Tl; DR
Ang Absolute Computrace ay isang teknolohiyang nagbibigay-daan sa iyong i-lock ang iyong sasakyan (at hindi ), kahit na ang operating system ay muling na-install dito o kahit na ang hard drive ay pinalitan, sa halagang $15 bawat taon. Bumili ako ng laptop sa eBay na naka-lock sa bagay na ito. Inilalarawan ng artikulo ang aking karanasan, kung paano ko ito pinaghirapan at sinubukang gawin ang parehong sa Intel AMT, ngunit libre.
Agad tayong sumang-ayon: Hindi ako pumapasok sa mga bukas na pinto at hindi nagsusulat ng lecture tungkol sa mga malalayong bagay na ito, ngunit nagsasabi ng kaunting background at kung paano mabilis na makakuha ng malayuang pag-access sa iyong makina sa iyong tuhod sa anumang sitwasyon (kung ito ay konektado sa network sa pamamagitan ng RJ-45) o, kung ito ay konektado sa pamamagitan ng Wi-Fi, sa OS Windows lamang. Gayundin, posible na irehistro ang SSID, pag-login at password ng isang tiyak na punto sa Intel AMT mismo, at pagkatapos ay ang pag-access sa pamamagitan ng Wi-Fi ay maaari ding makuha nang hindi nag-boot sa system. At gayundin, kung nag-install ka ng mga driver para sa Intel ME sa GNU/Linux, kung gayon ang lahat ng ito ay dapat ding gumana dito. Bilang resulta, hindi posibleng malayuang i-lock ang isang laptop at magpakita ng mensahe (hindi ko maisip kung posible ba ito gamit ang teknolohiyang ito), ngunit magkakaroon ng access sa isang remote na desktop at Secure Erase, at ito ay ang pangunahing bagay.
Umalis ang taxi driver dala ang laptop ko at nagpasya akong bumili ng bago sa eBay. Ano ang maaaring magkamali?
Mula sa bumibili hanggang sa mga magnanakaw - sa isang paglulunsad
Ang pag-uwi ng isang laptop mula sa post office, nagtakda akong kumpletuhin ang paunang pag-install ng Windows 10, at pagkatapos nito ay nagawa ko pang i-download ang Firefox, nang biglang:
Naunawaan kong lubos na walang sinuman ang magbabago sa pamamahagi ng Windows, at kung gagawin nila, kung gayon ang lahat ay hindi magmumukhang clumsy at sa pangkalahatan ang pagharang ay nangyari nang mas mabilis. At, sa huli, walang saysay ang pagharang sa anuman, dahil ang lahat ay gagaling sa pamamagitan ng muling pag-install nito. Okay, i-reboot natin.
I-reboot sa BIOS, at ngayon ang lahat ay nagiging mas malinaw:
At sa wakas, ito ay ganap na malinaw:
Paano ito na ang aking sariling laptop ay iniistorbo sa akin? Ano ang Computrace?
Sa mahigpit na pagsasalita, ang Computrace ay isang set ng mga module sa iyong EFI BIOS na, pagkatapos i-load ang OS Windows, ipasok ang kanilang mga Trojan dito, kumakatok sa remote na Absolute software server at pinapayagan, kung kinakailangan, na harangan ang system sa Internet. Maaari mong basahin ang higit pang mga detalye dito . Ang Computrace ay hindi gumagana sa mga operating system maliban sa Windows. Bukod dito, kung ikinonekta namin ang isang drive na may Windows na naka-encrypt ng BitLocker, o anumang iba pang software, hindi na gagana muli ang Computrace - hindi na lang maitatapon ng mga module ang kanilang mga file sa aming system.
Mula sa malayo, ang mga naturang teknolohiya ay maaaring mukhang kosmiko, ngunit hanggang sa malaman natin na ang lahat ng ito ay ginagawa sa katutubong UEFI gamit ang isa at kalahating kahina-hinalang mga module.
Tila ang bagay na ito ay malamig at pinakamakapangyarihan hanggang sa subukan natin, halimbawa, na mag-boot sa GNU/Linux:
Ang laptop na ito ay may Computrace locking na pinagana ngayon.
