TL; DR
Absolute Computrace este o tehnologie care vă permite să vă încuiați mașina (și nu ), chiar dacă sistemul de operare a fost reinstalat pe acesta sau chiar dacă hard disk-ul a fost înlocuit, pentru 15 USD pe an. Am cumpărat un laptop de pe eBay care era blocat cu chestia asta. Articolul descrie experiența mea, cum m-am luptat cu ea și am încercat să fac același lucru pe Intel AMT, dar gratuit.
Să fim imediat de acord: nu intru în ușile deschise și nu scriu o prelegere despre aceste lucruri la distanță, ci spun un mic context și cum să obții rapid acces de la distanță la aparatul tău de pe genunchi în orice situație (dacă este conectat la rețea prin RJ-45) sau, dacă este conectat prin Wi-Fi, atunci numai în sistemul de operare Windows. De asemenea, va fi posibil să se înregistreze SSID-ul, autentificarea și parola unui anumit punct în Intel AMT în sine, iar apoi accesul prin Wi-Fi poate fi obținut și fără pornirea în sistem. Și, de asemenea, dacă instalați drivere pentru Intel ME pe GNU/Linux, atunci toate acestea ar trebui să funcționeze și pe el. Drept urmare, nu va fi posibilă blocarea de la distanță a unui laptop și afișarea unui mesaj (nu mi-am putut da seama dacă acest lucru este posibil chiar folosind această tehnologie), dar va exista acces la un desktop de la distanță și Secure Erase, și acest lucru este principalul lucru.
Taximetristul a plecat cu laptopul meu si am decis sa cumpar unul nou de pe eBay. Ce ar putea merge prost?
De la cumpărător la hoți - într-o singură lansare
După ce am adus acasă un laptop de la oficiul poștal, m-am apucat să finalizez preinstalarea Windows 10, iar după aceea am reușit chiar să descarc Firefox, când dintr-o dată:
Am înțeles perfect că nimeni nu va modifica distribuția Windows și, dacă ar fi făcut-o, atunci totul nu ar părea atât de stângaci și în general blocarea s-ar fi întâmplat mai repede. Și, până la urmă, n-ar avea rost să blochezi ceva, din moment ce totul s-ar vindeca prin reinstalarea lui. Bine, să repornim.
Reporniți în BIOS și acum totul devine puțin mai clar:
Și, în sfârșit, este complet clar:
Cum de mă deranjează propriul meu laptop? Ce este Computrace?
Strict vorbind, Computrace este un set de module din BIOS-ul dvs. EFI care, după încărcarea sistemului de operare Windows, își introduc troienii în el, lovind serverul software Absolute de la distanță și permițând, dacă este necesar, blocarea sistemului prin Internet. Puteți citi mai multe detalii aici . Computrace nu funcționează cu alte sisteme de operare decât Windows. Mai mult, dacă conectăm o unitate cu Windows criptat de BitLocker sau orice alt software, atunci Computrace nu va funcționa din nou - modulele pur și simplu nu vor putea să-și arunce fișierele în sistemul nostru.
De la distanță, astfel de tehnologii pot părea cosmice, dar numai până când aflăm că toate acestea se fac pe UEFI nativ folosind module și jumătate dubioase.
Se pare că acest lucru este rece și atotputernic până când încercăm, de exemplu, să pornim în GNU/Linux:
Acest laptop are blocarea Computrace activată chiar acum.
Cum se spune,
Ce să fac?
Există patru vectori evidenti pentru rezolvarea problemei:
- Scrieți vânzătorului pe eBay
- Scrieți către Absolute software, creatorul și proprietarul Computrace
- Faceți un dump de pe cipul BIOS, trimiteți-l la tipurile umbrite, astfel încât să trimită înapoi un dump cu un patch care dezactivează toate blocările și meniurile ID-ul dispozitivului
- Sună-l pe Lazard
Să le privim în ordine:
- Noi, la fel ca toți oamenii rezonabili, scriem mai întâi vânzătorului care ne-a vândut un astfel de produs și discutăm problema cu cel care este principal responsabil pentru aceasta.
