TL; DR
Absolute Computrace je tehnologija koja vam omogućuje da zaključate svoj automobil (a ne ), čak i ako je na njemu ponovno instaliran operativni sustav ili je čak zamijenjen tvrdi disk, za 15 USD godišnje. Kupio sam laptop na eBayu koji je bio zaključan ovom stvari. Članak opisuje moje iskustvo, kako sam se borio s tim i pokušao učiniti isto na Intel AMT-u, ali besplatno.
Odmah se složimo: ne provaljujem na otvorena vrata i ne pišem predavanje o tim udaljenim stvarima, već govorim malo pozadine i kako brzo dobiti daljinski pristup svom stroju na koljenu u bilo kojoj situaciji (ako je povezan s mreže putem RJ-45) ili, ako je spojen putem Wi-Fi-ja, onda samo u OS Windows. Također, bit će moguće registrirati SSID, login i lozinku određene točke u samom Intel AMT-u, a zatim se pristup putem Wi-Fi-ja može dobiti i bez dizanja sustava. Također, ako instalirate upravljačke programe za Intel ME na GNU/Linuxu, onda bi sve ovo trebalo raditi i na njemu. Kao rezultat toga, neće biti moguće daljinski zaključati prijenosno računalo i prikazati poruku (nisam uspio shvatiti je li to uopće moguće pomoću ove tehnologije), ali će postojati pristup udaljenoj radnoj površini i sigurnom brisanju, a ovo je glavna stvar.
Taksist je otišao s mojim laptopom, a ja sam odlučio kupiti novi na eBayu. Što bi moglo poći po zlu?
Od kupca do lopova - u jednom lansiranju
Donijevši kući prijenosno računalo iz pošte, krenuo sam s dovršavanjem predinstalacije Windowsa 10, a nakon toga uspio sam čak i preuzeti Firefox, kad odjednom:
Savršeno sam dobro razumio da nitko neće modificirati distribuciju Windowsa, a da jest, onda sve ne bi izgledalo tako nespretno i općenito bi se blokiranje dogodilo brže. I, na kraju krajeva, ne bi imalo smisla ništa blokirati, jer bi se sve riješilo reinstalacijom. U redu, ponovno pokrenimo sustav.
Ponovno pokrenite BIOS i sada sve postaje malo jasnije:
I na kraju, potpuno je jasno:
Kako to da mi smeta vlastiti laptop? Što je Computrace?
Strogo govoreći, Computrace je skup modula u vašem EFI BIOS-u koji, nakon učitavanja OS Windows, u njega ubacuju svoje trojance, kucajući na udaljeni poslužitelj Absolute softvera i dopuštajući, ako je potrebno, blokiranje sustava preko Interneta. Više detalja možete pročitati ovdje . Computrace ne radi s operativnim sustavima koji nisu Windows. Štoviše, ako povežemo pogon sa sustavom Windows šifriranim BitLockerom ili bilo kojim drugim softverom, tada Computrace više neće raditi - moduli jednostavno neće moći ubaciti svoje datoteke u naš sustav.
Iz daljine se takve tehnologije mogu činiti kozmičkim, ali samo dok ne saznamo da se sve to radi na izvornom UEFI-ju pomoću jednog i pol sumnjivog modula.
Čini se kao da je ova stvar hladna i svemoćna dok ne pokušamo, na primjer, dignuti GNU/Linux:
Ovo prijenosno računalo ima trenutno omogućeno zaključavanje Computracea.
kako se kaže,
Što učiniti?
Postoje četiri očita vektora za rješavanje problema:
- Pišite prodavaču na eBayu
- Pišite tvrtki Absolute software, kreatoru i vlasniku Computracea
- Napravite dump iz BIOS čipa, pošaljite ga sumnjivim tipovima tako da oni pošalju natrag dump sa zakrpom koja deaktivira sva zaključavanja i izbornike ID uređaja
- Nazovi Lazarda
Pogledajmo ih redom:
- Mi, kao i svi razumni ljudi, prvo pišemo prodavaču koji nam je prodao takav proizvod i razgovaramo o problemu s onim tko je za to prvenstveno odgovoran.
