine Meldung anzuzeigen (ich konnte nicht herausfinden, ob dies mit dieser Technologie überhaupt möglich ist), aber es wird Zugriff auf einen Remote-Desktop und sicheres Löschen geben, und zwar so ist die Hauptsache.
Der Taxifahrer ging mit meinem Laptop und ich beschloss, bei eBay ein neues zu kaufen. Was könnte schiefgehen?
Vom Käufer zum Dieb – in einem Durchgang
Nachdem ich einen Laptop von der Post mit nach Hause gebracht hatte, machte ich mich daran, die Vorinstallation von Windows 10 abzuschließen, und danach gelang es mir sogar, Firefox herunterzuladen, als plötzlich:
Ich habe vollkommen verstanden, dass niemand die Windows-Distribution ändern würde, und wenn ja, würde nicht alles so ungeschickt aussehen und im Allgemeinen wäre die Blockierung schneller erfolgt. Und am Ende hätte es keinen Sinn, irgendetwas zu blockieren, da alles durch eine Neuinstallation behoben wäre. Okay, lass uns neu starten.
Starten Sie das BIOS neu und jetzt wird alles etwas klarer:
Und schließlich ist es völlig klar:
Wie kommt es, dass mich mein eigener Laptop stört? Was ist Computrace?
Streng genommen handelt es sich bei Computrace um eine Reihe von Modulen in Ihrem EFI-BIOS, die nach dem Laden des Windows-Betriebssystems ihre Trojaner darin einschleusen, den Remote-Softwareserver von Absolute angreifen und es bei Bedarf ermöglichen, das System über das Internet zu blockieren. Weitere Einzelheiten können Sie hier nachlesen . Computrace funktioniert nicht mit anderen Betriebssystemen als Windows. Wenn wir außerdem ein Laufwerk mit Windows verbinden, das mit BitLocker oder einer anderen Software verschlüsselt ist, funktioniert Computrace nicht mehr – die Module können ihre Dateien einfach nicht in unser System werfen.
Aus der Ferne mögen solche Technologien kosmisch erscheinen, aber nur bis wir herausfinden, dass dies alles auf nativem UEFI mit anderthalb zweifelhaften Modulen erfolgt.
Es scheint, dass dieses Ding kalt und allmächtig ist, bis wir beispielsweise versuchen, in GNU/Linux zu booten:
Für diesen Laptop ist die Computrace-Sperre derzeit aktiviert.
Wie spreche ich,
Was zu tun ist?
Es gibt vier offensichtliche Vektoren zur Lösung des Problems:
- Schreiben Sie dem Verkäufer bei eBay
- Schreiben Sie an Absolute Software, Erfinder und Eigentümer von Computrace
- Erstellen Sie einen Dump vom BIOS-Chip und senden Sie ihn an zwielichtige Typen, damit diese einen Dump mit einem Patch zurücksenden, der alle Sperren deaktiviert und die Geräte-ID anzeigt
- Rufen Sie Lazard an
Schauen wir sie uns der Reihe nach an:
- Wir schreiben, wie alle vernünftigen Menschen, zunächst den Verkäufer an, der uns ein solches Produkt verkauft hat, und besprechen das Problem mit demjenigen, der in erster Linie dafür verantwortlich ist.
Gemacht:
- Laut einem in den Tiefen des Internets entdeckten Berater
Sie müssen sich an absolute software wenden. Sie benötigen die Seriennummer des Geräts und die Seriennummer des Motherboards. Sie müssen außerdem einen „Kaufbeleg“ vorlegen, z. B. eine Quittung. Sie werden den bei ihnen hinterlegten Eigentümer kontaktieren und die Genehmigung zur Entfernung einholen. Vorausgesetzt, es ist nicht gestohlen, wird es dann „zum Löschen markiert“. Wenn Sie danach das nächste Mal eine Verbindung zum Internet herstellen oder eine offene Internetverbindung haben, geschieht ein Wunder und es wird verschwinden. Schicken Sie die Sachen, die ich erwähnt habe, an [E-Mail geschützt] .
Wir können Absolute direkt anschreiben und direkt mit ihnen über das Entsperren kommunizieren. Ich habe mir Zeit gelassen und erst gegen Ende beschlossen, auf diese Lösung zurückzugreifen.
- Glücklicherweise gab es bereits eine brutale Lösung für das Problem. Diese hier und viele andere Computer-Support-Spezialisten auf eBay und sogar Inder auf Facebook versprechen uns, unser BIOS zu entsperren, wenn wir ihnen einen Dump schicken und ein paar Minuten warten.
