TL; DR
Absolute Computrace je technológia, ktorá vám umožňuje uzamknúť auto (a nie ), aj keď bol na ňom preinštalovaný operačný systém alebo dokonca vymenený pevný disk, za 15 dolárov ročne. Kúpil som si notebook na eBay, ktorý bol uzamknutý touto vecou. V článku sú opísané moje skúsenosti, ako som s tým bojoval a skúsil to isté urobiť na Intel AMT, ale zadarmo.
Okamžite sa zhodneme: nevlámam sa do otvorených dverí a nenapíšem prednášku o týchto vzdialených veciach, ale poviem niečo o pozadí a o tom, ako rýchlo získať vzdialený prístup k vášmu stroju na kolene v akejkoľvek situácii (ak je pripojený k sieť cez RJ-45) alebo ak je pripojený cez Wi-Fi, tak len v OS Windows. Taktiež bude možné zaregistrovať SSID, prihlasovacie meno a heslo konkrétneho bodu v samotnom Intel AMT a následne je možné získať prístup cez Wi-Fi aj bez bootovania do systému. A tiež, ak si nainštalujete ovládače pre Intel ME na GNU/Linux, tak toto všetko by malo fungovať aj na ňom. V dôsledku toho nebude možné na diaľku uzamknúť notebook a zobraziť správu (nevedel som zistiť, či je to vôbec možné pomocou tejto technológie), ale bude existovať prístup k vzdialenej ploche a zabezpečenému vymazaniu, a to je hlavná vec.
Taxikár odišiel s mojím notebookom a ja som sa rozhodol kúpiť si nový na eBay. Čo sa môže pokaziť?
Od kupca po zlodejov - v jednom spustení
Po prinesení notebooku z pošty som sa pustil do dokončenia predinštalácie Windowsu 10 a potom sa mi dokonca podarilo stiahnuť Firefox, keď zrazu:
Úplne dobre som pochopil, že nikto nebude upravovať distribúciu Windows, a ak áno, potom by všetko nevyzeralo tak nemotorne a vo všeobecnosti by blokovanie prebehlo rýchlejšie. A v konečnom dôsledku by nemalo zmysel čokoľvek blokovať, pretože všetko by sa vyliečilo preinštalovaním. Dobre, poďme reštartovať.
Reštartujte do systému BIOS a teraz je všetko o niečo jasnejšie:
A nakoniec je to úplne jasné:
Ako to, že ma trápi môj vlastný notebook? Čo je to Computrace?
Presne povedané, Computrace je sada modulov vo vašom EFI BIOS, ktoré po načítaní OS Windows do neho vložia svoje trójske kone, zaklopú na vzdialený softvérový server Absolute a umožnia, ak je to potrebné, zablokovať systém cez internet. Viac podrobností si môžete prečítať tu . Computrace nefunguje s inými operačnými systémami ako Windows. Navyše, ak pripojíme disk so systémom Windows zašifrovaný BitLockerom alebo akýmkoľvek iným softvérom, potom Computrace opäť nebude fungovať - moduly jednoducho nebudú môcť hodiť svoje súbory do nášho systému.
Z diaľky môžu takéto technológie pôsobiť kozmicky, no len do chvíle, kým nezistíme, že sa to všetko robí na natívnom UEFI pomocou jeden a pol pochybných modulov.
Zdá sa, že táto vec je chladná a všemocná, kým sa napríklad nepokúsime zaviesť systém GNU/Linux:
Tento prenosný počítač má momentálne povolené uzamknutie funkcie Computrace.
Ako vravia,
Čo robiť?
Existujú štyri zrejmé vektory na vyriešenie problému:
- Napíšte predajcovi na eBay
- Napíšte do Absolute software, tvorcu a vlastníka Computrace
- Vytvorte výpis z čipu BIOS, pošlite ho tieňovým typom, aby poslali výpis späť s opravou, ktorá deaktivuje všetky zámky a ponúkne ID zariadenia
- Zavolajte Lazarda
Pozrime sa na ne v poradí:
- My, ako všetci rozumní ľudia, najprv napíšeme predajcovi, ktorý nám takýto výrobok predal a problém prediskutujeme s tým, kto je zaň primárne zodpovedný.