Făcut:
- Potrivit unui consilier descoperit în adâncurile internetului,
Trebuie să contactați absolute software. Vor dori numărul de serie al mașinii și numărul de serie al plăcii de bază. De asemenea, va trebui să furnizați „dovada achiziției”, cum ar fi o chitanță. Ei vor contacta proprietarul pe care îl au în dosar și vor primi OK pentru a-l elimina. Presupunând că nu este furat, ei îl vor „semnaliza pentru ștergere”. După aceea, data viitoare când vă conectați la internet sau aveți o conexiune la internet deschisă, va avea loc un miracol și va dispărea. Trimite lucrurile la care am menționat [e-mail protejat].
putem scrie direct lui Absolute și putem comunica direct cu ei despre deblocare. Mi-am luat timp și am decis să recurg la această soluție abia spre final.
- Din fericire, o soluție brutală a problemei era deja prezentă. Pe aceștia și mulți alți specialiști în asistență computerizată de pe același eBay și chiar indienii de pe Facebook ne promit să ne deblocăm BIOS-ul dacă le trimitem un dump și așteptăm câteva minute.
Procesul de deblocare este descris după cum urmează:
Soluția de deblocare este în sfârșit disponibilă și necesită programator SPEG pentru a putea flash BIOS-ul.
Procesul este:
- Citirea BIOS-ului și crearea unui dump valid. Într-un Thinkpad, BIOS-ul este căsătorit cu cipul TPM intern și conține o semnătură unică a acestuia, așa că este important ca BIOS-ul original să fie o citire corectă pentru succesul întregii operațiuni și pentru a restaura BIOS-ul ulterior.
- Patch-uri binarele BIOS și injectați un program UEFI all smallservice.ro. Acest program va citi eeprom securizat, va reseta certificatul și parola TPM, va scrie eeprom securizat și va reconstrui toate datele.
- Scrieți dump-ul BIOS corecționat (aceasta va funcționa numai în acel TP, btw), porniți laptopul și generați un ID hardware. Vă vom trimite o cheie unică care va activa BIOS-ul Allservice, în timp ce BIOS-ul se încarcă, acesta va executa rutina de deblocare și va debloca SVP și TPM.
- În cele din urmă, scrieți înapoi imaginea originală a BIOS-ului pentru operațiuni normale și bucurați-vă de laptop.
De asemenea, putem dezactiva Computrace sau modifica SN/UUID și reseta eroarea sumei de control RFID utilizând programul nostru UEFI în același mod, dacă este necesar
Prețul serviciului de deblocare este pe mașină (cum facem noi pentru Macbook/iMac, HP, Acer etc.) Pentru prețul și disponibilitatea serviciului, vă rugăm să citiți următoarea postare de mai jos. Puteți contacta [e-mail protejat] pentru orice ancheta.
Pare legitim! Dar și aceasta, din motive evidente, este o opțiune pentru cea mai disperată situație și, în plus, toată distracția costă 80 de dolari. Lăsăm pentru mai târziu.
- Dacă Lazard mi-a rupt totul și îmi cere să te sun înapoi, atunci nu ar trebui să refuzi! Sa trecem la treaba.
Îl numim pe Lazard, alias „cea mai importantă firmă de consultanță financiară și de gestionare a activelor din lume, care oferă consultanță cu privire la fuziuni, achiziții, restructurare, structura capitalului și strategie”
În timp ce vânzătorul de pe eBay răspunde, arunc câțiva dolari pe zadarma și aștept cu nerăbdare să comunic cu poate cel mai lipsit de suflet interlocutor de pe planetă - sprijinul unei uriașe corporații financiare din New York. Fata ridică repede telefonul, ascultă în tovarășul meu engleză explicații timide despre cum am cumpărat acest laptop, își notează numărul de serie și promite că îl va da administratorilor, care mă vor suna înapoi. Acest proces se repetă exact de două ori, la o zi distanță. A treia oară, am așteptat în mod deliberat până la 10 dimineața seara la New York și am sunat, citind rapid pastele cunoscute despre achiziția mea. Două ore mai târziu, aceeași femeie m-a sunat înapoi și a început să citească instrucțiuni:
— Faceți clic pe Escape.
