TL; DR
Absolute Computrace ir tehnoloģija, kas ļauj bloķēt automašīnu (un ne ), pat ja operētājsistēma tajā tika atkārtoti instalēta vai pat cietais disks tika nomainīts, par 15 ASV dolāriem gadā. Es nopirku klēpjdatoru vietnē eBay, kas bija bloķēts ar šo lietu. Rakstā ir aprakstīta mana pieredze, kā es ar to cīnījos un mēģināju to pašu izdarīt ar Intel AMT, bet bez maksas.
Tūlīt vienosimies: es nelaužos pa atvērtām durvīm un nerakstu lekciju par šīm attālajām lietām, bet pastāstu nedaudz priekšvēstures un to, kā jebkurā situācijā ātri iegūt attālinātu piekļuvi savai mašīnai uz ceļgala (ja tā ir savienota ar tīkls, izmantojot RJ-45) vai, ja tas ir savienots, izmantojot Wi-Fi, tad tikai operētājsistēmā Windows. Tāpat pašā Intel AMT būs iespējams reģistrēt konkrēta punkta SSID, pieteikumvārdu un paroli, un pēc tam piekļuvi caur Wi-Fi varēs iegūt arī bez sistēmas sāknēšanas. Un arī, ja instalējat Intel ME draiverus uz GNU/Linux, tam visam vajadzētu darboties arī tajā. Līdz ar to nebūs iespējams attālināti bloķēt klēpjdatoru un parādīt ziņojumu (nevarēju saprast, vai tas vispār ir iespējams, izmantojot šo tehnoloģiju), bet būs piekļuve attālajai darbvirsmai un Secure Erase, un šī ir galvenais.
Taksists aizbrauca ar manu portatīvo datoru, un es nolēmu eBay iegādāties jaunu. Kas varētu noiet greizi?
No pircēja līdz zagļiem – vienā palaišanā
Atvedis mājās klēpjdatoru no pasta, ķēros pie Windows 10 priekšinstalēšanas pabeigšanas, un pēc tam man pat izdevās lejupielādēt Firefox, kad pēkšņi:
Lieliski sapratu, ka Windows distribūciju neviens nepārveidos, un, ja to izdarītu, tad viss neizskatītos tik neveikli un vispār bloķēšana būtu notikusi ātrāk. Un galu galā nebūtu jēgas neko bloķēt, jo viss tiktu izārstēts, to pārinstalējot. Labi, restartēsim.
Pārstartējiet BIOS, un tagad viss kļūst nedaudz skaidrāks:
Un visbeidzot, tas ir pilnīgi skaidrs:
Kā tas var būt, ka mans klēpjdators man traucē? Kas ir Computrace?
Stingri sakot, Computrace ir jūsu EFI BIOS moduļu komplekts, kas pēc OS Windows ielādes ievieto tajā savus Trojas zirgus, pieklauvējot pie attālā Absolute programmatūras servera un, ja nepieciešams, ļaujot bloķēt sistēmu internetā. Sīkāku informāciju varat lasīt šeit . Computrace nedarbojas ar citām operētājsistēmām, izņemot Windows. Turklāt, ja mēs savienosim disku ar BitLocker šifrētu Windows vai jebkuru citu programmatūru, Computrace atkal nedarbosies - moduļi vienkārši nevarēs iemest savus failus mūsu sistēmā.
No attāluma šādas tehnoloģijas var šķist kosmiskas, taču tikai līdz brīdim, kad uzzināsim, ka tas viss tiek darīts uz vietējā UEFI, izmantojot pusotru apšaubāmu moduļu.
Šķiet, ka šī lieta ir auksta un visvarena, līdz mēs mēģinām, piemēram, ielādēt GNU/Linux:
Šim klēpjdatoram šobrīd ir iespējota Computrace bloķēšana.
Kā saka,
Ko darīt?
Problēmas risināšanai ir četri acīmredzami vektori:
- Rakstiet pārdevējam vietnē eBay
- Rakstiet programmatūrai Absolute, Computrace radītājam un īpašniekam
- Izveidojiet izdruku no BIOS mikroshēmas, nosūtiet to shady tipiem, lai tie nosūtītu atpakaļ izgāztuvi ar ielāpu, kas deaktivizē visas bloķēšanas un izvēlnes ierīces ID
- Zvaniet Lazardam
Apskatīsim tos secībā:
- Mēs, tāpat kā visi saprātīgi cilvēki, vispirms rakstām pārdevējam, kurš mums pārdeva šādu preci, un pārrunājam problēmu ar to, kurš par to ir galvenokārt atbildīgs.
