TL; DR
Absolute Computrace est une technologie qui vous permet de verrouiller votre voiture (et non ), même si le système d'exploitation y était réinstallé ou même si le disque dur était remplacé, pour 15 $ par an. J'ai acheté un ordinateur portable sur eBay qui était verrouillé avec ce truc. L'article décrit mon expérience, comment j'ai lutté avec cela et j'ai essayé de faire la même chose sur Intel AMT, mais gratuitement.
Soyons tout de suite d'accord : je n'enfonce pas des portes ouvertes et je n'écris pas une conférence sur ces choses à distance, mais je raconte un peu le contexte et comment obtenir rapidement un accès à distance à votre machine sur vos genoux dans n'importe quelle situation (si elle est connectée au réseau via RJ-45) ou, s'il est connecté via Wi-Fi, alors uniquement sous OS Windows. En outre, il sera possible d'enregistrer le SSID, le login et le mot de passe d'un point spécifique dans Intel AMT lui-même, puis l'accès via Wi-Fi pourra également être obtenu sans démarrer le système. Et aussi, si vous installez des pilotes pour Intel ME sur GNU/Linux, alors tout cela devrait également fonctionner. En conséquence, il ne sera pas possible de verrouiller à distance un ordinateur portable et d'afficher un message (je n'ai même pas compris si cela est même possible avec cette technologie), mais il y aura accès à un bureau à distance et à Secure Erase, et ce c'est l'essentiel.
Le chauffeur de taxi est parti avec mon ordinateur portable et j'ai décidé d'en acheter un nouveau sur eBay. Qu'est-ce qui pourrait mal se passer?
De l'acheteur aux voleurs - en un seul lancement
Ayant ramené à la maison un ordinateur portable de la poste, je me suis mis à terminer la pré-installation de Windows 10, et après cela j'ai même réussi à télécharger Firefox, quand soudain :
J'ai parfaitement compris que personne ne modifierait la distribution Windows, et s'il le faisait, alors tout n'aurait pas l'air si maladroit et en général le blocage se serait produit plus rapidement. Et, au final, cela ne servirait à rien de bloquer quoi que ce soit, puisque tout serait guéri en le réinstallant. D'accord, redémarrons.
Redémarrez dans le BIOS, et maintenant tout devient un peu plus clair :
Et enfin, c'est tout à fait clair :
Comment se fait-il que mon propre ordinateur portable me dérange ? Qu’est-ce que Computrace ?
À proprement parler, Computrace est un ensemble de modules dans votre BIOS EFI qui, après avoir chargé le système d'exploitation Windows, y insèrent leurs chevaux de Troie, frappant le serveur logiciel Absolute distant et permettant, si nécessaire, de bloquer le système via Internet. Vous pouvez lire plus de détails ici . Computrace ne fonctionne pas avec les systèmes d'exploitation autres que Windows. De plus, si nous connectons un lecteur avec Windows crypté par BitLocker ou tout autre logiciel, Computrace ne fonctionnera plus - les modules ne pourront tout simplement pas lancer leurs fichiers dans notre système.
De loin, de telles technologies peuvent sembler cosmiques, mais seulement jusqu'à ce que nous découvrions que tout cela se fait sur l'UEFI natif à l'aide d'un module et demi douteux.
Il semble que cette chose soit froide et toute-puissante jusqu'à ce que nous essayions, par exemple, de démarrer sous GNU/Linux :
Cet ordinateur portable dispose actuellement du verrouillage Computrace activé.
Comme on dit,
Que faire?
Il existe quatre vecteurs évidents pour résoudre le problème :
- Écrivez au vendeur sur eBay
- Écrivez au logiciel Absolute, créateur et propriétaire de Computrace
- Faites un dump à partir de la puce BIOS, envoyez-le à des types louches afin qu'ils renvoient un dump avec un patch qui désactive tous les verrous et menus l'ID de l'appareil
- Appeler Lazard
Décomposons-les dans l'ordre :
- Comme toutes les personnes raisonnables, nous écrivons d'abord au vendeur qui nous a vendu un tel produit et discutons du problème avec celui qui en est le principal responsable.