Gaya nga ng kasabihan,
Ano ang dapat gawin?
Mayroong apat na halatang vectors para sa paglutas ng problema:
- Sumulat sa nagbebenta sa eBay
- Sumulat sa Absolute software, tagalikha at may-ari ng Computrace
- Gumawa ng isang dump mula sa BIOS chip, ipadala ito sa mga malilim na uri upang maibalik nila ang isang dump na may patch na nagde-deactivate sa lahat ng mga lock at menu ng device ID
- Tawagan si Lazard
Tingnan natin ang mga ito sa pagkakasunud-sunod:
- Kami, tulad ng lahat ng makatwirang tao, sumulat muna sa nagbebenta na nagbebenta sa amin ng naturang produkto at talakayin ang problema sa isa na pangunahing responsable para dito.
Ginawa:
- Ayon sa isang tagapayo na natuklasan sa kailaliman ng Internet,
Kailangan mong makipag-ugnayan sa ganap na software. Gusto nila ang serial number ng makina at ang serial number ng motherboard. Kakailanganin mo ring magbigay ng "patunay ng pagbili", tulad ng isang resibo. Makikipag-ugnayan sila sa may-ari na mayroon sila sa file at kukuha ng OK na alisin ito. Ipagpalagay na hindi ito ninakaw, pagkatapos ay "i-flag ito para tanggalin". Pagkatapos nito, sa susunod na kumonekta ka sa internet o magkaroon ng bukas na koneksyon sa internet, isang himala ang magaganap at ito ay mawawala. Ipadala ang mga bagay na aking nabanggit [protektado ng email].
maaari kaming direktang sumulat sa Absolute at direktang makipag-ugnayan sa kanila tungkol sa pag-unlock. Kinuha ko ang aking oras at nagpasya na gamitin ang solusyon na ito hanggang sa wakas.
- Sa kabutihang palad, mayroon nang malupit na solusyon sa problema. Ang mga ito at marami pang ibang computer support specialist sa parehong eBay at maging ang mga Indian sa Facebook ay nangangako sa amin na i-unlock ang aming BIOS kung magpapadala kami sa kanila ng dump at maghintay ng ilang minuto.
Ang proseso ng pag-unlock ay inilarawan bilang mga sumusunod:
Sa wakas ay magagamit na ang solusyon sa pag-unlock at nangangailangan ng SPEG programmer na makapag-flash ng BIOS.
Ang proseso ay:
- Pagbabasa ng BIOS at lumikha ng wastong dump. Sa isang Thinkpad, ang BIOS ay kasal sa panloob na TPM chip at naglalaman ng isang natatanging pirma nito, kaya mahalaga na ang orihinal na BIOS ay maging wastong basahin para sa tagumpay ng buong operasyon at upang maibalik ang BIOS pagkatapos.
- Pag-patch ng mga binary ng BIOS at mag-inject ng all smallservice.ro UEFI program. Babasahin ng program na ito ang secure na eeprom, i-reset ang TPM certificate at password, isusulat ang secure na eeprom at muling itatayo ang lahat ng data.
- Isulat ang patched BIOS dump (ito ay gagana lamang sa TP na iyon btw), simulan ang laptop at bumuo ng isang Hardware ID. Padadalhan ka namin ng kakaibang key na magpapagana sa Allservice BIOS, habang naglo-load ang BIOS, isasagawa nito ang routine sa pag-unlock at ia-unlock ang SVP at TPM.
- Panghuli, isulat ang orihinal na BIOS dump pabalik para sa mga normal na operasyon at tamasahin ang laptop.
Maaari rin naming i-disable ang Computrace o baguhin ang SN/UUID at i-reset ang RFID checksum error sa pamamagitan ng paggamit ng aming UEFI program sa parehong paraan, kung kinakailangan
Ang presyo ng serbisyo sa pag-unlock ay bawat makina (tulad ng ginagawa namin para sa Macbook/iMac, HP, Acer, atbp) Para sa presyo ng serbisyo at availability mangyaring basahin ang susunod na post sa ibaba. Maaari kang makipag-ugnayan [protektado ng email] para sa anumang pagtatanong.
