TL, д-р
Absolute Computrace - технологія, яка дозволяє заблокувати машину (і не ), навіть якщо на ній перевстановили операційну систему або навіть замінили жорсткий диск за $15 на рік. Я купив ноутбук на eBay, який був покладений цією штукою. У статті описується мій досвід, як я з нею боровся і намагався зробити те саме на базі Intel AMT, але безкоштовно.
Давайте відразу умовимося: я не вламуюсь у відчинені двері і не пишу лекцію з цих віддалених штук, а розповідаю маленьку передісторію і як швидко підняти на коліні віддалений доступ до своєї машини в будь-якій ситуації (якщо вона підключена до мережі RJ-45) або, якщо вона підключена через Wi-Fi, то тільки в OS Windows. Також можна буде прописати SSID, логін і пароль конкретної точки в самому Intel AMT і тоді доступ по Wi-Fi можна буде отримати теж не завантажуючись в систему. А ще, якщо ви встановите драйвера для Intel ME на GNU/Linux, це все теж має заробити і на ньому. В результаті заблокувати віддалено ноутбук і вивести повідомлення можливості не буде (я не зміг розібратися, чи можливо таке взагалі силами цієї технології), але доступ буде до віддаленого робочого столу та Secure Erase, а це головне.
Таксист поїхав з моїм ноутбуком, і я вирішив купити новий на eBay. Що могло піти негаразд?
З покупця у злодії – за один запуск
Принісши додому ноутбук з поштового відділення, я взявся за завершення попереднього встановлення Windows 10, а потім навіть встиг накотити Firefox, як раптом:
Я чудово розумів, що модифікувати дистрибутив Windows ніхто б не став, а якби і став, то все виглядало б не так незграбно і взагалі блокування відбулося б тоді швидше. Та й сенсу зрештою не було б щось блокувати, тому що все лікувалося б переустановкою. Окей, перезавантажуємось.
Перезавантаження в BIOS, і ось уже все стає трохи ясніше:
І, нарешті, остаточно ясно:
Як так сталося, що мене щемить власний ноутбук? Що таке Computrace?
Строго кажучи, Computrace - це такий набір модулів у вашій EFI BIOS, які після завантаження OS Windows підкидають у неї свої трояни, що стукають на віддалений сервер Absolute software і дозволяють, якщо потрібно, заблокувати систему по інтернету. Детальніше можна почитати ось . З операційними системами, відмінними від Windows, Computrace не працює. Більше того, якщо ми підключимо носій з Windows, зашифрований BitLocker, або будь-яким іншим софтом, Computrace знову не спрацює - модулі просто не зможуть підкинути нам в систему свої файли.
Віддалено такі технології можуть здатися космічними, але лише до того часу, поки ми дізнаємося, що це робиться рідному UEFI з допомогою півтора сумнівних модулів.
Здається, ніби ця штука холодна і всесильна, поки ми не спробуємо, наприклад, завантажитись у GNU/Linux:
На цьому ноутбуці прямо зараз активовано блокування в Computrace
Як кажуть,
Що робити?
Є чотири очевидні вектори вирішення проблеми:
- Написати продавцеві на eBay
- Написати в Absolute software, творцю та власнику Computrace
- Зробити дамп з мікросхеми BIOS, надіслати його каламутним типам, щоб вони надіслали у відповідь дамп з патчем, що дезактивують всі локи і міняють айді девайса
- Зателефонувати до Lazard
Розберемо їх по порядку:
- Ми, як усі адекватні люди, спочатку пишемо продавцю, який продав нам такий товар та обговорюємо проблему з тим, хто відповідає за неї насамперед.
зроблено:
- Згідно з виявленим у глибинах інтернету адвайсу,
Ви потребуєте в contact absolute software. Вони будуть вести машину серійного номера і матір'ю серійного номера. Ви будете потрібні для «proof of purchase», як receipt. Вони будуть contact the owner вони мають на файлі і отримати OK до remove it. Assuming it is not stolen, вони будуть «flag it for delete». Після того, як найближчим часом ви з'єднаєтеся з Інтернетом або маєте відкритий Інтернет-з'єднання, в особливій мірі буде бачити і це буде бути. Send the stuff I mentioned to [захищено електронною поштою].
ми можемо написати відразу в Absolute та спілкуватися на тему розблокування з ними безпосередньо. Я не став поспішати і вирішив вдатися до такого рішення тільки ближче до кінця.
