TL; DR
Absolute Computrace estas teknologio, kiu ebligas al vi ŝlosi vian aŭton (kaj ne ), eĉ se la operaciumo estis reinstalita sur ĝi aŭ eĉ la malmola disko estis anstataŭigita, por $15 jare. Mi aĉetis tekkomputilon ĉe eBay, kiu estis ŝlosita kun ĉi tiu afero. La artikolo priskribas mian sperton, kiel mi luktis kun ĝi kaj provis fari la samon sur Intel AMT, sed senpage.
Ni tuj konsentu: mi ne eniras malfermitajn pordojn kaj ne skribas prelegon pri ĉi tiuj foraj aferoj, sed rakontas iom fonon kaj kiel rapide akiri foran aliron al via maŝino sur via genuo en ajna situacio (se ĝi estas konektita al la reto per RJ-45) aŭ, se ĝi estas konektita per Wi-Fi, tiam nur en OS Windows. Ankaŭ, eblos registri la SSID, ensaluton kaj pasvorton de specifa punkto en Intel AMT mem, kaj tiam aliro per Wi-Fi ankaŭ povas esti akirita sen ekfunkciigo en la sistemon. Kaj ankaŭ, se vi instalas ŝoforojn por Intel ME sur GNU/Linukso, tiam ĉio ĉi devus funkcii ankaŭ sur ĝi. Rezulte, ne eblos malproksime ŝlosi tekkomputilon kaj montri mesaĝon (mi ne povis eltrovi ĉu tio eĉ eblas uzante ĉi tiun teknologion), sed estos aliro al fora labortablo kaj Secure Erase, kaj ĉi tio. estas la ĉefa afero.
La taksiisto foriris kun mia tekkomputilo kaj mi decidis aĉeti novan ĉe eBay. Kio povus misfunkcii?
De aĉetanto ĝis ŝtelistoj - en unu lanĉo
Hejmenportinte tekkomputilon el la poŝtoficejo, mi komencis kompletigi la antaŭinstalon de Windows 10, kaj post tio mi eĉ sukcesis elŝuti Firefox, kiam subite:
Mi perfekte komprenis, ke neniu modifos la Vindozan distribuadon, kaj se ili farus, tiam ĉio ne aspektus tiel mallerta kaj ĝenerale la blokado estus okazinta pli rapide. Kaj, finfine, ne havus signifon bloki ion ajn, ĉar ĉio estus resanigita reinstalante ĝin. Bone, ni rekomencu.
Rekomencu en la BIOS, kaj nun ĉio fariĝas iom pli klara:
Kaj finfine, estas tute klare:
Kiel mia propra tekkomputilo ĝenas min? Kio estas Computrace?
Strikte parolante, Computrace estas aro da moduloj en via EFI BIOS, kiuj post ŝarĝo de OS Vindozo, enmetas siajn trojanojn en ĝin, frapante la fora Absolute programaro-servilo kaj permesante, se necese, bloki la sistemon per Interreto. Vi povas legi pliajn detalojn ĉi tie . Computrace ne funkcias kun operaciumoj krom Vindozo. Krome, se ni konektas diskon kun Vindozo ĉifrita de BitLocker, aŭ ajna alia programaro, tiam Computrace ne funkcios denove - la moduloj simple ne povos ĵeti siajn dosierojn en nian sistemon.
De malproksime tiaj teknologioj povas ŝajni kosmaj, sed nur ĝis ni ekscios, ke ĉio ĉi estas farita sur denaska UEFI uzante unu kaj duonon dubindajn modulojn.
Ŝajnas, ke ĉi tiu afero estas malvarma kaj ĉiopova ĝis ni provas, ekzemple, lanĉi en GNU/Linukso:
Ĉi tiu tekkomputilo havas Computrace-ŝlosadon ebligita nun.
Kiel diras la diro,
Kion mi faru?
Estas kvar evidentaj vektoroj por solvi la problemon:
- Skribu al la vendisto ĉe eBay
- Skribu al Absolute programaro, kreinto kaj posedanto de Computrace
- Faru rubejon de la BIOS-peceto, sendu ĝin al ombraj tipoj, por ke ili resendas rubejon kun flikaĵo, kiu malaktivigas ĉiujn serurojn kaj menuojn de la aparato ID.
