TL; DR
Absolute Computrace autoa blokeatzeko aukera ematen duen teknologia da (eta ez ), nahiz eta sistema eragilea berriro instalatu edo are disko gogorra ordezkatu, urtean 15 dolarren truke. Gauza honekin blokeatuta zegoen eBay-n ordenagailu eramangarri bat erosi nuen. Artikuluak nire esperientzia deskribatzen du, nola borrokatu nintzen eta Intel AMT-n gauza bera egiten saiatu nintzen, baina doan.
Berehala ados gaitezen: ez naiz ate irekietan sartu eta ez dut urruneko gauza hauei buruzko hitzaldirik idazten, baizik eta aurrekari apur bat kontatu eta nola lortu zure belauneko makina urruneko sarbidea edozein egoeratan (konektatuta badago). sare RJ-45 bidez) edo, Wi-Fi bidez konektatuta badago, OS Windows-en soilik. Gainera, Intel AMT-n bertan puntu jakin baten SSID, saioa eta pasahitza erregistratu ahal izango da, eta ondoren Wi-Fi bidezko sarbidea ere lor daiteke sisteman abiarazi gabe. Gainera, GNU/Linux-en Intel ME-rako kontrolatzaileak instalatzen badituzu, honek guztiak ere funtzionatu beharko luke. Ondorioz, ezin izango da ordenagailu eramangarri bat urrunetik blokeatu eta mezu bat bistaratu (ezin nuen asmatu teknologia hau erabiliz posible den ala ez), baina urruneko mahaigain batera eta Secure Erase sarbidea izango da, eta hau gauza nagusia da.
Taxilaria nire ordenagailu eramangarriarekin joan zen eta eBay-n berri bat erostea erabaki nuen. Zer egin liteke gaizki?
Erosletik lapurretara - aurkezpen bakarrean
Posta-bulegotik eramangarri bat etxera eramanda, Windows 10-ren aurreinstalazioa burutzeari ekin nion, eta horren ostean Firefox deskargatzea ere lortu nuen, bat-batean:
Primeran ulertu nuen inork ez zuela Windows banaketa aldatuko, eta hala egingo balu, dena ez litzateke hain traketsa izango eta, oro har, blokeoa azkarrago gertatuko litzateke. Eta, azkenean, ezer blokeatzeak ez luke balioko, berriro instalatuta dena sendatuko litzateke eta. Ados, berrabiara dezagun.
Berrabiarazi BIOSera, eta orain dena apur bat argiago geratzen da:
Eta azkenik, guztiz argi dago:
Nola da nire ordenagailu eramangarria kezkatzen nauena? Zer da Computrace?
Zorrotz esanda, Computrace zure EFI BIOSeko modulu multzo bat da, eta, OS Windows kargatu ondoren, beren troiarrak sartzen dituzte bertan, urruneko Absolute software zerbitzaria kolpatuz eta, behar izanez gero, sistema Internet bidez blokeatzea ahalbidetuz. Xehetasun gehiago irakur ditzakezu hemen . Computrace-k ez du funtzionatzen Windows ez den beste sistema eragileekin. Gainera, BitLocker-ek enkriptatutako Windows-ekin edo beste edozein softwarerekin konektatzen badugu disko bat, Computrace-k ez du berriro funtzionatuko; moduluek ezin izango dituzte beren fitxategiak gure sistemara bota.
Urrutitik, horrelako teknologiak kosmikoak dirudite, baina hori guztia UEFI natiboetan egiten dela jakin arte, zalantzazko modulu bat eta erdi erabiliz.
Badirudi gauza hau hotza eta ahaltsua dela, adibidez, GNU/Linux-en abiarazten saiatzen garen arte:
Ordenagailu eramangarri honek Computrace blokeoa gaituta dauka oraintxe bertan.
Esaerak dioen bezala,
Zer egin?
Problema konpontzeko lau bektore ageriko daude:
- Idatzi eBay-n saltzaileari
- Idatzi Absolute softwareari, Computrace-ren sortzaile eta jabeari
- Egin iraulketa bat BIOS txiptik, bidali itzalezko mota batzuetara, gailuaren IDa blokeo eta menu guztiak desaktibatzen dituen adabaki batekin iraulketa bat bidal dezaten.
- Deitu Lazardi
Bana ditzagun ordenan:
- Guk, zentzuzko pertsona guztiek bezala, lehenik eta behin halako produktu bat saldu zigun saltzaileari idazten diogu eta arazoa horren arduradun nagusia denarekin eztabaidatzen dugu.
