Kuinka ostin lukitun kannettavan eBaysta ja yritin tehdä oman AntiTheft-ohjelmani IntelAMT:n pohjalta

TL; DR

Absolute Computrace on tekniikka, jonka avulla voit lukita autosi (ja ei vain), vaikka käyttöjärjestelmä asennettaisiin siihen uudelleen tai vaikka kiintolevy vaihdettaisiin, hintaan 15 dollaria vuodessa. Ostin eBaysta kannettavan tietokoneen, joka oli lukittu tällä esineellä. Artikkeli kuvaa kokemustani, kuinka kamppailin sen kanssa ja yritin tehdä saman Intel AMT:llä, mutta ilmaiseksi.

Sovitaan heti: en murtaudu avoimiin oviin enkä kirjoita luentoa näistä etäasioista, vaan kerron vähän taustaa ja kuinka nopeasti saa etäyhteyden koneellesi polvellesi missä tahansa tilanteessa (jos se on kytketty verkkoon RJ-45:n kautta) tai, jos se on yhdistetty Wi-Fi:n kautta, vain Windows-käyttöjärjestelmässä. Lisäksi on mahdollista rekisteröidä tietyn pisteen SSID, sisäänkirjautuminen ja salasana itse Intel AMT:ssä, ja sitten pääsy Wi-Fi: n kautta voidaan saada myös ilman järjestelmään käynnistämistä. Ja myös, jos asennat Intel ME:n ajurit GNU/Linuxille, kaiken tämän pitäisi toimia myös siinä. Tämän seurauksena kannettavan tietokoneen etälukitseminen ja viestin näyttäminen ei ole mahdollista (en saanut selville, onko tämä edes mahdollista tällä tekniikalla), mutta etätyöpöytä ja Secure Erase ovat käytettävissä, ja tämä on pääasia.

Taksinkuljettaja lähti kannettavan tietokoneeni kanssa ja päätin ostaa uuden eBaysta. Mikä voisi mennä pieleen?

Ostajalta varkaille - yhdellä lanseerauksella

Tuotuani postista kannettavan kotiin ryhdyin suorittamaan Windows 10:n esiasennusta ja sen jälkeen onnistuin jopa lataamaan Firefoxin, kun yhtäkkiä:

Ymmärsin aivan hyvin, ettei kukaan muuttaisi Windows-jakelua, ja jos muuttaisi, niin kaikki ei näyttäisi niin kömpelöltä ja yleensä esto olisi tapahtunut nopeammin. Ja loppujen lopuksi ei olisi mitään järkeä estää mitään, koska kaikki parannettaisiin asentamalla se uudelleen. Okei, käynnistetään uudelleen.

Käynnistä BIOS uudelleen, ja nyt kaikki on hieman selkeämpää:

Ja lopuksi se on täysin selvää:

Miten oma kannettava tietokone häiritsee minua? Mikä on Computrace?

Tarkkaan ottaen Computrace on joukko moduuleja EFI BIOSissasi, jotka OS Windowsin lataamisen jälkeen asettavat troijalaisensa siihen, koputtavat Absolute-etäohjelmistopalvelimeen ja sallivat tarvittaessa estää järjestelmän Internetin kautta. Voit lukea lisätietoja täältä täällä. Computrace ei toimi muiden käyttöjärjestelmien kuin Windowsin kanssa. Lisäksi, jos yhdistämme aseman BitLockerin salaamaan Windowsiin tai millä tahansa muulla ohjelmistolla, Computrace ei toimi uudelleen - moduulit eivät yksinkertaisesti pysty heittämään tiedostojaan järjestelmäämme.

Kaukaa katsottuna tällaiset tekniikat voivat tuntua kosmisilta, mutta vain siihen asti, kunnes saamme selville, että kaikki tämä tehdään alkuperäisellä UEFI:llä käyttämällä puolitoista kyseenalaista moduulia.