- Брутальне вирішення проблеми теж, на щастя, вже було присутнє. Ось ці і багато інших майстрів комп'ютерної підтримки на тому ж eBay і навіть індуси в Facebook обіцяють нам розблокувати наш BIOS, якщо ми їм надішлемо дамп і почекаємо пару хвилинок.
Процес анлока описується так:
Unlocking solution is finally available and requires SPEG programmer до be able to flash the BIOS.
Процес:
- Reading the BIOS і створить valid dump. У Thinkpad, BIOS є записаний до міжнародного TPM чіпа і містить необхідний signature of it, так це важливо, що орієнтовний BIOS для того, щоб виконати правильний вихід для успіху в повному обсязі і повторно BIOS після.
- Запишіть BIOS брокерів і вмикайте allservice.ro UEFI program. Цей програма буде отримувати безпечну електронну пошту, відновити TPM certificate and password, отримати надійну електронну пошту і reconstruct all data.
- Write the patched BIOS dump (це буде тільки функція в that TP btw), start laptop and generate a Hardware ID. Ви будете мати unique key, що буде активувати всесервісне BIOS, коли BIOS loading it буде виконувати lock routine and unlock SVP and TPM.
- Врешті-решт, завантажте оригінал BIOS тремтіння для звичайних операцій і насолоджуючись ноутбуком.
We can also disable Computrace or change the SN/UUID and reset RFID checksum error by using our UEFI program in the same manner, if necessary
Заблокований сервісний центр є для машини (відповідно до Macbook/iMac, HP, Acer, etc.) Для сервісного центру та функціональності read the next post below. You may contact [захищено електронною поштою] для будь -якого запиту.
Seems legit! Але це теж, зрозумілих причин, варіант для найвідчайдушнішої ситуації, до того ж все задоволення коштує $80. Залишаємо його на потім.
- Якщо Lazard мені все поламали та просять передзвонити, то не варто відмовлятися! За справу.
Дзвонимо в Lazard як «the world's leading financial advisory and asset management firm, advises on mergers, acquisitions, restructuring, capital structure and strategy»
Поки продавець з eBay відповідає, я закидаю кілька баксів на zadarma і передчуваю спілкування з, мабуть, найбездушнішим співрозмовником на планеті — саппортом величезної фінансової корпорації з Нью-Йорка. Дівчина швидко піднімає трубку, вислуховує на моєму комрадгліші боязкі пояснення того, як я купив цей ноутбук, записує його серійник і обіцяє передати адмінам, які мені передзвонять. Цей процес точно повторюється двічі з різницею на добу. Третього разу я спеціально дочекався вечора, поки в Нью-Йорку буде 10 ранку і зателефонував, скоромовкою зачитавши вже звичну мені пасту про мою покупку. Через дві години мені передзвонила та сама жінка і почала зачитувати інструкції:
— Натисніть на ескейп.
Я натискаю, але нічого не відбувається.
— Щось не працює, нічого не змінюється.
- Натискайте.
- Тисну.
- Тепер вводьте: 72406917
Вводжу. Нічого не відбувається.
— Ви знаєте, боюся це не допоможе… Хвилинку…
Ноутбук раптово перезавантажується, завантажується система, настирливий білий екран кудись зник. Для вірності заходжу до біосу, Computrace не активований. Здається все. Дякую за підтримку, пишу продавцеві, що вирішив усі питання сам і розслабляюся.
OpenMakeshift Computrace Intel AMT заснований
Те, що сталося, мене збентежило, але ідея мені сподобалася, мій фантомний біль по бездарно втраченому шукав якогось виходу, мені хотілося захистити свій новий ноутбук, ніби це повернуло б мені старий. Якщо хтось використовує Computrace, то і я можу його використовувати, чи не так? Адже був Intel Anti-Theft, за описом — чудова технологія, що працює так, як треба, але її вбила інертність ринку, однак повинна бути альтернатива. Виявилося, що ця альтернатива починалася там, де й закінчувалася - на цій ниві змогла закріпитися лише Absolute software.
Для початку згадаємо що таке Intel AMT: це такий набір бібліотек, що є частиною Intel ME, вшитий в EFI BIOS, для того, щоб адмін в якомусь офісі міг, не встаючи зі стільця, оперувати машинами в мережі, навіть якщо вони не завантажуються , підключаючи дистанційно ISOшки, керуючи через віддалений робочий стіл і т.д.
