كيف اشتريت جهاز كمبيوتر محمول مغلق على موقع eBay وحاولت أن أقوم باستخدام AntiTft بناء على IntelAMT

TL ؛ د

Absolute Computrace - تقنية تتيح لك قفل السيارة (وليس فقط ) ، حتى إذا قمت بإعادة تثبيت نظام التشغيل أو حتى استبدال القرص الصلب ، بمبلغ 15 دولارًا سنويًا. اشتريت جهاز كمبيوتر محمول على موقع ئي باي تم تأمينه مع هذا الشيء. توضح المقالة تجربتي ، وكيف قاتلت معها وحاولت أن أفعل نفس الشيء على Intel AMT ، ولكن مجانًا.

دعنا نوافق على الفور: لا أقحم الأبواب المفتوحة ولا أكتب محاضرة حول هذه الأجزاء البعيدة ، ولكن أخبر القليل من الخلفية وكيفية رفع الوصول عن بُعد بسرعة إلى سيارتي على ركبتي في أي موقف (إذا كان متصلاً بالشبكة عبر RJ-45) أو ، إذا كان متصلاً عبر Wi-Fi ، عندئذٍ فقط في نظام التشغيل Windows OS. أيضًا ، سيكون من الممكن تسجيل SSID واسم المستخدم وكلمة المرور لنقطة معينة في Intel AMT نفسها ومن ثم يمكن أيضًا الوصول إلى Wi-Fi دون التشغيل في النظام. وأيضًا ، إذا قمت بتثبيت برامج تشغيل لـ Intel ME على GNU / Linux ، فيجب أن يعمل ذلك أيضًا. نتيجةً لذلك ، لن يكون من الممكن حظر الكمبيوتر المحمول عن بُعد وعرض رسالة (لم أستطع معرفة ما إذا كان هذا ممكنًا على الإطلاق بمساعدة هذه التقنية) ، ولكن سيكون الوصول إلى سطح المكتب البعيد و Secure Erase ، وهذا أمر مهم.

غادر سائق سيارة الأجرة مع جهاز الكمبيوتر المحمول وقررت شراء واحدة جديدة على موقع ئي باي. ما يمكن أن يكون الخطأ؟

من المشتري إلى اللصوص - في شوط واحد

بعد أن أحضرت كمبيوتر محمول من مكتب البريد إلى المنزل ، شرعت في إكمال التثبيت المسبق لنظام التشغيل Windows 10 ، وبعد ذلك تمكنت من بدء تشغيل فايرفوكس ، فجأة:



لقد أدركت تمامًا أنه لا يمكن لأحد تعديل مجموعة توزيع Windows ، وإذا حدث ذلك ، فلن يبدو كل شيء أخرقًا وعمومًا سيحدث القفل بشكل أسرع. وفي النهاية ، لن يكون من المنطقي حظر شيء ما ، حيث سيتم التعامل مع كل شيء عن طريق إعادة التثبيت. حسنا ، إعادة التشغيل.

إعادة التشغيل في BIOS ، والآن يصبح كل شيء أكثر وضوحًا:



وأخيراً ، من الواضح أخيرًا:

كيف حدث أن وجع الكمبيوتر المحمول الخاص بي يؤلمني؟ ما هو Computrace؟

بالمعنى الدقيق للكلمة ، Computrace هي مجموعة من الوحدات النمطية في نظام الإدخال / الإخراج الأساسي (BIOS) الخاص بـ EFI BIOS والتي تقوم ، بعد تحميل نظام التشغيل Windows ، بإلقاء أحصنة طروادة فيها ، وطرقها على خادم برنامج مطلق عن بعد والسماح ، عند الضرورة ، بحظر النظام عبر الإنترنت. مزيد من التفاصيل يمكن العثور عليها هنا . مع أنظمة التشغيل الأخرى بخلاف Windows ، لا يعمل Computrace. علاوة على ذلك ، إذا قمنا بتوصيل وسائط Windows المشفرة باستخدام BitLocker أو أي برنامج آخر ، فلن يعمل Computrace مرة أخرى - لن تتمكن الوحدات ببساطة من إلقاء ملفاتها في النظام.

عن بعد ، قد تبدو هذه التقنيات كونية ، ولكن فقط إلى أن نكتشف أن كل هذا يتم في UEFI الأصلي بمساعدة وحدات مشبوهة ونصف.