Näyttää siltä, ​​​​että tämä asia on kylmä ja kaikkivoipa, kunnes yritämme esimerkiksi käynnistää GNU/Linuxin:

Tässä kannettavassa tietokoneessa on Computrace-lukitus käytössä.

Kuten sanotaan

Mitä tehdä?

Ongelman ratkaisemiseksi on neljä ilmeistä vektoria:

1. Kirjoita myyjälle eBayssa
2. Kirjoita Computracen luojalle ja omistajalle Absolute-ohjelmistolle
3. Tee vedos BIOS-sirusta, lähetä se varjotyypeille, jotta ne lähettävät takaisin vedostiedoston, joka poistaa kaikki lukot ja valikot laitetunnuksen
4. Soita Lazardille

Katsotaanpa niitä järjestyksessä:

1. Me, kuten kaikki järkevät ihmiset, kirjoitamme ensin myyjälle, joka myi meille tällaisen tuotteen ja keskustelemme ongelmasta sen ensisijaisesti vastuussa olevan kanssa.

   Valmistettu:

   

2. Internetin syvyyksistä löydetyn neuvonantajan mukaan
   

   Sinun on otettava yhteyttä absoluuttiseen ohjelmistoon. He haluavat koneen sarjanumeron ja emolevyn sarjanumeron. Sinun on myös toimitettava "ostotosite", kuten kuitti. He ottavat yhteyttä rekisterissä olevaan omistajaan ja saavat luvan poistaa se. Jos sitä ei ole varastettu, he "merkitsivät sen poistettavaksi". Sen jälkeen kun seuraavan kerran muodostat yhteyden Internetiin tai sinulla on avoin Internet-yhteys, tapahtuu ihme ja se katoaa. Lähetä mainitsemani tavarat [sähköposti suojattu].

   voimme kirjoittaa suoraan Absolutelle ja kommunikoida heidän kanssaan suoraan lukituksen avaamisesta. Otin aikani ja päätin turvautua tähän ratkaisuun vasta loppua kohden.

3. Onneksi julma ratkaisu ongelmaan oli jo olemassa. Nämä lapset ja monet muut tietokonetukiasiantuntijat samassa eBayssa ja jopa intiaanit Facebookissa lupaavat meille avata BIOS-lukituksen, jos lähetämme heille kaatokirjan ja odotamme muutaman minuutin.

   Avausprosessi on kuvattu seuraavasti:

   Avausratkaisu on vihdoin saatavilla ja vaatii SPEG-ohjelmoijalta, että se pystyy päivittämään BIOSin.

   Prosessi on:

   1. Lue BIOS ja luo kelvollinen vedos. Thinkpadissa BIOS on naimisissa sisäisen TPM-sirun kanssa ja sisältää sen ainutlaatuisen allekirjoituksen, joten on tärkeää, että alkuperäinen BIOS on oikein luettavissa koko toiminnon onnistumiseksi ja BIOSin palauttamiseksi myöhemmin.
   2. Korjaa BIOS-binaarit ja lisää kaikki smallservice.ro UEFI -ohjelma. Tämä ohjelma lukee suojatun eepromin, nollaa TPM-varmenteen ja salasanan, kirjoittaa suojatun eepromin ja rekonstruoi kaikki tiedot.
   3. Kirjoita korjattu BIOS-vedos (tämä toimii vain siinä TP:ssä btw), käynnistä kannettava tietokone ja luo laitteistotunnus. Lähetämme sinulle ainutlaatuisen avaimen, joka aktivoi Allservice BIOSin, ja BIOSin latautuessa se suorittaa lukituksen avausrutiinin ja avaa SVP:n ja TPM:n.
   4. Kirjoita lopuksi alkuperäinen BIOS-vedos takaisin normaaleja toimintoja varten ja nauti kannettavasta tietokoneesta.

   Voimme myös tarvittaessa poistaa Computracen käytöstä tai muuttaa SN/UUID:tä ja nollata RFID-tarkistussummavirheen käyttämällä UEFI-ohjelmaamme samalla tavalla.

