TL; DR
Absolute Computrace er en teknologi som lar deg låse bilen din (og ikke ), selv om operativsystemet ble installert på nytt på det eller til og med harddisken ble erstattet, for $15 per år. Jeg kjøpte en bærbar datamaskin på eBay som var låst med denne tingen. Artikkelen beskriver min erfaring, hvordan jeg slet med det og prøvde å gjøre det samme på Intel AMT, men gratis.
La oss umiddelbart bli enige: Jeg bryter ikke inn åpne dører og skriver ikke en forelesning om disse eksterne tingene, men forteller litt bakgrunn og hvordan du raskt kan få ekstern tilgang til maskinen din på kneet i enhver situasjon (hvis den er koblet til nettverk via RJ-45) eller, hvis den er tilkoblet via Wi-Fi, bare i OS Windows. Det vil også være mulig å registrere SSID, pålogging og passord til et spesifikt punkt i selve Intel AMT, og deretter kan tilgang via Wi-Fi også oppnås uten å starte opp i systemet. Og også, hvis du installerer drivere for Intel ME på GNU/Linux, bør alt dette fungere på det også. Som et resultat vil det ikke være mulig å eksternt låse en bærbar datamaskin og vise en melding (jeg kunne ikke finne ut om dette i det hele tatt er mulig med denne teknologien), men det vil være tilgang til et eksternt skrivebord og Secure Erase, og dette er hovedsaken.
Taxisjåføren dro med den bærbare datamaskinen min, og jeg bestemte meg for å kjøpe en ny på eBay. Hva kan gå galt?
Fra kjøper til tyver – i én lansering
Etter å ha fått med meg en bærbar datamaskin fra postkontoret, satte jeg i gang med å fullføre forhåndsinstallasjonen av Windows 10, og etter det klarte jeg til og med å laste ned Firefox, da plutselig:
Jeg forsto utmerket godt at ingen ville endre Windows-distribusjonen, og hvis de gjorde det, ville ikke alt se så klønete ut og generelt sett ville blokkeringen skjedd raskere. Og til slutt ville det ikke være noen vits i å blokkere noe, siden alt ville bli kurert ved å installere det på nytt. Ok, la oss starte på nytt.
Start på nytt i BIOS, og nå blir alt litt klarere:
Og til slutt er det helt klart:
Hvordan har det seg at min egen bærbare datamaskin plager meg? Hva er Computrace?
Strengt tatt er Computrace et sett med moduler i din EFI BIOS som, etter å ha lastet inn OS Windows, setter inn trojanerne i den, banker på den eksterne Absolute-programvareserveren og lar, om nødvendig, blokkere systemet over Internett. Du kan lese flere detaljer her . Computrace fungerer ikke med andre operativsystemer enn Windows. Dessuten, hvis vi kobler en stasjon til Windows kryptert av BitLocker, eller annen programvare, vil ikke Computrace fungere igjen - modulene vil rett og slett ikke kunne kaste filene sine inn i systemet vårt.
På avstand kan slike teknologier virke kosmiske, men bare til vi finner ut at alt dette gjøres på innfødt UEFI ved å bruke halvannen tvilsomme moduler.
Denne tingen virker kald og allmektig inntil vi prøver for eksempel å starte opp i GNU/Linux:
Denne bærbare datamaskinen har Computrace-låsing aktivert akkurat nå.
Som ordtaket sier,
Hva gjør jeg?
Det er fire åpenbare vektorer for å løse problemet:
- Skriv til selgeren på eBay
- Skriv til Absolute-programvare, skaper og eier av Computrace
- Lag en dump fra BIOS-brikken, send den til lyssky typer slik at de sender tilbake en dump med en patch som deaktiverer alle låser og menyer enhetens ID
- Ring Lazard
La oss se på dem i rekkefølge:
- Vi, som alle fornuftige mennesker, skriver først til selgeren som solgte oss et slikt produkt og diskuterer problemet med den som er hovedansvarlig for det.