Egina:
- Interneten sakonean aurkitutako aholkulari baten arabera,
Software absolutuarekin harremanetan jarri behar duzu. Makinaren serie-zenbakia eta plakaren serie-zenbakia nahi izango dituzte. "Erosketaren froga" ere eman beharko duzu, ordainagiria bezala. Fitxategian duten jabearekin harremanetan jarriko dira eta kentzeko baimena jasoko dute. Lapurtu ez dutelakoan, "ezabatzeko bandera" egingo dute. Horren ostean, Internetera konektatzen zaren hurrengoan edo Interneteko konexioa irekita duzunean, mirari bat gertatuko da eta desagertu egingo da. Bidali aipatu ditudan gauzak [posta elektroniko bidez babestua].
Absolute-ri zuzenean idatz diezaiokegu eta haiekin zuzenean komunikatu desblokeatzeari buruz. Denbora hartu nuen eta amaiera aldera bakarrik irtenbide honetara jotzea erabaki nuen.
- Zorionez, arazoari irtenbide basati bat zegoen jada. Hauek eta eBay bereko ordenagailuen laguntzako beste hainbat espezialistak eta baita Facebookeko indiarrek ere gure BIOS desblokeatuko dugula agintzen digute zabortegi bat bidaltzen badiegu eta minutu pare bat itxaron.
Desblokeatzeko prozesua honela deskribatzen da:
Desblokeatzeko irtenbidea azkenik eskuragarri dago eta SPEG programatzaileak BIOS-a kentzeko gai izan behar du.
Prozesua hau da:
- BIOS irakurtzea eta baliozko iraulketa bat sortu. Thinkpad batean, BIOS barneko TPM txiparekin ezkonduta dago eta haren sinadura bakarra dauka, beraz, garrantzitsua da jatorrizko BIOS irakurketa zuzena izatea eragiketa osoaren arrakasta izateko eta ondoren BIOS berreskuratzea.
- BIOS bitarrak adabakitzea eta injektatu all smallservice.ro UEFI programa. Programa honek eeprom segurua irakurriko du, TPM ziurtagiria eta pasahitza berrezarri, eeprom segurua idatziko du eta datu guztiak berreraikiko ditu.
- Idatzi adabakitutako BIOS-en zabortegia (hau TP horretan bakarrik funtzionatuko du), martxan jarri ordenagailu eramangarria eta sortu Hardware ID bat. Allservice BIOSa aktibatuko duen gako esklusibo bat bidaliko dizugu, BIOSa kargatzen ari den bitartean desblokeatzeko errutina exekutatuko du eta SVP eta TPM desblokeatuko du.
- Azkenik, idatzi jatorrizko BIOS-a itzuli eragiketa arruntetarako eta gozatu ordenagailu eramangarria.
Era berean, Computrace desgaitu edo SN/UUID alda dezakegu eta RFID checksum errorea berrezarri dezakegu gure UEFI programa modu berean erabiliz, beharrezkoa bada
Desblokeatzeko zerbitzuaren prezioa makina bakoitzeko da (Macbook/iMac, HP, Acer eta abarrekin egiten dugun bezala) Zerbitzuaren prezioa eta erabilgarritasuna ikusteko, irakurri beheko hurrengo mezua. Jar zaitez harremanetan [posta elektroniko bidez babestua] edozein kontsultarako.
Zilegia dirudi! Baina hau ere, ageriko arrazoiengatik, egoera desesperatuenerako aukera da, eta gainera, dibertsio guztiak 80 $ balio du. Gerorako uzten dugu.
- Lazardek dena hautsi badit eta zuri deitzeko eskatzen badit, orduan ez duzu uko egin behar! Jar gaitezen negozioari.
Lazardi deitzen diogu "munduko finantza-aholkularitza eta aktiboak kudeatzeko enpresa liderra, bat-egite, erosketa, berregituraketa, kapital egitura eta estrategiari buruzko aholkularitza eskaintzen duena".
eBay-ko saltzaileak erantzuten dion bitartean, dolar batzuk botatzen dizkiot zadarmari eta agian planetako solaskiderik gabeko solaskidearekin komunikatzeko espero dut - New Yorkeko finantza-korporazio handi baten laguntzarekin. Neskak azkar hartu du telefonoa, nire lagunaren ingelesez entzuten ditu ordenagailu eramangarri hau nola erosi nuenari buruzko azalpen lotsatiak, bere serie-zenbakia idatzi eta administratzaileei emango diela agintzen du, haiek deituko didate. Prozesu hau birritan errepikatzen da, egun batekin. Hirugarren aldian, New Yorken gaueko 10ak arte itxaron nuen nahita eta deitu nuen, nire erosketari buruzko pasta ezaguna azkar irakurriz. Bi ordu geroago emakume berak deitu zidan eta argibideak irakurtzen hasi zen:
β Sakatu Ihes.
