TL; DR
Absolute Computrace is in technology wêrmei jo jo auto kinne beskoattelje (en net ), sels as it bestjoeringssysteem op 'e nij ynstalleare is of sels de hurde skiif waard ferfongen, foar $ 15 per jier. Ik kocht in laptop op eBay dy't op slot wie mei dit ding. It artikel beskriuwt myn ûnderfining, hoe't ik dermei wraksele en besocht itselde te dwaan op Intel AMT, mar fergees.
Litte wy it daliks iens wêze: ik brek net yn iepen doarren en skriuw gjin lêzing oer dizze dingen op ôfstân, mar fertel in bytsje eftergrûn en hoe't jo yn elke situaasje fluch tagong krije kinne op ôfstân ta jo masine op jo knibbel (as it ferbûn is mei de netwurk fia RJ-45) of, as it is ferbûn fia Wi-Fi, dan allinich yn OS Windows. Ek sil it mooglik wêze om de SSID, oanmelden en wachtwurd fan in spesifyk punt yn Intel AMT sels te registrearjen, en dan kin tagong fia Wi-Fi ek krije sûnder opstarten yn it systeem. En ek, as jo stjoerprogramma's foar Intel ME op GNU / Linux ynstallearje, dan moat dit alles ek wurkje. As gefolch sil it net mooglik wêze om in laptop op ôfstân te sluten en in berjocht wer te jaan (ik koe net útfine oft dit sels mooglik is mei dizze technology), mar d'r sil tagong wêze ta in buroblêd op ôfstân en Secure Erase, en dit is it wichtichste ding.
De taksysjauffeur gie fuort mei myn laptop en ik besleat in nije op eBay te keapjen. Wat koe der mis gean?
Fan keaper oant dieven - yn ien lansearring
Nei't ik in laptop fan it postkantoar thús brocht hie, gie ik oan it foltôgjen fan de foarynstallaasje fan Windows 10, en dêrnei slagge it my sels Firefox te downloaden, doe't ynienen:
Ik begriep goed dat gjinien de Windows-distribúsje soe wizigje, en as se diene, dan soe alles net sa ûnhandich útsjen en yn 't algemien soe it blokkearjen flugger wêze. En, op it lêst, soe d'r gjin punt wêze om neat te blokkearjen, om't alles soe wurde genêzen troch it opnij te ynstallearjen. Okee, litte wy opnij opstarte.
Reboot yn 'e BIOS, en no wurdt alles wat dúdliker:
En as lêste is it folslein dúdlik:
Hoe komt it dat myn eigen laptop my lêst? Wat is Computrace?
Strictly speaking is Computrace in set fan modules yn jo EFI BIOS dy't, nei it laden fan OS Windows, har Trojans deryn ynfoegje, klopje op 'e remote Absolute softwareserver en tastean, as nedich, it systeem oer it ynternet te blokkearjen. Jo kinne hjir mear details lêze . Computrace wurket net mei oare bestjoeringssystemen as Windows. Boppedat, as wy in stasjon ferbine mei Windows fersifere troch BitLocker, of in oare software, dan sil Computrace net wer wurkje - de modules kinne gewoan net har bestannen yn ús systeem smite.
Fan in ôfstân kinne sokke technologyen kosmysk lykje, mar allinich oant wy útfine dat dit alles wurdt dien op native UEFI mei ien en in heal dubieuze modules.
It liket derop dat dit ding kâld en almachtig is oant wy besykje, bygelyks, te booten yn GNU/Linux:
Dizze laptop hat Computrace-skoatteljen op it stuit ynskeakele.
As it sprekwurd seit,
Wat moat ik dwaan?