Parang legit! Ngunit ito rin, para sa malinaw na mga kadahilanan, ay isang opsyon para sa pinakadesperadong sitwasyon, at bukod pa, ang lahat ng kasiyahan ay nagkakahalaga ng $80. Iwanan natin ito para mamaya.
- Kung sinira ni Lazard ang lahat para sa akin at hilingin sa akin na tawagan ka, hindi ka dapat tumanggi! Bumaba tayo sa negosyo.
Tinatawag namin si Lazard aka "nangunguna sa buong mundo na financial advisory at asset management firm, nagpapayo sa mga merger, acquisition, restructuring, capital structure at strategy"
Habang tumutugon ang nagbebenta mula sa eBay, nagtatapon ako ng ilang pera sa zadarma at umaasa na makipag-usap sa marahil ang pinaka walang kaluluwang kausap sa planeta - ang suporta ng isang malaking korporasyong pinansyal mula sa New York. Mabilis na kinuha ng batang babae ang telepono, nakikinig sa aking kasamang Ingles sa mga mahiyain na paliwanag kung paano ko binili ang laptop na ito, isinulat ang serial number nito at ipinangako na ibibigay ito sa mga admin, na tatawag sa akin. Ang prosesong ito ay paulit-ulit nang eksaktong dalawang beses, isang araw ang pagitan. Sa ikatlong pagkakataon, sinadya kong maghintay hanggang alas-10 ng gabi sa New York at tumawag, mabilis na binasa ang pamilyar na pasta tungkol sa aking binili. Pagkalipas ng dalawang oras, tinawagan ako ng parehong babae at nagsimulang magbasa ng mga tagubilin:
β I-click ang pagtakas.
Pinindot ko pero walang nangyayari.
β May hindi gumagana, walang nagbabago.
- Pindutin.
- Pinindot ko.
β Ipasok ngayon: 72406917
pagpasok ko. Walang nangyari.
- Alam mo, natatakot akong hindi ito makakatulong... Sandali lang...
Ang laptop ay biglang nag-reboot, ang sistema ay nag-boot, ang nakakainis na puting screen ay nawala sa isang lugar. Para makasigurado, pumasok ako sa BIOS, hindi activated ang Computrace. Parang yun lang. Salamat sa iyong suporta, sumulat ako sa nagbebenta na nalutas ko ang lahat ng mga isyu sa aking sarili at nagpahinga.
OpenMakeshift Computrace Intel AMT based
Ang nangyari ay nasiraan ng loob ko, ngunit nagustuhan ko ang ideya, ang aking multo na sakit sa kung ano ang karaniwang nawala ay naghahanap ng paraan, gusto kong protektahan ang aking bagong laptop, na parang ibabalik sa akin ang luma. Kung may gumagamit ng Computrace, magagamit ko rin ito, tama ba? Pagkatapos ng lahat, mayroong Intel Anti-Theft, ayon sa paglalarawan - isang mahusay na teknolohiya na gumagana ayon sa nararapat, ngunit pinatay ito ng inertia ng merkado, ngunit dapat mayroong isang kahalili. Lumalabas na ang alternatibong ito ay nagsimula sa parehong lugar kung saan ito natapos - tanging ang Absolute software lang ang nakakuha ng foothold sa larangang ito.
Una, tandaan natin kung ano ang Intel AMT: ito ay isang hanay ng mga aklatan na bahagi ng Intel ME, na binuo sa EFI BIOS, upang ang isang administrator sa ilang opisina ay maaaring, nang hindi bumangon mula sa kanyang upuan, ay magpatakbo ng mga makina sa network, kahit na hindi sila nag-boot , nagkokonekta ng malayuang mga ISO, nagkokontrol sa pamamagitan ng remote na desktop, atbp.
