TL; DR
Absolute Computrace - eine Technologie, mit der Sie das Auto (und nicht
nur ) sperren können, selbst wenn Sie das Betriebssystem neu installiert oder sogar die Festplatte ausgetauscht haben, für 15 US-Dollar pro Jahr. Ich habe bei eBay einen Laptop gekauft, der mit diesem Ding gesperrt war. Der Artikel beschreibt meine Erfahrungen, wie ich damit gekämpft und versucht habe, dasselbe auf Intel AMT zu tun, aber kostenlos.
Lassen Sie uns sofort zustimmen: Ich breche nicht in offene Türen ein und schreibe keinen Vortrag über diese Remote-Teile, sondern erzähle einen kleinen Hintergrund und wie ich in jeder Situation (wenn es über RJ-45 mit dem Netzwerk verbunden ist) den Remote-Zugriff auf mein Auto über mein Knie beschleunigen kann. Wenn eine Wi-Fi-Verbindung besteht, ist dies nur unter Windows möglich. Es ist auch möglich, die SSID, den Benutzernamen und das Kennwort eines bestimmten Punkts in Intel AMT selbst zu registrieren. Anschließend kann der Wi-Fi-Zugriff auch ohne Starten des Systems erfolgen. Wenn Sie Treiber für Intel ME unter GNU / Linux installieren, sollte dies auch funktionieren. Infolgedessen ist es nicht möglich, den Laptop aus der Ferne zu blockieren und eine Meldung anzuzeigen (ich konnte mit Hilfe dieser Technologie nicht herausfinden, ob dies überhaupt möglich ist), aber der Zugriff erfolgt über den Remote-Desktop und Secure Erase, und dies ist die Hauptsache.
Der Taxifahrer ging mit meinem Laptop und ich entschied mich, einen neuen bei eBay zu kaufen. Was hätte schief gehen können?
Vom Käufer zum Dieb - in einem Durchgang
Nachdem ich einen Laptop von der Post nach Hause gebracht hatte, machte ich mich daran, die Vorinstallation von Windows 10 abzuschließen. Danach schaffte ich es sogar, Firefox zu rollen, als plötzlich:
Ich habe vollkommen verstanden, dass niemand das Windows-Distributionskit modifizieren würde, und wenn dies der Fall wäre, würde nicht alles so ungeschickt aussehen und im Allgemeinen würde die Sperre schneller passieren. Und am Ende wäre es nicht sinnvoll, etwas zu blockieren, da alles durch Neuinstallation behandelt würde. OK, neu starten.
Starten Sie das BIOS neu, und jetzt wird alles etwas klarer:
Und endlich ist klar:
Wie ist es dazu gekommen, dass mir mein eigener Laptop weh tut? Was ist Computrace?
Genau genommen handelt es sich bei Computrace um eine Reihe von Modulen in Ihrem EFI-BIOS, die nach dem Laden des Windows-Betriebssystems die Trojaner in das EFI-BIOS werfen, auf einen entfernten Absolute-Softwareserver klopfen und bei Bedarf das System über das Internet blockieren. Weitere Details finden Sie
hier . Bei anderen Betriebssystemen als Windows funktioniert Computrace nicht. Wenn wir Windows Media mit BitLocker oder einer anderen Software verschlüsselt verbinden, funktioniert Computrace außerdem nicht mehr - die Module können ihre Dateien einfach nicht in das System werfen.
Aus der Ferne mögen solche Technologien kosmisch erscheinen, aber nur, bis wir herausfinden, dass all dies in der nativen UEFI mithilfe von eineinhalb zweifelhaften Modulen erfolgt.
Es scheint, als ob dieses Ding kalt und allmächtig ist, bis wir zum Beispiel versuchen, GNU / Linux zu booten:
Auf diesem Laptop ist die Sperre jetzt in Computrace aktiviertWie man sagt,
Was zu tun ist?
Es gibt vier offensichtliche Vektoren zur Lösung des Problems:
- Schreiben Sie an den Verkäufer bei eBay
- Schreiben Sie an Absolute Software, Entwickler und Eigentümer von Computrace
- Erstellen Sie einen Speicherauszug vom BIOS-Chip und senden Sie ihn an schlammige Typen, damit diese einen Speicherauszug mit einem Patch senden, der alle Sperren deaktiviert und die Geräte-ID ändert
- Ruf Lazard an
Sortieren wir sie in der folgenden Reihenfolge:
- Wir schreiben, wie alle angemessenen Leute, zuerst an den Verkäufer, der uns ein solches Produkt verkauft hat, und besprechen das Problem mit demjenigen, der überhaupt dafür verantwortlich ist.
