Lt; DR
„Absolute Computrace“ yra technologija, leidžianti užrakinti automobilį (ir ne ), net jei joje buvo iš naujo įdiegta operacinė sistema ar net pakeistas kietasis diskas, už 15 USD per metus. „eBay“ nusipirkau nešiojamąjį kompiuterį, kuris buvo užrakintas šiuo daiktu. Straipsnyje aprašoma mano patirtis, kaip aš kovojau su ja ir bandžiau tą patį padaryti su Intel AMT, bet nemokamai.
Iš karto susitarkime: aš nesiveržiu į atviras duris ir nerašau paskaitos apie šiuos nuotolinius dalykus, o papasakosiu šiek tiek pagrindo ir kaip greitai gauti nuotolinę prieigą prie savo aparato ant kelio bet kokioje situacijoje (jei jis prijungtas prie tinklą per RJ-45) arba, jei jis prijungtas per Wi-Fi, tada tik OS Windows. Taip pat pačiame „Intel AMT“ bus galima užregistruoti konkretaus taško SSID, prisijungimo vardą ir slaptažodį, o tada prieigą per „Wi-Fi“ taip pat bus galima gauti neįsikraunant į sistemą. Be to, jei įdiegiate „Intel ME“ tvarkykles GNU / Linux sistemoje, visa tai taip pat turėtų veikti. Dėl to nebus galima nuotoliniu būdu užrakinti nešiojamojo kompiuterio ir rodyti pranešimo (negalėjau suprasti, ar tai įmanoma naudojant šią technologiją), bet bus prieiga prie nuotolinio darbalaukio ir saugaus ištrynimo, o š. yra pagrindinis dalykas.
Taksistas išvažiavo su mano nešiojamu kompiuteriu, o aš nusprendžiau nusipirkti naują eBay. Kas gali suklysti?
Nuo pirkėjo iki vagių – vienu paleidimu
Parsinešęs nešiojamąjį kompiuterį iš pašto, pradėjau baigti išankstinį „Windows 10“ diegimą, o po to net sugebėjau atsisiųsti „Firefox“, kai staiga:
Puikiai supratau, kad Windows distribucijos niekas nemodifikuos, o jei darys, tada viskas neatrodys taip gremėzdiškai ir apskritai blokavimas būtų įvykęs greičiau. Ir galų gale nebūtų prasmės nieko blokuoti, nes viskas būtų išgydyta jį įdiegus iš naujo. Gerai, paleiskite iš naujo.
Perkraukite į BIOS ir dabar viskas taps šiek tiek aiškiau:
Ir galiausiai visiškai aišku:
Kaip man trukdo mano nešiojamas kompiuteris? Kas yra Computrace?
Griežtai kalbant, „Computrace“ yra jūsų EFI BIOS modulių rinkinys, kuris, įkėlęs OS Windows, įterpia į ją savo Trojos arklys, beldžiasi į nuotolinį Absolute programinės įrangos serverį ir leidžia, jei reikia, blokuoti sistemą internetu. Daugiau informacijos galite perskaityti čia . „Computrace“ neveikia su kitomis operacinėmis sistemomis, išskyrus „Windows“. Be to, jei sujungsime diską su „Windows“ šifruotu „BitLocker“ ar bet kokia kita programine įranga, „Computrace“ vėl neveiks – moduliai tiesiog negalės mesti savo failų į mūsų sistemą.
Žvelgiant iš tolo, tokios technologijos gali atrodyti kosminės, bet tik tol, kol išsiaiškinsime, kad visa tai daroma vietiniame UEFI naudojant pusantro abejotino modulio.
Atrodo, kad šis dalykas yra šaltas ir visagalis, kol nepabandysime, pavyzdžiui, paleisti į GNU/Linux:
Šiame nešiojamajame kompiuteryje šiuo metu įjungtas Computrace užraktas.
Kaip sakoma
Ką daryti?
Yra keturi akivaizdūs problemos sprendimo vektoriai:
- Rašykite pardavėjui eBay
- Rašykite Absolute programinei įrangai, Computrace kūrėjui ir savininkui
- Sukurkite išrašymą iš BIOS lusto, nusiųskite jį šešėliniams tipams, kad jie atsiųstų išklotinę su pataisa, kuri išjungia visus užraktus ir meniu įrenginio ID
- Paskambink Lazardui
Pažvelkime į juos eilės tvarka:
- Mes, kaip ir visi protingi žmonės, pirmiausia rašome tokią prekę mums pardavusiam pardavėjui ir aptariame problemą su tuo, kuris pirmiausia už tai atsakingas.
