TL; DR
Absolute Computrace es una tecnología que le permite bloquear su automóvil (y no ), incluso si se le reinstalaba el sistema operativo o incluso se reemplazaba el disco duro, por 15 dólares al año. Compré una computadora portátil en eBay que estaba bloqueada con esta cosa. El artículo describe mi experiencia, cómo luché con ella e intenté hacer lo mismo en Intel AMT, pero de forma gratuita.
Acordemos de inmediato: no voy a irrumpir en puertas abiertas ni escribir una conferencia sobre estas cosas remotas, sino contar un poco de historia y cómo obtener rápidamente acceso remoto a su máquina en su rodilla en cualquier situación (si está conectada al red a través de RJ-45) o, si está conectado a través de Wi-Fi, solo en el sistema operativo Windows. Además, será posible registrar el SSID, el nombre de usuario y la contraseña de un punto específico en el propio Intel AMT, y luego también se podrá obtener acceso a través de Wi-Fi sin iniciar el sistema. Y además, si instala controladores para Intel ME en GNU/Linux, todo esto también debería funcionar. Como resultado, no será posible bloquear de forma remota una computadora portátil y mostrar un mensaje (no pude determinar si esto es posible usando esta tecnología), pero habrá acceso a un escritorio remoto y Borrado seguro, y esto es lo principal.
El taxista se fue con mi portátil y decidí comprar uno nuevo en eBay. ¿Qué puede salir mal?
De comprador a ladrón: en un solo lanzamiento
Habiendo traído a casa una computadora portátil de la oficina de correos, me dispuse a completar la preinstalación de Windows 10, y luego incluso logré descargar Firefox, cuando de repente:
Entendí perfectamente que nadie modificaría la distribución de Windows, y si lo hicieran, entonces todo no parecería tan torpe y, en general, el bloqueo se habría producido más rápido. Y, al final, no tendría sentido bloquear nada, ya que todo se solucionaría reinstalándolo. Bien, reiniciemos.
Reinicie en el BIOS y ahora todo quedará un poco más claro:
Y finalmente, queda completamente claro:
¿Cómo es que me molesta mi propia computadora portátil? ¿Qué es Computrace?
Estrictamente hablando, Computrace es un conjunto de módulos en su BIOS EFI que, después de cargar el sistema operativo Windows, insertan sus troyanos en él, llamando al servidor remoto de software Absolute y permitiendo, si es necesario, bloquear el sistema a través de Internet. Puedes leer más detalles aquí . Computrace no funciona con sistemas operativos distintos de Windows. Además, si conectamos una unidad con Windows cifrada con BitLocker o cualquier otro software, Computrace no volverá a funcionar: los módulos simplemente no podrán enviar sus archivos a nuestro sistema.
Desde la distancia, estas tecnologías pueden parecer cósmicas, pero solo hasta que descubramos que todo esto se hace en UEFI nativo utilizando un módulo y medio dudoso.
Parece que esto es frío y todopoderoso hasta que intentamos, por ejemplo, arrancar en GNU/Linux:
Esta computadora portátil tiene el bloqueo Computrace habilitado en este momento.
Como ellos dicen
¿Qué hacer?
Hay cuatro vectores obvios para resolver el problema:
- Escribe al vendedor en eBay.
- Escribe a Absolute software, creador y propietario de Computrace
- Haga un volcado del chip BIOS, envíelo a tipos sospechosos para que le devuelvan un volcado con un parche que desactiva todos los bloqueos y menús de ID del dispositivo.
- Llamar a Lazard
Veámoslos en orden:
- Nosotros, como todas las personas razonables, primero escribimos al vendedor que nos vendió dicho producto y discutimos el problema con el principal responsable.
Hecha:
- Según un asesor descubierto en las profundidades de Internet,
Necesita ponerse en contacto con el software absoluto. Querrán el número de serie de la máquina y el número de serie de la placa base. También deberá presentar un “comprobante de compra”, como un recibo. Se comunicarán con el propietario que tienen registrado y obtendrán el visto bueno para eliminarlo. Suponiendo que no sea robado, lo “marcarán para eliminarlo”. Después de eso, la próxima vez que te conectes a Internet o tengas una conexión a Internet abierta, ocurrirá un milagro y desaparecerá. Envía las cosas que te mencioné [email protected].
Podemos escribir directamente a Absolute y comunicarnos directamente con ellos sobre el desbloqueo. Me tomé mi tiempo y decidí recurrir a esta solución sólo hacia el final.
- Afortunadamente, ya existía una solución brutal al problema. Estos y muchos otros especialistas en soporte informático en el mismo eBay e incluso indios en Facebook nos prometen desbloquear nuestra BIOS si les enviamos un volcado y esperamos un par de minutos.