Крутиться все це на Minix і приблизно на такому рівні:
Invisible Things Lab запропонувала називати функціональність технології Intel vPro/Intel AMT кільцем захисту -3. В рамках цієї технології чіпсети, що підтримують технологію vPro, містять незалежний мікропроцесор (архітектура ARC4), мають окремий інтерфейс до мережної карти, ексклюзивний доступ до виділеної ділянки ОЗП (16 МБ), DMA-доступ до основної ОЗП. Програми на ньому виконуються незалежно від центрального процесора, прошивка зберігається разом з кодами BIOS або аналогічною флеш-пам'яті SPI (код має криптографічний підпис). Частиною прошивки є вбудований веб-сервер. За замовчуванням AMT вимкнений, але частина коду все ж таки працює в цьому режимі навіть при вимкненому AMT. Код кільця -3 активний навіть у режимі живлення S3 Sleep.
Це звучить привабливо, адже бачиться, що якщо ми зможемо налагодити зворотне підключення до якоїсь адмінки силами Intel AMT, то зможемо мати доступ не гірше ніж у Computrace (насправді ні).
Активуємо Intel AMT на нашій машині
Спершу, деяким з вас напевно хотілося б доторкнутися до цього AMT своїми руками, а тут і починаються нюанси. По-перше: вам потрібний процесор із його підтримкою. З цим, на щастя, проблем немає (якщо у вас не AMD), адже vPro додана майже у всі процесори Intel i5, i7 та i9 (подивитися можна ) Починаючи з 2006-го року, а нормальний VNC туди завезли вже з 2010-го. По-друге: якщо у вас десктоп, то вам потрібна материнська плата з підтримкою такої функціональності, а саме з чіпсетом Q. У ноутбуках нам достатньо знати тільки модель процесора. Якщо ви виявили підтримку Intel AMT, то це хороший знак і ви зможете застосувати отримані тут установки. Якщо ж ні, то або вам не пощастило ви навмисне вибрали процесор або чіпсет без підтримки цієї технології, або ви вдало заощадили, взявши собі AMD, що теж є приводом для радості.
Згідно з документами
In non-secure mode, Intel AMT пристроїв розміщені на port 16992.
У режимі TLS, Intel AMT пристроїв розміщено на port 16993.
Intel AMT приймає до себе коннект на портах 16992 і 16993. Туди і рушимо.
Необхідно перевірити, що Intel AMT включена в BIOS:
Далі нам потрібно перезавантажитись і натиснути під час завантаження Ctrl+P
Стандартний пароль, як водиться, адмін.
Відразу змінюємо пароль в Intel ME General Settings. Далі Intel AMT Configuration включаємо Activate Network Access. Готово. Ви тепер офіційно проекдуровані. Завантажуємося в систему.
Тепер важливий аспект: за логікою речей ми можемо отримати доступ до Intel AMT з localhost і віддалено, але ні. Intel каже що локально підключатися та змінювати налаштування можна за допомогою , але в мене вона навідріз відмовлялася підключатися, так що у мене підключення запрацювало лише віддалено.
Беремо якийсь пристрій і підключаємося по : 16992
Виглядає це так:
Ласкаво просимо до стандартного інтерфейсу Intel AMT! Чому "стандартний"? Тому що він урізаний і для нашої мети абсолютно марний, а ми будемо використовувати щось серйозніше.
Знайомимося з MeshCommander
Як це водиться - великі компанії щось роблять, а кінцеві користувачі допрацьовують під себе. Так сталося тут.
Ось цей скромний (не перебільшення: його ім'я відсутнє на його ж сайті, довелося погуглити) чоловік на ім'я Ylian Saint-Hilaire розробив чудові інструменти для роботи з Intel AMT.
Відразу хочу звернути увагу на його У своїх відео він просто і зрозуміло показує в режимі реального часу як виконати ті чи інші завдання пов'язані з Intel AMT та його софтом.
Почнемо з . Качаємо, встановлюємо та намагаємось підключитися до нашої машини:
Процес не миттєвий, але в результаті ми отримаємо такий екран:
Не те, щоб я параноїк, але sensitive data затру, вибачте мені таке кокетство
Різниця, як кажуть, є. Я не знаю, чому в панелі управління Intel немає такого набору функцій, але факт є факт: Ylian Saint-Hilaire бере від життя відчутно більше. Більше того, ви можете встановити його веб-інтерфейс прямо в прошивку, він надасть можливість користуватись усіма функціями без утиліти.
Робиться це так:
Повинен відзначити, що я цю функціональність не використовував і нічого не можу сказати про її ефективність і працездатність, тому що для моїх потреб він не потрібний.