Pagamintas:
- Pasak interneto gelmėse aptikto patarėjo,
Turite susisiekti su absoliučia programine įranga. Jie norės mašinos serijos numerio ir pagrindinės plokštės serijos numerio. Taip pat turėsite pateikti pirkimo įrodymą, pvz., kvitą. Jie susisieks su savininku, kurį turi faile, ir gaus sutikimą jį pašalinti. Darant prielaidą, kad jis nėra pavogtas, jie tada „pažymės, kad būtų ištrinti“. Po to, kai kitą kartą prisijungsite prie interneto arba turėsite atvirą interneto ryšį, įvyks stebuklas ir jo nebeliks. Siųskite dalykus, kuriuos paminėjau [apsaugotas el. paštu].
galime rašyti tiesiogiai Absolute ir tiesiogiai su jais bendrauti dėl atrakinimo. Neskubėjau ir nusprendžiau griebtis šio sprendimo tik pabaigoje.
- Laimei, jau buvo žiaurus problemos sprendimas. Šie ir daugelis kitų kompiuterių palaikymo specialistų tame pačiame eBay ir net indai Facebooke mums žada atrakinti BIOS, jei atsiųsime jiems išvaržą ir palauksime porą minučių.
Atrakinimo procesas aprašytas taip:
Pagaliau pasiekiamas atrakinimo sprendimas ir reikalauja, kad SPEG programuotojas galėtų paleisti BIOS.
Procesas yra:
- Skaitykite BIOS ir sukurkite tinkamą išrašymą. „Thinkpad“ sistemoje BIOS yra sujungta su vidiniu TPM lustu ir turi unikalų jo parašą, todėl svarbu, kad originali BIOS būtų tinkamai nuskaityta, kad visa operacija būtų sėkminga ir po to būtų atkurta BIOS.
- Pataisykite BIOS dvejetainius failus ir įdėkite visą smallservice.ro UEFI programą. Ši programa nuskaitys saugų eeprom, iš naujo nustatys TPM sertifikatą ir slaptažodį, parašys saugų eeprom ir atkurs visus duomenis.
- Parašykite pataisytą BIOS iškeltą (tai veiks tik tame TP btw), paleiskite nešiojamąjį kompiuterį ir sugeneruokite aparatinės įrangos ID. Atsiųsime jums unikalų raktą, kuris suaktyvins „Allservice“ BIOS, o BIOS įkeldamas vykdys atrakinimo procedūrą ir atrakins SVP ir TPM.
- Galiausiai parašykite originalų BIOS išrašymą įprastoms operacijoms ir mėgaukitės nešiojamu kompiuteriu.
Taip pat galime išjungti „Computrace“ arba pakeisti SN/UUID ir iš naujo nustatyti RFID kontrolinės sumos klaidą naudodami UEFI programą, jei reikia.
Atrakinimo paslaugos kaina nurodyta vienam įrenginiui (kaip mes darome „Macbook“ / „iMac“, HP, „Acer“ ir kt.) Norėdami sužinoti paslaugos kainą ir prieinamumą, skaitykite kitą įrašą žemiau. Galite susisiekti [apsaugotas el. paštu] bet kokiam pasiteiravimui.
Atrodo teisėta! Tačiau tai taip pat dėl akivaizdžių priežasčių yra beviltiškiausios situacijos pasirinkimas, be to, visos pramogos kainuoja 80 USD. Paliekame vėlesniam laikui.
- Jei Lazardas viską sulaužė už mane ir prašo, kad perskambinčiau, tuomet neturėtumėte atsisakyti! Eikime prie reikalo.
„Lazard“ vadiname „pirmaujančia pasaulyje finansinių konsultacijų ir turto valdymo įmone, konsultuojančia susijungimų, įsigijimų, restruktūrizavimo, kapitalo struktūros ir strategijos klausimais“.
Kol atsiliepia pardavėjas iš eBay, aš įmetu kelis dolerius į zadarmą ir nekantrauju pabendrauti su bene sielvartingiausiu pašnekovu planetoje – didžiulės finansinės korporacijos iš Niujorko parama. Mergina greitai pakelia ragelį, išklauso mano bendražygiu anglų kalba nedrąsių paaiškinimų, kaip pirkau šį nešiojamąjį kompiuterį, užrašo jo serijos numerį ir žada atiduoti adminams, kurie perskambins. Ši procedūra kartojama tiksliai du kartus, vienos dienos intervalu. Trečią kartą Niujorke sąmoningai laukiau, kol bus 10 valandos vakaro, ir paskambinau, greitai perskaičiau pažįstamus makaronus apie pirkinį. Po dviejų valandų ta pati moteris man paskambino ir pradėjo skaityti instrukcijas:
— Spustelėkite pabėgti.