Der Entsperrvorgang wird wie folgt beschrieben:
Die Lösung zum Entsperren ist endlich verfügbar und erfordert, dass ein SPEG-Programmierer das BIOS flashen kann.
Der Prozess ist:
- Lesen Sie das BIOS und erstellen Sie einen gültigen Dump. Bei einem Thinkpad ist das BIOS mit dem internen TPM-Chip verbunden und enthält eine eindeutige Signatur davon. Daher ist es für den Erfolg des gesamten Vorgangs wichtig, dass das Original-BIOS korrekt ausgelesen wird und das BIOS anschließend wiederhergestellt werden kann.
- Patchen Sie die BIOS-Binärdateien und fügen Sie ein All-Smallservice.ro-UEFI-Programm ein. Dieses Programm liest das sichere EEPROM, setzt das TPM-Zertifikat und das Passwort zurück, schreibt das sichere EEPROM und rekonstruiert alle Daten.
- Schreiben Sie den gepatchten BIOS-Dump (dies funktioniert übrigens nur in diesem TP), starten Sie den Laptop und generieren Sie eine Hardware-ID. Wir senden Ihnen einen eindeutigen Schlüssel, der das Allservice-BIOS aktiviert. Während das BIOS lädt, führt es die Entsperrroutine aus und entsperrt SVP und TPM.
- Schreiben Sie abschließend den ursprünglichen BIOS-Dump für den normalen Betrieb zurück und genießen Sie den Laptop.
Bei Bedarf können wir auch Computrace deaktivieren oder die SN/UUID ändern und den RFID-Prüfsummenfehler zurücksetzen, indem wir unser UEFI-Programm auf die gleiche Weise verwenden
Der Preis für den Entsperrservice gilt pro Gerät (wie wir es für MacBook/iMac, HP, Acer usw. tun). Informationen zu Servicepreisen und Verfügbarkeit finden Sie im nächsten Beitrag unten. Sie können Kontakt aufnehmen [E-Mail geschützt] für jede Anfrage.
Scheint legitim! Aber auch dies ist aus offensichtlichen Gründen eine Option für die verzweifeltste Situation, und außerdem kostet der ganze Spaß 80 Dollar. Wir heben es für später auf.
- Wenn Lazard alles für mich kaputt gemacht hat und mich bittet, Sie zurückzurufen, dann sollten Sie nicht ablehnen! Kommen wir zur Sache.
Wir bezeichnen Lazard als „das weltweit führende Finanzberatungs- und Vermögensverwaltungsunternehmen, das bei Fusionen, Übernahmen, Umstrukturierungen, Kapitalstruktur und Strategie berät“.
Während der Verkäufer von eBay antwortet, werfe ich ein paar Dollar auf Zadarma und freue mich auf die Kommunikation mit dem vielleicht seelenlosesten Gesprächspartner der Welt – der Unterstützung eines riesigen Finanzkonzerns aus New York. Das Mädchen greift schnell zum Telefon, hört sich in meinem Kameraden-Englisch schüchterne Erklärungen darüber an, wie ich diesen Laptop gekauft habe, notiert sich seine Seriennummer und verspricht, ihn den Administratoren zu geben, die mich zurückrufen werden. Dieser Vorgang wird genau zweimal im Abstand von einem Tag wiederholt. Beim dritten Mal wartete ich bewusst bis es 10 Uhr abends in New York war und rief an, wobei ich schnell die bekannten Nudeln über meinen Einkauf vorlas. Zwei Stunden später rief mich dieselbe Frau zurück und begann, Anweisungen vorzulesen:
— Klicken Sie auf Escape.
Ich klicke, aber es passiert nichts.
— Etwas funktioniert nicht, nichts ändert sich.
- Drücken Sie.
- Ich drücke.
— Geben Sie nun ein: 72406917
Ich trete ein. Es passiert nichts.
- Weißt du, ich fürchte, das wird nicht helfen ... Moment mal ...
Plötzlich startet der Laptop neu, das System fährt hoch, der lästige weiße Bildschirm ist irgendwo verschwunden. Zur Sicherheit gehe ich ins BIOS, Computrace ist nicht aktiviert. Es scheint, dass es das ist. Vielen Dank für Ihre Unterstützung. Ich schreibe dem Verkäufer, dass ich alle Probleme selbst gelöst habe und entspanne mich.
