TL; DR
Absolute Computrace ialah teknologi yang membolehkan anda mengunci kereta anda (dan bukan ), walaupun jika sistem pengendalian dipasang semula padanya atau pemacu keras telah diganti, dengan harga $15 setahun. Saya membeli komputer riba di eBay yang dikunci dengan perkara ini. Artikel itu menerangkan pengalaman saya, bagaimana saya bergelut dengannya dan cuba melakukan perkara yang sama pada Intel AMT, tetapi secara percuma.
Mari kita segera bersetuju: Saya tidak menceroboh pintu terbuka dan tidak menulis kuliah mengenai perkara terpencil ini, tetapi memberitahu sedikit latar belakang dan cara cepat mendapatkan akses jauh ke mesin anda pada lutut anda dalam apa jua keadaan (jika ia disambungkan ke rangkaian melalui RJ-45) atau, jika ia disambungkan melalui Wi-Fi, maka hanya dalam OS Windows. Juga, adalah mungkin untuk mendaftarkan SSID, log masuk dan kata laluan titik tertentu dalam Intel AMT itu sendiri, dan kemudian akses melalui Wi-Fi juga boleh diperoleh tanpa but ke dalam sistem. Dan juga, jika anda memasang pemacu untuk Intel ME pada GNU/Linux, maka semua ini harus berfungsi padanya juga. Akibatnya, tidak mungkin untuk mengunci komputer riba dari jauh dan memaparkan mesej (saya tidak dapat mengetahui sama ada ini boleh dilakukan menggunakan teknologi ini), tetapi akan ada akses kepada desktop jauh dan Padam Selamat, dan ini adalah perkara utama.
Pemandu teksi pergi dengan komputer riba saya dan saya memutuskan untuk membeli yang baru di eBay. Apa yang boleh berlaku?
Daripada pembeli kepada pencuri - dalam satu pelancaran
Setelah membawa pulang komputer riba dari pejabat pos, saya mula menyelesaikan prapemasangan Windows 10, dan selepas itu saya berjaya memuat turun Firefox, apabila tiba-tiba:
Saya faham dengan baik bahawa tiada siapa yang akan mengubah suai pengedaran Windows, dan jika mereka melakukannya, maka semuanya tidak akan kelihatan begitu kekok dan secara umum penyekatan akan berlaku lebih cepat. Dan, pada akhirnya, tidak ada gunanya menyekat apa-apa, kerana semuanya akan sembuh dengan memasang semula. Baiklah, mari kita but semula.
But semula ke BIOS, dan kini semuanya menjadi lebih jelas:
Dan akhirnya, ia benar-benar jelas:
Bagaimanakah komputer riba saya sendiri mengganggu saya? Apa itu Computrace?
Tegasnya, Computrace ialah satu set modul dalam BIOS EFI anda yang, selepas memuatkan OS Windows, masukkan Trojan mereka ke dalamnya, mengetuk pelayan perisian Absolute jauh dan membenarkan, jika perlu, untuk menyekat sistem melalui Internet. Anda boleh membaca butiran lanjut di sini . Computrace tidak berfungsi dengan sistem pengendalian selain Windows. Lebih-lebih lagi, jika kami menyambungkan pemacu dengan Windows yang disulitkan oleh BitLocker, atau mana-mana perisian lain, maka Computrace tidak akan berfungsi lagi - modul itu tidak akan dapat membuang fail mereka ke dalam sistem kami.
Dari jauh, teknologi sedemikian mungkin kelihatan kosmik, tetapi hanya sehingga kita mengetahui bahawa semua ini dilakukan pada UEFI asli menggunakan satu setengah modul yang meragukan.
Perkara ini kelihatan sejuk dan berkuasa sehingga kita mencuba, sebagai contoh, boot ke GNU/Linux:
Komputer riba ini mempunyai penguncian Computrace didayakan sekarang.
