Cách tôi mua một chiếc máy tính xách tay bị khóa trên eBay và cố gắng tạo AntiTheft của riêng mình dựa trên IntelAMT

TL; DR

Máy tính tuyệt đối là công nghệ cho phép bạn khóa xe của mình (và không chỉ), ngay cả khi hệ điều hành đã được cài đặt lại hoặc thậm chí ổ cứng đã được thay thế, với giá 15 USD mỗi năm. Tôi đã mua một chiếc máy tính xách tay trên eBay đã bị khóa bằng thứ này. Bài viết mô tả trải nghiệm của tôi, cách tôi vật lộn với nó và cố gắng làm điều tương tự trên Intel AMT, nhưng miễn phí.

Hãy đồng ý ngay lập tức: Tôi sẽ không đột nhập vào những cánh cửa đang mở và không viết một bài giảng về những thứ xa xôi này mà kể một chút thông tin cơ bản và cách nhanh chóng truy cập từ xa vào máy của bạn trên đầu gối trong mọi tình huống (nếu nó được kết nối với mạng qua RJ-45) hoặc, nếu nó được kết nối qua Wi-Fi thì chỉ trong OS Windows. Ngoài ra, có thể đăng ký SSID, thông tin đăng nhập và mật khẩu của một điểm cụ thể trong chính Intel AMT, sau đó cũng có thể truy cập qua Wi-Fi mà không cần khởi động vào hệ thống. Ngoài ra, nếu bạn cài đặt trình điều khiển cho Intel ME trên GNU/Linux, thì tất cả những điều này cũng sẽ hoạt động trên nó. Do đó, sẽ không thể khóa máy tính xách tay từ xa và hiển thị thông báo (tôi không thể biết liệu điều này có khả thi khi sử dụng công nghệ này hay không), nhưng sẽ có quyền truy cập vào máy tính để bàn từ xa và Xóa an toàn, và điều này là điều chính.

Người tài xế taxi đã mang theo máy tính xách tay của tôi và tôi quyết định mua một chiếc mới trên eBay. Điều gì có thể xảy ra?

Từ người mua đến kẻ trộm - chỉ trong một lần ra mắt

Sau khi mang một chiếc máy tính xách tay từ bưu điện về nhà, tôi bắt đầu hoàn tất quá trình cài đặt sẵn Windows 10 và sau đó tôi thậm chí còn tải xuống được Firefox thì đột nhiên:

Tôi hoàn toàn hiểu rằng sẽ không có ai sửa đổi bản phân phối Windows và nếu họ làm vậy thì mọi thứ sẽ không còn vụng về như vậy nữa và nói chung việc chặn sẽ diễn ra nhanh hơn. Và cuối cùng, việc chặn bất cứ thứ gì cũng chẳng ích gì, vì mọi thứ sẽ được giải quyết bằng cách cài đặt lại nó. Được rồi, hãy khởi động lại.

Khởi động lại vào BIOS và bây giờ mọi thứ trở nên rõ ràng hơn một chút:

Và cuối cùng, nó hoàn toàn rõ ràng:

Làm thế nào mà máy tính xách tay của tôi lại làm phiền tôi? Máy tính là gì?

Nói đúng ra, Computrace là một tập hợp các mô-đun trong BIOS EFI của bạn, sau khi tải hệ điều hành Windows, hãy chèn Trojan của chúng vào đó, kích hoạt máy chủ phần mềm Tuyệt đối từ xa và cho phép, nếu cần, chặn hệ thống qua Internet. Bạn có thể đọc thêm chi tiết tại đây đây. Computrace không hoạt động với các hệ điều hành khác ngoài Windows. Hơn nữa, nếu chúng tôi kết nối một ổ đĩa với Windows được mã hóa bởi BitLocker hoặc bất kỳ phần mềm nào khác, thì Computrace sẽ không hoạt động trở lại - đơn giản là các mô-đun sẽ không thể đưa tệp của chúng vào hệ thống của chúng tôi.

Nhìn từ xa, những công nghệ như vậy có vẻ mang tính vũ trụ, nhưng chỉ cho đến khi chúng tôi phát hiện ra rằng tất cả những điều này được thực hiện trên UEFI gốc bằng cách sử dụng một mô-đun rưỡi đáng ngờ.