El proceso de desbloqueo se describe a continuación:
La solución de desbloqueo finalmente está disponible y requiere que el programador SPEG pueda actualizar el BIOS.
El proceso es:
- Leer el BIOS y crear un volcado válido. En un Thinkpad, el BIOS está unido al chip TPM interno y contiene una firma única del mismo, por lo que es importante que el BIOS original se lea correctamente para el éxito de toda la operación y para restaurar el BIOS posteriormente.
- Parchear los binarios del BIOS e inyectar un programa UEFI totalmente pequeñoservice.ro. Este programa leerá la eeprom segura, restablecerá el certificado y la contraseña del TPM, escribirá la eeprom segura y reconstruirá todos los datos.
- Escriba el volcado del BIOS parcheado (esto solo funcionará en ese TP por cierto), inicie la computadora portátil y genere una ID de hardware. Le enviaremos una clave única que activará el BIOS de Allservice, mientras el BIOS se carga, ejecutará la rutina de desbloqueo y desbloqueará el SVP y el TPM.
- Finalmente, vuelva a escribir el volcado del BIOS original para operaciones normales y disfrute de la computadora portátil.
También podemos desactivar Computrace o cambiar el SN/UUID y restablecer el error de suma de comprobación RFID utilizando nuestro programa UEFI de la misma manera, si es necesario.
El precio del servicio de desbloqueo es por máquina (como lo hacemos para Macbook/iMac, HP, Acer, etc.) Para conocer el precio y la disponibilidad del servicio, lea la siguiente publicación a continuación. Puedes contactar [email protected] para cualquier consulta.
¡Parece legitimo! Pero esto también, por razones obvias, es una opción para las situaciones más desesperadas y, además, toda la diversión cuesta 80 dólares. Lo dejamos para más tarde.
- Si Lazard ha roto todo por mí y me pide que te devuelva la llamada, ¡no deberías negarte! Vamos a ir al grano.
Llamamos a Lazard, también conocida como "la firma de gestión de activos y asesoramiento financiero líder en el mundo, asesora sobre fusiones, adquisiciones, reestructuraciones, estructura de capital y estrategia"
Mientras el vendedor de eBay responde, tiro unos cuantos dólares en zadarma y espero comunicarme con quizás el interlocutor más desalmado del planeta: el apoyo de una gran corporación financiera de Nueva York. La chica rápidamente levanta el teléfono, escucha en mi inglés de camarada las tímidas explicaciones de cómo compré esta computadora portátil, anota su número de serie y promete entregársela a los administradores, quienes me devolverán la llamada. Este proceso se repite exactamente dos veces, con un día de diferencia. La tercera vez esperé deliberadamente hasta las 10 de la noche en Nueva York y llamé, leyendo rápidamente en voz alta la familiar pasta sobre mi compra. Dos horas más tarde, la misma mujer me llamó y empezó a leerme instrucciones:
— Haga clic en escapar.
Hago clic pero no pasa nada.
— Algo no funciona, nada cambia.
- Prensa.
- Yo presiono.
— Ahora ingresa: 72406917
Estoy entrando. No pasa nada.
- Sabes, me temo que esto no ayudará... Un momento...
La computadora portátil se reinicia repentinamente, el sistema arranca, la molesta pantalla blanca ha desaparecido en alguna parte. Sin duda, entro en la BIOS, Computrace no está activado. Parece que es eso. Gracias por su apoyo, le escribo al vendedor que resolví todos los problemas yo mismo y me relajo.
OpenMakeshift Computrace basado en Intel AMT
Lo sucedido me desanimó, pero me gustó la idea, mi dolor fantasma por lo mediocremente perdido buscaba alguna salida, quería proteger mi nueva laptop, como si me fuera a devolver la vieja. Si alguien está usando Computrace, yo también puedo usarlo, ¿verdad? Después de todo, existía Intel Anti-Theft, según la descripción: una tecnología excelente que funciona como debería, pero fue asesinada por la inercia del mercado, pero debe haber una alternativa. Resultó que esta alternativa comenzó donde terminó: solo el software Absolute pudo afianzarse en este campo.
Primero, recordemos qué es Intel AMT: es un conjunto de bibliotecas que forman parte de Intel ME, integradas en el BIOS de EFI, para que un administrador en alguna oficina pueda, sin levantarse de su silla, operar máquinas en la red. incluso si no arrancan, conectando ISO de forma remota, controlando a través de escritorio remoto, etc.