D'r binne fjouwer foar de hân lizzende vectoren foar it oplossen fan it probleem:
- Skriuw nei de ferkeaper op eBay
- Skriuw nei Absolute software, skepper en eigner fan Computrace
- Meitsje in dump fan 'e BIOS-chip, stjoer it nei shady types sadat se in dump werom stjoere mei in patch dy't alle slûzen deaktivearret en de apparaat-ID menu's
- Belje Lazard
Litte wy se yn folchoarder besjen:
- Wy, lykas alle ferstannige minsken, skriuwe earst oan de ferkeaper dy't ús sa'n produkt ferkocht en beprate it probleem mei dejinge dy't primêr ferantwurdlik is foar it.
makke:
- Neffens in adviseur ûntdutsen yn 'e djipten fan it ynternet,
Jo moatte kontakt opnimme mei absolute software. Se sille it searjenûmer fan 'e masine en it searjenûmer fan it moederbord wolle. Jo sille ek "bewiis fan oankeap" moatte leverje, lykas in kwitânsje. Se sille kontakt opnimme mei de eigner dy't se yn bestân hawwe en de OK krije om it te ferwiderjen. Oannommen dat it net stellen is, sille se dan "flagge it foar wiskjen". Dêrnei, de folgjende kear as jo ferbining meitsje mei it ynternet of in iepen ynternetferbining hawwe, sil in wûnder barre en it sil fuort wêze. Stjoer it guod dat ik neamde [e-post beskerme].
wy kinne direkt skriuwe nei Absolute en direkt mei har kommunisearje oer ûntskoatteljen. Ik naam myn tiid en besleat om dizze oplossing allinich nei it ein te brûken.
- Gelokkich wie der al in brutale oplossing foar it probleem. Dizzen en in protte oare spesjalisten foar kompjûterstipe op deselde eBay en sels Yndianen op Facebook tasizze ús ús BIOS te ûntsluten as wy se in dump stjoere en in pear minuten wachtsje.
It ûntskoattelproses wurdt as folget beskreaun:
Untskoatteljen oplossing is einlings beskikber en fereasket SPEG programmeur te kinnen flash de BIOS.
It proses is:
- It lêzen fan it BIOS en meitsje in jildich dump. Yn in Thinkpad is it BIOS troud mei de ynterne TPM-chip en befettet in unike hantekening fan it, dus it is wichtich dat de oarspronklike BIOS in korrekte lêzen is foar it sukses fan 'e hiele operaasje en it BIOS dêrnei werom te heljen.
- It patchjen fan de BIOS-binaries en ynjeksje in all smallservice.ro UEFI-programma. Dit programma sil de feilige eeprom lêze, TPM-sertifikaat en wachtwurd weromsette, feilige eeprom skriuwe en alle gegevens rekonstruearje.
- Skriuw de patched BIOS-dump (dit sil allinich funksjonearje yn dat TP btw), start de laptop en generearje in Hardware ID. Wy sille jo in unike kaai stjoere dy't de Allservice BIOS sil aktivearje, wylst it BIOS laden wurdt sil it de ûntskoattelroutine útfiere en de SVP en TPM ûntsluten.
- As lêste, skriuw de orizjinele BIOS-dump werom foar normale operaasjes en genietsje fan 'e laptop.
Wy kinne Computrace ek útskeakelje of de SN / UUID feroarje en RFID-kontrôlesumflater weromsette troch ús UEFI-programma op deselde manier te brûken, as nedich
De tsjinstpriis foar ûntsluten is per masine (lykas wy dogge foar de Macbook/iMac, HP, Acer, ensfh.) Foar tsjinstpriis en beskikberens lês asjebleaft de folgjende post hjirûnder. Jo kinne kontakt opnimme [e-post beskerme] foar elke fraach.
It liket legit! Mar ek dit, om dúdlike redenen, is in opsje foar de meast wanhopige situaasje, en boppedat kostet alle wille $ 80. Wy litte it foar letter.
- As Lazard alles foar my brutsen hat en my freget om dy werom te skiljen, dan moatte jo net wegerje! Lit ús oan it wurk.
Wy neame Lazard aka "it liedende bedriuw foar finansjele advys en assetbehear fan 'e wrâld, advisearret oer fúzjes, oanwinsten, werstrukturearring, kapitaalstruktuer en strategy"
Wylst de ferkeaper fan eBay reagearret, smyt ik in pear dollar op zadarma en sjoch út nei kommunikaasje mei miskien de meast sielleaze petearpartner op 'e planeet - de stipe fan in enoarme finansjele korporaasje út New York. It famke pakt gau de telefoan, harket yn myn kameraad Ingelsk nei timide útlis oer hoe't ik dizze laptop kocht, skriuwt it serialnûmer op en belooft it te jaan oan de behearders, dy't my werombelle. Dit proses wurdt werhelle krekt twa kear, ien dei út elkoar. De tredde kear wachte ik mei opsetsin oant it 10 oere jûns yn New York wie en belle, en lies gau de bekende pasta út oer myn oankeap. Twa oeren letter rôp deselde frou my werom en begon ynstruksjes te lêzen:
- Klik escape.