Có vẻ như thứ này rất lạnh lùng và toàn năng cho đến khi chúng ta cố gắng khởi động vào GNU/Linux chẳng hạn:

Máy tính xách tay này hiện đã bật tính năng khóa Computrace.

Như đã nói,

Phải làm gì?

Có bốn vectơ rõ ràng để giải quyết vấn đề:

1. Viết thư cho người bán trên eBay
2. Viết thư cho phần mềm Tuyệt đối, người sáng tạo và chủ sở hữu Computrace
3. Tạo một kết xuất từ ​​chip BIOS, gửi nó đến các loại mờ ám để họ gửi lại một kết xuất có bản vá vô hiệu hóa tất cả các khóa và menu ID thiết bị
4. Gọi cho Lazard

Chúng ta hãy nhìn vào chúng theo thứ tự:

1. Chúng tôi, giống như tất cả những người hợp lý, trước tiên hãy viết thư cho người bán đã bán sản phẩm đó cho chúng tôi và thảo luận vấn đề với người chịu trách nhiệm chính về vấn đề đó.

   Làm ra:

   

2. Theo một cố vấn được phát hiện trong sâu thẳm Internet,
   

   Bạn cần liên hệ tuyệt đối với phần mềm. Họ sẽ muốn số sê-ri của máy và số sê-ri của bo mạch chủ. Bạn cũng sẽ cần cung cấp “bằng chứng mua hàng”, chẳng hạn như biên nhận. Họ sẽ liên hệ với chủ sở hữu mà họ có trong hồ sơ và được đồng ý xóa nó. Giả sử nó không bị đánh cắp, họ sẽ “gắn cờ để xóa”. Sau đó, lần tiếp theo bạn kết nối Internet hoặc có kết nối Internet mở, điều kỳ diệu sẽ xảy ra và nó sẽ biến mất. Gửi những thứ tôi đã đề cập đến [email được bảo vệ].

   chúng ta có thể viết thư trực tiếp cho Tuyệt đối và liên lạc trực tiếp với họ về việc mở khóa. Tôi đã dành thời gian và quyết định chỉ sử dụng giải pháp này cho đến cuối cùng.

3. May mắn thay, một giải pháp tàn bạo cho vấn đề này đã xuất hiện. Những người này các bạn và nhiều chuyên gia hỗ trợ máy tính khác trên cùng eBay và thậm chí cả người Ấn Độ trên Facebook hứa với chúng tôi sẽ mở khóa BIOS nếu chúng tôi gửi cho họ một bản kết xuất và đợi vài phút.

   Quá trình mở khóa được mô tả như sau:

   Giải pháp mở khóa cuối cùng đã có sẵn và yêu cầu lập trình viên SPEG có thể flash BIOS.

   Quá trình này là:

   1. Đọc BIOS và tạo một kết xuất hợp lệ. Trong Thinkpad, BIOS được kết hợp với chip TPM bên trong và chứa một chữ ký duy nhất của nó, vì vậy điều quan trọng là BIOS gốc phải được đọc chính xác để toàn bộ hoạt động thành công và khôi phục BIOS sau đó.
   2. Vá các tệp nhị phân BIOS và đưa vào tất cả chương trình UEFI của Smallservice.ro. Chương trình này sẽ đọc eeprom bảo mật, đặt lại chứng chỉ và mật khẩu TPM, ghi eeprom bảo mật và xây dựng lại tất cả dữ liệu.
   3. Viết kết xuất BIOS đã vá (điều này sẽ chỉ hoạt động trong TP btw đó), khởi động máy tính xách tay và tạo ID phần cứng. Chúng tôi sẽ gửi cho bạn một khóa duy nhất sẽ kích hoạt Allservice BIOS, trong khi BIOS đang tải, nó sẽ thực hiện quy trình mở khóa và mở khóa SVP và TPM.
   4. Cuối cùng, ghi lại kết xuất BIOS ban đầu để hoạt động bình thường và tận hưởng chiếc máy tính xách tay.

   Chúng tôi cũng có thể tắt Computrace hoặc thay đổi SN/UUID và đặt lại lỗi tổng kiểm tra RFID bằng cách sử dụng chương trình UEFI của chúng tôi theo cách tương tự, nếu cần

   Giá dịch vụ unlock tùy theo máy (giống như chúng tôi làm với Macbook/iMac, HP, Acer, v.v.) Để biết giá dịch vụ và tình trạng sẵn có, vui lòng đọc bài tiếp theo bên dưới. Bạn có thể liên hệ [email được bảo vệ] cho bất kỳ yêu cầu.