Hergestellt von:
- Nach den Ratschlägen in den Tiefen des Internets,
Sie müssen absolute Software kontaktieren. Sie möchten die Seriennummer des Geräts und die Seriennummer des Motherboards. Sie müssen auch einen "Kaufbeleg" wie eine Quittung vorlegen. Sie setzen sich mit dem Inhaber in Verbindung, den sie gespeichert haben, und erhalten das OK, um ihn zu entfernen. Vorausgesetzt, es wird nicht gestohlen, dann "markieren" sie es zum Löschen. Wenn Sie sich danach das nächste Mal mit dem Internet verbinden oder eine offene Internetverbindung haben, geschieht ein Wunder, und es wird verschwunden sein. Senden Sie das erwähnte Material an TechSupport@absolute.com.
Wir können sofort in Absolute schreiben und mit ihnen über das direkte Entsperren sprechen. Ich beeilte mich nicht und beschloss, erst kurz vor dem Ende auf eine solche Entscheidung zurückzugreifen. - Zum Glück gab es bereits eine brutale Lösung des Problems. Diese Jungs und viele andere Meister des Computer-Supports bei eBay und sogar die Indianer bei Facebook versprechen uns, unser BIOS freizuschalten, wenn wir ihnen einen Dump schicken und ein paar Minuten warten.
Der Entsperrvorgang wird wie folgt beschrieben:
Die Entsperrlösung ist endlich verfügbar und erfordert, dass der SPEG-Programmierer das BIOS flashen kann.
Der Prozess ist:
- Lesen Sie das BIOS und erstellen Sie einen gültigen Speicherauszug. In einem Thinkpad ist das BIOS mit dem internen TPM-Chip verheiratet und enthält eine eindeutige Signatur. Daher ist es wichtig, dass das ursprüngliche BIOS für den Erfolg des gesamten Vorgangs korrekt ausgelesen und anschließend das BIOS wiederhergestellt wird.
- Patchen Sie die BIOS-Binärdateien und fügen Sie ein kleines allservice.ro-UEFI-Programm ein. Dieses Programm liest das sichere EEPROM, setzt das TPM-Zertifikat und das Kennwort zurück, schreibt das sichere EEPROM und rekonstruiert alle Daten.
- Schreiben Sie den gepatchten BIOS-Dump (dies funktioniert übrigens nur in diesem TP), starten Sie den Laptop und generieren Sie eine Hardware-ID. Wir senden Ihnen einen eindeutigen Schlüssel, mit dem das Allservice-BIOS aktiviert wird. Während das BIOS geladen wird, wird die Entsperrroutine ausgeführt und SVP und TPM entsperrt.
- Schreiben Sie abschließend den ursprünglichen BIOS-Dump zurück, um den normalen Betrieb zu gewährleisten, und genießen Sie den Laptop.
Wir können Computrace auch deaktivieren oder die SN / UUID ändern und den RFID-Prüfsummenfehler zurücksetzen, indem wir unser UEFI-Programm auf die gleiche Weise verwenden, falls erforderlich
Der Preis für den Entsperrservice gilt pro Gerät (wie bei MacBook / iMac, HP, Acer usw.). Informationen zu Service und Verfügbarkeit finden Sie im nächsten Beitrag. Sie können sich für jede Anfrage an support@allservice.ro wenden.
Scheint echt! Aber auch dies ist aus offensichtlichen Gründen eine Option für die verzweifeltste Situation, abgesehen davon, dass das Vergnügen 80 US-Dollar kostet. Wir lassen es für später. - Wenn Lazard alles kaputt gemacht und mich gebeten hat, zurückzurufen, dann lehnen Sie es nicht ab! Für die Sache.