يبدو أن هذا الشيء بارد وقادر حتى نحاول ، على سبيل المثال ، التمهيد في جنو / لينكس:


على هذا الكمبيوتر المحمول ، يتم تنشيط القفل الآن في Computrace

كما يقولون

ما يجب القيام به

هناك أربعة متجهات واضحة لحل المشكلة:

1. إرسال إلى البائع على موقع ئي باي
2. الكتابة إلى البرنامج المطلق ، خالق ومالك Computrace
3. قم بإجراء تفريغ من شريحة BIOS ، وأرسلها إلى الأنواع الموحلة حتى ترسل تفريغًا مع تصحيحًا يقوم بإلغاء تنشيط جميع الأقفال وتغيير معرف الجهاز
4. استدعاء لازارد

دعونا فرزها بالترتيب:

1. نحن ، مثل كل الأشخاص الكافيين ، نكتب أولاً إلى البائع الذي باع لنا مثل هذا المنتج وناقش المشكلة مع الشخص المسؤول عن ذلك في المقام الأول.
   
   صنع بواسطة:
   
   
2. وفقًا للنصيحة الموجودة في أعماق الإنترنت ،
   

   تحتاج إلى الاتصال بالبرنامج المطلق. سوف يريدون الرقم التسلسلي للجهاز والرقم التسلسلي للوحة الأم. ستحتاج أيضًا إلى توفير "دليل الشراء" ، مثل الإيصال. سيتصلون بالمالك الذي لديهم في الملف وسيحصلون على موافق لإزالته. على افتراض أنه ليس مسروقًا ، فسيقومون "بوضع علامة عليه للحذف". بعد ذلك ، في المرة القادمة التي تتصل فيها بالإنترنت أو يكون لديك اتصال إنترنت مفتوح ، ستحدث معجزة وستزول. أرسل الأشياء التي ذكرتها إلى TechSupport@absolute.com.

   
   يمكننا أن نكتب على الفور في المطلق والتحدث عن فتح مباشرة معهم. لم أتسرع وقررت اللجوء إلى مثل هذا القرار فقط أقرب إلى النهاية.
3. لحسن الحظ ، كان الحل الوحشي للمشكلة موجودًا بالفعل. هؤلاء الرجال والعديد من أساتذة الكمبيوتر الذين يدعمون نفس eBay وحتى الهنود على Facebook يعدوننا بإلغاء قفل BIOS إذا أرسلنا لهم تفريغًا وانتظر بضع دقائق.
   
   يوصف عملية فتح على النحو التالي:
   

   حل الفتح متاح أخيرًا ويتطلب مبرمج SPEG أن يكون قادرًا على تحديث BIOS.
   
   العملية هي:
   
   

   1. قراءة BIOS وإنشاء تفريغ صالح. في Thinkpad ، يكون BIOS متزوجًا من شريحة TPM الداخلية ويحتوي على توقيع فريد منه ، لذلك من المهم أن يكون BIOS الأصلي قراءة صحيحة لنجاح العملية بالكامل واستعادة BIOS بعد ذلك.
   2. تصحيح ثنائيات BIOS وحقن برنامج allservice.ro UEFI صغير. هذا البرنامج سوف يقرأ eeprom الآمن ، ويعيد ضبط شهادة TPM وكلمة المرور ، ويكتب eeprom الآمن ويعيد بناء جميع البيانات.
   3. اكتب تفريغ BIOS المصحح (لن يعمل هذا إلا في TP TPW) ، وابدأ الكمبيوتر المحمول وإنشاء معرف الجهاز. سوف نرسل لك مفتاحًا فريدًا من شأنه تنشيط BIOS Allservice ، بينما يقوم BIOS بتحميله ، سيتم تنفيذ روتين إلغاء القفل وإلغاء تأمين SVP و TPM.
   4. أخيرًا ، أعد تفريغ BIOS الأصلي مرة أخرى للعمليات العادية واستمتع بالكمبيوتر المحمول.