   Có vẻ hợp pháp! Nhưng điều này cũng vậy, vì những lý do hiển nhiên, là một lựa chọn cho tình huống tuyệt vọng nhất, và bên cạnh đó, tất cả những cuộc vui đều tốn 80 đô la. Chúng ta để nó sau.

4. Nếu Lazard đã phá vỡ mọi thứ vì tôi và yêu cầu tôi gọi lại cho bạn, thì bạn không nên từ chối! Hãy bắt tay vào công việc.

Chúng tôi gọi Lazard hay còn gọi là “công ty tư vấn tài chính và quản lý tài sản hàng đầu thế giới, tư vấn về sáp nhập, mua lại, tái cơ cấu, cơ cấu vốn và chiến lược”

Trong khi người bán từ eBay trả lời, tôi ném một vài đô la vào zadarma và mong được giao tiếp với người đối thoại có lẽ là vô hồn nhất hành tinh - sự hỗ trợ của một tập đoàn tài chính khổng lồ đến từ New York. Cô gái nhanh chóng nhấc máy, rụt rè nghe bạn tôi giải thích bằng tiếng Anh về việc tôi đã mua chiếc máy tính xách tay này như thế nào, ghi lại số sê-ri của nó và hứa sẽ đưa cho quản trị viên sẽ gọi lại cho tôi. Quá trình này được lặp lại đúng hai lần, cách nhau một ngày. Lần thứ ba, tôi cố tình đợi đến 10 giờ tối ở New York rồi gọi điện, đọc nhanh những dòng mì ống quen thuộc về việc mua hàng của mình. Hai giờ sau, người phụ nữ đó gọi lại cho tôi và bắt đầu đọc hướng dẫn:
- Bấm thoát.
Tôi bấm nhưng không có gì xảy ra.
- Có gì đó không ổn, không có gì thay đổi.
- Nhấn.
- Tôi nhấn.
— Bây giờ hãy nhập: 72406917
Tôi đang bước vào. Chẳng có gì xảy ra.
- Anh biết đấy, tôi e rằng điều này sẽ không giúp ích được gì... Đợi một chút...
Laptop đột ngột khởi động lại, hệ thống khởi động, màn hình trắng khó chịu đã biến mất đâu đó. Để chắc chắn, tôi vào BIOS, Computrace chưa được kích hoạt. Có vẻ như vậy đó. Cảm ơn sự hỗ trợ của bạn, tôi viết thư cho người bán rằng tôi đã tự mình giải quyết mọi vấn đề và thư giãn.

OpenMakeshift Computrace dựa trên Intel AMT

Những gì đã xảy ra khiến tôi chán nản, nhưng tôi thích ý tưởng đó, nỗi đau ảo tưởng của tôi về những gì đã mất đi một cách tầm thường đang tìm kiếm một lối thoát nào đó, tôi muốn bảo vệ chiếc máy tính xách tay mới của mình, như thể nó sẽ trả lại cho tôi chiếc máy tính cũ. Nếu ai đó đang sử dụng Computrace thì tôi cũng có thể sử dụng được phải không? Xét cho cùng thì đã có Intel Anti-Theft, theo mô tả - một công nghệ tuyệt vời hoạt động như bình thường, nhưng nó đã bị giết chết bởi quán tính của thị trường, nhưng phải có một giải pháp thay thế. Hóa ra sự thay thế này bắt đầu từ chính nơi nó kết thúc - chỉ phần mềm Tuyệt đối mới có thể có được chỗ đứng trong lĩnh vực này.

Trước tiên, hãy nhớ Intel AMT là gì: đây là một tập hợp các thư viện là một phần của Intel ME, được tích hợp trong EFI BIOS, để quản trị viên ở một số văn phòng có thể vận hành máy trên mạng mà không cần đứng dậy khỏi ghế, ngay cả khi chúng không khởi động, kết nối ISO từ xa, điều khiển qua máy tính để bàn từ xa, v.v.

