TL; DR
Absolute Computrace is een technologie waarmee u uw auto kunt vergrendelen (en niet). ), zelfs als het besturingssysteem er opnieuw op werd geïnstalleerd of zelfs de harde schijf werd vervangen, voor $ 15 per jaar. Ik kocht een laptop op eBay die met dit ding op slot zat. Het artikel beschrijft mijn ervaring, hoe ik ermee worstelde en probeerde hetzelfde te doen op basis van Intel AMT, maar dan gratis.
Laten we het er meteen over eens zijn: ik ga niet in open deuren inbreken en geen lezing schrijven over deze afgelegen dingen, maar ik vertel wat achtergrondinformatie en hoe je in elke situatie snel op afstand toegang kunt krijgen tot je machine op je knie (als deze is verbonden met de netwerk via RJ-45) of, als deze via Wi-Fi is verbonden, dan alleen in OS Windows. Ook zal het mogelijk zijn om de SSID, login en wachtwoord van een specifiek punt in Intel AMT zelf te registreren, en dan kan ook toegang via Wi-Fi worden verkregen zonder het systeem op te starten. En als je stuurprogramma's voor Intel ME op GNU/Linux installeert, zou dit allemaal ook moeten werken. Als gevolg hiervan zal het niet mogelijk zijn om een laptop op afstand te vergrendelen en een bericht weer te geven (ik kon er niet achter komen of dit zelfs mogelijk is met deze technologie), maar er zal toegang zijn tot een extern bureaublad en Secure Erase, en dit is het belangrijkste.
De taxichauffeur vertrok met mijn laptop en ik besloot een nieuwe te kopen op eBay. Wat kan er fout gaan?
Van koper tot dief - in één lancering
Nadat ik een laptop van het postkantoor had meegebracht, begon ik met het voltooien van de pre-installatie van Windows 10, en daarna slaagde ik er zelfs in om Firefox te downloaden, toen plotseling:
Ik begreep heel goed dat niemand de Windows-distributie zou wijzigen, en als ze dat wel zouden doen, zou alles er niet zo onhandig uitzien en zou de blokkering over het algemeen sneller zijn gebeurd. En uiteindelijk zou het geen zin hebben om iets te blokkeren, omdat alles zou worden genezen door het opnieuw te installeren. Oké, laten we opnieuw opstarten.
Start opnieuw op in het BIOS en nu wordt alles een beetje duidelijker:
En tenslotte is het volkomen duidelijk:
Hoe komt het dat ik last heb van mijn eigen laptop? Wat is Computrace?
Strikt genomen is Computrace een reeks modules in uw EFI BIOS die, na het laden van OS Windows, hun Trojaanse paarden erin plaatsen, op de externe Absolute-softwareserver kloppen en, indien nodig, het systeem via internet kunnen blokkeren. Meer details kunt u hier lezen . Computrace werkt niet met andere besturingssystemen dan Windows. Bovendien, als we een schijf aansluiten met Windows gecodeerd door BitLocker of andere software, zal Computrace niet meer werken - de modules zullen eenvoudigweg niet in staat zijn om hun bestanden in ons systeem te plaatsen.
Van een afstand lijken dergelijke technologieën misschien kosmisch, maar alleen totdat we erachter komen dat dit allemaal gebeurt op native UEFI met behulp van anderhalve dubieuze modules.
Het lijkt erop dat dit ding koud en almachtig is, totdat we bijvoorbeeld proberen GNU/Linux op te starten:
Op deze laptop is Computrace-vergrendeling momenteel ingeschakeld.
Zoals het gezegde gaat,
Wat te doen?
Er zijn vier voor de hand liggende vectoren om het probleem op te lossen:
- Schrijf naar de verkoper op eBay
- Schrijf naar Absolute software, maker en eigenaar van Computrace
- Maak een dump van de BIOS-chip, stuur deze naar duistere types zodat ze een dump terugsturen met een patch die alle vergrendelingen deactiveert en de apparaat-ID menu's
- Bel Lazard
Laten we ze in volgorde bekijken:
- Wij schrijven, net als alle redelijke mensen, eerst naar de verkoper die ons een dergelijk product heeft verkocht en bespreken het probleem met degene die er primair verantwoordelijk voor is.
