TL; DR
Absolute Computrace - бул унааңызды кулпулоого мүмкүндүк берүүчү технология (жана эмес ), операциялык система ага кайра орнотулган же ал тургай катуу диск алмаштырылган күндө да, жылына $15 үчүн. Мен eBayден ушул нерсе менен кулпуланган ноутбук сатып алгам. Макалада менин тажрыйбам сүрөттөлөт, мен аны менен кантип күрөшүп, Intel AMTте да ушундай кылууга аракет кылдым, бирок бекер.
Келгиле, дароо макул бололу: мен ачык эшиктерди бузуп, бул алыскы нерселер боюнча лекция жазган жокмун, бирок бир аз фонду жана кандай гана кырдаалда болбосун тизеңизде машинаңызга алыстан кантип жетүүнү (эгерде ал компьютерге туташкан болсо) айтып берем. тармак RJ-45 аркылуу) же Wi-Fi аркылуу туташкан болсо, анда Windows OS гана. Ошондой эле, Intel AMT өзүндө белгилүү бир чекиттин SSID, логин жана паролду каттоого мүмкүн болот, андан кийин Wi-Fi аркылуу кирүүнү системага жүктөөсүз да алууга болот. Ошондой эле, эгер сиз GNU/Linuxга Intel ME үчүн драйверлерди орнотуп алсаңыз, анда мунун баары ага иштеши керек. Натыйжада, ноутбукту алыстан кулпулоо жана билдирүүнү көрсөтүү мүмкүн болбой калат (бул технологияны колдонуу менен бул мүмкүнбү же жокпу түшүнө алган жокмун), бирок алыскы иш тактага жана Secure Erase мүмкүнчүлүгүнө ээ болот, жана бул башкы нерсе болуп саналат.
Таксист менин ноутбукумду алып кетип калды, мен eBayден жаңысын сатып алууну чечтим. Эмне туура эмес болушу мүмкүн?
Сатып алуучудан ууруларга чейин - бир ишке киргизүүдө
Почтадан үйгө ноутбук алып келип, мен Windows 10ду алдын ала орнотууну бүтүрүүгө кириштим, андан кийин мен Firefoxту жүктөп алууга да жетиштим, күтүлбөгөн жерден:
Мен Windows дистрибуциясын эч ким өзгөртө албастыгын жакшы түшүндүм, эгерде алар өзгөртсө, анда баары анчалык олдоксон көрүнбөйт жана жалпысынан бөгөттөө ылдамыраак болмок. Акыр-аягы, эч нерсеге бөгөт коюунун мааниси жок, анткени аны кайра орнотуу менен баары айыгат. Макул, кайра жүктөйбүз.
BIOS'ту өчүрүп күйгүзүңүз, эми баары бир аз айкыныраак болот:
Акыр-аягы, бул толугу менен ачык-айкын:
Кантип менин өзүмдүн ноутбукум мени тынчсыздандырууда? Computrace деген эмне?
Тактап айтканда, Computrace бул сиздин EFI BIOSуңуздагы модулдардын жыйындысы, алар Windows OS жүктөгөндөн кийин ага трояндарын киргизип, алыскы абсолюттук программалык камсыздоо серверин тыкылдатып, керек болсо Интернет аркылуу системаны бөгөттөп коюуга мүмкүндүк берет. Кененирээк маалыматты бул жерден окуй аласыз . Computrace Windows башка операциялык системалар менен иштебейт. Андан тышкары, BitLocker же башка программалык камсыздоо аркылуу шифрленген Windows менен дискти туташтырсак, Computrace кайра иштебейт - модулдар жөн эле өз файлдарын биздин системага ыргыта албайт.
Алыстан караганда, мындай технологиялар космостук көрүнүшү мүмкүн, бирок биз мунун баары бир жарым шектүү модулдарды колдонуу менен жергиликтүү UEFIде жасалганын билмейинче.
Биз, мисалы, GNU/Linuxка жүктөөгө аракет кылмайынча, бул нерсе муздак жана күчтүү окшойт:
Бул ноутбукта азыр Computrace кулпусу иштетилген.