Tất cả điều này chạy trên Minix và ở mức độ này:

Invisible Things Lab đề xuất gọi chức năng của công nghệ Intel vPro / Intel AMT là vòng bảo vệ -3. Là một phần của công nghệ này, các chipset hỗ trợ công nghệ vPro chứa bộ vi xử lý độc lập (kiến trúc ARC4), có giao diện riêng với card mạng, quyền truy cập độc quyền vào một phần RAM chuyên dụng (16 MB) và quyền truy cập DMA vào RAM chính. Các chương trình trên đó được thực thi độc lập với bộ xử lý trung tâm; phần sụn được lưu trữ cùng với mã BIOS hoặc trên bộ nhớ flash SPI tương tự (mã có chữ ký mật mã). Một phần của phần sụn là một máy chủ web tích hợp. Theo mặc định, AMT bị tắt nhưng một số mã vẫn chạy ở chế độ này ngay cả khi AMT bị tắt. Mã chuông -3 hoạt động ngay cả ở chế độ nguồn Ngủ S3.

Điều này nghe có vẻ hấp dẫn, vì có vẻ như nếu chúng ta có thể thiết lập kết nối ngược với một số bảng quản trị bằng Intel AMT, chúng ta sẽ có thể truy cập không thua kém Computrace (trên thực tế là không).

Chúng tôi kích hoạt Intel AMT trên máy của mình

Đầu tiên, một số bạn có thể muốn chạm vào AMT này bằng chính đôi tay của mình và ở đây các sắc thái bắt đầu. Đầu tiên: bạn cần một bộ xử lý hỗ trợ nó. May mắn thay, không có vấn đề gì với điều này (trừ khi bạn có AMD), vì vPro được thêm vào hầu hết tất cả các bộ xử lý Intel i5, i7 và i9 (bạn có thể thấy đây) kể từ năm 2006, và VNC bình thường đã được đưa vào đó vào năm 2010. Thứ hai: nếu bạn có máy tính để bàn, thì bạn cần một bo mạch chủ hỗ trợ chức năng này, cụ thể là với chipset Q. Trong máy tính xách tay, chúng ta chỉ cần biết kiểu bộ xử lý. Nếu bạn nhận thấy sự hỗ trợ cho Intel AMT thì đây là một dấu hiệu tốt và bạn sẽ có thể áp dụng các cài đặt nhận được tại đây. Nếu không, thì bạn đã không may mắn/bạn đã cố tình chọn bộ xử lý hoặc chipset không hỗ trợ công nghệ này hoặc bạn đã tiết kiệm tiền thành công khi chọn AMD, đó cũng là một lý do để vui mừng.

Theo các tài liệu

Ở chế độ không bảo mật, thiết bị Intel AMT sẽ nghe trên cổng 16992.
Ở chế độ TLS, thiết bị Intel AMT lắng nghe trên cổng 16993.

Intel AMT chấp nhận kết nối trên cổng 16992 và 16993. Hãy di chuyển đến đó.

Bạn cần kiểm tra xem Intel AMT đã được bật trong BIOS chưa:

Tiếp theo chúng ta cần khởi động lại và nhấn Ctrl + P trong khi tải

Mật khẩu tiêu chuẩn, như thường lệ, quản trị viên.

Thay đổi ngay mật khẩu trong Cài đặt chung Intel ME. Tiếp theo, trong Cấu hình Intel AMT, bật Kích hoạt quyền truy cập mạng. Sẵn sàng. Bây giờ bạn đã chính thức bị backdoor. Chúng tôi đang tải vào hệ thống.

Bây giờ là một sắc thái quan trọng: về mặt logic, chúng ta có thể truy cập Intel AMT từ localhost và từ xa, nhưng không. Intel nói rằng bạn có thể kết nối cục bộ và thay đổi cài đặt bằng cách sử dụng Tiện ích cấu hình Intel AMT, nhưng đối với tôi nó thẳng thừng từ chối kết nối, vì vậy kết nối của tôi chỉ hoạt động từ xa.

Chúng tôi lấy một số thiết bị và kết nối qua IP của bạn: 16992

Dường như thế này:

Chào mừng bạn đến với giao diện Intel AMT tiêu chuẩn! Tại sao "chuẩn"? Bởi vì nó bị cắt ngắn và hoàn toàn vô dụng cho mục đích của chúng tôi và chúng tôi sẽ sử dụng thứ gì đó nghiêm túc hơn.