Izgatavots:
- Pēc interneta dzīlēs atklātā padomdevēja teiktā,
Jums jāsazinās ar absolūto programmatūru. Viņi vēlēsies mašīnas sērijas numuru un mātesplates sērijas numuru. Jums būs jāiesniedz arī “pirkuma apliecinājums”, piemēram, kvīts. Viņi sazināsies ar īpašnieku, kas ir reģistrēts, un saņems atļauju to noņemt. Pieņemot, ka tas nav nozagts, viņi to atzīmēs, lai to izdzēstu. Pēc tam nākamreiz, kad izveidosit savienojumu ar internetu vai būs atvērts interneta savienojums, notiks brīnums, un tas pazudīs. Nosūtiet to, ko es minēju [e-pasts aizsargāts].
mēs varam rakstīt tieši Absolute un tieši sazināties ar viņiem par atbloķēšanu. Es nesteidzos un nolēmu ķerties pie šī risinājuma tikai beigās.
- Par laimi, brutāls problēmas risinājums jau bija klāt. Šie un daudzi citi datoru atbalsta speciālisti tajā pašā eBay un pat indieši Facebook sola mums atbloķēt mūsu BIOS, ja mēs viņiem nosūtīsim izgāztuvi un nogaidīsim pāris minūtes.
Atbloķēšanas process ir aprakstīts šādi:
Beidzot ir pieejams atbloķēšanas risinājums, un tam ir nepieciešams, lai SPEG programmētājs varētu palaist BIOS.
Process ir:
- Lasiet BIOS un izveidojiet derīgu dump. Thinkpad sistēmā BIOS ir savienota ar iekšējo TPM mikroshēmu un satur unikālu tās parakstu, tāpēc ir svarīgi, lai sākotnējā BIOS būtu pareizi nolasīta, lai nodrošinātu veiksmīgu darbību un pēc tam atjaunotu BIOS.
- Ielāpojiet BIOS bināros failus un ievadiet visu smallservice.ro UEFI programmu. Šī programma nolasīs drošo eeprom, atiestatīs TPM sertifikātu un paroli, rakstīs drošu eeprom un rekonstruēs visus datus.
- Uzrakstiet laboto BIOS dump (tas darbosies tikai šajā TP btw), palaidiet klēpjdatoru un ģenerējiet aparatūras ID. Mēs nosūtīsim jums unikālu atslēgu, kas aktivizēs Allservice BIOS, savukārt BIOS ielādes laikā tā izpildīs atbloķēšanas procedūru un atbloķēs SVP un TPM.
- Visbeidzot, ierakstiet oriģinālo BIOS izdruku normālām darbībām un izbaudiet klēpjdatoru.
Ja nepieciešams, mēs varam arī atspējot Computrace vai mainīt SN/UUID un atiestatīt RFID kontrolsummas kļūdu, tādā pašā veidā izmantojot mūsu UEFI programmu.
Atbloķēšanas pakalpojuma cena ir norādīta vienai mašīnai (tāpat kā Macbook/iMac, HP, Acer utt.). Lai uzzinātu par pakalpojuma cenu un pieejamību, lūdzu, izlasiet nākamo ziņu. Jūs varat sazināties [e-pasts aizsargāts] jebkurai izmeklēšanai.
Šķiet likumīgi! Bet arī šī acīmredzamu iemeslu dēļ ir iespēja visizmisīgākajai situācijai, turklāt visa izklaide maksā 80 USD. Mēs to atstājam vēlāk.
- Ja Lazards man visu ir salauzis un lūdz atzvanīt, tad nevajag atteikties! Sāksim strādāt.
Mēs saucam Lazard jeb “pasaulē vadošo finanšu konsultāciju un aktīvu pārvaldības uzņēmumu, kas sniedz konsultācijas par apvienošanos, pārņemšanu, pārstrukturēšanu, kapitāla struktūru un stratēģiju”.
Kamēr pārdevējs no eBay atbild, es izmetu dažus dolārus par zadarmu un ar nepacietību gaidu saziņu ar, iespējams, bezdvēseliskāko sarunu biedru uz planētas — milzīgas finanšu korporācijas atbalstu no Ņujorkas. Meitene ātri paceļ klausuli, noklausās mana biedra angļu valodā kautrīgos skaidrojumus, kā es iegādājos šo portatīvo datoru, pieraksta tā sērijas numuru un apsola to iedot adminiem, kuri man atzvanīs. Šo procesu atkārto tieši divas reizes ar vienas dienas intervālu. Trešajā reizē es apzināti gaidīju līdz pulksten 10 vakarā Ņujorkā un zvanīju, ātri nolasot pazīstamos makaronus par manu pirkumu. Pēc divām stundām tā pati sieviete man atzvanīja un sāka lasīt instrukcijas:
— Noklikšķiniet uz aizbēgt.