Айтылгандай,
Эмне кылуу керек?
Маселени чечүү үчүн төрт айкын вектор бар:
- eBayде сатуучуга жазыңыз
- Absolute программалык камсыздоосуна, Computraceтин жаратуучусуна жана ээсине жазыңыз
- BIOS чипинен дамп жасап, аны көмүскө түрлөргө жөнөтүңүз, алар бардык кулпуларды жана менюларды аппараттын идентификаторун өчүрүүчү патч менен таштандыны кайра жөнөтүшөт.
- Лазардга чал
Келгиле, аларды ирети менен карап көрөлү:
- Биз, бардык акыл-эстүү адамдар сыяктуу эле, алгач бизге мындай товарды саткан сатуучуга кат жазып, көйгөйдү биринчи кезекте ал үчүн жооптуу адам менен талкуулайбыз.
Жасалган:
- Интернеттин тереңдигинен табылган кеңешчинин айтымында,
Сиз абсолюттук программалык камсыздоо менен байланышуу керек. Алар машинанын сериялык номерин жана эне платасынын сериялык номерин каалашат. Сиз ошондой эле квитанция сыяктуу "сатып алганыңыздын далилин" беришиңиз керек. Алар файлда бар ээси менен байланышып, аны алып салууга макул болушат. Ал уурдалган эмес деп ойлошсо, алар "аны жок кылуу үчүн белгилешет". Андан кийин, кийинки жолу интернетке туташканда же ачык интернет байланышы болгондо, керемет пайда болот жана ал жок болот. Мен айткан нерселерди жөнөтүңүз [электрондук почта корголгон].
биз түздөн-түз Absolute кат жазып, кулпусун ачуу жөнүндө алар менен түз байланыша алат. Мен убакытты алып, акырына чейин бул чечимге кайрылууну чечтим.
- Бактыга жараша, маселенин катаал чечими мурунтан эле бар болчу. Булар жана ошол эле eBayдеги компьютерди колдоо боюнча көптөгөн башка адистер, атүгүл Фейсбуктагы индиялыктар, эгер биз аларга таштанды жөнөтүп, бир-эки мүнөт күтсөк, BIOS-тун кулпусун ачууга убада беришет.
Кулпуну ачуу процесси төмөнкүчө сүрөттөлөт:
Кулпуну ачуу чечими акыры жеткиликтүү болуп калды жана SPEG программистинен BIOS жаркылдай алышы үчүн талап кылынат.
Процесс:
- BIOS окуу жана жарактуу таштанды түзүү. Thinkpadда BIOS ички TPM чипине кошулган жана анын уникалдуу колтамгасын камтыйт, андыктан баштапкы BIOS бүт операциянын ийгилиги үчүн туура окулушу жана андан кийин BIOSту калыбына келтирүү маанилүү.
- BIOS бинарларын жамоо жана бардык smallservice.ro UEFI программасын киргизүү. Бул программа коопсуз eepromду окуйт, TPM сертификатын жана сырсөзүн баштапкы абалга келтирет, коопсуз eeprom жазат жана бардык дайындарды калыбына келтирет.
- Жамаланган BIOS таштандысын жазыңыз (бул TP btwде гана иштейт), ноутбукту иштетиңиз жана Аппараттык идентификаторду түзүңүз. Биз сизге Allservice BIOS'ту иштете турган уникалдуу ачкычты жөнөтөбүз, ал эми BIOS жүктөлүп жатканда, ал кулпусун ачуу тартибин аткарып, SVP жана TPM кулпусун ачат.
- Акырында, кадимки иштөө үчүн баштапкы BIOS таштандысын кайра жазып, ноутбуктан ырахат алыңыз.
Биз ошондой эле Computrace'ти өчүрө алабыз же SN/UUIDди өзгөртүп, RFID текшерүү суммасынын катасын баштапкы абалга келтире алабыз, эгерде зарыл болсо, ошол эле ыкма менен UEFI программабызды колдонуу менен
Кулпуну ачуу кызматынын баасы бир машина үчүн (биз Macbook/iMac, HP, Acer ж.б. үчүн жасайбыз) Кызматтын баасы жана жеткиликтүүлүгүн билүү үчүн төмөнкү кийинки постту окуңуз. Байланышса болот [электрондук почта корголгон] кандайдыр бир суроо үчүн.