Gemaakt:
- Volgens een adviseur die in de diepten van het internet is ontdekt,
U moet contact opnemen met absolute software. Ze willen het serienummer van de machine en het serienummer van het moederbord. U moet ook een “aankoopbewijs”, zoals een kassabon, overleggen. Ze zullen contact opnemen met de eigenaar die ze hebben geregistreerd en toestemming krijgen om deze te verwijderen. Ervan uitgaande dat het niet is gestolen, zullen ze het vervolgens markeren voor verwijdering. Daarna zal er de volgende keer dat u verbinding maakt met internet of een open internetverbinding heeft, een wonder gebeuren en zal het verdwenen zijn. Stuur de dingen die ik noemde naar [e-mail beveiligd].
we kunnen rechtstreeks naar Absolute schrijven en rechtstreeks met hen communiceren over ontgrendeling. Ik nam de tijd en besloot pas tegen het einde tot deze oplossing over te gaan.
- Gelukkig was er al een brute oplossing voor het probleem aanwezig. Deze en veel andere computerondersteuningsspecialisten op dezelfde eBay en zelfs Indiërs op Facebook beloven ons dat we ons BIOS zullen ontgrendelen als we ze een dump sturen en een paar minuten wachten.
Het ontgrendelingsproces wordt als volgt beschreven:
De ontgrendelingsoplossing is eindelijk beschikbaar en vereist dat een SPEG-programmeur het BIOS kan flashen.
Het proces is:
- Lees het BIOS en maak een geldige dump. In een Thinkpad is het BIOS getrouwd met de interne TPM-chip en bevat het een unieke handtekening. Het is dus belangrijk dat het originele BIOS correct wordt uitgelezen voor het succes van de hele operatie en om het BIOS daarna te herstellen.
- De binaire BIOS-bestanden patchen en een volledig smallservice.ro UEFI-programma injecteren. Dit programma leest de beveiligde eeprom, reset het TPM-certificaat en wachtwoord, schrijft veilige eeprom en reconstrueert alle gegevens.
- Schrijf de gepatchte BIOS-dump (deze werkt trouwens alleen in die TP), start de laptop en genereer een hardware-ID. We sturen u een unieke sleutel die het Allservice BIOS activeert, terwijl het BIOS wordt geladen, wordt de ontgrendelingsroutine uitgevoerd en de SVP en TPM ontgrendeld.
- Schrijf ten slotte de originele BIOS-dump terug voor normale werking en geniet van de laptop.
We kunnen Computrace ook uitschakelen of de SN/UUID wijzigen en de RFID-controlesomfout opnieuw instellen door, indien nodig, ons UEFI-programma op dezelfde manier te gebruiken
De ontgrendelingsserviceprijs is per machine (zoals we doen voor de Macbook/iMac, HP, Acer, enz.). Lees het volgende bericht hieronder voor de serviceprijs en beschikbaarheid. U kunt contact opnemen [e-mail beveiligd] voor elk onderzoek.
Lijkt legitiem! Maar dit is om voor de hand liggende redenen ook een optie voor de meest wanhopige situatie, en bovendien kost al het plezier $ 80. Wij laten het voor later.
- Als Lazard alles voor mij kapot heeft gemaakt en mij vraagt je terug te bellen, dan mag je niet weigeren! Terzake.
We noemen Lazard ook wel “de wereldleider op het gebied van financieel advies en vermogensbeheer, adviseert over fusies, overnames, herstructureringen, kapitaalstructuur en strategie”
Terwijl de verkoper van eBay reageert, gooi ik een paar dollar op zadarma en kijk ik ernaar uit om te communiceren met misschien wel de meest zielloze gesprekspartner ter wereld: de steun van een enorme financiële onderneming uit New York. Het meisje neemt snel de telefoon op, luistert in mijn kameraad Engels naar schuchtere uitleg over hoe ik deze laptop heb gekocht, schrijft het serienummer op en belooft het aan de beheerders te geven, die mij terugbellen. Dit proces wordt precies twee keer herhaald, met een tussenpoos van een dag. De derde keer heb ik bewust gewacht tot het 10 uur 's avonds was in New York en gebeld, waarbij ik snel de bekende pasta over mijn aankoop voorlas. Twee uur later belde dezelfde vrouw mij terug en begon instructies voor te lezen:
— Klik op ontsnappen.
