TL; DR
Absolute Computrace je tehnologija, ki vam omogoča zaklepanje avtomobila (in ne ), tudi če je bil na njem znova nameščen operacijski sistem ali celo zamenjan trdi disk, za 15 USD na leto. Na eBayu sem kupil prenosni računalnik, ki je bil zaklenjen s to stvarjo. Članek opisuje mojo izkušnjo, kako sem se boril s tem in poskušal narediti isto na Intel AMT, vendar brezplačno.
Naj se takoj strinjamo: ne vlamljam na stežaj in ne pišem predavanj o teh oddaljenih stvareh, ampak povem malo ozadja in kako v kakršni koli situaciji hitro dobiti oddaljeni dostop do svojega stroja na kolenu (če je povezan z omrežje prek RJ-45) ali, če je povezan prek Wi-Fi, potem samo v OS Windows. Prav tako bo mogoče registrirati SSID, prijavo in geslo določene točke v samem Intel AMT, nato pa bo dostop prek Wi-Fi mogoče pridobiti tudi brez zagona v sistem. In tudi, če namestite gonilnike za Intel ME na GNU/Linux, bi moralo vse to delovati tudi na njem. Posledično ne bo mogoče daljinsko zakleniti prenosnika in prikazati sporočila (ni mi uspelo ugotoviti, ali je to s to tehnologijo sploh mogoče), bo pa omogočen dostop do oddaljenega namizja in Secure Erase ter to je glavna stvar.
Taksist je odšel z mojim prenosnikom in odločil sem se, da kupim novega na eBayu. Kaj bi lahko šlo narobe?
Od kupca do tatov - v enem zagonu
Ko sem s pošte domov prinesel prenosni računalnik, sem se lotil dokončanja prednamestitve sistema Windows 10, nato pa mi je celo uspelo prenesti Firefox, ko nenadoma:
Povsem dobro sem razumel, da nihče ne bo spremenil distribucije sistema Windows, in če bi to storil, potem vse ne bi bilo videti tako nerodno in na splošno bi se blokada zgodila hitreje. In na koncu ne bi imelo smisla karkoli blokirati, saj bi se vse rešilo s ponovno namestitvijo. V redu, znova zaženimo.
Znova zaženite BIOS in zdaj bo vse nekoliko bolj jasno:
In končno je popolnoma jasno:
Kako to, da me moj lastni prenosnik moti? Kaj je Computrace?
Strogo gledano, Computrace je nabor modulov v vašem EFI BIOS-u, ki po nalaganju OS Windows vanj vstavi svoje trojance, potrka na oddaljeni strežnik programske opreme Absolute in po potrebi omogoči blokiranje sistema prek interneta. Več podrobnosti si lahko preberete tukaj . Computrace ne deluje z operacijskimi sistemi, ki niso Windows. Poleg tega, če povežemo pogon z operacijskim sistemom Windows, šifriranim z BitLockerjem, ali katero koli drugo programsko opremo, Computrace ne bo več deloval - moduli preprosto ne bodo mogli vreči svojih datotek v naš sistem.
Od daleč se lahko takšne tehnologije zdijo kozmične, vendar le dokler ne ugotovimo, da se vse to izvaja na domačem UEFI z uporabo enega in pol dvomljivih modulov.
Zdi se, kot da je ta stvar hladna in vsemogočna, dokler ne poskušamo na primer zagnati GNU/Linux:
Ta prenosnik ima trenutno omogočeno zaklepanje Computrace.
Kot pravi pregovor,
Kaj storiti?
