TL; DR
Absolute Computrace è una tecnologia che ti permette di bloccare la tua auto (e non ), anche se veniva reinstallato il sistema operativo o addirittura sostituito il disco rigido, per 15 dollari all'anno. Ho comprato un laptop su eBay che era bloccato con questa cosa. L'articolo descrive la mia esperienza, come ho lottato e come ho provato a fare lo stesso su Intel AMT, ma gratuitamente.
Mettiamoci subito d'accordo: non sfondarò le porte aperte né scriverò una conferenza su queste cose remote, ma racconterò un po' di background e come ottenere rapidamente l'accesso remoto alla tua macchina in ginocchio in qualsiasi situazione (se è collegata alla rete tramite RJ-45) o, se è connesso tramite Wi-Fi, solo nel sistema operativo Windows. Inoltre, sarà possibile registrare l'SSID, il login e la password di un punto specifico nella stessa Intel AMT, e quindi l'accesso tramite Wi-Fi potrà essere ottenuto anche senza avviare il sistema. Inoltre, se installi i driver per Intel ME su GNU/Linux, tutto questo dovrebbe funzionare anche su di esso. Di conseguenza, non sarà possibile bloccare da remoto un laptop e visualizzare un messaggio (non sono riuscito a capire se ciò sia possibile utilizzando questa tecnologia), ma sarà possibile accedere a un desktop remoto e a Secure Erase, e questo è la cosa principale.
Il tassista è partito con il mio portatile e ho deciso di comprarne uno nuovo su eBay. Cosa potrebbe andare storto?
Dall'acquirente ai ladri: in un solo lancio
Dopo aver portato a casa un laptop dall'ufficio postale, ho iniziato a completare la preinstallazione di Windows 10, dopodiché sono persino riuscito a scaricare Firefox, quando all'improvviso:
Capivo perfettamente che nessuno avrebbe modificato la distribuzione di Windows e, se lo avessero fatto, tutto non sarebbe sembrato così goffo e in generale il blocco sarebbe avvenuto più velocemente. E, alla fine, non avrebbe senso bloccare nulla, visto che tutto si risolverebbe reinstallandolo. Ok, riavviamo.
Riavvia nel BIOS e ora tutto diventa un po' più chiaro:
E infine è del tutto chiaro:
Com'è possibile che il mio portatile mi dia fastidio? Cos'è Computrace?
A rigor di termini, Computrace è un insieme di moduli nel BIOS EFI che, dopo aver caricato il sistema operativo Windows, inseriscono al suo interno i propri trojan, bussando al server remoto del software Absolute e consentendo, se necessario, di bloccare il sistema su Internet. Puoi leggere maggiori dettagli qui . Computrace non funziona con sistemi operativi diversi da Windows. Inoltre, se colleghiamo un'unità con Windows crittografato da BitLocker o qualsiasi altro software, Computrace non funzionerà più: i moduli semplicemente non saranno in grado di inserire i loro file nel nostro sistema.
Da lontano, tali tecnologie possono sembrare cosmiche, ma solo finché non scopriamo che tutto ciò viene fatto su UEFI nativo utilizzando un modulo e mezzo dubbio.
Sembra che questa cosa sia fredda e onnipotente finché non proviamo, ad esempio, ad avviare GNU/Linux:
Questo laptop ha il blocco Computrace abilitato al momento.
Come si suol dire
Cosa fare?
Esistono quattro vettori ovvi per risolvere il problema:
- Scrivi al venditore su eBay
- Scrivi a Absolute software, ideatore e proprietario di Computrace
- Crea un dump dal chip del BIOS, invialo a tipi ombreggiati in modo che rispondano un dump con una patch che disattiva tutti i blocchi e menu l'ID del dispositivo
- Chiama Lazard
Vediamoli in ordine:
- Noi, come tutte le persone ragionevoli, scriviamo prima al venditore che ci ha venduto un prodotto del genere e discutiamo del problema con chi ne è il principale responsabile.