Ik klik mar der bart neat.
- Iets wurket net, neat feroaret.
- Druk.
- Ik druk.
- Fier no yn: 72406917
Ik gean yn. Neat gebeurt.
- Jo witte, ik bin bang dat dit net helpt... In minút...
De laptop start ynienen wer op, it systeem start, it ferfelende wite skerm is earne ferdwûn. Om der wis fan te wêzen, gean ik yn 'e BIOS, Computrace is net aktivearre. It liket derop dat it it is. Tankewol foar jo stipe, ik skriuw oan 'e ferkeaper dat ik alle problemen sels oplost en ûntspanne.
OpenMakeshift Computrace Intel AMT basearre
Wat der barde makke my ûntmoedige, mar ik fûn it idee leuk, myn fantompine oer wat midsmjittich ferlern wie socht in útwei, ik woe myn nije laptop beskermje, as soe it my de âlde werom jaan. As immen Computrace brûkt, dan kin ik it ek brûke, krekt? Nei alles, d'r wie Intel Anti-Theft, neffens de beskriuwing - in poerbêste technology dy't wurket sa't it moat, mar it waard fermoarde troch de inertia fan 'e merk, mar d'r moat in alternatyf wêze. It die bliken dat dit alternatyf begon op itselde plak wêr't it einige - allinich Absolute software koe in foet op dit mêd krije.
Lit ús earst ûnthâlde wat Intel AMT is: dit is in set bibleteken dy't diel útmakket fan Intel ME, ynboud yn 'e EFI BIOS, sadat in behearder yn guon kantoaren kin, sûnder op te stean fan syn stoel, masines op it netwurk operearje, sels as se net boote, ISO's op ôfstân ferbine, kontrolearje fia buroblêd op ôfstân, ensfh.
Dit alles rint op Minix en op sawat dit nivo:
Invisible Things Lab stelde foar om de funksjonaliteit fan Intel vPro / Intel AMT-technology in ring fan beskerming -3 te neamen. As ûnderdiel fan dizze technology befetsje chipsets dy't stypje vPro technology in ûnôfhinklike microprocessor (ARC4 arsjitektuer), hawwe in aparte ynterface oan it netwurk card, eksklusive tagong ta in tawijd seksje fan RAM (16 MB), en DMA tagong ta de wichtichste RAM. Programma's op it wurde útfierd ûnôfhinklik fan 'e sintrale prosessor de firmware wurdt opslein tegearre mei BIOS koades of op in ferlykbere SPI flash ûnthâld (de koade hat in kryptografyske hântekening). In diel fan 'e firmware is in ynboude webserver. Standert is AMT útskeakele, mar guon koade rint noch yn dizze modus sels as AMT is útskeakele. Ring koade -3 is aktyf sels yn S3 Sleep power modus.
Dit klinkt ferleidend, om't it liket dat as wy in omkearde ferbining kinne meitsje mei wat adminpaniel mei Intel AMT, wy tagong kinne hawwe net slimmer dan Computrace (feitlik nee).
Wy aktivearje Intel AMT op ús masine
Earst wolle guon fan jo dizze AMT mei jo eigen hannen oanreitsje, en hjir begjinne de nuânses. Earst: jo hawwe in prosessor nedich dy't it stipet. Gelokkich binne d'r gjin problemen mei dit (útsein as jo AMD hawwe), om't vPro wurdt tafoege oan hast alle Intel i5-, i7- en i9-prosessoren (jo kinne sjen ) sûnt 2006, en normale VNC waard dêr al yn 2010 brocht. Twad: as jo in buroblêd hawwe, dan hawwe jo in moederbord nedich dat dizze funksjonaliteit stipet, nammentlik mei de Q-chipset Yn laptops moatte wy allinich it prosessormodel witte. As jo stipe fine foar Intel AMT, dan is dit in goed teken en jo sille de hjir krigen ynstellings kinne tapasse. As net, dan wiene jo pech / jo hawwe bewust in prosessor of chipset keazen sûnder stipe foar dizze technology, of jo hawwe mei súkses jild besparre troch te kiezen foar AMD, wat ek in reden is foar freugde.