Laget:
- I følge en rådgiver oppdaget i dypet av Internett,
Du må kontakte absolutt programvare. De vil ha maskinens serienummer og hovedkortets serienummer. Du må også levere "kjøpsbevis", som en kvittering. De vil kontakte eieren de har registrert og få OK for å fjerne den. Forutsatt at den ikke er stjålet, vil de deretter "flagge den for sletting". Etter det, neste gang du kobler til internett eller har en åpen internettforbindelse, vil det skje et mirakel og det vil være borte. Send tingene jeg nevnte til [e-postbeskyttet].
vi kan skrive direkte til Absolute og kommunisere direkte med dem om opplåsing. Jeg tok meg god tid og bestemte meg for å ty til denne løsningen først mot slutten.
- Heldigvis var det allerede en brutal løsning på problemet. Disse og mange andre datastøttespesialister på samme eBay og til og med indianere på Facebook lover oss å låse opp BIOS hvis vi sender dem en dump og venter et par minutter.
Opplåsingsprosessen er beskrevet som følger:
Opplåsingsløsning er endelig tilgjengelig og krever at SPEG-programmerer kan flashe BIOS.
Prosessen er:
- Leser BIOS og oppretter en gyldig dump. I en Thinkpad er BIOS-en gift med den interne TPM-brikken og inneholder en unik signatur av den, så det er viktig at den originale BIOS-en er korrekt avlest for å lykkes med hele operasjonen og for å gjenopprette BIOS etterpå.
- Oppdater BIOS-binærfilene og injiser et all smallservice.ro UEFI-program. Dette programmet vil lese den sikre eepromen, tilbakestille TPM-sertifikatet og passordet, skrive sikker eeprom og rekonstruere alle data.
- Skriv den lappede BIOS-dumpen (dette vil bare fungere i den TP-en forresten), start den bærbare datamaskinen og generer en maskinvare-ID. Vi vil sende deg en unik nøkkel som vil aktivere Allservice BIOS, mens BIOS laster vil den utføre opplåsingsrutinen og låse opp SVP og TPM.
- Til slutt, skriv den originale BIOS-dumpen tilbake for normal drift og nyt den bærbare datamaskinen.
Vi kan også deaktivere Computrace eller endre SN/UUID og tilbakestille RFID-sjekksumfeil ved å bruke UEFI-programmet vårt på samme måte, om nødvendig
Serviceprisen for opplåsing er per maskin (som vi gjør for Macbook/iMac, HP, Acer osv.) For servicepris og tilgjengelighet, les neste innlegg nedenfor. Du kan kontakte [e-postbeskyttet] for enhver henvendelse.
Virker lovlig! Men også dette, av åpenbare grunner, er et alternativ for den mest desperate situasjonen, og dessuten koster all moroa $80. Vi lar det stå til senere.
- Hvis Lazard har ødelagt alt for meg og ber meg ringe deg tilbake, så bør du ikke nekte! La oss gå på jobb.
Vi kaller Lazard aka "verdens ledende finansielle rådgivnings- og kapitalforvaltningsfirma, gir råd om fusjoner, oppkjøp, restrukturering, kapitalstruktur og strategi"
Mens selgeren fra eBay svarer, kaster jeg noen kroner på zadarma og ser frem til å kommunisere med kanskje den mest sjelløse samtalepartneren på planeten – støtten fra et enormt finansselskap fra New York. Jenta tar raskt telefonen, lytter på kameraten min engelsk til sjenerte forklaringer om hvordan jeg kjøpte denne bærbare datamaskinen, skriver ned serienummeret og lover å gi det til administratorene, som vil ringe meg tilbake. Denne prosessen gjentas nøyaktig to ganger, med en dags mellomrom. Den tredje gangen ventet jeg bevisst til klokken var 10 om kvelden i New York og ringte og leste raskt opp den kjente pastaen om kjøpet mitt. To timer senere ringte den samme kvinnen meg tilbake og begynte å lese opp instruksjonene:
— Klikk på escape.