Wir nennen Lazard aka "die weltweit führende Finanzberatungs- und Vermögensverwaltungsfirma, die bei Fusionen, Übernahmen, Umstrukturierungen, Kapitalstrukturen und Strategien berät"
Während der Verkäufer bei eBay antwortet, gebe ich Zadarma ein paar Dollar und freue mich darauf, mit dem vielleicht seelenlosesten Gesprächspartner der Welt zu sprechen - einer Unterstützung für ein riesiges Finanzunternehmen aus New York. Das Mädchen nimmt schnell den Hörer ab, hört sich meine schüchternen Erklärungen zum Kauf dieses Laptops an, schreibt seine Seriennummer und verspricht, sie an die Administratoren weiterzuleiten, die mich zurückrufen werden. Dieser Vorgang wird genau zweimal mit einem Tagesunterschied wiederholt. Zum dritten Mal wartete ich absichtlich auf den Abend, bis es zehn Uhr morgens in New York war, rief an und las die mir bereits bekannten Nudeln über meinen Einkauf mit einem Muster vor. Zwei Stunden später rief mich dieselbe Frau zurück und fing an, die Anweisungen zu lesen:
- Klicken Sie auf Escape.
Ich klicke, aber nichts passiert.
- Etwas funktioniert nicht, nichts ändert sich.
- Drücken Sie.
- Ich drücke.
- Geben Sie nun ein: 72406917
Stelle ich vor Es passiert nichts.
- Weißt du, ich fürchte, es wird nicht helfen ... Moment mal ...
Der Laptop startet plötzlich neu, das System bootet, der nervige weiße Bildschirm verschwindet irgendwo. Aus Treuegründen gehe ich ins BIOS, Computrace ist nicht aktiviert. Alles scheint zu sein. Vielen Dank für Ihre Unterstützung, ich schreibe an den Verkäufer, dass ich alle Probleme selbst gelöst und entspannen.
Öffnen Sie Makeshift Computrace auf Intel AMT-Basis
Ich war entmutigt von dem, was passiert ist, aber ich mochte die Idee, mein Phantomschmerz suchte nach einem Ausweg aus meinem inkompetenten Verlust, ich wollte meinen neuen Laptop schützen, als würde er mir den alten zurückgeben. Wenn jemand Computrace benutzt, kann ich es benutzen, oder? Immerhin gab es laut Beschreibung Intel Anti-Theft - eine exzellente Technologie, die so funktionierte, wie es sollte, aber sie wurde durch die Trägheit des Marktes zunichte gemacht, aber es sollte eine Alternative geben. Es stellte sich heraus, dass diese Alternative dort begann, wo sie endete - nur Absolute-Software konnte auf diesem Gebiet Fuß fassen.
Lassen Sie uns zunächst daran erinnern, was Intel AMT ist: Es handelt sich um eine Reihe von Bibliotheken, die Teil von Intel ME sind und in das EFI-BIOS eingebettet sind, sodass der Administrator in einigen Büros Computer im Netzwerk bedienen kann, ohne von einem Stuhl aufstehen zu müssen, auch wenn sie nicht geladen sind durch Remote-Verbindung mit ISOs, Steuerung über Remote-Desktop usw.
All dies dreht sich auf Minix und ungefähr auf dieser Ebene:
Invisible Things Lab schlug vor, die Funktionalität der Intel vPro / Intel AMT-Technologie als -3-Schutzring zu bezeichnen. Als Teil dieser Technologie enthalten Chipsätze, die die vPro-Technologie unterstützen, einen unabhängigen Mikroprozessor (ARC4-Architektur), eine separate Schnittstelle zu einer Netzwerkkarte, exklusiven Zugriff auf einen dedizierten RAM-Bereich (16 MB) und DMA-Zugriff auf den Haupt-RAM. Die darauf enthaltenen Programme werden unabhängig vom Zentralprozessor ausgeführt, die Firmware wird zusammen mit BIOS-Codes oder auf einem ähnlichen SPI-Flash-Speicher gespeichert (der Code hat eine kryptografische Signatur). Der Firmware-Teil ist ein integrierter Webserver. AMT ist standardmäßig deaktiviert, ein Teil des Codes funktioniert jedoch auch dann in diesem Modus, wenn AMT deaktiviert ist. Der Ringcode -3 ist auch im Energiesparmodus S3 aktiv.
Das hört sich verlockend an, denn wenn wir mit Intel AMT eine Reverse-Verbindung zu einem Admin-Panel herstellen können, haben wir keinen schlechteren Zugang als Computrace (eigentlich nicht).