Fabriqué:
- Selon un conseiller découvert dans les profondeurs d'Internet,
Vous devez contacter le logiciel absolu. Ils voudront le numéro de série de la machine et le numéro de série de la carte mère. Vous devrez également fournir une « preuve d’achat », comme un reçu. Ils contacteront le propriétaire qu’ils ont enregistré et obtiendront l’accord pour le supprimer. En supposant qu’il n’est pas volé, ils le « signaleront pour suppression ». Après cela, la prochaine fois que vous vous connecterez à Internet ou que vous disposerez d’une connexion Internet ouverte, un miracle se produira et il disparaîtra. Envoyez les choses que j'ai mentionnées à [email protected].
nous pouvons écrire directement à Absolute et communiquer directement avec eux au sujet du déverrouillage. J'ai pris mon temps et j'ai décidé de recourir à cette solution seulement vers la fin.
- Heureusement, une solution brutale au problème existait déjà. Ceux-ci et de nombreux autres spécialistes du support informatique sur le même eBay et même des Indiens sur Facebook nous promettent de déverrouiller notre BIOS si nous leur envoyons un dump et attendons quelques minutes.
Le processus de déverrouillage est décrit comme suit :
Une solution de déverrouillage est enfin disponible et nécessite que le programmeur SPEG soit capable de flasher le BIOS.
Le processus est:
- Lecture du BIOS et création d'un dump valide. Dans un Thinkpad, le BIOS est associé à la puce TPM interne et contient une signature unique de celle-ci. Il est donc important que le BIOS d'origine soit une lecture correcte pour le succès de l'ensemble de l'opération et pour restaurer le BIOS par la suite.
- Corrigez les binaires du BIOS et injectez un programme UEFI all smallservice.ro. Ce programme lira l'eeprom sécurisée, réinitialisera le certificat et le mot de passe TPM, écrira l'eeprom sécurisée et reconstruira toutes les données.
- Écrivez le dump BIOS corrigé (cela ne fonctionnera que dans ce TP d'ailleurs), démarrez l'ordinateur portable et générez un ID matériel. Nous vous enverrons une clé unique qui activera le BIOS Allservice, pendant le chargement du BIOS, il exécutera la routine de déverrouillage et déverrouillera le SVP et le TPM.
- Enfin, réécrivez le dump du BIOS d'origine pour des opérations normales et profitez de l'ordinateur portable.
Nous pouvons également désactiver Computrace ou modifier le SN/UUID et réinitialiser l'erreur de somme de contrôle RFID en utilisant notre programme UEFI de la même manière, si nécessaire.
Le prix du service de déverrouillage est par machine (comme nous le faisons pour les Macbook/iMac, HP, Acer, etc.). Pour connaître le prix et la disponibilité du service, veuillez lire le message suivant ci-dessous. Vous pouvez contacter [email protected] pour toute enquête.
Semble légitime! Mais cela aussi, pour des raisons évidentes, est une option pour la situation la plus désespérée, et en plus, tout le plaisir coûte 80 $. Nous laissons cela pour plus tard.
- Si Lazard a tout cassé pour moi et me demande de vous rappeler, alors il ne faut pas refuser ! Nous allons passer aux choses sérieuses.
Nous appelons Lazard alias « la première société mondiale de conseil financier et de gestion d'actifs, conseille en matière de fusions, d'acquisitions, de restructuration, de structure du capital et de stratégie ».
Pendant que le vendeur d'eBay répond, je jette quelques dollars sur zadarma et j'ai hâte de communiquer avec peut-être l'interlocuteur le plus sans âme de la planète - le soutien d'une énorme société financière de New York. La jeune fille décroche rapidement le téléphone, écoute dans mon camarade anglais les timides explications sur la façon dont j'ai acheté cet ordinateur portable, note son numéro de série et promet de le donner aux admins, qui me rappelleront. Ce processus est répété exactement deux fois, à un jour d’intervalle. La troisième fois, j'ai délibérément attendu qu'il soit 10 heures du soir à New York et j'ai appelé, lisant rapidement les pâtes familières concernant mon achat. Deux heures plus tard, la même femme m'a rappelé et a commencé à lire les instructions :
— Cliquez sur Échapper.
