Kuidas ma ostsin eBayst lukustatud sülearvuti ja proovisin teha oma AntiThefti, mis põhineb IntelAMT-l

TL; DR

Absolute Computrace on tehnoloogia, mis võimaldab teil oma auto lukustada (ja mitte ainult), isegi kui operatsioonisüsteem sellele uuesti installiti või isegi kõvaketas välja vahetati, maksab 15 dollarit aastas. Ostsin eBayst sülearvuti, mis oli selle asjaga lukustatud. Artiklis kirjeldatakse minu kogemust, kuidas ma sellega vaeva nägin ja proovisin sama teha Intel AMT-s, kuid tasuta.

Lepime kohe kokku: ma ei murra lahtistest ustest sisse ega kirjuta nendest kaugetest asjadest loengut, vaid räägin natuke tausta ja kuidas igas olukorras kiiresti oma põlvele jäävale masinale kaugjuurdepääs saada (kui see on ühendatud võrku RJ-45 kaudu) või kui see on ühendatud Wi-Fi kaudu, siis ainult operatsioonisüsteemis Windows. Samuti on Intel AMT-s võimalik registreerida konkreetse punkti SSID, sisselogimine ja parool ning seejärel pääseb Wi-Fi kaudu juurde ka ilma süsteemi käivitamata. Ja ka, kui installite Intel ME jaoks draiverid GNU/Linuxisse, peaks see kõik ka sellel töötama. Selle tulemusena ei ole võimalik sülearvutit kauglukustada ja sõnumit kuvada (ma ei saanud aru, kas see on selle tehnoloogia abil üldse võimalik), kuid on juurdepääs kaugtöölauale ja turvalisele kustutamisele ning see on peamine.

Taksojuht lahkus minu sülearvutiga ja ma otsustasin eBayst uue osta. Mis võib valesti minna?

Ostjalt varasteks – ühe käivitamisega

Olles postkontorist sülearvuti koju toonud, asusin Windows 10 eelinstallimist lõpetama ja pärast seda jõudsin isegi Firefoxi alla laadida, kui järsku:

Sain suurepäraselt aru, et keegi ei muuda Windowsi distributsiooni ja kui ta seda muudaks, siis ei näeks kõik nii kohmakas välja ja üldiselt oleks blokeerimine toimunud kiiremini. Ja lõpuks poleks mõtet midagi blokeerida, sest kõik paraneks selle uuesti installimisega. Olgu, taaskäivitame.

Taaskäivitage BIOS ja nüüd muutub kõik natuke selgemaks:

Ja lõpuks on see täiesti selge:

Kuidas mu enda sülearvuti mind häirib? Mis on Computrace?

Rangelt võttes on Computrace teie EFI BIOS-i moodulite komplekt, mis pärast OS Windowsi laadimist sisestavad sellesse oma troojalased, koputades Absolute'i kaugserverile ja võimaldades vajadusel süsteemi Interneti kaudu blokeerida. Täpsemalt saad lugeda siit siin. Computrace ei tööta muude operatsioonisüsteemidega peale Windowsi. Veelgi enam, kui ühendame draivi BitLockeri või mõne muu tarkvaraga krüpteeritud Windowsiga, siis Computrace enam ei tööta - moodulid lihtsalt ei saa oma faile meie süsteemi visata.

Kaugelt vaadates võivad sellised tehnoloogiad tunduda kosmilised, kuid ainult seni, kuni saame teada, et seda kõike tehakse natiivsel UEFI-l, kasutades poolteist kahtlast moodulit.

Tundub, et see asi on külm ja kõikvõimas, kuni proovime näiteks GNU/Linuxisse alglaadida:

Sellel sülearvutil on praegu lubatud Computrace'i lukustus.

Nagu öeldakse,

Mida teha?

Probleemi lahendamiseks on neli ilmset vektorit:

1. Kirjutage müüjale eBays
2. Kirjutage tarkvarale Absolute, Computrace'i loojale ja omanikule
3. Tehke BIOS-i kiibist tõmmis, saatke see varjulistele tüüpidele, et nad saadaksid tagasi tõmmise koos paigaga, mis deaktiveerib kõik lukud ja menüüd seadme ID
4. Helista Lazardile

Jaotame need järjekorras:

1. Meie, nagu kõik mõistlikud inimesed, kirjutame esmalt müüjale, kes meile sellise toote müüs ja arutame probleemi sellega, kes selle eest eelkõige vastutab.