Fatto:
- Secondo un consulente scoperto nei meandri di Internet,
È necessario contattare Absolute Software. Vorranno il numero di serie della macchina e il numero di serie della scheda madre. Dovrai anche fornire una "prova d'acquisto", come una ricevuta. Contatteranno il proprietario che hanno in archivio e otterranno l'OK per rimuoverlo. Supponendo che non sia stato rubato, lo “contrassegneranno per l'eliminazione”. Dopodiché, la prossima volta che ti connetterai a Internet o avrai una connessione Internet aperta, accadrà un miracolo e scomparirà. Invia le cose a cui ho accennato [email protected].
possiamo scrivere direttamente ad Absolute e comunicare direttamente con loro riguardo allo sblocco. Mi sono preso il tempo necessario e ho deciso di ricorrere a questa soluzione solo verso la fine.
- Fortunatamente, una soluzione brutale al problema era già presente. Questi e molti altri specialisti del supporto informatico sullo stesso eBay e persino indiani su Facebook ci promettono di sbloccare il nostro BIOS se inviamo loro un dump e aspettiamo un paio di minuti.
Il processo di sblocco è descritto come segue:
La soluzione di sblocco è finalmente disponibile e richiede che il programmatore SPEG sia in grado di eseguire il flashing del BIOS.
Il processo è:
- Leggere il BIOS e creare un dump valido. In un Thinkpad, il BIOS è sposato con il chip TPM interno e ne contiene una firma univoca, quindi è importante che il BIOS originale sia letto correttamente per il successo dell'intera operazione e per ripristinare successivamente il BIOS.
- Applicare la patch ai binari del BIOS e inserire un programma UEFI tutto smallservice.ro. Questo programma leggerà l'eeprom sicura, reimposterà il certificato TPM e la password, scriverà l'eeprom sicura e ricostruirà tutti i dati.
- Scrivi il dump del BIOS con patch (funzionerà solo in quel TP tra l'altro), avvia il laptop e genera un ID hardware. Ti invieremo una chiave univoca che attiverà il BIOS Allservice, mentre il BIOS si sta caricando eseguirà la routine di sblocco e sbloccherà SVP e TPM.
- Infine, riscrivi il dump del BIOS originale per le normali operazioni e goditi il laptop.
Possiamo anche disabilitare Computrace o modificare SN/UUID e reimpostare l'errore di checksum RFID utilizzando il nostro programma UEFI nello stesso modo, se necessario
Il prezzo del servizio di sblocco è per macchina (come facciamo per Macbook/iMac, HP, Acer, ecc.). Per il prezzo del servizio e la disponibilità, leggi il post successivo di seguito. Puoi contattare [email protected] per qualsiasi richiesta.
Sembra giusto! Ma anche questa, per ovvie ragioni, è un'opzione per le situazioni più disperate, e inoltre tutto il divertimento costa 80 dollari. Lo lasciamo per dopo.
- Se Lazard mi ha rotto tutto e mi chiede di richiamarti, allora non dovresti rifiutare! Andiamo al sodo.
Chiamiamo Lazard aka "la società di consulenza finanziaria e gestione patrimoniale leader a livello mondiale, fornisce consulenza su fusioni, acquisizioni, ristrutturazioni, struttura del capitale e strategia"
Mentre il venditore di eBay risponde, io butto qualche soldo su Zadarma e non vedo l'ora di comunicare con forse l'interlocutore più senz'anima del pianeta: il supporto di un'enorme società finanziaria di New York. La ragazza prende velocemente il telefono, ascolta nel mio inglese da compagno timide spiegazioni su come ho acquistato questo laptop, ne scrive il numero di serie e promette di darlo agli amministratori, che mi richiameranno. Questo processo viene ripetuto esattamente due volte, a un giorno di distanza. La terza volta ho aspettato deliberatamente fino a sera, fino alle 10 di mattina a New York, e ho chiamato, leggendo velocemente la pasta familiare sul mio acquisto. Due ore dopo la stessa donna mi richiamò e cominciò a leggere le istruzioni:
— Fare clic su Esci.