   
   يمكننا أيضًا تعطيل Computrace أو تغيير SN / UUID وإعادة تعيين خطأ المجموع الاختباري لـ RFID باستخدام برنامج UEFI بنفس الطريقة ، إذا لزم الأمر
   
   سعر إلغاء تأمين الخدمة لكل جهاز (مثلما نفعل بالنسبة لأجهزة Macbook / iMac و HP و Acer وغيرها) لمعرفة سعر الخدمة وتوافرها ، يرجى قراءة المنشور التالي أدناه. يمكنك الاتصال support@allservice.ro لأي استفسار.
   

   
   يبدو شرعي! لكن هذا ، أيضًا ، لأسباب واضحة ، هو خيار للحالة الأكثر يأسًا ، إلى جانب تكاليف المتعة التي تبلغ 80 دولارًا. نترك الأمر في وقت لاحق.
4. إذا كسر Lazard كل شيء وطلب مني الاتصال مرة أخرى ، فلا ترفض! من اجل السبب.

نحن نسمي Lazard الملقب "الشركة الرائدة عالمياً في مجال الاستشارات المالية وإدارة الأصول ، وهي تقدم المشورة بشأن عمليات الاندماج والاستحواذ وإعادة الهيكلة وهيكل رأس المال والاستراتيجية"

بينما يستجيب البائع مع eBay ، أرمي بضعة دولارات على zadarma وأتطلع إلى التحدث مع أكثر المحاورين خبرة على هذا الكوكب - وهو دعم لشركة مالية ضخمة من نيويورك. تلتقط الفتاة الهاتف بسرعة ، وتستمع إلى توضيحات خجولة عن كيفية شرائي هذا الكمبيوتر المحمول ، وكتابة رقمه التسلسلي ووعده بنقله إلى المسؤولين الذين سيتصلون بي. تتكرر هذه العملية مرتين مرتين بفارق يوم واحد. للمرة الثالثة ، انتظرت عن عمد في المساء ، حتى الساعة 10 في نيويورك في الصباح واتصلت به ، وقرأت المعكرونة التي كنت معتادًا عليها بالفعل في عملية الشراء باستخدام الإعصار باللسان. بعد ساعتين ، اتصلت بي نفس المرأة وبدأت في قراءة التعليمات:
- انقر فوق الهروب.
أنا انقر ، ولكن لا شيء يحدث.
- لا يعمل شيء ، لا شيء يتغير.
- الصحافة.
- انا اضغط.
- أدخل الآن: 72406917
أنا أعرض. لا شيء يحدث.
- أنت تعرف ، أخشى أن ذلك لن يساعد ... انتظر لحظة ...
الكمبيوتر المحمول إعادة تشغيل فجأة ، والأحذية النظام ، اختفت الشاشة البيضاء المزعجة في مكان ما. للإخلاص ، أذهب إلى BIOS ، لا يتم تنشيط Computrace. كل شيء يبدو أن يكون. شكرا لدعمكم ، وأنا أكتب إلى البائع أنني حللت جميع القضايا نفسي والاسترخاء.

افتح Makeshift Computrace Intel AMT

لقد شعرت بالإحباط بسبب ما حدث ، لكني أحببت الفكرة ، كان الألم الوهمي يبحث عن مخرج من ضياعي غير الكفء ، وكنت أرغب في حماية جهاز الكمبيوتر المحمول الجديد ، كما لو أنه سيعيد إلي القديم. إذا كان شخص ما يستخدم Computrace ، ثم يمكنني استخدامه ، أليس كذلك؟ بعد كل شيء ، كان هناك Intel Anti-Theft ، حسب الوصف - تقنية ممتازة عملت كما ينبغي ، لكنها قتلت بسبب الجمود في السوق ، ولكن يجب أن يكون هناك بديل. اتضح أن هذا البديل بدأ حيث انتهى - فقط برنامج Absolute كان قادرًا على الحصول على موطئ قدم في هذا المجال.

بادئ ذي بدء ، دعنا نتذكر ما هي Intel AMT: إنها مجموعة من المكتبات التي تعد جزءًا من Intel ME ، مضمن في BIOS EFI ، بحيث يمكن للمسؤول في بعض المكاتب تشغيل الأجهزة على الشبكة دون الاستيقاظ من الكرسي ، حتى لو لم يتم تحميلها عن طريق الاتصال عن بعد بمعايير ISO ، والتحكم عبر سطح المكتب البعيد ، إلخ.

