TL; DR
Absolute Computrace adalah teknologi yang memungkinkan Anda mengunci mobil Anda (dan tidak ), bahkan jika sistem operasi diinstal ulang atau bahkan hard drive diganti, seharga $15 per tahun. Saya membeli laptop di eBay yang dikunci dengan benda ini. Artikel tersebut menjelaskan pengalaman saya, bagaimana saya berjuang dengannya dan mencoba melakukan hal yang sama pada Intel AMT, tetapi gratis.
Mari kita langsung setuju: Saya tidak mendobrak pintu yang terbuka dan tidak menulis ceramah tentang hal-hal jarak jauh ini, tetapi memberi tahu sedikit latar belakang dan cara cepat mendapatkan akses jarak jauh ke mesin Anda dalam situasi apa pun (jika terhubung ke jaringan melalui RJ-45) atau jika terhubung melalui Wi-Fi, maka hanya di OS Windows. Selain itu, dimungkinkan untuk mendaftarkan SSID, login, dan kata sandi titik tertentu di Intel AMT itu sendiri, dan kemudian akses melalui Wi-Fi juga dapat diperoleh tanpa melakukan booting ke sistem. Dan juga, jika Anda menginstal driver untuk Intel ME di GNU/Linux, maka semua ini juga akan berfungsi. Akibatnya, tidak mungkin mengunci laptop dari jarak jauh dan menampilkan pesan (saya tidak tahu apakah ini mungkin dilakukan menggunakan teknologi ini), tetapi akan ada akses ke desktop jarak jauh dan Secure Erase, dan ini adalah hal yang utama.
Sopir taksi pergi dengan laptop saya dan saya memutuskan untuk membeli yang baru di eBay. Apa yang salah?
Dari pembeli hingga pencuri - dalam satu peluncuran
Setelah membawa pulang laptop dari kantor pos, saya mulai menyelesaikan pra-instalasi Windows 10, dan setelah itu saya bahkan berhasil mendownload Firefox, ketika tiba-tiba:
Saya memahami betul bahwa tidak ada seorang pun yang akan memodifikasi distribusi Windows, dan jika mereka melakukannya, semuanya tidak akan terlihat kikuk dan secara umum pemblokiran akan terjadi lebih cepat. Dan, pada akhirnya, tidak ada gunanya memblokir apa pun, karena semuanya akan teratasi dengan menginstalnya kembali. Oke, mari kita reboot.
Reboot ke BIOS, dan sekarang semuanya menjadi sedikit lebih jelas:
Dan akhirnya, semuanya menjadi jelas:
Mengapa laptop saya sendiri mengganggu saya? Apa itu Komputer?
Sebenarnya, Computrace adalah sekumpulan modul di EFI BIOS Anda yang, setelah memuat OS Windows, memasukkan Trojan mereka ke dalamnya, mengetuk server perangkat lunak Absolute jarak jauh dan mengizinkan, jika perlu, memblokir sistem melalui Internet. Anda dapat membaca rincian lebih lanjut di sini . Computrace tidak bekerja dengan sistem operasi selain Windows. Selain itu, jika kita menghubungkan drive dengan Windows yang dienkripsi oleh BitLocker, atau perangkat lunak lainnya, maka Computrace tidak akan berfungsi lagi - modul tidak akan dapat memasukkan filenya ke sistem kami.
Dari kejauhan, teknologi semacam itu mungkin tampak kosmik, tetapi hanya sampai kita mengetahui bahwa semua ini dilakukan pada UEFI asli menggunakan satu setengah modul yang meragukan.
Sepertinya hal ini dingin dan sangat kuat sampai kita mencoba, misalnya, untuk boot ke GNU/Linux:
Laptop ini telah mengaktifkan penguncian Computrace saat ini.
Seperti kata mereka
Apa yang harus dilakukan?
Ada empat vektor yang jelas untuk menyelesaikan masalah:
- Menulis ke penjual di eBay
- Menulis ke perangkat lunak Absolut, pencipta dan pemilik Computrace
- Buat dump dari chip BIOS, kirimkan ke tipe teduh sehingga mereka mengirim kembali dump dengan patch yang menonaktifkan semua kunci dan menu ID perangkat
- Panggil Lazard
Mari kita lihat secara berurutan:
- Kami, seperti semua orang yang berakal sehat, pertama-tama menulis surat kepada penjual yang menjual produk tersebut kepada kami dan mendiskusikan masalahnya dengan orang yang terutama bertanggung jawab atas produk tersebut.
