TL; DR
Absolute Computrace është një teknologji që ju lejon të mbyllni makinën tuaj (dhe jo ), edhe nëse sistemi operativ është riinstaluar në të ose edhe hard disku është zëvendësuar, për 15 dollarë në vit. Bleva një laptop në eBay që ishte i kyçur me këtë gjë. Artikulli përshkruan përvojën time, si luftova me të dhe u përpoqa të bëja të njëjtën gjë bazuar në Intel AMT, por falas.
Le të pajtohemi menjëherë: Unë nuk po hyj në dyer të hapura dhe nuk po shkruaj një leksion për këto gjëra të largëta, por po tregoj një sfond të vogël dhe se si të merrni shpejt akses në distancë në pajisjen tuaj në gjunjë në çdo situatë (nëse është e lidhur me rrjet përmes RJ-45) ose, nëse është i lidhur përmes Wi-Fi, atëherë vetëm në OS Windows. Gjithashtu, do të jetë e mundur të regjistrohet SSID, login dhe fjalëkalimi i një pike specifike në vetë Intel AMT, dhe më pas aksesi përmes Wi-Fi mund të merret edhe pa u nisur në sistem. Dhe gjithashtu, nëse instaloni drejtuesit për Intel ME në GNU/Linux, atëherë e gjithë kjo duhet të funksionojë edhe në të. Si rezultat, nuk do të jetë e mundur të bllokohet nga distanca një laptop dhe të shfaqet një mesazh (nuk mund të kuptoj nëse kjo është e mundur edhe duke përdorur këtë teknologji), por do të ketë qasje në një desktop në distancë dhe Secure Erase, dhe kjo është gjëja kryesore.
Taksisti u largua me laptopin tim dhe vendosa të blej një të ri në eBay. Çfarë mund të shkojë keq?
Nga blerësi te hajdutët - me një lëshim
Pasi solla në shtëpi një laptop nga posta, u nisa për të përfunduar para-instalimin e Windows 10, dhe pas kësaj arrita të shkarkoj edhe Firefox-in, kur papritmas:
E kuptova shumë mirë që askush nuk do të modifikonte shpërndarjen e Windows dhe nëse do ta bënte, atëherë gjithçka nuk do të dukej aq e ngathët dhe në përgjithësi bllokimi do të kishte ndodhur më shpejt. Dhe, në fund, nuk do të kishte kuptim të bllokonim asgjë, pasi gjithçka do të kurohej duke e riinstaluar. Mirë, le të rinisim.
Rinisni në BIOS dhe tani gjithçka bëhet pak më e qartë:
Dhe së fundi, është plotësisht e qartë:
Si ndodh që më shqetëson laptopi im? Çfarë është Computrace?
Me fjalë të rrepta, Computrace është një grup modulesh në BIOS-in tuaj EFI që, pasi ngarkojnë OS Windows, futin Trojan-ët e tyre në të, duke trokitur në serverin e largët të softuerit Absolute dhe duke lejuar, nëse është e nevojshme, të bllokojnë sistemin përmes Internetit. Ju mund të lexoni më shumë detaje këtu . Computrace nuk funksionon me sisteme operative të tjera përveç Windows. Për më tepër, nëse lidhim një disk me Windows të koduar nga BitLocker, ose ndonjë softuer tjetër, atëherë Computrace nuk do të funksionojë përsëri - modulet thjesht nuk do të jenë në gjendje të hedhin skedarët e tyre në sistemin tonë.
Nga distanca, teknologji të tilla mund të duken kozmike, por vetëm derisa të zbulojmë se e gjithë kjo bëhet në UEFI amtare duke përdorur një module e gjysmë të dyshimtë.
Duket sikur kjo gjë është e ftohtë dhe e plotfuqishme derisa të përpiqemi, për shembull, të futemi në GNU/Linux:
Ky laptop ka kyçjen Computrace të aktivizuar tani.
