TL, RD
Absolute Computrace é unha tecnoloxía que che permite bloquear o teu coche (e non ), aínda que o sistema operativo fose reinstalado nel ou mesmo se substituíse o disco duro, por 15 dólares ao ano. Comprei un portátil en eBay que estaba bloqueado con esta cousa. O artigo describe a miña experiencia, como loitei e intentei facer o mesmo baseado en Intel AMT, pero de balde.
Imos inmediatamente de acordo: non estou entrando nas portas abertas e non estou escribindo unha conferencia sobre estas cousas remotas, senón contando un pouco de antecedentes e como obter rapidamente acceso remoto á túa máquina no teu xeonllo en calquera situación (se está conectada á rede a través de RJ-45) ou, se está conectado mediante Wi-Fi, só no sistema operativo Windows. Ademais, será posible rexistrar o SSID, o inicio de sesión e o contrasinal dun punto específico no propio Intel AMT e, a continuación, tamén se poderá obter acceso a través de Wi-Fi sen iniciar o sistema. E tamén, se instalas controladores para Intel ME en GNU/Linux, todo isto debería funcionar tamén. Como resultado, non será posible bloquear de forma remota un portátil e mostrar unha mensaxe (non puiden descubrir se isto é posible usando esta tecnoloxía), pero haberá acceso a un escritorio remoto e Secure Erase, e isto é o principal.
O taxista marchou co meu portátil e decidín mercar un novo en eBay. Que podería saír mal?
De comprador a ladróns - nun só lanzamento
Despois de levar a casa un portátil da oficina de correos, empecei a completar a preinstalación de Windows 10, e despois incluso conseguín descargar Firefox, cando de súpeto:
Entendín perfectamente que ninguén modificaría a distribución de Windows e, se o fixesen, entón non se vería todo tan torpe e, en xeral, o bloqueo ocorrería máis rápido. E, ao final, non serviría de nada bloquear nada, xa que todo se curaría reinstalándoo. Vale, reiniciemos.
Reinicia a BIOS e agora todo queda un pouco máis claro:
E, finalmente, queda completamente claro:
Como é que o meu propio portátil me molesta? Que é Computrace?
En rigor, Computrace é un conxunto de módulos da túa BIOS EFI que, despois de cargar o SO Windows, insire nel os seus troianos, golpeando o servidor remoto de software Absolute e permitindo, se é necesario, bloquear o sistema a través de Internet. Podes ler máis detalles aquí . Computrace non funciona con sistemas operativos distintos de Windows. Ademais, se conectamos unha unidade con Windows cifrado por BitLocker ou calquera outro software, Computrace non volverá a funcionar; os módulos simplemente non poderán lanzar os seus ficheiros ao noso sistema.
Desde a distancia, tales tecnoloxías poden parecer cósmicas, pero só ata que descubrimos que todo isto se fai en UEFI nativo utilizando módulos e medio dubidosos.
Parece que esta cousa é fría e todopoderoso ata que tentamos, por exemplo, iniciar GNU/Linux:
Este portátil ten activado o bloqueo de Computrace neste momento.
Como di o refrán,
¿Que facer?
Hai catro vectores obvios para resolver o problema:
- Escribe ao vendedor en eBay
- Escribe a Absolute software, creador e propietario de Computrace
- Fai un volcado desde o chip da BIOS, envíao a tipos sombríos para que envíen de volta un volcado cun parche que desactive todos os bloqueos e menús o ID do dispositivo
- Chama a Lazard
Desglosámolos en orde:
- Nós, como todas as persoas razoables, primeiro escribimos ao vendedor que nos vendeu un produto deste tipo e comentamos o problema co principal responsable del.
Feito:
- Segundo un asesor descuberto nas profundidades de Internet,
Debes contactar con absolute software. Quererán o número de serie da máquina e o número de serie da placa base. Tamén terás que achegar "proba de compra", como un recibo. Poñeranse en contacto co propietario que teñan no ficheiro e obterán a autorización para eliminalo. Asumindo que non é roubado, entón "marcarán para eliminalo". Despois diso, a próxima vez que te conectes a Internet ou teñas unha conexión aberta, ocorrerá un milagre e desaparecerá. Envía o material ao que mencionei [protexido por correo electrónico].
podemos escribir directamente a Absolute e comunicarnos directamente con eles sobre o desbloqueo. Tomei o meu tempo e decidín recorrer a esta solución só cara ao final.