Seperti kata pepatah,
Apa yang perlu dilakukan?
Terdapat empat vektor yang jelas untuk menyelesaikan masalah:
- Tulis kepada penjual di eBay
- Tulis kepada perisian Absolute, pencipta dan pemilik Computrace
- Buat longgokan daripada cip BIOS, hantarkannya kepada jenis rendang supaya mereka menghantar semula longgokan dengan tampalan yang menyahaktifkan semua kunci dan menu ID peranti
- Panggil Lazard
Mari lihat mereka mengikut urutan:
- Kami, seperti semua orang yang munasabah, mula-mula menulis kepada penjual yang menjual produk sedemikian kepada kami dan membincangkan masalah itu dengan orang yang bertanggungjawab terhadapnya.
Dibuat:
- Menurut seorang penasihat yang ditemui di kedalaman Internet,
Anda perlu menghubungi perisian mutlak. Mereka akan mahukan nombor siri mesin dan nombor siri papan induk. Anda juga perlu membekalkan "bukti pembelian", seperti resit. Mereka akan menghubungi pemilik yang mereka ada dalam fail dan mendapatkan OK untuk mengalih keluarnya. Dengan mengandaikan ia tidak dicuri, mereka kemudiannya akan "membenderakannya untuk dipadam". Selepas itu, apabila anda menyambung ke internet atau mempunyai sambungan internet yang terbuka, keajaiban akan berlaku dan ia akan hilang. Hantar barang yang saya nyatakan [e-mel dilindungi].
kita boleh menulis terus kepada Mutlak dan berkomunikasi terus dengan mereka tentang membuka kunci. Saya mengambil masa saya dan memutuskan untuk menggunakan penyelesaian ini hanya menjelang akhir.
- Nasib baik, penyelesaian kejam untuk masalah itu sudah ada. Yang ini dan ramai pakar sokongan komputer lain di eBay yang sama dan juga orang India di Facebook berjanji kepada kami untuk membuka kunci BIOS kami jika kami menghantar mereka pembuangan dan menunggu beberapa minit.
Proses membuka kunci diterangkan seperti berikut:
Penyelesaian membuka kunci akhirnya tersedia dan memerlukan pengaturcara SPEG untuk dapat menyalakan BIOS.
Prosesnya adalah:
- Membaca BIOS dan mencipta dump yang sah. Dalam Thinkpad, BIOS berkahwin dengan cip TPM dalaman dan mengandungi tandatangan uniknya, jadi adalah penting bahawa BIOS asal menjadi bacaan yang betul untuk kejayaan keseluruhan operasi dan memulihkan BIOS selepas itu.
- Menampal binari BIOS dan menyuntik program UEFI all smallservice.ro. Program ini akan membaca eeprom selamat, menetapkan semula sijil dan kata laluan TPM, menulis eeprom selamat dan membina semula semua data.
- Tulis dump BIOS yang ditampal (ini hanya akan berfungsi dalam TP itu), mulakan komputer riba dan jana ID Perkakasan. Kami akan menghantar kunci unik kepada anda yang akan mengaktifkan Allservice BIOS, semasa BIOS memuatkan ia akan melaksanakan rutin buka kunci dan membuka kunci SVP dan TPM.
- Akhir sekali, tulis semula pembuangan BIOS asal untuk operasi biasa dan nikmati komputer riba.
Kami juga boleh melumpuhkan Computrace atau menukar SN/UUID dan menetapkan semula ralat checksum RFID dengan menggunakan program UEFI kami dengan cara yang sama, jika perlu
Harga perkhidmatan buka kunci adalah setiap mesin (seperti yang kami lakukan untuk Macbook/iMac, HP, Acer, dll) Untuk harga perkhidmatan dan ketersediaan sila baca siaran seterusnya di bawah. Anda boleh menghubungi [e-mel dilindungi] untuk sebarang pertanyaan.
