🥇چطور از eBay یک لپ تاپ قفل شده خریدم و سعی کردم AntiTheft خودم را بر اساس IntelAMT بسازم

TL؛ DR

Absolute Computrace فناوری است که به شما امکان می دهد ماشین خود را قفل کنید (و نه تنها) حتی اگر سیستم عامل دوباره بر روی آن نصب شده باشد یا حتی هارد دیسک تعویض شده باشد، با قیمت 15 دلار در سال. من یک لپ تاپ از eBay خریدم که با این چیز قفل شده بود. مقاله تجربه من را شرح می دهد، چگونه با آن مبارزه کردم و سعی کردم همین کار را در Intel AMT انجام دهم، اما به صورت رایگان.

بیایید فوراً موافقت کنیم: من وارد درهای باز نمی شوم و در مورد این چیزهای از راه دور سخنرانی نمی نویسم، بلکه می گویم پس زمینه و چگونگی دسترسی سریع از راه دور به دستگاه خود در هر شرایطی (اگر به دستگاه متصل باشد) شبکه از طریق RJ-45) یا، اگر از طریق Wi-Fi متصل است، فقط در سیستم عامل ویندوز. همچنین امکان ثبت SSID، لاگین و رمز عبور یک نقطه خاص در خود اینتل AMT وجود خواهد داشت و سپس دسترسی از طریق وای فای نیز بدون بوت شدن در سیستم امکان پذیر خواهد بود. و همچنین، اگر درایورهای Intel ME را روی گنو/لینوکس نصب کنید، همه اینها باید روی آن نیز کار کنند. در نتیجه قفل کردن لپ‌تاپ از راه دور و نمایش پیام امکان‌پذیر نخواهد بود (نمی‌توانم بفهمم که آیا با استفاده از این فناوری ممکن است یا نه)، اما دسترسی به دسک‌تاپ از راه دور و پاک کردن ایمن وجود خواهد داشت و این اصلی ترین چیز است

راننده تاکسی با لپ تاپ من رفت و من تصمیم گرفتم یک لپ تاپ جدید در eBay بخرم. چه چیزی می تواند اشتباه باشد؟

از خریدار تا دزد - در یک راه اندازی

با آوردن یک لپ تاپ از اداره پست به خانه، شروع به تکمیل پیش نصب ویندوز 10 کردم و پس از آن حتی موفق شدم فایرفاکس را دانلود کنم که ناگهان:

من به خوبی فهمیدم که هیچ کس توزیع ویندوز را تغییر نمی دهد، و اگر این کار را می کرد، همه چیز آنقدر ناشیانه به نظر نمی رسید و به طور کلی مسدود کردن سریعتر اتفاق می افتاد. و در نهایت، مسدود کردن هر چیزی فایده ای ندارد، زیرا همه چیز با نصب مجدد آن برطرف می شود. خوب، بیایید راه اندازی مجدد کنیم.

راه اندازی مجدد به BIOS، و اکنون همه چیز کمی واضح تر می شود:

و در نهایت کاملاً مشخص است:

چگونه است که لپ تاپ خود من را اذیت می کند؟ Computrace چیست؟

به عبارت دقیق تر، Computrace مجموعه ای از ماژول ها در بایوس EFI شما است که پس از بارگیری سیستم عامل ویندوز، تروجان های خود را در آن وارد می کند و به سرور نرم افزار Absolute راه دور ضربه می زند و در صورت لزوم اجازه می دهد تا سیستم را از طریق اینترنت مسدود کند. جزئیات بیشتر را می توانید اینجا بخوانید اینجا. Computrace با سیستم عامل های دیگری غیر از ویندوز کار نمی کند. علاوه بر این، اگر یک درایو را به ویندوز رمزگذاری شده توسط BitLocker یا هر نرم افزار دیگری متصل کنیم، Computrace دوباره کار نخواهد کرد - ماژول ها به سادگی نمی توانند فایل های خود را به سیستم ما پرتاب کنند.

از راه دور، چنین فناوری هایی ممکن است کیهانی به نظر برسند، اما فقط تا زمانی که متوجه شویم که همه اینها در UEFI بومی با استفاده از یک و نیم ماژول مشکوک انجام می شود.

