TL, DR
Az Absolute Computrace egy olyan technológia, amely lehetővé teszi az autó lezárását (és nem ), akkor is, ha az operációs rendszert újratelepítették rá, vagy akár a merevlemezt is kicserélték, évi 15 dollárért. Vettem egy laptopot az eBay-en, ami le volt zárva ezzel a dologgal. A cikk leírja a tapasztalataimat, hogyan küzdöttem vele, és próbáltam megtenni ugyanezt Intel AMT-n, de ingyen.
Rögtön egyezzünk meg: nem törek be nyitott ajtókon, és nem előadást írok ezekről a távoli dolgokról, hanem elmondok egy kis hátteret, és azt, hogyan lehet gyorsan távolról hozzáférni a térden álló gépéhez bármilyen helyzetben (ha csatlakoztatva van a hálózat RJ-45-ön keresztül), vagy ha Wi-Fi-n keresztül csatlakozik, akkor csak Windows operációs rendszerben. Ezenkívül magában az Intel AMT-ben is regisztrálható lesz egy adott pont SSID-je, bejelentkezési neve és jelszava, majd Wi-Fi-n keresztül is elérhető lesz a rendszerbe való bootolás nélkül. És ha az Intel ME-hez illesztőprogramokat telepít GNU/Linuxra, akkor ennek is működnie kell. Ennek eredményeként nem lehet távolról lezárni egy laptopot és megjeleníteni egy üzenetet (nem tudtam rájönni, hogy ez egyáltalán lehetséges-e ezzel a technológiával), de lesz hozzáférés a távoli asztalhoz és a Secure Erase szolgáltatáshoz, és ez az a fő.
A taxisofőr elment a laptopommal, én pedig úgy döntöttem, veszek egy újat az eBay-en. Mi romolhat el?
A vevőtől a tolvajokig – egy indítással
Miután hazahoztam egy laptopot a postáról, hozzáláttam a Windows 10 előtelepítésének befejezéséhez, és utána még a Firefoxot is sikerült letöltenem, amikor hirtelen:
Tökéletesen megértettem, hogy senki nem módosítja a Windows disztribúciót, és ha igen, akkor nem tűnik minden olyan ügyetlennek, és általában a blokkolás gyorsabban történt volna. És a végén nem lenne értelme bármit is blokkolni, mert az újratelepítéssel minden meggyógyulna. Oké, indítsuk újra.
Indítsa újra a BIOS-ba, és most minden egy kicsit világosabb lesz:
És végül teljesen világos:
Hogy lehet, hogy a saját laptopom zavar? Mi az a Computrace?
Szigorúan véve a Computrace egy olyan modulkészlet az EFI BIOS-ban, amelyek az OS Windows betöltése után belehelyezik a trójai programjaikat, bekopogtatva a távoli Absolute szoftverkiszolgálón, és szükség esetén lehetővé teszik a rendszer blokkolását az interneten keresztül. További részleteket itt olvashat . A Computrace nem működik a Windowson kívüli operációs rendszerekkel. Sőt, ha egy meghajtót csatlakoztatunk a BitLocker által titkosított Windowshoz vagy bármilyen más szoftverhez, akkor a Computrace nem fog újra működni - a modulok egyszerűen nem tudják bedobni a fájljaikat a rendszerünkbe.
Távolról az ilyen technológiák kozmikusnak tűnhetnek, de csak addig, amíg meg nem találjuk, hogy mindez a natív UEFI-n történik, másfél kétes modul használatával.
Úgy tűnik, hogy ez a dolog hideg és mindenható, amíg meg nem próbáljuk például elindítani a GNU/Linux rendszert:
Ezen a laptopon jelenleg engedélyezve van a Computrace zárolás.
Ahogy a mondás tartja,
Mit kell tenni?
A probléma megoldására négy nyilvánvaló vektor létezik:
- Írj az eladónak az eBay-en
- Írjon az Absolute szoftvernek, a Computrace alkotójának és tulajdonosának
- Készítsen kiíratást a BIOS chipről, küldje el árnyékos típusoknak, hogy azok visszaküldjenek egy kiírást egy javítással, amely deaktiválja az összes zárolást és menüt az eszközazonosítóval
- Hívd Lazardot
Vegyük őket sorban:
- Mi, mint minden értelmes ember, először annak az eladónak írunk, aki ilyen terméket adott nekünk, és megbeszéljük a problémát azzal, aki ezért elsősorban felelős.