Мыйзамдуу окшойт! Бирок, бул да, ачык себептерден улам, абдан үмүтсүз кырдаал үчүн бир параметр болуп саналат, жана андан тышкары, бардык кызыктуу $ 80 турат. Аны кийинчерээк калтырабыз.
- Эгерде Лазард мен үчүн баарын бузуп, кайра чалууну суранса, анда баш тартпашың керек! Кел жумушка чыгалы.
Биз Lazard ака деп атайбыз "дүйнөдөгү алдыңкы каржылык кеңеш берүү жана активдерди башкаруу фирмасы, биригүү, сатып алуу, реструктуризация, капиталдын түзүмү жана стратегиясы боюнча кеңеш берет"
eBay сатуучусу жооп берип жатканда, мен zadarma боюнча бир нече баксы ыргытып, балким, планетадагы эң жансыз маектешим менен баарлашууну чыдамсыздык менен күтөм - Нью-Йорктогу чоң каржы корпорациясынын колдоосу. Кыз телефонду тез алып, менин жолдошум англисче бул ноутбукту кантип сатып алганым тууралуу уялчаак түшүндүрмөлөрдү угуп, анын сериялык номерин жазып, админдерге берем деп убада берет, алар мага кайра чалышат. Бул процесс так эки жолу, бир күн аралык менен кайталанат. Үчүнчү жолу, мен атайылап Нью-Йоркто кечки саат 10го чейин күтүп, телефон чалып, сатып алганым тууралуу тааныш макаронду тез окуп чыктым. Эки сааттан кийин ошол эле аял мага чалып, көрсөтмөлөрдү окуп баштады:
— Качууну басыңыз.
Мен басам, бирок эч нерсе болбойт.
- Бир нерсе иштебейт, эч нерсе өзгөрбөйт.
- Басыңыз.
- Басам.
— Эми кириңиз: 72406917
мен кирип жатам. Эч нерсе болгон жок.
- Билесиңби, бул жардам бербейби деп корком... Бир мүнөттө...
Ноутбук күтүлбөгөн жерден кайра жүктөлөт, система жүктөлөт, тажатма ак экран бир жерде жок болуп кетти. Ырас, мен BIOS'ка кирем, Computrace иштетилген эмес. Болду окшойт. Колдооңуз үчүн рахмат, сатуучуга бардык маселелерди өзүм чечип, эс алганымды жазам.
OpenMakeshift Computrace Intel AMT негизделген
Болгон нерсе менин көңүлүмдү чөгөрдү, бирок мага бул идея жакты, мен орто жоголгон нерсеге болгон элес оорум кандайдыр бир жолду издеп жатты, мен жаңы ноутбукумду коргогум келди, ал мага эскисин кайтарып бергендей. Эгер кимдир бирөө Computrace колдонуп жатса, мен да колдоно алам, туурабы? Кантсе да, Intel Anti-Theft бар болчу, сыпаттамага ылайык - сонун технология, ал болушу керек эле, бирок ал рыноктун инерциясы менен өлтүрүлгөн, бирок альтернатива болушу керек. Көрсө, бул альтернатива ошол эле жерден башталган - бул тармакта Абсолюттук программалык камсыздоо гана өз ордун таба алган.
Биринчиден, Intel AMT деген эмне экенин эстеп көрөлү: бул Intel MEнин бир бөлүгү болгон китепканалардын жыйындысы, EFI BIOS ичине орнотулган, андыктан кандайдыр бир кеңседеги администратор креслодон туруп, тармактагы машиналарды иштете алат, алар жүктөлбөсө да, алыстан ISO туташтыруу, алыскы иш тактасы аркылуу башкаруу ж.б.