كل هذا يدور حول Minix وعند هذا المستوى:

اقترح Invisible Things Lab استدعاء وظيفة تقنية Intel vPro / Intel AMT بحلقة حماية -3. كجزء من هذه التقنية ، تحتوي الشرائح التي تدعم تقنية vPro على معالج دقيق مستقل (بنية ARC4) ، ولها واجهة منفصلة ببطاقة الشبكة ، والوصول الحصري إلى قسم ذاكرة الوصول العشوائي المخصص (16 ميجابايت) ، والوصول DMA إلى ذاكرة الوصول العشوائي الرئيسية. يتم تنفيذ البرامج الموجودة عليه بشكل مستقل عن المعالج المركزي ، ويتم تخزين البرنامج الثابت مع رموز BIOS أو على ذاكرة فلاش SPI مماثلة (الرمز له توقيع تشفير). الجزء الثابت هو خادم ويب متكامل. يتم إيقاف تشغيل AMT بشكل افتراضي ، ولكن لا يزال جزء من التعليمات البرمجية يعمل في هذا الوضع حتى عند إيقاف تشغيل AMT. رمز الحلقة -3 نشط حتى في وضع الطاقة S3 Sleep.

يبدو هذا مغريا ، لأنه يبدو أننا إذا استطعنا تأسيس اتصال عكسي لبعض لوحات المشرف باستخدام Intel AMT ، فلن نتمكن من الوصول إلى ما هو أسوأ من Computrace (في الواقع لا).

نقوم بتنشيط Intel AMT على الجهاز لدينا

أولاً ، ربما يود البعض منكم أن يلمسوا هذا AMT بيديك ، وهنا تبدأ الفروق الدقيقة. أولاً: أنت بحاجة إلى معالج بدعمه. لحسن الحظ ، لا توجد مشكلات في هذا (إذا لم يكن لديك AMD) ، لأنه تمت إضافة vPro إلى جميع معالجات Intel i5 و i7 و i9 تقريبًا (يمكنك مشاهدتها هنا ) منذ عام 2006 ، وتم جلب VNC العادي إلى هناك بالفعل من 2010- الحادي والعشرين. ثانياً: إذا كان لديك سطح مكتب ، فأنت بحاجة إلى لوحة أم تدعم هذه الوظيفة ، وتحديداً مع مجموعة شرائح Q. في أجهزة الكمبيوتر المحمولة ، نحتاج فقط إلى معرفة طراز المعالج. إذا وجدت نفسك يدعم Intel AMT ، فهذا يعد إشارة جيدة ويمكنك تطبيق الإعدادات التي تم الحصول عليها هنا. إذا لم يكن الأمر كذلك ، فإما أنك لم تكن محظوظًا / فقد اخترت عن قصد معالجًا أو مجموعة شرائح دون دعم هذه التقنية ، أو قمت بحفظها بنجاح عن طريق أخذ AMD ، وهو أيضًا سبب للفرح.

وفقا للمستندات

في الوضع غير الآمن ، تستمع أجهزة Intel AMT على المنفذ 16992.
في وضع TLS ، تستمع أجهزة Intel AMT على المنفذ 16993.

تقبل Intel AMT الاتصالات على المنفذين 16992 و 16993. سنذهب إلى هناك.

يجب التحقق من تمكين Intel AMT في BIOS:



بعد ذلك ، نحتاج إلى إعادة التشغيل والضغط على Ctrl + P أثناء التمهيد



كلمة المرور القياسية ، كالعادة ، هي المشرف .

قم بتغيير كلمة المرور في إعدادات Intel ME العامة مباشرةً. بعد ذلك ، في تكوين Intel AMT ، قم بتمكين تنشيط الوصول إلى الشبكة. القيام به. أنت الآن مستتر رسميا. يتم تحميلنا في النظام.

الآن فارق بسيط مهم: وفقًا لمنطق الأشياء ، يمكننا الوصول إلى Intel AMT من المضيف المحلي وعن بعد ، ولكن لا. تقول Intel أنه يمكنك الاتصال محليًا وتغيير الإعدادات باستخدام الأداة المساعدة لتكوين AMT من Intel ، لكنني رفضت بشكل قاطع الاتصال ، لذلك لم يعمل الاتصال عن بعد إلا.