Noklikšķinu, bet nekas nenotiek.
- Kaut kas nedarbojas, nekas nemainās.
- Nospiediet.
- Es nospiežu.
— Tagad ievadiet: 72406917
Es ieeju. Nekas nenotiek.
- Zini, es baidos, ka tas nepalīdzēs... Uz mirkli...
Klēpjdators pēkšņi pārstartējas, sistēma sāk darboties, kaitinošais baltais ekrāns ir kaut kur pazudis. Lai pārliecinātos, es ieeju BIOS, Computrace nav aktivizēts. Šķiet, ka viss. Paldies par atbalstu, rakstu pārdevējam, ka pats atrisināju visus jautājumus un atpūties.
OpenMakeshift Computrace Intel AMT bāzes
Notikušais mani apbēdināja, bet man šī ideja patika, manas fantomas sāpes par viduvēji pazaudēto meklēja kādu izeju, es gribēju aizsargāt savu jauno portatīvo datoru, it kā tas man atdotu veco. Ja kāds izmanto Computrace, tad es arī varu to izmantot, vai ne? Galu galā bija Intel Anti-Theft, pēc apraksta - izcila tehnoloģija, kas strādā kā nākas, bet to nogalināja tirgus inerce, taču alternatīvai ir jābūt. Izrādījās, ka šī alternatīva sākās tajā pašā vietā, kur tā beidzās – tikai Absolute programmatūra spēja nostiprināties šajā jomā.
Vispirms atcerēsimies, kas ir Intel AMT: šis ir bibliotēku komplekts, kas ir daļa no Intel ME, iebūvēts EFI BIOS, lai administrators kādā birojā varētu, nepieceļoties no krēsla, darbināt tīklā esošās iekārtas, pat ja tie netiek sāknēti, attālināti savienojot ar ISO, kontrolējot, izmantojot attālo darbvirsmu, utt.
Tas viss darbojas Minix un aptuveni šādā līmenī:
Invisible Things Lab ierosināja Intel vPro / Intel AMT tehnoloģijas funkcionalitāti saukt par aizsardzības gredzenu -3. Šīs tehnoloģijas ietvaros mikroshēmojumos, kas atbalsta vPro tehnoloģiju, ir neatkarīgs mikroprocesors (ARC4 arhitektūra), tiem ir atsevišķs interfeiss ar tīkla karti, ekskluzīva piekļuve speciālai RAM sadaļai (16 MB) un DMA piekļuve galvenajai RAM. Programmas tajā tiek izpildītas neatkarīgi no centrālā procesora; programmaparatūra tiek saglabāta kopā ar BIOS kodiem vai līdzīgā SPI zibatmiņā (kodam ir kriptogrāfisks paraksts). Daļa no programmaparatūras ir iebūvēts tīmekļa serveris. Pēc noklusējuma AMT ir atspējots, taču daži kodi joprojām darbojas šajā režīmā, pat ja AMT ir atspējots. Zvana kods -3 ir aktīvs pat S3 miega režīmā.
Tas izklausās vilinoši, jo šķiet, ka, ja mēs ar Intel AMT varēsim izveidot apgrieztu savienojumu ar kādu administratora paneli, mēs varēsim piekļūt ne sliktāk kā Computrace (patiesībā nē).
Mēs savā datorā aktivizējam Intel AMT
Pirmkārt, daži no jums, iespējams, vēlētos pieskarties šim AMT ar savām rokām, un šeit sākas nianses. Pirmkārt: jums ir nepieciešams procesors, kas to atbalsta. Par laimi, ar šo problēmu nav (ja vien jums nav AMD), jo vPro ir pievienots gandrīz visiem Intel i5, i7 un i9 procesoriem (var redzēt ) kopš 2006. gada, un normālu VNC tur atveda jau 2010. gadā. Otrkārt: ja jums ir galddators, tad jums ir nepieciešama mātesplate, kas atbalsta šo funkcionalitāti, proti, ar Q mikroshēmojumu. Portatīvajos datoros mums ir jāzina tikai procesora modelis. Ja atrodat atbalstu Intel AMT, tad tā ir laba zīme un varēsiet lietot šeit iegūtos iestatījumus. Ja nē, tad vai nu nepaveicās/apzināti izvēlējāties procesoru vai čipsetu bez šīs tehnoloģijas atbalsta, vai arī veiksmīgi ietaupījāt naudu izvēloties AMD, kas arī ir iemesls priekam.