به نظر می رسد این چیز سرد و قدرتمند است تا زمانی که مثلاً سعی کنیم به گنو/لینوکس راه اندازی کنیم:

این لپ تاپ دارای قفل Computrace در حال حاضر فعال است.

به قول معروف،

چه کاری انجام دهید؟

چهار بردار واضح برای حل مسئله وجود دارد:

برای فروشنده در eBay بنویسید
برای نرم افزار Absolute، خالق و صاحب Computrace بنویسید
یک Dump از تراشه BIOS ایجاد کنید، آن را به انواع سایه دار ارسال کنید تا آنها یک Dump را با یک پچ که همه قفل ها را غیرفعال می کند و منوهای ID دستگاه را انتخاب می کند، ارسال کنند.
با لازارد تماس بگیر

بیایید آنها را به ترتیب تقسیم کنیم:

ما مانند همه افراد منطقی ابتدا به فروشنده ای که چنین محصولی را به ما فروخته است نامه می نویسیم و مشکل را با کسی که مسئول اصلی آن است در میان می گذاریم.
ساخته شده:
به گفته مشاوری که در اعماق اینترنت کشف شده است،

باید با نرم افزار مطلق تماس بگیرید. آنها شماره سریال دستگاه و شماره سریال مادربرد را می خواهند. همچنین باید «اثبات خرید» را مانند رسید ارائه کنید. آنها با مالکی که در پرونده دارند تماس خواهند گرفت و برای حذف آن تأییدیه دریافت می کنند. با فرض اینکه دزدیده نشده باشد، سپس آن را برای حذف پرچم گذاری می کنند. بعد از آن دفعه بعد که به اینترنت وصل می شوید یا اینترنت باز دارید معجزه ای رخ می دهد و از بین می رود. مطالبی که گفتم بفرست [ایمیل محافظت شده].

می‌توانیم مستقیماً برای Absolute بنویسیم و مستقیماً با آنها در مورد باز کردن قفل ارتباط برقرار کنیم. وقتم را گرفتم و تصمیم گرفتم فقط تا آخر به این راه حل متوسل شوم.
خوشبختانه، یک راه حل بی رحمانه برای مشکل از قبل وجود داشت. اینها بچه ها و بسیاری دیگر از متخصصان پشتیبانی رایانه در همان eBay و حتی هندی‌ها در فیس‌بوک به ما قول می‌دهند که در صورتی که برای آنها یک dump ارسال کنیم و چند دقیقه صبر کنیم، قفل BIOS خود را باز کنیم.
فرآیند باز کردن قفل به شرح زیر است:
راه حل باز کردن قفل بالاخره در دسترس است و به برنامه نویس SPEG نیاز دارد تا بتواند بایوس را فلش کند.

روند کار:
1. خواندن BIOS و ایجاد یک Dump معتبر. در Thinkpad، BIOS با تراشه TPM داخلی پیوند خورده است و دارای یک امضای منحصر به فرد از آن است، بنابراین مهم است که بایوس اصلی برای موفقیت کل عملیات خوانده شود و پس از آن BIOS را بازیابی کند.
2. باینری های بایوس را اصلاح کنید و یک برنامه UEFI تمام smallservice.ro را تزریق کنید. این برنامه eeprom امن را می خواند، گواهی TPM و رمز عبور را بازنشانی می کند، eeprom امن می نویسد و تمام داده ها را بازسازی می کند.
3. BIOS dump وصله شده را بنویسید (این فقط در آن TP btw کار می کند)، لپ تاپ را راه اندازی کنید و یک شناسه سخت افزاری ایجاد کنید. ما یک کلید منحصر به فرد برای شما ارسال می کنیم که بایوس Allservice را فعال می کند، در حالی که بایوس در حال بارگیری است، روال باز کردن قفل را اجرا می کند و SVP و TPM را باز می کند.
4. در نهایت، BIOS dump اصلی را برای عملیات عادی بنویسید و از لپ تاپ لذت ببرید.
همچنین می‌توانیم Computrace را غیرفعال کنیم یا SN/UUID را تغییر دهیم و در صورت لزوم با استفاده از برنامه UEFI خود، خطای جمع‌بندی کنترلی RFID را بازنشانی کنیم.