Faccio clic ma non succede nulla.
— Qualcosa non funziona, non cambia nulla.
- Premere.
- Io premo.
— Ora inserisci: 72406917
Sto entrando. Non accade nulla.
- Sai, temo che questo non aiuterà... Solo un attimo...
Il portatile si riavvia improvvisamente, il sistema si avvia, la fastidiosa schermata bianca è scomparsa da qualche parte. Per sicurezza, entro nel BIOS, Computrace non è attivato. Sembra che sia tutto. Grazie per il vostro supporto, scrivo al venditore che ho risolto tutti i problemi da solo e mi rilasso.
Basato su OpenMakeshift Computrace Intel AMT
Quello che è successo mi ha avvilito, ma l'idea mi piaceva, il mio dolore fantasma per ciò che era mediocremente perduto cercava una via d'uscita, volevo proteggere il mio nuovo portatile, come se mi restituisse quello vecchio. Se qualcuno usa Computrace, posso usarlo anch'io, giusto? Dopotutto, c'era Intel Anti-Theft, secondo la descrizione: un'eccellente tecnologia che funziona come dovrebbe, ma è stata uccisa dall'inerzia del mercato, ma deve esserci un'alternativa. Si è scoperto che questa alternativa è iniziata nello stesso posto in cui è finita: solo il software Absolute è riuscito a prendere piede in questo campo.
Innanzitutto, ricordiamo cos'è Intel AMT: si tratta di un insieme di librerie che fa parte di Intel ME, integrate nel BIOS EFI, in modo che un amministratore in qualche ufficio possa, senza alzarsi dalla sedia, utilizzare le macchine in rete, anche se non si avviano, collegando ISO da remoto, controllando tramite desktop remoto, ecc.
Tutto questo funziona su Minix e approssimativamente a questo livello:
Invisible Things Lab ha proposto di chiamare la funzionalità della tecnologia Intel vPro/Intel AMT un anello di protezione -3. Nell'ambito di questa tecnologia, i chipset che supportano la tecnologia vPro contengono un microprocessore indipendente (architettura ARC4), hanno un'interfaccia separata con la scheda di rete, accesso esclusivo ad una sezione dedicata della RAM (16 MB) e accesso DMA alla RAM principale. I programmi su di esso vengono eseguiti indipendentemente dal processore centrale, il firmware viene memorizzato insieme ai codici BIOS o su una memoria flash SPI simile (il codice ha una firma crittografica). Parte del firmware è un server web integrato. Per impostazione predefinita, AMT è disabilitato, ma parte del codice viene comunque eseguito in questa modalità anche quando AMT è disabilitato. Il codice squillo -3 è attivo anche in modalità Sleep Power S3.
Sembra allettante, perché sembra che se riusciamo a stabilire una connessione inversa a qualche pannello di amministrazione utilizzando Intel AMT, saremo in grado di avere un accesso non peggiore di Computrace (in effetti no).
Attiviamo Intel AMT sulla nostra macchina
Innanzitutto, alcuni di voi probabilmente vorrebbero toccare questo AMT con le proprie mani, e qui iniziano le sfumature. Primo: hai bisogno di un processore che lo supporti. Fortunatamente, non ci sono problemi con questo (a meno che tu non abbia AMD), perché vPro è aggiunto a quasi tutti i processori Intel i5, i7 e i9 (puoi vedere ) dal 2006, e il VNC normale è stato portato lì già nel 2010. In secondo luogo: se hai un desktop, allora hai bisogno di una scheda madre che supporti questa funzionalità, vale a dire con il chipset Q. Nei laptop, dobbiamo solo conoscere il modello del processore. Se trovi il supporto per Intel AMT, allora questo è un buon segno e potrai applicare le impostazioni ottenute qui. In caso contrario, o sei stato sfortunato/hai scelto deliberatamente un processore o un chipset senza supporto per questa tecnologia, oppure hai risparmiato denaro con successo scegliendo AMD, il che è anche motivo di gioia.