Készült:
- Az internet mélyén felfedezett tanácsadó szerint
Fel kell vennie a kapcsolatot az abszolút szoftverrel. A gép sorozatszámát és az alaplap sorozatszámát fogják kérni. Ezenkívül be kell mutatnia a „vásárlást igazoló bizonylatot”, például egy nyugtát. Felveszik a kapcsolatot a nyilvántartott tulajdonossal, és megkapják az eltávolításhoz szükséges engedélyt. Feltéve, hogy nem lopták el, akkor „megjelölik törlés céljából”. Ezt követően, amikor legközelebb csatlakozik az internethez vagy nyitott internetkapcsolattal rendelkezik, csoda történik, és eltűnik. Küldd el az általam említett dolgokat [e-mail védett].
közvetlenül írhatunk az Absolute-nak, és közvetlenül kommunikálhatunk velük a feloldásról. Szántam rá időt, és úgy döntöttem, hogy csak a vége felé folyamodok ehhez a megoldáshoz.
- Szerencsére a probléma brutális megoldása már megvolt. Ezek és sok más számítógépes támogatási szakember ugyanazon az eBay-en, sőt a Facebook indiánjai is megígérik, hogy feloldjuk a BIOS-unkat, ha kiíratást küldünk nekik, és várunk néhány percet.
A feloldási folyamat leírása a következő:
Végre elérhető a feloldó megoldás, amelyhez SPEG programozóra van szükség, hogy képes legyen flashelni a BIOS-t.
A folyamat:
- Olvassa el a BIOS-t, és hozzon létre egy érvényes kiíratot. A Thinkpadban a BIOS a belső TPM chiphez kapcsolódik, és annak egyedi aláírását tartalmazza, ezért fontos, hogy az eredeti BIOS helyesen olvasható legyen a teljes művelet sikeressége érdekében, és utána visszaállítsa a BIOS-t.
- Javítsa ki a BIOS binárisokat, és szúrjon be egy all smallservice.ro UEFI programot. Ez a program beolvassa a biztonságos eeprom-ot, visszaállítja a TPM-tanúsítványt és jelszót, biztonságos eeprom-ot ír, és minden adatot rekonstruál.
- Írd be a javított BIOS dump-ot (ez csak abban a TP-ben fog működni), indítsd el a laptopot és generálj egy hardverazonosítót. Küldünk Önnek egy egyedi kulcsot, amely aktiválja az Allservice BIOS-t, miközben a BIOS betöltődik, végrehajtja a feloldási rutint, és feloldja az SVP-t és a TPM-et.
- Végül írja vissza az eredeti BIOS-kiírást a normál működéshez, és élvezze a laptopot.
Szükség esetén az UEFI programunk használatával is letilthatjuk a Computrace-t, módosíthatjuk az SN/UUID-t és visszaállíthatjuk az RFID ellenőrzőösszeg hibáját.
A feloldási szolgáltatás ára gépenként értendő (mint a Macbook/iMac, HP, Acer stb. esetében). A szolgáltatás áráról és elérhetőségéről olvassa el az alábbi bejegyzést. Felveheti a kapcsolatot [e-mail védett] bármilyen érdeklődésre.
Valódinak tűnik! De ez is, nyilvánvaló okokból, a legkétségbeejtőbb helyzetre is alkalmas, ráadásul minden móka 80 dollárba kerül. későbbre hagyjuk.
- Ha Lazard mindent összetört értem, és arra kér, hogy hívjam vissza, akkor ne utasítsd vissza! Lássunk munkához.
A Lazardot, más néven „a világ vezető pénzügyi tanácsadó és vagyonkezelő cégének hívjuk, tanácsot ad fúziókkal, felvásárlásokkal, szerkezetátalakítással, tőkeszerkezettel és stratégiával kapcsolatban”.
Míg az eBay eladója válaszol, dobok néhány dollárt a zadarmára, és alig várom, hogy kommunikáljak a bolygó talán leglelketlenebb beszélgetőpartnerével – egy hatalmas New York-i pénzügyi vállalat támogatásával. A lány gyorsan felveszi a telefont, meghallgatja angol elvtársamon a félénk magyarázatokat, hogyan vettem ezt a laptopot, felírja a sorozatszámát és megígéri, hogy átadja az adminoknak, akik visszahívnak. Ezt a folyamatot pontosan kétszer megismételjük, egy nap különbséggel. Harmadszor szándékosan megvártam, amíg este 10 óra lesz New Yorkban, és felhívtam, és gyorsan felolvastam az ismerős tésztát a vásárlásomról. Két órával később ugyanaz a nő hívott vissza, és elkezdte felolvasni az utasításokat:
— Kattintson a escape gombra.