- Voku Lazard
Ni ordigu ilin en ordo:
- Ni, kiel ĉiuj prudentaj homoj, unue skribas al la vendisto, kiu vendis al ni tian produkton, kaj diskutas la problemon kun tiu, kiu ĉefe respondecas pri ĝi.
Farita:
- Laŭ konsilisto malkovrita en la profundo de Interreto,
Vi devas kontakti absolutan programaron. Ili volos la maŝinan serian numeron kaj la bazplatan serian numeron. Vi ankaŭ devos provizi "pruvon de aĉeto", kiel kvitancon. Ili kontaktos la posedanton, kiun ili havas en dosiero kaj ricevos la Bonon forigi ĝin. Supozante ke ĝi ne estas ŝtelita, ili tiam "markos ĝin por forigo". Post tio, la venontan fojon kiam vi konektos al interreto aŭ havos malfermitan interretan konekton, miraklo okazos kaj ĝi malaperis. Sendu la aĵojn al kiuj mi menciis [retpoŝte protektita].
ni povas skribi rekte al Absolute kaj rekte komuniki kun ili pri malŝlosado. Mi prenis mian tempon kaj decidis recurri al ĉi tiu solvo nur ĉe la fino.
- Feliĉe, jam ĉeestis brutala solvo de la problemo. Tiuj ĉi kaj multaj aliaj komputilsubtenaj specialistoj sur la sama eBay kaj eĉ indianoj en Fejsbuko promesas al ni malŝlosi nian BIOS se ni sendos al ili rubejon kaj atendos kelkajn minutojn.
La malŝlosa procezo estas priskribita jene:
Malŝlosa solvo estas finfine havebla kaj postulas SPEG-programiston povi ekbriligi la BIOS.
La procezo estas:
- Legante la BIOS kaj kreu validan rubejon. En Thinkpad, la BIOS estas edziĝinta al la interna TPM-peceto kaj enhavas unikan subskribon de ĝi, do gravas, ke la originala BIOS estu ĝusta legado por la sukceso de la tuta operacio kaj restarigi la BIOS poste.
- Flikigante la BIOS-binarojn kaj injektu tute smallservice.ro UEFI-programon. Ĉi tiu programo legos la sekuran eepromon, restarigos TPM-atestilon kaj pasvorton, skribos sekuran eepromon kaj rekonstruos ĉiujn datumojn.
- Skribu la flikitan BIOS-forĵeton (ĉi tio funkcios nur en tiu TP cetere), lanĉu la tekkomputilon kaj generu Apararan ID. Ni sendos al vi unikan ŝlosilon, kiu aktivigos la Allservice BIOS, dum la BIOS ŝarĝas, ĝi efektivigos la malŝlosan rutinon kaj malŝlosos la SVP kaj TPM.
- Fine, reskribi la originalan BIOS-forĵeton por normalaj operacioj kaj ĝuu la tekkomputilon.
Ni ankaŭ povas malŝalti Computrace aŭ ŝanĝi la SN/UUID kaj restarigi RFID-kontrolsuman eraron uzante nian UEFI-programon en la sama maniero, se necese.
La malŝlosa servoprezo estas per maŝino (kiel ni faras por la Macbook/iMac, HP, Acer, ktp) Por servoprezo kaj havebleco bonvolu legi la sekvan afiŝon sube. Vi povas kontakti [retpoŝte protektita] por ajna enketo.
Ŝajnas legitime! Sed ankaŭ ĉi tio, pro evidentaj kialoj, estas elekto por la plej malespera situacio, kaj krome, la tuta amuzo kostas $80. Ni lasas ĝin por poste.
- Se Lazard rompis ĉion por mi kaj petas, ke mi revoku vin, tiam vi ne rifuzu! Ni eklaboru.
Ni nomas Lazard alinome "la ĉefa firmao pri financa konsilado kaj administrado de valoraĵoj de la mondo, konsilas pri fuzioj, akiroj, restrukturado, kapitalstrukturo kaj strategio"
Dum la vendisto de eBay respondas, mi ĵetas kelkajn dolarojn sur zadarma kaj antaŭĝojas komuniki kun eble la plej senanima interparolanto de la planedo - la subteno de grandega financa korporacio el Novjorko. La knabino rapide prenas la telefonon, aŭskultas en mia kamarado angla la timemajn klarigojn pri tio, kiel mi aĉetis ĉi tiun tekkomputilon, notas ĝian serian numeron kaj promesas doni ĝin al la administrantoj, kiuj revokos min. Ĉi tiu procezo estas ripetita ekzakte dufoje, unu tagon aparte. La trian fojon, mi intence atendis ĝis la 10-a vespere en Novjorko kaj vokis, rapide legante la konatajn pastojn pri mia aĉeto. Du horojn poste la sama virino vokis min kaj komencis legi instrukciojn:
— Alklaku eskapi.