Klik egiten dut baina ez da ezer gertatzen.
- Zerbaitek ez du funtzionatzen, ez da ezer aldatzen.
- Sakatu.
- Sakatzen dut.
β Orain sartu: 72406917
Sartzen ari naiz. Ez da ezer gertatzen.
- Badakizu, beldur naiz honek ez duela lagunduko... Minutu bat besterik ez...
Ordenagailu eramangarria bat-batean berrabiarazi egiten da, sistema abiarazten da, pantaila zuri gogaikarria nonbait desagertu da. Ziur, BIOSera sartzen naiz, Computrace ez dago aktibatuta. Badirudi hori dela. Eskerrik asko zure laguntzagatik, saltzaileari idazten diot nik neuk konpondu ditudala arazo guztiak eta lasaitu ditudala.
OpenMakeshift Computrace Intel AMT oinarrituta
Gertatutakoak etsi egin ninduen, baina ideia gustatu zitzaidan, erdipurdiko galdutakoaren gaineko nire fantasma-minak aterabideren bat bilatzen ari zen, nire ordenagailu eramangarri berria babestu nahi nuen, zaharra itzuliko balu bezala. Norbait Computrace erabiltzen ari bada, nik ere erabil dezaket, ezta? Azken finean, Intel Anti-Theft zegoen, deskribapenaren arabera - behar bezala funtzionatzen duen teknologia bikaina, baina merkatuaren inertziak hil zuen, baina alternatiba bat egon behar du. Sortu zen alternatiba hau amaitu zen leku berean hasi zela - Absolute softwareak soilik lortu zuen eremu honetan lekua.
Lehenik eta behin, gogora dezagun zer den Intel AMT: Intel ME-ren parte den liburutegi multzo bat da, EFI BIOS-en barnean dagoena, bulego bateko administratzaile batek, bere aulkitik altxatu gabe, sareko makinak ustia ditzan. abiarazten ez badute ere, ISO urrunetik konektatzea, urruneko mahaigainaren bidez kontrolatzea, etab.
Hau guztia Minix-en exekutatzen da eta gutxi gorabehera maila honetan:
Invisible Things Lab-ek Intel vPro / Intel AMT teknologiaren funtzionaltasuna babesteko eraztun gisa deitzea proposatu zuen. Teknologia horren zati gisa, vPro teknologia onartzen duten chipsetek mikroprozesadore independente bat dute (ARC3 arkitektura), sare-txartelerako interfaze bereizia dute, RAM atal dedikatu baterako sarbide esklusiboa (4 MB) eta RAM nagusirako DMA sarbidea dute. Programak prozesadore zentraletik independentean exekutatzen dira; firmwarea BIOS kodeekin edo antzeko SPI flash memoria batean gordetzen da (kodeak sinadura kriptografikoa du). Firmwarearen zati bat web zerbitzari bat da. Lehenespenez, AMT desgaituta dago, baina kode batzuk oraindik ere exekutatzen dira modu honetan AMT desgaituta dagoenean ere. -16 dei-kodea aktibo dago S3 Sleep power moduan ere.
Honek tentagarria dirudi, badirudi Intel AMT erabiliz administrazio-panel batzuetarako alderantzizko konexioa ezarriz gero, Computrace baino sarbide okerragorik izango ez dugula (hain zuzen ere, ez).
Intel AMT aktibatzen dugu gure makinan
Lehenik eta behin, zuetako batzuek AMT hau zure eskuekin ukitu nahiko zenukete, eta hemen hasten dira Γ±abardurak. Lehenengoa: onartzen duen prozesadore bat behar duzu. Zorionez, honekin ez dago arazorik (AMD ez baduzu behintzat), vPro ia Intel i5, i7 eta i9 prozesadore guztietan gehitzen delako (ikus dezakezu ) 2006az geroztik, eta VNC normala 2010ean ekarri zuten jada. Bigarrenik: mahaigaina baduzu, funtzionalitate hori onartzen duen plaka bat behar duzu, hots, Q chipsetarekin.Emangailu eramangarrietan, prozesadorearen eredua baino ez dugu ezagutu behar. Intel AMTrako laguntza aurkitzen baduzu, seinale ona da eta hemen lortutako ezarpenak aplikatu ahal izango dituzu. Hala ez bada, zorte txarra izan zenuen / teknologia honetarako laguntzarik gabeko prozesadore edo chipset bat nahita aukeratu zenuen edo dirua arrakastaz aurreztu zenuen AMD aukeratuz, eta hori ere pozaren arrazoia da.