Nampak legit! Tetapi ini juga, atas sebab yang jelas, adalah pilihan untuk situasi yang paling terdesak, dan selain itu, semua keseronokan berharga $80. Kita tinggalkan untuk kemudian.
- Jika Lazard telah memecahkan segala-galanya untuk saya dan meminta saya menghubungi anda semula, maka anda tidak sepatutnya menolak! Mari berniaga.
Kami memanggil Lazard aka "firma penasihat kewangan dan pengurusan aset terkemuka di dunia, memberi nasihat mengenai penggabungan, pengambilalihan, penstrukturan semula, struktur modal dan strategi"
Sementara penjual dari eBay bertindak balas, saya membuang sedikit wang pada zadarma dan berharap untuk berkomunikasi dengan mungkin rakan sembang yang paling tidak berjiwa di planet ini - sokongan sebuah syarikat kewangan besar dari New York. Gadis itu dengan pantas mengangkat telefon, mendengar dalam bahasa Inggeris rakan seperjuangan saya untuk penjelasan malu tentang cara saya membeli komputer riba ini, menulis nombor sirinya dan berjanji untuk memberikannya kepada pentadbir, yang akan menghubungi saya semula. Proses ini diulang tepat dua kali, selang sehari. Kali ketiga, saya sengaja menunggu sehingga pukul 10 malam di New York dan menelefon, dengan cepat membaca pasta yang biasa saya beli. Dua jam kemudian wanita yang sama memanggil saya kembali dan mula membaca arahan:
β Klik melarikan diri.
Saya klik tetapi tiada apa yang berlaku.
- Sesuatu tidak berfungsi, tiada perubahan.
- Tekan.
- Saya tekan.
β Sekarang masukkan: 72406917
saya masuk. Tiada apa yang berlaku.
- Anda tahu, saya takut ini tidak akan membantu... Hanya satu minit...
Komputer riba tiba-tiba reboot, sistem but, skrin putih yang menjengkelkan telah hilang entah ke mana. Yang pasti, saya masuk ke BIOS, Computrace tidak diaktifkan. Nampaknya itu sahaja. Terima kasih atas sokongan anda, saya menulis kepada penjual bahawa saya menyelesaikan semua masalah sendiri dan berehat.
OpenMakeshift Computrace berasaskan Intel AMT
Apa yang berlaku mengecewakan saya, tetapi saya menyukai idea itu, kesakitan hantu saya kerana kehilangan yang biasa-biasa saja sedang mencari jalan keluar, saya ingin melindungi komputer riba baru saya, seolah-olah ia akan mengembalikan yang lama kepada saya. Jika seseorang menggunakan Computrace, saya boleh menggunakannya juga, bukan? Lagipun, terdapat Intel Anti-Theft, mengikut penerangan - teknologi yang sangat baik yang berfungsi sebagaimana mestinya, tetapi ia dibunuh oleh inersia pasaran, tetapi mesti ada alternatif. Ternyata alternatif ini bermula di tempat yang sama di mana ia berakhir - hanya perisian Mutlak yang dapat bertapak dalam bidang ini.
Mula-mula, mari kita ingat apa itu Intel AMT: ini adalah satu set perpustakaan yang merupakan sebahagian daripada Intel ME, dibina ke dalam EFI BIOS, supaya pentadbir di sesetengah pejabat boleh, tanpa bangun dari kerusinya, mengendalikan mesin pada rangkaian, walaupun mereka tidak boot , menyambungkan ISO dari jauh, mengawal melalui desktop jauh, dsb.