- Afortunadamente, xa estaba presente unha solución brutal ao problema. Estes e moitos outros especialistas en soporte informático no mesmo eBay e mesmo indios en Facebook prométennos desbloquear a nosa BIOS se lles enviamos un vertedoiro e agardamos un par de minutos.
O proceso de desbloqueo descríbese do seguinte xeito:
A solución de desbloqueo está finalmente dispoñible e require que o programador SPEG poida flashear a BIOS.
O proceso é:
- Lendo a BIOS e crear un volcado válido. Nun Thinkpad, a BIOS está casada co chip TPM interno e contén unha sinatura única do mesmo, polo que é importante que a BIOS orixinal sexa unha lectura correcta para o éxito de toda a operación e para restaurar a BIOS despois.
- Parcheando os binarios da BIOS e inxecte un programa UEFI all smallservice.ro. Este programa lerá o eeprom seguro, restablecerá o certificado e o contrasinal TPM, escribirá o eeprom seguro e reconstruirá todos os datos.
- Escriba o volcado do BIOS parcheado (isto só funcionará nese TP por certo), inicie o portátil e xera un ID de hardware. Enviarémosche unha clave única que activará o BIOS de Allservice, mentres que a BIOS está cargando, executará a rutina de desbloqueo e desbloqueará o SVP e o TPM.
- Finalmente, escribe o volcado orixinal da BIOS para as operacións normais e goza do portátil.
Tamén podemos desactivar Computrace ou cambiar o SN/UUID e restablecer o erro da suma de comprobación RFID usando o noso programa UEFI da mesma forma, se é necesario
O prezo do servizo de desbloqueo é por máquina (como o facemos para o Macbook/iMac, HP, Acer, etc.) Para coñecer o prezo e a dispoñibilidade do servizo, lea a seguinte publicación. Podes contactar [protexido por correo electrónico] para calquera consulta.
Parece lexítimo! Pero isto tamén, por razóns obvias, é unha opción para a situación máis desesperada e, ademais, toda a diversión custa 80 dólares. Deixámolo para máis tarde.
- Se Lazard rompeume todo e me pide que che chame, entón non debes rexeitar! Poñémonos ao negocio.
Chamamos Lazard, tamén coñecido como "a empresa líder mundial de asesoramento financeiro e xestión de activos, asesora en fusións, adquisicións, reestruturacións, estrutura de capital e estratexia".
Mentres o vendedor de eBay responde, bótolle uns dólares a zadarma e espero comunicarme co interlocutor quizais máis desalmado do planeta: o apoio dunha enorme corporación financeira de Nova York. A rapaza colle rapidamente o teléfono, escoita no inglés do meu compañeiro tímidas explicacións de como merquei este portátil, anota o seu número de serie e promete entregarllo aos administradores, que me chamarán de novo. Este proceso repítese exactamente dúas veces, un día de diferenza. A terceira vez, esperei deliberadamente ata que fosen as 10 da noite en Nova York e chamei, lendo rapidamente a pasta coñecida sobre a miña compra. Dúas horas despois, a mesma muller chamoume e comezou a ler as instrucións:
- Fai clic en escapar.
Fago clic pero non pasa nada.
- Algo non funciona, nada cambia.
- Preme.
-Premio.
— Agora introduce: 72406917
estou entrando. Non pasa nada.
- Xa sabes, temo que isto non axude... Só un minuto...
O portátil reinicia de súpeto, o sistema arranca, a molesta pantalla branca desapareceu nalgún lugar. Para estar seguro, entro na BIOS, Computrace non está activado. Parece que é iso. Grazas polo teu apoio, escríbolle ao vendedor que resolvín todos os problemas eu e me relaxei.
OpenMakeshift Computrace baseado en Intel AMT
O que pasou desalentoume, pero a idea gustoume, a miña dor fantasma polo mediocremente perdido buscaba algunha saída, quería protexer o meu novo portátil, como se me devolvese o vello. Se alguén está a usar Computrace, eu tamén o podo usar, non? Despois de todo, había Intel Anti-Theft, segundo a descrición: unha excelente tecnoloxía que funciona como debería, pero foi asasinada pola inercia do mercado, pero debe haber unha alternativa. Resultou que esta alternativa comezou no mesmo lugar onde rematou: só o software Absolute foi capaz de afianzarse neste campo.
En primeiro lugar, lembremos o que é Intel AMT: trátase dun conxunto de bibliotecas que forman parte de Intel ME, integradas na BIOS EFI, para que un administrador dalgunha oficina poida, sen levantarse da súa cadeira, operar máquinas na rede. aínda que non arrinquen, conectando remotamente ISOs, controlando a través de escritorio remoto, etc.