Izrađeno:
- Prema savjetniku otkrivenom u dubinama interneta,
Morate kontaktirati absolute software. Oni će htjeti serijski broj stroja i serijski broj matične ploče. Također ćete morati dostaviti "dokaz o kupnji", kao što je račun. Kontaktirat će vlasnika kojeg imaju u evidenciji i dobiti OK za uklanjanje. Pod pretpostavkom da nije ukraden, tada će ga "označiti za brisanje". Nakon toga, sljedeći put kada se spojite na internet ili imate otvorenu internet vezu, dogodit će se čudo i nestat će. Pošaljite stvari koje sam spomenuo [e-pošta zaštićena].
možemo pisati izravno Absoluteu i izravno s njima komunicirati o otključavanju. Uzeo sam si vremena i odlučio pribjeći ovom rješenju tek pred kraj.
- Srećom, brutalno rješenje problema već je bilo prisutno. Ovi i mnogi drugi stručnjaci za računalnu podršku na istom eBayu, pa čak i Indijci na Facebooku obećavaju nam da će nam otključati BIOS ako im pošaljemo dump i pričekamo par minuta.
Proces otključavanja opisan je na sljedeći način:
Rješenje za otključavanje je konačno dostupno i zahtijeva SPEG programer da bi mogao fleširati BIOS.
Postupak je:
- Čitanje BIOS-a i stvaranje važećeg ispisa. U Thinkpadu, BIOS je u braku s internim TPM čipom i sadrži njegov jedinstveni potpis, pa je važno da izvorni BIOS bude ispravno očitan za uspjeh cijele operacije i za vraćanje BIOS-a nakon toga.
- Krpanje BIOS binarnih datoteka i ubacivanje all smallservice.ro UEFI programa. Ovaj program će pročitati sigurni eeprom, resetirati TPM certifikat i lozinku, napisati sigurni eeprom i rekonstruirati sve podatke.
- Napišite zakrpani BIOS dump (ovo će funkcionirati samo u tom TP-u btw), pokrenite laptop i generirajte ID hardvera. Poslat ćemo vam jedinstveni ključ koji će aktivirati Allservice BIOS, dok se BIOS učitava izvršit će rutinu otključavanja i otključati SVP i TPM.
- Na kraju, zapišite izvorni BIOS dump za normalne operacije i uživajte u prijenosnom računalu.
Također možemo onemogućiti Computrace ili promijeniti SN/UUID i poništiti pogrešku RFID kontrolnog zbroja koristeći naš UEFI program na isti način, ako je potrebno
Cijena usluge otključavanja je po stroju (kao što radimo za Macbook/iMac, HP, Acer itd.) Za cijenu usluge i dostupnost pročitajte sljedeći post u nastavku. Možete kontaktirati [e-pošta zaštićena] za bilo kakav upit.
Izgleda valjano! Ali i ovo je, iz očitih razloga, opcija za najočajniju situaciju, a osim toga, sva zabava košta 80 dolara. Ostavljamo za kasnije.
- Ako mi je Lazard sve pokvario i traži da te nazovem, onda ne bi trebao odbiti! Bacimo se na posao.
Lazard nazivamo tzv. "vodećom svjetskom tvrtkom za financijsko savjetovanje i upravljanje imovinom, koja savjetuje o spajanjima, akvizicijama, restrukturiranju, strukturi kapitala i strategiji"
Dok se prodavač s eBaya javlja, ja bacam koju kunu na zadarmu i veselim se komunikaciji s možda najbezdušnijim sugovornikom na planeti - potporom ogromne financijske korporacije iz New Yorka. Djevojka brzo uzima slušalicu, sluša na mom prijateljskom engleskom stidljiva objašnjenja kako sam kupio ovaj laptop, zapisuje njegov serijski broj i obećava da će ga dati adminima koji će me nazvati. Ovaj postupak se ponavlja točno dva puta, u razmaku od jednog dana. Treći put sam namjerno pričekao do 10 sati navečer u New Yorku i nazvao, brzo pročitavši poznatu tjesteninu o svojoj kupnji. Dva sata kasnije nazvala me ista žena i počela čitati upute:
— Kliknite bijeg.