نأخذ بعض الأجهزة والاتصال عبر yourIP : 16992

يبدو مثل هذا:





مرحبًا بك في واجهة Intel AMT القياسية! لماذا هو "قياسي"؟ لأنها مقطوعة وغير مجدية بالكامل لأغراضنا ، وسوف نستخدم شيئًا أكثر خطورة.

تلبية MeshCommander

كالعادة ، تقوم الشركات الكبيرة بعمل شيء ، ويقوم المستخدمون النهائيون بتعديل لأنفسهم. لقد حدث هنا أيضًا.



هذا المتواضع (ليس مبالغة: اسمه ليس على موقعه على الإنترنت ، لقد اضطررت إلى google) قام رجل يدعى Ylian Saint-Hilaire بتطوير أدوات رائعة للعمل مع Intel AMT.

أرغب في الانتباه إلى قناته على YouTube فورًا ، وفي مقاطع الفيديو الخاصة به ، يظهر بوضوح وبوضوح في الوقت الفعلي كيفية أداء مهام معينة متعلقة بـ Intel AMT وبرامجها.

لنبدأ مع MeshCommander . قم بتنزيل وتثبيت ومحاولة الاتصال بسيارتنا:



هذه العملية ليست فورية ، ولكن نتيجة لذلك نحصل على هذه الشاشة:


لا يعني أنني بجنون العظمة ، لكن البيانات الحساسة ، أغفر لي مثل هذه الاحتجاجات

الفرق ، كما يقولون ، واضح. لا أعرف لماذا لا توجد مجموعة من الوظائف في لوحة تحكم Intel ، ولكن هناك حقيقة: Ylian Saint-Hilaire تستهلك الكثير من الحياة. علاوة على ذلك ، يمكنك تثبيت واجهة الويب الخاصة به مباشرة في البرامج الثابتة ، مما يتيح لك استخدام جميع الوظائف دون استخدام أداة مساعدة.

يتم ذلك مثل هذا:



يجب أن أشير إلى أنني لم أستخدم هذه الوظيفة (واجهة الويب المخصصة) ولا أستطيع أن أقول أي شيء عن فعاليتها وكفاءتها ، حيث أنها ليست مطلوبة لاحتياجاتي.

يمكنك اللعب بالوظائف ، من غير المحتمل أن تدمر كل شيء ، لأن BIOS هو نقطة البداية والنهاية لهذا المهرجان ، يمكنك بعد ذلك إعادة تعيين كل شيء عن طريق تعطيل Intel AMT.

نشر MeshCentral وتنفيذ BackConnect

وهنا يبدأ تفريغ كامل للرأس. لم يكن عمه مجرد عمل عميل ، ولكن أيضًا لوحة إدارة كاملة لأحصنة طروادة الخاصة بنا! ولم يفعل ذلك فقط ، ولكنه أطلقها للجميع على خادمه .

ابدأ من خلال تثبيت خادم MeshCentral خاص بك أو إذا لم تكن معتادًا على MeshCentral ، يمكنك تجربة الخادم العام على مسؤوليتك الخاصة على MeshCentral.com.

يشير هذا بشكل إيجابي إلى موثوقية الكود الخاص به ، حيث لم أتمكن من العثور على أي أخبار حول الاختراقات والتسريبات أثناء الخدمة.

شخصيا ، أقوم بتدوير MeshCentral على الخادم الخاص بي لأنني أعتقد بشكل غير معقول أنه أكثر موثوقية ، ولكن لا يوجد سوى ضجة وروح روح. إذا كنت تريد أيضًا ، فهناك مستندات هنا ، وهنا حاوية مع MeshCentral. توضح المستندات كيفية تجميعها جميعًا في NGINX ، بحيث يتم دمج التطبيق بسهولة في الخوادم المنزلية.

قم بالتسجيل على meshcentral.com ، واشترك في إنشاء مجموعة أجهزة من خلال تحديد خيار "no agent":



لماذا "لا وكيل"؟ لأننا نحتاج إلى تثبيت شيء لا لزوم له ، ليس من الواضح كيف يتصرف وكيف سيعمل.

انقر فوق "إضافة CIRA":



قم بتنزيل cira_setup_test.mescript واستخدمه في MeshCommander لدينا مثل هذا:



فويلا! بعد بعض الوقت ، سوف يتصل الجهاز الخاص بنا بـ MeshCentral ويمكنك القيام بشيء ما به.