Todo isto funciona en Minix e aproximadamente a este nivel:
Invisible Things Lab propuxo chamar á funcionalidade da tecnoloxía Intel vPro / Intel AMT un anel de protección -3. Como parte desta tecnoloxía, os chipsets que admiten a tecnoloxía vPro conteñen un microprocesador independente (arquitectura ARC4), teñen unha interface separada para a tarxeta de rede, acceso exclusivo a unha sección dedicada de RAM (16 MB) e acceso DMA á RAM principal. Os programas nel execútanse independentemente do procesador central; o firmware gárdase xunto cos códigos da BIOS ou nunha memoria flash SPI similar (o código ten unha sinatura criptográfica). Parte do firmware é un servidor web integrado. De forma predeterminada, AMT está desactivado, pero algún código aínda se executa neste modo aínda que AMT estea desactivado. O código de chamada -3 está activo mesmo no modo de acendido S3 Sleep.
Isto parece tentador, porque parece que se podemos establecer unha conexión inversa a algún panel de administración usando Intel AMT, poderemos ter acceso non peor que Computrace (de feito, non).
Activamos Intel AMT na nosa máquina
En primeiro lugar, a algúns de vostedes probablemente lle gustaría tocar este AMT coas súas propias mans, e aquí comezan os matices. Primeiro: necesitas un procesador que o admita. Afortunadamente, non hai problemas con isto (a non ser que teñas AMD), porque vPro engádese a case todos os procesadores Intel i5, i7 e i9 (podes ver ) desde 2006, e o VNC normal foi traído alí xa en 2010. En segundo lugar: se tes un escritorio, necesitas unha placa base que admita esta funcionalidade, é dicir, co chipset Q. Nos portátiles só necesitamos coñecer o modelo de procesador. Se atopas compatibilidade con Intel AMT, este é un bo sinal e poderás aplicar a configuración obtida aquí. Se non, ou non tiveches sorte / escolleches deliberadamente un procesador ou chipset sen soporte para esta tecnoloxía, ou aforrou diñeiro con éxito ao elixir AMD, o que tamén é un motivo de alegría.
Segundo documentos
No modo non seguro, os dispositivos Intel AMT escoitan no porto 16992.
No modo TLS, os dispositivos Intel AMT escoitan no porto 16993.
Intel AMT acepta conexións nos portos 16992 e 16993. Movémonos ata alí.
Debe comprobar que Intel AMT está activado na BIOS:
A continuación, necesitamos reiniciar e premer Ctrl + P mentres se carga
O contrasinal estándar, como é habitual, administrador.
Cambia inmediatamente o contrasinal na configuración xeral de Intel ME. A continuación, en Configuración de Intel AMT, active Activar acceso á rede. Listo. Agora estás oficialmente na porta traseira. Estamos cargando no sistema.
Agora un matiz importante: loxicamente, podemos acceder a Intel AMT desde localhost e de forma remota, pero non. Intel di que pode conectarse localmente e cambiar a configuración usando , pero para min negouse rotundamente a conectarme, polo que a miña conexión só funcionaba de forma remota.
Collemos algún dispositivo e conectamos a través : 16992
Parece así:
Benvido á interface estándar Intel AMT! Por que "estándar"? Porque está truncado e completamente inútil para os nosos propósitos, e usaremos algo máis serio.
Coñecendo MeshCommander
Como é habitual, as grandes empresas fan algo, e os usuarios finais modifícano á súa medida. Iso tamén pasou aquí.
Este modesto (sen esaxeración: o seu nome non está no seu sitio web, tiven que buscar en Google) chamado Ylian Saint-Hilaire desenvolveu ferramentas marabillosas para traballar con Intel AMT.
Gustaríame chamarlle inmediatamente a atención , nos seus vídeos mostra de forma sinxela e clara en tempo real como realizar determinadas tarefas relacionadas con Intel AMT e o seu software.
Comecemos . Descarga, instala e intenta conectarte á nosa máquina:
O proceso non é instantáneo, pero como resultado teremos esta pantalla:
Non é que sexa paranoico, pero borrarei datos sensibles, perdoade tanta coquetería
A diferenza, como din, é obvia. Non sei por que o panel de control de Intel non ten tal conxunto de funcións, pero o certo é que Ylian Saint-Hilaire saca moito máis proveito da vida. Ademais, pode instalar a súa interface web directamente no firmware, que permitirá utilizar todas as funcións sen unha utilidade.