Vyrobené:
- Podľa poradcu objaveného v hlbinách internetu
Musíte kontaktovať absolútny softvér. Budú chcieť sériové číslo stroja a sériové číslo základnej dosky. Budete tiež musieť poskytnúť „doklad o kúpe“, ako napríklad účtenku. Obrátia sa na vlastníka, ktorého majú v evidencii, a dostanú súhlas na jeho odstránenie. Za predpokladu, že nie je ukradnutý, potom ho „označia na odstránenie“. Potom, keď sa nabudúce pripojíte na internet alebo budete mať otvorené internetové pripojenie, stane sa zázrak a bude preč. Pošlite veci, ktoré som spomenul [chránené e-mailom].
môžeme napísať priamo Absolute a priamo s nimi komunikovať o odomknutí. Dal som si načas a rozhodol som sa uchýliť sa k tomuto riešeniu až ku koncu.
- Našťastie už bolo prítomné brutálne riešenie problému. Tieto a mnoho ďalších špecialistov na počítačovú podporu na rovnakom eBay a dokonca aj Indovia na Facebooku nám sľubujú, že odomkneme náš BIOS, ak im pošleme výpis a počkáme pár minút.
Proces odomknutia je opísaný takto:
Riešenie na odomknutie je konečne dostupné a vyžaduje SPEG programátora, aby mohol flashovať BIOS.
Proces je:
- Čítanie systému BIOS a vytvorenie platného výpisu. V Thinkpade je BIOS spojený s interným čipom TPM a obsahuje jeho jedinečný podpis, takže pre úspech celej operácie je dôležité, aby bol pôvodný BIOS správne načítaný a aby sa BIOS následne obnovil.
- Oprava binárnych súborov systému BIOS a vloženie programu UEFI all smallservice.ro. Tento program prečíta zabezpečený eeprom, resetuje certifikát TPM a heslo, zapíše zabezpečený eeprom a zrekonštruuje všetky údaje.
- Napíšte opravený výpis BIOSu (to bude fungovať iba v tomto TP), spustite notebook a vygenerujte ID hardvéru. Pošleme vám jedinečný kľúč, ktorý aktivuje Allservice BIOS, zatiaľ čo sa BIOS načítava, vykoná rutinu odomknutia a odomkne SVP a TPM.
- Nakoniec zapíšte pôvodný výpis BIOSu späť pre normálnu prevádzku a užite si notebook.
Môžeme tiež zakázať Computrace alebo zmeniť SN/UUID a resetovať chybu kontrolného súčtu RFID pomocou nášho programu UEFI rovnakým spôsobom, ak je to potrebné.
Cena služby odomknutia je za počítač (ako to robíme pre Macbook/iMac, HP, Acer atď.) Informácie o cene a dostupnosti služby nájdete v nasledujúcom príspevku nižšie. Môžete kontaktovať [chránené e-mailom] pre akýkoľvek dopyt.
Vyzerá to legitímne! Ale aj toto je z pochopiteľných dôvodov možnosť pre tú najzúfalejšiu situáciu a okrem toho všetka sranda stojí 80 dolárov. Necháme na neskôr.
- Ak mi Lazard všetko porušil a požiadal ma, aby som ti zavolal späť, potom by si nemal odmietnuť! Dajme sa do práce.
Lazard nazývame „popredná svetová spoločnosť poskytujúca finančné poradenstvo a správu aktív, poskytuje poradenstvo v oblasti fúzií, akvizícií, reštrukturalizácie, kapitálovej štruktúry a stratégie“
Kým predajca z eBay odpovedá, hodím pár babiek na zadarmu a teším sa na komunikáciu s možno tým najbezduchejším partnerom na planéte – na podporu obrovskej finančnej korporácie z New Yorku. Dievča rýchlo zdvihne telefón, vypočuje si mojou súdruhovou angličtinou nesmelé vysvetlenia, ako som tento notebook kúpil, zapíše si jeho sériové číslo a sľúbi, že ho dá adminom, ktorí mi zavolajú späť. Tento proces sa opakuje presne dvakrát s odstupom jedného dňa. Tretíkrát som schválne počkal, kým bude 10:XNUMX večer v New Yorku, zavolal som a rýchlo som si prečítal známe cestoviny o mojom nákupe. O dve hodiny neskôr mi tá istá žena zavolala späť a začala čítať pokyny:
— Kliknite na tlačidlo Escape.