قیمت خدمات باز کردن قفل به ازای هر دستگاه است (مانند ما برای Macbook/iMac، HP، Acer، و غیره) برای اطلاع از قیمت سرویس و در دسترس بودن، لطفاً پست بعدی زیر را بخوانید. می توانید تماس بگیرید [ایمیل محافظت شده] برای هر گونه پرس و جو
به نظر قانونی می رسد! اما این نیز، به دلایل واضح، گزینه ای برای ناامیدترین شرایط است، و علاوه بر این، تمام سرگرمی ها 80 دلار هزینه دارند. می گذاریم برای بعد.
اگر لازارد همه چیز را برای من شکسته است و از من می خواهد که با شما تماس بگیرم، پس نباید رد کنید! بریم به کسب و کار برسیم.

ما Lazard را با نام مستعار "شرکت مشاوره مالی و مدیریت دارایی پیشرو در جهان، مشاوره در مورد ادغام، تملک، بازسازی، ساختار سرمایه و استراتژی" می نامیم.

در حالی که فروشنده از eBay پاسخ می دهد، من چند دلار به zadarma می پردازم و مشتاقانه منتظر ارتباط با شاید بی روح ترین همکار روی کره زمین هستم - حمایت یک شرکت مالی بزرگ از نیویورک. دختر سریع گوشی را برمی‌دارد، به انگلیسی رفیقم به توضیحات ترسو در مورد نحوه خرید این لپ‌تاپ گوش می‌دهد، شماره سریال آن را می‌نویسد و قول می‌دهد که آن را به ادمین‌ها بدهد تا با من تماس بگیرند. این عمل دقیقا دو بار به فاصله یک روز تکرار می شود. بار سوم، عمداً منتظر ماندم تا ساعت 10 شب در نیویورک بود و زنگ زدم و به سرعت ماکارونی آشنا را در مورد خریدم خواندم. دو ساعت بعد همان زن با من تماس گرفت و شروع به خواندن دستورالعمل کرد:
- روی Escape کلیک کنید.
کلیک می کنم اما هیچ اتفاقی نمی افتد.
- چیزی کار نمی کند، چیزی تغییر نمی کند.
- مطبوعات.
- فشار میدم
— حالا وارد کنید: 72406917
دارم وارد میشم هیچ اتفاقی نمی افتد.
- میدونی، میترسم این کمکی نکنه... فقط یک دقیقه...
لپ تاپ به طور ناگهانی راه اندازی مجدد می شود، سیستم بوت می شود، صفحه سفید آزاردهنده در جایی ناپدید شده است. برای اطمینان وارد بایوس می شوم، Computrace فعال نیست. به نظر می رسد همین است. از حمایت شما متشکرم، به فروشنده نامه می نویسم که همه مسائل را خودم حل کردم و آرامش دارم.

OpenMakeshift Computrace مبتنی بر AMT اینتل

اتفاقی که افتاد من را ناامید کرد، اما از این ایده خوشم آمد، درد خیالی من از چیزی که به طور متوسط از دست داده بود، به دنبال راهی برای خروج بودم، می‌خواستم از لپ‌تاپ جدیدم محافظت کنم، گویی لپ‌تاپ قدیمی را به من پس می‌دهد. اگر کسی از Computrace استفاده می کند، من هم می توانم از آن استفاده کنم، درست است؟ از این گذشته ، طبق توضیحات ، Intel Anti-Theft وجود داشت - یک فناوری عالی که همانطور که باید کار می کند ، اما با اینرسی بازار کشته شد ، اما باید جایگزینی وجود داشته باشد. معلوم شد که این جایگزین از همان جایی شروع شد که به پایان رسید - فقط نرم افزار Absolute توانست در این زمینه جای پایی به دست آورد.

اول، بیایید به یاد بیاوریم Intel AMT چیست: این مجموعه ای از کتابخانه ها است که بخشی از Intel ME است که در بایوس EFI تعبیه شده است، به طوری که یک مدیر در برخی از دفترها می تواند بدون بلند شدن از روی صندلی خود، ماشین ها را روی شبکه کار کند. حتی اگر آنها بوت نمی شوند، اتصال ISO از راه دور، کنترل از طریق دسکتاپ از راه دور و غیره.