OpenMakeshift Computrace Intel AMT basiert
Was passiert ist, hat mich entmutigt, aber mir gefiel die Idee, mein Phantomschmerz über das, was mittelmäßig verloren war, suchte nach einem Ausweg, ich wollte meinen neuen Laptop schützen, als ob er mir den alten zurückgeben würde. Wenn jemand Computrace verwendet, kann ich es auch verwenden, oder? Immerhin gab es laut Beschreibung Intel Anti-Theft – eine hervorragende Technologie, die so funktioniert, wie sie sollte, aber sie wurde durch die Trägheit des Marktes getötet, aber es muss eine Alternative geben. Es stellte sich heraus, dass diese Alternative dort begann, wo sie endete – nur Absolute Software konnte in diesem Bereich Fuß fassen.
Erinnern wir uns zunächst daran, was Intel AMT ist: Hierbei handelt es sich um eine Reihe von Bibliotheken, die Teil von Intel ME sind und in das EFI-BIOS integriert sind, sodass ein Administrator in einem Büro, ohne von seinem Stuhl aufzustehen, Maschinen im Netzwerk bedienen kann. auch wenn sie nicht booten, Remote-ISOs verbinden, über Remote-Desktop steuern usw.
Das alles läuft auf Minix und ungefähr auf diesem Niveau:
Das Invisible Things Lab schlug vor, die Funktionalität der Intel vPro/Intel AMT-Technologie als Schutzring -3 zu bezeichnen. Als Teil dieser Technologie enthalten Chipsätze, die die vPro-Technologie unterstützen, einen unabhängigen Mikroprozessor (ARC4-Architektur), eine separate Schnittstelle zur Netzwerkkarte, exklusiven Zugriff auf einen dedizierten RAM-Bereich (16 MB) und DMA-Zugriff auf den Haupt-RAM. Programme darauf werden unabhängig vom Zentralprozessor ausgeführt; die Firmware wird zusammen mit BIOS-Codes oder auf einem ähnlichen SPI-Flash-Speicher gespeichert (der Code verfügt über eine kryptografische Signatur). Teil der Firmware ist ein integrierter Webserver. Standardmäßig ist AMT deaktiviert, aber einige Codes werden auch dann noch in diesem Modus ausgeführt, wenn AMT deaktiviert ist. Der Klingelcode -3 ist auch im S3-Schlafmodus aktiv.
Das klingt verlockend, denn es scheint, dass wir, wenn wir mit Intel AMT eine umgekehrte Verbindung zu einem Admin-Panel herstellen können, einen Zugriff haben, der nicht schlechter ist als der von Computrace (tatsächlich nein).
Wir aktivieren Intel AMT auf unserem Rechner
Zunächst möchten einige von Ihnen dieses AMT wahrscheinlich gerne mit Ihren eigenen Händen berühren, und hier beginnen die Nuancen. Erstens: Sie benötigen einen Prozessor, der dies unterstützt. Glücklicherweise gibt es damit keine Probleme (es sei denn, Sie haben AMD), da vPro zu fast allen Intel i5-, i7- und i9-Prozessoren hinzugefügt wird (Sie können sehen). ) seit 2006, und normales VNC wurde bereits 2010 dorthin gebracht. Zweitens: Wenn Sie einen Desktop haben, benötigen Sie ein Motherboard, das diese Funktionalität unterstützt, nämlich mit dem Q-Chipsatz. Bei Laptops müssen wir nur das Prozessormodell kennen. Wenn Sie Unterstützung für Intel AMT finden, ist das ein gutes Zeichen und Sie können die hier erhaltenen Einstellungen übernehmen. Wenn nicht, dann hatten Sie entweder Pech bzw. haben sich bewusst für einen Prozessor bzw. Chipsatz entschieden, der diese Technologie nicht unterstützt, oder Sie haben durch die Wahl von AMD erfolgreich Geld gespart, was ebenfalls ein Grund zur Freude ist.
Laut den Dokumenten
Im nicht sicheren Modus überwachen Intel AMT-Geräte Port 16992.
Im TLS-Modus überwachen Intel AMT-Geräte Port 16993.
Intel AMT akzeptiert Verbindungen auf den Ports 16992 und 16993. Gehen wir dorthin.
Sie müssen überprüfen, ob Intel AMT im BIOS aktiviert ist:
Als nächstes müssen wir neu starten und beim Laden Strg + P drücken
Das Standardpasswort, wie üblich, Administrator.