Klikám ale nič sa nedeje.
— Niečo nefunguje, nič sa nemení.
- Stlačte.
- Tlačím.
— Teraz zadajte: 72406917
vstupujem. Nič sa nedeje.
- Obávam sa, že to nepomôže... Len chvíľku...
Notebook sa zrazu reštartuje, systém nabootuje, otravná biela obrazovka kamsi zmizla. Pre istotu idem do BIOSu, Computrace nie je aktivovaný. Zdá sa, že je to tak. Ďakujem za podporu, píšem predajcovi, že všetky záležitosti som vyriešil sám a relaxujem.
OpenMakeshift Computrace založené na Intel AMT
To, čo sa stalo, ma sklamalo, ale páčila sa mi tá myšlienka, moja fantómová bolesť nad tým, čo sa priemerne stratilo, hľadala nejaké východisko, chcel som ochrániť svoj nový notebook, akoby mi vrátil ten starý. Ak niekto používa Computrace, môžem ho použiť aj ja, však? Veď tu bol Intel Anti-Theft, podľa popisu - výborná technológia, ktorá funguje ako má, no zabila ju zotrvačnosť trhu, ale musí existovať alternatíva. Ukázalo sa, že táto alternatíva začala na tom istom mieste, kde aj skončila – na tomto poli sa dokázal presadiť iba softvér Absolute.
Najprv si pripomeňme, čo je Intel AMT: je to súbor knižníc, ktoré sú súčasťou Intel ME, zabudované do EFI BIOS, takže administrátor v nejakej kancelárii môže bez toho, aby vstal zo stoličky, obsluhovať stroje v sieti, aj keď sa nespustia, vzdialené pripojenie ISO, ovládanie cez vzdialenú plochu atď.
Toto všetko beží na Minixe a približne na tejto úrovni:
Invisible Things Lab navrhlo nazvať funkčnosť technológie Intel vPro / Intel AMT kruhom ochrany -3. V rámci tejto technológie čipsety podporujúce technológiu vPro obsahujú nezávislý mikroprocesor (architektúra ARC4), majú samostatné rozhranie k sieťovej karte, exkluzívny prístup k vyhradenej časti RAM (16 MB) a DMA prístup k hlavnej RAM. Programy na ňom sa vykonávajú nezávisle od centrálneho procesora, firmvér je uložený spolu s kódmi BIOS alebo na podobnej SPI flash pamäti (kód má kryptografický podpis). Súčasťou firmvéru je vstavaný webový server. V predvolenom nastavení je AMT vypnuté, ale niektoré kódy stále bežia v tomto režime, aj keď je AMT vypnuté. Vyzváňací kód -3 je aktívny aj v režime spánku S3.
Znie to lákavo, pretože sa zdá, že ak dokážeme vytvoriť spätné pripojenie k nejakému správcovskému panelu pomocou Intel AMT, nebudeme mať prístup horší ako Computrace (v skutočnosti nie).
Na našom počítači aktivujeme Intel AMT
Po prvé, niektorí z vás by sa pravdepodobne chceli dotknúť tohto AMT vlastnými rukami a tu začínajú nuansy. Po prvé: potrebujete procesor, ktorý to podporuje. Našťastie s tým nie sú žiadne problémy (pokiaľ nemáte AMD), pretože vPro sa pridáva takmer ku všetkým procesorom Intel i5, i7 a i9 (môžete vidieť ) od roku 2006 a normálne VNC tam bolo privedené už v roku 2010. Po druhé: ak máte desktop, potom potrebujete základnú dosku, ktorá túto funkcionalitu podporuje, konkrétne s čipsetom Q. V notebookoch nám stačí poznať model procesora. Ak nájdete podporu pre Intel AMT, je to dobré znamenie a budete môcť použiť tu získané nastavenia. Ak nie, tak buď ste mali smolu/schválili ste si procesor či čipset bez podpory tejto technológie, alebo ste výberom AMD úspešne ušetrili, čo je tiež dôvod na radosť.