Secondo i documenti
In modalità non protetta, i dispositivi Intel AMT sono in ascolto sulla porta 16992.
In modalità TLS, i dispositivi Intel AMT sono in ascolto sulla porta 16993.
Intel AMT accetta connessioni sulle porte 16992 e 16993. Spostiamoci lì.
È necessario verificare che Intel AMT sia abilitato nel BIOS:
Successivamente dobbiamo riavviare e premere Ctrl + P durante il caricamento
La password standard, come al solito, Admin.
Modificare immediatamente la password nelle Impostazioni generali di Intel ME. Successivamente, nella configurazione Intel AMT, abilitare Attiva accesso alla rete. Pronto. Ora sei ufficialmente backdoor. Stiamo caricando nel sistema.
Ora una sfumatura importante: logicamente, possiamo accedere a Intel AMT da localhost e da remoto, ma no. Intel afferma che puoi connetterti localmente e modificare le impostazioni utilizzando , ma per me si è rifiutato categoricamente di connettersi, quindi la mia connessione ha funzionato solo da remoto.
Prendiamo un dispositivo e ci connettiamo tramite : 16992
Sembra questo:
Benvenuti nell'interfaccia standard di Intel AMT! Perché "standard"? Perché è troncato e completamente inutile per i nostri scopi, e useremo qualcosa di più serio.
Conoscere MeshCommander
Come al solito, le grandi aziende fanno qualcosa e gli utenti finali la modificano per adattarla alle proprie esigenze. La stessa cosa è successa qui.
Questo modesto uomo (senza esagerare: il suo nome non è sul suo sito web, ho dovuto cercarlo su Google) di nome Ylian Saint-Hilaire ha sviluppato strumenti meravigliosi per lavorare con Intel AMT.
Vorrei attirare immediatamente la vostra attenzione su di lui , nei suoi video mostra in tempo reale in modo semplice e chiaro come eseguire determinate attività relative a Intel AMT e al suo software.
Iniziamo con . Scarica, installa e prova a connetterti alla nostra macchina:
Il processo non è istantaneo, ma di conseguenza otterremo questa schermata:
Non è che sono paranoico, ma cancellerò i dati sensibili, perdonami per tanta civetteria
La differenza, come si suol dire, è evidente. Non so perché il pannello di controllo Intel non abbia una tale serie di funzioni, ma il fatto è che Ylian Saint-Hilaire ottiene molto di più dalla vita. Inoltre, puoi installare la sua interfaccia web direttamente nel firmware, ti permetterà di utilizzare tutte le funzioni senza alcuna utilità.
Questo è fatto in questo modo:
Tengo a precisare che non ho utilizzato questa funzionalità (Interfaccia web personalizzata) e non posso dire nulla sulla sua efficacia e prestazioni, poiché non è necessaria per le mie esigenze.
Puoi giocare con la funzionalità, difficilmente rovini tutto, perché il punto di partenza e finale di tutto questo festival è il BIOS, in cui puoi poi resettare tutto disabilitando Intel AMT.
Distribuisci MeshCentral e implementa BackConnect
E qui inizia la caduta completa della testa. Mio zio non solo ha creato un client, ma anche un intero pannello di amministrazione per il nostro Trojan! E non l'ha fatto e basta, ma .
Inizia installando un tuo server MeshCentral o, se non hai familiarità con MeshCentral, puoi provare il server pubblico a tuo rischio e pericolo su MeshCentral.com.
Ciò parla positivamente dell'affidabilità del suo codice, poiché non sono riuscito a trovare alcuna notizia di hack o fughe di notizie durante il funzionamento del servizio.
