TL; DR
Absolute Computrace este o tehnologie care vă permite să vă încuiați mașina (și nu ), chiar dacă sistemul de operare a fost reinstalat pe acesta sau chiar dacă hard disk-ul a fost înlocuit, pentru 15 USD pe an. Am cumpărat un laptop de pe eBay care era blocat cu chestia asta. Articolul descrie experiența mea, cum m-am luptat cu ea și am încercat să fac același lucru pe Intel AMT, dar gratuit.
Să fim de acord imediat: nu sparg uși și nu scriu o prelegere despre aceste lucruri de la distanță, dar vă povestesc câteva detalii și cum să configurați rapid accesul de la distanță la mașina dvs. în orice situație (dacă este conectată la rețea prin RJ-45) sau, dacă este conectată prin Wi-Fi, atunci numai în sistemul de operare. WindowsDe asemenea, puteți introduce SSID-ul, numele de utilizator și parola pentru un anumit punct de acces chiar în Intel AMT, iar apoi puteți accesa Wi-Fi fără a porni sistemul. Acest lucru va funcționa și dacă instalați driverele Intel ME pe GNU/Linux, atunci toate acestea ar trebui să funcționeze și la el. În cele din urmă, nu veți putea bloca laptopul de la distanță sau afișa un mesaj (nu mi-am dat seama dacă acest lucru este posibil cu această tehnologie), dar veți avea acces la desktopul la distanță și la Ștergerea Securizată, iar asta e important.
Taximetristul a plecat cu laptopul meu si am decis sa cumpar unul nou de pe eBay. Ce ar putea merge prost?
De la cumpărător la hoți - într-o singură lansare
După ce am adus laptopul acasă de la poștă, m-am apucat să finalizez preinstalarea. Windows 10, și apoi am reușit chiar să instalez Firefox, când dintr-o dată:
Am înțeles perfect că modificarea distribuției Windows Nimeni n-ar fi făcut-o și, chiar dacă ar fi făcut-o, n-ar fi arătat atât de strident, iar blocarea s-ar fi produs mai repede. Și, în cele din urmă, nu ar fi avut rost să blocheze nimic, deoarece totul s-ar fi rezolvat cu o reinstalare. Bine, hai să repornim sistemul.
Reporniți în BIOS și acum totul devine puțin mai clar:
Și, în sfârșit, este complet clar:
Cum de mă deranjează propriul meu laptop? Ce este Computrace?
Strict vorbind, Computrace este un set de module din BIOS-ul EFI care, după încărcarea sistemului de operare Windows, își instalează troienii în el, care se conectează la serverul Absolute Software de la distanță și, dacă este necesar, permit blocarea sistemului pe internet. Puteți citi mai multe despre asta aici. Cu alte sisteme de operare decât Windows, Computrace nu funcționează. Mai mult, dacă conectăm unitatea la Windows, criptat de BitLocker sau de orice alt software, atunci Computrace nu va mai funcționa - modulele pur și simplu nu vor putea să își insereze fișierele în sistemul nostru.
De la distanță, astfel de tehnologii pot părea cosmice, dar numai până când aflăm că toate acestea se fac pe UEFI nativ folosind module și jumătate dubioase.
Se pare că acest lucru este rece și atotputernic până când încercăm, de exemplu, să bootăm în GNU/Linux:
Acest laptop are blocarea Computrace activată chiar acum.
Cum se spune,
Ce să fac?
Există patru vectori evidenti pentru rezolvarea problemei:
- Scrieți vânzătorului pe eBay
- Scrieți către Absolute software, creatorul și proprietarul Computrace
- Faceți un dump de pe cipul BIOS, trimiteți-l la tipurile umbrite, astfel încât să trimită înapoi un dump cu un patch care dezactivează toate blocările și meniurile ID-ul dispozitivului
- Sună-l pe Lazard
Să le privim în ordine:
- Noi, la fel ca toți oamenii rezonabili, scriem mai întâi vânzătorului care ne-a vândut un astfel de produs și discutăm problema cu cel care este principal responsabil pentru aceasta.