   Valmistatud:

   

2. Interneti sügavustest avastatud nõustaja sõnul
   

   Peate võtma ühendust absoluutse tarkvaraga. Nad tahavad masina seerianumbrit ja emaplaadi seerianumbrit. Peate esitama ka ostutõendi, näiteks kviitungi. Nad võtavad ühendust oma registreeritud omanikuga ja saavad selle eemaldamiseks loa. Eeldades, et seda ei varastatud, märgistatakse see kustutamiseks. Pärast seda, järgmine kord, kui loote Interneti-ühenduse või teil on avatud Interneti-ühendus, juhtub ime ja see kaob. Saatke need asjad, kuhu ma mainisin [meiliga kaitstud].

   saame kirjutada otse Absolute'ile ja nendega avamise asjus otse suhelda. Võtsin aega ja otsustasin selle lahenduse poole pöörduda alles lõpupoole.

3. Õnneks oli probleemile juba jõhker lahendus olemas. Need poisid ja paljud teised arvutitoe spetsialistid samas eBays ja isegi indiaanlased Facebookis lubavad meil oma BIOS-i lukust lahti teha, kui saadame neile prügikasti ja ootame paar minutit.

   Avamisprotsessi kirjeldatakse järgmiselt:

   Avamislahendus on lõpuks saadaval ja nõuab, et SPEG programmeerija oleks võimeline BIOS-i vilkuma.

   Protsess on:

   1. BIOS-i lugemine ja kehtiva tõmmise loomine. Thinkpadis on BIOS ühendatud sisemise TPM-kiibiga ja sisaldab selle ainulaadset signatuuri, seega on kogu toimingu õnnestumiseks ja BIOS-i hilisemaks taastamiseks oluline, et algne BIOS oleks korrektne.
   2. BIOS-i binaarfailide lappimine ja kogu smallservice.ro UEFI programmi sisestamine. See programm loeb turvalist eeprom-i, lähtestab TPM-i sertifikaadi ja parooli, kirjutab turvalise eeprom-i ja rekonstrueerib kõik andmed.
   3. Kirjutage paigatud BIOS-i dump (see toimib ainult selles TP-s, btw), käivitage sülearvuti ja genereerige riistvara ID. Saadame teile kordumatu võtme, mis aktiveerib Allservice BIOS-i. BIOS-i laadimise ajal käivitab see avamisrutiini ning avab SVP ja TPM.
   4. Lõpuks kirjutage tavapäraste toimingute jaoks tagasi algne BIOS-i tühjendus ja nautige sülearvutit.

   Vajadusel saame ka meie UEFI programmi kasutades samal viisil Computrace'i keelata või SN/UUID-d muuta ja RFID kontrollsumma vea lähtestada

   Avamisteenuse hind on masina kohta (nagu me teeme Macbooki/iMaci, HP, Aceri jne puhul). Teenuse hinna ja saadavuse kohta lugege järgmist postitust allpool. Võite ühendust võtta [meiliga kaitstud] mis tahes päringu jaoks.

   Tundub legaalne! Kuid ka see on arusaadavatel põhjustel valik kõige meeleheitlikumaks olukorraks ja pealegi maksab kogu lõbu 80 dollarit. Jätame selle hilisemaks.

4. Kui Lazard on minu jaoks kõik ära rikkunud ja palub mul sulle tagasi helistada, siis sa ei tohiks keelduda! Asume asja kallale.

Nimetame Lazardi ehk "maailma juhtivaks finantsnõustamis- ja varahaldusettevõtteks, kes nõustab ühinemiste, ülevõtmiste, ümberstruktureerimise, kapitalistruktuuri ja strateegia küsimustes".