Kliknem, ali ništa se ne događa.
— Nešto ne ide, ništa se ne mijenja.
- Pritisnite.
- pritišćem.
— Sada unesite: 72406917
ulazim. Ništa se ne događa.
- Znaš, bojim se da ovo neće pomoći... Samo malo...
Laptop se iznenada ponovno pokreće, sustav se pokreće, dosadni bijeli ekran je negdje nestao. Da budem siguran, uđem u BIOS, Computrace nije aktiviran. Čini se da je to to. Hvala vam na podršci, pišem prodavaču da sam sam riješio sve probleme i opustite se.
OpenMakeshift Computrace temeljen na Intel AMT-u
Ono što se dogodilo me obeshrabrilo, ali ideja mi se svidjela, moja fantomska bol zbog osrednje izgubljenog tražila je izlaz, htio sam zaštititi svoj novi laptop, kao da će mi vratiti stari. Ako netko koristi Computrace, onda ga i ja mogu koristiti, zar ne? Uostalom, tu je bio Intel Anti-Theft, prema opisu - izvrsna tehnologija koja radi kako treba, ali ubila ju je inercija tržišta, ali mora postojati alternativa. Ispostavilo se da je ova alternativa počela na istom mjestu gdje je i završila - samo je Absolute software uspio steći uporište na ovom polju.
Prvo, prisjetimo se što je Intel AMT: ovo je skup biblioteka koji je dio Intel ME, ugrađen u EFI BIOS, tako da administrator u nekom uredu može, bez ustajanja sa stolice, upravljati strojevima na mreži, čak i ako se ne pokreću, daljinsko povezivanje ISO-ova, upravljanje putem udaljene radne površine itd.
Sve ovo radi na Minixu i otprilike na ovoj razini:
Invisible Things Lab predložio je da se funkcionalnost tehnologije Intel vPro / Intel AMT nazove prstenom zaštite -3. Kao dio ove tehnologije, skupovi čipova koji podržavaju vPro tehnologiju sadrže neovisni mikroprocesor (ARC4 arhitektura), imaju odvojeno sučelje za mrežnu karticu, ekskluzivni pristup namjenskom dijelu RAM-a (16 MB) i DMA pristup glavnom RAM-u. Programi na njemu se izvršavaju neovisno o središnjem procesoru, firmware se pohranjuje zajedno s BIOS kodovima ili na sličnoj SPI flash memoriji (kod ima kriptografski potpis). Dio firmvera je ugrađeni web poslužitelj. Prema zadanim postavkama, AMT je onemogućen, ali neki se kodovi i dalje izvode u ovom načinu rada čak i kada je AMT onemogućen. Kod zvona -3 aktivan je čak iu S3 Sleep modu napajanja.
Ovo zvuči primamljivo, jer se čini da ako možemo uspostaviti obrnutu vezu s nekim administratorskim panelom koristeći Intel AMT, nećemo moći imati pristup ništa lošiji od Computracea (zapravo, ne).
Aktiviramo Intel AMT na našem računalu
Prvo, neki od vas bi vjerojatno htjeli dotaknuti ovaj AMT vlastitim rukama, a tu počinju nijanse. Prvo: potreban vam je procesor koji to podržava. Srećom, s tim nema problema (osim ako nemate AMD), jer je vPro dodan u gotovo sve Intel i5, i7 i i9 procesore (možete vidjeti ) od 2006., a normalni VNC je tamo doveden već 2010. Drugo: ako imate stolno računalo, onda vam je potrebna matična ploča koja podržava ovu funkcionalnost, naime s čipsetom Q. Kod prijenosnih računala trebamo znati samo model procesora. Ako pronađete podršku za Intel AMT, onda je to dobar znak i moći ćete primijeniti ovdje dobivene postavke. Ako niste, onda ili niste imali sreće/namjerno ste odabrali procesor ili čipset bez podrške za ovu tehnologiju ili ste uspješno uštedjeli novac odabirom AMD-a, što je također razlog za veselje.