Wir aktivieren Intel AMT auf unserem Computer
Zunächst möchten einige von Ihnen diesen AMT wahrscheinlich mit Ihren eigenen Händen berühren, und hier beginnen die Nuancen. Erstens: Sie benötigen einen Prozessor mit seiner Unterstützung. Glücklicherweise gibt es keine Probleme damit (wenn Sie nicht über AMD verfügen), da vPro seit 2006 zu fast allen Intel i5-, i7- und i9-Prozessoren hinzugefügt wurde (Sie können es
hier sehen ), und der normale VNC wurde bereits ab 2010 dorthin gebracht. geh. Zweitens: Wenn Sie einen Desktop haben, dann brauchen Sie ein Motherboard, das solche Funktionen unterstützt, nämlich den Q-Chipsatz. Bei Laptops müssen wir nur das Prozessormodell kennen. Wenn Sie feststellen, dass Sie Intel AMT unterstützen, ist dies ein gutes Zeichen, und Sie können die hier erhaltenen Einstellungen anwenden. Wenn nicht, dann hatten Sie entweder kein Glück / Sie haben sich absichtlich für einen Prozessor oder einen Chipsatz ohne die Unterstützung dieser Technologie entschieden, oder Sie haben erfolgreich gespart, indem Sie AMD für sich genommen haben, was auch ein Grund zur Freude ist.
Nach den Unterlagen
Im nicht sicheren Modus lauschen Intel AMT-Geräte auf Port 16992.
Im TLS-Modus lauschen Intel AMT-Geräte auf Port 16993.
Intel AMT akzeptiert Verbindungen an den Ports 16992 und 16993. Wir werden dorthin gehen.
Sie müssen sicherstellen, dass Intel AMT im BIOS aktiviert ist:
Als nächstes müssen wir neu starten und während des Bootens Strg + P drücken
Das Standardkennwort lautet wie üblich
admin .
Ändern Sie sofort das Kennwort in den allgemeinen Intel ME-Einstellungen. Aktivieren Sie als Nächstes in der Intel AMT-Konfiguration die Option Netzwerkzugriff aktivieren. Fertig Sie sind jetzt offiziell durch Hintertüren geschützt. Wir werden in das System geladen.
Jetzt eine wichtige Nuance: Nach der Logik der Dinge können wir von localhost und remote auf Intel AMT zugreifen, aber nein. Intel gibt an, dass Sie mit dem
Intel AMT-Konfigurationsdienstprogramm eine lokale Verbindung herstellen und die Einstellungen ändern können, aber ich habe mich entschieden geweigert, eine Verbindung herzustellen, sodass meine Verbindung nur über Remotezugriff funktioniert hat.
Wir nehmen ein Gerät und verbinden über
Ihr IP : 16992
Es sieht so aus:
Willkommen auf der Standard-Intel AMT-Schnittstelle! Warum ist es "Standard"? Weil es abgeschnitten und für unsere Zwecke völlig nutzlos ist und wir etwas Ernsthafteres verwenden werden.
Lernen Sie MeshCommander kennen
Wie üblich tun große Unternehmen etwas und die Endbenutzer ändern etwas für sich. Das ist auch hier passiert.
Dieser bescheidene (keine Übertreibung: sein Name steht nicht auf seiner Website, ich musste googeln) Mann namens Ylian Saint-Hilaire hat großartige Tools für die Zusammenarbeit mit Intel AMT entwickelt.
Ich möchte
sofort seinem
YouTube-Kanal Aufmerksamkeit schenken. In seinen Videos zeigt er einfach und klar in Echtzeit, wie bestimmte Aufgaben im Zusammenhang mit Intel AMT und seiner Software ausgeführt werden.
Beginnen wir mit
MeshCommander . Laden Sie herunter, installieren Sie und versuchen Sie, eine Verbindung zu unserem Auto herzustellen:
Der Prozess ist nicht augenblicklich, aber als Ergebnis erhalten wir diesen Bildschirm:
Nicht, dass ich paranoid bin, aber vertrauliche Daten über, vergib mir solche KoketterieDer Unterschied liegt auf der Hand. Ich weiß nicht, warum es im Intel-Bedienfeld keine solchen Funktionen gibt, aber es gibt eine Tatsache: Ylian Saint-Hilaire schöpft wesentlich mehr aus dem Leben. Darüber hinaus können Sie das Webinterface direkt in die Firmware installieren, so dass Sie alle Funktionen auch ohne Hilfsprogramm nutzen können.