Obstajajo štirje očitni vektorji za rešitev problema:
- Pišite prodajalcu na eBayu
- Pišite podjetju Absolute software, ustvarjalcu in lastniku Computrace
- Naredite izpis iz čipa BIOS-a, ga pošljite nezaupljivim tipom, da pošljejo nazaj izpis s popravkom, ki deaktivira vse ključavnice in menije ID naprave
- Pokliči Lazarda
Poglejmo jih po vrsti:
- Tako kot vsi razumni ljudje najprej pišemo prodajalcu, ki nam je tak izdelek prodal in se o težavi pogovorimo s tistim, ki je zanjo v prvi vrsti odgovoren.
izdelano:
- Po besedah svetovalca, odkritega v globinah interneta,
Obrniti se morate na absolutno programsko opremo. Želeli bodo serijsko številko stroja in serijsko številko matične plošče. Predložiti boste morali tudi »dokazilo o nakupu«, kot je račun. Kontaktirali bodo lastnika, ki ga imajo v evidenci, in dobili dovoljenje za odstranitev. Ob predpostavki, da ni ukraden, ga bodo nato »označili za brisanje«. Po tem se bo naslednjič, ko se povežete z internetom ali imate odprto internetno povezavo, zgodil čudež in ga ne bo več. Pošljite stvari, ki sem jih omenil [e-pošta zaščitena].
lahko pišemo neposredno podjetju Absolute in z njimi neposredno komuniciramo glede odklepanja. Vzel sem si čas in se za to rešitev odločil poseči šele proti koncu.
- Na srečo je že obstajala brutalna rešitev problema. Tile in mnogi drugi strokovnjaki za računalniško podporo na istem eBayu in celo Indijci na Facebooku nam obljubijo, da bodo odklenili naš BIOS, če jim pošljemo dump in počakamo nekaj minut.
Postopek odklepanja je opisan na naslednji način:
Rešitev za odklepanje je končno na voljo in zahteva programerja SPEG, da lahko bliska BIOS.
Postopek je:
- Branje BIOS-a in ustvarjanje veljavnega izpisa. V Thinkpadu je BIOS poročen z notranjim čipom TPM in vsebuje njegov edinstven podpis, zato je pomembno, da se originalni BIOS pravilno bere za uspeh celotne operacije in za poznejšo obnovitev BIOS-a.
- Popravite binarne datoteke BIOS-a in vstavite program all smallservice.ro UEFI. Ta program bo prebral varni eeprom, ponastavil potrdilo in geslo TPM, zapisal varen eeprom in rekonstruiral vse podatke.
- Napišite popravljen izpis BIOS-a (to bo delovalo samo v tem TP btw), zaženite prenosnik in ustvarite ID strojne opreme. Poslali vam bomo edinstven ključ, ki bo aktiviral Allservice BIOS, medtem ko se BIOS nalaga, bo izvedel rutino odklepanja in odklenil SVP in TPM.
- Nazadnje zapišite originalni izpis BIOS-a za normalno delovanje in uživajte v prenosniku.
Prav tako lahko onemogočimo Computrace ali spremenimo SN/UUID in ponastavimo napako kontrolne vsote RFID z uporabo našega programa UEFI na enak način, če je potrebno
Cena storitve odklepanja je na stroj (kot velja za Macbook/iMac, HP, Acer itd.). Za ceno storitve in razpoložljivost preberite naslednjo objavo spodaj. Lahko kontaktirate [e-pošta zaščitena] za kakršno koli poizvedbo.
Zdi se zakonito! Toda tudi to je iz očitnih razlogov možnost za najbolj obupno situacijo, poleg tega pa vsa zabava stane 80 dolarjev. Pustimo za kasneje.
- Če mi je Lazard vse pokvaril in me prosi, naj vas pokličem nazaj, potem ne smete zavrniti! Lotimo se dela.
Lazard imenujemo "vodilno svetovno podjetje za finančno svetovanje in upravljanje premoženja, ki svetuje o združitvah, prevzemih, prestrukturiranju, kapitalski strukturi in strategiji"
Medtem ko prodajalec z eBaya odgovarja, vržem nekaj dolarjev na zadarmo in se veselim komunikacije z morda najbolj brezdušnim sogovornikom na planetu - podporo ogromne finančne korporacije iz New Yorka. Deklica hitro dvigne slušalko, posluša v moji tovariši angleščini sramežljive razlage, kako sem kupil ta prenosnik, zapiše njegovo serijsko številko in obljubi, da ga bo dal adminom, ki me bodo poklicali nazaj. Ta postopek se ponovi natančno dvakrat v razmiku enega dneva. Tretjič sem namenoma čakal do 10. ure zvečer v New Yorku in poklical ter na hitro prebral znane testenine o svojem nakupu. Dve uri kasneje me je ista ženska poklicala nazaj in začela brati navodila:
— Kliknite pobeg.