Dokumentuen arabera
Modu ez seguruan, Intel AMT gailuek 16992 atakan entzuten dute.
TLS moduan, Intel AMT gailuek 16993 atakan entzuten dute.
Intel AMT-k 16992 eta 16993 portuetako konexioak onartzen ditu. Goazen hara.
Egiaztatu behar duzu Intel AMT gaituta dagoela BIOSan:
Ondoren, berrabiarazi eta Ctrl + P sakatu behar dugu kargatzen ari zaren bitartean
Pasahitz estandarra, ohi bezala, admin.
Aldatu pasahitza berehala Intel ME Ezarpen Orokorretan. Ondoren, Intel AMT konfigurazioan, gaitu Aktibatu Sareko sarbidea. Prest. Ofizialki atzetik zaude. Sisteman kargatzen ari gara.
Orain Γ±abardura garrantzitsu bat: logikoki, Intel AMT lokaletik eta urrunetik sar gaitezke, baina ez. Intelek dio lokalean konektatu eta ezarpenak erabiliz alda dezakezula , baina niretzat erabat uko egin zion konektatzeari, beraz, nire konexioak urrunetik bakarrik funtzionatu zuen.
Gailu batzuk hartu eta bidez konektatzen gara : 16992
Honela dirudi:
Ongi etorri Intel AMT interfaze estandarrera! Zergatik "estandarra"? Moztuta eta guztiz alferrikakoa delako gure helburuetarako, eta zerbait serioagoa erabiliko dugu.
MeshCommander ezagutzea
Ohi bezala, enpresa handiek zerbait egiten dute, eta azken erabiltzaileek beraiek egokitzeko aldatzen dute. Horixe gertatu da hemen ere.
Ylian Saint-Hilaire izeneko gizon xume honek (gehiegikeriarik ez: bere izena ez dago bere webgunean, Googlen egin behar nuen) Intel AMTrekin lan egiteko tresna zoragarriak garatu ditu.
Berehala zure arreta erakarri nahi nuke , bere bideoetan modu erraz eta argian erakusten du denbora errealean nola egin behar diren Intel AMTrekin eta bere softwarearekin lotutako zenbait zeregin.
Dezagun hasteko . Deskargatu, instalatu eta saiatu gure makinara konektatzen:
Prozesua ez da berehalakoa, baina ondorioz pantaila hau lortuko dugu:
Ez da paranoia naizenik, baina datu sentikorrak ezabatu egingo ditut, barkatu halako koketakeria
Aldea, esan bezala, begi-bistakoa da. Ez dakit zergatik Intel Kontrol Panelak ez duen halako funtzio multzorik, baina kontua da Ylian Saint-Hilaire-k bizitzari etekin handiagoa ateratzen diola. Gainera, bere web interfazea zuzenean instala dezakezu firmwarean, funtzio guztiak erabilgarritasunik gabe erabiltzeko aukera emango dizu.
Horrela egiten da:
Kontuan izan behar dut ez dudala funtzionalitate hau erabili (Web interfaze pertsonalizatua) eta ezin dudala ezer esan bere eraginkortasunari eta errendimenduari buruz, ez baita beharrezkoa nire beharretarako.
Funtzionalitatearekin jolastu dezakezu, nekez dena hondatuko duzu, jaialdi osoaren hasiera eta azken abiapuntua BIOSa baita, eta bertan dena berrezarri dezakezu Intel AMT desgaituz.
Inplementatu MeshCentral eta ezarri BackConnect
Eta hemen hasten da buruaren erorketa osoa. Nire osabak bezero bat ez ezik, gure Troiako administrazio-panel oso bat ere egin zuen! Eta ez zuen besterik egin, baina .
Hasi zure MeshCentral zerbitzari bat instalatzen edo MeshCentral ezagutzen ez baduzu, proba dezakezu zerbitzari publikoa zure ardurapean MeshCentral.com helbidean.
Honek positiboki hitz egiten du bere kodearen fidagarritasunaz, zerbitzuaren funtzionamenduan zehar hackei edo filtrazioei buruzko berririk ezin izan baitut aurkitu.