Dibuat:
- Menurut seorang penasihat yang ditemukan di kedalaman Internet,
Anda perlu menghubungi perangkat lunak absolut. Mereka menginginkan nomor seri mesin dan nomor seri motherboard. Anda juga perlu memberikan “bukti pembelian”, seperti tanda terima. Mereka akan menghubungi pemilik file mereka dan mendapatkan izin untuk menghapusnya. Dengan asumsi itu tidak dicuri, mereka kemudian akan “menandainya untuk dihapus”. Setelah itu, saat berikutnya Anda terhubung ke internet atau memiliki koneksi internet terbuka, keajaiban akan terjadi dan hilang. Kirimkan barang-barang yang saya sebutkan [email dilindungi].
kita dapat menulis langsung ke Absolute dan berkomunikasi langsung dengan mereka tentang membuka kunci. Saya meluangkan waktu dan memutuskan untuk menggunakan solusi ini hanya menjelang akhir.
- Untungnya, solusi brutal terhadap masalah ini sudah ada. Yang ini dan banyak spesialis dukungan komputer lainnya di eBay yang sama dan bahkan orang India di Facebook berjanji untuk membuka kunci BIOS jika kami mengirimi mereka dump dan menunggu beberapa menit.
Proses membuka kunci dijelaskan sebagai berikut:
Solusi membuka kunci akhirnya tersedia dan memerlukan pemrogram SPEG untuk dapat mem-flash BIOS.
Prosesnya adalah:
- Membaca BIOS dan membuat dump yang valid. Di Thinkpad, BIOS digabungkan dengan chip TPM internal dan berisi tanda tangan uniknya, jadi BIOS asli harus memiliki pembacaan yang benar untuk keberhasilan seluruh operasi dan untuk memulihkan BIOS setelahnya.
- Menambal biner BIOS dan menyuntikkan semua program UEFI smallservice.ro. Program ini akan membaca eeprom yang aman, mereset sertifikat dan kata sandi TPM, menulis eeprom yang aman dan merekonstruksi semua data.
- Tulis dump BIOS yang telah ditambal (ini hanya akan berfungsi di TP itu btw), mulai laptop dan buat ID Perangkat Keras. Kami akan mengirimkan Anda kunci unik yang akan mengaktifkan Allservice BIOS, saat BIOS sedang memuat, BIOS akan menjalankan rutinitas buka kunci dan membuka kunci SVP dan TPM.
- Terakhir, tulis kembali dump BIOS asli untuk pengoperasian normal dan nikmati laptop.
Kami juga dapat menonaktifkan Computrace atau mengubah SN/UUID dan mereset kesalahan checksum RFID dengan menggunakan program UEFI kami dengan cara yang sama, jika perlu
Harga layanan unlock adalah per mesin (seperti yang kami lakukan untuk Macbook/iMac, HP, Acer, dll) Untuk harga layanan dan ketersediaan silahkan baca postingan berikutnya di bawah. Anda dapat menghubungi [email dilindungi] untuk pertanyaan apapun.
Kelihatannya mantap! Tapi ini juga, karena alasan yang jelas, merupakan pilihan untuk situasi yang paling menyedihkan, dan selain itu, semua kesenangan itu berharga $80. Kami meninggalkannya untuk nanti.
- Jika Lazard telah menghancurkan segalanya untukku dan memintaku meneleponmu kembali, maka kamu tidak boleh menolak! Mari kita mulai berbisnis.
Kami menyebut Lazard alias “perusahaan penasihat keuangan dan manajemen aset terkemuka di dunia, memberikan nasihat mengenai merger, akuisisi, restrukturisasi, struktur permodalan, dan strategi”
Sementara penjual dari eBay merespons, saya mengeluarkan beberapa dolar untuk zadarma dan berharap dapat berkomunikasi dengan lawan bicara yang mungkin paling tidak berjiwa di planet ini - dukungan dari sebuah perusahaan keuangan besar dari New York. Gadis itu dengan cepat mengangkat telepon, mendengarkan penjelasan malu-malu dalam bahasa Inggris teman saya tentang bagaimana saya membeli laptop ini, menuliskan nomor serinya dan berjanji untuk memberikannya kepada admin, yang akan menelepon saya kembali. Proses ini diulangi tepat dua kali, dengan selang waktu satu hari. Ketiga kalinya, saya sengaja menunggu sampai jam 10 pagi di New York dan menelepon, segera membacakan pasta yang sudah saya kenal tentang pembelian saya. Dua jam kemudian wanita yang sama menelepon saya kembali dan mulai membacakan instruksi:
— Klik melarikan diri.