Ik klik maar er gebeurt niets.
— Iets werkt niet, er verandert niets.
- Druk op.
- Ik druk.
— Voer nu in: 72406917
Ik kom binnen. Niks gebeurt.
- Weet je, ik ben bang dat dit niet zal helpen... Een ogenblikje...
De laptop start plotseling opnieuw op, het systeem start op, het vervelende witte scherm is ergens verdwenen. Voor de zekerheid ga ik naar het BIOS, Computrace is niet geactiveerd. Het lijkt erop dat dat het is. Bedankt voor je steun, ik schrijf de verkoper dat ik alle problemen zelf heb opgelost en ontspannen.
OpenMakeshift Computrace Intel AMT-gebaseerd
Wat er gebeurde ontmoedigde me, maar ik vond het een leuk idee, mijn fantoompijn over wat middelmatig verloren was, zocht een uitweg, ik wilde mijn nieuwe laptop beschermen, alsof hij me de oude terug zou geven. Als iemand Computrace gebruikt, kan ik het ook gebruiken, toch? Er was tenslotte Intel Anti-Theft, volgens de beschrijving - een uitstekende technologie die werkt zoals het hoort, maar werd gedood door de traagheid van de markt, maar er moet een alternatief zijn. Het bleek dat dit alternatief begon op dezelfde plek waar het eindigde: alleen Absolute software kon voet aan de grond krijgen op dit gebied.
Laten we eerst onthouden wat Intel AMT is: dit is een reeks bibliotheken die deel uitmaken van Intel ME, ingebouwd in het EFI BIOS, zodat een beheerder in een bepaald kantoor, zonder uit zijn stoel op te staan, machines op het netwerk kan bedienen, zelfs als ze niet opstarten, ISO's op afstand verbinden, bedienen via extern bureaublad, enz.
Dit alles draait op Minix en op ongeveer dit niveau:
Invisible Things Lab stelde voor om de functionaliteit van Intel vPro / Intel AMT-technologie een beschermingsring te noemen -3. Als onderdeel van deze technologie bevatten chipsets die vPro-technologie ondersteunen een onafhankelijke microprocessor (ARC4-architectuur), een aparte interface met de netwerkkaart, exclusieve toegang tot een speciaal RAM-gedeelte (16 MB) en DMA-toegang tot het hoofd-RAM. Programma's erop worden onafhankelijk van de centrale processor uitgevoerd; de firmware wordt samen met BIOS-codes of op een vergelijkbaar SPI-flashgeheugen opgeslagen (de code heeft een cryptografische handtekening). Onderdeel van de firmware is een ingebouwde webserver. Standaard is AMT uitgeschakeld, maar bepaalde code wordt nog steeds in deze modus uitgevoerd, zelfs als AMT is uitgeschakeld. Belcode -3 is zelfs actief in de S3-slaapmodus.
Dit klinkt verleidelijk, omdat het erop lijkt dat als we een omgekeerde verbinding tot stand kunnen brengen met een of ander beheerderspaneel met behulp van Intel AMT, we toegang zullen hebben die niet slechter is dan Computrace (in feite nee).
We activeren Intel AMT op onze machine
Ten eerste zouden sommigen van jullie deze AMT waarschijnlijk met je eigen handen willen aanraken, en hier beginnen de nuances. Ten eerste: je hebt een processor nodig die dit ondersteunt. Gelukkig zijn hier geen problemen mee (tenzij je AMD hebt), omdat vPro aan vrijwel alle Intel i5-, i7- en i9-processors is toegevoegd (zie je ) sinds 2006, en de normale VNC werd daar al in 2010 gebracht. Ten tweede: als je een desktop hebt, dan heb je een moederbord nodig dat deze functionaliteit ondersteunt, namelijk met de Q-chipset. Bij laptops hoeven we alleen het processormodel te kennen. Als u ondersteuning vindt voor Intel AMT, dan is dit een goed teken en kunt u de hier verkregen instellingen toepassen. Zo niet, dan heb je óf pech gehad óf bewust gekozen voor een processor of chipset zonder ondersteuning voor deze technologie, óf je hebt met succes geld bespaard door voor AMD te kiezen, wat ook een reden tot vreugde is.