Sel ajal, kui eBay müüja vastab, viskan paar taala zadarma peale ja ootan pikisilmi suhtlemist planeedi kõige hingetuma vestluskaaslasega – New Yorgi tohutu finantskorporatsiooni toetusega. Tüdruk haarab kiiresti telefoni, kuulab mu kamraadi inglise keeles arglikke selgitusi, kuidas ma selle sülearvuti ostsin, paneb kirja selle seerianumbri ja lubab anda selle adminnitele, kes mulle tagasi helistavad. Seda protseduuri korratakse täpselt kaks korda ühepäevase vahega. Kolmandal korral ootasin New Yorgis meelega, kuni kell on 10 õhtul, ja helistasin, lugedes kiiresti tuttavat pastat oma ostu kohta. Kaks tundi hiljem helistas sama naine mulle tagasi ja hakkas juhiseid ette lugema:
— Klõpsake paoklahvi.
Klõpsan, aga midagi ei juhtu.
— Midagi ei tööta, midagi ei muutu.
- Vajutage.
- Ma vajutan.
— Nüüd sisestage: 72406917
ma sisenen. Midagi ei juhtu.
- Tead, ma kardan, et see ei aita... Üks hetk...
Sülearvuti äkitselt taaskäivitub, süsteem käivitub, tüütu valge ekraan on kuhugi kadunud. Et olla kindel, lähen BIOS-i, Computrace pole aktiveeritud. Tundub, et see on kõik. Tänan toetuse eest, kirjutan müüjale, et lahendasin kõik probleemid ise ja lõõgastuge.

OpenMakeshift Computrace Intel AMT-põhine

Juhtunu masendas mind, aga mulle see idee meeldis, mu fantoomvalu keskpäraselt kaotatu pärast otsis väljapääsu, tahtsin oma uut sülearvutit kaitsta, nagu annaks see mulle vana tagasi. Kui keegi kasutab Computrace'i, võin ka mina seda kasutada, eks? Oli ju kirjelduse järgi Intel Anti-Theft - suurepärane tehnoloogia, mis töötab nii nagu peab, aga selle tappis turu inerts, aga alternatiiv peab olema. Selgus, et see alternatiiv sai alguse samast kohast, kus see lõppes – ainult Absolute tarkvara suutis selles vallas kanda kinnitada.

Kõigepealt meenutagem, mis on Intel AMT: see on Intel ME osaks olev teekide komplekt, mis on sisse ehitatud EFI BIOS-i, nii et mõne kontori administraator saab toolilt tõusmata võrgus masinaid juhtida, isegi kui need ei käivitu, ISO-de kaugühendamine, juhtimine kaugtöölaua kaudu jne.

Kõik see töötab Minixis ja ligikaudu sellel tasemel:

Invisible Things Lab tegi ettepaneku nimetada Intel vPro / Intel AMT tehnoloogia funktsionaalsust kaitserõngaks -3. Selle tehnoloogia osana sisaldavad vPro tehnoloogiat toetavad kiibistikud sõltumatut mikroprotsessorit (ARC4 arhitektuur), neil on eraldi liides võrgukaardiga, eksklusiivne juurdepääs RAM-i spetsiaalsele sektsioonile (16 MB) ja DMA juurdepääs põhimälule. Sellel olevaid programme käivitatakse keskprotsessorist sõltumatult; püsivara salvestatakse koos BIOS-koodidega või sarnasele SPI-välkmällule (koodil on krüptograafiline allkiri). Osa püsivarast on sisseehitatud veebiserver. Vaikimisi on AMT keelatud, kuid osa koodidest töötab selles režiimis ka siis, kui AMT on keelatud. Helina kood -3 on aktiivne isegi S3 unerežiimis.

See kõlab ahvatlevalt, sest tundub, et kui suudame Intel AMT-ga mõne administraatoripaneeliga pöördühenduse luua, on meil juurdepääs mitte halvem kui Computrace (tegelikult mitte).

Aktiveerime oma masinas Intel AMT

Esiteks tahaks mõni teist ilmselt seda AMT-d oma käega katsuda ja siit algavadki nüansid. Esiteks: vajate seda toetavat protsessorit. Õnneks sellega probleeme pole (kui sul just AMD pole), sest vPro on lisatud peaaegu kõikidele Inteli i5, i7 ja i9 protsessoritele (näete siin) aastast 2006 ja tavaline VNC toodi sinna juba 2010. aastal. Teiseks: kui teil on lauaarvuti, siis on vaja seda funktsiooni toetavat emaplaati, nimelt Q kiibistikuga. Sülearvutites on meil vaja teada ainult protsessori mudelit. Kui leiate Intel AMT toe, on see hea märk ja saate siin saadud sätteid rakendada. Kui ei, siis kas ei vedanud/valisite teadlikult protsessori või kiibistiku ilma seda tehnoloogiat toetamata või säästsite edukalt raha AMD valikuga, mis on ka rõõmu põhjus.