Saya mengklik tetapi tidak terjadi apa-apa.
— Ada yang tidak berfungsi, tidak ada yang berubah.
- Tekan.
- Aku menekan.
— Sekarang masukkan: 72406917
saya masuk. Tidak ada yang terjadi.
- Kau tahu, aku khawatir ini tidak akan membantu... Tunggu sebentar...
Laptop tiba-tiba reboot, sistem booting, layar putih yang mengganggu hilang entah kemana. Yang pasti, saya masuk ke BIOS, Computrace belum aktif. Sepertinya itu saja. Terima kasih atas dukungan Anda, saya menulis kepada penjual bahwa saya menyelesaikan semua masalah sendiri dan bersantai.
OpenMakeshift Computrace berbasis Intel AMT
Apa yang terjadi membuatku putus asa, tapi aku menyukai gagasan itu, rasa sakit bayanganku atas apa yang hilang secara biasa-biasa saja sedang mencari jalan keluar, aku ingin melindungi laptop baruku, seolah-olah itu akan mengembalikan laptop lamaku. Kalau ada yang pakai Computrace, saya juga bisa pakai kan? Lagi pula, ada Intel Anti-Theft, menurut deskripsinya - sebuah teknologi luar biasa yang berfungsi sebagaimana mestinya, tetapi terbunuh oleh kelembaman pasar, tetapi harus ada alternatif. Ternyata alternatif ini dimulai di tempat yang sama berakhir - hanya perangkat lunak Absolut yang mampu mendapatkan pijakan di bidang ini.
Pertama, mari kita ingat apa itu Intel AMT: ini adalah sekumpulan perpustakaan yang merupakan bagian dari Intel ME, dibangun ke dalam EFI BIOS, sehingga administrator di beberapa kantor dapat, tanpa bangkit dari kursinya, mengoperasikan mesin di jaringan, bahkan jika mereka tidak bisa boot, menghubungkan ISO jarak jauh, mengendalikan melalui desktop jarak jauh, dll.
Semua ini berjalan di Minix dan kira-kira pada level ini:
Invisible Things Lab mengusulkan untuk menyebut fungsionalitas teknologi Intel vPro/Intel AMT sebagai cincin perlindungan -3. Sebagai bagian dari teknologi ini, chipset yang mendukung teknologi vPro berisi mikroprosesor independen (arsitektur ARC4), memiliki antarmuka terpisah ke kartu jaringan, akses eksklusif ke bagian RAM khusus (16 MB), dan akses DMA ke RAM utama. Program di dalamnya dijalankan secara independen dari prosesor pusat; firmware disimpan bersama dengan kode BIOS atau pada memori flash SPI serupa (kode tersebut memiliki tanda tangan kriptografi). Bagian dari firmware adalah server web bawaan. Secara default, AMT dinonaktifkan, tetapi beberapa kode masih berjalan dalam mode ini meskipun AMT dinonaktifkan. Kode dering -3 aktif bahkan dalam mode daya S3 Sleep.
Ini terdengar menggoda, karena tampaknya jika kita dapat membuat koneksi terbalik ke beberapa panel admin menggunakan Intel AMT, kita akan mendapatkan akses yang tidak lebih buruk dari Computrace (sebenarnya tidak).
Kami mengaktifkan Intel AMT di mesin kami
Pertama, beberapa dari Anda mungkin ingin menyentuh AMT ini dengan tangan Anda sendiri, dan di sinilah nuansanya dimulai. Pertama: Anda memerlukan prosesor yang mendukungnya. Untungnya, tidak ada masalah dengan ini (kecuali Anda memiliki AMD), karena vPro ditambahkan ke hampir semua prosesor Intel i5, i7 dan i9 (Anda dapat melihatnya ) sejak tahun 2006, dan VNC normal sudah dibawa ke sana pada tahun 2010. Kedua: jika Anda memiliki desktop maka Anda memerlukan motherboard yang mendukung fungsi tersebut yaitu dengan chipset Q. Pada laptop kita hanya perlu mengetahui model prosesornya saja. Jika Anda menemukan dukungan untuk Intel AMT, maka ini pertanda baik dan Anda akan dapat menerapkan pengaturan yang diperoleh di sini. Jika tidak, berarti Anda kurang beruntung/sengaja memilih prosesor atau chipset tanpa dukungan teknologi ini, atau Anda berhasil menghemat uang dengan memilih AMD, yang juga merupakan alasan kegembiraan.
Menurut dokumen
Dalam mode tidak aman, perangkat Intel AMT mendengarkan pada port 16992.