Kliknem, vendar se nič ne zgodi.
— Nekaj ne deluje, nič se ne spremeni.
- Pritisnite.
- pritisnem.
— Zdaj vnesite: 72406917
vstopam. Se ne zgodi nič.
- Veš, bojim se, da to ne bo pomagalo... Samo trenutek...
Prenosnik se nenadoma znova zažene, sistem se zažene, moteč bel zaslon je nekam izginil. Da se prepričam, grem v BIOS, Computrace ni aktiviran. Zdi se, da je to to. Hvala za vašo podporo, pišem prodajalcu, da sem sam rešil vse težave in se sprostite.
OpenMakeshift Computrace temelji na Intel AMT
Kar se je zgodilo, me je razočaralo, a ideja mi je bila všeč, moja fantomska bolečina zaradi povprečno izgubljenega je iskala izhod, hotel sem zaščititi svoj novi prenosnik, kot da bi mi vrnil starega. Če nekdo uporablja Computrace, ga lahko uporabljam tudi jaz, kajne? Konec koncev je obstajal Intel Anti-Theft, po opisu - odlična tehnologija, ki deluje, kot bi morala, vendar jo je ubila inercija trga, vendar mora obstajati alternativa. Izkazalo se je, da se je ta alternativa začela na istem mestu, kjer se je končala - samo Absolute software se je lahko uveljavil na tem področju.
Najprej se spomnimo, kaj je Intel AMT: to je niz knjižnic, ki je del Intel ME, vgrajen v EFI BIOS, tako da lahko skrbnik v neki pisarni, ne da bi vstal s stola, upravlja stroje v omrežju, tudi če se ne zaženejo, oddaljeno povezovanje ISO-jev, nadzor prek oddaljenega namizja itd.
Vse to deluje na Minixu in na približno tej ravni:
Invisible Things Lab je predlagal, da bi funkcionalnost tehnologije Intel vPro / Intel AMT imenovali zaščitni obroč -3. Kot del te tehnologije nabori čipov, ki podpirajo tehnologijo vPro, vsebujejo neodvisen mikroprocesor (arhitektura ARC4), imajo ločen vmesnik za omrežno kartico, ekskluzivni dostop do namenskega dela RAM-a (16 MB) in dostop DMA do glavnega RAM-a. Programi na njem se izvajajo neodvisno od centralnega procesorja, vdelana programska oprema je shranjena skupaj s kodami BIOS-a ali na podobnem bliskovnem pomnilniku SPI (koda ima kriptografski podpis). Del vdelane programske opreme je vgrajen spletni strežnik. Privzeto je AMT onemogočen, vendar se nekatera koda še vedno izvaja v tem načinu, tudi če je AMT onemogočen. Koda zvonjenja -3 je aktivna tudi v načinu S3 Sleep.
To zveni vabljivo, saj se zdi, da če lahko vzpostavimo povratno povezavo do neke skrbniške plošče z uporabo Intel AMT, ne bomo imeli nič slabšega dostopa kot Computrace (pravzaprav ne).
Na našem računalniku aktiviramo Intel AMT
Prvič, nekateri od vas bi se tega AMT verjetno radi dotaknili z lastnimi rokami in tu se začnejo nianse. Prvič: potrebujete procesor, ki to podpira. Na srečo s tem ni težav (razen če imate AMD), saj je vPro dodan skoraj vsem procesorjem Intel i5, i7 in i9 (vidite ) od leta 2006, običajni VNC pa je bil tja pripeljan že leta 2010. Drugič: če imate namizni računalnik, potem potrebujete osnovno ploščo, ki podpira to funkcionalnost, in sicer s čipsetom Q. Pri prenosnikih moramo poznati samo model procesorja. Če najdete podporo za Intel AMT, je to dober znak in lahko boste uporabili tukaj pridobljene nastavitve. Če ne, potem ali niste imeli sreče/namenoma ste izbrali procesor ali čipset brez podpore za to tehnologijo ali pa ste z izbiro AMD uspešno privarčevali, kar je tudi razlog za veselje.