Semua ini berjalan pada Minix dan pada kira-kira tahap ini:
Invisible Things Lab mencadangkan untuk memanggil fungsi teknologi Intel vPro / Intel AMT sebagai cincin perlindungan -3. Sebagai sebahagian daripada teknologi ini, set cip yang menyokong teknologi vPro mengandungi mikropemproses bebas (seni bina ARC4), mempunyai antara muka yang berasingan kepada kad rangkaian, akses eksklusif kepada bahagian khusus RAM (16 MB) dan akses DMA kepada RAM utama. Program di atasnya dilaksanakan secara bebas daripada pemproses pusat; perisian tegar disimpan bersama kod BIOS atau pada memori kilat SPI yang serupa (kod itu mempunyai tandatangan kriptografi). Sebahagian daripada perisian tegar ialah pelayan web terbina dalam. Secara lalai, AMT dilumpuhkan, tetapi beberapa kod masih berjalan dalam mod ini walaupun AMT dilumpuhkan. Kod dering -3 aktif walaupun dalam mod kuasa Tidur S3.
Ini terdengar menggoda, kerana nampaknya jika kita boleh mewujudkan sambungan terbalik ke beberapa panel pentadbir menggunakan Intel AMT, kita akan dapat mengakses tidak lebih buruk daripada Computrace (sebenarnya, tidak).
Kami mengaktifkan Intel AMT pada mesin kami
Pertama, sesetengah daripada anda mungkin ingin menyentuh AMT ini dengan tangan anda sendiri, dan di sini nuansa bermula. Pertama: anda memerlukan pemproses yang menyokongnya. Nasib baik, tiada masalah dengan ini (melainkan anda mempunyai AMD), kerana vPro ditambah kepada hampir semua pemproses Intel i5, i7 dan i9 (anda boleh lihat ) sejak 2006, dan VNC biasa telah dibawa ke sana pada tahun 2010. Kedua: jika anda mempunyai desktop, maka anda memerlukan motherboard yang menyokong fungsi ini, iaitu dengan chipset Q. Dalam komputer riba, kita hanya perlu mengetahui model pemproses. Jika anda mendapat sokongan untuk Intel AMT, maka ini adalah petanda yang baik dan anda akan dapat menggunakan tetapan yang diperoleh di sini. Jika tidak, maka sama ada anda tidak bernasib baik/anda sengaja memilih pemproses atau chipset tanpa sokongan untuk teknologi ini, atau anda berjaya menjimatkan wang dengan memilih AMD, yang juga merupakan sebab kegembiraan.
Mengikut dokumen
Dalam mod tidak selamat, peranti Intel AMT mendengar pada port 16992.
Dalam mod TLS, peranti Intel AMT mendengar pada port 16993.
Intel AMT menerima sambungan pada port 16992 dan 16993. Mari kita beralih ke sana.
Anda perlu menyemak sama ada Intel AMT didayakan dalam BIOS:
Seterusnya kita perlu but semula dan tekan Ctrl + P semasa memuatkan
Kata laluan standard, seperti biasa, admin.
Segera tukar kata laluan dalam Tetapan Umum Intel ME. Seterusnya, dalam Konfigurasi Intel AMT, dayakan Aktifkan Akses Rangkaian. sedia. Anda kini secara rasmi ditutup. Kami sedang memuatkan ke dalam sistem.
Kini nuansa penting: secara logiknya, kita boleh mengakses Intel AMT dari localhost dan dari jauh, tetapi tidak. Intel mengatakan bahawa anda boleh menyambung secara tempatan dan menukar tetapan menggunakan , tetapi bagi saya ia enggan menyambung, jadi sambungan saya hanya berfungsi dari jauh.
Kami mengambil beberapa peranti dan menyambung melalui : 16992
Ia kelihatan seperti ini:
Selamat datang ke antara muka Intel AMT standard! Mengapa "standard"? Kerana ia dipotong dan tidak berguna sama sekali untuk tujuan kita, dan kita akan menggunakan sesuatu yang lebih serius.
Mengenali MeshCommander
Seperti biasa, syarikat besar melakukan sesuatu, dan pengguna akhir mengubah suainya untuk disesuaikan dengan diri mereka sendiri. Itulah yang berlaku di sini juga.