Paspaudžiu, bet nieko neįvyksta.
– Kažkas neveikia, niekas nesikeičia.
- Paspauskite.
- Paspaudžiu.
— Dabar įveskite: 72406917
Aš įeinu. Nieko neįvyksta.
- Žinai, bijau, kad tai nepadės... Tik minutėlę...
Nešiojamasis kompiuteris staiga persikrauna, sistema įsijungia, erzinantis baltas ekranas kažkur dingo. Kad įsitikinčiau, einu į BIOS, „Computrace“ nėra aktyvuota. Atrodo, kad viskas. Ačiū už palaikymą, rašau pardavėjui, kad visas problemas išsprendžiau pats ir atsipalaidavau.
OpenMakeshift Computrace Intel AMT pagrindu
Tai, kas atsitiko, mane nuliūdino, bet man patiko mintis, mano fantominis skausmas dėl to, kas buvo vidutiniškai prarasta, ieškojo išeities, norėjau apsaugoti savo naują nešiojamąjį kompiuterį, tarsi jis grąžintų man senąjį. Jei kas nors naudoja Computrace, aš taip pat galiu jį naudoti, tiesa? Juk buvo Intel Anti-Theft, pagal aprašymą – puiki technologija, kuri veikia kaip priklauso, bet ją nužudė rinkos inercija, bet alternatyva turi būti. Paaiškėjo, kad ši alternatyva prasidėjo toje pačioje vietoje, kur ir baigėsi – šioje srityje įsitvirtinti pavyko tik Absolute programinei įrangai.
Pirmiausia prisiminkime, kas yra Intel AMT: tai bibliotekų rinkinys, kuris yra Intel ME dalis, integruotas į EFI BIOS, kad kurio nors biuro administratorius galėtų nepakildamas nuo kėdės valdyti tinklo įrenginius, net jei jie nepaleidžiami, nuotoliniu būdu jungiami ISO, valdomi per nuotolinį darbalaukį ir kt.
Visa tai veikia Minix ir maždaug tokiu lygiu:
„Invisible Things Lab“ pasiūlė „Intel vPro“ / „Intel AMT“ technologijos funkcionalumą pavadinti apsaugos žiedu -3. Kaip šios technologijos dalis, lustų rinkiniai, palaikantys vPro technologiją, turi nepriklausomą mikroprocesorių (ARC4 architektūra), turi atskirą sąsają su tinklo plokšte, išskirtinę prieigą prie tam skirtos RAM dalies (16 MB) ir DMA prieigą prie pagrindinės RAM. Jame esančios programos vykdomos nepriklausomai nuo centrinio procesoriaus, programinė įranga saugoma kartu su BIOS kodais arba panašioje SPI „flash“ atmintyje (kodas turi kriptografinį parašą). Dalis programinės įrangos yra integruotas žiniatinklio serveris. Pagal numatytuosius nustatymus AMT yra išjungtas, tačiau kai kurie kodai vis tiek veikia šiuo režimu, net kai AMT išjungtas. Skambėjimo kodas -3 yra aktyvus net S3 miego režimu.
Tai skamba viliojančiai, nes atrodo, kad jei su „Intel AMT“ galėsime užmegzti atvirkštinį ryšį su kokiu nors administratoriaus skydeliu, turėsime ne blogesnę prieigą nei „Computrace“ (tiesą sakant, ne).
Įrenginyje suaktyviname Intel AMT
Pirma, kai kurie iš jūsų tikriausiai norėtų paliesti šį AMT savo rankomis, ir čia prasideda niuansai. Pirma: jums reikia procesoriaus, kuris jį palaiko. Laimei, dėl to problemų nėra (nebent turite AMD), nes vPro yra pridėtas beveik prie visų Intel i5, i7 ir i9 procesorių (galite pamatyti ) nuo 2006 m., o normalus VNC ten buvo atvežtas jau 2010 m. Antra: jei turite stalinį kompiuterį, jums reikia pagrindinės plokštės, palaikančios šią funkciją, būtent su Q mikroschemų rinkiniu Nešiojamuosiuose kompiuteriuose mums reikia žinoti tik procesoriaus modelį. Jei radote Intel AMT palaikymą, tai geras ženklas ir galėsite pritaikyti čia gautus nustatymus. Jei ne, tai arba nepasisekė / sąmoningai pasirinkote procesorių ar mikroschemų rinkinį be šios technologijos palaikymo, arba sėkmingai sutaupėte pinigų pasirinkę AMD, o tai irgi yra džiaugsmo priežastis.