Je clique mais rien ne se passe.
— Quelque chose ne marche pas, rien ne change.
- Presse.
- J'appuie.
— Entrez maintenant : 72406917
J'entre. Il ne se passe rien.
- Tu sais, j'ai peur que ça n'aide pas... Juste une minute...
L'ordinateur portable redémarre soudainement, le système démarre, l'écran blanc ennuyeux a disparu quelque part. Pour être sûr, je vais dans le BIOS, Computrace n'est pas activé. Il semble que ce soit ça. Merci pour votre soutien, j'écris au vendeur que j'ai résolu tous les problèmes moi-même et que je me détends.
OpenMakeshift Computrace basé sur Intel AMT
Ce qui s'est passé m'a découragé, mais j'ai aimé l'idée, ma douleur fantôme face à ce qui avait été médiocrement perdu cherchait une issue, je voulais protéger mon nouvel ordinateur portable, comme s'il me rendait l'ancien. Si quelqu'un utilise Computrace, je peux l'utiliser aussi, n'est-ce pas ? Après tout, il y avait Intel Anti-Theft, selon la description - une excellente technologie qui fonctionne comme il se doit, mais elle a été tuée par l'inertie du marché, mais il doit y avoir une alternative. Il s'est avéré que cette alternative commençait au même endroit où elle se terminait - seul le logiciel Absolute était capable de prendre pied dans ce domaine.
Tout d'abord, rappelons ce qu'est Intel AMT : il s'agit d'un ensemble de bibliothèques qui font partie d'Intel ME, intégrées au BIOS EFI, afin qu'un administrateur d'un bureau puisse, sans se lever de sa chaise, faire fonctionner des machines sur le réseau, même s'ils ne démarrent pas, en connectant des ISO à distance, en contrôlant via un bureau à distance, etc.
Tout cela fonctionne sur Minix et à peu près à ce niveau :
Invisible Things Lab a proposé d'appeler la fonctionnalité de la technologie Intel vPro / Intel AMT un anneau de protection -3. Dans le cadre de cette technologie, les chipsets prenant en charge la technologie vPro contiennent un microprocesseur indépendant (architecture ARC4), disposent d'une interface distincte avec la carte réseau, d'un accès exclusif à une section dédiée de RAM (16 Mo) et d'un accès DMA à la RAM principale. Les programmes qui y sont exécutés sont exécutés indépendamment du processeur central, le firmware est stocké avec les codes BIOS ou sur une mémoire flash SPI similaire (le code a une signature cryptographique). Une partie du micrologiciel est un serveur Web intégré. Par défaut, AMT est désactivé, mais certains codes s'exécutent toujours dans ce mode même lorsque AMT est désactivé. Le code de sonnerie -3 est actif même en mode d'alimentation S3 Sleep.
Cela semble tentant, car il semble que si nous parvenons à établir une connexion inversée vers un panneau d'administration utilisant Intel AMT, nous pourrons avoir un accès pas pire que Computrace (en fait, non).
Nous activons Intel AMT sur notre machine
Tout d'abord, certains d'entre vous aimeraient probablement toucher cet AMT de leurs propres mains, et c'est ici que commencent les nuances. Premièrement : vous avez besoin d’un processeur qui le prend en charge. Heureusement, cela ne pose aucun problème (sauf si vous avez AMD), car vPro est ajouté à presque tous les processeurs Intel i5, i7 et i9 (vous pouvez voir ) depuis 2006, et le VNC normal y a déjà été introduit en 2010. Deuxièmement : si vous avez un ordinateur de bureau, vous avez besoin d'une carte mère prenant en charge cette fonctionnalité, notamment avec le chipset Q. Dans les ordinateurs portables, il suffit de connaître le modèle de processeur. Si vous trouvez un support pour Intel AMT, alors c'est bon signe et vous pourrez appliquer les paramètres obtenus ici. Sinon, soit vous n'avez pas eu de chance/vous avez délibérément choisi un processeur ou un chipset sans support pour cette technologie, soit vous avez réussi à économiser de l'argent en choisissant AMD, ce qui est aussi un motif de joie.