Podľa dokumentov
V nezabezpečenom režime počúvajú zariadenia Intel AMT na porte 16992.
V režime TLS počúvajú zariadenia Intel AMT na porte 16993.
Intel AMT akceptuje pripojenia na portoch 16992 a 16993. Presuňme sa tam.
Musíte skontrolovať, či je v systéme BIOS povolená funkcia Intel AMT:
Ďalej musíme reštartovať počítač a stlačiť Ctrl + P počas načítavania
Štandardné heslo, ako obvykle, admin.
Okamžite zmeňte heslo v Intel ME General Settings. Ďalej v konfigurácii Intel AMT povoľte Aktivovať sieťový prístup. Pripravený. Teraz ste oficiálne zadnými vrátkami. Načítavame sa do systému.
Teraz dôležitá nuansa: logicky môžeme pristupovať k Intel AMT z localhost a vzdialene, ale nie. Intel hovorí, že sa môžete pripojiť lokálne a meniť nastavenia pomocou , ale mne sa to plošne odmietalo pripojiť, takže mi pripojenie fungovalo len na diaľku.
Vezmeme nejaké zariadenie a pripojíme sa cez : 16992
Vyzerá to takto:
Vitajte v štandardnom rozhraní Intel AMT! Prečo "štandardné"? Pretože je to osekané a pre naše účely úplne zbytočné a my použijeme niečo vážnejšie.
Zoznámenie sa s MeshCommanderom
Ako to už býva, veľké spoločnosti niečo robia a koncoví používatelia si to upravujú podľa seba. To sa stalo aj tu.
Tento skromný (bez preháňania: jeho meno nie je na jeho webovej stránke, musel som si to dať do Googlu) muž menom Ylian Saint-Hilaire vyvinul úžasné nástroje na prácu s Intel AMT.
Chcel by som naňho okamžite upozorniť , vo svojich videách jednoducho a prehľadne v reálnom čase ukazuje, ako vykonávať určité úlohy súvisiace s Intel AMT a jeho softvérom.
Začnime s . Stiahnite si, nainštalujte a skúste sa pripojiť k nášmu stroju:
Proces nie je okamžitý, ale ako výsledok dostaneme túto obrazovku:
Nie že by som bol paranoidný, ale citlivé údaje vymažem, prepáčte mi také koketovanie
Rozdiel, ako sa hovorí, je zrejmý. Neviem, prečo Intel Control Panel nemá takú sadu funkcií, no faktom je, že Ylian Saint-Hilaire dostane zo života podstatne viac. Jeho webové rozhranie si navyše môžete nainštalovať priamo do firmvéru, umožní vám využívať všetky funkcie bez utility.
Robí sa to takto:
Upozorňujem, že túto funkcionalitu (vlastné webové rozhranie) som nevyužíval a nemôžem povedať nič o jej účinnosti a výkone, keďže to nie je potrebné pre moje potreby.
S funkcionalitou sa môžete pohrať, je nepravdepodobné, že všetko pokazíte, pretože štartovacím a konečným štartovacím bodom celého tohto festivalu je BIOS, v ktorom si potom môžete všetko resetovať vypnutím Intel AMT.
Nasaďte MeshCentral a implementujte BackConnect
A tu začína úplný pád hlavy. Môj strýko nám spravil nielen klienta, ale aj celý admin panel pre nášho Trojana! A neurobil to len tak, ale .
Začnite inštaláciou vlastného servera MeshCentral alebo ak nie ste oboznámení s MeshCentral, môžete vyskúšať verejný server na vlastné riziko na MeshCentral.com.
To hovorí pozitívne o spoľahlivosti jej kódu, keďže som počas prevádzky služby nenašiel žiadne správy o hackoch alebo únikoch.
Osobne prevádzkujem MeshCentral na svojom serveri, pretože sa bezdôvodne domnievam, že je spoľahlivejší, ale nie je v ňom nič okrem márnivosti a malátnosti ducha. Ak tiež chcete, tak existujú dokumenty a kontajner s MeshCentral. Dokumenty popisujú, ako to všetko spojiť v NGINX, takže implementácia sa ľahko integruje do vašich domácich serverov.
