TL, DR
Absolute Computrace é uma tecnologia que permite trancar seu carro (e não ), mesmo que o sistema operacional tenha sido reinstalado ou até mesmo o disco rígido tenha sido substituído, por US$ 15 por ano. Comprei um laptop no eBay que estava bloqueado com essa coisa. O artigo descreve minha experiência, como enfrentei isso e tentei fazer o mesmo no Intel AMT, mas de graça.
Vamos concordar imediatamente: não estou arrombando portas e nem escrevendo uma palestra sobre essas coisas remotas, mas contando um pouco do histórico e como obter acesso remoto rapidamente à sua máquina de joelhos em qualquer situação (se ela estiver conectada ao rede via RJ-45) ou, se estiver conectado via Wi-Fi, somente no sistema operacional Windows. Além disso, será possível cadastrar o SSID, login e senha de um ponto específico no próprio Intel AMT, e então o acesso via Wi-Fi também poderá ser obtido sem inicializar o sistema. E também, se você instalar drivers para Intel ME no GNU/Linux, tudo isso também deverá funcionar. Como resultado, não será possível bloquear remotamente um laptop e exibir uma mensagem (não consegui descobrir se isso é possível usando esta tecnologia), mas haverá acesso a uma área de trabalho remota e Secure Erase, e isso é o principal.
O taxista saiu com meu laptop e resolvi comprar um novo no eBay. O que poderia dar errado?
Do comprador ao ladrão – em um único lançamento
Tendo trazido para casa um laptop dos correios, comecei a concluir a pré-instalação do Windows 10, e depois consegui até baixar o Firefox, quando de repente:
Entendi perfeitamente que ninguém iria modificar a distribuição do Windows e, se o fizessem, tudo não pareceria tão desajeitado e em geral o bloqueio teria acontecido mais rápido. E, no final das contas, não adiantaria bloquear nada, pois tudo ficaria curado com a reinstalação. Ok, vamos reiniciar.
Reinicie no BIOS e agora tudo fica um pouco mais claro:
E finalmente, está completamente claro:
Como é que meu próprio laptop está me incomodando? O que é Computrace?
A rigor, Computrace é um conjunto de módulos em seu BIOS EFI que, após carregar o SO Windows, inserem nele seus Trojans, batendo no servidor remoto do software Absolute e permitindo, se necessário, bloquear o sistema pela Internet. Você pode ler mais detalhes aqui . O Computrace não funciona com sistemas operacionais diferentes do Windows. Além disso, se conectarmos uma unidade ao Windows criptografada pelo BitLocker ou qualquer outro software, o Computrace não funcionará novamente - os módulos simplesmente não serão capazes de lançar seus arquivos em nosso sistema.
À distância, tais tecnologias podem parecer cósmicas, mas só até descobrirmos que tudo isso é feito em UEFI nativo usando um módulo e meio duvidoso.
Parece que essa coisa é fria e todo-poderosa até tentarmos, por exemplo, inicializar no GNU/Linux:
Este laptop tem o bloqueio Computrace ativado no momento.
Como dizem
O que fazer?
Existem quatro vetores óbvios para resolver o problema:
- Escreva para o vendedor no eBay
- Escreva para a Absolute software, criadora e proprietária da Computrace
- Faça um dump do chip BIOS, envie-o para tipos obscuros para que eles enviem de volta um dump com um patch que desativa todos os bloqueios e altera o ID do dispositivo
- Ligue para o Lazard
Vamos classificá-los em ordem:
- Nós, como todas as pessoas razoáveis, primeiro escrevemos ao vendedor que nos vendeu tal produto e discutimos o problema com o principal responsável por ele.
Feito:
- Segundo um consultor descoberto nas profundezas da Internet,
Você precisa entrar em contato com o software absoluto. Eles vão querer o número de série da máquina e o número de série da placa-mãe. Você também precisará fornecer um “comprovante de compra”, como um recibo. Eles entrarão em contato com o proprietário registrado e obterão o OK para removê-lo. Supondo que não seja roubado, eles irão “sinalizá-lo para exclusão”. Depois disso, na próxima vez que você se conectar à internet ou tiver uma conexão aberta com a internet, um milagre acontecerá e ela desaparecerá. Envie as coisas que mencionei para [email protegido].
podemos escrever diretamente para a Absolute e nos comunicar diretamente com eles sobre o desbloqueio. Demorei e decidi recorrer a esta solução apenas no final.
- Felizmente, uma solução brutal para o problema já estava presente. Estes e muitos outros especialistas em suporte de informática no mesmo eBay e até indianos no Facebook nos prometem desbloquear nosso BIOS se enviarmos um despejo e esperarmos alguns minutos.