   Avauspalvelun hinta on konekohtainen (kuten teemme Macbookille/iMacille, HP:lle, Acerille jne.) Katso palvelun hinta ja saatavuus seuraavasta viestistä alla. Voit ottaa yhteyttä [sähköposti suojattu] kaikkiin tiedusteluihin.

   Vaikuttaa uskottavalta! Mutta tämäkin on ilmeisistä syistä vaihtoehto kaikkein epätoivoisimpaan tilanteeseen, ja lisäksi kaikki hauskanpito maksaa 80 dollaria. Jätämme sen myöhempään.

4. Jos Lazard on rikkonut kaiken puolestani ja pyytää minua soittamaan sinulle takaisin, sinun ei pitäisi kieltäytyä! Ryhdytään hommiin.

Kutsumme Lazardia eli "maailman johtavaa rahoitusneuvonta- ja varainhoitoyritystä, joka neuvoo fuusioissa, yrityskaupoissa, uudelleenjärjestelyissä, pääomarakenteessa ja strategiassa"

Kun eBay-myyjä vastaa, jätän muutaman dollarin zadarmaan ja odotan innolla kommunikointia planeetan ehkä sieluisimman keskustelukumppanin kanssa – valtavan New Yorkin finanssiyhtiön tuella. Tyttö ottaa nopeasti puhelimen käteen, kuuntelee toverini englanniksi arkoja selityksiä siitä, kuinka ostin tämän kannettavan tietokoneen, kirjoittaa muistiin sen sarjanumeron ja lupaa antaa sen järjestelmänvalvojille, jotka soittavat minulle takaisin. Tämä prosessi toistetaan täsmälleen kahdesti yhden päivän välein. Kolmannella kerralla odotin tarkoituksella New Yorkissa kello 10 illalla ja soitin ja luin nopeasti tuttua pastaa ostoksestani. Kaksi tuntia myöhemmin sama nainen soitti minulle takaisin ja alkoi lukea ohjeita:
— Napsauta pakoon.
Napsautan, mutta mitään ei tapahdu.
– Jokin ei toimi, mikään ei muutu.
- Lehdistö.
- Painan.
— Kirjoita nyt: 72406917
astun sisään. Mitään ei tapahdu.
- Tiedätkö, pelkään, että tämä ei auta... Hetkinen...
Kannettava tietokone käynnistyy yhtäkkiä uudelleen, järjestelmä käynnistyy, ärsyttävä valkoinen näyttö on kadonnut jonnekin. Varmuuden vuoksi menen BIOSiin, Computrace ei ole aktivoitu. Se näyttää olevan siinä. Kiitos tuestanne, kirjoitan myyjälle, että ratkaisin kaikki ongelmat itse ja rentoutukaa.

OpenMakeshift Computrace Intel AMT -pohjainen

Tapahtunut masensi minua, mutta pidin ajatuksesta, haamukipuni keskinkertaisesti kadonneesta etsii ulospääsyä, halusin suojella uutta kannettavaani, ikään kuin se antaisi minulle vanhan takaisin. Jos joku käyttää Computracea, niin minäkin voin käyttää sitä, eikö niin? Olihan siellä kuvauksen mukaan Intel Anti-Theft - erinomainen tekniikka, joka toimii niinkuin pitääkin, mutta markkinoiden inertia tappoi sen, mutta vaihtoehto on oltava. Kävi ilmi, että tämä vaihtoehto alkoi samasta paikasta, johon se päättyi - vain Absolute-ohjelmistot pystyivät saamaan jalansijaa tällä alalla.

Aluksi muistetaan, mikä Intel AMT on: tämä on joukko kirjastoja, jotka ovat osa Intel ME:tä, sisäänrakennettu EFI BIOS:iin, jotta jossain toimistossa järjestelmänvalvoja voi nousematta tuoliltaan käyttää verkossa olevia koneita, vaikka ne eivät käynnisty, etäyhteyden muodostaminen ISO:iin, ohjaus etätyöpöydän kautta jne.