Zaregistrujte sa , prejdite a vytvorte skupinu zariadení výberom možnosti „žiadny agent“:
Prečo "žiadny agent"? Pretože prečo ho potrebujeme na inštaláciu niečoho zbytočného, nie je jasné, ako sa to správa a ako to bude fungovať.
Kliknite na „Pridať CIRA“:
Stiahnite si cira_setup_test.mescript a použite ho v našom MeshCommander takto:
Voila! Po určitom čase sa náš stroj pripojí k MeshCentral a môžeme s ním niečo urobiť.
Po prvé: mali by ste vedieť, že náš softvér len tak nezaklope na vzdialený server. Dôvodom je skutočnosť, že Intel AMT má dve možnosti pripojenia - cez vzdialený server a priamo lokálne. Nefungujú súčasne. Náš skript už nakonfiguroval systém na prácu na diaľku, ale možno sa budete musieť pripojiť lokálne. Aby ste sa mohli pripojiť lokálne, musíte ísť sem
napíšte riadok, ktorý je vašou lokálnou doménou (všimnite si, že náš skript tam UŽ vložil nejaký náhodný riadok, aby bolo možné nadviazať spojenie na diaľku) alebo vymažte všetky riadky úplne (ale potom vzdialené pripojenie nebude dostupné). Napríklad moja lokálna doména v OpenWrt je lan:
Preto, ak tam zadáme lan a ak je náš počítač pripojený k sieti s touto lokálnou doménou, vzdialené pripojenie nebude dostupné, ale otvoria sa miestne porty 16992 a 16993 a prijmú pripojenia. Stručne povedané, ak existuje nejaký nezmysel, ktorý nesúvisí s vašou miestnou doménou, softvér je odpočúvaný, ak nie, musíte sa k nemu pripojiť pomocou kábla, to je všetko.
Po druhé:
Všetko je pripravené!
Môžete sa opýtať - kde je AntiTheft? Ako som už povedal na začiatku, Intel AMT nie je príliš vhodný na boj so zlodejmi. Spravovanie kancelárskej siete je vítané, ale boj s jednotlivcami, ktorí sa neoprávnene zmocnili majetku cez internet, nie je až taký výnimočný. Uvažujme o súbore nástrojov, ktorý nám teoreticky môže pomôcť v boji o súkromné vlastníctvo:
- Samo o sebe je jasné, že k stroju máte prístup, ak je pripojený cez kábel, alebo ak je na ňom nainštalovaný Windows, tak cez WiFi. Áno, je to detinské, ale pre bežného človeka je už veľmi ťažké používať takýto notebook, aj keď niekto zrazu prevezme kontrolu. Navyše, napriek tomu, že som nevedel prísť na skripty, určite sa na nich dá výtvarne navrhnúť nejaká funkcionalita na blokovanie/zobrazovanie notifikácií.
- Vzdialené bezpečné vymazanie s technológiou Intel Active Management
Pomocou tejto možnosti môžete vymazať všetky informácie zo zariadenia v priebehu niekoľkých sekúnd. Nie je jasné, či funguje na SSD iných ako Intel. Tu O tejto funkcii si môžete prečítať viac. Môžete obdivovať prácu . Kvalita je hrozná, ale len 10 megabajtov a podstata je jasná.
Problém odloženého vykonania zostáva nevyriešený, inými slovami: musíte sledovať, kedy stroj vstúpi do siete, aby ste sa k nej mohli pripojiť. Verím, že aj na toto existuje nejaké riešenie.
V ideálnej implementácii musíte zablokovať notebook a zobraziť nejaký nápis, ale v našom prípade máme jednoducho nevyhnutný prístup a čo robiť ďalej, je vecou fantázie.
Snáď sa vám podarí auto zablokovať alebo aspoň zobraziť správu, ak viete, napíšte. Ďakujem!
Nezabudnite nastaviť heslo pre systém BIOS.
Vďaka užívateľovi na korektúry!
Zdroj: hab.com