Jeg klikker, men ingenting skjer.
– Noe fungerer ikke, ingenting endres.
- Trykk.
– Jeg trykker.
— Skriv nå inn: 72406917
Jeg går inn. Ingenting skjer.
- Du vet, jeg er redd dette ikke hjelper... Bare et øyeblikk...
Den bærbare datamaskinen starter plutselig på nytt, systemet starter, den irriterende hvite skjermen har forsvunnet et sted. For å være sikker går jeg inn i BIOS, Computrace er ikke aktivert. Det ser ut til at det er det. Takk for støtten, jeg skriver til selgeren at jeg løste alle problemene selv og slapper av.
OpenMakeshift Computrace Intel AMT-basert
Det som skjedde gjorde meg motløs, men jeg likte ideen, fantomsmerten min over det som var middelmådig tapt lette etter en vei ut, jeg ønsket å beskytte den nye bærbare datamaskinen min, som om den ville gi meg tilbake den gamle. Hvis noen bruker Computrace, kan jeg bruke det også, ikke sant? Tross alt var det Intel Anti-Theft, ifølge beskrivelsen - en utmerket teknologi som fungerer som den skal, men den ble drept av treghet i markedet, men det må være et alternativ. Det viste seg at dette alternativet begynte på samme sted der det sluttet – bare Absolute-programvare var i stand til å få fotfeste på dette feltet.
Først, la oss huske hva Intel AMT er: dette er et sett med biblioteker som er en del av Intel ME, innebygd i EFI BIOS, slik at en administrator på et kontor kan, uten å reise seg fra stolen, betjene maskiner på nettverket, selv om de ikke starter opp, kobler eksternt ISO-er, kontrollerer via eksternt skrivebord, etc.
Alt dette kjører på Minix og på omtrent dette nivået:
Invisible Things Lab foreslo å kalle funksjonaliteten til Intel vPro / Intel AMT-teknologien en ring av beskyttelse -3. Som en del av denne teknologien inneholder brikkesett som støtter vPro-teknologi en uavhengig mikroprosessor (ARC4-arkitektur), har et eget grensesnitt til nettverkskortet, eksklusiv tilgang til en dedikert del av RAM (16 MB), og DMA-tilgang til hoved-RAM. Programmer på den kjøres uavhengig av sentralprosessoren; fastvaren lagres sammen med BIOS-koder eller på et lignende SPI-flashminne (koden har en kryptografisk signatur). En del av fastvaren er en innebygd webserver. Som standard er AMT deaktivert, men noe kode kjører fortsatt i denne modusen selv når AMT er deaktivert. Ringekode -3 er aktiv selv i S3 hvilemodus.
Dette høres fristende ut, fordi det ser ut til at hvis vi kan etablere en omvendt tilkobling til et eller annet adminpanel ved hjelp av Intel AMT, vil vi ikke ha dårligere tilgang enn Computrace (faktisk nei).
Vi aktiverer Intel AMT på maskinen vår
Først vil nok noen av dere ta på denne AMT med egne hender, og her begynner nyansene. Først: du trenger en prosessor som støtter det. Heldigvis er det ingen problemer med dette (med mindre du har AMD), fordi vPro er lagt til nesten alle Intel i5-, i7- og i9-prosessorer (du kan se ) siden 2006, og normal VNC ble brakt dit allerede i 2010. For det andre: hvis du har en stasjonær, så trenger du et hovedkort som støtter denne funksjonaliteten, nemlig med brikkesettet Q. På bærbare datamaskiner trenger vi kun å kjenne til prosessormodellen. Hvis du finner støtte for Intel AMT, er dette et godt tegn, og du vil kunne bruke innstillingene du får her. Hvis ikke, så var du enten uheldig/du valgte bevisst en prosessor eller brikkesett uten støtte for denne teknologien, eller du sparte penger ved å velge AMD, som også er en grunn til glede.