Kaikki tämä toimii Minixissä ja suunnilleen tällä tasolla:

Invisible Things Lab ehdotti kutsuvansa Intel vPro / Intel AMT -teknologian toimintoja suojarenkaaksi -3. Osana tätä tekniikkaa vPro-tekniikkaa tukevat piirisarjat sisältävät itsenäisen mikroprosessorin (ARC4-arkkitehtuuri), niillä on erillinen liitäntä verkkokorttiin, eksklusiivinen pääsy omistettuun RAM-osaan (16 Mt) ja DMA-pääsy pääRAM-muistiin. Siinä olevat ohjelmat suoritetaan keskusprosessorista riippumatta; laiteohjelmisto on tallennettu yhdessä BIOS-koodien kanssa tai vastaavaan SPI-flash-muistiin (koodilla on kryptografinen allekirjoitus). Osa laiteohjelmistosta on sisäänrakennettu verkkopalvelin. Oletuksena AMT on poissa käytöstä, mutta osa koodista toimii edelleen tässä tilassa, vaikka AMT on pois käytöstä. Soittokoodi -3 on aktiivinen myös S3-lepotilassa.

Tämä kuulostaa houkuttelevalta, koska näyttää siltä, ​​että jos pystymme muodostamaan käänteisen yhteyden johonkin hallintapaneeliin Intel AMT:n avulla, pääsemme käyttämään Computracea huonommin (itse asiassa ei).

Aktivoimme Intel AMT:n koneellamme

Ensinnäkin jotkut teistä haluaisivat todennäköisesti koskettaa tätä AMT:tä omin käsin, ja tästä alkavat vivahteet. Ensinnäkin: tarvitset prosessorin, joka tukee sitä. Onneksi tässä ei ole ongelmia (ellei sinulla ole AMD:tä), koska vPro on lisätty melkein kaikkiin Intel i5-, i7- ja i9-prosessoreihin (näet täällä) vuodesta 2006, ja normaali VNC tuotiin sinne jo vuonna 2010. Toiseksi: jos sinulla on pöytäkone, tarvitset tätä toimintoa tukevan emolevyn, nimittäin Q-piirisarjan kanssa. Kannettavissa tietokoneissa tarvitsee vain tietää prosessorimalli. Jos löydät tuen Intel AMT:lle, tämä on hyvä merkki ja voit käyttää täällä saatuja asetuksia. Jos ei, niin joko olit epäonninen/valitsit tarkoituksella prosessorin tai piirisarjan ilman tämän tekniikan tukea tai säästät onnistuneesti rahaa valitsemalla AMD, mikä on myös syy iloon.

Asiakirjojen mukaan

Ei-suojatussa tilassa Intel AMT -laitteet kuuntelevat porttia 16992.
TLS-tilassa Intel AMT -laitteet kuuntelevat porttia 16993.

Intel AMT hyväksyy yhteydet portteihin 16992 ja 16993. Siirrytään sinne.

Sinun on tarkistettava, että Intel AMT on otettu käyttöön BIOSissa:

Seuraavaksi meidän on käynnistettävä uudelleen ja painettava Ctrl + P latauksen aikana

Tavallinen salasana, kuten tavallista, admin.

Vaihda salasana välittömästi Intel ME:n yleisasetuksissa. Ota seuraavaksi Intel AMT -kokoonpanossa käyttöön Aktivoi verkkokäyttö. Valmis. Olet nyt virallisesti takaportissa. Lataamme järjestelmään.

Nyt tärkeä vivahde: ​​loogisesti voimme käyttää Intel AMT:tä localhostista ja etänä, mutta ei. Intel sanoo, että voit muodostaa yhteyden paikallisesti ja muuttaa asetuksia käyttämällä Intel AMT -määritysapuohjelma, mutta minulle se kieltäytyi jyrkästi muodostamasta yhteyttä, joten yhteys toimi vain etänä.

Otamme laitteen ja muodostamme yhteyden kautta IP-osoitteesi: 16992

Näyttää siltä:

Tervetuloa Intel AMT -standardin käyttöliittymään! Miksi "standardi"? Koska se on katkaistu ja täysin hyödytön tarkoituksiinmme, ja käytämme jotain vakavampaa.