Făcut:
- Potrivit unui consilier descoperit în adâncurile internetului,
Trebuie să contactați absolute software. Aceștia vor dori numărul de serie al mașinii și numărul de serie al plăcii de bază. De asemenea, va trebui să furnizați „dovada achiziției”, cum ar fi o chitanță. Aceștia vor contacta proprietarul pe care îl au înregistrat și vor obține acordul pentru a-l elimina. Presupunând că nu este furat, îl vor „semnaliza pentru ștergere”. După aceea, data viitoare când vă veți conecta la internet sau veți avea o conexiune deschisă la internet, se va întâmpla un miracol și va dispărea. Trimiteți materialele pe care le-am menționat la TechSupport@absolute.com.
putem scrie direct lui Absolute și putem comunica direct cu ei despre deblocare. Mi-am luat timp și am decis să recurg la această soluție abia spre final.
- Din fericire, o soluție brutală a problemei era deja prezentă. Pe aceștia și mulți alți specialiști în asistență computerizată de pe același eBay și chiar indienii de pe Facebook ne promit să ne deblocăm BIOS-ul dacă le trimitem un dump și așteptăm câteva minute.
Procesul de deblocare este descris după cum urmează:
Soluția de deblocare este în sfârșit disponibilă și necesită programator SPEG pentru a putea flash BIOS-ul.
Procesul este:
- Citirea BIOS-ului și crearea unui dump valid. Într-un Thinkpad, BIOS-ul este căsătorit cu cipul TPM intern și conține o semnătură unică a acestuia, așa că este important ca BIOS-ul original să fie o citire corectă pentru succesul întregii operațiuni și pentru a restaura BIOS-ul ulterior.
- Patch-uri binarele BIOS și injectați un program UEFI all smallservice.ro. Acest program va citi eeprom securizat, va reseta certificatul și parola TPM, va scrie eeprom securizat și va reconstrui toate datele.
- Scrieți dump-ul BIOS corecționat (aceasta va funcționa numai în acel TP, btw), porniți laptopul și generați un ID hardware. Vă vom trimite o cheie unică care va activa BIOS-ul Allservice, în timp ce BIOS-ul se încarcă, acesta va executa rutina de deblocare și va debloca SVP și TPM.
- În cele din urmă, scrieți înapoi imaginea originală a BIOS-ului pentru operațiuni normale și bucurați-vă de laptop.
De asemenea, putem dezactiva Computrace sau modifica SN/UUID și reseta eroarea sumei de control RFID utilizând programul nostru UEFI în același mod, dacă este necesar
Prețul serviciului de deblocare este per mașină (așa cum facem și pentru Macbook/iMac, HP, Acer etc.). Pentru prețul și disponibilitatea serviciului, vă rugăm să citiți următoarea postare. Puteți contacta support@allservice.ro pentru orice întrebare.
Pare legitim! Dar și aceasta, din motive evidente, este o opțiune pentru cea mai disperată situație și, în plus, toată distracția costă 80 de dolari. Lăsăm pentru mai târziu.
- Dacă Lazard mi-a rupt totul și îmi cere să te sun înapoi, atunci nu ar trebui să refuzi! Sa trecem la treaba.
Îl numim pe Lazard, alias „cea mai importantă firmă de consultanță financiară și de gestionare a activelor din lume, care oferă consultanță cu privire la fuziuni, achiziții, restructurare, structura capitalului și strategie”
În timp ce vânzătorul de pe eBay răspunde, arunc câțiva dolari pe zadarma și aștept cu nerăbdare să comunic cu poate cel mai lipsit de suflet interlocutor de pe planetă - sprijinul unei uriașe corporații financiare din New York. Fata ridică repede telefonul, ascultă în tovarășul meu engleză explicații timide despre cum am cumpărat acest laptop, își notează numărul de serie și promite că îl va da administratorilor, care mă vor suna înapoi. Acest proces se repetă exact de două ori, la o zi distanță. A treia oară, am așteptat în mod deliberat până la 10 dimineața seara la New York și am sunat, citind rapid pastele cunoscute despre achiziția mea. Două ore mai târziu, aceeași femeie m-a sunat înapoi și a început să citească instrucțiuni:
— Faceți clic pe Escape.