Faise así:
Teño en conta que non usei esta funcionalidade (Interface web personalizada) e non podo dicir nada sobre a súa eficacia e rendemento, xa que non é necesaria para as miñas necesidades.
Podes xogar coa funcionalidade, é pouco probable que arruines todo, porque o punto de partida e final de todo este festival é a BIOS, na que despois podes restablecer todo desactivando Intel AMT.
Implementa MeshCentral e implementa BackConnect
E aquí comeza a caída completa da cabeza. O meu tío non só fixo un cliente, senón tamén un panel de administración completo para o noso troiano. E non só o fixo, senón que .
Comece instalando un servidor MeshCentral propio ou se non está familiarizado con MeshCentral, pode probar o servidor público baixo o seu propio risco en MeshCentral.com.
Isto fala positivamente da fiabilidade do seu código, xa que non puiden atopar ningunha noticia sobre hackeos ou filtracións durante o funcionamento do servizo.
Persoalmente, executo MeshCentral no meu servidor porque creo sen razón que é máis fiable, pero non hai nada nel, excepto vaidade e languidez de espírito. Se ti tamén queres, pois hai documentos e recipiente con MeshCentral. Os documentos describen como vincular todo en NGINX, polo que a implementación integrarase facilmente nos servidores domésticos.
Rexístrate en , entra e crea un grupo de dispositivos seleccionando a opción "sen axente":
Por que "sen axente"? Porque por que o necesitamos para instalar algo innecesario, non está claro como se comporta e como funcionará.
Fai clic en "Engadir CIRA":
Descarga cira_setup_test.mescript e utilízao no noso MeshCommander así:
Voila! Despois dun tempo, a nosa máquina conectarase a MeshCentral e podemos facer algo con ela.
En primeiro lugar: debes saber que o noso software non chamará a un servidor remoto así. Isto débese ao feito de que Intel AMT ten dúas opcións para conectarse: a través dun servidor remoto e directamente localmente. Non funcionan ao mesmo tempo. O noso script xa configurou o sistema para o traballo remoto, pero é posible que teñas que conectarte localmente. Para conectarte localmente, tes que ir aquí
escribe unha liña que sexa o teu dominio local (teña en conta que o noso script XA inseriu alí algunha liña aleatoria para que a conexión se poida facer de forma remota) ou borre todas as liñas (pero entón a conexión remota non estará dispoñible). Por exemplo, o meu dominio local en OpenWrt é lan:
En consecuencia, se introducimos lan alí e se a nosa máquina está conectada a unha rede con este dominio local, a conexión remota non estará dispoñible, pero os portos locais 16992 e 16993 abriranse e aceptarán conexións. En resumo, se hai algún tipo de tontería que non está relacionada co teu dominio local, entón o software está fallando, se non, entón tes que conectarte a el mesmo a través dun cable, iso é todo.
En segundo lugar:
Todo listo!
Podes preguntar: onde está AntiTheft? Como dixen nun principio, Intel AMT non é moi axeitado para loitar contra os ladróns. A administración dunha rede de oficinas é benvida, pero pelexar con persoas que tomaron posesión ilegal de bens a través de Internet non é tan especial. Consideremos un conxunto de ferramentas que, en teoría, pode axudarnos na loita pola propiedade privada:
- En si mesmo, está claro que tes acceso á máquina se está conectada por cable ou, se Windows está instalado nela, a través de WiFi. Si, é infantil, pero xa é moi difícil para unha persoa común usar un portátil deste tipo, aínda que de súpeto alguén tome o control. Ademais, a pesar de que non puiden descubrir os guións, certamente é posible deseñar artísticamente algunha funcionalidade para bloquear/mostrar notificacións neles.
- Borrado seguro remoto con Intel Active Management Technology
Usando esta opción, pode eliminar toda a información da máquina en segundos. Non está claro se funciona en SSD non Intel. Aquí Podes ler máis sobre esta función. Podedes admirar a obra . A calidade é terrible, pero só 10 megabytes e a esencia é clara.
O problema da execución aprazada segue sen resolverse, é dicir: é necesario observar cando a máquina entra na rede para conectarse a ela. Creo que tamén hai algunha solución a isto.
Nunha implementación ideal, cómpre bloquear o portátil e mostrar algún tipo de inscrición, pero no noso caso simplemente temos un acceso inevitable, e que facer a continuación é cuestión de imaxinación.
Quizais dalgún xeito poidas bloquear o coche ou polo menos mostrar unha mensaxe, escribe se o sabes. Grazas!
Non esquezas establecer un contrasinal para a BIOS.
Grazas usuario para corrección!
Fonte: www.habr.com