O processo de desbloqueio é descrito a seguir:
A solução de desbloqueio está finalmente disponível e requer que o programador SPEG seja capaz de atualizar o BIOS.
O processo é:
- Lendo o BIOS e criando um dump válido. Em um Thinkpad, o BIOS é casado com o chip TPM interno e contém uma assinatura exclusiva dele, por isso é importante que o BIOS original seja uma leitura correta para o sucesso de toda a operação e para restaurar o BIOS posteriormente.
- Corrigindo os binários do BIOS e injetando um programa UEFI all smallservice.ro. Este programa irá ler o eeprom seguro, redefinir o certificado e a senha do TPM, escrever o eeprom seguro e reconstruir todos os dados.
- Escreva o dump do BIOS corrigido (isso só funcionará nesse TP), inicie o laptop e gere um ID de hardware. Enviaremos a você uma chave exclusiva que ativará o BIOS Allservice, enquanto o BIOS estiver carregando ele executará a rotina de desbloqueio e desbloqueará o SVP e o TPM.
- Por fim, grave o dump original do BIOS para operações normais e aproveite o laptop.
Também podemos desabilitar o Computrace ou alterar o SN/UUID e redefinir o erro de soma de verificação RFID usando nosso programa UEFI da mesma maneira, se necessário
O preço do serviço de desbloqueio é por máquina (como fazemos para Macbook/iMac, HP, Acer, etc). Para preço e disponibilidade do serviço, leia a próxima postagem abaixo. Você pode entrar em contato [email protegido] para qualquer inquérito.
Parece legítimo! Mas isto também, por razões óbvias, é uma opção para a situação mais desesperadora e, além disso, toda a diversão custa 80 dólares. Deixamos para depois.
- Se Lazard quebrou tudo para mim e me pediu para ligar de volta, então você não deveria recusar! Vamos ao que interessa.
Chamamos a Lazard, também conhecida como “a empresa líder mundial em consultoria financeira e gestão de ativos, que presta consultoria em fusões, aquisições, reestruturações, estrutura de capital e estratégia”
Enquanto o vendedor do eBay responde, eu gasto alguns dólares no zadarma e estou ansioso para me comunicar com talvez o interlocutor mais sem alma do planeta - o apoio de uma grande corporação financeira de Nova York. A menina rapidamente pega o telefone, ouve no meu camarada inglês as tímidas explicações de como comprei esse laptop, anota seu número de série e promete entregá-lo aos administradores, que me ligarão de volta. Este processo é repetido exatamente duas vezes, com um dia de intervalo. Na terceira vez, esperei deliberadamente até as 10h da noite em Nova York e liguei, lendo rapidamente a conhecida pasta sobre minha compra. Duas horas depois, a mesma mulher me ligou de volta e começou a ler as instruções:
— Clique em escapar.
Clico mas nada acontece.
— Algo não funciona, nada muda.
- Imprensa.
- Eu pressiono.
— Agora digite: 72406917
Estou entrando. Nada acontece.
- Sabe, temo que isso não vá ajudar... Só um minuto...
O laptop reinicia repentinamente, o sistema inicializa, a irritante tela branca desapareceu em algum lugar. Para ter certeza, entro na BIOS, o Computrace não está ativado. Parece que é isso. Obrigado pelo seu apoio, escrevo ao vendedor que resolvi todos os problemas sozinho e relaxo.
OpenMakeshift Computrace baseado em Intel AMT
O que aconteceu me desanimou, mas gostei da ideia, minha dor fantasma pelo que estava mediocremente perdido procurava uma saída, queria proteger meu novo laptop, como se ele fosse me devolver o antigo. Se alguém estiver usando o Computrace, eu também posso usar, certo? Afinal, existia o Intel Anti-Theft, segundo a descrição - uma excelente tecnologia que funciona como deveria, mas foi morta pela inércia do mercado, mas deve haver uma alternativa. Descobriu-se que esta alternativa começou no mesmo lugar onde terminou - apenas o software Absolute conseguiu se firmar neste campo.
Primeiro, vamos lembrar o que é Intel AMT: este é um conjunto de bibliotecas que faz parte do Intel ME, embutidas no BIOS EFI, para que um administrador de algum escritório possa, sem se levantar da cadeira, operar máquinas na rede, mesmo que eles não inicializem, conectando ISOs remotamente, controlando via área de trabalho remota, etc.