Dau clic dar nu se întâmplă nimic.
— Ceva nu funcționează, nimic nu se schimbă.
- Presa.
- Apăs.
— Acum introduceți: 72406917
eu intru. Nimic nu se intampla.
- Știi, mă tem că asta nu va ajuta... Doar un minut...
Laptopul se repornește brusc, sistemul pornește, ecranul alb enervant a dispărut undeva. Pentru a fi sigur, intru în BIOS, Computrace nu este activat. Asta e, se pare. Vă mulțumesc pentru sprijin, îi scriu vânzătorului că am rezolvat singur toate problemele și mă relaxez.
OpenMakeshift Computrace bazat pe Intel AMT
Ceea ce s-a întâmplat m-a descurajat, dar mi-a plăcut ideea, durerea mea fantomă pentru ceea ce s-a pierdut mediocru căuta o cale de ieșire, am vrut să-mi protejez noul laptop, de parcă mi-ar da înapoi pe cel vechi. Dacă cineva folosește Computrace, îl pot folosi și eu, nu? La urma urmei, a existat Intel Anti-Theft, conform descrierii - o tehnologie excelentă care funcționează așa cum ar trebui, dar a fost ucisă de inerția pieței, dar trebuie să existe o alternativă. S-a dovedit că această alternativă a început în același loc în care s-a terminat - doar software-ul Absolute a reușit să pună un punct în acest domeniu.
În primul rând, să ne amintim ce este Intel AMT: acesta este un set de biblioteci care fac parte din Intel ME, integrate în BIOS-ul EFI, astfel încât un administrator dintr-un birou să poată, fără să se ridice de pe scaun, să opereze mașini în rețea, chiar dacă nu pornesc, conectarea de la distanță a ISO-urilor, controlul prin desktop la distanță etc.
Toate acestea rulează pe Minix și la aproximativ acest nivel:
Invisible Things Lab a propus să numească funcționalitatea tehnologiei Intel vPro / Intel AMT un inel de protecție -3. Ca parte a acestei tehnologii, chipset-urile care acceptă tehnologia vPro conțin un microprocesor independent (arhitectură ARC4), au o interfață separată la placa de rețea, acces exclusiv la o secțiune dedicată de RAM (16 MB) și acces DMA la memoria RAM principală. Programele de pe acesta sunt executate independent de procesorul central; firmware-ul este stocat împreună cu codurile BIOS sau pe o memorie flash SPI similară (codul are o semnătură criptografică). O parte a firmware-ului este un server web încorporat. În mod implicit, AMT este dezactivat, dar un cod încă rulează în acest mod, chiar și atunci când AMT este dezactivat. Codul de apel -3 este activ chiar și în modul de alimentare S3 Sleep.
Acest lucru sună tentant, deoarece se pare că dacă putem stabili o conexiune inversă la un panou de administrare folosind Intel AMT, vom putea avea acces nu mai rău decât Computrace (de fapt, nu).
Activem Intel AMT pe mașina noastră
În primul rând, unii dintre voi probabil că ar dori să atingă acest AMT cu propriile mâini și aici încep nuanțele. În primul rând: aveți nevoie de un procesor care să-l suporte. Din fericire, nu există probleme cu acest lucru (cu excepția cazului în care aveți AMD), deoarece vPro este adăugat la aproape toate procesoarele Intel i5, i7 și i9 (puteți vedea ) din 2006, iar VNC normal a fost adus acolo deja în 2010. În al doilea rând: dacă ai un desktop, atunci ai nevoie de o placă de bază care să suporte această funcționalitate și anume cu chipset-ul Q În laptopuri, trebuie să cunoaștem doar modelul procesorului. Dacă găsiți suport pentru Intel AMT, atunci acesta este un semn bun și veți putea aplica setările primite aici. Dacă nu, atunci ori ai avut ghinion/ai ales în mod intenționat un procesor sau un chipset fără suport pentru această tehnologie, ori ai economisit cu succes alegând AMD, ceea ce este și un motiv de bucurie.