Dalam mode TLS, perangkat Intel AMT mendengarkan pada port 16993.
Intel AMT menerima koneksi pada port 16992 dan 16993. Mari beralih ke sana.
Anda perlu memeriksa apakah Intel AMT diaktifkan di BIOS:
Selanjutnya kita perlu reboot dan tekan Ctrl + P saat memuat
Kata sandi standar, seperti biasa, admin.
Segera ubah kata sandi di Pengaturan Umum Intel ME. Selanjutnya, di Konfigurasi Intel AMT, aktifkan Aktifkan Akses Jaringan. Siap. Anda sekarang secara resmi berada di pintu belakang. Kami sedang memuat ke dalam sistem.
Sekarang nuansa penting: secara logis, kita dapat mengakses Intel AMT dari localhost dan jarak jauh, tapi tidak. Intel mengatakan Anda dapat terhubung secara lokal dan mengubah pengaturan menggunakan , tetapi bagi saya itu menolak untuk terhubung, jadi koneksi saya hanya berfungsi dari jarak jauh.
Kami mengambil beberapa perangkat dan terhubung melalui : 16992
Terlihat seperti ini:
Selamat datang di antarmuka Intel AMT standar! Mengapa "standar"? Karena itu terpotong dan sama sekali tidak berguna untuk tujuan kita, dan kita akan menggunakan sesuatu yang lebih serius.
Mengenal MeshCommander
Seperti biasa, perusahaan besar melakukan sesuatu, dan pengguna akhir memodifikasinya sesuai keinginan mereka. Itu juga yang terjadi di sini.
Pria sederhana ini (tidak berlebihan: namanya tidak ada di situs webnya, saya harus mencarinya di Google) pria bernama Ylian Saint-Hilaire telah mengembangkan alat luar biasa untuk bekerja dengan Intel AMT.
Saya ingin segera menarik perhatian Anda kepadanya , dalam videonya dia dengan sederhana dan jelas menunjukkan secara real time bagaimana melakukan tugas-tugas tertentu yang berkaitan dengan Intel AMT dan perangkat lunaknya.
Mari kita mulai . Unduh, instal, dan coba sambungkan ke mesin kami:
Prosesnya tidak instan, namun hasilnya kita akan mendapatkan layar berikut:
Bukannya saya paranoid, tapi saya akan menghapus data sensitif, maafkan saya atas kegenitan seperti itu
Perbedaannya, seperti kata mereka, jelas. Saya tidak tahu mengapa Panel Kontrol Intel tidak memiliki serangkaian fungsi seperti itu, tetapi faktanya Ylian Saint-Hilaire mendapatkan lebih banyak manfaat dalam kehidupan. Selain itu, Anda dapat menginstal antarmuka webnya langsung ke firmware, ini memungkinkan Anda menggunakan semua fungsi tanpa utilitas.
Ini dilakukan seperti ini:
Saya harus mencatat bahwa saya belum pernah menggunakan fungsi ini (antarmuka web khusus) dan tidak dapat mengatakan apa pun tentang efektivitas dan kinerjanya, karena ini tidak diperlukan untuk kebutuhan saya.
Anda dapat bermain-main dengan fungsinya, kecil kemungkinan Anda akan merusak segalanya, karena titik awal dan akhir dari keseluruhan festival ini adalah BIOS, di mana Anda kemudian dapat mengatur ulang semuanya dengan menonaktifkan Intel AMT.
Terapkan MeshCentral dan terapkan BackConnect
Dan di sinilah kejatuhan kepala dimulai. Paman saya tidak hanya membuat klien, tetapi juga seluruh panel admin untuk Trojan kami! Dan dia tidak hanya melakukannya, tapi .
Mulailah dengan menginstal server MeshCentral milik Anda sendiri atau jika Anda tidak terbiasa dengan MeshCentral, Anda dapat mencoba server publik dengan risiko Anda sendiri di MeshCentral.com.
Hal ini menunjukkan hal positif tentang keandalan kodenya, karena saya tidak dapat menemukan berita apa pun tentang peretasan atau kebocoran selama pengoperasian layanan.
Secara pribadi, saya menjalankan MeshCentral di server saya karena saya secara tidak masuk akal percaya bahwa ini lebih dapat diandalkan, tetapi tidak ada apa-apa di dalamnya kecuali kesombongan dan kelesuan jiwa. Jika Anda juga mau, maka ada dokumen dan wadah dengan MeshCentral. Dokumen tersebut menjelaskan cara menyatukan semuanya di NGINX, sehingga penerapannya akan mudah diintegrasikan ke server rumah Anda.