Dau clic dar nu se întâmplă nimic.
— Ceva nu funcționează, nimic nu se schimbă.
- Presa.
- Apăs.
— Acum introduceți: 72406917
eu intru. Nimic nu se intampla.
- Știi, mă tem că asta nu va ajuta... Doar un minut...
Laptopul se repornește brusc, sistemul pornește, ecranul alb enervant a dispărut undeva. Pentru a fi sigur, intru în BIOS, Computrace nu este activat. Asta e, se pare. Vă mulțumesc pentru sprijin, îi scriu vânzătorului că am rezolvat singur toate problemele și mă relaxez.
OpenMakeshift Computrace bazat pe Intel AMT
Ceea ce s-a întâmplat m-a descurajat, dar mi-a plăcut ideea, durerea mea fantomă pentru ceea ce s-a pierdut mediocru căuta o cale de ieșire, am vrut să-mi protejez noul laptop, de parcă mi-ar da înapoi pe cel vechi. Dacă cineva folosește Computrace, îl pot folosi și eu, nu? La urma urmei, a existat Intel Anti-Theft, conform descrierii - o tehnologie excelentă care funcționează așa cum ar trebui, dar a fost ucisă de inerția pieței, dar trebuie să existe o alternativă. S-a dovedit că această alternativă a început în același loc în care s-a terminat - doar software-ul Absolute a reușit să pună un punct în acest domeniu.
În primul rând, să ne amintim ce este Intel AMT: acesta este un set de biblioteci care fac parte din Intel ME, integrate în BIOS-ul EFI, astfel încât un administrator dintr-un birou să poată, fără să se ridice de pe scaun, să opereze mașini în rețea, chiar dacă nu pornesc, conectarea de la distanță a ISO-urilor, controlul prin desktop la distanță etc.
Toate acestea rulează pe Minix și la aproximativ acest nivel:
Invisible Things Lab a propus să numească funcționalitatea tehnologiei Intel vPro / Intel AMT un inel de protecție -3. Ca parte a acestei tehnologii, chipset-urile care acceptă tehnologia vPro conțin un microprocesor independent (arhitectură ARC4), au o interfață separată la placa de rețea, acces exclusiv la o secțiune dedicată de RAM (16 MB) și acces DMA la memoria RAM principală. Programele de pe acesta sunt executate independent de procesorul central; firmware-ul este stocat împreună cu codurile BIOS sau pe o memorie flash SPI similară (codul are o semnătură criptografică). O parte a firmware-ului este un server web încorporat. În mod implicit, AMT este dezactivat, dar un cod încă rulează în acest mod, chiar și atunci când AMT este dezactivat. Codul de apel -3 este activ chiar și în modul de alimentare S3 Sleep.
Acest lucru sună tentant, deoarece se pare că dacă putem stabili o conexiune inversă la un panou de administrare folosind Intel AMT, vom putea avea acces nu mai rău decât Computrace (de fapt, nu).
Activem Intel AMT pe mașina noastră
În primul rând, unii dintre voi probabil că ar dori să atingă acest AMT cu propriile mâini și aici încep nuanțele. În primul rând: aveți nevoie de un procesor care să-l suporte. Din fericire, nu există probleme cu acest lucru (cu excepția cazului în care aveți AMD), deoarece vPro este adăugat la aproape toate procesoarele Intel i5, i7 și i9 (puteți vedea ) din 2006, iar VNC normal a fost adus acolo deja în 2010. În al doilea rând: dacă ai un desktop, atunci ai nevoie de o placă de bază care să suporte această funcționalitate și anume cu chipset-ul Q În laptopuri, trebuie să cunoaștem doar modelul procesorului. Dacă găsiți suport pentru Intel AMT, atunci acesta este un semn bun și veți putea aplica setările primite aici. Dacă nu, atunci ori ai avut ghinion/ai ales în mod intenționat un procesor sau un chipset fără suport pentru această tehnologie, ori ai economisit cu succes alegând AMD, ceea ce este și un motiv de bucurie.