Ändern Sie sofort das Passwort in den allgemeinen Intel ME-Einstellungen. Aktivieren Sie als Nächstes in der Intel AMT-Konfiguration die Option „Netzwerkzugriff aktivieren“. Bereit. Sie sind jetzt offiziell hinter der Tür. Wir laden in das System.
Nun eine wichtige Nuance: Logischerweise können wir von localhost und aus der Ferne auf Intel AMT zugreifen, aber nein. Laut Intel können Sie eine lokale Verbindung herstellen und Einstellungen ändern , aber bei mir weigerte es sich rundweg, eine Verbindung herzustellen, sodass meine Verbindung nur aus der Ferne funktionierte.
Wir nehmen ein Gerät und verbinden uns über : 16992
Es sieht so aus:
Willkommen bei der standardmäßigen Intel AMT-Schnittstelle! Warum „Standard“? Weil es verkürzt und für unsere Zwecke völlig nutzlos ist und wir etwas Ernsthafteres verwenden werden.
Lernen Sie MeshCommander kennen
Wie üblich machen große Unternehmen etwas und Endbenutzer modifizieren es nach ihren Wünschen. Das ist auch hier passiert.
Dieser bescheidene (keine Übertreibung: Sein Name steht nicht auf seiner Website, ich musste ihn googeln) Mann namens Ylian Saint-Hilaire hat wunderbare Tools für die Arbeit mit Intel AMT entwickelt.
Ich möchte Sie sofort auf ihn aufmerksam machen In seinen Videos zeigt er einfach und anschaulich in Echtzeit, wie bestimmte Aufgaben im Zusammenhang mit Intel AMT und seiner Software ausgeführt werden.
Beginnen wir mit . Laden Sie es herunter, installieren Sie es und versuchen Sie, eine Verbindung zu unserem Computer herzustellen:
Der Vorgang erfolgt nicht sofort, aber als Ergebnis erhalten wir diesen Bildschirm:
Es ist nicht so, dass ich paranoid bin, aber ich werde sensible Daten löschen, verzeihen Sie mir diese Koketterie
Der Unterschied ist, wie sie sagen, offensichtlich. Ich weiß nicht, warum das Intel Control Panel nicht über einen solchen Funktionsumfang verfügt, aber Fakt ist, dass Ylian Saint-Hilaire deutlich mehr aus dem Leben herausholt. Darüber hinaus können Sie die Weboberfläche direkt in die Firmware installieren und so alle Funktionen ohne Dienstprogramm nutzen.
Das geht so:
Ich möchte darauf hinweisen, dass ich diese Funktionalität (benutzerdefinierte Weboberfläche) nicht genutzt habe und nichts über deren Wirksamkeit und Leistung sagen kann, da sie für meine Anforderungen nicht erforderlich ist.
An der Funktionalität kann man herumspielen, es ist unwahrscheinlich, dass man dadurch alles kaputt macht, denn der Start- und Endpunkt dieses gesamten Festivals ist das BIOS, in dem man dann alles zurücksetzen kann, indem man Intel AMT deaktiviert.
Stellen Sie MeshCentral bereit und implementieren Sie BackConnect
Und hier beginnt der völlige Kopfsturz. Mein Onkel hat nicht nur einen Client, sondern auch ein ganzes Admin-Panel für unseren Trojaner erstellt! Und er hat es nicht nur getan, sondern .
Beginnen Sie mit der Installation eines eigenen MeshCentral-Servers. Wenn Sie mit MeshCentral nicht vertraut sind, können Sie auf eigene Gefahr den öffentlichen Server bei MeshCentral.com ausprobieren.
Dies spricht positiv für die Zuverlässigkeit des Codes, da ich während des Betriebs des Dienstes keine Neuigkeiten über Hacks oder Leaks finden konnte.
Persönlich betreibe ich MeshCentral auf meinem Server, weil ich zu Unrecht davon ausgehe, dass es zuverlässiger ist, aber darin steckt nichts außer Eitelkeit und Mattigkeit. Wenn du auch willst, dann Es gibt Dokumente und Container mit MeshCentral. In den Dokumenten wird beschrieben, wie Sie alles in NGINX miteinander verknüpfen, damit sich die Implementierung problemlos in Ihre Heimserver integrieren lässt.
