TL; DR
Absolute Computrace: una tecnología que le permite bloquear el automóvil (y no
solo ), incluso si reinstaló el sistema operativo o incluso reemplazó el disco duro, por $ 15 por año. Compré una computadora portátil en eBay que estaba bloqueada con esta cosa. El artículo describe mi experiencia, cómo luché con él e intenté hacer lo mismo en Intel AMT, pero de forma gratuita.
Acordemos de inmediato: no interrumpo las puertas abiertas y no escribo una conferencia sobre estas piezas remotas, sino que cuento un poco de antecedentes y cómo elevar rápidamente el acceso remoto a mi automóvil sobre mis rodillas en cualquier situación (si está conectado a la red a través de RJ-45) o, si está conectado a través de Wi-Fi, solo en el sistema operativo Windows. Además, será posible registrar el SSID, el nombre de usuario y la contraseña de un punto específico en Intel AMT y luego también se puede obtener acceso a Wi-Fi sin iniciar el sistema. Y también, si instala controladores para Intel ME en GNU / Linux, entonces esto también debería funcionar. Como resultado, no será posible bloquear la computadora portátil de forma remota y mostrar un mensaje (no pude averiguar si esto fue posible con la ayuda de esta tecnología), pero el acceso será al escritorio remoto y al Borrado seguro, y esto es importante.
El taxista se fue con mi computadora portátil y decidí comprar una nueva en eBay. ¿Qué pudo haber salido mal?
Del comprador a los ladrones: de una vez
Después de haber traído a casa una computadora portátil de la oficina de correos, comencé a completar la preinstalación de Windows 10, y después de eso incluso logré rodar Firefox, cuando de repente:
Comprendí perfectamente que nadie modificaría el kit de distribución de Windows, y si lo hiciera, entonces todo no se vería tan torpe y, en general, el bloqueo ocurriría más rápido. Y al final, no tendría sentido bloquear algo, ya que todo se trataría con la reinstalación. Ok, reiniciar.
Reiniciando en el BIOS, y ahora todo se vuelve un poco más claro:
Y finalmente, finalmente está claro:
¿Cómo sucedió que me duele mi computadora portátil? ¿Qué es Computrace?
Hablando estrictamente, Computrace es un conjunto de módulos en su BIOS EFI que, después de cargar el sistema operativo Windows, arrojan sus troyanos, golpean un servidor de software Absolute remoto y permiten, si es necesario, bloquear el sistema a través de Internet. Más detalles se pueden encontrar
aquí . Con sistemas operativos que no sean Windows, Computrace no funciona. Además, si conectamos los medios de Windows encriptados con BitLocker o cualquier otro software, Computrace no funcionará nuevamente: los módulos simplemente no podrán lanzar sus archivos al sistema.
Remotamente, tales tecnologías pueden parecer cósmicas, pero solo hasta que descubramos que todo esto se hace en la UEFI nativa con la ayuda de módulos dudosos y medio.
Parece que esto es frío y omnipotente hasta que intentamos, por ejemplo, arrancar en GNU / Linux:
En esta computadora portátil, el bloqueo ahora está activado en ComputraceComo dicen
Que hacer
Hay cuatro vectores obvios para resolver el problema:
- Escribe al vendedor en eBay
- Escriba a Absolute software, creador y propietario de Computrace
- Realice un volcado desde el chip BIOS, envíelo a tipos turbios para que envíen un volcado con un parche que desactiva todos los bloqueos y cambia la ID del dispositivo
- Llamar a Lazard
Vamos a ordenarlos en orden:
- Nosotros, como todas las personas adecuadas, primero escribimos al vendedor que nos vendió dicho producto y discutimos el problema con la persona responsable de él en primer lugar.
Hecho por:
- De acuerdo con los consejos encontrados en las profundidades de Internet,
Necesita contactar con el software absoluto. Querrán el número de serie de la máquina y el número de serie de la placa base. También deberá proporcionar un "comprobante de compra", como un recibo. Se comunicarán con el propietario que tienen en el archivo y obtendrán la autorización para eliminarlo. Suponiendo que no sea robado, lo "marcarán para eliminarlo". Después de eso, la próxima vez que se conecte a Internet o tenga una conexión abierta a Internet, ocurrirá un milagro y desaparecerá. Envíe las cosas que mencioné a TechSupport@absolute.com.
Podemos escribir inmediatamente en Absoluto y hablar sobre desbloquear directamente con ellos. No me apresuré y decidí recurrir a esa decisión solo más cerca del final. - Afortunadamente, una solución brutal al problema ya estaba presente. Estos muchachos y muchos otros maestros de soporte informático en el mismo eBay e incluso los indios en Facebook nos prometen desbloquear nuestro BIOS si les enviamos un volcado y esperamos un par de minutos.