Ang lahat ng ito ay tumatakbo sa Minix at sa humigit-kumulang sa antas na ito:
Iminungkahi ng Invisible Things Lab na tawagan ang functionality ng Intel vPro / Intel AMT technology bilang isang ring ng proteksyon -3. Bilang bahagi ng teknolohiyang ito, ang mga chipset na sumusuporta sa teknolohiya ng vPro ay naglalaman ng isang independiyenteng microprocessor (arkitektura ng ARC4), may hiwalay na interface sa network card, eksklusibong access sa isang nakalaang seksyon ng RAM (16 MB), at DMA access sa pangunahing RAM. Ang mga programa dito ay isinasagawa nang nakapag-iisa sa gitnang processor; ang firmware ay naka-imbak kasama ng mga BIOS code o sa isang katulad na SPI flash memory (ang code ay may isang cryptographic signature). Ang bahagi ng firmware ay isang built-in na web server. Bilang default, hindi pinagana ang AMT, ngunit gumagana pa rin ang ilang code sa mode na ito kahit na hindi pinagana ang AMT. Aktibo ang ring code -3 kahit na nasa S3 Sleep power mode.
Mukhang nakatutukso ito, dahil tila kung makakapagtatag tayo ng reverse connection sa ilang admin panel gamit ang Intel AMT, magkakaroon tayo ng access na hindi mas malala kaysa sa Computrace (sa katunayan, hindi).
Ina-activate namin ang Intel AMT sa aming makina
Una, ang ilan sa inyo ay malamang na nais na hawakan ang AMT na ito gamit ang iyong sariling mga kamay, at dito magsisimula ang mga nuances. Una: kailangan mo ng processor na sumusuporta dito. Sa kabutihang palad, walang mga problema dito (maliban kung mayroon kang AMD), dahil ang vPro ay idinagdag sa halos lahat ng mga processor ng Intel i5, i7 at i9 (makikita mo ) mula noong 2006, at ang normal na VNC ay dinala doon noong 2010 na. Pangalawa: kung mayroon kang desktop, kailangan mo ng motherboard na sumusuporta sa pag-andar na ito, lalo na sa Q chipset. Sa mga laptop, kailangan lang nating malaman ang modelo ng processor. Kung nakakita ka ng suporta para sa Intel AMT, kung gayon ito ay isang magandang senyales at magagawa mong ilapat ang mga setting na nakuha dito. Kung hindi, kung gayon ay hindi ka pinalad/sinasadya mong pumili ng processor o chipset na walang suporta para sa teknolohiyang ito, o matagumpay kang nakatipid ng pera sa pamamagitan ng pagpili sa AMD, na isa ring dahilan ng kagalakan.
Ayon sa mga dokumento
Sa non-secure mode, nakikinig ang mga Intel AMT device sa port 16992.
Sa TLS mode, nakikinig ang mga Intel AMT device sa port 16993.
Tumatanggap ang Intel AMT ng mga koneksyon sa mga port 16992 at 16993. Lumipat tayo doon.
Kailangan mong suriin na ang Intel AMT ay pinagana sa BIOS:
Susunod na kailangan nating i-reboot at pindutin ang Ctrl + P habang naglo-load
Ang karaniwang password, gaya ng dati, admin.
Agad na baguhin ang password sa Intel ME General Settings. Susunod, sa Intel AMT Configuration, paganahin ang I-activate ang Network Access. handa na. Opisyal ka na ngayong backdoored. Naglo-load kami sa system.
Ngayon ay isang mahalagang nuance: lohikal, maaari naming ma-access ang Intel AMT mula sa localhost at malayuan, ngunit hindi. Sinasabi ng Intel na maaari kang kumonekta nang lokal at baguhin ang mga setting gamit , ngunit para sa akin ay tumanggi itong kumonekta, kaya ang aking koneksyon ay gumana lamang nang malayuan.
Kumuha kami ng ilang device at kumonekta sa pamamagitan ng : 16992
Mukhang ito:
Maligayang pagdating sa karaniwang interface ng Intel AMT! Bakit "standard"? Dahil ito ay pinutol at ganap na walang silbi para sa aming mga layunin, at gagamit kami ng isang bagay na mas seryoso.