Mi klakas sed nenio okazas.
— Io ne funkcias, nenio ŝanĝiĝas.
- Premu.
- Mi premas.
— Nun enigu: 72406917
Mi eniras. Nenio okazas.
- Sciu, mi timas, ke ĉi tio ne helpos... Nur minuton...
La tekokomputilo subite rekomencas, la sistemo ekfunkciigas, la ĝena blanka ekrano malaperis ie. Por esti certa, mi eniras la BIOS, Computrace ne estas aktivigita. Ŝajnas ke tio estas. Dankon pro via subteno, mi skribas al la vendisto, ke mi solvis ĉiujn problemojn mem kaj malstreĉiĝas.
OpenMakeshift Komputrace Intel AMT bazita
Tio, kio okazis, malkuraĝigis min, sed mi ŝatis la ideon, mia fantoma doloro pro tio, kio estis mezbone perdita, serĉis ian elirejon, mi volis protekti mian novan tekkomputilon, kvazaŭ ĝi redonus al mi la malnovan. Se iu uzas Computrace, tiam ankaŭ mi povas uzi ĝin, ĉu ne? Post ĉio, estis Intel Anti-Theft, laŭ la priskribo - bonega teknologio, kiu funkcias kiel ĝi devus, sed ĝi estis mortigita de la inercio de la merkato, sed devas esti alternativo. Montriĝis, ke ĉi tiu alternativo komenciĝis en la sama loko, kie ĝi finiĝis - nur Absolute-programaro povis akiri lokon en ĉi tiu kampo.
Unue, ni memoru kio estas Intel AMT: ĉi tio estas aro da bibliotekoj, kiu estas parto de Intel ME, enkonstruita en la EFI-BIOS, por ke administranto en iu oficejo povu, sen leviĝi de sia seĝo, funkciigi maŝinojn en la reto, eĉ se ili ne ekfunkciigas, konektante malproksime ISO-ojn, kontrolante per fora labortablo, ktp.
Ĉio ĉi funkcias sur Minix kaj proksimume je ĉi tiu nivelo:
Invisible Things Lab proponis nomi la funkciecon de Intel vPro / Intel AMT teknologio ringo de protekto -3. Kiel parto de tiu teknologio, pecetaroj kiuj apogas vPro-teknologion enhavas sendependan mikroprocesoron (ARC4-arkitekturo), havas apartan interfacon al la retkarto, ekskluzivan aliron al diligenta sekcio de RAM (16 MB), kaj DMA-aliron al la ĉefa RAM. Programoj sur ĝi estas ekzekutitaj sendepende de la centra procesoro; la firmvaro estas stokita kune kun BIOS-kodoj aŭ sur simila SPI-fulmmemoro (la kodo havas kriptografan subskribon). Parto de la firmvaro estas enkonstruita retservilo. Defaŭlte, AMT estas malŝaltita, sed iu kodo ankoraŭ funkcias en ĉi tiu reĝimo eĉ kiam AMT estas malŝaltita. Ringkodo -3 estas aktiva eĉ en S3 Sleep-potenca reĝimo.
Ĉi tio sonas tenta, ĉar ŝajnas, ke se ni povas establi inversan konekton al iu administra panelo uzante Intel AMT, ni povos havi aliron ne pli malbona ol Computrace (fakte, ne).
Ni aktivigas Intel AMT sur nia maŝino
Unue, iuj el vi verŝajne ŝatus tuŝi ĉi tiun AMT per viaj propraj manoj, kaj ĉi tie komenciĝas la nuancoj. Unue: vi bezonas procesoron kiu subtenas ĝin. Feliĉe, ne estas problemoj kun ĉi tio (krom se vi havas AMD), ĉar vPro estas aldonita al preskaŭ ĉiuj Intel i5, i7 kaj i9 procesoroj (vi povas vidi ) ekde 2006, kaj normala VNC estis alportita tien jam en 2010. Due: se vi havas labortablon, tiam vi bezonas bazplaton, kiu subtenas ĉi tiun funkcion, nome kun la chipset Q. En tekkomputiloj, ni bezonas nur koni la modelon de procesoro. Se vi trovas subtenon por Intel AMT, tiam ĉi tio estas bona signo kaj vi povos apliki la agordojn akiritajn ĉi tie. Se ne, tiam aŭ vi estis malbonŝanca/vi intence elektis procesoron aŭ pecetaron sen subteno por ĉi tiu teknologio, aŭ vi sukcese ŝparis monon elektante AMD, kio ankaŭ estas kialo por ĝojo.