Prema dokumentima
U nezaštićenom načinu rada, Intel AMT uređaji slušaju na portu 16992.
U TLS načinu rada, Intel AMT uređaji slušaju na portu 16993.
Intel AMT prihvaća veze na portovima 16992 i 16993. Idemo tamo.
Morate provjeriti je li Intel AMT omogućen u BIOS-u:
Zatim se moramo ponovno pokrenuti i pritisnuti Ctrl + P tijekom učitavanja
Standardna lozinka, kao i obično, admin.
Odmah promijenite lozinku u Intel ME Općim postavkama. Zatim, u Intel AMT konfiguraciji, omogućite Aktiviraj pristup mreži. Spreman. Sada ste službeno izašli. Učitavamo u sustav.
Sada važna nijansa: logično, možemo pristupiti Intel AMT-u s lokalnog hosta i daljinski, ali ne. Intel kaže da se možete povezati lokalno i promijeniti postavke koristeći , ali kod mene se glatko odbio spojiti, tako da je moja veza radila samo na daljinu.
Uzimamo neki uređaj i povezujemo se preko : 16992
Izgleda ovako:
Dobro došli u standardno Intel AMT sučelje! Zašto "standard"? Zato što je krnji i potpuno beskoristan za naše potrebe, a mi ćemo koristiti nešto ozbiljnije.
Upoznavanje s MeshCommanderom
Kao i obično, velike tvrtke rade nešto, a krajnji korisnici modificiraju kako im odgovara. To se dogodilo i ovdje.
Ovaj skromni (bez pretjerivanja: njegovo ime nije na njegovoj web stranici, morao sam ga guglati) čovjek po imenu Ylian Saint-Hilaire razvio je prekrasne alate za rad s Intel AMT-om.
Htio bih vam odmah skrenuti pozornost na njega , u svojim videima jednostavno i jasno u stvarnom vremenu pokazuje kako izvršiti određene zadatke vezane uz Intel AMT i njegov softver.
Počnimo s tim . Preuzmite, instalirajte i pokušajte se spojiti na naš stroj:
Proces nije trenutačan, ali kao rezultat dobit ćemo ovaj ekran:
Nije da sam paranoičan, ali izbrisat ću osjetljive podatke, oprostite mi na takvoj koketeriji
Razlika je, kako kažu, očita. Ne znam zašto Intel Control Panel nema takav skup funkcija, ali činjenica je da Ylian Saint-Hilaire dobiva znatno više od života. Štoviše, možete instalirati njegovo web sučelje izravno u firmware, što će vam omogućiti korištenje svih funkcija bez uslužnog programa.
To se radi na sljedeći način:
Moram napomenuti da nisam koristio ovu funkcionalnost (Custom web sučelje) i ne mogu reći ništa o njenoj učinkovitosti i performansama, jer nije potrebna za moje potrebe.
Možete se poigravati s funkcionalnostima, teško da ćete sve pokvariti, jer početna i završna polazna točka cijele ove fešte je BIOS u kojem onda možete sve resetirati isključivanjem Intel AMT-a.
Implementirajte MeshCentral i implementirajte BackConnect
I tu počinje potpuni pad glave. Moj ujak ne samo da je napravio klijenta, već i cijeli admin panel za našeg Trojana! I ne samo da je to učinio, nego .
Započnite instaliranjem vlastitog MeshCentral poslužitelja ili ako niste upoznati s MeshCentralom, možete isprobati javni poslužitelj na vlastitu odgovornost na MeshCentral.com.
To pozitivno govori o pouzdanosti njegovog koda, budući da nisam mogao pronaći nikakve vijesti o hakiranju ili curenju tijekom rada usluge.