Conform documentelor
În modul nesecurizat, dispozitivele Intel AMT ascultă pe portul 16992.
În modul TLS, dispozitivele Intel AMT ascultă pe portul 16993.
Intel AMT acceptă conexiuni pe porturile 16992 și 16993. Să trecem acolo.
Trebuie să verificați dacă Intel AMT este activat în BIOS:
În continuare trebuie să repornim și să apăsăm Ctrl + P în timpul încărcării
Parola standard, ca de obicei, admin.
Schimbați imediat parola în Setările generale Intel ME. Apoi, în Configurația Intel AMT, activați Activare acces la rețea. Gata. Acum sunteți oficial backdoor. Ne încărcăm în sistem.
Acum o nuanță importantă: logic, putem accesa Intel AMT de la localhost și de la distanță, dar nu. Intel spune că vă puteți conecta local și puteți modifica setările folosind , dar pentru mine a refuzat categoric să se conecteze, așa că conexiunea mea a funcționat doar de la distanță.
Luăm un dispozitiv și ne conectăm prin : 16992
Arată astfel:
Bun venit la interfața standard Intel AMT! De ce „standard”? Pentru că este trunchiat și complet inutil pentru scopurile noastre, iar noi vom folosi ceva mai serios.
Cunoașterea MeshCommander
Ca de obicei, marile companii fac ceva, iar utilizatorii finali îl modifică pentru a se potrivi. Așa s-a întâmplat și aici.
Acest modest (fără exagerare: numele lui nu este pe site-ul lui, a trebuit să-l caut pe Google) pe nume Ylian Saint-Hilaire a dezvoltat instrumente minunate pentru a lucra cu Intel AMT.
Aș dori să vă atrag imediat atenția asupra lui , în videoclipurile sale el arată simplu și clar în timp real cum să efectueze anumite sarcini legate de Intel AMT și software-ul acestuia.
Să începem . Descărcați, instalați și încercați să vă conectați la mașina noastră:
Procesul nu este instantaneu, dar ca rezultat vom obține acest ecran:
Nu este că sunt paranoic, dar voi șterge datele sensibile, iartă-mă pentru așa cochetărie
Diferența, după cum se spune, este evidentă. Nu știu de ce Intel Control Panel nu are un astfel de set de funcții, dar adevărul este că Ylian Saint-Hilaire obține mult mai mult din viață. Mai mult, puteți instala interfața sa web direct în firmware, vă va permite să utilizați toate funcțiile fără un utilitar.
Acest lucru se face astfel:
Trebuie să rețin că nu am folosit această funcționalitate (interfață web personalizată) și nu pot spune nimic despre eficacitatea și performanța ei, deoarece nu este necesară pentru nevoile mele.
Te poți juca cu funcționalitatea, este puțin probabil să strici totul, deoarece punctul de pornire și final al acestui întreg festival este BIOS-ul, în care apoi poți reseta totul dezactivând Intel AMT.
Implementați MeshCentral și implementați BackConnect
Și aici începe căderea completă a capului. Unchiul meu nu a făcut doar un client, ci și un întreg panou de administrare pentru troianul nostru! Și nu numai că a făcut-o, dar .
Începeți prin a instala un server MeshCentral propriu sau dacă nu sunteți familiarizat cu MeshCentral, puteți încerca serverul public pe propriul risc la MeshCentral.com.
Acest lucru vorbește pozitiv despre fiabilitatea codului său, deoarece nu am putut găsi nicio veste despre hack-uri sau scurgeri în timpul funcționării serviciului.