Kattintok, de nem történik semmi.
- Valami nem működik, semmi sem változik.
- Nyomja meg.
- Megnyomom.
— Most írja be: 72406917
belépek. Semmi nem történik.
- Tudod, attól tartok, ez nem segít... Csak egy perc...
A laptop hirtelen újraindul, a rendszer elindul, az idegesítő fehér képernyő eltűnt valahol. Az biztos, hogy bemegyek a BIOS-ba, a Computrace nincs aktiválva. Úgy tűnik, ez az. Köszönöm a támogatást, írok az eladónak, hogy minden problémát magam oldottam meg, és nyugi.
OpenMakeshift Computrace Intel AMT alapú
A történtek elkedvetlenítettek, de tetszett az ötlet, fantomfájdalmam a közepesen elveszett dolgok miatt keresett valami kiutat, meg akartam védeni az új laptopomat, mintha visszaadná a régit. Ha valaki Computrace-t használ, akkor én is használhatom, nem? Hiszen a leírás szerint volt Intel Anti-Theft - kiváló technológia, ami úgy működik, ahogy kell, de megölte a piac tehetetlensége, de biztos van alternatíva. Kiderült, hogy ez az alternatíva ugyanott kezdődött, ahol véget ért – ezen a területen egyedül az Absolute szoftver volt képes megvetni a lábát.
Először is emlékezzünk arra, hogy mi is az az Intel AMT: ez az Intel ME része, az EFI BIOS-ba beépített könyvtárak halmaza, hogy egy adminisztrátor egy irodában anélkül tudjon működni, hogy felállna a székből, gépeket üzemeltethet a hálózaton, még akkor is, ha nem indul el, távoli ISO-csatlakozás, távoli asztalon keresztül történő vezérlés stb.
Mindez Minixen fut, és körülbelül ezen a szinten:
Az Invisible Things Lab azt javasolta, hogy az Intel vPro / Intel AMT technológia funkcionalitását védelmi gyűrűnek nevezzék -3. Ennek a technológiának a részeként a vPro technológiát támogató lapkakészletek független mikroprocesszort (ARC4 architektúra) tartalmaznak, külön interfésszel rendelkeznek a hálózati kártyához, exkluzív hozzáféréssel rendelkeznek a RAM dedikált részéhez (16 MB), valamint DMA hozzáféréssel a fő RAM-hoz. A rajta lévő programok a központi processzortól függetlenül futnak, a firmware a BIOS kódokkal együtt vagy egy hasonló SPI flash memórián (a kód kriptográfiai aláírással rendelkezik). A firmware része egy beépített webszerver. Alapértelmezés szerint az AMT le van tiltva, de bizonyos kódok akkor is futnak ebben a módban, ha az AMT le van tiltva. A -3 csengetési kód S3 alvó üzemmódban is aktív.
Ez csábítóan hangzik, mert úgy tűnik, ha az Intel AMT segítségével fordított kapcsolatot tudunk létrehozni valamilyen adminisztrációs panellel, akkor a Computrace-nél sem rosszabb hozzáférést tudunk majd elérni (sőt, nem).
A gépünkön aktiváljuk az Intel AMT-t
Először néhányan közületek valószínűleg saját kezűleg szeretné megérinteni ezt az AMT-t, és itt kezdődnek az árnyalatok. Először is: szüksége van egy processzorra, amely támogatja. Szerencsére ezzel nincs gond (hacsak nincs AMD-d), mert szinte az összes Intel i5, i7 és i9 processzorhoz vPro kerül (lásd ) 2006 óta, a normál VNC-t pedig már 2010-ben hozták oda. Másodszor: ha van asztali gépünk, akkor olyan alaplapra van szükségünk, amely támogatja ezt a funkciót, mégpedig Q lapkakészlettel, laptopoknál csak a processzor modelljét kell ismernünk. Ha megtalálja az Intel AMT támogatását, akkor ez jó jel, és alkalmazni tudja az itt kapott beállításokat. Ha nem, akkor vagy nem volt szerencséje/szándékosan választott processzort vagy lapkakészletet ennek a technológiának a támogatása nélkül, vagy sikeresen spórolt az AMD választásával, ami szintén ok az örömre.