Мунун баары Minixте жана болжол менен ушул деңгээлде иштейт:
Invisible Things Lab Intel vPro / Intel AMT технологиясынын функционалдуулугун коргоо шакеги -3 деп атоону сунуштады. Бул технологиянын бир бөлүгү катары vPro технологиясын колдогон чипсеттерде көз карандысыз микропроцессор (ARC4 архитектурасы), тармактык картага өзүнчө интерфейс, оперативдүү эстутумдун (16 МБ) бөлүнгөн бөлүгүнө эксклюзивдүү жетүү жана негизги оперативдик эстутумга DMA мүмкүнчүлүгү бар. Андагы программалар борбордук процессордон көз карандысыз түрдө аткарылат, микропрограмма BIOS коддору менен бирге же окшош SPI флеш эсинде сакталат (код криптографиялык кол тамгасы бар). Микропрограмманын бир бөлүгү орнотулган веб-сервер болуп саналат. Демейки боюнча, AMT өчүрүлгөн, бирок кээ бир код AMT өчүрүлгөн учурда дагы ушул режимде иштейт. Ring коду -3 S3 Уйку кубат режиминде да активдүү.
Бул азгырыктуу угулат, анткени Intel AMT аркылуу кандайдыр бир администратор панелине тескери байланыш түзө алсак, биз Computraceден жаман эмес кире алабыз (чындыгында, жок).
Биз машинабызда Intel AMT иштетебиз
Биринчиден, кээ бириңиздер, балким, бул АМТны өз колдору менен тийгизүүнү каалашат жана бул жерде нюанстар башталат. Биринчиден: сизге аны колдогон процессор керек. Бактыга жараша, бул менен эч кандай көйгөйлөр жок (эгерде сизде AMD болбосо), анткени vPro дээрлик бардык Intel i5, i7 жана i9 процессорлоруна кошулган (сиз көрө аласыз). ) 2006-жылдан бери, ал эми кадимки VNC 2010-жылы ал жакка алынып келинген. Экинчиден: эгер сизде иш тактаңыз болсо, анда сизге бул функцияны колдогон, тактап айтканда Q чипсети менен, биз процессордун моделин билишибиз керек. Эгерде сиз Intel AMT үчүн колдоо тапсаңыз, анда бул жакшы белги жана сиз бул жерде алынган орнотууларды колдоно аласыз. Эгерде андай болбосо, анда же сиз бактысыз болгонсуз/бул технологияны колдобогон процессорду же чипсетти атайылап тандап алгансыз, же сиз AMDди тандоо менен акчаңызды ийгиликтүү үнөмдөгөнсүз, бул да кубанычтын себеби.
Документтер боюнча
Кооптуу эмес режимде Intel AMT түзмөктөрү 16992 портунда угат.
TLS режиминде, Intel AMT түзмөктөрү 16993 портунда угат.
Intel AMT 16992 жана 16993 портторундагы туташууларды кабыл алат. Келгиле, ошол жакка көчөлү.
BIOS'та Intel AMT иштетилгенин текшеришиңиз керек:
Андан кийин кайра жүктөө жана жүктөөдө Ctrl + P баскычтарын басыңыз
Стандарттык сырсөз, адаттагыдай эле, админ.
Intel ME жалпы жөндөөлөрүндө сырсөздү дароо өзгөртүңүз. Андан кийин, Intel AMT Конфигурациясында, Тармакка кирүү мүмкүнчүлүгүн иштетүү. Даяр. Сиз азыр расмий түрдө артта калдыңыз. Биз системага жүктөп жатабыз.
Эми маанилүү нюанс: логикалык жактан алганда, биз Intel AMT-ти localhost жана алыстан кире алабыз, бирок жок. Intel жергиликтүү түрдө туташып, орнотууларды колдонуу менен өзгөртө аласыз дейт , бирок мен үчүн ал туташуудан кескин баш тартты, ошондуктан менин байланышым алыстан гана иштеди.
Биз кандайдыр бир аппаратты алып, аркылуу байланышабыз : 16992
Бул төмөнкүдөй көрүнөт:
Стандарттык Intel AMT интерфейсине кош келиңиз! Эмне үчүн "стандарттык"? Анткени ал кесилген жана биздин максаттарыбыз үчүн таптакыр жараксыз жана биз олуттуураак нерсени колдонобуз.