D'après les actes
En mode non sécurisé, les appareils Intel AMT écoutent sur le port 16992.
En mode TLS, les appareils Intel AMT écoutent sur le port 16993.
Intel AMT accepte les connexions sur les ports 16992 et 16993. Allons-y.
Vous devez vérifier qu'Intel AMT est activé dans le BIOS :
Ensuite, nous devons redémarrer et appuyer sur Ctrl + P pendant le chargement
Le mot de passe standard, comme d'habitude, admin.
Modifiez immédiatement le mot de passe dans les paramètres généraux Intel ME. Ensuite, dans Configuration Intel AMT, activez Activer l'accès au réseau. Prêt. Vous êtes désormais officiellement dérobé. Nous chargeons dans le système.
Maintenant une nuance importante : logiquement, nous pouvons accéder à Intel AMT depuis localhost et à distance, mais non. Intel indique que vous pouvez vous connecter localement et modifier les paramètres en utilisant , mais pour moi, il a catégoriquement refusé de se connecter, donc ma connexion ne fonctionnait qu'à distance.
Nous prenons un appareil et nous connectons via : 16992
Cela ressemble à ceci:
Bienvenue dans l'interface standard Intel AMT ! Pourquoi « standard » ? Parce qu'il est tronqué et complètement inutile pour nos besoins, et nous utiliserons quelque chose de plus sérieux.
Apprendre à connaître MeshCommander
Comme d'habitude, les grandes entreprises font quelque chose et les utilisateurs finaux le modifient à leur guise. C'est ce qui s'est passé ici aussi.
Ce modeste (sans exagération : son nom n'est pas sur son site, j'ai dû le chercher sur Google) nommé Ylian Saint-Hilaire a développé de merveilleux outils pour travailler avec Intel AMT.
Je voudrais immédiatement attirer votre attention sur lui , dans ses vidéos il montre simplement et clairement en temps réel comment effectuer certaines tâches liées à Intel AMT et à ses logiciels.
Commençons avec . Téléchargez, installez et essayez de vous connecter à notre machine :
Le processus n’est pas instantané, mais nous obtiendrons cet écran :
C'est pas que je suis paranoïaque, mais je vais supprimer les données sensibles, pardonne-moi une telle coquetterie
La différence, comme on dit, est évidente. Je ne sais pas pourquoi le panneau de configuration Intel ne dispose pas d'un tel ensemble de fonctions, mais le fait est qu'Ylian Saint-Hilaire profite beaucoup plus de la vie. De plus, vous pouvez installer son interface web directement dans le firmware, cela vous permettra d'utiliser toutes les fonctions sans utilitaire.
Ceci est fait comme ceci:
Je dois préciser que je n'ai pas utilisé cette fonctionnalité (Interface web personnalisée) et que je ne peux rien dire sur son efficacité et ses performances, puisqu'elle n'est pas requise pour mes besoins.
Vous pouvez jouer avec les fonctionnalités, il est peu probable que vous gâchiez tout, car le point de départ et final de tout ce festival est le BIOS, dans lequel vous pouvez ensuite tout réinitialiser en désactivant Intel AMT.
Déployer MeshCentral et implémenter BackConnect
Et ici commence la chute complète de la tête. Mon oncle a non seulement créé un client, mais aussi tout un panneau d'administration pour notre cheval de Troie ! Et il ne l'a pas seulement fait, mais .
Commencez par installer votre propre serveur MeshCentral ou si vous n'êtes pas familier avec MeshCentral, vous pouvez essayer le serveur public à vos propres risques sur MeshCentral.com.
Cela parle positivement de la fiabilité de son code, puisque je n'ai trouvé aucune nouvelle de piratage ou de fuite pendant le fonctionnement du service.