Neffens dokuminten
Yn net-befeilige modus harkje Intel AMT-apparaten op poarte 16992.
Yn TLS-modus harkje Intel AMT-apparaten op poarte 16993.
Intel AMT akseptearret ferbinings op havens 16992 en 16993. Lit ús ferhúzje dêr.
Jo moatte kontrolearje dat Intel AMT is ynskeakele yn it BIOS:
Folgjende moatte wy opnij opstarte en drukke Ctrl + P by it laden
It standert wachtwurd, lykas gewoanlik, admin.
Feroarje daliks it wachtwurd yn Intel ME Algemiene ynstellings. Folgjende, yn Intel AMT-konfiguraasje, ynskeakelje Netwurktagong aktivearje. Klear. Jo binne no offisjeel backdoored. Wy laden yn it systeem.
No in wichtige nuânse: logysk kinne wy tagong krije ta Intel AMT fan localhost en op ôfstân, mar nee. Intel seit dat jo lokaal kinne ferbine en ynstellings feroarje kinne mei , mar foar my wegere it perfoarst te ferbinen, dus myn ferbining wurke allinich op ôfstân.
Wy nimme wat apparaat en ferbine fia : 16992
It sjocht der sa út:
Wolkom by de standert Intel AMT ynterface! Wêrom "standert"? Om't it is ôfkoarte en folslein nutteloos foar ús doelen, en wy sille brûke wat mear serieuze.
Learje mei MeshCommander
Lykas gewoanlik dogge grutte bedriuwen wat, en ein brûkers feroarje it om harsels te passen. Dat is hjir ek bard.
Dizze beskieden (gjin oerdriuwing: syn namme stiet net op syn webside, ik moast it Google) man mei de namme Ylian Saint-Hilaire hat prachtige ark ûntwikkele foar wurkjen mei Intel AMT.
Ik soe daliks jo oandacht op him meitsje wolle , yn syn fideo's lit hy gewoan en dúdlik yn realtime sjen hoe't jo bepaalde taken útfiere kinne relatearre oan Intel AMT en har software.
Litte wy begjinne mei . Download, ynstallearje en besykje te ferbinen mei ús masine:
It proses is net direkt, mar as gefolch krije wy dit skerm:
It is net dat ik paranoïde bin, mar ik sil gefoelige gegevens wiskje, ferjou my foar sokke kokettery
It ferskil, sa't se sizze, is dúdlik. Ik wit net wêrom't it Intel Control Panel net sa'n set fan funksjes hat, mar it feit is dat Ylian Saint-Hilaire signifikant mear út it libben krijt. Boppedat kinne jo har webynterface direkt yn 'e firmware ynstallearje, it sil jo alle funksjes sûnder helpmiddel kinne brûke.
Dit wurdt dien sa:
Ik moat opmerke dat ik dizze funksjonaliteit (oanpaste webynterface) net haw brûkt en kin neat sizze oer syn effektiviteit en prestaasjes, om't it net nedich is foar myn behoeften.
Jo kinne boartsje mei de funksjonaliteit, it is net wierskynlik dat jo alles ferneatigje, om't it begjin en lêste begjinpunt fan dit hiele festival de BIOS is, wêryn jo dan alles weromsette kinne troch Intel AMT út te skeakeljen.
Ynsette MeshCentral en ymplemintearje BackConnect
En hjir begjint de folsleine fal fan 'e holle. Myn omke makke net allinich in kliïnt, mar ek in hiele adminpaniel foar ús Trojan! En net allinnich die er it, mar .
Begjinne troch it ynstallearjen fan in MeshCentral-tsjinner fan jo eigen of as jo net bekend binne mei MeshCentral, kinne jo de publike server besykje op jo eigen risiko by MeshCentral.com.
Dit sprekt posityf oer de betrouberens fan syn koade, om't ik gjin nijs koe fine oer hacks of lekken tidens de operaasje fan 'e tsjinst.
Persoanlik rinne ik MeshCentral op myn tsjinner, om't ik ûnferstannich leau dat it betrouberer is, mar d'r is neat yn, útsein idelens en moed fan geast. As jo ek wolle, dan der binne dokuminten en container mei MeshCentral. De dokuminten beskriuwe hoe't jo it allegear kinne ferbine yn NGINX, sadat de ymplemintaasje maklik yn jo thússervers sil yntegrearje.