MeshCommander менен таанышуу
Адаттагыдай эле, чоң компаниялар бир нерсе жасашат жана акыркы колдонуучулар аны өздөрүнө ылайыкташтырышат. Бул жерде да ушундай болгон.
Бул жупуну (апыртпоо: анын аты анын веб-сайтында жок, мен аны Гуглга жазыш керек болчу) Ылиан Сент-Хилер аттуу адам Intel AMT менен иштөө үчүн сонун куралдарды иштеп чыккан.
Мен ага дароо көңүлүңүздү бургум келет , өзүнүн видеолорунда ал жөнөкөй жана так реалдуу убакытта Intel AMT жана анын программалык камсыздоосуна байланыштуу айрым тапшырмаларды аткарууну көрсөтөт.
Баштайлы . Жүктөп алыңыз, орнотуңуз жана биздин машинага туташууга аракет кылыңыз:
Процесс бир заматта эмес, бирок натыйжада биз бул экранды алабыз:
Бул мен параноид эмесмин, бирок купуя маалыматтарды жок кылам, мындай кокетика үчүн мени кечириңиз
Айырмачылык, алар айткандай, ачык-айкын. Эмне үчүн Intel Башкаруу Панелинде мындай функциялар жок экенин билбейм, бирок чындыгында Ылиан Сент-Хилер жашоодон кыйла көбүрөөк пайда алып келет. Мындан тышкары, сиз анын веб-интерфейсин түздөн-түз микропрограммага орното аласыз, ал бардык функцияларды утилитасыз колдонууга мүмкүндүк берет.
Бул төмөнкүдөй жасалат:
Белгилей кетчү нерсе, мен бул функцияны (Custom web interface) колдонгон эмесмин жана анын натыйжалуулугу жана иштеши жөнүндө эч нерсе айта албайм, анткени ал менин муктаждыктарым үчүн талап кылынбайт.
Функционалдык менен ойносоңуз болот, сиз бардыгын бузуп салышыңыз күмөн, анткени бул фестивалдын башталышы жана акыркы чекити BIOS болуп саналат, анда сиз Intel AMTти өчүрүү менен баарын баштапкы абалга келтире аласыз.
MeshCentral орнотуп, BackConnectти ишке ашырыңыз
Жана бул жерде баштын толук кулашы башталат. Менин байкем бир гана кардар эмес, биздин троян үчүн бүтүндөй администратор панелин жасады! Жана ал гана эмес, бирок .
Өзүңүздүн MeshCentral сервериңизди орнотуу менен баштаңыз же MeshCentral менен тааныш болбосоңуз, MeshCentral.com сайтында коомдук серверди өзүңүзгө тобокелге салып сынап көрүңүз.
Бул анын кодунун ишенимдүүлүгү жөнүндө жакшы сүйлөйт, анткени мен кызматтын иштеши учурунда бузуктар же агып кетүүлөр жөнүндө эч кандай жаңылык таба алган жокмун.
Жеке мен MeshCentralды серверимде иштетем, анткени мен анын ишенимдүүрөөк экенине негизсиз ишенем, бирок анда убаракерчиликтен жана рухтун алсыздыгынан башка эч нерсе жок. Сиз да кааласаңыз, анда документтер жана бар MeshCentral менен контейнер. Документтер муну NGINXте кантип бириктирүү керектигин сүрөттөйт, андыктан ишке ашыруу сиздин үй серверлериңизге оңой интеграцияланат.
Катталуу , кирип, "агент жок" опциясын тандоо менен Түзмөк тобун түзүңүз:
Эмне үчүн "агент жок"? Анткени бизге кереги жок нерсени орнотуу үчүн эмне үчүн керек, ал өзүн кандай алып жүрөт, кандай иштей турганы белгисиз.
"CIRA кошуу" баскычын чыкылдатыңыз:
cira_setup_test.mescript жүктөп алып, аны MeshCommander'ибизде төмөнкүдөй колдонуңуз:
Voila! Бир нече убакыт өткөндөн кийин биздин машина MeshCentral менен туташат жана биз аны менен бир нерсе кыла алабыз.