I følge dokumentene
I ikke-sikker modus lytter Intel AMT-enheter på port 16992.
I TLS-modus lytter Intel AMT-enheter på port 16993.
Intel AMT godtar tilkoblinger på portene 16992 og 16993. La oss flytte dit.
Du må sjekke at Intel AMT er aktivert i BIOS:
Deretter må vi starte på nytt og trykke Ctrl + P mens du laster
Standardpassordet, som vanlig, admin.
Endre passordet umiddelbart i Intel ME Generelle innstillinger. Deretter, i Intel AMT Configuration, aktiver Aktiver nettverkstilgang. Klar. Du er nå offisielt bakdør. Vi laster inn i systemet.
Nå en viktig nyanse: logisk sett kan vi få tilgang til Intel AMT fra localhost og eksternt, men nei. Intel sier at du kan koble til lokalt og endre innstillinger ved hjelp av , men for meg nektet den blankt å koble til, så tilkoblingen min fungerte bare eksternt.
Vi tar en enhet og kobler til via : 16992
Det ser slik ut:
Velkommen til standard Intel AMT-grensesnitt! Hvorfor "standard"? Fordi det er avkortet og helt ubrukelig for våre formål, og vi vil bruke noe mer seriøst.
Bli kjent med MeshCommander
Som vanlig gjør store selskaper noe, og sluttbrukere endrer det slik at det passer dem selv. Det var det som skjedde her også.
Denne beskjedne (ingen overdrivelse: navnet hans er ikke på nettstedet hans, jeg måtte Google det) mannen ved navn Ylian Saint-Hilaire har utviklet fantastiske verktøy for å jobbe med Intel AMT.
Jeg vil umiddelbart trekke oppmerksomheten din til ham , i sine videoer viser han enkelt og tydelig i sanntid hvordan man utfører visse oppgaver relatert til Intel AMT og programvaren.
La oss begynne med . Last ned, installer og prøv å koble til maskinen vår:
Prosessen er ikke øyeblikkelig, men som et resultat får vi denne skjermen:
Det er ikke det at jeg er paranoid, men jeg vil slette sensitive data, tilgi meg for slik koketteri
Forskjellen, som de sier, er åpenbar. Jeg vet ikke hvorfor Intel Control Panel ikke har et slikt sett med funksjoner, men faktum er at Ylian Saint-Hilaire får betydelig mer ut av livet. Dessuten kan du installere nettgrensesnittet direkte i fastvaren, det vil tillate deg å bruke alle funksjonene uten verktøy.
Dette gjøres slik:
Jeg bør merke meg at jeg ikke har brukt denne funksjonaliteten (Egendefinert webgrensesnitt) og kan ikke si noe om effektiviteten og ytelsen, siden den ikke er nødvendig for mine behov.
Du kan leke deg med funksjonaliteten, det er usannsynlig at du vil ødelegge alt, fordi start- og siste utgangspunktet for hele denne festivalen er BIOS, der du så kan tilbakestille alt ved å deaktivere Intel AMT.
Distribuer MeshCentral og implementer BackConnect
Og her begynner det fullstendige fallet av hodet. Onkelen min laget ikke bare en klient, men også et helt adminpanel for trojaneren vår! Og han gjorde det ikke bare, men .
Kom i gang ved å installere en egen MeshCentral-server, eller hvis du ikke er kjent med MeshCentral, kan du prøve den offentlige serveren på egen risiko på MeshCentral.com.
Dette taler positivt om påliteligheten til koden, siden jeg ikke kunne finne noen nyheter om hacks eller lekkasjer under tjenestens drift.
Personlig kjører jeg MeshCentral på serveren min fordi jeg urimelig tror at den er mer pålitelig, men det er ingenting i den bortsett fra forfengelighet og åndssvakhet. Hvis du også vil, da det er dokumenter og beholder med MeshCentral. Dokumentene beskriver hvordan du knytter alt sammen i NGINX, slik at implementeringen enkelt kan integreres i hjemmeserverne dine.