Saskaņā ar dokumentiem
Nedrošajā režīmā Intel AMT ierīces klausās portā 16992.
TLS režīmā Intel AMT ierīces klausās portā 16993.
Intel AMT pieņem savienojumus portos 16992 un 16993. Pārcelsimies uz turieni.
Jums jāpārbauda, vai BIOS ir iespējots Intel AMT:
Tālāk mums ir jāpārstartē un ielādes laikā jānospiež Ctrl + P
Standarta parole, kā parasti, admin.
Nekavējoties nomainiet paroli Intel ME vispārīgajos iestatījumos. Pēc tam Intel AMT konfigurācijā iespējojiet Aktivizēt tīkla piekļuvi. Gatavs. Tagad jums ir oficiāli aizmugures durvis. Mēs ielādējamies sistēmā.
Tagad svarīga nianse: loģiski, ka mēs varam piekļūt Intel AMT no localhost un attālināti, bet nē. Intel saka, ka varat izveidot savienojumu lokāli un mainīt iestatījumus, izmantojot , bet man tas kategoriski atteicās izveidot savienojumu, tāpēc mans savienojums darbojās tikai attālināti.
Mēs paņemam kādu ierīci un izveidojam savienojumu, izmantojot : 16992
Tas izskatās šādi:
Laipni lūdzam standarta Intel AMT saskarnē! Kāpēc "standarta"? Jo tas ir saīsināts un mūsu mērķiem pilnīgi nederīgs, un mēs izmantosim ko nopietnāku.
Iepazīšanās ar MeshCommander
Kā parasti, lielie uzņēmumi kaut ko dara, un galalietotāji to pārveido, lai tie atbilstu sev. Tā arī notika šeit.
Šis pieticīgais (bez pārspīlējuma: viņa vārda nav viņa vietnē, man tas bija jāmeklē Google) vīrietis Ylians Sen-Hilērs ir izstrādājis brīnišķīgus rīkus darbam ar Intel AMT.
Es vēlētos nekavējoties pievērst jūsu uzmanību viņam , savos video viņš vienkārši un uzskatāmi reāllaikā parāda, kā veikt noteiktus ar Intel AMT un tā programmatūru saistītus uzdevumus.
Sāksim ar . Lejupielādējiet, instalējiet un mēģiniet izveidot savienojumu ar mūsu mašīnu:
Process nenotiek acumirklī, bet rezultātā mēs iegūsim šādu ekrānu:
Nav jau tā, ka esmu paranoiķis, bet sensitīvus datus izdzēsīšu, piedodiet par tādu koķetēriju
Atšķirība, kā saka, ir acīmredzama. Es nezinu, kāpēc Intel vadības panelim nav šāda funkciju kopuma, bet fakts ir tāds, ka Ylians Sen-Hilērs no dzīves iegūst ievērojami vairāk. Turklāt jūs varat instalēt tā tīmekļa saskarni tieši programmaparatūrā, tas ļaus jums izmantot visas funkcijas bez utilīta.
Tas tiek darīts šādi:
Jāatzīmē, ka neesmu izmantojis šo funkcionalitāti (pielāgots tīmekļa interfeiss) un nevaru neko teikt par tās efektivitāti un veiktspēju, jo tā nav nepieciešama manām vajadzībām.
Ar funkcionalitāti var paspēlēties, diez vai visu sabojāsi, jo visa šī festivāla sākuma un beigu sākumpunkts ir BIOS, kurā pēc tam visu var atiestatīt, atspējojot Intel AMT.
Izvietojiet MeshCentral un ieviesiet BackConnect
Un te sākas pilnīga galvas krišana. Mans onkulis mūsu Trojas zirgam ne tikai uztaisīja klientu, bet arī veselu admin paneli! Un viņš to ne tikai izdarīja, bet .
Sāciet darbu, instalējot savu MeshCentral serveri vai, ja neesat pazīstams ar MeshCentral, varat izmēģināt publisko serveri uz savu risku vietnē MeshCentral.com.
Tas pozitīvi runā par tā koda uzticamību, jo es nevarēju atrast ziņas par uzlaušanu vai noplūdēm pakalpojuma darbības laikā.
Personīgi es savā serverī izmantoju MeshCentral, jo es nepamatoti uzskatu, ka tas ir uzticamāks, taču tajā nav nekā, izņemot iedomību un gara vājumu. Ja arī gribi, tad ir dokumenti un konteiners ar MeshCentral. Dokumentos ir aprakstīts, kā to visu savienot NGINX, lai ieviešana būtu viegli integrējama jūsu mājas serveros.