Registrearje op , gean yn en meitsje in apparaatgroep oan troch de opsje "gjin agent" te selektearjen:
Wêrom "gjin agent"? Want wêrom hawwe wy it nedich om wat net nedich te ynstallearjen, it is net dúdlik hoe't it gedraacht en hoe't it wurket.
Klik op "Add CIRA":
Download cira_setup_test.mescript en brûk it yn ús MeshCommander sa:
Voila! Nei in skoft sil ús masine ferbine mei MeshCentral en kinne wy der wat mei dwaan.
As earste: jo moatte witte dat ús software net sa op in tsjinner op ôfstân sil klopje. Dit komt troch it feit dat Intel AMT twa opsjes hat foar ferbining - fia in tsjinner op ôfstân en direkt lokaal. Se wurkje net tagelyk. Us skript hat it systeem al ynsteld foar wurk op ôfstân, mar jo moatte miskien lokaal ferbine. Om jo lokaal te ferbinen, moatte jo hjirre gean
skriuw in rigel dy't jo lokale domein is (tink derop dat ús skript der AL in willekeurige rigel ynfoege hat sadat de ferbining op ôfstân makke wurde kin) of wiskje alle rigels hielendal (mar dan is de ferbining op ôfstân net beskikber). Bygelyks, myn lokale domein yn OpenWrt is lan:
As wy dêr lan ynfiere, en as ús masine ferbûn is mei in netwurk mei dit lokale domein, dan sil de ferbining op ôfstân net beskikber wêze, mar lokale havens 16992 en 16993 sille iepenje en ferbiningen akseptearje. Koartsein, as der in soarte fan ûnsin is dy't net relatearre is oan jo lokale domein, dan is de software bugging, sa net, dan moatte jo der sels mei ferbine fia in draad, dat is alles.
Twad:
Alles is klear!
Jo kinne freegje - wêr is AntiTheft? As ik sei yn earste ynstânsje, Intel AMT is net hiel geskikt foar it bestriden fan dieven. It behearen fan in kantoarnetwurk is wolkom, mar fjochtsjen mei persoanen dy't yllegaal besit nommen hawwe fan eigendom fia it ynternet is net sa bysûnder. Litte wy in toolkit beskôgje dy't, yn teory, ús kin helpe yn 'e striid foar partikulier eigendom:
- Op himsels is it dúdlik dat jo tagong hawwe ta de masine as it is ferbûn fia kabel, of, as Windows derop is ynstalleare, dan fia WiFi. Ja, it is bernich, mar it is foar in gewoane minske al hiel lestich om sa'n laptop te brûken, ek al nimt immen samar ynienen de kontrôle oer. Boppedat, nettsjinsteande it feit dat ik koe net útfine de skripts, is it grif mooglik te ûntwerpen wat funksjonaliteit foar it blokkearjen / werjaan fan notifikaasjes op harren.
- Befeilige wiskjen op ôfstân mei Intel Active Management Technology
Mei dizze opsje kinne jo alle ynformaasje fan 'e masine yn sekonden wiskje. It is net dúdlik oft it wurket op net-Intel SSD's. Hjir Jo kinne mear lêze oer dizze funksje. Jo kinne it wurk bewûnderje . De kwaliteit is ferskriklik, mar mar 10 megabytes en de essinsje is dúdlik.
It probleem fan útstelde útfiering bliuwt net oplost, mei oare wurden: jo moatte sjen wannear't de masine yn it netwurk komt om dêrmei te ferbinen. Ik leau dat der ek wat oplossing foar is.
Yn in ideale ymplemintaasje moatte jo de laptop blokkearje en in soarte fan ynskripsje werjaan, mar yn ús gefal hawwe wy gewoan ûnûntkombere tagong, en wat te dwaan is dan in kwestje fan ferbylding.
Miskien sille jo op ien of oare manier de auto kinne blokkearje of op syn minst in berjocht sjen litte, skriuw as jo witte. Dankewol!
Ferjit net in wachtwurd yn te stellen foar de BIOS.
Mei tank oan de brûker foar korrektyflêzen!
Boarne: www.habr.com