Pagkilala sa MeshCommander
Gaya ng dati, may ginagawa ang malalaking kumpanya, at binabago ito ng mga end user upang umangkop sa kanilang sarili. Ganun din ang nangyari dito.
Ang katamtaman na ito (walang pagmamalabis: ang kanyang pangalan ay wala sa kanyang website, kailangan kong i-Google ito) ang lalaking nagngangalang Ylian Saint-Hilaire ay nakabuo ng mga magagandang tool para sa pagtatrabaho sa Intel AMT.
Gusto kong itawag agad ang iyong atensyon sa kanya , sa kanyang mga video ay simple at malinaw niyang ipinapakita sa real time kung paano magsagawa ng ilang partikular na gawain na may kaugnayan sa Intel AMT at sa software nito.
Magsimula tayo . I-download, i-install at subukang kumonekta sa aming makina:
Ang proseso ay hindi madalian, ngunit bilang isang resulta ay makukuha namin ang screen na ito:
Hindi sa ako ay paranoid, ngunit tatanggalin ko ang sensitibong data, patawarin mo ako para sa gayong pagmamalabis.
Ang pagkakaiba, tulad ng sinasabi nila, ay halata. Hindi ko alam kung bakit ang Intel Control Panel ay walang ganoong hanay ng mga function, ngunit ang katotohanan ay ang Ylian Saint-Hilaire ay higit na nakakakuha ng higit sa buhay. Bukod dito, maaari mong i-install ang web interface nito nang direkta sa firmware, papayagan ka nitong gamitin ang lahat ng mga pag-andar nang walang utility.
Ginagawa ito tulad nito:
Dapat kong tandaan na hindi ko nagamit ang functionality na ito (Custom na web interface) at wala akong masabi tungkol sa pagiging epektibo at pagganap nito, dahil hindi ito kinakailangan para sa aking mga pangangailangan.
Maaari kang makipaglaro sa pag-andar, malamang na hindi mo masisira ang lahat, dahil ang simula at huling panimulang punto ng buong pagdiriwang na ito ay ang BIOS, kung saan maaari mong i-reset ang lahat sa pamamagitan ng hindi pagpapagana ng Intel AMT.
I-deploy ang MeshCentral at ipatupad ang BackConnect
At dito nagsisimula ang kumpletong pagbagsak ng ulo. Ang aking tiyuhin ay hindi lamang gumawa ng isang kliyente, ngunit din ng isang buong admin panel para sa aming Trojan! At hindi lang niya ginawa, kundi .
Magsimula sa pamamagitan ng pag-install ng sarili mong server ng MeshCentral o kung hindi ka pamilyar sa MeshCentral, maaari mong subukan ang pampublikong server sa iyong sariling peligro sa MeshCentral.com.
Ito ay positibong nagsasalita tungkol sa pagiging maaasahan ng code nito, dahil wala akong mahanap na anumang balita tungkol sa mga hack o paglabas sa panahon ng operasyon ng serbisyo.
Sa personal, pinapatakbo ko ang MeshCentral sa aking server dahil hindi ako makatwirang naniniwala na ito ay mas maaasahan, ngunit walang anuman dito maliban sa kawalang-kabuluhan at katamaran ng espiritu. Kung gusto mo rin, eh may mga dokumento at lalagyan na may MeshCentral. Ang mga doc ay naglalarawan kung paano itali ang lahat ng ito nang sama-sama sa NGINX, kaya ang pagpapatupad ay madaling isama sa iyong mga home server.
Magrehistro sa , pumasok at lumikha ng Pangkat ng Device sa pamamagitan ng pagpili sa opsyong "walang ahente":
Bakit "walang ahente"? Dahil bakit kailangan natin itong mag-install ng hindi kailangan, hindi malinaw kung paano ito kumilos at kung paano ito gagana.
I-click ang βMagdagdag ng CIRAβ:
I-download ang cira_setup_test.mescript at gamitin ito sa aming MeshCommander tulad nito:
Voila! Pagkaraan ng ilang oras, kokonekta ang aming makina sa MeshCentral at may magagawa kami dito.