Registrieren für Gehen Sie hinein und erstellen Sie eine Gerätegruppe, indem Sie die Option „Kein Agent“ auswählen:
Warum „kein Agent“? Denn warum brauchen wir es, um etwas Unnötiges zu installieren? Es ist nicht klar, wie es sich verhält und wie es funktionieren wird.
Klicken Sie auf „CIRA hinzufügen“:
Laden Sie cira_setup_test.mescript herunter und verwenden Sie es in unserem MeshCommander wie folgt:
Voila! Nach einiger Zeit stellt unsere Maschine eine Verbindung zu MeshCentral her und wir können etwas damit machen.
Erstens: Sie sollten wissen, dass unsere Software nicht einfach so auf einen Remote-Server klopft. Dies liegt daran, dass Intel AMT zwei Verbindungsoptionen bietet – über einen Remote-Server und direkt lokal. Sie wirken nicht gleichzeitig. Unser Skript hat das System bereits für Remote-Arbeit konfiguriert, aber Sie müssen möglicherweise eine lokale Verbindung herstellen. Damit Sie sich lokal verbinden können, müssen Sie hierher gehen
Schreiben Sie eine Zeile, die Ihre lokale Domäne ist (beachten Sie, dass unser Skript dort BEREITS eine zufällige Zeile eingefügt hat, damit die Verbindung aus der Ferne hergestellt werden kann) oder löschen Sie alle Zeilen vollständig (aber dann ist die Remote-Verbindung nicht verfügbar). Meine lokale Domäne in OpenWrt ist beispielsweise lan:
Wenn wir dort also LAN eingeben und unser Computer mit einem Netzwerk mit dieser lokalen Domäne verbunden ist, ist die Remote-Verbindung nicht verfügbar, aber die lokalen Ports 16992 und 16993 werden geöffnet und nehmen Verbindungen an. Kurz gesagt, wenn es einen Unsinn gibt, der nichts mit Ihrer lokalen Domäne zu tun hat, dann ist die Software fehlerhaft. Wenn nicht, müssen Sie sich selbst über ein Kabel damit verbinden, das ist alles.
Zweitens:
Alles ist fertig!
Sie fragen sich vielleicht: Wo ist AntiTheft? Wie ich eingangs sagte, ist Intel AMT nicht sehr geeignet, um Diebe zu bekämpfen. Die Verwaltung eines Büronetzwerks ist willkommen, der Kampf mit Personen, die über das Internet unrechtmäßig Eigentum in Besitz genommen haben, ist jedoch nichts Besonderes. Betrachten wir ein Toolkit, das uns theoretisch im Kampf um Privateigentum helfen kann:
- An sich ist klar, dass man Zugriff auf die Maschine hat, wenn diese per Kabel angeschlossen ist, bzw. wenn Windows darauf installiert ist, dann per WLAN. Ja, es ist kindisch, aber für einen normalen Menschen ist es schon sehr schwierig, einen solchen Laptop zu benutzen, selbst wenn jemand plötzlich die Kontrolle übernimmt. Darüber hinaus ist es trotz der Tatsache, dass ich die Skripte nicht verstehen konnte, durchaus möglich, einige Funktionen zum Blockieren/Anzeigen von Benachrichtigungen darin künstlerisch zu gestalten.
- Remote Secure Erase mit Intel Active Management-Technologie
Mit dieser Option können Sie in Sekundenschnelle alle Informationen vom Gerät löschen. Es ist nicht klar, ob es auf Nicht-Intel-SSDs funktioniert. Hier Sie können mehr über diese Funktion lesen. Sie können die Arbeit bewundern . Die Qualität ist schrecklich, aber nur 10 Megabyte und das Wesentliche ist klar.
Das Problem der verzögerten Ausführung bleibt ungelöst, mit anderen Worten: Sie müssen beobachten, wann die Maschine das Netzwerk betritt, um eine Verbindung zu ihm herzustellen. Ich glaube, dass es auch hierfür eine Lösung gibt.
In einer idealen Implementierung müssen Sie den Laptop blockieren und eine Art Aufschrift anzeigen, aber in unserem Fall haben wir einfach unvermeidlichen Zugriff, und was als nächstes zu tun ist, ist eine Frage der Vorstellungskraft.
Vielleicht gelingt es Ihnen irgendwie, das Auto zu blockieren oder zumindest eine Meldung anzuzeigen, schreiben Sie, wenn Sie es wissen. Danke!
Vergessen Sie nicht, ein Passwort für das BIOS festzulegen.
Danke an den Benutzer zum Korrekturlesen!
Source: habr.com