El proceso de desbloqueo se describe a continuación:
La solución de desbloqueo finalmente está disponible y requiere que el programador SPEG pueda actualizar el BIOS.
El proceso es:
- Leer el BIOS y crear un volcado válido. En un Thinkpad, el BIOS está casado con el chip TPM interno y contiene una firma única del mismo, por lo que es importante que el BIOS original sea una lectura correcta para el éxito de toda la operación y para restaurar el BIOS después.
- Parchear los binarios del BIOS e inyectar un pequeño programa allservice.ro UEFI. Este programa leerá el eeprom seguro, restablecerá el certificado y la contraseña de TPM, escribirá un eeprom seguro y reconstruirá todos los datos.
- Escriba el volcado del BIOS parcheado (esto solo funcionará en ese TP por cierto), inicie la computadora portátil y genere una ID de hardware. Le enviaremos una clave única que activará el BIOS Allservice, mientras que el BIOS se está cargando ejecutará la rutina de desbloqueo y desbloqueará el SVP y el TPM.
- Finalmente, escriba el volcado del BIOS original para las operaciones normales y disfrute de la computadora portátil.
También podemos desactivar Computrace o cambiar el SN / UUID y restablecer el error de suma de verificación RFID utilizando nuestro programa UEFI de la misma manera, si es necesario
El precio del servicio de desbloqueo es por máquina (como lo hacemos para Macbook / iMac, HP, Acer, etc.) Para conocer el precio y la disponibilidad del servicio, lea la siguiente publicación a continuación. Puede ponerse en contacto con support@allservice.ro para cualquier consulta.
Parece legítimo! Pero esto, también, por razones obvias, es una opción para la situación más desesperada, además de que todo el placer cuesta $ 80. Lo dejamos para más tarde. - Si Lazard rompió todo y me pidió que volviera a llamar, ¡no se niegue! Por la causa
Llamamos a Lazard, también conocida como "la firma líder mundial en asesoría financiera y gestión de activos, asesora sobre fusiones, adquisiciones, reestructuración, estructura de capital y estrategia".
Mientras el vendedor con eBay responde, le doy unos cuantos dólares a zadarma y espero hablar con quizás el interlocutor más desalmado del planeta: un apoyo para una gran corporación financiera de Nueva York. La niña levanta rápidamente el teléfono, escucha mis tímidas explicaciones sobre cómo compré este portátil, escribe su número de serie y promete pasarlo a los administradores que me devolverán la llamada. Este proceso se repite exactamente dos veces con una diferencia de un día. Por tercera vez, esperé deliberadamente la noche, hasta las 10 de la mañana en Nueva York y llamé, leyendo la pasta que ya me era familiar sobre mi compra con un golpeteo. Dos horas después, la misma mujer me llamó y comenzó a leer las instrucciones:
- Haz clic en escapar.
Hago clic, pero no pasa nada.
- Algo no funciona, nada cambia.
- Presione.
- Yo presiono.
- Ahora ingrese: 72406917
Os presento. No pasa nada
- Sabes, me temo que no ayudará ... Espera un minuto ...
La computadora portátil se reinicia de repente, el sistema se inicia, la molesta pantalla blanca desapareció en algún lugar. Para fidelidad, entro al BIOS, Computrace no está activado. Todo parece ser Gracias por su apoyo, le escribo al vendedor que resolví todos los problemas yo mismo y me relajo.
Open Makeshift Computrace Intel AMT basado
Me desanimó lo que sucedió, pero me gustó la idea, mi dolor fantasma estaba buscando una salida de mi pérdida incompetente, quería proteger mi nueva computadora portátil, como si me devolviera la vieja. Si alguien usa Computrace, entonces puedo usarlo, ¿verdad? Después de todo, había Intel Anti-Theft, según la descripción: una tecnología excelente que funcionó como debería, pero fue eliminada por la inercia del mercado, pero debería haber una alternativa. Resultó que esta alternativa comenzó donde terminó: solo el software Absolute pudo establecerse en este campo.
Para comenzar, recordemos qué es Intel AMT: es un conjunto de bibliotecas que forma parte de Intel ME, integrado en el BIOS EFI, de modo que el administrador en algunas oficinas puede operar máquinas en la red sin levantarse de una silla, incluso si no se cargan mediante la conexión remota a ISO, el control a través de un escritorio remoto, etc.