Laŭ la dokumentoj
En ne-sekura reĝimo, Intel AMT-aparatoj aŭskultas sur haveno 16992.
En TLS-reĝimo, Intel AMT-aparatoj aŭskultas sur haveno 16993.
Intel AMT akceptas konektojn sur havenoj 16992 kaj 16993. Ni movu tien.
Vi devas kontroli, ke Intel AMT estas ebligita en la BIOS:
Poste ni devas rekomenci kaj premi Ctrl + P dum ŝarĝo
La norma pasvorto, kiel kutime, administristo.
Tuj ŝanĝu la pasvorton en Intel ME Ĝeneralaj Agordoj. Poste, en Intel AMT-Agordo, ebligu Aktivigi Retan Aliron. Preta. Vi nun estas oficiale malantaŭa pordo. Ni ŝargas en la sistemon.
Nun grava nuanco: logike, ni povas aliri Intel AMT de localhost kaj malproksime, sed ne. Intel diras, ke vi povas konektiĝi loke kaj ŝanĝi agordojn uzante , sed por mi ĝi tute rifuzis konektiĝi, do mia konekto funkciis nur malproksime.
Ni prenas iun aparaton kaj konektas per : 16992
Ĝi aspektas jene:
Bonvenon al la norma interfaco Intel AMT! Kial "norma"? Ĉar ĝi estas detranĉita kaj tute senutila por niaj celoj, kaj ni uzos ion pli seriozan.
Konatiĝi kun MeshCommander
Kiel kutime, grandaj kompanioj faras ion, kaj finaj uzantoj modifas ĝin por konveni al si. Tiel okazis ankaŭ ĉi tie.
Ĉi tiu modesta (neniu troigo: lia nomo ne estas en lia retejo, mi devis Google ĝin) viro nomata Ylian Saint-Hilaire evoluigis mirindajn ilojn por labori kun Intel AMT.
Mi ŝatus tuj atentigi vin pri li , en siaj videoj li simple kaj klare montras en reala tempo kiel plenumi certajn taskojn rilatajn al Intel AMT kaj ĝia programaro.
Ni komencu per . Elŝutu, instalu kaj provu konekti al nia maŝino:
La procezo ne estas tuja, sed kiel rezulto ni ricevos ĉi tiun ekranon:
Ne estas ke mi estas paranoja, sed mi forigos sentemajn datumojn, pardonu min pro tia koketeco
La diferenco, kiel oni diras, estas evidenta. Mi ne scias kial la Intel-Kontrolpanelo ne havas tian aron da funkcioj, sed la fakto estas, ke Ylian Saint-Hilaire multe pli profitas de la vivo. Plie, vi povas instali ĝian retan interfacon rekte en la firmware, ĝi permesos al vi uzi ĉiujn funkciojn sen ilo.
Ĉi tiu estas farita kiel sekvas:
Mi notu, ke mi ne uzis ĉi tiun funkcion (Persona interfaco) kaj ne povas diri ion ajn pri ĝia efikeco kaj efikeco, ĉar ĝi ne estas postulata por miaj bezonoj.
Vi povas ludi kun la funkcieco, estas neverŝajne, ke vi ruinigos ĉion, ĉar la komenca kaj fina deirpunkto de ĉi tiu tuta festivalo estas la BIOS, en kiu vi povas poste restarigi ĉion malŝaltante Intel AMT.
Deploji MeshCentral kaj efektivigi BackConnect
Kaj ĉi tie komenciĝas la kompleta falo de la kapo. Mia onklo ne nur faris klienton, sed ankaŭ tutan administran panelon por nia trojano! Kaj li ne simple faris ĝin, sed .
Komencu instalante propran servilon MeshCentral aŭ se vi ne konas MeshCentral, vi povas provi la publikan servilon je via propra risko ĉe MeshCentral.com.
Ĉi tio parolas pozitive pri la fidindeco de ĝia kodo, ĉar mi ne povis trovi novaĵojn pri hakoj kaj likoj dum la funkciado de la servo.