Pagal dokumentus
Nesaugiame režime „Intel AMT“ įrenginiai klausosi 16992 prievado.
TLS režimu Intel AMT įrenginiai klausosi 16993 prievado.
Intel AMT priima jungtis prie 16992 ir 16993 prievadų. Pereikime ten.
Turite patikrinti, ar BIOS įjungtas Intel AMT:
Toliau turime paleisti iš naujo ir įkeldami paspauskite Ctrl + P
Standartinis slaptažodis, kaip įprasta, VYTEGA.
Nedelsdami pakeiskite slaptažodį Intel ME bendruosiuose nustatymuose. Tada „Intel AMT Configuration“ įgalinkite „Activate Network Access“. Paruošta. Dabar esate oficialiai uždaryti. Įkeliame į sistemą.
Dabar svarbus niuansas: logiškai mąstant, „Intel AMT“ galime pasiekti iš „localhost“ ir nuotoliniu būdu, bet ne. „Intel“ teigia, kad galite prisijungti vietoje ir keisti nustatymus naudodami , bet man jis kategoriškai atsisakė prisijungti, todėl mano ryšys veikė tik nuotoliniu būdu.
Paimame tam tikrą įrenginį ir prijungiame per : 16992
Tai atrodo taip:
Sveiki atvykę į standartinę Intel AMT sąsają! Kodėl „standartinis“? Nes jis yra sutrumpintas ir visiškai nenaudingas mūsų tikslams, o mes naudosime ką nors rimtesnio.
Susipažinimas su MeshCommander
Kaip įprasta, didelės įmonės kažką daro, o galutiniai vartotojai tai modifikuoja, kad tiktų sau. Čia atsitiko tas pats.
Šis kuklus (be perdėto: jo vardo nėra jo svetainėje, turėjau paieškoti „Google“) vyras, vardu Ylianas Saint-Hilaire'as, sukūrė nuostabius įrankius darbui su „Intel AMT“.
Iš karto norėčiau atkreipti jūsų dėmesį į jį , savo vaizdo įrašuose jis paprastai ir aiškiai realiu laiku parodo, kaip atlikti tam tikras užduotis, susijusias su Intel AMT ir jos programine įranga.
Pradėkime nuo . Atsisiųskite, įdiekite ir pabandykite prisijungti prie mūsų įrenginio:
Procesas nėra akimirksniu, bet kaip rezultatas, mes gausime šį ekraną:
Ne tai, kad aš paranojiškas, bet ištrinsiu jautrius duomenis, atleiskite už tokį koketavimą
Skirtumas, kaip sakoma, akivaizdus. Nežinau, kodėl „Intel Control Panel“ neturi šio funkcijų rinkinio, bet faktas yra tai, kad Ylian Saint-Hilaire iš gyvenimo gauna daug daugiau. Be to, jos žiniatinklio sąsają galite įdiegti tiesiai į programinę įrangą, tai leis naudotis visomis funkcijomis be paslaugų.
Tai atliekama taip:
Norėčiau pažymėti, kad aš nenaudojau šios funkcijos (Custom web interface) ir nieko negaliu pasakyti apie jos efektyvumą ir našumą, nes ji nėra reikalinga mano poreikiams.
Galima pažaisti su funkcionalumu, vargu ar viską sugadinsi, nes viso šito festivalio startinis ir galutinis atspirties taškas yra BIOS, kurioje vėliau galima viską iš naujo nustatyti išjungus Intel AMT.
Įdiekite „MeshCentral“ ir įdiekite „BackConnect“.
Ir čia prasideda visiškas galvos kritimas. Mano dėdė ne tik padarė klientą, bet ir visą administratoriaus skydelį mūsų Trojos arkliui! Ir jis ne tik tai padarė, bet .
Pradėkite diegdami savo MeshCentral serverį arba, jei nesate susipažinę su MeshCentral, galite išbandyti viešąjį serverį savo rizika svetainėje MeshCentral.com.
Tai teigiamai kalba apie jo kodo patikimumą, nes neradau jokių naujienų apie įsilaužimus ar nutekėjimus paslaugos veikimo metu.