Todo esto gira en Minix y aproximadamente a este nivel:
Invisible Things Lab propuso llamar a la funcionalidad de la tecnología Intel vPro / Intel AMT un anillo de protección -3. Como parte de esta tecnología, los conjuntos de chips que admiten la tecnología vPro contienen un microprocesador independiente (arquitectura ARC4), tienen una interfaz separada para una tarjeta de red, acceso exclusivo a una sección RAM dedicada (16 MB) y acceso DMA a la RAM principal. Los programas en él se ejecutan independientemente del procesador central, el firmware se almacena junto con los códigos del BIOS o en una memoria flash SPI similar (el código tiene una firma criptográfica). La parte del firmware es un servidor web integrado. AMT está desactivado de manera predeterminada, pero parte del código aún funciona en este modo, incluso cuando AMT está desactivado. El código de llamada -3 está activo incluso en el modo de energía S3 Sleep.
Esto suena tentador, porque parece que si podemos establecer una conexión inversa a algún panel de administración usando Intel AMT, entonces podemos tener acceso no peor que Computrace (en realidad no).
Activamos Intel AMT en nuestra máquina
Primero, algunos de ustedes probablemente desearían tocar este AMT con sus propias manos, y aquí comienzan los matices. Primero: necesitas un procesador con su soporte. Afortunadamente, no hay problemas con esto (si no tiene AMD), porque vPro se ha agregado a casi todos los procesadores Intel i5, i7 e i9 (puede verlo
aquí ) desde 2006, y el VNC normal ya llegó desde 2010- ir En segundo lugar: si tiene una computadora de escritorio, entonces necesita una placa base con soporte para dicha funcionalidad, es decir, con el conjunto de chips Q. En las computadoras portátiles, solo necesitamos conocer el modelo del procesador. Si te encuentras admitiendo Intel AMT, entonces esta es una buena señal y puedes aplicar la configuración obtenida aquí. Si no es así, o no tuvo suerte / eligió intencionalmente un procesador o conjunto de chips sin el soporte de esta tecnología, o se salvó con éxito al tomar AMD para usted, lo que también es un motivo de alegría.
De acuerdo con los documentos
En modo no seguro, los dispositivos Intel AMT escuchan en el puerto 16992.
En modo TLS, los dispositivos Intel AMT escuchan en el puerto 16993.
Intel AMT está aceptando conexiones en los puertos 16992 y 16993. Iremos allí.
Debe verificar que Intel AMT esté habilitado en el BIOS:
A continuación, debemos reiniciar y presionar Ctrl + P durante el arranque
La contraseña estándar, como de costumbre, es
admin .
Cambie inmediatamente la contraseña en la Configuración general de Intel ME. A continuación, en la Configuración Intel AMT, habilite Activar acceso a la red. Listo Ahora estás oficialmente retrasado. Estamos cargados en el sistema.
Ahora un matiz importante: de acuerdo con la lógica de las cosas, podemos acceder a Intel AMT desde localhost y de forma remota, pero no. Intel dice que puede conectarse localmente y cambiar la configuración utilizando la
Utilidad de configuración Intel AMT , pero me negué rotundamente a conectar, por lo que mi conexión funcionó solo de forma remota.
Tomamos algunos dispositivos y nos conectamos a través de su
IP : 16992
Se ve así:
¡Bienvenido a la interfaz estándar Intel AMT! ¿Por qué es "estándar"? Porque está truncado y es completamente inútil para nuestros propósitos, y usaremos algo más serio.
Conoce a MeshCommander
Como de costumbre, las grandes empresas hacen algo y los usuarios finales se modifican por sí mismos. Sucedió aquí también.
Este hombre modesto (no exagerado: su nombre no está en su sitio web, tuve que buscarlo en google) llamado Ylian Saint-Hilaire ha desarrollado excelentes herramientas para trabajar con Intel AMT.
Quiero prestar atención a su
canal de YouTube de inmediato , en sus videos muestra simple y claramente en tiempo real cómo realizar ciertas tareas relacionadas con Intel AMT y su software.
Comencemos con
MeshCommander . Descargue, instale e intente conectarse a nuestro automóvil:
El proceso no es instantáneo, pero como resultado obtenemos esta pantalla:
No es que sea paranoico, sino datos confidenciales, perdóname tal coqueteríaLa diferencia, como dicen, es obvia. No sé por qué no existe tal conjunto de funciones en el panel de control de Intel, pero sí es un hecho: Ylian Saint-Hilaire toma significativamente más de la vida. Además, puede instalar su interfaz web directamente en el firmware, permitirá utilizar todas las funciones sin una utilidad.
Se hace así:
Debo señalar que no utilicé esta funcionalidad (interfaz web personalizada) y no puedo decir nada sobre su eficacia y eficiencia, ya que no es necesario para mis necesidades.