Una: dapat mong malaman na ang aming software ay hindi kakatok sa isang malayuang server ng ganoon lang. Ito ay dahil sa ang katunayan na ang Intel AMT ay may dalawang pagpipilian para sa pagkonekta - sa pamamagitan ng isang malayong server at direkta sa lokal. Hindi sila sabay na nagtatrabaho. Na-configure na ng aming script ang system para sa malayuang trabaho, ngunit maaaring kailanganin mong kumonekta nang lokal. Upang makakonekta ka nang lokal, kailangan mong pumunta dito
magsulat ng isang linya na iyong lokal na domain (tandaan na ang aming script ay naglagay na ng ilang random na linya doon upang ang koneksyon ay maaaring gawin nang malayuan) o i-clear ang lahat ng mga linya nang buo (ngunit pagkatapos ay ang remote na koneksyon ay hindi magagamit). Halimbawa, ang aking lokal na domain sa OpenWrt ay lan:
Alinsunod dito, kung ipasok namin ang lan doon, at kung ang aming makina ay konektado sa isang network na may ganitong lokal na domain, kung gayon ang malayong koneksyon ay hindi magagamit, ngunit ang mga lokal na port 16992 at 16993 ay magbubukas at tatanggap ng mga koneksyon. Sa madaling salita, kung mayroong ilang uri ng katarantaduhan na hindi nauugnay sa iyong lokal na domain, kung gayon ang software ay bugging, kung hindi, kailangan mong kumonekta dito sa pamamagitan ng wire, iyon lang.
Pangalawa:
Handa na ang lahat!
Maaari mong itanong - nasaan ang AntiTheft? Tulad ng sinabi ko sa una, ang Intel AMT ay hindi masyadong angkop para sa pakikipaglaban sa mga magnanakaw. Ang pangangasiwa sa isang network ng opisina ay malugod na tinatanggap, ngunit ang pakikipaglaban sa mga indibidwal na labag sa batas na nagmamay-ari ng ari-arian sa pamamagitan ng Internet ay hindi napakaespesyal. Isaalang-alang natin ang isang toolkit na, sa teorya, ay makakatulong sa atin sa paglaban para sa pribadong pag-aari:
- Sa sarili nito, malinaw na mayroon kang access sa makina kung ito ay konektado sa pamamagitan ng cable, o, kung ang Windows ay naka-install dito, pagkatapos ay sa pamamagitan ng WiFi. Oo, ito ay bata, ngunit napakahirap na para sa isang ordinaryong tao na gumamit ng ganoong laptop, kahit na may isang tao na biglang kunin ang kontrol. Bukod dito, sa kabila ng katotohanan na hindi ko maisip ang mga script, tiyak na posible na artistikong magdisenyo ng ilang functionality para sa pagharang/pagpapakita ng mga notification sa mga ito.
- Remote Secure Erase gamit ang Intel Active Management Technology
Gamit ang opsyong ito, maaari mong tanggalin ang lahat ng impormasyon mula sa makina sa ilang segundo. Hindi malinaw kung gumagana ito sa mga non-Intel SSD. Dito Maaari kang magbasa nang higit pa tungkol sa function na ito. Maaari mong humanga sa gawa . Ang kalidad ay kahila-hilakbot, ngunit 10 megabytes lamang at ang kakanyahan ay malinaw.
Ang problema ng ipinagpaliban na pagpapatupad ay nananatiling hindi nalutas, sa madaling salita: kailangan mong panoorin kapag ang makina ay pumasok sa network upang kumonekta dito. Naniniwala ako na may ilang solusyon din dito.
Sa isang perpektong pagpapatupad, kailangan mong harangan ang laptop at magpakita ng ilang uri ng inskripsyon, ngunit sa aming kaso mayroon kaming hindi maiiwasang pag-access, at kung ano ang susunod na gagawin ay isang bagay ng imahinasyon.
Marahil ay magagawa mong harangan ang kotse o hindi bababa sa magpakita ng isang mensahe, sumulat kung alam mo. Salamat!
Huwag kalimutang magtakda ng password para sa BIOS.
Salamat sa gumagamit para sa proofreading!
Pinagmulan: www.habr.com