Conform documentelor
În modul nesecurizat, dispozitivele Intel AMT ascultă pe portul 16992.
În modul TLS, dispozitivele Intel AMT ascultă pe portul 16993.
Intel AMT acceptă conexiuni pe porturile 16992 și 16993. Să trecem acolo.
Trebuie să verificați dacă Intel AMT este activat în BIOS:
În continuare trebuie să repornim și să apăsăm Ctrl + P în timpul încărcării
Parola standard, ca de obicei, admin.
Schimbați imediat parola în Setările generale Intel ME. Apoi, în Configurația Intel AMT, activați Activare acces la rețea. Gata. Acum sunteți oficial backdoor. Ne încărcăm în sistem.
Acum o nuanță importantă: logic, putem accesa Intel AMT de la localhost și de la distanță, dar nu. Intel spune că vă puteți conecta local și puteți modifica setările folosind , dar pentru mine a refuzat categoric să se conecteze, așa că conexiunea mea a funcționat doar de la distanță.
Luăm un dispozitiv și ne conectăm prin : 16992
Arată astfel:
Bun venit la interfața standard Intel AMT! De ce „standard”? Pentru că este trunchiat și complet inutil pentru scopurile noastre, iar noi vom folosi ceva mai serios.
Cunoașterea MeshCommander
Ca de obicei, marile companii fac ceva, iar utilizatorii finali îl modifică pentru a se potrivi. Așa s-a întâmplat și aici.
Acest modest (fără exagerare: numele lui nu este pe site-ul lui, a trebuit să-l caut pe Google) pe nume Ylian Saint-Hilaire a dezvoltat instrumente minunate pentru a lucra cu Intel AMT.
Aș dori să vă atrag imediat atenția asupra lui , în videoclipurile sale el arată simplu și clar în timp real cum să efectueze anumite sarcini legate de Intel AMT și software-ul acestuia.
Să începem . Descărcați, instalați și încercați să vă conectați la mașina noastră:
Procesul nu este instantaneu, dar ca rezultat vom obține acest ecran:
Nu este că sunt paranoic, dar voi șterge datele sensibile, iartă-mă pentru așa cochetărie
Diferența, după cum se spune, este evidentă. Nu știu de ce Intel Control Panel nu are un astfel de set de funcții, dar adevărul este că Ylian Saint-Hilaire obține mult mai mult din viață. Mai mult, puteți instala interfața sa web direct în firmware, vă va permite să utilizați toate funcțiile fără un utilitar.
Acest lucru se face astfel:
Trebuie să rețin că nu am folosit această funcționalitate (interfață web personalizată) și nu pot spune nimic despre eficacitatea și performanța ei, deoarece nu este necesară pentru nevoile mele.
Te poți juca cu funcționalitatea, este puțin probabil să strici totul, deoarece punctul de pornire și final al acestui întreg festival este BIOS-ul, în care apoi poți reseta totul dezactivând Intel AMT.
Implementați MeshCentral și implementați BackConnect
Și aici începe căderea completă a capului. Unchiul meu nu a făcut doar un client, ci și un întreg panou de administrare pentru troianul nostru! Și nu numai că a făcut-o, dar .
Începeți prin a instala un server MeshCentral propriu sau dacă nu sunteți familiarizat cu MeshCentral, puteți încerca serverul public pe propriul risc la MeshCentral.com.
Acest lucru vorbește pozitiv despre fiabilitatea codului său, deoarece nu am putut găsi nicio veste despre hack-uri sau scurgeri în timpul funcționării serviciului.