Todo esto se ejecuta en Minix y aproximadamente en este nivel:
Invisible Things Lab propuso llamar a la funcionalidad de la tecnología Intel vPro / Intel AMT un anillo de protección -3. Como parte de esta tecnología, los conjuntos de chips que admiten la tecnología vPro contienen un microprocesador independiente (arquitectura ARC4), tienen una interfaz separada para la tarjeta de red, acceso exclusivo a una sección dedicada de RAM (16 MB) y acceso DMA a la RAM principal. Los programas que contiene se ejecutan independientemente del procesador central, el firmware se almacena junto con los códigos BIOS o en una memoria flash SPI similar (el código tiene una firma criptográfica). Parte del firmware es un servidor web integrado. De forma predeterminada, AMT está deshabilitado, pero parte del código aún se ejecuta en este modo incluso cuando AMT está deshabilitado. El código de timbre -3 está activo incluso en el modo de energía de suspensión S3.
Esto suena tentador, porque parece que si podemos establecer una conexión inversa a algún panel de administración usando Intel AMT, no podremos tener un acceso peor que Computrace (de hecho, no).
Activamos Intel AMT en nuestra máquina
En primer lugar, a algunos de ustedes probablemente les gustaría tocar este AMT con sus propias manos, y aquí comienzan los matices. Primero: necesitas un procesador que lo admita. Afortunadamente, no hay problemas con esto (a menos que tengas AMD), porque vPro se agrega a casi todos los procesadores Intel i5, i7 e i9 (puedes ver ) desde 2006, y el VNC normal ya se introdujo allí en 2010. En segundo lugar: si tiene una computadora de escritorio, entonces necesita una placa base que admita esta funcionalidad, es decir, con el chipset Q. En las computadoras portátiles, solo necesitamos saber el modelo del procesador. Si encuentra soporte para Intel AMT, entonces es una buena señal y podrá aplicar la configuración obtenida aquí. Si no, entonces o no tuvo suerte o eligió deliberadamente un procesador o chipset sin soporte para esta tecnología, o logró ahorrar dinero eligiendo AMD, lo cual también es motivo de alegría.
Según los documentos
En modo no seguro, los dispositivos Intel AMT escuchan en el puerto 16992.
En modo TLS, los dispositivos Intel AMT escuchan en el puerto 16993.
Intel AMT acepta conexiones en los puertos 16992 y 16993. Vayamos allí.
Debe verificar que Intel AMT esté habilitado en el BIOS:
A continuación debemos reiniciar y presionar Ctrl + P mientras cargamos.
La contraseña estándar, como siempre, Admin.
Cambie inmediatamente la contraseña en la configuración general de Intel ME. A continuación, en Configuración de Intel AMT, habilite Activar acceso a la red. Listo. Ahora tienes oficialmente una puerta trasera. Estamos cargando en el sistema.
Ahora un matiz importante: lógicamente podemos acceder a Intel AMT desde localhost y de forma remota, pero no. Intel dice que puede conectarse localmente y cambiar la configuración usando , pero a mí se negó rotundamente a conectarme, por lo que mi conexión solo funcionó de forma remota.
Tomamos algún dispositivo y nos conectamos a través de : 16992
Se ve así:
¡Bienvenido a la interfaz estándar Intel AMT! ¿Por qué "estándar"? Porque está truncado y es completamente inútil para nuestros propósitos, y usaremos algo más serio.
Conociendo MeshCommander
Como es habitual, las grandes empresas hacen algo y los usuarios finales lo modifican a su gusto. Eso es lo que pasó aquí también.
Este hombre modesto (sin exagerar: su nombre no está en su sitio web, tuve que buscarlo en Google) llamado Ylian Saint-Hilaire ha desarrollado herramientas maravillosas para trabajar con Intel AMT.
Me gustaría llamar inmediatamente su atención sobre él. , en sus vídeos muestra de forma sencilla y clara en tiempo real cómo realizar determinadas tareas relacionadas con Intel AMT y su software.
Comencemos con . Descargue, instale e intente conectarse a nuestra máquina:
El proceso no es instantáneo, pero como resultado nos saldrá esta pantalla:
No es que sea paranoico, pero borraré datos sensibles, perdóname por tanta coquetería.
La diferencia, como dicen, es obvia. No sé por qué el Panel de control Intel no tiene ese conjunto de funciones, pero el hecho es que Ylian Saint-Hilaire aprovecha mucho más la vida. Además, puedes instalar su interfaz web directamente en el firmware, lo que te permitirá utilizar todas las funciones sin una utilidad.
Esto se hace así:
Debo señalar que no he utilizado esta funcionalidad (interfaz web personalizada) y no puedo decir nada sobre su efectividad y rendimiento, ya que no es necesaria para mis necesidades.