Làm quen với MeshCommander

Như thường lệ, các công ty lớn làm điều gì đó và người dùng cuối sẽ sửa đổi nó cho phù hợp với họ. Điều tương tự cũng xảy ra ở đây.

Người đàn ông khiêm tốn này (không cường điệu: tên anh ấy không có trên trang web của anh ấy, tôi phải tra Google) tên Ylian Saint-Hilaire đã phát triển các công cụ tuyệt vời để làm việc với Intel AMT.

Tôi muốn ngay lập tức thu hút sự chú ý của bạn đến anh ấy Kênh Youtube, trong các video của mình, anh ấy trình bày một cách đơn giản và rõ ràng trong thời gian thực cách thực hiện một số tác vụ nhất định liên quan đến Intel AMT và phần mềm của nó.

Hãy bắt đầu với LướiChỉ Huy. Tải xuống, cài đặt và thử kết nối với máy của chúng tôi:

Quá trình này không diễn ra ngay lập tức nhưng kết quả là chúng ta sẽ có màn hình này:

Không phải tôi hoang tưởng đâu mà là tôi sẽ xóa dữ liệu nhạy cảm, tha thứ cho hành động làm dáng như vậy của tôi

Sự khác biệt, như họ nói, là rõ ràng. Tôi không biết tại sao Intel Control Panel không có bộ tính năng này, nhưng thực tế là Ylian Saint-Hilaire còn làm được nhiều điều hơn thế nữa. Hơn nữa, bạn có thể cài đặt giao diện web của nó trực tiếp vào chương trình cơ sở, nó sẽ cho phép bạn sử dụng tất cả các chức năng mà không cần tiện ích.

Điều này được thực hiện như thế này:

Tôi cần lưu ý rằng tôi chưa sử dụng chức năng này (Giao diện web tùy chỉnh) và không thể nói bất cứ điều gì về tính hiệu quả và hiệu suất của nó vì nó không cần thiết cho nhu cầu của tôi.

Bạn có thể thử nghiệm với chức năng này, không chắc bạn sẽ làm hỏng mọi thứ, bởi vì điểm bắt đầu và điểm bắt đầu cuối cùng của toàn bộ lễ hội này là BIOS, trong đó bạn có thể đặt lại mọi thứ bằng cách vô hiệu hóa Intel AMT.

Triển khai MeshCentral và triển khai BackConnect

Và ở đây sự sụp đổ hoàn toàn của cái đầu bắt đầu. Chú tôi không chỉ tạo một ứng dụng khách mà còn tạo ra cả một bảng quản trị cho Trojan của chúng tôi! Và anh ấy không chỉ làm điều đó mà còn đã khởi chạy nó cho mọi người trên máy chủ của tôi.

Bắt đầu bằng cách cài đặt máy chủ MeshCentral của riêng bạn hoặc nếu bạn không quen với MeshCentral, bạn có thể tự chịu rủi ro khi dùng thử máy chủ công cộng tại MeshCentral.com.

Điều này nói lên một cách tích cực về độ tin cậy của mã của nó, vì tôi không thể tìm thấy bất kỳ tin tức nào về các vụ hack hoặc rò rỉ trong quá trình hoạt động của dịch vụ.

Cá nhân tôi chạy MeshCentral trên máy chủ của mình vì tôi tin một cách vô lý rằng nó đáng tin cậy hơn, nhưng không có gì trong đó ngoại trừ sự phù phiếm và tinh thần uể oải. Nếu bạn cũng muốn thì đây có tài liệu và đây vùng chứa với MeshCentral. Các tài liệu mô tả cách kết hợp tất cả lại với nhau trong NGINX, do đó việc triển khai sẽ dễ dàng tích hợp vào máy chủ gia đình của bạn.

đăng ký cho Meshcentral.com, hãy vào và tạo Nhóm thiết bị bằng cách chọn tùy chọn “không có tác nhân”:

Tại sao "không có đại lý"? Bởi vì tại sao chúng ta lại cần nó để cài đặt những thứ không cần thiết thì không rõ nó hoạt động như thế nào và sẽ hoạt động như thế nào.