Ви можете погратися з функціональністю, навряд чи вам вдасться все зіпсувати, адже початковою та кінцевою відправною точкою всього цього фестивалю є BIOS, в ньому ви потім зможете все скинути, відключивши Intel AMT.
Розгортаємо MeshCentral та реалізуємо BackConnect
А ось тут починається повний відвал голови. Дядько не просто зробив клієнт, а ще й цілу адмінку до нашого трояна! І не просто зробив, а .
Ви можете запустити, щоб запустити MeshCentral server для вашого майна або якщо ви не маєте знайомства з MeshCentral, ви можете скористатися громадським сервером на вашому своєму ризику на MeshCentral.com.
Це позитивно свідчить про надійність його коду, тому що мені не вдалося знайти жодних новин про злами та витоки протягом роботи сервісу.
Особисто я кручу MeshCentral на своєму сервері так як необґрунтовано вважаю, що це більш надійно, але в цьому немає нічого крім метушні і зневіри. Якщо ви хочете також, то є документи, а контейнер з MeshCentral. У документах написано, як зв'язати все це в NGINX, так що реалізація легко інтегрується у ваші домашні сервери.
Реєструємось на , заходимо та створюємо Device Group, вибравши опцію «no agent»:
Чому "no agent"? Тому що навіщо нам щоб він встановлював щось зайве, незрозуміло як це поводиться і як працюватиме.
Натискаємо "Add CIRA":
Качаємо cira_setup_test.mescript і використовуємо його в нашому MeshCommander ось таким чином:
Voilà! Через якийсь час наша машина підключиться до MeshCentral і можна буде щось із нею зробити.
По-перше: вам слід знати, що просто так наш софт стукатися на віддалений сервер не буде. Це пов'язано з тим, що Intel AMT має дві опції для підключення — через віддалений сервер і безпосередньо локально. Водночас вони не працюють. Наш скрипт вже налаштував систему для віддаленої роботи, але вам може знадобитися локально підключитися. Для того щоб ви могли підключитися локально, треба ось тут
написати рядок, який є вашим локальним доменом (зверніть увагу, що наш скрипт туди ВЖЕ вбив якийсь рандомний рядок, щоб підключення здійснилося віддалено) або очистити всі рядки зовсім (але тоді віддалене підключення буде недоступне). Наприклад, у мене в OpenWrt локальний домен це lan:
Відповідно, якщо ми туди впишемо lan, і якщо наша машина буде підключена до мережі з цим локальним доменом, то віддалене підключення буде недоступне, а локальні порти 16992 і 16993 відкриються і прийматимуть підключення. Коротше, якщо там якась біліберда, яка не має відношення до вашого локального домену, то софт стукає, якщо ні, то вам треба підключатися до нього самим по дроту, от і все.
По-друге:
Все готово!
Ви запитаєте – а де ж тут AntiTheft? Як я сказав спочатку - Intel AMT не дуже пристосований для боротьби зі злодіями. Адмінити офісну мережу - це будь ласка, а ось воювати з неправомірно заволоділи майном особистостями через мережу інтернет - не особливо. Розглянемо інструментарій, який, теоретично, може нам допомогти у боротьбі за приватну власність:
- Сама по собі однозначна наявність доступу до машини, якщо вона підключена кабелем, або, якщо на ній встановлений Windows, то і по WiFi. Так, дитинство, але користуватися таким ноутбуком звичайній людині вже дуже важко вже навіть якщо хтось просто раптово перехоплює керування. До того ж, незважаючи на те, що я не зміг розібратися зі скриптами, напевно, є можливість художньо випиляти на них якусь функціональність для блокування/виведення нотифікацій.
- Remote Secure Erase with Intel Active Management Technology
За допомогою цієї опції можна видалити всю інфу з машини за секунди. Не з'ясовано, чи працює вона на SSD, відмінних від Intel. Ось можна докладніше почитати про цю функцію. Помилуватися на роботу можна . Якість жахлива, зате лише 10 мегабайт і суть ясна.
Залишається невирішеною проблема відкладеного виконання, іншими словами: потрібно чатувати, коли машина увійде в мережу, щоб виконати до неї підключення. Вважаю, що цьому теж є якесь рішення.
В ідеальному виконанні треба блокувати ноутбук і виводити якийсь напис, але в нашому випадку ми просто маємо невідворотний доступ, і як діяти далі справа фантазії.
Можливо вам якось вдасться блокувати машину або хоча б виводити повідомлення, напишіть, якщо знаєте. Дякую!
Не забудьте встановити пароль на BIOS.
Спасибі користувачеві за вичитування!
Джерело: habr.com