Puedes jugar con la funcionalidad, es poco probable que arruines todo, porque el punto de partida y final de todo este festival es el BIOS, en el que luego puedes restablecer todo desactivando Intel AMT.
Implementar MeshCentral e implementar BackConnect
Y aquí comienza la caída total de la cabeza. ¡Mi tío no sólo creó un cliente, sino también un panel de administración completo para nuestro troyano! Y no sólo lo hizo, sino que .
Comience instalando su propio servidor MeshCentral o, si no está familiarizado con MeshCentral, puede probar el servidor público bajo su propia responsabilidad en MeshCentral.com.
Esto habla positivamente de la confiabilidad de su código, ya que no pude encontrar ninguna noticia sobre hacks o filtraciones durante el funcionamiento del servicio.
Personalmente, ejecuto MeshCentral en mi servidor porque creo sin razón que es más confiable, pero no hay nada en él excepto vanidad y languidez de espíritu. Si tú también quieres, entonces hay documentos y contenedor con MeshCentral. Los documentos describen cómo unirlo todo en NGINX, para que la implementación se integre fácilmente en los servidores de su hogar.
Regístrese para , ingrese y cree un grupo de dispositivos seleccionando la opción "sin agente":
¿Por qué "ningún agente"? Porque por qué lo necesitamos para instalar algo innecesario, no está claro cómo se comporta y cómo funcionará.
Haga clic en "Agregar CIRA":
Descargue cira_setup_test.mescript y utilícelo en nuestro MeshCommander así:
¡Voilá! Después de un tiempo, nuestra máquina se conectará a MeshCentral y podremos hacer algo con ella.
En primer lugar: debes saber que nuestro software no llamará a un servidor remoto así como así. Esto se debe al hecho de que Intel AMT tiene dos opciones para conectarse: a través de un servidor remoto y directamente localmente. No funcionan al mismo tiempo. Nuestro script ya configuró el sistema para el trabajo remoto, pero es posible que necesite conectarse localmente. Para poder conectarse localmente, debe ir aquí
escriba una línea que sea su dominio local (tenga en cuenta que nuestro script YA ha insertado alguna línea aleatoria allí para que la conexión se pueda realizar de forma remota) o borre todas las líneas por completo (pero entonces la conexión remota no estará disponible). Por ejemplo, mi dominio local en OpenWrt es lan:
En consecuencia, si ingresamos lan allí y nuestra máquina está conectada a una red con este dominio local, entonces la conexión remota no estará disponible, pero los puertos locales 16992 y 16993 se abrirán y aceptarán conexiones. En resumen, si hay algún tipo de tontería que no está relacionada con su dominio local, entonces el software está fallando, si no, entonces debe conectarse usted mismo a través de un cable, eso es todo.
En segundo lugar:
¡Todo está listo!
Quizás te preguntes: ¿dónde está AntiTheft? Como dije inicialmente, Intel AMT no es muy adecuado para luchar contra los ladrones. Administrar una red de oficinas es bienvenido, pero luchar contra personas que han tomado posesión ilegal de propiedades a través de Internet no es tan especial. Consideremos un conjunto de herramientas que, en teoría, puede ayudarnos en la lucha por la propiedad privada:
- En sí, está claro que tiene acceso a la máquina si está conectada mediante cable o, si Windows está instalado, a través de WiFi. Sí, es infantil, pero ya es muy difícil para una persona común y corriente usar una computadora portátil así, incluso si de repente alguien toma el control. Además, a pesar de que no pude descifrar los scripts, ciertamente es posible diseñar artísticamente alguna funcionalidad para bloquear/mostrar notificaciones en ellos.
- Borrado seguro remoto con tecnología Intel Active Management
Con esta opción, puede eliminar toda la información de la máquina en segundos. No está claro si funciona en SSD que no sean Intel. Aquí Puedes leer más sobre esta función. Puedes admirar el trabajo. . La calidad es pésima, pero sólo 10 megas y la esencia es clara.
El problema de la ejecución diferida sigue sin resolverse, en otras palabras: es necesario observar cuándo la máquina ingresa a la red para poder conectarse a ella. Creo que esto también tiene alguna solución.
En una implementación ideal, es necesario bloquear la computadora portátil y mostrar algún tipo de inscripción, pero en nuestro caso simplemente tenemos un acceso inevitable, y qué hacer a continuación es cuestión de imaginación.
Quizás de alguna manera puedas bloquear el auto o al menos mostrar un mensaje, escribe si lo sabes. ¡Gracias!
No olvide establecer una contraseña para el BIOS.
Gracias usuario para corregir!
Fuente: habr.com