Dokumentide järgi

Mitteturvalises režiimis kuulavad Inteli AMT seadmed porti 16992.
TLS-režiimis kuulavad Inteli AMT seadmed porti 16993.

Intel AMT aktsepteerib ühendusi portidel 16992 ja 16993. Liigume sinna.

Peate kontrollima, kas Intel AMT on BIOS-is lubatud:

Järgmisena peame taaskäivitama ja laadimise ajal vajutama Ctrl + P

Tavaline parool, nagu tavaliselt, admin.

Muutke kohe parool Intel ME üldsätetes. Järgmisena lubage Intel AMT konfiguratsioonis suvand Aktiveeri võrgujuurdepääs. Valmis. Olete nüüd ametlikult tagaukse taga. Laadime süsteemi.

Nüüd oluline nüanss: loogiliselt võttes pääseme Intel AMT-le ligi localhostist ja eemalt, aga ei. Intel ütleb, et saate kohalikult ühenduse luua ja seadeid muuta Intel AMT konfiguratsiooniutiliit, kuid minu jaoks keeldus see kindlalt ühenduse loomisest, nii et minu ühendus töötas ainult eemalt.

Võtame mõne seadme ja ühendame selle kaudu teie IP: 16992

See näeb välja selline:

Tere tulemast standardse Intel AMT liidesesse! Miks "standard"? Sest see on kärbitud ja meie eesmärkidel täiesti kasutu ning me kasutame midagi tõsisemat.

MeshCommanderiga tutvumine

Nagu tavaliselt, teevad suured ettevõtted midagi ja lõppkasutajad muudavad seda enda jaoks sobivaks. Nii juhtus ka siin.

See tagasihoidlik (ei ole liialdus: tema nime pole tema veebisaidil, pidin seda guugeldama) mees nimega Ylian Saint-Hilaire on välja töötanud suurepärased tööriistad Intel AMT-ga töötamiseks.

Tahaksin kohe teie tähelepanu talle juhtida YouTube'i kanal, näitab ta oma videotes lihtsalt ja selgelt reaalajas, kuidas teatud Intel AMT ja selle tarkvaraga seotud ülesandeid täita.

Alustame MeshCommander. Laadige alla, installige ja proovige meie masinaga ühendust luua:

Protsess ei ole hetkeline, kuid selle tulemusel saame järgmise ekraani:

Asi pole selles, et ma olen paranoiline, aga ma kustutan tundlikud andmed, andke mulle selline koketeerimine andeks

Erinevus, nagu öeldakse, on ilmne. Ma ei tea, miks Inteli juhtpaneelil sellist funktsioonide komplekti pole, aga fakt on see, et Ylian Saint-Hilaire saab elust oluliselt rohkem kasu. Lisaks saate selle veebiliidese installida otse püsivarasse, see võimaldab teil kasutada kõiki funktsioone ilma utiliidita.

See toimub nii:

Pean märkima, et ma ei ole seda funktsiooni (kohandatud veebiliides) kasutanud ega saa selle tõhususe ja jõudluse kohta midagi öelda, kuna see pole minu vajaduste jaoks vajalik.

Funktsionaalsusega saab ringi mängida, vaevalt et kõik ära rikud, sest kogu selle festivali algus- ja lõpp-lähtepunktiks on BIOS, milles siis Intel AMT-d keelates kõik nullida.

Juurutage MeshCentral ja rakendage BackConnect

Ja siit algab täielik pea kukkumine. Minu onu tegi meie troojalasele mitte ainult kliendi, vaid ka terve administraatori paneeli! Ja ta ei teinud seda lihtsalt, vaid käivitas selle kõigi minu serveris olevate kasutajate jaoks.

Alustage oma MeshCentrali serveri installimisega või kui te pole MeshCentraliga tuttav, võite proovida avalikku serverit omal vastutusel saidil MeshCentral.com.

See räägib positiivselt selle koodi usaldusväärsuse kohta, kuna ma ei leidnud teenuse töötamise ajal ühtegi uudist häkkimise või lekete kohta.