Personnellement, j'exécute MeshCentral sur mon serveur parce que je crois de manière déraisonnable qu'il est plus fiable, mais il n'y a rien d'autre que la vanité et la langueur d'esprit. Si tu veux aussi, alors il y a des documents et conteneur avec MeshCentral. La documentation décrit comment relier le tout dans NGINX, afin que la mise en œuvre s'intègre facilement à vos serveurs domestiques.
S'inscrire à , entrez et créez un groupe de périphériques en sélectionnant l'option « aucun agent » :
Pourquoi « pas d'agent » ? Parce que pourquoi en avons-nous besoin pour installer quelque chose d'inutile, on ne sait pas comment cela se comporte et comment cela fonctionnera.
Cliquez sur « Ajouter CIRA » :
Téléchargez cira_setup_test.mescript et utilisez-le dans notre MeshCommander comme ceci :
Voilà ! Après un certain temps, notre machine se connectera à MeshCentral et nous pourrons en faire quelque chose.
Premièrement : sachez que notre logiciel ne frappera pas un serveur distant comme ça. Cela est dû au fait qu'Intel AMT propose deux options de connexion : via un serveur distant et directement localement. Ils ne travaillent pas en même temps. Notre script a déjà configuré le système pour le travail à distance, mais vous devrez peut-être vous connecter localement. Pour vous connecter localement, vous devez vous rendre ici
écrivez une ligne qui est votre domaine local (notez que notre script y a DÉJÀ inséré une ligne aléatoire afin que la connexion puisse être établie à distance) ou effacez complètement toutes les lignes (mais la connexion à distance ne sera alors pas disponible). Par exemple, mon domaine local dans OpenWrt est lan :
En conséquence, si nous y entrons LAN et si notre machine est connectée à un réseau avec ce domaine local, alors la connexion à distance ne sera pas disponible, mais les ports locaux 16992 et 16993 s'ouvriront et accepteront les connexions. Bref, s'il y a une sorte de bêtise qui n'est pas liée à votre domaine local, alors le logiciel bugue, sinon, vous devez vous y connecter vous-même via un fil, c'est tout.
Deuxièmement:
Tout est prêt !
Vous vous demandez peut-être : où est AntiTheft ? Comme je l'ai dit au départ, Intel AMT n'est pas très adapté pour lutter contre les voleurs. Gérer un réseau de bureaux est bienvenu, mais lutter contre des individus qui ont illégalement pris possession de biens via Internet n'est pas si spécial. Considérons une boîte à outils qui, en théorie, peut nous aider dans la lutte pour la propriété privée :
- En soi, il est clair que vous avez accès à la machine si elle est connectée par câble, ou, si Windows y est installé, alors via WiFi. Oui, c'est enfantin, mais il est déjà très difficile pour une personne ordinaire d'utiliser un tel ordinateur portable, même si quelqu'un en prend soudainement le contrôle. De plus, malgré le fait que je n'ai pas pu comprendre les scripts, il est certainement possible de concevoir de manière créative certaines fonctionnalités permettant de bloquer/afficher des notifications sur ceux-ci.
- Effacement sécurisé à distance avec la technologie Intel Active Management
Grâce à cette option, vous pouvez supprimer toutes les informations de la machine en quelques secondes. Il n'est pas clair si cela fonctionne sur les SSD non Intel. Ici Vous pouvez en savoir plus sur cette fonction. Vous pourrez admirer le travail . La qualité est horrible, mais seulement 10 mégaoctets et l'essentiel est clair.
Le problème de l'exécution différée reste entier, autrement dit : il faut surveiller quand la machine entre dans le réseau pour s'y connecter. Je crois qu'il existe également une solution à ce problème.
Dans une implémentation idéale, vous devez bloquer l'ordinateur portable et afficher une sorte d'inscription, mais dans notre cas, nous avons simplement un accès inévitable, et que faire ensuite est une question d'imagination.
Peut-être pourrez-vous d'une manière ou d'une autre bloquer la voiture ou au moins afficher un message, écrivez si vous le savez. Merci!
N'oubliez pas de définir un mot de passe pour le BIOS.
Merci l'utilisateur pour la relecture !
Source: habr.com