Puedes jugar con la funcionalidad, es poco probable que puedas arruinar todo, porque el punto de inicio y finalización de todo el festival es el BIOS, en él puedes restablecer todo deshabilitando Intel AMT.
Implemente MeshCentral e implemente BackConnect
Y aquí comienza un volcado completo de la cabeza. ¡El tío no solo hizo un cliente, sino también un panel de administración completo para nuestro troyano! Y no solo lo hizo, sino que lo
lanzó para todos en su servidor .
Comience instalando un servidor de MeshCentral propio o, si no está familiarizado con MeshCentral, puede probar el servidor público bajo su propio riesgo en MeshCentral.com.
Esto indica positivamente la fiabilidad de su código, ya que no pude encontrar ninguna noticia sobre hacks y fugas durante el servicio.
Personalmente, hago girar MeshCentral en mi servidor porque creo irracionalmente que es más confiable, pero no hay nada más que alboroto y languidez de espíritu. Si lo desea también, entonces
hay documentos
aquí , y
aquí hay un contenedor con MeshCentral. Los documentos dicen cómo poner todo junto en NGINX, por lo que la implementación se integra fácilmente en los servidores de su hogar.
Regístrese en
meshcentral.com , entre y cree un Grupo de dispositivos seleccionando la opción "sin agente":
¿Por qué "sin agente"? Porque por qué lo necesitamos para instalar algo superfluo, no está claro cómo se comporta y cómo funcionará.
Haga clic en "Agregar CIRA":
Descargue cira_setup_test.mescript y utilícelo en nuestro MeshCommander así:
Voilà! Después de un tiempo, nuestra máquina se conectará a MeshCentral y usted puede hacer algo con ella.
Primero: debe saber que nuestro software no tocará un servidor remoto así como así. Esto se debe al hecho de que Intel AMT tiene dos opciones para conectarse: a través de un servidor remoto y directamente localmente. No funcionan al mismo tiempo. Nuestro script ya ha configurado el sistema para el trabajo remoto, pero es posible que deba conectarse localmente. Para que pueda conectarse localmente, necesita aquí
escriba una línea que sea su dominio local (tenga en cuenta que nuestra secuencia de comandos YA introdujo una línea aleatoria allí para que la conexión se pueda hacer de forma remota) o borre todas las líneas (pero la conexión remota no estará disponible). Por ejemplo, en OpenWrt, mi dominio local es lan:
En consecuencia, si ingresamos a LAN allí, y si nuestra máquina está conectada a una red con este dominio local, la conexión no estará disponible de forma remota, y los puertos locales 16992 y 16993 se abrirán y aceptarán conexiones. En resumen, si hay algo de basura que no está relacionado con su dominio local, entonces el software golpea, si no, entonces necesita conectarse a él por cable, eso es todo.
En segundo lugar:
Todo esta listo!
Usted pregunta: ¿dónde está AntiTheft aquí? Como dije inicialmente, Intel AMT no está muy adaptado para luchar contra los ladrones. Administrar la red de la oficina es bienvenido, pero luchar contra la propiedad ilegalmente incautada a través de Internet no lo es realmente. Considere las herramientas que, en teoría, pueden ayudarnos en la lucha por la propiedad privada:
- En sí mismo, la presencia inequívoca de acceso a la máquina, si está conectada por cable o si Windows está instalado en ella, entonces a través de WiFi. Sí, infantilismo, pero ya es muy difícil para una persona común usar una computadora portátil de este tipo, incluso si alguien toma el control de repente. Además, a pesar de que no pude descifrar los scripts, ciertamente existe la oportunidad de recortar artísticamente alguna funcionalidad para bloquear / mostrar notificaciones.
- Borrado seguro remoto con tecnología Intel Active Management
Con esta opción, puede eliminar toda la información del automóvil en segundos. No está claro si funciona en SSD que no sean Intel. Aquí puede leer más sobre esta función con más detalle. Puedes admirar el trabajo aquí . La calidad es terrible, pero solo 10 megabytes y la esencia es clara.
El problema de la ejecución retrasada sigue sin resolverse, en otras palabras: debe observar cuándo la máquina ingresa a la red para conectarse a ella. Creo que esto también tiene alguna solución.
En una ejecución ideal, debe bloquear la computadora portátil y mostrar algún tipo de inscripción, pero en nuestro caso solo tenemos acceso inevitable, y cómo proceder más allá es una cuestión de fantasía.
Quizás de alguna manera pueda bloquear la máquina o al menos mostrar un mensaje, escriba si lo sabe. Gracias
No olvide establecer una contraseña en el BIOS.
¡Gracias a Berez por la corrección de pruebas!