همه اینها روی Minix و تقریباً در این سطح اجرا می شود:

آزمایشگاه چیزهای نامرئی پیشنهاد کرد که عملکرد فناوری Intel vPro / Intel AMT را حلقه حفاظت -3 نامید. به عنوان بخشی از این فناوری، چیپ‌ست‌هایی که از فناوری vPro پشتیبانی می‌کنند شامل یک ریزپردازنده مستقل (معماری ARC4)، یک رابط جداگانه برای کارت شبکه، دسترسی انحصاری به بخش اختصاصی RAM (16 مگابایت) و دسترسی DMA به RAM اصلی هستند. برنامه های روی آن به طور مستقل از پردازنده مرکزی اجرا می شوند؛ سیستم عامل همراه با کدهای BIOS یا روی یک حافظه فلش SPI مشابه (کد دارای امضای رمزنگاری است) ذخیره می شود. بخشی از سیستم عامل یک وب سرور داخلی است. به طور پیش فرض، AMT غیرفعال است، اما برخی از کدها همچنان در این حالت اجرا می شوند، حتی زمانی که AMT غیرفعال است. کد زنگ -3 حتی در حالت S3 Sleep Power نیز فعال است.

این وسوسه‌انگیز به نظر می‌رسد، زیرا به نظر می‌رسد که اگر بتوانیم با استفاده از Intel AMT یک اتصال معکوس به برخی از پنل‌های مدیریت برقرار کنیم، می‌توانیم دسترسی بدتری نسبت به Computrace نداشته باشیم (در واقع، خیر).

ما Intel AMT را روی دستگاه خود فعال می کنیم

اول، برخی از شما احتمالاً دوست دارید این AMT را با دستان خود لمس کنید، و در اینجا تفاوت های ظریف آغاز می شود. اول: شما به پردازنده ای نیاز دارید که از آن پشتیبانی کند. خوشبختانه، هیچ مشکلی در این مورد وجود ندارد (مگر اینکه AMD داشته باشید)، زیرا vPro تقریبا به تمام پردازنده های i5، i7 و i9 اینتل اضافه شده است (می توانید ببینید اینجا) از سال 2006، و VNC معمولی قبلاً در سال 2010 به آنجا آورده شد. ثانیا: اگر دسکتاپ دارید، به مادربردی نیاز دارید که از این قابلیت پشتیبانی کند، یعنی چیپست Q. در لپ تاپ ها فقط باید مدل پردازنده را بدانیم. اگر از Intel AMT پشتیبانی می کنید، این نشانه خوبی است و می توانید تنظیمات به دست آمده در اینجا را اعمال کنید. اگر نه، پس یا بدشانس بودید/عمداً پردازنده یا چیپست بدون پشتیبانی از این فناوری را انتخاب کردید یا با انتخاب AMD با موفقیت در پول خود صرفه جویی کردید که این هم دلیلی برای خوشحالی است.

طبق اسناد

در حالت غیر ایمن، دستگاه های Intel AMT در پورت 16992 گوش می دهند.
در حالت TLS، دستگاه های AMT اینتل در پورت 16993 گوش می دهند.

Intel AMT اتصالات در پورت های 16992 و 16993 را می پذیرد. بیایید به آنجا برویم.

باید بررسی کنید که Intel AMT در بایوس فعال باشد:

در مرحله بعد باید راه اندازی مجدد و Ctrl + P را در حین بارگذاری فشار دهید

رمز عبور استاندارد، طبق معمول، مدیر سایت.

بلافاصله رمز عبور را در تنظیمات عمومی Intel ME تغییر دهید. بعد، در Intel AMT Configuration، Activate Network Access را فعال کنید. آماده. شما در حال حاضر به طور رسمی در پشتی هستید. ما در حال بارگذاری در سیستم هستیم.

اکنون یک نکته مهم: منطقی است که ما می توانیم از Localhost و از راه دور به Intel AMT دسترسی داشته باشیم، اما نه. اینتل می گوید می توانید به صورت محلی متصل شوید و تنظیمات را با استفاده از آن تغییر دهید اینتل AMT Configuration Utility، اما برای من قاطعانه از اتصال امتناع کرد، بنابراین اتصال من فقط از راه دور کار می کرد.

مقداری دستگاه می گیریم و از طریق آن وصل می شویم IP شما: 16992

این به نظر می رسد:

به رابط استاندارد Intel AMT خوش آمدید! چرا "استاندارد"؟ زیرا کوتاه شده و برای اهداف ما کاملاً بی فایده است و ما از چیز جدی تری استفاده خواهیم کرد.