Tudo isso roda no Minix e aproximadamente neste nível:
O Invisible Things Lab propôs chamar a funcionalidade da tecnologia Intel vPro / Intel AMT de anel de proteção -3. Como parte desta tecnologia, os chipsets que suportam a tecnologia vPro contêm um microprocessador independente (arquitetura ARC4), possuem uma interface separada para a placa de rede, acesso exclusivo a uma seção dedicada de RAM (16 MB) e acesso DMA à RAM principal. Os programas nele são executados independentemente do processador central, o firmware é armazenado junto com os códigos BIOS ou em uma memória flash SPI semelhante (o código possui uma assinatura criptográfica). Parte do firmware é um servidor web integrado. Por padrão, o AMT está desabilitado, mas alguns códigos ainda são executados nesse modo mesmo quando o AMT está desabilitado. O código de toque -3 está ativo mesmo no modo de suspensão S3.
Isso parece tentador, porque parece que se conseguirmos estabelecer uma conexão reversa com algum painel de administração usando Intel AMT, não poderemos ter acesso pior do que o Computrace (na verdade, não).
Ativamos Intel AMT em nossa máquina
Primeiro, alguns de vocês provavelmente gostariam de tocar neste AMT com as próprias mãos, e aqui começam as nuances. Primeiro: você precisa de um processador que suporte isso. Felizmente, não há problemas com isso (a menos que você tenha AMD), porque o vPro é adicionado a quase todos os processadores Intel i5, i7 e i9 (você pode ver ) desde 2006, e o VNC normal foi trazido para lá já em 2010. Em segundo lugar: se você tem um desktop, então precisa de uma placa-mãe que suporte esta funcionalidade, ou seja, com o chipset Q. Em laptops, só precisamos saber o modelo do processador. Se você encontrar suporte para Intel AMT, então este é um bom sinal e você poderá aplicar as configurações obtidas aqui. Caso contrário, ou você teve azar/escolheu deliberadamente um processador ou chipset sem suporte para esta tecnologia, ou economizou dinheiro escolhendo a AMD, o que também é motivo de alegria.
De acordo com os documentos
No modo não seguro, os dispositivos Intel AMT escutam na porta 16992.
No modo TLS, os dispositivos Intel AMT escutam na porta 16993.
Intel AMT aceita conexões nas portas 16992 e 16993. Vamos para lá.
Você precisa verificar se o Intel AMT está habilitado no BIOS:
Em seguida, precisamos reiniciar e pressionar Ctrl + P durante o carregamento
A senha padrão, como sempre, admin.
Altere imediatamente a senha nas configurações gerais do Intel ME. Em seguida, na configuração Intel AMT, habilite Ativar acesso à rede. Preparar. Agora você está oficialmente protegido. Estamos carregando no sistema.
Agora, uma nuance importante: logicamente, podemos acessar o Intel AMT de localhost e remotamente, mas não. A Intel diz que você pode conectar-se localmente e alterar as configurações usando , mas para mim ele se recusou terminantemente a conectar, então minha conexão só funcionou remotamente.
Pegamos algum dispositivo e nos conectamos via : 16992
Parece assim:
Bem-vindo à interface padrão Intel AMT! Por que "padrão"? Porque está truncado e completamente inútil para os nossos propósitos, e usaremos algo mais sério.
Conhecendo o MeshCommander
Como sempre, as grandes empresas fazem algo e os usuários finais modificam isso para se adequarem a eles. Foi o que aconteceu aqui também.
Este modesto (sem exagero: o nome dele não está em seu site, tive que pesquisar no Google) chamado Ylian Saint-Hilaire desenvolveu ferramentas maravilhosas para trabalhar com Intel AMT.
Gostaria de chamar imediatamente sua atenção para ele , em seus vídeos ele mostra de forma simples e clara em tempo real como realizar determinadas tarefas relacionadas ao Intel AMT e seu software.
Vamos começar com . Baixe, instale e tente conectar em nossa máquina:
O processo não é instantâneo, mas como resultado obteremos esta tela:
Não é que eu seja paranóico, mas vou deletar dados confidenciais, perdoe-me por tal coqueteria
A diferença, como dizem, é óbvia. Não sei por que o Painel de Controle Intel não possui esse conjunto de funções, mas o fato é que Ylian Saint-Hilaire aproveita significativamente mais a vida. Além disso, você pode instalar sua interface web diretamente no firmware, o que permitirá que você use todas as funções sem utilitário.
É feito assim:
Devo salientar que não utilizei esta funcionalidade (interface web personalizada) e não posso dizer nada sobre a sua eficácia e desempenho, uma vez que não é necessária para as minhas necessidades.