Glede na dokumente
V nezaščitenem načinu naprave Intel AMT poslušajo na vratih 16992.
V načinu TLS naprave Intel AMT poslušajo na vratih 16993.
Intel AMT sprejema povezave na vratih 16992 in 16993. Gremo tja.
Preveriti morate, ali je Intel AMT omogočen v BIOS-u:
Nato se moramo znova zagnati in med nalaganjem pritisniti Ctrl + P
Standardno geslo, kot običajno, admin.
Takoj spremenite geslo v Intel ME General Settings. Nato v konfiguraciji Intel AMT omogočite Aktiviraj omrežni dostop. pripravljena Zdaj ste uradno zaprti. Nalagamo v sistem.
Zdaj pomemben odtenek: logično je, da lahko dostopamo do Intel AMT z lokalnega gostitelja in na daljavo, vendar ne. Intel pravi, da se lahko povežete lokalno in spremenite nastavitve z uporabo , pri meni pa je odločno zavrnil povezavo, tako da je moja povezava delovala samo na daljavo.
Vzamemo neko napravo in se povežemo preko : 16992
Izgleda takole:
Dobrodošli v standardnem vmesniku Intel AMT! Zakaj "standard"? Ker je okrnjena in popolnoma neuporabna za naše namene in bomo uporabili kaj resnejšega.
Spoznavanje MeshCommanderja
Kot običajno, velika podjetja nekaj naredijo, končni uporabniki pa to prilagodijo sebi. To se je zgodilo tudi tukaj.
Ta skromni (brez pretiravanja: njegovega imena ni na njegovem spletnem mestu, moral sem ga poguglati) človek z imenom Ylian Saint-Hilaire je razvil čudovita orodja za delo z Intel AMT.
Rad bi takoj opozoril nanj , v svojih videih preprosto in jasno v realnem času prikazuje, kako izvajati določena opravila, povezana z Intel AMT in njegovo programsko opremo.
Začnimo s tem . Prenesite, namestite in se poskusite povezati z našo napravo:
Postopek ni takojšen, vendar bomo kot rezultat dobili ta zaslon:
Saj ne, da sem paranoičen, ampak izbrisal bom občutljive podatke, oprostite mi za tako koketerstvo
Razlika je, kot pravijo, očitna. Ne vem, zakaj Intelova nadzorna plošča nima takšnega nabora funkcij, a dejstvo je, da Ylian Saint-Hilaire od življenja dobi bistveno več. Poleg tega lahko njegov spletni vmesnik namestite neposredno v vdelano programsko opremo, kar vam bo omogočilo uporabo vseh funkcij brez pripomočka.
Naredi se tako:
Naj opozorim, da te funkcionalnosti (spletnega vmesnika po meri) nisem uporabljal in ne morem povedati ničesar o njeni učinkovitosti in zmogljivosti, saj za moje potrebe ni potrebna.
Lahko se igrate s funkcionalnostjo, malo verjetno je, da boste vse pokvarili, saj je izhodišče in končno izhodišče celotnega festivala BIOS, v katerem lahko potem vse ponastavite tako, da onemogočite Intel AMT.
Namestite MeshCentral in implementirajte BackConnect
In tu se začne popolni padec glave. Moj stric ni naredil samo odjemalca, ampak tudi celotno skrbniško ploščo za našega trojana! In tega ni samo storil, ampak .
Začnite z namestitvijo lastnega strežnika MeshCentral ali če niste seznanjeni z MeshCentralom, lahko preizkusite javni strežnik na lastno odgovornost na MeshCentral.com.
To pozitivno govori o zanesljivosti njegove kode, saj med delovanjem storitve nisem našel nobenih novic o vdorih in uhajanjih.