آشنایی با MeshCommander

طبق معمول، شرکت های بزرگ کاری انجام می دهند و کاربران نهایی آن را مطابق با خودشان تغییر می دهند. اینجا هم همین اتفاق افتاد.

این مرد متواضع (بدون اغراق: نامش در وب سایتش نیست، مجبور شدم آن را در گوگل جستجو کنم) به نام Ylian Saint-Hilaire ابزارهای فوق العاده ای برای کار با Intel AMT ایجاد کرده است.

من می خواهم بلافاصله توجه شما را به او جلب کنم کانال یوتیوب، او در ویدیوهای خود به سادگی و به وضوح نحوه انجام برخی وظایف مربوط به Intel AMT و نرم افزار آن را به صورت واقعی نشان می دهد.

بیایید شروع کنیم MeshCommander. دانلود، نصب کنید و سعی کنید به دستگاه ما متصل شوید:

این فرآیند آنی نیست، اما در نتیجه این صفحه را دریافت خواهیم کرد:

اینطور نیست که من پارانوئید هستم، اما داده های حساس را حذف خواهم کرد، مرا برای چنین عشوه گری ببخشید

تفاوت، همانطور که می گویند، آشکار است. من نمی دانم چرا کنترل پنل اینتل چنین مجموعه ای از عملکردها را ندارد، اما واقعیت این است که ایلیان سنت هیلر به طور قابل توجهی از زندگی بهره می برد. علاوه بر این، می توانید رابط وب آن را مستقیماً در سیستم عامل نصب کنید، به شما این امکان را می دهد که از تمام عملکردها بدون ابزار استفاده کنید.

اینگونه انجام می شود:

باید توجه داشته باشم که من از این قابلیت (واسط وب سفارشی) استفاده نکرده ام و نمی توانم در مورد اثربخشی و عملکرد آن چیزی بگویم، زیرا برای نیازهای من مورد نیاز نیست.

شما می توانید با عملکرد بازی کنید، بعید است که همه چیز را خراب کنید، زیرا نقطه شروع و نهایی کل این جشنواره BIOS است که در آن می توانید با غیرفعال کردن Intel AMT همه چیز را بازنشانی کنید.

MeshCentral را مستقر کرده و BackConnect را پیاده سازی کنید

و در اینجا سقوط کامل سر آغاز می شود. دایی من نه تنها یک کلاینت، بلکه یک پنل مدیریت کامل برای تروجان ما ساخت! و او فقط این کار را نکرد، بلکه آن را برای همه در سرور من راه اندازی کردم.

با نصب یک سرور MeshCentral خود شروع کنید یا اگر با MeshCentral آشنایی ندارید، می توانید سرور عمومی را با مسئولیت خود در MeshCentral.com امتحان کنید.

این به طور مثبت در مورد قابلیت اطمینان کد آن صحبت می کند، زیرا من نتوانستم هیچ خبری در مورد هک یا نشت در طول عملیات سرویس پیدا کنم.

من شخصاً MeshCentral را روی سرورم اجرا می کنم زیرا به طور غیر منطقی معتقدم که قابل اعتمادتر است ، اما چیزی جز غرور و کسالت روحی در آن وجود ندارد. اگر شما هم می خواهید، پس اینجا اسناد و مدارک وجود دارد اینجا ظرف با MeshCentral. اسناد نحوه پیوند همه آن ها را در NGINX توضیح می دهند، بنابراین پیاده سازی به راحتی در سرورهای خانگی شما ادغام می شود.

ثبت نام در meshcentral.com، وارد شوید و با انتخاب گزینه "no agent" یک Device Group ایجاد کنید:

چرا "بدون نماینده"؟ از آنجا که چرا برای نصب چیز غیر ضروری به آن نیاز داریم، مشخص نیست که چگونه رفتار می کند و چگونه کار می کند.

روی «افزودن CIRA» کلیک کنید:

cira_setup_test.mescript را دانلود کنید و از آن در MeshCommander ما به این صورت استفاده کنید:

وویلا! بعد از مدتی دستگاه ما به MeshCentral متصل می شود و می توانیم کاری با آن انجام دهیم.