Tutustuminen MeshCommanderiin

Kuten tavallista, suuret yritykset tekevät jotain, ja loppukäyttäjät muokkaavat sitä itselleen sopivaksi. Näin kävi täälläkin.

Tämä vaatimaton (ei liioittelua: hänen nimensä ei ole hänen verkkosivuillaan, minun piti googlettaa) mies nimeltä Ylian Saint-Hilaire on kehittänyt upeita työkaluja työskentelyyn Intel AMT:n kanssa.

Haluaisin välittömästi kiinnittää huomionne häneen YouTube -kanava, hän näyttää videoissaan yksinkertaisesti ja selkeästi reaaliajassa, kuinka suorittaa tiettyjä Intel AMT:hen ja sen ohjelmistoihin liittyviä tehtäviä.

Aloitetaan MeshCommander. Lataa, asenna ja yritä muodostaa yhteys koneeseemme:

Prosessi ei ole välitön, mutta tuloksena saamme tämän näytön:

Kyse ei ole siitä, että olisin vainoharhainen, mutta poistan arkaluontoiset tiedot, anteeksi tällainen keilaus

Ero, kuten he sanovat, on ilmeinen. En tiedä miksi Intelin ohjauspaneelissa ei ole tällaista toimintosarjaa, mutta tosiasia on, että Ylian Saint-Hilaire saa huomattavasti enemmän irti elämästä. Lisäksi voit asentaa sen verkkokäyttöliittymän suoraan laiteohjelmistoon, sen avulla voit käyttää kaikkia toimintoja ilman apuohjelmaa.

Tämä tehdään näin:

Huomautan, että en ole käyttänyt tätä toimintoa (mukautettu verkkokäyttöliittymä) enkä voi sanoa mitään sen tehokkuudesta ja suorituskyvystä, koska sitä ei tarvita tarpeisiini.

Toiminnallisuudella voi leikkiä, tuskin pilaat kaikkea, sillä koko tämän festivaalin lähtö- ja viimeinen lähtökohta on BIOS, jossa voi sitten nollata kaiken poistamalla Intel AMT:n käytöstä.

Ota MeshCentral käyttöön ja ota käyttöön BackConnect

Ja tästä alkaa täydellinen pään pudotus. Setäni ei vain tehnyt asiakkaan, vaan myös kokonaisen hallintapaneelin troijalaisellemme! Ja hän ei vain tehnyt sitä, vaan käynnisti sen kaikille palvelimellani.

Aloita asentamalla oma MeshCentral-palvelin tai jos et ole tutustunut MeshCentraliin, voit kokeilla julkista palvelinta omalla vastuullasi osoitteessa MeshCentral.com.

Tämä kertoo positiivisesti sen koodin luotettavuudesta, koska en löytänyt uutisia hakkeroista tai vuodoista palvelun toiminnan aikana.

Henkilökohtaisesti käytän MeshCentralia palvelimellani, koska uskon kohtuuttomasti, että se on luotettavampi, mutta siinä ei ole mitään muuta kuin turhamaisuutta ja hengen kuilua. Jos sinäkin haluat, niin täällä siellä on asiakirjoja ja täällä kontti MeshCentralilla. Asiakirjat kuvaavat, kuinka se kaikki yhdistetään NGINX:ssä, jotta toteutus integroituu helposti kotipalvelimillesi.

Rekisteröidy meshcentral.com, mene sisään ja luo laiteryhmä valitsemalla "ei agenttia" -vaihtoehto:

Miksi "ei agenttia"? Koska miksi tarvitsemme sitä asentaaksemme jotain tarpeetonta, ei ole selvää, miten se toimii ja miten se toimii.

Napsauta "Lisää CIRA":

Lataa cira_setup_test.mescript ja käytä sitä MeshCommanderissamme näin:

Voila! Jonkin ajan kuluttua koneemme muodostaa yhteyden MeshCentraliin ja voimme tehdä sille jotain.