Lelaki sederhana ini (tidak keterlaluan: namanya tiada di tapak webnya, saya terpaksa Google) lelaki bernama Ylian Saint-Hilaire ini telah membangunkan alatan hebat untuk bekerja dengan Intel AMT.
Saya ingin segera menarik perhatian anda kepadanya , dalam videonya dia secara ringkas dan jelas menunjukkan dalam masa nyata cara melaksanakan tugas tertentu yang berkaitan dengan Intel AMT dan perisiannya.
Mari mulakan dengan . Muat turun, pasang dan cuba sambungkan ke mesin kami:
Prosesnya tidak serta-merta, tetapi sebagai hasilnya kita akan mendapat skrin ini:
Bukan saya paranoid, tetapi saya akan memadamkan data sensitif, maafkan saya atas kecuaian sedemikian
Perbezaannya, seperti yang mereka katakan, adalah jelas. Saya tidak tahu mengapa Panel Kawalan Intel tidak mempunyai set fungsi sedemikian, tetapi hakikatnya Ylian Saint-Hilaire mendapat lebih banyak daripada kehidupan. Selain itu, anda boleh memasang antara muka webnya terus ke dalam perisian tegar, ia akan membolehkan anda menggunakan semua fungsi tanpa utiliti.
Ini dilakukan seperti ini:
Saya harus ambil perhatian bahawa saya tidak menggunakan fungsi ini (Antara muka web tersuai) dan tidak boleh mengatakan apa-apa tentang keberkesanan dan prestasinya, kerana ia tidak diperlukan untuk keperluan saya.
Anda boleh bermain-main dengan fungsi, tidak mungkin anda akan merosakkan segala-galanya, kerana titik permulaan dan akhir keseluruhan festival ini adalah BIOS, di mana anda boleh menetapkan semula segala-galanya dengan melumpuhkan Intel AMT.
Gunakan MeshCentral dan laksanakan BackConnect
Dan di sini kejatuhan lengkap kepala bermula. Bapa saudara saya bukan sahaja membuat pelanggan, tetapi juga panel pentadbir keseluruhan untuk Trojan kami! Dan dia bukan sahaja melakukannya, tetapi .
Mulakan dengan memasang pelayan MeshCentral anda sendiri atau jika anda tidak biasa dengan MeshCentral, anda boleh mencuba pelayan awam atas risiko anda sendiri di MeshCentral.com.
Ini bercakap secara positif tentang kebolehpercayaan kodnya, kerana saya tidak menemui sebarang berita tentang penggodaman dan kebocoran semasa operasi perkhidmatan.
Secara peribadi, saya menjalankan MeshCentral pada pelayan saya kerana saya secara tidak munasabah percaya bahawa ia lebih dipercayai, tetapi tidak ada apa-apa di dalamnya kecuali kesombongan dan kelesuan semangat. Jika anda juga mahu, maka terdapat dokumen dan bekas dengan MeshCentral. Dokumen menerangkan cara untuk mengikat semuanya bersama-sama dalam NGINX, jadi pelaksanaan akan mudah disepadukan ke dalam pelayan rumah anda.
Daftar pada , masuk dan buat Kumpulan Peranti dengan memilih pilihan "tiada ejen":
Kenapa "tiada ejen"? Kerana mengapa kita memerlukannya untuk memasang sesuatu yang tidak perlu, tidak jelas bagaimana ia berkelakuan dan bagaimana ia akan berfungsi.
Klik "Tambah CIRA":
Muat turun cira_setup_test.mescript dan gunakannya dalam MeshCommander kami seperti ini:
Voila! Selepas beberapa lama, mesin kami akan bersambung ke MeshCentral dan kami boleh melakukan sesuatu dengannya.