Persone, mi prizorgas MeshCentral sur mia servilo ĉar mi senracie kredas, ke ĝi estas pli fidinda, sed estas nenio en ĝi krom vanteco kaj maltrankvileco de spirito. Se vi ankaŭ volas, do estas dokumentoj kaj ujo kun MeshCentral. La dokumentoj priskribas kiel ligi ĉion kune en NGINX, do la efektivigo facile integriĝos al viaj hejmaj serviloj.
Registriĝi sur , eniru kaj kreu Aparan Grupon elektante la opcion "neniu agento":
Kial "neniu agento"? Ĉar kial ni bezonas ĝin por instali ion nenecesan, ne estas klare kiel ĝi kondutas kaj kiel ĝi funkcios.
Alklaku "Aldoni CIRA":
Elŝutu cira_setup_test.mescript kaj uzu ĝin en nia MeshCommander tiel:
Voila! Post iom da tempo, nia maŝino konektos al MeshCentral kaj ni povas fari ion per ĝi.
Unue: vi devas scii, ke nia programaro ne frapos foran servilon ĝuste tiel. Ĉi tio estas pro la fakto, ke Intel AMT havas du eblojn por konekti - per fora servilo kaj rekte loke. Ili ne funkcias samtempe. Nia skripto jam agordis la sistemon por fora laboro, sed vi eble bezonos konektiĝi loke. Por ke vi konektiĝu loke, vi devas iri ĉi tien
skribu linion, kiu estas via loka domajno (notu, ke nia skripto JAM enmetis iun hazardan linion tie por ke la konekto povas esti farita malproksime) aŭ purigu ĉiujn liniojn entute (sed tiam la fora konekto ne estos disponebla). Ekzemple, mia loka domajno en OpenWrt estas lan:
Sekve, se ni eniras lan tie, kaj se nia maŝino estas konektita al reto kun ĉi tiu loka domajno, tiam la fora konekto ne estos disponebla, sed lokaj havenoj 16992 kaj 16993 malfermos kaj akceptos konektojn. Resume, se ekzistas ia sensencaĵo, kiu ne rilatas al via loka domajno, tiam la programaro malboniĝas, se ne, tiam vi devas mem konektiĝi al ĝi per drato, jen ĉio.
Due:
Ĉio estas preta!
Vi povas demandi - kie estas AntiTheft? Kiel mi diris komence, Intel AMT ne tre taŭgas por batali kontraŭ ŝtelistoj. Administri oficejan reton estas bonvena, sed batali kun individuoj, kiuj kontraŭleĝe ekposedis posedaĵon per Interreto, ne estas tiel speciala. Ni konsideru ilaron, kiu teorie povas helpi nin en la batalo por privata proprieto:
- En si mem, estas klare, ke vi havas aliron al la maŝino se ĝi estas konektita per kablo, aŭ, se Vindozo estas instalita sur ĝi, tiam per WiFi. Jes, ĝi estas infaneca, sed por ordinara homo estas jam tre malfacile uzi tian tekkomputilon, eĉ se iu subite transprenas la kontrolon. Cetere, malgraŭ tio, ke mi ne povis eltrovi la skriptojn, certe eblas arte desegni iun funkciojn por bloki/montri sciigojn pri ili.
- Fora Sekura Forigo kun Intel Active Management Technology
Uzante ĉi tiun opcion, vi povas forigi ĉiujn informojn de la maŝino en sekundoj. Ne estas klare ĉu ĝi funkcias sur ne-Intel SSD-oj. Jen Vi povas legi pli pri ĉi tiu funkcio. Vi povas admiri la verkon . La kvalito estas terura, sed nur 10 megabajtoj kaj la esenco estas klara.
La problemo de prokrastita ekzekuto restas nesolvita, alivorte: vi devas rigardi kiam la maŝino eniras la reton por konekti al ĝi. Mi kredas ke ekzistas ia solvo ankaŭ al ĉi tio.
En ideala efektivigo, vi devas bloki la tekkomputilon kaj montri ian surskribon, sed en nia kazo ni simple havas neeviteblan aliron, kaj kion fari poste estas demando de imago.
Eble vi iel povos bloki la aŭton aŭ almenaŭ montri mesaĝon, skribu se vi scias. Dankon!
Ne forgesu agordi pasvorton por la BIOS.
Dankon uzanto por provlegado!
fonto: www.habr.com