Osebno na svojem strežniku izvajam MeshCentral, ker neutemeljeno verjamem, da je bolj zanesljiv, vendar v njem ni ničesar razen nečimrnosti in otopelosti duha. Če tudi želite, potem obstajajo dokumenti in posodo z MeshCentral. Dokumenti opisujejo, kako vse skupaj povezati v NGINX, tako da se bo izvedba zlahka integrirala v vaše domače strežnike.
Registrirajte se na , pojdite in ustvarite skupino naprav tako, da izberete možnost »brez posrednika«:
Zakaj "brez agenta"? Ker zakaj ga potrebujemo za namestitev nepotrebnega, ni jasno, kako se obnaša in kako bo deloval.
Kliknite »Dodaj CIRA«:
Prenesite cira_setup_test.mescript in ga uporabite v našem MeshCommanderju takole:
Voila! Čez nekaj časa se bo naš stroj povezal z MeshCentral in z njim lahko nekaj naredimo.
Prvič: vedeti morate, da naša programska oprema ne bo kar tako potrkala na oddaljeni strežnik. To je posledica dejstva, da ima Intel AMT dve možnosti za povezovanje - prek oddaljenega strežnika in neposredno lokalno. Ne delujejo hkrati. Naš skript je že konfiguriral sistem za delo na daljavo, vendar se boste morda morali povezati lokalno. Če se želite povezati lokalno, morate iti sem
napišite vrstico, ki je vaša lokalna domena (upoštevajte, da je naš skript tja ŽE vstavil neko naključno vrstico, da se lahko vzpostavi povezava na daljavo) ali počistite vse vrstice (vendar potem oddaljena povezava ne bo na voljo). Na primer, moja lokalna domena v OpenWrt je lan:
V skladu s tem, če tam vnesemo lan in če je naš stroj povezan v omrežje s to lokalno domeno, potem oddaljena povezava ne bo na voljo, vendar se bodo lokalna vrata 16992 in 16993 odprla in sprejela povezave. Skratka, če je kakšna neumnost, ki ni povezana z vašo lokalno domeno, potem program hrošči, če ne, potem se morate sami povezati z njo preko žice, to je vse.
Drugič:
Vse je pripravljeno!
Lahko se vprašate - kje je AntiTheft? Kot sem rekel na začetku, Intel AMT ni zelo primeren za boj proti tatovom. Upravljanje pisarniškega omrežja je sicer dobrodošlo, spopad s posamezniki, ki so se protipravno polastili premoženja prek interneta, pa ni tako poseben. Oglejmo si orodje, ki nam teoretično lahko pomaga v boju za zasebno lastnino:
- Samo po sebi je jasno, da imate dostop do stroja, če je povezan prek kabla ali, če je na njem nameščen Windows, potem prek WiFi. Da, to je otročje, vendar je navadnemu človeku že zelo težko uporabljati tak prenosnik, tudi če nekdo nenadoma prevzame nadzor. Še več, kljub temu, da skripte nisem uspel razbrati, se da vsekakor umetniško oblikovati kakšno funkcionalnost za blokiranje/prikazovanje obvestil na njih.
- Varno brisanje na daljavo s tehnologijo Intel Active Management
S to možnostjo lahko v nekaj sekundah izbrišete vse podatke iz naprave. Ni jasno, ali deluje na SSD-jih, ki niso Intelovi. Tukaj Več o tej funkciji lahko preberete. Delo lahko občudujete . Kakovost je grozna, a samo 10 megabajtov in bistvo je jasno.
Problem odloženega izvajanja ostaja nerešen, z drugimi besedami: opazovati morate, kdaj stroj vstopi v omrežje, da se z njim povežete. Verjamem, da tudi za to obstaja kakšna rešitev.
V idealni izvedbi morate blokirati prenosnik in prikazati nekakšen napis, v našem primeru pa imamo preprosto neizogiben dostop in kaj storiti naprej je stvar domišljije.
Mogoče vam bo uspelo nekako blokirati avto ali vsaj prikazati sporočilo, napišite, če veste. Hvala vam!
Ne pozabite nastaviti gesla za BIOS.
Hvala uporabnik za lektoriranje!
Vir: www.habr.com