Ensinnäkin: sinun pitäisi tietää, että ohjelmistomme ei koputa etäpalvelimeen samalla tavalla. Tämä johtuu siitä, että Intel AMT:llä on kaksi vaihtoehtoa muodostaa yhteys - etäpalvelimen kautta ja suoraan paikallisesti. Ne eivät toimi samaan aikaan. Skriptimme on jo määrittänyt järjestelmän etätyötä varten, mutta saatat joutua muodostamaan yhteyden paikallisesti. Jotta voit muodostaa yhteyden paikallisesti, sinun on mentävä tänne

kirjoita rivi, joka on sinun paikallinen verkkotunnuksesi (huomaa, että skriptimme on JO lisännyt sinne satunnaisen rivin, jotta yhteys voidaan muodostaa etänä) tai tyhjennä kaikki rivit kokonaan (mutta silloin etäyhteys ei ole käytettävissä). Esimerkiksi paikallinen verkkotunnukseni OpenWrtissä on lan:

Vastaavasti, jos syötämme lan sinne ja jos koneemme on kytketty verkkoon tällä paikallisella toimialueella, etäyhteys ei ole käytettävissä, mutta paikalliset portit 16992 ja 16993 avautuvat ja hyväksyvät yhteydet. Lyhyesti sanottuna, jos on jonkinlaista hölynpölyä, joka ei liity paikalliseen verkkotunnukseesi, niin ohjelmisto häiritsee, jos ei, sinun on yhdistettävä siihen itse johdolla, siinä kaikki.

Toiseksi:

Kaikki on valmista!

Saatat kysyä - missä AntiTheft on? Kuten alussa sanoin, Intel AMT ei ole kovin sopiva varkaiden torjuntaan. Toimistoverkon hallinnointi on tervetullutta, mutta tappelu Internetin kautta laittomasti omaisuutta ottaneiden henkilöiden kanssa ei ole niin erikoista. Tarkastellaanpa työkalupakkia, joka teoriassa voi auttaa meitä taistelussa yksityisomaisuuden puolesta:

1. Sinänsä on selvää, että sinulla on pääsy koneeseen, jos se on kytketty kaapelilla, tai jos Windows on asennettu siihen, niin WiFin kautta. Kyllä, se on lapsellista, mutta tavallisen ihmisen on jo erittäin vaikeaa käyttää tällaista kannettavaa tietokonetta, vaikka joku vain yhtäkkiä ottaa hallinnan. Lisäksi huolimatta siitä, etten pystynyt selvittämään skriptejä, on varmasti mahdollista taiteellisesti suunnitella joitakin toimintoja niiden ilmoitusten estämiseksi / näyttämiseksi.
2. Suojattu etäpyyhintä Intel Active Management -teknologialla

   
   
   Tämän vaihtoehdon avulla voit poistaa kaikki tiedot laitteesta sekunneissa. Ei ole selvää, toimiiko se muilla kuin Intelin SSD-levyillä. Tässä täällä Voit lukea lisää tästä toiminnosta. Teoksia voi ihailla täällä. Laatu on kauhea, mutta vain 10 megatavua ja olemus on selvä.

Viivästetyn suorituksen ongelma on edelleen ratkaisematta, toisin sanoen: sinun on katsottava, milloin kone tulee verkkoon, jotta voit muodostaa yhteyden siihen. Uskon, että tähänkin löytyy ratkaisu.

Ihanteellisessa toteutuksessa sinun on estettävä kannettava tietokone ja näytettävä jonkinlainen merkintä, mutta meidän tapauksessamme meillä on yksinkertaisesti väistämätön pääsy, ja mitä tehdä seuraavaksi, on mielikuvituksen asia.

Ehkä pystyt jotenkin estämään auton tai ainakin näyttämään viestin, kirjoita jos tiedät. Kiitos!

Älä unohda asettaa salasanaa BIOSille.

Kiitos käyttäjä berez oikolukua varten!

Lähde: will.com