Siç thotë fjala,
Çfarë duhet të bëni?
Ekzistojnë katër vektorë të dukshëm për zgjidhjen e problemit:
- Shkruani shitësit në eBay
- Shkruani te softueri Absolute, krijuesi dhe pronari i Computrace
- Krijoni një hale nga çipi BIOS, dërgojeni te tipet me hije në mënyrë që ata të dërgojnë një deponim me një patch që çaktivizon të gjitha bllokimet dhe menutë ID e pajisjes
- Thirrni Lazard
Le t'i shikojmë ato me radhë:
- Ne, si të gjithë njerëzit e arsyeshëm, fillimisht i shkruajmë shitësit që na ka shitur një produkt të tillë dhe diskutojmë problemin me atë që është përgjegjës kryesor për të.
I bërë:
- Sipas një këshilltari të zbuluar në thellësi të internetit,
Duhet të kontaktoni softuerin absolut. Ata do të duan numrin serial të makinës dhe numrin serial të motherboard. Ju gjithashtu do të duhet të jepni "provën e blerjes", si një faturë. Ata do të kontaktojnë pronarin që kanë në dosje dhe do të marrin OK për ta hequr atë. Duke supozuar se nuk është vjedhur, ata më pas do ta "flaminojnë për fshirje". Pas kësaj, herën tjetër që të lidheni me internetin ose të keni një lidhje të hapur interneti, do të ndodhë një mrekulli dhe do të zhduket. Dërgo gjërat që përmenda [email mbrojtur].
ne mund t'i shkruajmë drejtpërdrejt Absolute dhe të komunikojmë drejtpërdrejt me ta për zhbllokimin. Mora kohën time dhe vendosa t'i drejtohem kësaj zgjidhjeje vetëm deri në fund.
- Për fat të mirë, një zgjidhje brutale e problemit ishte tashmë e pranishme. Këta dhe shumë specialistë të tjerë të mbështetjes kompjuterike në të njëjtin eBay dhe madje edhe indianë në Facebook na premtojnë të zhbllokojmë BIOS-in tonë nëse u dërgojmë atyre një hale dhe presim disa minuta.
Procesi i zhbllokimit përshkruhet si më poshtë:
Zgjidhja e zhbllokimit është më në fund e disponueshme dhe kërkon që programuesi SPEG të jetë në gjendje të ndezë BIOS-in.
Procesi është:
- Leximi i BIOS-it dhe krijimi i një hale të vlefshme. Në një Thinkpad, BIOS është i lidhur me çipin e brendshëm TPM dhe përmban një nënshkrim unik të tij, kështu që është e rëndësishme që BIOS-i origjinal të jetë një lexim i saktë për suksesin e të gjithë operacionit dhe për të rivendosur BIOS-in më pas.
- Rregullimi i binarëve të BIOS-it dhe injektimi i një programi UEFI të gjitha smallservice.ro. Ky program do të lexojë eeprom-in e sigurt, do të rivendosë certifikatën TPM dhe fjalëkalimin, do të shkruajë eeprom të sigurt dhe do të rindërtojë të gjitha të dhënat.
- Shkruani deponinë e BIOS-it të arnuar (kjo do të funksionojë vetëm në atë TP btw), nisni laptopin dhe krijoni një ID Hardware. Ne do t'ju dërgojmë një çelës unik që do të aktivizojë BIOS-in Allservice, ndërsa BIOS-i po ngarkon, ai do të ekzekutojë rutinën e zhbllokimit dhe do të zhbllokojë SVP dhe TPM.
- Më në fund, shkruani skedarin origjinal të BIOS-it për funksionimin normal dhe shijoni laptopin.