Биринчиден: биздин программалык камсыздоо алыскы серверди такылдатпай турганын билишиңиз керек. Бул Intel AMT туташуунун эки варианты бар экендигине байланыштуу - алыскы сервер аркылуу жана түздөн-түз жергиликтүү. Алар бир эле убакта иштебейт. Биздин скрипт системаны алыстан иштөө үчүн конфигурациялаган, бирок сизге жергиликтүү туташуу керек болушу мүмкүн. Жергиликтүү түрдө туташуу үчүн бул жерге барышыңыз керек
жергиликтүү домениңиз болгон сапты жазыңыз (биздин скрипт ал жерге туташуу алыстан жүргүзүлүшү үчүн кандайдыр бир туш келди сызыктарды киргизгендигин эске алыңыз) же бардык саптарды толугу менен тазалаңыз (бирок андан кийин алыскы байланыш жеткиликтүү болбойт). Мисалы, OpenWrt'теги менин жергиликтүү доменим lan:
Демек, эгерде биз ал жерге lan киргизсек жана биздин машина ушул локалдык домен менен тармакка туташкан болсо, анда алыскы байланыш жеткиликтүү болбойт, бирок локалдык порттор 16992 жана 16993 ачылып, байланыштарды кабыл алышат. Кыскача айтканда, эгерде сиздин жергиликтүү домениңизге тиешеси жок кандайдыр бир нонсенс болсо, анда программалык камсыздоо бузулуп жатат, эгер жок болсо, анда ага зым аркылуу өзүңүз туташуу керек, ушуну менен.
Экинчиден:
Баары даяр!
Сиз сурашыңыз мүмкүн - AntiTheft кайда? Мен башында айткандай, Intel AMT уурулар менен күрөшүү үчүн абдан ылайыктуу эмес. Кеңсе тармагын башкаруу жагымдуу, бирок Интернет аркылуу мүлктү мыйзамсыз ээлеп алган адамдар менен күрөшүү анчалык деле өзгөчө эмес. Келгиле, жеке менчик үчүн күрөштө теориялык жактан жардам бере турган инструменттерди карап көрөлү:
- Эгер ал кабель аркылуу туташкан болсо, же ага Windows орнотулган болсо, анда WiFi аркылуу компьютерге кире аласыз. Ооба, бул балалык, бирок кимдир бирөө күтүлбөгөн жерден башкарууну колго алса да, жөнөкөй адам үчүн мындай ноутбукту колдонуу өтө кыйын. Анын үстүнө, мен скрипттерди түшүнө албаганыма карабастан, алардагы эскертмелерди бөгөттөө/көрсөтүү үчүн кандайдыр бир функцияларды көркөм долбоорлоо, албетте, мүмкүн.
- Intel Active Management технологиясы менен алыстан коопсуз тазалоо
Бул параметрди колдонуу менен, сиз секунданын ичинде машинадан бардык маалыматты жок кыла аласыз. Ал Intel эмес SSD дисктеринде иштейби же жокпу белгисиз. Бул жерде Бул функция жөнүндө көбүрөөк окуй аласыз. Сиз эмгекке суктансаңыз болот . Сапаты коркунучтуу, бирок болгону 10 мегабайт жана маңызы түшүнүктүү.
Аткаруу мөөнөтүн кийинкиге калтыруу маселеси чечилбеген бойдон калууда, башкача айтканда: ага туташуу үчүн машина тармакка качан киргенин карап турушуңуз керек. Мен мунун да кандайдыр бир чечими бар деп ишенем.
Идеалдуу ишке ашырууда, сиз ноутбукту бөгөттөп, кандайдыр бир жазууну көрсөтүшүңүз керек, бирок биздин учурда бизде сөзсүз түрдө кирүү мүмкүнчүлүгү бар жана андан ары эмне кылуу - бул фантазия маселеси.
Балким, сиз кандайдыр бир жол менен машинаны бөгөттөп же жок дегенде билдирүү көрсөтө аласыз, билсеңиз жазыңыз. Рахмат!
BIOS үчүн сырсөз коюуну унутпаңыз.
Колдонуучуга рахмат текшерүү үчүн!
Source: www.habr.com