A dokumentumok szerint
Nem biztonságos módban az Intel AMT eszközök az 16992-es porton figyelnek.
TLS módban az Intel AMT eszközök az 16993-as porton figyelnek.
Az Intel AMT az 16992-es és 16993-as portokon fogadja a csatlakozásokat. Menjünk oda.
Ellenőriznie kell, hogy az Intel AMT engedélyezve van-e a BIOS-ban:
Ezután újra kell indítanunk, és betöltés közben le kell nyomnunk a Ctrl + P billentyűket
A szokásos jelszó, mint általában, admin.
Azonnal módosítsa a jelszót az Intel ME általános beállításaiban. Ezután az Intel AMT konfigurációban engedélyezze a Hálózati hozzáférés aktiválása lehetőséget. Kész. Most már hivatalosan is be van zárva. Betöltés alatt állunk a rendszerbe.
Most egy fontos árnyalat: logikailag az Intel AMT-t elérhetjük localhost-ról és távolról is, de nem. Az Intel azt mondja, hogy helyileg csatlakozhat, és módosíthatja a beállításokat , de nekem határozottan nem volt hajlandó csatlakozni, így a kapcsolatom csak távolról működött.
Fogunk egy készüléket, és csatlakozunk : 16992
Ez így néz ki:
Üdvözöljük a szabványos Intel AMT interfészen! Miért "standard"? Mert csonka és a mi céljainkra teljesen használhatatlan, és valami komolyabbat fogunk használni.
A MeshCommander megismerése
Szokás szerint a nagy cégek csinálnak valamit, a végfelhasználók pedig saját maguk kedvükre módosítják. Itt is ez történt.
Ez a szerény (nem túlzás: a neve nem szerepel a honlapján, muszáj volt a Google-ba keresnem) Ylian Saint-Hilaire nevű ember csodálatos eszközöket fejlesztett ki az Intel AMT-vel való együttműködéshez.
Azonnal szeretném felhívni rá a figyelmet , videóiban egyszerűen és áttekinthetően, valós időben mutatja be, hogyan kell végrehajtani bizonyos feladatokat az Intel AMT-vel és annak szoftvereivel kapcsolatban.
Kezdjük . Töltse le, telepítse és próbáljon meg csatlakozni a gépünkhöz:
A folyamat nem azonnali, de ennek eredményeként ezt a képernyőt kapjuk:
Nem mintha paranoiás lennék, de törlöm az érzékeny adatokat, bocsáss meg az ilyen kacérkodásért
A különbség, mint mondják, nyilvánvaló. Nem tudom, hogy az Intel Control Panelnek miért nincs ilyen funkciója, de tény, hogy Ylian Saint-Hilaire lényegesen többet kap az életből. Sőt, webes felületét közvetlenül a firmware-be is telepítheti, így az összes funkciót segédprogram nélkül is használhatja.
Ez így történik:
Meg kell jegyeznem, hogy ezt a funkciót (Egyéni webes felület) nem használtam, hatékonyságáról és teljesítményéről nem tudok mit mondani, mivel az én igényeimhez nem szükséges.
Lehet eljátszani a funkcionalitással, nem valószínű, hogy mindent elrontasz, mert ennek az egész fesztiválnak a kiindulópontja és a végső kiindulópontja a BIOS, amiben aztán az Intel AMT letiltásával mindent vissza lehet állítani.
Telepítse a MeshCentral-t, és hajtsa végre a BackConnect-et
És itt kezdődik a teljes fejesés. A nagybátyám nem csak klienst, hanem egy egész adminisztrációs panelt is készített a trójaiunknak! És nem csak megtette, hanem .
Kezdje a saját MeshCentral-kiszolgáló telepítésével, vagy ha nem ismeri a MeshCentral-t, saját felelősségére kipróbálhatja a nyilvános szervert a MeshCentral.com webhelyen.
Ez pozitívan szól a kódjának megbízhatóságáról, hiszen a szolgáltatás működése során feltörésről, szivárgásról nem találtam hírt.