Isiklikult käitan oma serveris MeshCentrali, sest usun põhjendamatult, et see on töökindlam, aga peale edevuse ja vaimulanguse pole selles midagi. Kui tahad ka, siis siin on dokumendid ja siin konteiner MeshCentraliga. Dokumendid kirjeldavad, kuidas see kõik NGINX-is kokku siduda, et rakendus oleks hõlpsasti teie koduserveritesse integreeritav.

Registreeruge edasi meshcentral.com, minge sisse ja looge seadmerühm, valides valiku „Agent puudub”.

Miks "pole agenti"? Sest miks meil seda vaja on millegi mittevajaliku paigaldamiseks, pole selge, kuidas see käitub ja kuidas see töötab.

Klõpsake "Lisa CIRA":

Laadige alla cira_setup_test.mescript ja kasutage seda meie MeshCommanderis järgmiselt:

Voila! Mõne aja pärast ühendub meie masin MeshCentraliga ja saame sellega midagi ette võtta.

Esiteks: peaksite teadma, et meie tarkvara ei koputa niisama kaugserverile. Selle põhjuseks on asjaolu, et Intel AMT-l on ühenduse loomiseks kaks võimalust - kaugserveri kaudu ja otse kohapeal. Nad ei tööta samal ajal. Meie skript on juba süsteemi kaugtööks konfigureerinud, kuid teil võib tekkida vajadus kohaliku ühenduse loomiseks. Kohaliku ühenduse loomiseks peate minema siia

kirjutage rida, mis on teie kohalik domeen (pange tähele, et meie skript on JUBA sinna mingi suvalise rea sisestanud, et saaks kaugühenduse luua) või tühjendage kõik read üldse (aga siis pole kaugühendus saadaval). Näiteks minu kohalik domeen OpenWrt-is on lan:

Vastavalt sellele, kui sisestame sinna lan ja kui meie masin on selle kohaliku domeeniga võrku ühendatud, siis kaugühendus pole saadaval, kuid kohalikud pordid 16992 ja 16993 avanevad ja võtavad ühendust. Ühesõnaga, kui on mingi jama, mis pole teie kohaliku domeeniga seotud, siis tarkvara tõmbleb, kui ei, siis peate sellega ise juhtme kaudu ühenduse looma, see on kõik.

Teiseks:

Kõik on valmis!

Võite küsida – kus on AntiTheft? Nagu ma alguses ütlesin, pole Intel AMT varaste vastu võitlemiseks eriti sobiv. Büroovõrgu haldamine on teretulnud, kuid kaklemine isikutega, kes on interneti teel vara ebaseaduslikult oma valdusesse võtnud, pole nii eriline. Vaatleme tööriistakomplekti, mis teoreetiliselt võib aidata meid võitluses eraomandi eest:

1. Iseenesest on selge, et masinale on ligipääs siis, kui see on ühendatud kaabliga, või kui Windows on installitud, siis WiFi kaudu. Jah, see on lapsik, kuid tavalisel inimesel on sellist sülearvutit juba väga raske kasutada, isegi kui keegi lihtsalt ootamatult kontrolli üle võtab. Pealegi, hoolimata asjaolust, et ma ei suutnud skripte välja mõelda, on kindlasti võimalik kunstiliselt kujundada teatud funktsionaalsust nende märguannete blokeerimiseks/kuvamiseks.
2. Turvaline kaugkustutamine Inteli aktiivhaldustehnoloogiaga

   
   
   Selle valiku abil saate kogu teabe masinast sekunditega kustutada. Pole selge, kas see töötab muudel kui Inteli SSD-del. Siin siin Lisateavet selle funktsiooni kohta saate lugeda. Teost saab imetleda siin. Kvaliteet on kohutav, aga ainult 10 megabaiti ja olemus on selge.

Edasilükatud täitmise probleem jääb lahendamata, teisisõnu: peate jälgima, millal masin võrku siseneb, et sellega ühenduse luua. Usun, et ka sellele on mingi lahendus.

Ideaalses teostuses peate sülearvuti blokeerima ja kuvama mingisuguse sildi, kuid meie puhul on meil lihtsalt vältimatu juurdepääs ja mida edasi teha, on kujutlusvõime küsimus.

Võib-olla saate kuidagi auto blokeerida või vähemalt kuvada sõnumi, kirjutage, kui teate. Aitäh!

Ärge unustage seada BIOS-i jaoks parooli.

Aitäh kasutaja berez korrektuuri eest!

Allikas: www.habr.com