Personal, rulez MeshCentral pe serverul meu pentru că cred în mod nerezonabil că este mai de încredere, dar nu există nimic în el, în afară de vanitate și langoarea spiritului. Dacă vrei și tu, atunci există documente şi container cu MeshCentral. Documentele descriu cum se leagă totul împreună în NGINX, astfel încât implementarea se va integra cu ușurință în serverele dvs. de acasă.
Înregistrează-te pe , intrați și creați un grup de dispozitive selectând opțiunea „fără agent”:
De ce „fără agent”? Pentru că de ce avem nevoie de el pentru a instala ceva inutil, nu este clar cum se comportă și cum va funcționa.
Faceți clic pe „Adăugați CIRA”:
Descărcați cira_setup_test.mescript și utilizați-l în MeshCommander astfel:
Voila! După ceva timp, mașina noastră se va conecta la MeshCentral și putem face ceva cu el.
În primul rând: trebuie să știți că software-ul nostru nu va bate la un server la distanță chiar așa. Acest lucru se datorează faptului că Intel AMT are două opțiuni de conectare - printr-un server la distanță și direct local. Ele nu funcționează în același timp. Scriptul nostru a configurat deja sistemul pentru lucrul de la distanță, dar poate fi necesar să vă conectați local. Pentru a vă conecta local, trebuie să mergeți aici
scrieți o linie care este domeniul dvs. local (rețineți că scriptul nostru a inserat DEJA o linie aleatorie acolo, astfel încât conexiunea să se poată face de la distanță) sau ștergeți toate liniile cu totul (dar atunci conexiunea la distanță nu va fi disponibilă). De exemplu, domeniul meu local în OpenWrt este lan:
În consecință, dacă introducem lan acolo și dacă mașina noastră este conectată la o rețea cu acest domeniu local, atunci conexiunea la distanță nu va fi disponibilă, dar porturile locale 16992 și 16993 se vor deschide și vor accepta conexiuni. Pe scurt, dacă există un fel de prostie care nu are legătură cu domeniul dvs. local, atunci software-ul funcționează, dacă nu, atunci trebuie să vă conectați singuri la el printr-un fir, asta-i tot.
În al doilea rând:
Totul este gata!
Puteți întreba - unde este AntiTheft? După cum am spus inițial, Intel AMT nu este foarte potrivit pentru a lupta împotriva hoților. Administrarea unei rețele de birouri este binevenită, dar lupta cu persoane care au luat ilegal proprietatea prin internet nu este atât de specială. Să luăm în considerare un set de instrumente care, teoretic, ne poate ajuta în lupta pentru proprietatea privată:
- În sine, este clar că aveți acces la mașină dacă este conectată prin cablu sau, dacă Windows este instalat pe ea, atunci prin WiFi. Da, este copilăresc, dar este deja foarte dificil pentru o persoană obișnuită să folosească un astfel de laptop, chiar dacă cineva preia brusc controlul. Mai mult, în ciuda faptului că nu mi-am putut da seama de scripturi, cu siguranță este posibil să proiectez artistic unele funcționalități pentru blocarea/afișarea notificărilor asupra acestora.
- Ștergere securizată de la distanță cu tehnologia Intel Active Management
Folosind această opțiune, puteți șterge toate informațiile din aparat în câteva secunde. Nu este clar dacă funcționează pe SSD-uri non-Intel. Aici Puteți citi mai multe despre această funcție. Puteți admira lucrarea . Calitatea este groaznică, dar doar 10 megaocteți și esența este clară.
Problema execuției amânate rămâne nerezolvată, cu alte cuvinte: trebuie să urmăriți când aparatul intră în rețea pentru a vă conecta la ea. Cred că există și o soluție la asta.
Într-o implementare ideală, trebuie să blocați laptopul și să afișați un fel de inscripție, dar în cazul nostru pur și simplu avem acces inevitabil, iar ce să faceți în continuare este o chestiune de imaginație.
Poate vei putea cumva să blochezi mașina sau măcar să afișezi un mesaj, scrie dacă știi. Mulțumesc!
Nu uitați să setați o parolă pentru BIOS.
Mulțumesc utilizatorului pentru corecturi!
Sursa: www.habr.com