Én személy szerint a MeshCentralt futtatom a szerveremen, mert alaptalanul azt hiszem, hogy megbízhatóbb, de nincs benne semmi, csak a hiúság és a lelkiállapot. Ha te is szeretnéd, akkor vannak dokumentumok és tároló MeshCentral-lal. A dokumentumok leírják, hogyan lehet mindezt összekapcsolni az NGINX-ben, így a megvalósítás könnyen integrálható lesz az otthoni szerverekbe.
Regisztráljon , lépjen be, és hozzon létre egy eszközcsoportot a „nincs ügynök” lehetőség kiválasztásával:
Miért "nincs ügynök"? Mert miért van szükségünk rá, hogy valami felesleges dolgot telepítsünk, nem világos, hogyan viselkedik és hogyan fog működni.
Kattintson a „CIRA hozzáadása” gombra:
Töltse le a cira_setup_test.mescript fájlt, és használja a MeshCommanderben, így:
Voálá! Egy idő után a gépünk csatlakozik a MeshCentralhoz, és tehetünk vele valamit.
Először is: tudnia kell, hogy szoftverünk nem kopogtat egy távoli szerveren csak úgy. Ez annak a ténynek köszönhető, hogy az Intel AMT-nek két lehetősége van a csatlakozásra - távoli szerveren keresztül és közvetlenül helyileg. Nem működnek egyszerre. A szkriptünk már beállította a rendszert távoli munkára, de előfordulhat, hogy helyileg kell csatlakoznia. A helyi csatlakozáshoz ide kell mennie
írjon egy sort, amely a helyi tartománya (vegye figyelembe, hogy a szkriptünk MÁR beszúrt egy véletlenszerű sort, hogy távolról is létrejöhessen a kapcsolat), vagy törölje le az összes sort (de akkor a távoli kapcsolat nem lesz elérhető). Például az OpenWrt helyi domainje lan:
Ennek megfelelően, ha oda beírjuk a lan-t, és ha a gépünk csatlakozik egy hálózathoz ezzel a helyi domainnel, akkor a távoli kapcsolat nem lesz elérhető, hanem a 16992 és 16993 helyi portok megnyílnak és fogadják a kapcsolatokat. Röviden, ha van valami hülyeség, ami nem kapcsolódik a helyi domainhez, akkor a szoftver hibázik, ha nem, akkor neked kell rácsatlakoznod vezetéken, ennyi.
Másodszor:
Minden készen áll!
Kérdezheti – hol van az AntiTheft? Ahogy az elején mondtam, az Intel AMT nem nagyon alkalmas a tolvajok elleni küzdelemre. Az irodahálózat adminisztrációja üdvözlendő, de az interneten keresztül jogellenesen ingatlant birtokló személyekkel való harc nem olyan különleges. Nézzünk egy olyan eszköztárat, amely elméletileg segíthet a magántulajdonért folytatott harcban:
- Önmagában egyértelmű, hogy akkor fér hozzá a géphez, ha kábelen csatlakozik, vagy ha Windows van rá telepítve, akkor WiFi-n keresztül. Igen, gyerekes, de egy hétköznapi embernek már nagyon nehéz egy ilyen laptopot használni, még akkor is, ha valaki hirtelen átveszi az irányítást. Sőt, annak ellenére, hogy nem tudtam kitalálni a szkripteket, minden bizonnyal művészileg meg lehet tervezni néhány funkciót az értesítések blokkolására/megjelenítésére.
- Távoli biztonságos törlés Intel Active Management technológiával
Ezzel az opcióval másodpercek alatt törölhet minden információt a készülékről. Nem világos, hogy működik-e nem Intel SSD-ken. Itt Erről a funkcióról bővebben olvashat. Megcsodálhatja a munkát . A minőség borzasztó, de csak 10 megabájt és a lényeg egyértelmű.
A késleltetett végrehajtás problémája továbbra is megoldatlan, más szóval: figyelni kell, hogy a gép mikor lép be a hálózatba, hogy csatlakozhasson hozzá. Szerintem erre is van valami megoldás.
Ideális megvalósításban blokkolni kell a laptopot, és valamilyen feliratot kell megjeleníteni, de esetünkben egyszerűen elkerülhetetlen a hozzáférésünk, és a továbbiak csak képzelet kérdése.
Talán valahogy sikerül blokkolni az autót, vagy legalább üzenetet jeleníteni, írjon, ha tudja. Köszönöm!
Ne felejtsen el jelszót beállítani a BIOS-hoz.
Köszönöm felhasználó lektorálásra!
Forrás: will.com