Ne gjithashtu mund të çaktivizojmë Computrace ose të ndryshojmë SN/UUID dhe të rivendosim gabimin e kontrollit RFID duke përdorur programin tonë UEFI në të njëjtën mënyrë, nëse është e nevojshme
Çmimi i shërbimit të shkyçjes është për makinë (siç bëjmë për Macbook/iMac, HP, Acer, etj.) Për çmimin e shërbimit dhe disponueshmërinë, ju lutemi lexoni postimin vijues më poshtë. Mund te kontaktoni [email mbrojtur] per cdo kerkese.
Duket e drejtë! Por edhe kjo, për arsye të dukshme, është një opsion për situatën më të dëshpëruar, dhe përveç kësaj, e gjithë argëtimi kushton 80 dollarë. E lëmë për më vonë.
- Nëse Lazard ka thyer gjithçka për mua dhe më kërkon të të telefonoj, atëherë nuk duhet të refuzosh! Le të merremi me biznesin.
Ne e quajmë Lazard aka "firma lider në botë e këshillimit financiar dhe menaxhimit të aseteve, këshillon për bashkimet, blerjet, ristrukturimin, strukturën e kapitalit dhe strategjinë"
Ndërsa shitësi nga eBay përgjigjet, unë hedh disa dollarë në zadarma dhe mezi pres të komunikoj me ndoshta bashkëbiseduesin më të pashpirt në planet - mbështetjen e një korporate të madhe financiare nga Nju Jorku. Vajza e merr shpejt telefonin, dëgjon në anglisht shokun tim shpjegime të ndrojtura se si e bleva këtë laptop, shkruan numrin serial të tij dhe premton t'ua japë administratorëve, të cilët do të më thërrasin. Ky proces përsëritet saktësisht dy herë, me një dite larg. Herën e tretë, prita qëllimisht deri në orën 10 të mbrëmjes në Nju Jork dhe telefonova, duke lexuar me shpejtësi makaronat e njohura për blerjen time. Dy orë më vonë e njëjta grua më thirri përsëri dhe filloi të lexonte udhëzimet:
— Kliko ikje.
Unë klikoj por asgjë nuk ndodh.
- Diçka nuk funksionon, asgjë nuk ndryshon.
- Shtypni.
- Unë shtyp.
— Tani shkruani: 72406917
Unë jam duke hyrë. Asgjë nuk ndodh.
- E di, kam frikë se kjo nuk do të ndihmojë... Vetëm një minutë...
Laptopi rinis papritur, sistemi niset, ekrani i bardhë i bezdisshëm është zhdukur diku. Për të qenë i sigurt, hyj në BIOS, Computrace nuk është i aktivizuar. Duket se kaq. Faleminderit për mbështetjen tuaj, i shkruaj shitësit që i zgjidha vetë të gjitha çështjet dhe relaksohem.
OpenMakeshift Computrace me bazë Intel AMT
Ajo që ndodhi më shkurajoi, por më pëlqeu ideja, dhimbja ime fantazmë për atë që humbi mediokër, kërkonte një rrugëdalje, doja të mbroja laptopin tim të ri, sikur të më kthente të vjetrin. Nëse dikush po përdor Computrace, atëherë mund ta përdor edhe unë, apo jo? Në fund të fundit, kishte Intel Anti-Theft, sipas përshkrimit - një teknologji e shkëlqyer që funksionon ashtu siç duhej, por u vra nga inercia e tregut, por duhet të ketë një alternativë. Doli që kjo alternativë filloi në të njëjtin vend ku përfundoi - vetëm softueri Absolute ishte në gjendje të fitonte një terren në këtë fushë.
Së pari, le të kujtojmë se çfarë është Intel AMT: ky është një grup bibliotekash që është pjesë e Intel ME, të integruara në BIOS-in EFI, në mënyrë që një administrator në një zyrë të mund, pa u ngritur nga karrigia e tij, të përdorë makinat në rrjet, edhe nëse nuk nisin, duke lidhur ISO nga distanca, duke kontrolluar nëpërmjet desktopit në distancë, etj.