Personal, rulez MeshCentral pe serverul meu pentru că cred în mod nerezonabil că este mai de încredere, dar nu există nimic în el, în afară de vanitate și langoarea spiritului. Dacă vrei și tu, atunci există documente şi container cu MeshCentral. Documentele descriu cum se leagă totul împreună în NGINX, astfel încât implementarea se va integra cu ușurință în serverele dvs. de acasă.
Înregistrează-te pe , intrați și creați un grup de dispozitive selectând opțiunea „fără agent”:
De ce „fără agent”? Pentru că de ce avem nevoie de el pentru a instala ceva inutil, nu este clar cum se comportă și cum va funcționa.
Faceți clic pe „Adăugați CIRA”:
Descărcați cira_setup_test.mescript și utilizați-l în MeshCommander astfel:
Voila! După ceva timp, mașina noastră se va conecta la MeshCentral și putem face ceva cu el.
În primul rând: trebuie să știți că software-ul nostru nu va bate la un server la distanță chiar așa. Acest lucru se datorează faptului că Intel AMT are două opțiuni de conectare - printr-un server la distanță și direct local. Ele nu funcționează în același timp. Scriptul nostru a configurat deja sistemul pentru lucrul de la distanță, dar poate fi necesar să vă conectați local. Pentru a vă conecta local, trebuie să mergeți aici
scrieți o linie care este domeniul dvs. local (rețineți că scriptul nostru a inserat DEJA o linie aleatorie acolo, astfel încât conexiunea să se poată face de la distanță) sau ștergeți toate liniile cu totul (dar atunci conexiunea la distanță nu va fi disponibilă). De exemplu, domeniul meu local în OpenWrt este lan:
În consecință, dacă introducem lan acolo și dacă mașina noastră este conectată la o rețea cu acest domeniu local, atunci conexiunea la distanță nu va fi disponibilă, dar porturile locale 16992 și 16993 se vor deschide și vor accepta conexiuni. Pe scurt, dacă există un fel de prostie care nu are legătură cu domeniul dvs. local, atunci software-ul funcționează, dacă nu, atunci trebuie să vă conectați singuri la el printr-un fir, asta-i tot.
În al doilea rând:
Totul este gata!
Puteți întreba - unde este AntiTheft? După cum am spus inițial, Intel AMT nu este foarte potrivit pentru a lupta împotriva hoților. Administrarea unei rețele de birouri este binevenită, dar lupta cu persoane care au luat ilegal proprietatea prin internet nu este atât de specială. Să luăm în considerare un set de instrumente care, teoretic, ne poate ajuta în lupta pentru proprietatea privată:
- Simpla prezență a accesului la mașină este evidentă dacă aceasta este conectată printr-un cablu sau dacă este instalată Windows, chiar și prin WiFi. Da, e copilăresc, dar utilizarea unui astfel de laptop este deja foarte dificilă pentru o persoană obișnuită, chiar dacă cineva preia brusc controlul. În plus, deși nu am reușit să descifrez scripturile, probabil că este posibil să adaug inteligent niște funcționalități în ele pentru a bloca/afișa notificările.
- Ștergere securizată de la distanță cu tehnologia Intel Active Management
Folosind această opțiune, puteți șterge toate informațiile din aparat în câteva secunde. Nu este clar dacă funcționează pe SSD-uri non-Intel. Aici Puteți citi mai multe despre această funcție. Puteți admira lucrarea . Calitatea este groaznică, dar doar 10 megaocteți și esența este clară.
Problema execuției amânate rămâne nerezolvată, cu alte cuvinte: trebuie să urmăriți când aparatul intră în rețea pentru a vă conecta la ea. Cred că există și o soluție la asta.
Într-o implementare ideală, trebuie să blocați laptopul și să afișați un fel de inscripție, dar în cazul nostru pur și simplu avem acces inevitabil, iar ce să faceți în continuare este o chestiune de imaginație.
Poate vei putea cumva să blochezi mașina sau măcar să afișezi un mesaj, scrie dacă știi. Mulțumesc!
Nu uitați să setați o parolă pentru BIOS.
Mulțumesc utilizatorului pentru corecturi!
Sursa: www.habr.com