Nhấp vào “Thêm CIRA”:

Tải xuống cira_setup_test.mescript và sử dụng nó trong MeshCommander của chúng tôi như thế này:

Thì đấy! Sau một thời gian, máy của chúng tôi sẽ kết nối với MeshCentral và chúng tôi có thể làm gì đó với nó.

Thứ nhất: bạn nên biết rằng phần mềm của chúng tôi sẽ không tấn công máy chủ từ xa như vậy. Điều này là do Intel AMT có hai tùy chọn kết nối - thông qua máy chủ từ xa và trực tiếp cục bộ. Họ không làm việc cùng một lúc. Tập lệnh của chúng tôi đã định cấu hình hệ thống để làm việc từ xa nhưng bạn có thể cần kết nối cục bộ. Để kết nối cục bộ, bạn cần vào đây

viết một dòng là miền cục bộ của bạn (lưu ý rằng tập lệnh của chúng tôi ĐÃ chèn một số dòng ngẫu nhiên vào đó để có thể thực hiện kết nối từ xa) hoặc xóa tất cả các dòng hoàn toàn (nhưng khi đó kết nối từ xa sẽ không khả dụng). Ví dụ: tên miền cục bộ của tôi trong OpenWrt là lan:

Theo đó, nếu chúng ta vào lan ở đó và nếu máy của chúng ta được kết nối với mạng có miền cục bộ này thì kết nối từ xa sẽ không khả dụng nhưng các cổng cục bộ 16992 và 16993 sẽ mở và chấp nhận kết nối. Tóm lại là nếu có cái gì vớ vẩn không liên quan đến miền cục bộ của bạn thì phần mềm đó đang bug, nếu không thì bạn cần phải tự kết nối với nó qua dây, thế thôi.

Thứ hai:

Tất cả đã sẵn sàng!

Bạn có thể hỏi - AntiTheft ở đâu? Như tôi đã nói ban đầu, Intel AMT không phù hợp lắm để chống trộm. Việc quản lý mạng văn phòng được hoan nghênh, nhưng việc đấu tranh với những cá nhân chiếm hữu trái phép tài sản qua Internet thì không quá đặc biệt. Hãy xem xét một bộ công cụ mà về mặt lý thuyết có thể giúp chúng ta trong cuộc đấu tranh giành quyền sở hữu tư nhân:

1. Bản thân nó, rõ ràng là bạn có quyền truy cập vào máy nếu nó được kết nối qua cáp hoặc nếu Windows được cài đặt trên nó thì qua WiFi. Đúng, điều đó thật trẻ con, nhưng một người bình thường có thể sử dụng một chiếc máy tính xách tay như vậy đã rất khó khăn, ngay cả khi ai đó đột nhiên chiếm quyền kiểm soát. Hơn nữa, mặc dù thực tế là tôi không thể tìm ra các tập lệnh, nhưng chắc chắn có thể thiết kế một cách nghệ thuật một số chức năng để chặn/hiển thị thông báo trên chúng.
2. Xóa an toàn từ xa với công nghệ quản lý hoạt động của Intel

   
   
   Sử dụng tùy chọn này, bạn có thể xóa tất cả thông tin khỏi máy trong vài giây. Không rõ liệu nó có hoạt động trên ổ SSD không phải của Intel hay không. Đây đây Bạn có thể đọc thêm về chức năng này. Bạn có thể ngưỡng mộ công việc đây. Chất lượng rất tệ, nhưng chỉ có 10 megabyte và bản chất là rõ ràng.

Vấn đề thực thi bị trì hoãn vẫn chưa được giải quyết, nói cách khác: bạn cần theo dõi thời điểm máy vào mạng để kết nối với mạng. Tôi tin rằng cũng có một số giải pháp cho vấn đề này.

Trong cách triển khai lý tưởng, bạn cần chặn máy tính xách tay và hiển thị một số loại dòng chữ, nhưng trong trường hợp của chúng tôi, chúng tôi chỉ đơn giản là có quyền truy cập không thể tránh khỏi và những việc cần làm tiếp theo chỉ là vấn đề của trí tưởng tượng.

Có lẽ bằng cách nào đó bạn sẽ có thể chặn xe hoặc ít nhất là hiển thị một tin nhắn, viết nếu bạn biết. Cảm ơn!

Đừng quên đặt mật khẩu cho BIOS.

Cảm ơn người dùng berez để hiệu đính!

Nguồn: www.habr.com