Você pode brincar com a funcionalidade, dificilmente vai estragar tudo, pois o ponto inicial e final de todo esse festival é o BIOS, onde você pode então zerar tudo desabilitando o Intel AMT.
Implante o MeshCentral e implemente o BackConnect
E aqui começa a queda completa da cabeça. Meu tio não só criou um cliente, mas também um painel de administração completo para nosso Trojan! E ele não apenas fez isso, mas .
Comece instalando seu próprio servidor MeshCentral ou, se não estiver familiarizado com o MeshCentral, você pode experimentar o servidor público por sua própria conta e risco em MeshCentral.com.
Isso fala positivamente sobre a confiabilidade de seu código, já que não encontrei nenhuma notícia sobre hacks ou vazamentos durante o funcionamento do serviço.
Pessoalmente, executo o MeshCentral em meu servidor porque acredito, sem razão, que ele é mais confiável, mas não há nada nele, exceto vaidade e languidez de espírito. Se você também quiser, então existem documentos e contêiner com MeshCentral. Os documentos descrevem como unir tudo no NGINX, para que a implementação se integre facilmente aos seus servidores domésticos.
Registrar para , entre e crie um Grupo de Dispositivos selecionando a opção “sem agente”:
Por que "nenhum agente"? Porque por que precisamos dele para instalar algo desnecessário, não está claro como ele se comporta e como funcionará.
Clique em “Adicionar CIRA”:
Baixe cira_setup_test.mescript e use-o em nosso MeshCommander assim:
Voilá! Depois de algum tempo, nossa máquina se conectará ao MeshCentral e poderemos fazer algo com ela.
Em primeiro lugar: você deve saber que nosso software não irá bater em um servidor remoto assim. Isso se deve ao fato de que o Intel AMT possui duas opções de conexão - por meio de um servidor remoto e diretamente localmente. Eles não funcionam ao mesmo tempo. Nosso script já configurou o sistema para trabalho remoto, mas pode ser necessário conectar-se localmente. Para se conectar localmente, você precisa ir aqui
escreva uma linha que seja o seu domínio local (observe que nosso script JÁ inseriu alguma linha aleatória ali para que a conexão possa ser feita remotamente) ou limpe todas as linhas completamente (mas então a conexão remota não estará disponível). Por exemplo, meu domínio local no OpenWrt é lan:
Assim, se inserirmos lan lá, e se nossa máquina estiver conectada a uma rede com este domínio local, a conexão remota não estará disponível, mas as portas locais 16992 e 16993 abrirão e aceitarão conexões. Resumindo, se houver algum tipo de bobagem que não esteja relacionada ao seu domínio local, então o software está com defeito, se não, então você mesmo precisa se conectar a ele por meio de um fio, só isso.
Em segundo lugar:
Tudo está pronto!
Você pode perguntar - onde está o AntiTheft? Como eu disse inicialmente, o Intel AMT não é muito adequado para combater ladrões. Administrar uma rede de escritórios é bem-vindo, mas brigar com indivíduos que se apoderaram ilegalmente de propriedades através da Internet não é tão especial. Vejamos um kit de ferramentas que, em teoria, pode nos ajudar na luta pela propriedade privada:
- Por si só, fica claro que você tem acesso à máquina se ela estiver conectada via cabo, ou, se o Windows estiver instalado nela, então via WiFi. Sim, é infantil, mas já é muito difícil para uma pessoa comum usar um laptop assim, mesmo que alguém assuma o controle repentinamente. Além disso, apesar de eu não ter conseguido entender os scripts, certamente é possível projetar artisticamente algumas funcionalidades para bloquear/exibir notificações sobre eles.
- Apagamento remoto seguro com tecnologia Intel Active Management
Usando esta opção, você pode excluir todas as informações da máquina em segundos. Não está claro se funciona em SSDs que não sejam da Intel. Aqui Você pode ler mais sobre esta função. Você pode admirar o trabalho . A qualidade é péssima, mas apenas 10 megabytes e a essência é clara.
O problema da execução diferida continua sem solução, ou seja: é preciso observar quando a máquina entra na rede para se conectar a ela. Acredito que haja alguma solução para isso também.
Numa implementação ideal, é necessário bloquear o laptop e exibir algum tipo de inscrição, mas no nosso caso simplesmente temos acesso inevitável, e o que fazer a seguir é uma questão de imaginação.
Talvez você consiga de alguma forma bloquear o carro ou pelo menos exibir uma mensagem, escreva se souber. Obrigado!
Não se esqueça de definir uma senha para o BIOS.
Obrigado usuário para revisão!
Fonte: habr.com