Pertsonalki, MeshCentral exekutatzen dut nire zerbitzarian, arrazoirik gabe uste dudalako fidagarriagoa dela, baina horretan ez dago ezer hutsalkeria eta izpirituaren larritasuna izan ezik. Zuk ere nahi baduzu, orduan dokumentuak daude eta MeshCentral duen edukiontzia. Dokumentuek NGINX-en dena nola lotu deskribatzen dute, beraz, inplementazioa zure etxeko zerbitzarietan erraz integratuko da.
Eman izena , sartu eta sortu Gailu Talde bat "agenterik ez" aukera hautatuz:
Zergatik "agenterik ez"? Zergatik behar dugu beharrezkoa ez den zerbait instalatzeko, ez dago argi nola jokatzen duen eta nola funtzionatuko duen.
Egin klik "Gehitu CIRA":
Deskargatu cira_setup_test.mescript eta erabili gure MeshCommander-en honela:
Voila! Denbora pixka bat igaro ondoren, gure makina MeshCentral-era konektatuko da eta horrekin zerbait egin dezakegu.
Lehenik eta behin: jakin behar duzu gure softwareak ez duela urruneko zerbitzari batean kolpatuko horrela. Hau da Intel AMT-k konektatzeko bi aukera dituelako: urruneko zerbitzari baten bidez eta zuzenean lokalean. Ez dute aldi berean lan egiten. Gure script-ak dagoeneko konfiguratu du sistema urrutiko lanerako, baina baliteke lokalean konektatu behar izatea. Lokalean konektatzeko, hona joan behar duzu
idatzi zure domeinu lokala den lerro bat (kontuan izan gure script-ak DAGOENeko ausazko lerroren bat txertatu duela bertan, konexioa urrunetik egin ahal izateko) edo garbitu lerro guztiak (baina orduan urruneko konexioa ez da erabilgarri egongo). Adibidez, OpenWrt-en nire tokiko domeinua lan da:
Horren arabera, lan bertan sartzen badugu, eta gure makina domeinu lokal hori duen sare batera konektatuta badago, urruneko konexioa ez da erabilgarri egongo, baina 16992 eta 16993 ataka lokalak irekiko dira eta konexioak onartuko dituzte. Laburbilduz, zure tokiko domeinuarekin zerikusirik ez duen zentzugabekeriaren bat badago, orduan softwarea akatsa egiten ari da, ez bada, zuk zeuk konektatu behar duzu hari baten bidez, hori da dena.
Bigarrenik:
Dena prest dago!
Galdetuko duzu: non dago AntiTheft? Hasieran esan dudan bezala, Intel AMT ez da oso egokia lapurrei aurre egiteko. Bulego-sare bat administratzea ongi etorria da, baina Internet bidez legez kanpo jabetza hartu duten pertsonekin borrokatzea ez da hain berezia. Har dezagun, teorian, jabetza pribatuaren aldeko borrokan lagun gaitzakeen tresna-kutxa bat:
- Berez, argi dago makinara sarbidea duzula kable bidez konektatuta badago, edo, bertan Windows instalatuta badago, WiFi bidez. Bai, umea da, baina dagoeneko oso zaila da pertsona arrunt batek ordenagailu eramangarri bat erabiltzea, nahiz eta bat-batean norbaitek kontrola hartzen duen. Gainera, gidoiak asmatu ezin izan ditudan arren, zalantzarik gabe, posible da haien jakinarazpenak blokeatzeko/bistaratzeko funtzionaltasun batzuk artistikoki diseinatzea.
- Urruneko ezabaketa segurua Intel Active Management Teknologiarekin
Aukera hau erabiliz, makinako informazio guztia segundotan ezaba dezakezu. Ez dago argi Intel ez diren SSDetan funtzionatzen duen. Hemen Funtzio honi buruz gehiago irakur dezakezu. Lana miretsi dezakezu . Kalitatea izugarria da, baina 10 megabyte baino ez eta funtsa argi dago.
Exekuzio geroratuaren arazoak konpondu gabe jarraitzen du, hau da: makina sarera noiz sartzen den ikusi behar duzu bertara konektatzeko. Honetarako ere irtenbideren bat badela uste dut.
Inplementazio ezin hobean, ordenagailu eramangarria blokeatu eta inskripzio motaren bat bistaratu behar duzu, baina gure kasuan sarbide saihestezina dugu, eta hurrengoa irudimen kontua da.
Agian, nolabait, autoa blokeatu edo gutxienez mezu bat bistaratu ahal izango duzu, idatzi badakizu. Eskerrik asko!
Ez ahaztu BIOSrako pasahitza ezartzea.
Eskerrik asko erabiltzailea zuzenketa egiteko!
Iturria: www.habr.com