Osobno pokrećem MeshCentral na svom serveru jer bezrazložno vjerujem da je pouzdaniji, ali u njemu nema ničega osim taštine i klonulosti duha. Ako i ti želiš, onda postoje dokumenti i spremnik s MeshCentralom. Dokumenti opisuju kako sve to povezati u NGINX, tako da će se implementacija lako integrirati u vaše kućne poslužitelje.
Registrirajte se na , uđite i stvorite grupu uređaja odabirom opcije "bez agenta":
Zašto "bez agenta"? Jer zašto nam treba da ugradimo nešto nepotrebno, nije jasno kako se ponaša i kako će raditi.
Kliknite "Dodaj CIRA":
Preuzmite cira_setup_test.mescript i koristite ga u našem MeshCommanderu ovako:
Voila! Nakon nekog vremena naš će se stroj spojiti na MeshCentral i možemo nešto učiniti s njim.
Prvo: trebali biste znati da naš softver neće tek tako zakucati na udaljeni poslužitelj. To je zbog činjenice da Intel AMT ima dvije mogućnosti povezivanja - putem udaljenog poslužitelja i izravno lokalno. Oni ne rade u isto vrijeme. Naša je skripta već konfigurirala sustav za daljinski rad, ali možda ćete se morati povezati lokalno. Kako biste se mogli povezati lokalno, morate otići ovdje
napišite redak koji je vaša lokalna domena (imajte na umu da je naša skripta VEĆ umetnula neki nasumični redak tako da se veza može uspostaviti na daljinu) ili potpuno obrišite sve retke (ali tada daljinska veza neće biti dostupna). Na primjer, moja lokalna domena u OpenWrt-u je lan:
Sukladno tome, ako tamo upišemo lan, i ako je naš stroj povezan na mrežu s ovom lokalnom domenom, tada udaljena veza neće biti dostupna, ali će se lokalni portovi 16992 i 16993 otvoriti i prihvatiti veze. Ukratko, ako postoji neka glupost koja nije vezana za vašu lokalnu domenu, onda softver bugi, ako ne, onda se morate sami spojiti na njega putem žice, to je sve.
Drugo:
Sve je spremno!
Možete pitati - gdje je AntiTheft? Kao što sam rekao na početku, Intel AMT nije baš prikladan za borbu protiv lopova. Administriranje uredske mreže je dobrodošlo, ali borba s pojedincima koji su se nezakonito domogli imovine putem interneta nije tako posebna. Razmotrimo alat koji nam, teoretski, može pomoći u borbi za privatno vlasništvo:
- Samo po sebi, jasno je da imate pristup stroju ako je spojen preko kabela, ili, ako je na njemu instaliran Windows, onda preko WiFi-a. Da, djetinjasto je, ali običnoj osobi je već vrlo teško koristiti takvo prijenosno računalo, čak i ako netko odjednom preuzme kontrolu. Štoviše, unatoč tome što nisam uspio dokučiti skripte, svakako je moguće umjetnički osmisliti neke funkcionalnosti za blokiranje/prikazivanje obavijesti na njima.
- Daljinsko sigurno brisanje s tehnologijom Intel Active Management
Koristeći ovu opciju, možete izbrisati sve podatke sa stroja u nekoliko sekundi. Nije jasno radi li na SSD-ovima koji nisu Intelovi. Ovdje Možete pročitati više o ovoj funkciji. Možete se diviti radu . Kvaliteta je grozna, ali samo 10 megabajta i bit je jasna.
Problem odgođenog izvršavanja ostaje neriješen, drugim riječima: morate pratiti kada stroj ulazi u mrežu kako biste se na njega spojili. Vjerujem da i za to postoji neko rješenje.
U idealnoj izvedbi trebate blokirati prijenosno računalo i prikazati nekakav natpis, ali u našem slučaju jednostavno imamo neizbježan pristup, a što dalje je stvar mašte.
Možda nekako uspijete blokirati auto ili barem prikazati poruku, napišite ako znate. Hvala vam!
Ne zaboravite postaviti lozinku za BIOS.
Hvala korisniku za lekturu!
Izvor: www.habr.com