Pertama: anda harus tahu bahawa perisian kami tidak akan mengetuk pelayan jauh begitu sahaja. Ini disebabkan oleh fakta bahawa Intel AMT mempunyai dua pilihan untuk menyambung - melalui pelayan jauh dan secara langsung secara tempatan. Mereka tidak bekerja pada masa yang sama. Skrip kami telah pun mengkonfigurasi sistem untuk kerja jauh, tetapi anda mungkin perlu menyambung secara setempat. Untuk anda menyambung secara setempat, anda perlu pergi ke sini
tulis baris yang merupakan domain tempatan anda (perhatikan bahawa skrip kami SUDAH menyisipkan beberapa baris rawak di sana supaya sambungan boleh dibuat dari jauh) atau kosongkan semua baris sama sekali (tetapi sambungan jauh tidak akan tersedia). Sebagai contoh, domain tempatan saya dalam OpenWrt ialah lan:
Sehubungan itu, jika kami memasuki lan di sana, dan jika mesin kami disambungkan ke rangkaian dengan domain tempatan ini, maka sambungan jauh tidak akan tersedia, tetapi port tempatan 16992 dan 16993 akan dibuka dan menerima sambungan. Pendek kata, jika terdapat beberapa jenis karut yang tidak berkaitan dengan domain tempatan anda, maka perisian itu menyadap, jika tidak, maka anda perlu menyambungkannya sendiri melalui wayar, itu sahaja.
Kedua:
Semua sudah sedia!
Anda mungkin bertanya - di manakah AntiTheft? Seperti yang saya katakan pada mulanya, Intel AMT tidak begitu sesuai untuk melawan pencuri. Mentadbir rangkaian pejabat adalah dialu-alukan, tetapi bergaduh dengan individu yang telah mengambil milikan harta secara tidak sah melalui Internet tidaklah begitu istimewa. Mari kita pertimbangkan kit alat yang, secara teori, boleh membantu kita dalam memperjuangkan harta persendirian:
- Dengan sendirinya, jelas bahawa anda mempunyai akses kepada mesin jika ia disambungkan melalui kabel, atau, jika Windows dipasang padanya, kemudian melalui WiFi. Ya, ia kebudak-budakan, tetapi sudah sangat sukar bagi orang biasa untuk menggunakan komputer riba sedemikian, walaupun seseorang tiba-tiba mengambil alih kawalan. Lebih-lebih lagi, walaupun pada hakikatnya saya tidak dapat mengetahui skrip, sudah tentu mungkin untuk mereka bentuk secara artistik beberapa fungsi untuk menyekat/memaparkan pemberitahuan pada mereka.
- Padam Jauh Jauh dengan Teknologi Pengurusan Aktif Intel
Menggunakan pilihan ini, anda boleh memadam semua maklumat daripada mesin dalam beberapa saat. Tidak jelas sama ada ia berfungsi pada SSD bukan Intel. Di sini Anda boleh membaca lebih lanjut mengenai fungsi ini. Anda boleh mengagumi karya itu . Kualitinya sangat teruk, tetapi hanya 10 megabait dan intipatinya jelas.
Masalah pelaksanaan tertunda masih tidak dapat diselesaikan, dengan kata lain: anda perlu menonton apabila mesin memasuki rangkaian untuk menyambung kepadanya. Saya percaya bahawa terdapat beberapa penyelesaian untuk ini juga.
Dalam pelaksanaan yang ideal, anda perlu menyekat komputer riba dan memaparkan beberapa jenis inskripsi, tetapi dalam kes kami, kami hanya mempunyai akses yang tidak dapat dielakkan, dan apa yang perlu dilakukan seterusnya adalah masalah imaginasi.
Mungkin anda entah bagaimana boleh menyekat kereta atau sekurang-kurangnya memaparkan mesej, tulis jika anda tahu. Terima kasih!
Jangan lupa untuk menetapkan kata laluan untuk BIOS.
Terima kasih kepada pengguna untuk semakan pruf!
Sumber: www.habr.com