E gjithë kjo funksionon në Minix dhe afërsisht në këtë nivel:
Invisible Things Lab propozoi ta quante funksionalitetin e teknologjisë Intel vPro / Intel AMT një unazë mbrojtjeje -3. Si pjesë e kësaj teknologjie, çipat që mbështesin teknologjinë vPro përmbajnë një mikroprocesor të pavarur (arkitekturë ARC4), kanë një ndërfaqe të veçantë me kartën e rrjetit, akses ekskluziv në një seksion të dedikuar të RAM-it (16 MB) dhe akses DMA në RAM-in kryesor. Programet në të ekzekutohen në mënyrë të pavarur nga procesori qendror; firmware ruhet së bashku me kodet BIOS ose në një memorie të ngjashme flash SPI (kodi ka një nënshkrim kriptografik). Një pjesë e firmuerit është një server në internet i integruar. Si parazgjedhje, AMT është i çaktivizuar, por disa kode ende funksionojnë në këtë modalitet edhe kur AMT është i çaktivizuar. Kodi i ziles -3 është aktiv edhe në modalitetin e energjisë S3 Sleep.
Kjo tingëllon joshëse, sepse duket se nëse mund të krijojmë një lidhje të kundërt me një panel administratori duke përdorur Intel AMT, do të jemi në gjendje të kemi akses jo më keq se Computrace (në fakt, jo).
Ne aktivizojmë Intel AMT në makinën tonë
Së pari, disa prej jush ndoshta do të dëshironin ta prekin këtë AMT me duart tuaja, dhe këtu fillojnë nuancat. Së pari: keni nevojë për një procesor që e mbështet atë. Për fat të mirë, nuk ka probleme me këtë (përveç nëse keni AMD), sepse vPro është shtuar në pothuajse të gjithë procesorët Intel i5, i7 dhe i9 (mund të shihni ) që nga viti 2006, dhe VNC normale u soll atje tashmë në 2010. Së dyti: nëse keni një desktop, atëherë keni nevojë për një motherboard që e mbështet këtë funksionalitet, përkatësisht me chipset Q. Tek laptopët duhet të dimë vetëm modelin e procesorit. Nëse gjeni mbështetje për Intel AMT, atëherë kjo është një shenjë e mirë dhe do të jeni në gjendje të aplikoni cilësimet e marra këtu. Nëse jo, atëherë ose keni qenë të pafat / keni zgjedhur qëllimisht një procesor ose chipset pa mbështetje për këtë teknologji, ose keni kursyer me sukses para duke zgjedhur AMD, gjë që është gjithashtu një arsye gëzimi.
Sipas dokumenteve
Në modalitetin jo të sigurt, pajisjet Intel AMT dëgjojnë në portën 16992.
Në modalitetin TLS, pajisjet Intel AMT dëgjojnë në portën 16993.
Intel AMT pranon lidhje në portat 16992 dhe 16993. Le të shkojmë atje.
Duhet të kontrolloni nëse Intel AMT është i aktivizuar në BIOS:
Më pas duhet të rindizni dhe shtypni Ctrl + P gjatë ngarkimit
Fjalëkalimi standard, si zakonisht, admin.
Ndryshoni menjëherë fjalëkalimin në Cilësimet e Përgjithshme të Intel ME. Më pas, në konfigurimin e Intel AMT, aktivizoni Aktivizo qasjen në rrjet. Gati. Tani jeni zyrtarisht me dyer të pasme. Ne po ngarkojmë në sistem.
Tani një nuancë e rëndësishme: logjikisht, ne mund të hyjmë në Intel AMT nga localhost dhe nga distanca, por jo. Intel thotë se mund të lidheni lokalisht dhe të ndryshoni cilësimet duke përdorur , por për mua ajo refuzoi kategorikisht të lidhej, kështu që lidhja ime funksionoi vetëm nga distanca.