Asmeniškai aš naudoju MeshCentral savo serveryje, nes nepagrįstai tikiu, kad jis yra patikimesnis, tačiau jame nėra nieko, išskyrus tuštybę ir dvasios nuovargį. Jei taip pat norite, tada yra dokumentai ir konteineris su MeshCentral. Dokumentuose aprašoma, kaip visa tai susieti NGINX, kad diegimas būtų lengvai integruotas į jūsų namų serverius.
Registruokitės , eikite ir sukurkite įrenginių grupę pasirinkdami parinktį „be agento“:
Kodėl „nėra agento“? Nes kam jis reikalingas, kad sumontuotume ką nors nereikalingo, neaišku, kaip jis elgsis ir kaip veiks.
Spustelėkite „Pridėti CIRA“:
Atsisiųskite cira_setup_test.mescript ir naudokite jį mūsų „MeshCommander“ taip:
Voila! Po kurio laiko mūsų aparatas prisijungs prie MeshCentral ir galėsime su juo ką nors padaryti.
Pirma: turėtumėte žinoti, kad mūsų programinė įranga tiesiog taip nepabels į nuotolinį serverį. Taip yra dėl to, kad „Intel AMT“ turi dvi prisijungimo galimybes – per nuotolinį serverį ir tiesiogiai lokaliai. Jie neveikia tuo pačiu metu. Mūsų scenarijus jau sukonfigūravo sistemą nuotoliniam darbui, bet gali tekti prisijungti vietoje. Kad galėtumėte prisijungti vietoje, turite eiti čia
parašyti eilutę, kuri yra jūsų vietinis domenas (atkreipkite dėmesį, kad mūsų scenarijus JAU ten įterpė kokią nors atsitiktinę eilutę, kad būtų galima užmegzti ryšį nuotoliniu būdu) arba visiškai išvalykite visas eilutes (bet tada nuotolinis ryšys nebus pasiekiamas). Pavyzdžiui, mano vietinis domenas OpenWrt yra lan:
Atitinkamai, jei ten įvesime lan ir jei mūsų mašina prijungta prie tinklo su šiuo vietiniu domenu, nuotolinis ryšys nebus pasiekiamas, tačiau atsidarys vietiniai prievadai 16992 ir 16993 ir priims ryšius. Trumpai tariant, jei yra kažkokia nesąmonė, nesusijusi su jūsų vietiniu domenu, tada programinė įranga trikdo, jei ne, tada jūs turite patys prie jos prisijungti per laidą, tai viskas.
Antra:
Viskas paruošta!
Galite paklausti – kur yra AntiTheft? Kaip jau sakiau iš pradžių, „Intel AMT“ nelabai tinka kovai su vagimis. Biurų tinklo administravimas yra sveikintinas, tačiau kova su asmenimis, neteisėtai užvaldžiusiais turtą internetu, nėra tokia ypatinga. Panagrinėkime priemonių rinkinį, kuris teoriškai gali mums padėti kovojant už privačią nuosavybę:
- Pats savaime aišku, kad turite prieigą prie įrenginio, jei jis prijungtas kabeliu arba, jei jame įdiegta „Windows“, tada per „WiFi“. Taip, tai vaikiška, bet paprastam žmogui jau labai sunku naudotis tokiu nešiojamu kompiuteriu, net jei kažkas staiga perima kontrolę. Be to, nepaisant to, kad aš negalėjau išsiaiškinti scenarijų, tikrai galima meniškai suprojektuoti kai kurias funkcijas, skirtas blokuoti / rodyti pranešimus.
- Nuotolinis saugus trynimas naudojant „Intel Active Management“ technologiją
Naudodami šią parinktį, per kelias sekundes galite ištrinti visą informaciją iš įrenginio. Neaišku, ar jis veikia ne „Intel“ SSD. Čia Daugiau apie šią funkciją galite perskaityti. Galite grožėtis darbu . Kokybė baisi, bet tik 10 megabaitų ir esmė aiški.
Atidėto vykdymo problema lieka neišspręsta, kitaip tariant: reikia žiūrėti, kada mašina įeina į tinklą, kad prie jo prisijungtų. Tikiu, kad yra ir tam tikras sprendimas.
Idealiu atveju reikia užblokuoti nešiojamąjį kompiuterį ir rodyti kažkokį užrašą, tačiau mūsų atveju tiesiog neišvengiama prieiga, o ką daryti toliau – tik fantazijos reikalas.
Galbūt kaip nors pavyks užblokuoti automobilį ar bent parodyti žinutę, parašykite, jei žinote. Ačiū!
Nepamirškite nustatyti BIOS slaptažodžio.
Ačiū vartotojui už korektūrą!
Šaltinis: www.habr.com