Volgens de documenten
In de niet-beveiligde modus luisteren Intel AMT-apparaten op poort 16992.
In de TLS-modus luisteren Intel AMT-apparaten op poort 16993.
Intel AMT accepteert verbindingen op poort 16992 en 16993. Laten we daarheen gaan.
U moet controleren of Intel AMT is ingeschakeld in het BIOS:
Vervolgens moeten we opnieuw opstarten en tijdens het laden op Ctrl + P drukken
Het standaardwachtwoord, zoals gewoonlijk, beheerder.
Wijzig het wachtwoord onmiddellijk in Intel ME Algemene instellingen. Schakel vervolgens in Intel AMT-configuratie Netwerktoegang activeren in. Klaar. Je bent nu officieel achter de deur. We laden het systeem in.
Nu een belangrijke nuance: logischerwijs hebben we toegang tot Intel AMT vanaf localhost en op afstand, maar nee. Intel zegt dat je lokaal verbinding kunt maken en instellingen kunt wijzigen met behulp van , maar voor mij weigerde het botweg om verbinding te maken, dus mijn verbinding werkte alleen op afstand.
We nemen een apparaat en maken verbinding via : 16992
Het ziet er zo uit:
Welkom bij de standaard Intel AMT-interface! Waarom "standaard"? Omdat het afgekapt en volkomen nutteloos is voor onze doeleinden, en we iets serieuzers zullen gebruiken.
Kennismaken met MeshCommander
Zoals gewoonlijk doen grote bedrijven iets, en eindgebruikers passen het aan hun eigen wensen aan. Dat is hier ook gebeurd.
Deze bescheiden (niet overdrijven: zijn naam staat niet op zijn website, ik moest het googlen) man genaamd Ylian Saint-Hilaire heeft prachtige tools ontwikkeld om met Intel AMT te werken.
Ik zou graag onmiddellijk uw aandacht op hem willen vestigen , in zijn video's laat hij eenvoudig en duidelijk in realtime zien hoe hij bepaalde taken met betrekking tot Intel AMT en zijn software moet uitvoeren.
Laten we beginnen . Download, installeer en probeer verbinding te maken met onze machine:
Het proces vindt niet onmiddellijk plaats, maar als resultaat krijgen we dit scherm:
Het is niet dat ik paranoïde ben, maar ik zal gevoelige gegevens verwijderen, vergeef me voor zulke koketterie
Het verschil is, zoals ze zeggen, duidelijk. Ik weet niet waarom het Intel Control Panel niet over zo'n reeks functies beschikt, maar feit is dat Ylian Saint-Hilaire aanzienlijk meer uit het leven haalt. Bovendien kunt u de webinterface rechtstreeks in de firmware installeren, zodat u alle functies zonder hulpprogramma kunt gebruiken.
Dit wordt als volgt gedaan:
Ik moet er rekening mee houden dat ik deze functionaliteit (aangepaste webinterface) niet heb gebruikt en niets kan zeggen over de effectiviteit en prestaties ervan, aangezien deze niet nodig is voor mijn behoeften.
Je kunt met de functionaliteit spelen, de kans is klein dat je alles verpest, want het start- en eindpunt van dit hele festival is de BIOS, waarin je vervolgens alles kunt resetten door Intel AMT uit te schakelen.
Implementeer MeshCentral en implementeer BackConnect
En hier begint de volledige val van het hoofd. Mijn oom heeft niet alleen een client gemaakt, maar ook een heel beheerderspaneel voor onze Trojan! En hij deed het niet zomaar, maar .
Ga aan de slag door een eigen MeshCentral-server te installeren of als u niet bekend bent met MeshCentral, kunt u de openbare server op eigen risico uitproberen op MeshCentral.com.
Dit spreekt positief over de betrouwbaarheid van de code, aangezien ik tijdens de werking van de dienst geen nieuws kon vinden over hacks of lekken.