Registrer deg på , gå inn og opprett en enhetsgruppe ved å velge alternativet «ingen agent»:
Hvorfor "ingen agent"? For hvorfor trenger vi det for å installere noe unødvendig, det er ikke klart hvordan det oppfører seg og hvordan det vil fungere.
Klikk "Legg til CIRA":
Last ned cira_setup_test.mescript og bruk det i vår MeshCommander slik:
Voila! Etter en tid vil maskinen vår koble seg til MeshCentral, og vi kan gjøre noe med den.
For det første: du bør vite at programvaren vår ikke vil banke på en ekstern server bare sånn. Dette skyldes at Intel AMT har to alternativer for tilkobling – gjennom en ekstern server og direkte lokalt. De fungerer ikke samtidig. Skriptet vårt har allerede konfigurert systemet for eksternt arbeid, men du må kanskje koble til lokalt. For at du skal koble til lokalt, må du gå hit
skriv en linje som er ditt lokale domene (merk at skriptet vårt ALLEREDE har satt inn en tilfeldig linje der slik at tilkoblingen kan gjøres eksternt) eller fjern alle linjer helt (men da vil den eksterne tilkoblingen ikke være tilgjengelig). For eksempel er mitt lokale domene i OpenWrt lan:
Følgelig, hvis vi går inn i lan der, og hvis maskinen vår er koblet til et nettverk med dette lokale domenet, vil den eksterne tilkoblingen ikke være tilgjengelig, men lokale porter 16992 og 16993 vil åpne og akseptere tilkoblinger. Kort sagt, hvis det er en slags tull som ikke er relatert til ditt lokale domene, så feiler programvaren, hvis ikke, må du koble til den selv via en ledning, det er alt.
Dernest:
Alt er klart!
Du kan spørre - hvor er AntiTheft? Som jeg sa innledningsvis, er Intel AMT lite egnet for å bekjempe tyver. Å administrere et kontornettverk er velkomment, men å slåss med enkeltpersoner som ulovlig har tatt eiendom i besittelse via Internett er ikke så spesielt. La oss vurdere en verktøykasse som i teorien kan hjelpe oss i kampen for privat eiendom:
- I seg selv er det klart at du har tilgang til maskinen hvis den er tilkoblet via kabel, eller, hvis Windows er installert på den, så via WiFi. Ja, det er barnslig, men det er allerede veldig vanskelig for en vanlig person å bruke en slik bærbar datamaskin, selv om noen plutselig tar over kontrollen. Dessuten, til tross for at jeg ikke kunne finne ut av skriptene, er det absolutt mulig å kunstnerisk designe en funksjonalitet for å blokkere/vise varsler på dem.
- Sikker fjernsletting med Intel Active Management Technology
Ved å bruke dette alternativet kan du slette all informasjon fra maskinen på sekunder. Det er ikke klart om det fungerer på SSD-er som ikke er fra Intel. Her Du kan lese mer om denne funksjonen. Du kan beundre arbeidet . Kvaliteten er forferdelig, men bare 10 megabyte og essensen er klar.
Problemet med utsatt utførelse forblir uløst, med andre ord: du må se når maskinen kommer inn i nettverket for å koble til den. Jeg tror det finnes en løsning på dette også.
I en ideell implementering må du blokkere den bærbare datamaskinen og vise en slags inskripsjon, men i vårt tilfelle har vi rett og slett uunngåelig tilgang, og hva du skal gjøre videre er et spørsmål om fantasi.
Kanskje du på en eller annen måte kan blokkere bilen eller i det minste vise en melding, skriv hvis du vet. Takk skal du ha!
Ikke glem å angi et passord for BIOS.
Takk bruker for korrekturlesing!
Kilde: www.habr.com