Marrim një pajisje dhe lidhemi nëpërmjet : 16992
Duket kështu:
Mirë se vini në ndërfaqen standarde Intel AMT! Pse "standarde"? Sepse është i cunguar dhe krejtësisht i padobishëm për qëllimet tona, dhe ne do të përdorim diçka më serioze.
Njohja me MeshCommander
Si zakonisht, kompanitë e mëdha bëjnë diçka dhe përdoruesit përfundimtarë e modifikojnë atë për t'iu përshtatur vetes. Kështu ndodhi edhe këtu.
Ky njeri modest (pa ekzagjerim: emri i tij nuk është në faqen e tij të internetit, më desh ta bëja në Google) me emrin Ylian Saint-Hilaire ka zhvilluar mjete të mrekullueshme për të punuar me Intel AMT.
Unë do të doja të tërheq menjëherë vëmendjen tuaj tek ai , në videot e tij ai tregon thjesht dhe qartë në kohë reale se si kryhen detyra të caktuara që lidhen me Intel AMT dhe softuerin e tij.
Filloni me . Shkarkoni, instaloni dhe provoni të lidheni me makinën tonë:
Procesi nuk është i menjëhershëm, por si rezultat do të marrim këtë ekran:
Nuk eshte se jam paranojak, por do fshij te dhena sensitive, me falni per nje kokete te tille
Dallimi, siç thonë ata, është i dukshëm. Nuk e di pse Paneli i Kontrollit Intel nuk ka një grup të tillë funksionesh, por fakti është se Ylian Saint-Hilaire përfiton shumë më shumë nga jeta. Për më tepër, ju mund të instaloni ndërfaqen e saj në internet direkt në firmware, kjo do t'ju lejojë të përdorni të gjitha funksionet pa një mjet.
Kjo është bërë kështu:
Duhet të theksoj se nuk e kam përdorur këtë funksionalitet (ndërfaqe e personalizuar në internet) dhe nuk mund të them asgjë për efektivitetin dhe performancën e tij, pasi nuk kërkohet për nevojat e mia.
Ju mund të luani me funksionalitetin, nuk ka gjasa që të prishni gjithçka, sepse pika fillestare dhe përfundimtare e të gjithë këtij festivali është BIOS, në të cilin më pas mund të rivendosni gjithçka duke çaktivizuar Intel AMT.
Vendosni MeshCentral dhe zbatoni BackConnect
Dhe këtu fillon rënia e plotë e kokës. Xhaxhai im jo vetëm që bëri një klient, por edhe një panel të tërë admin për Trojan tonë! Dhe ai jo vetëm që e bëri atë, por .
Filloni duke instaluar një server MeshCentral tuajin ose nëse nuk jeni të njohur me MeshCentral, mund ta provoni serverin publik me rrezikun tuaj në MeshCentral.com.
Kjo flet pozitivisht për besueshmërinë e kodit të tij, pasi nuk gjeta asnjë lajm për hakime apo rrjedhje gjatë funksionimit të shërbimit.
Personalisht, unë drejtoj MeshCentral në serverin tim, sepse në mënyrë të paarsyeshme besoj se është më i besueshëm, por nuk ka asgjë në të përveç kotësisë dhe zbehjes së shpirtit. Nëse dëshironi, atëherë ka dokumente dhe enë me MeshCentral. Dokumentet përshkruajnë se si t'i lidhni të gjitha së bashku në NGINX, kështu që zbatimi do të integrohet lehtësisht në serverët tuaj të shtëpisë.
Regjistrohu në , hyni dhe krijoni një grup pajisjesh duke zgjedhur opsionin "pa agjent":
Pse "pa agjent"? Sepse pse na duhet për të instaluar diçka të panevojshme, nuk është e qartë se si sillet dhe si do të funksionojë.
Klikoni "Shto CIRA":
Shkarkoni cira_setup_test.mescript dhe përdorni atë në MeshCommander si kjo:
Voila! Pas ca kohësh, makina jonë do të lidhet me MeshCentral dhe ne mund të bëjmë diçka me të.