Reģistrējies , dodieties uz iekšu un izveidojiet ierīču grupu, atlasot opciju “bez aģenta”:
Kāpēc "nav aģents"? Jo kāpēc mums tas ir vajadzīgs, lai instalētu kaut ko nevajadzīgu, nav skaidrs, kā tas uzvedas un kā tas darbosies.
Noklikšķiniet uz “Pievienot CIRA”:
Lejupielādējiet cira_setup_test.mescript un izmantojiet to mūsu MeshCommander šādi:
Voila! Pēc kāda laika mūsu mašīna izveidos savienojumu ar MeshCentral, un mēs ar to varēsim kaut ko darīt.
Pirmkārt: jums jāzina, ka mūsu programmatūra tāpat vien nepiesitīs attālajam serverim. Tas ir saistīts ar faktu, ka Intel AMT ir divas savienojuma iespējas - izmantojot attālo serveri un tieši lokāli. Viņi nedarbojas vienlaikus. Mūsu skripts jau ir konfigurējis sistēmu attālinātam darbam, taču, iespējams, būs nepieciešams izveidot savienojumu lokāli. Lai izveidotu savienojumu lokāli, jums jāiet šeit
uzrakstiet rindiņu, kas ir jūsu lokālais domēns (ņemiet vērā, ka mūsu skripts tur JAU ir ievietojis kādu nejaušu rindiņu, lai savienojumu varētu izveidot attālināti) vai notīriet visas rindas pavisam (bet tad attālais savienojums nebūs pieejams). Piemēram, mans lokālais domēns OpenWrt ir lan:
Attiecīgi, ja mēs tur ievadīsim lan un ja mūsu mašīna ir pieslēgta tīklam ar šo lokālo domēnu, tad attālais savienojums nebūs pieejams, bet lokālie porti 16992 un 16993 atvērsies un pieņems savienojumus. Īsāk sakot, ja ir kaut kādas muļķības, kas nav saistītas ar jūsu vietējo domēnu, tad programmatūra kļūdās, ja nē, tad jums pašam ar to jāpievienojas caur vadu, tas arī viss.
Otrkārt:
Viss ir gatavs!
Jūs varat jautāt - kur ir AntiTheft? Kā jau teicu sākumā, Intel AMT nav īpaši piemērots cīņai ar zagļiem. Biroju tīkla administrēšana ir apsveicama, taču cīņa ar personām, kuras ar interneta starpniecību nelikumīgi pārņēmušas īpašumu, nav tik īpaša. Apskatīsim rīku komplektu, kas teorētiski var mums palīdzēt cīņā par privātīpašumu:
- Pats par sevi ir skaidrs, ka jums ir piekļuve mašīnai, ja tā ir savienota ar kabeli vai, ja tai ir instalēta Windows, tad caur WiFi. Jā, tas ir bērnišķīgi, taču parastam cilvēkam jau ir ļoti grūti izmantot šādu klēpjdatoru, pat ja kāds pēkšņi pārņem vadību. Turklāt, neskatoties uz to, ka es nevarēju izdomāt skriptus, noteikti ir iespējams mākslinieciski noformēt kādu funkcionalitāti paziņojumu bloķēšanai/rādīšanai tajos.
- Attālā droša dzēšana ar Intel Active Management tehnoloģiju
Izmantojot šo opciju, jūs varat dzēst visu informāciju no iekārtas dažu sekunžu laikā. Nav skaidrs, vai tas darbojas uz SSD, kas nav Intel. Šeit Jūs varat lasīt vairāk par šo funkciju. Jūs varat apbrīnot darbu . Kvalitāte drausmīga, bet tikai 10 megabaiti un būtība skaidra.
Atliktās izpildes problēma joprojām nav atrisināta, citiem vārdiem sakot: jums ir jāskatās, kad iekārta nonāk tīklā, lai ar to izveidotu savienojumu. Es uzskatu, ka arī šim ir kāds risinājums.
Ideālā gadījumā jums ir jābloķē klēpjdators un jāparāda kaut kāds uzraksts, taču mūsu gadījumā mums vienkārši ir neizbēgama piekļuve, un tālākais ir iztēles jautājums.
Varbūt jūs kaut kā varēsiet bloķēt automašīnu vai vismaz parādīt ziņojumu, rakstiet, ja zināt. Paldies!
Neaizmirstiet iestatīt BIOS paroli.
Paldies lietotājam par korektūru!
Avots: www.habr.com