Mendaftar untuk , masuk dan buat Grup Perangkat dengan memilih opsi “tanpa agen”:
Mengapa "tidak ada agen"? Karena mengapa kita memerlukannya untuk menginstal sesuatu yang tidak perlu, tidak jelas bagaimana perilakunya dan cara kerjanya.
Klik “Tambahkan CIRA”:
Unduh cira_setup_test.mescript dan gunakan di MeshCommander kami seperti ini:
Voila! Setelah beberapa waktu, mesin kami akan terhubung ke MeshCentral dan kami dapat melakukan sesuatu dengannya.
Pertama: Anda harus tahu bahwa perangkat lunak kami tidak akan mengetuk server jauh begitu saja. Hal ini disebabkan oleh fakta bahwa Intel AMT memiliki dua opsi untuk koneksi - melalui server jarak jauh dan langsung secara lokal. Mereka tidak bekerja pada waktu yang bersamaan. Skrip kami telah mengonfigurasi sistem untuk pekerjaan jarak jauh, tetapi Anda mungkin perlu terhubung secara lokal. Agar Anda dapat terhubung secara lokal, Anda harus pergi ke sini
tulis baris yang merupakan domain lokal Anda (perhatikan bahwa skrip kami SUDAH menyisipkan beberapa baris acak di sana sehingga koneksi dapat dibuat dari jarak jauh) atau hapus semua baris sama sekali (tetapi koneksi jarak jauh tidak akan tersedia). Misalnya, domain lokal saya di OpenWrt adalah lan:
Oleh karena itu, jika kita memasukkan LAN di sana, dan jika mesin kita terhubung ke jaringan dengan domain lokal ini, maka koneksi jarak jauh tidak akan tersedia, tetapi port lokal 16992 dan 16993 akan terbuka dan menerima koneksi. Singkatnya, jika ada omong kosong yang tidak ada hubungannya dengan domain lokal Anda, maka perangkat lunaknya bermasalah, jika tidak, maka Anda perlu menghubungkannya sendiri melalui kabel, itu saja.
Kedua:
Semua sudah siap!
Anda mungkin bertanya - di mana AntiTheft? Seperti yang saya katakan di awal, Intel AMT sangat tidak cocok untuk melawan pencuri. Mengelola jaringan kantor diperbolehkan, tetapi berkelahi dengan individu yang secara tidak sah mengambil alih properti melalui Internet bukanlah hal yang istimewa. Mari kita pertimbangkan sebuah perangkat yang, secara teori, dapat membantu kita dalam memperjuangkan kepemilikan pribadi:
- Jelas bahwa Anda memiliki akses ke mesin jika terhubung melalui kabel, atau, jika Windows diinstal di dalamnya, maka melalui WiFi. Ya, memang kekanak-kanakan, tetapi sudah sangat sulit bagi orang biasa untuk menggunakan laptop seperti itu, bahkan jika seseorang tiba-tiba mengambil alih kendali. Selain itu, meskipun saya tidak dapat memahami skripnya, tentu saja mungkin untuk merancang beberapa fungsi secara artistik untuk memblokir/menampilkan notifikasi pada skrip tersebut.
- Penghapusan Aman Jarak Jauh dengan Teknologi Manajemen Aktif Intel
Dengan menggunakan opsi ini, Anda dapat menghapus semua informasi dari mesin dalam hitungan detik. Tidak jelas apakah ini berfungsi pada SSD non-Intel. Di Sini Anda dapat membaca lebih lanjut tentang fungsi ini. Anda bisa mengagumi karyanya . Kualitasnya jelek, tapi hanya 10 megabyte dan intinya jelas.
Masalah eksekusi yang ditangguhkan masih belum terselesaikan, dengan kata lain: Anda perlu memperhatikan saat mesin memasuki jaringan agar dapat terhubung dengannya. Saya yakin ada solusi untuk ini juga.
Dalam implementasi yang ideal, Anda perlu memblokir laptop dan menampilkan semacam tulisan, tetapi dalam kasus kami, kami hanya memiliki akses yang tidak dapat dihindari, dan apa yang harus dilakukan selanjutnya hanyalah masalah imajinasi.
Mungkin Anda entah bagaimana bisa memblokir mobil atau setidaknya menampilkan pesan, tulislah jika Anda mengetahuinya. Terima kasih!
Jangan lupa untuk mengatur kata sandi untuk BIOS.
Terima kasih pengguna untuk mengoreksi!
Sumber: www.habr.com