Personalmente, eseguo MeshCentral sul mio server perché credo irragionevolmente che sia più affidabile, ma non contiene altro che vanità e languore dello spirito. Se anche tu vuoi, allora ci sono documenti e contenitore con MeshCentral. I documenti descrivono come collegare il tutto insieme in NGINX, in modo che l'implementazione si integri facilmente nei tuoi server domestici.
Registrati per , entra e crea un gruppo di dispositivi selezionando l'opzione “nessun agente”:
Perché "nessun agente"? Perché ne abbiamo bisogno per installare qualcosa di non necessario, non è chiaro come si comporti e come funzionerà.
Fare clic su “Aggiungi CIRA”:
Scarica cira_setup_test.mescript e usalo nel nostro MeshCommander in questo modo:
Ecco! Dopo un po' di tempo, la nostra macchina si connetterà a MeshCentral e potremo farci qualcosa.
Innanzitutto: dovresti sapere che il nostro software non busserà a un server remoto in questo modo. Ciò è dovuto al fatto che Intel AMT dispone di due opzioni per la connessione: tramite un server remoto e direttamente localmente. Non funzionano contemporaneamente. Il nostro script ha già configurato il sistema per il lavoro remoto, ma potrebbe essere necessario connettersi localmente. Per poterti connettere localmente, devi andare qui
scrivi una riga che è il tuo dominio locale (nota che il nostro script ha GIÀ inserito lì qualche riga casuale in modo che la connessione possa essere effettuata da remoto) o cancella tutte le righe del tutto (ma in questo caso la connessione remota non sarà disponibile). Ad esempio, il mio dominio locale in OpenWrt è lan:
Di conseguenza, se entriamo in lan lì e se la nostra macchina è connessa a una rete con questo dominio locale, la connessione remota non sarà disponibile, ma le porte locali 16992 e 16993 si apriranno e accetteranno le connessioni. In breve, se c'è qualche tipo di spazzatura che non è correlata al tuo dominio locale, significa che il software è disturbato, altrimenti devi connetterti tu stesso tramite un cavo, tutto qui.
Во-вторых:
Tutto è pronto!
Potresti chiedere: dov'è AntiTheft? Come ho detto inizialmente, Intel AMT non è molto adatta per combattere i ladri. L'amministrazione di una rete di uffici è benvenuta, ma combattere con persone che si sono impossessate illegalmente di beni tramite Internet non è così speciale. Consideriamo uno strumento che, in teoria, può aiutarci nella lotta per la proprietà privata:
- Di per sé, è chiaro che hai accesso alla macchina se è collegata tramite cavo o, se è installato Windows, tramite WiFi. Sì, è infantile, ma è già molto difficile per una persona comune usare un laptop del genere, anche se qualcuno improvvisamente prende il controllo. Inoltre, nonostante non sia riuscito a capire gli script, è certamente possibile progettare artisticamente alcune funzionalità per bloccare/visualizzare le notifiche sugli script.
- Cancellazione sicura remota con tecnologia Intel Active Management
Utilizzando questa opzione, puoi eliminare tutte le informazioni dalla macchina in pochi secondi. Non è chiaro se funzioni su SSD non Intel. Qui Puoi leggere ulteriori informazioni su questa funzione. Puoi ammirare l'opera . La qualità è terribile, ma solo 10 megabyte e l'essenza è chiara.
Resta irrisolto il problema dell'esecuzione differita, in altre parole: bisogna guardare quando la macchina entra nella rete per connettersi ad essa. Credo che anche a questo ci sia una soluzione.
In un'implementazione ideale, è necessario bloccare il laptop e visualizzare una sorta di iscrizione, ma nel nostro caso abbiamo semplicemente un accesso inevitabile e cosa fare dopo è una questione di immaginazione.
Forse riuscirai in qualche modo a bloccare l'auto o almeno a visualizzare un messaggio, scrivi se lo sai. Grazie!
Non dimenticare di impostare una password per il BIOS.
Grazie utente per la correzione di bozze!
Fonte: habr.com