أولاً: يجب أن تعرف أن برنامجنا لن يطرق على خادم بعيد مثل هذا. ويرجع ذلك إلى حقيقة أن Intel AMT لديه خياران للاتصال - من خلال خادم بعيد ومحل محلي مباشر. أنها لا تعمل في نفس الوقت. قام برنامجنا النصي بالفعل بتهيئة النظام للعمل عن بُعد ، ولكن قد تحتاج إلى الاتصال محليًا. بحيث يمكنك الاتصال محليا ، تحتاج هنا



اكتب خطًا يمثل مجالك المحلي (لاحظ أن البرنامج النصي الخاص بنا صدق بالفعل بعض الخطوط العشوائية هناك حتى يمكن إجراء الاتصال عن بُعد) أو قم بإلغاء تحديد جميع الخطوط على الإطلاق (ولكن بعد ذلك لن يتوفر الاتصال عن بُعد). على سبيل المثال ، في OpenWrt ، مجالي المحلي هو:



وفقًا لذلك ، إذا دخلنا الشبكة المحلية ، وإذا كان الجهاز الخاص بنا متصلًا بشبكة بهذا المجال المحلي ، فلن يكون الاتصال متاحًا عن بُعد ، وسيفتح المنفذان المحليان 16992 و 16993 ويقبلان الاتصالات. باختصار ، إذا كان هناك بعض القمامة التي لا تتعلق بمجالك المحلي ، فإن البرنامج يقرع ، إن لم يكن ، فأنت بحاجة إلى الاتصال به بنفسك عن طريق الأسلاك ، هذا كل شيء.

ثانيا:



كل شيء جاهز!

أنت تسأل - أين يوجد برنامج مكافحة السرقة هنا؟ كما قلت في البداية - لم يتم تكييف إنتل AMT لمحاربة اللصوص. إن إدارة شبكة المكاتب أمر مرحب به ، لكن مكافحة الممتلكات المضبوطة بطريقة غير مشروعة عن طريق الإنترنت ليست في الحقيقة. النظر في الأدوات التي ، من الناحية النظرية ، يمكن أن تساعدنا في النضال من أجل الملكية الخاصة:

1. في حد ذاته ، وجود لا لبس فيه من الوصول إلى الجهاز ، إذا كان متصلا عبر الكابل ، أو إذا تم تثبيت ويندوز على ذلك ، ثم عبر واي فاي. نعم ، طفولية ، ولكن من الصعب جدًا على أي شخص عادي استخدام مثل هذا الكمبيوتر المحمول حتى لو كان شخص ما يتحكم فجأة. علاوة على ذلك ، على الرغم من حقيقة أنني لم أتمكن من اكتشاف البرامج النصية ، هناك بالتأكيد فرصة لاستنباط بعض الوظائف عليها بشكل فني لمنع / عرض الإشعارات.
2. محو آمن عن بعد باستخدام تقنية الإدارة النشطة من Intel
   
   
   
   باستخدام هذا الخيار ، يمكنك إزالة جميع المعلومات من السيارة في ثوانٍ. ليس من الواضح ما إذا كان يعمل على محركات أقراص صلبة غير Intel. هنا يمكنك قراءة المزيد حول هذه الميزة بمزيد من التفاصيل. يمكنك معجب بالعمل هنا . الجودة رهيبة ، ولكن 10 ميغابايت فقط والجوهر واضح.

تبقى مشكلة التنفيذ المؤجل دون حل ، بمعنى آخر: تحتاج إلى مراقبة عندما يدخل الجهاز الشبكة من أجل الاتصال به. أعتقد أن هذا يحتوي أيضًا على بعض الحلول.

في عملية التنفيذ المثالية ، تحتاج إلى قفل الكمبيوتر المحمول وعرض نوع من الكتابة ، ولكن في حالتنا لدينا فقط وصول لا مفر منه ، وكيفية المضي قدمًا في الأمر مسألة خيالية.

ربما يمكنك حظر الجهاز بطريقة ما أو على الأقل عرض رسالة ، اكتب إذا كنت تعرف. شكرا لك

لا تنسى تعيين كلمة مرور على BIOS.

بفضل بيريز للتدقيق اللغوي!