Persoonlijk gebruik ik MeshCentral op mijn server omdat ik onredelijk geloof dat het betrouwbaarder is, maar er zit niets anders in dan ijdelheid en loomheid van geest. Als jij dat ook wilt, dan er zijn documenten en container met MeshCentral. In de documenten wordt beschreven hoe u alles samenvoegt in NGINX, zodat de implementatie eenvoudig in uw thuisservers kan worden geïntegreerd.
Registreren voor , ga naar binnen en maak een apparaatgroep door de optie “geen agent” te selecteren:
Waarom "geen makelaar"? Want waarom hebben we het nodig om iets onnodigs te installeren, het is niet duidelijk hoe het zich gedraagt en hoe het zal werken.
Klik op “CIRA toevoegen”:
Download cira_setup_test.mescript en gebruik het als volgt in onze MeshCommander:
Voila! Na enige tijd maakt onze machine verbinding met MeshCentral en kunnen we er iets mee doen.
Ten eerste: je moet weten dat onze software niet zomaar op een externe server aanklopt. Dit komt door het feit dat Intel AMT twee opties heeft om verbinding te maken: via een externe server en rechtstreeks lokaal. Ze werken niet tegelijkertijd. Ons script heeft het systeem al geconfigureerd voor werken op afstand, maar het kan zijn dat u lokaal verbinding moet maken. Om lokaal verbinding te maken, moet je hierheen gaan
schrijf een regel die uw lokale domein is (merk op dat ons script daar AL een willekeurige regel heeft ingevoegd zodat de verbinding op afstand kan worden gemaakt) of wis alle regels helemaal (maar dan zal de externe verbinding niet beschikbaar zijn). Mijn lokale domein in OpenWrt is bijvoorbeeld lan:
Dienovereenkomstig, als we daar LAN invoeren, en als onze machine is verbonden met een netwerk met dit lokale domein, zal de externe verbinding niet beschikbaar zijn, maar zullen de lokale poorten 16992 en 16993 worden geopend en verbindingen accepteren. Kortom, als er een soort onzin is die geen verband houdt met uw lokale domein, dan is de software een bug, zo niet, dan moet u er zelf verbinding mee maken via een draad, dat is alles.
Во-вторых:
Alles is klaar!
U vraagt zich misschien af: waar is AntiTheft? Zoals ik in eerste instantie al zei, is Intel AMT niet erg geschikt om dieven te bestrijden. Het beheren van een kantorennetwerk is welkom, maar vechten tegen personen die zich via internet onrechtmatig bezit hebben toegeëigend is niet zo bijzonder. Laten we eens kijken naar een toolkit die ons in theorie kan helpen in de strijd om privé-eigendom:
- Op zich is het duidelijk dat je toegang hebt tot de machine als deze via de kabel is aangesloten, of, als Windows erop is geïnstalleerd, via WiFi. Ja, het is kinderachtig, maar voor een gewoon mens is het al heel moeilijk om zo'n laptop te gebruiken, zelfs als iemand zomaar plotseling de controle overneemt. Bovendien is het, ondanks het feit dat ik de scripts niet kon achterhalen, zeker mogelijk om op artistieke wijze een functionaliteit te ontwerpen voor het blokkeren/weergeven van meldingen daarop.
- Veilig wissen op afstand met Intel Active Management Technologie
Met deze optie kunt u binnen enkele seconden alle informatie van de machine verwijderen. Het is niet duidelijk of het werkt op niet-Intel SSD's. Hier Over deze functie lees je meer. Je kunt het werk bewonderen . De kwaliteit is verschrikkelijk, maar slechts 10 megabyte en de essentie is duidelijk.
Het probleem van uitgestelde uitvoering blijft onopgelost, met andere woorden: je moet kijken wanneer de machine het netwerk binnenkomt om er verbinding mee te kunnen maken. Ik geloof dat hier ook een oplossing voor bestaat.
In een ideale implementatie moet je de laptop blokkeren en een soort inscriptie weergeven, maar in ons geval hebben we eenvoudigweg onvermijdelijke toegang, en wat we vervolgens moeten doen is een kwestie van verbeelding.
Misschien kun je op de een of andere manier de auto blokkeren of op zijn minst een bericht weergeven, schrijf als je het weet. Bedankt!
Vergeet niet een wachtwoord voor het BIOS in te stellen.
Dankzij de gebruiker voor proeflezen!
Bron: www.habr.com