Së pari: duhet të dini se programi ynë nuk do të trokasë në një server të largët ashtu si ai. Kjo për faktin se Intel AMT ka dy mundësi për t'u lidhur - përmes një serveri të largët dhe drejtpërdrejt në vend. Ata nuk punojnë në të njëjtën kohë. Skripti ynë tashmë e ka konfiguruar sistemin për punë në distancë, por mund t'ju duhet të lidheni në nivel lokal. Në mënyrë që të lidheni lokalisht, duhet të shkoni këtu
shkruani një rresht që është domeni juaj lokal (vini re se skripti ynë ka futur tashmë disa rreshta të rastësishëm atje, në mënyrë që lidhja të mund të bëhet nga distanca) ose pastroni të gjitha linjat fare (por atëherë lidhja në distancë nuk do të jetë e disponueshme). Për shembull, domeni im lokal në OpenWrt është lan:
Në përputhje me rrethanat, nëse futemi atje lan dhe nëse makina jonë është e lidhur me një rrjet me këtë domen lokal, atëherë lidhja në distancë nuk do të jetë e disponueshme, por portet lokale 16992 dhe 16993 do të hapen dhe pranojnë lidhje. Shkurtimisht, nëse ka një lloj marrëzie që nuk lidhet me domenin tuaj lokal, atëherë softueri po përgjon, nëse jo, atëherë duhet të lidheni me të vetë përmes një teli, kjo është e gjitha.
Во-вторых:
Gjithçka është gati!
Ju mund të pyesni - ku është AntiTheft? Siç thashë fillimisht, Intel AMT nuk është shumë i përshtatshëm për të luftuar hajdutët. Administrimi i një rrjeti zyrash është i mirëpritur, por lufta me individë që kanë marrë pronësi në mënyrë të paligjshme nëpërmjet internetit nuk është aq e veçantë. Le të shqyrtojmë një paketë mjetesh që, teorikisht, mund të na ndihmojë në luftën për pronën private:
- Në vetvete, është e qartë se ju keni akses në makinë nëse është i lidhur me kabllo, ose nëse Windows është i instaluar në të, atëherë përmes WiFi. Po, është fëminore, por tashmë është shumë e vështirë për një person të zakonshëm të përdorë një laptop të tillë, edhe nëse dikush papritmas merr kontrollin. Për më tepër, përkundër faktit se nuk mund t'i kuptoja skriptet, sigurisht që është e mundur të dizajnohen artistikisht disa funksione për bllokimin/shfaqjen e njoftimeve në to.
- Fshirja e sigurt në distancë me teknologjinë e menaxhimit aktiv të Intel
Duke përdorur këtë opsion, mund të fshini të gjitha informacionet nga pajisja në sekonda. Nuk është e qartë nëse funksionon në SSD jo-Intel. Këtu Mund të lexoni më shumë rreth këtij funksioni. Ju mund ta admironi punën . Cilësia është e tmerrshme, por vetëm 10 megabajt dhe thelbi është i qartë.
Problemi i ekzekutimit të shtyrë mbetet i pazgjidhur, me fjalë të tjera: duhet të shikoni kur makina hyn në rrjet për t'u lidhur me të. Besoj se ka një zgjidhje edhe për këtë.
Në një zbatim ideal, ju duhet të bllokoni laptopin dhe të shfaqni një lloj mbishkrimi, por në rastin tonë ne thjesht kemi akses të pashmangshëm, dhe çfarë të bëjmë më pas është çështje imagjinate.
Ndoshta ju do të jeni në gjendje të bllokoni disi makinën ose të paktën të shfaqni një mesazh, shkruani nëse e dini. Faleminderit!
Mos harroni të vendosni një fjalëkalim për BIOS.
Faleminderit përdorues për korrigjimin!
Burimi: www.habr.com