اولاً: باید بدانید که نرم افزار ما به همین سادگی روی سرور راه دور ضربه نمی زند. این به این دلیل است که Intel AMT دو گزینه برای اتصال دارد - از طریق یک سرور راه دور و مستقیماً به صورت محلی. آنها همزمان کار نمی کنند. اسکریپت ما قبلاً سیستم را برای کار از راه دور پیکربندی کرده است، اما ممکن است لازم باشد به صورت محلی متصل شوید. برای اینکه بتوانید به صورت محلی متصل شوید، باید به اینجا بروید

خطی بنویسید که دامنه محلی شماست (توجه داشته باشید که اسکریپت ما قبلاً یک خط تصادفی را در آنجا درج کرده است تا اتصال از راه دور برقرار شود) یا تمام خطوط را به طور کامل پاک کنید (اما در این صورت اتصال راه دور در دسترس نخواهد بود). به عنوان مثال، دامنه محلی من در OpenWrt lan است:

بر این اساس، اگر در آنجا وارد lan شویم و اگر دستگاه ما به شبکه ای با این دامنه محلی متصل باشد، اتصال از راه دور در دسترس نخواهد بود، اما پورت های محلی 16992 و 16993 باز می شوند و اتصالات را می پذیرند. به طور خلاصه، اگر نوعی مزخرف وجود دارد که به دامنه محلی شما مربوط نمی شود، نرم افزار دارای اشکال است، اگر نه، پس باید خودتان از طریق سیم به آن متصل شوید، همین.

دوم:

همه چیز آماده است!

ممکن است بپرسید - AntiTheft کجاست؟ همانطور که در ابتدا گفتم، Intel AMT برای مبارزه با سارقان چندان مناسب نیست. اداره یک شبکه اداری مورد استقبال قرار می گیرد، اما مبارزه با افرادی که به طور غیرقانونی اموال را از طریق اینترنت تصرف کرده اند چندان خاص نیست. بیایید ابزاری را در نظر بگیریم که در تئوری می‌تواند به ما در مبارزه برای مالکیت خصوصی کمک کند:

به خودی خود مشخص است که اگر دستگاه از طریق کابل وصل شده باشد یا اگر ویندوز روی آن نصب شده باشد از طریق WiFi به آن دسترسی دارید. بله، کودکانه است، اما استفاده از چنین لپ تاپ برای یک فرد معمولی بسیار دشوار است، حتی اگر کسی به طور ناگهانی کنترل را به دست بگیرد. علاوه بر این، علیرغم این واقعیت که من نتوانستم اسکریپت ها را بفهمم، مطمئناً می توان برخی از عملکردها را به صورت هنرمندانه برای مسدود کردن / نمایش اعلان ها روی آنها طراحی کرد.
پاک کردن ایمن از راه دور با فناوری مدیریت فعال اینتل

با استفاده از این گزینه می توانید تمام اطلاعات دستگاه را در چند ثانیه پاک کنید. مشخص نیست که روی SSD های غیر اینتل کار می کند یا خیر. اینجا اینجا می توانید در مورد این تابع بیشتر بخوانید. می توانید کار را تحسین کنید اینجا. کیفیت وحشتناک است، اما فقط 10 مگابایت و ماهیت آن مشخص است.

مشکل اجرای معوق حل نشده باقی می ماند، به عبارت دیگر: برای اتصال به آن باید مراقب باشید که ماشین وارد شبکه می شود. من معتقدم که برای این نیز راه حلی وجود دارد.

در یک پیاده سازی ایده آل، شما باید لپ تاپ را مسدود کنید و نوعی کتیبه را نمایش دهید، اما در مورد ما به سادگی دسترسی اجتناب ناپذیری داریم، و آنچه که در مرحله بعد باید انجام شود یک موضوع تخیل است.

شاید به نحوی بتوانید ماشین را مسدود کنید یا حداقل پیامی را نشان دهید، اگر می دانید بنویسید. متشکرم!

فراموش نکنید که یک رمز عبور برای بایوس تعیین کنید.

با تشکر از کاربر برز برای تصحیح!

منبع: www.habr.com

چگونه از eBay یک لپ تاپ قفل شده خریدم و سعی کردم AntiTheft خودم را بر اساس IntelAMT بسازم