Es ist so gemacht:
Ich muss beachten, dass ich diese Funktionalität (Custom Web Interface) nicht genutzt habe und nichts über deren Effektivität und Effizienz aussagen kann, da sie für meine Bedürfnisse nicht benötigt wird.
Sie können mit der Funktionalität spielen, es ist unwahrscheinlich, dass Sie alles ruinieren können, da der Start- und Endpunkt des gesamten Festivals das BIOS ist, in dem Sie dann alles zurücksetzen können, indem Sie Intel AMT deaktivieren.
Stellen Sie MeshCentral bereit und implementieren Sie BackConnect
Und hier beginnt eine völlige Erschöpfung des Kopfes. Onkel machte nicht nur einen Kunden, sondern auch ein ganzes Admin-Panel zu unserem Trojaner! Und er hat es nicht nur getan, sondern
für jeden auf seinem Server gestartet .
Beginnen Sie mit der Installation eines eigenen MeshCentral-Servers. Wenn Sie mit MeshCentral nicht vertraut sind, können Sie den öffentlichen Server auf eigenes Risiko unter MeshCentral.com testen.
Dies ist ein positiver Hinweis auf die Zuverlässigkeit des Codes, da ich während des Dienstes keine Nachrichten über Hacks und Lecks finden konnte.
Persönlich drehe ich MeshCentral auf meinem Server, weil ich unvernünftigerweise glaube, dass es zuverlässiger ist, aber es gibt nichts als Aufhebens und Müdigkeit. Wenn Sie auch wollen, dann
gibt es
hier Dokumente, und
hier ist ein Container mit MeshCentral. In den Dokumenten wird beschrieben, wie alles in NGINX zusammengestellt wird, sodass sich die Implementierung problemlos in Ihre Heimserver integrieren lässt.
Registrieren Sie sich auf
meshcentral.com , und erstellen Sie eine
Gerätegruppe , indem Sie die Option "kein Agent" auswählen:
Warum "kein Agent"? Denn warum brauchen wir es, um etwas Überflüssiges zu installieren, es ist nicht klar, wie es sich verhält und wie es funktionieren wird.
Klicken Sie auf "CIRA hinzufügen":
Laden Sie cira_setup_test.mescript herunter und verwenden Sie es in unserem MeshCommander wie folgt:
Voilà! Nach einiger Zeit stellt unsere Maschine eine Verbindung zum MeshCentral her und Sie können etwas damit tun.
Erstens: Sie sollten wissen, dass unsere Software nicht einfach so auf einem Remote-Server ankommt. Dies liegt an der Tatsache, dass Intel AMT über zwei Optionen für die Verbindung verfügt - über einen Remote-Server und direkt vor Ort. Sie arbeiten nicht gleichzeitig. Unser Skript hat das System bereits für Remote-Arbeiten konfiguriert, Sie müssen jedoch möglicherweise eine lokale Verbindung herstellen. Damit du dich lokal verbinden kannst, brauchst du hier
Schreiben Sie eine Zeile, die Ihre lokale Domain ist (beachten Sie, dass unser Skript BEREITS eine zufällige Zeile dort eingefügt hat, damit die Verbindung remote hergestellt werden kann) oder löschen Sie alle Zeilen (aber dann ist die Remoteverbindung nicht verfügbar). In OpenWrt ist meine lokale Domain beispielsweise LAN:
Wenn wir dort LAN eingeben und unser Computer mit einem Netzwerk mit dieser lokalen Domäne verbunden ist, ist die Verbindung dementsprechend nicht remote verfügbar, und die lokalen Ports 16992 und 16993 öffnen und akzeptieren Verbindungen. Kurz gesagt, wenn es irgendeinen Müll gibt, der nicht mit Ihrer lokalen Domain zu tun hat, klopft die Software. Wenn nicht, müssen Sie sich selbst per Kabel mit ihr verbinden, das ist alles.
Zweitens:
Alles ist fertig!
Sie fragen - wo ist AntiTheft hier? Wie ich anfangs sagte - Intel AMT ist nicht sehr darauf eingestellt, Diebe zu bekämpfen. Die Verwaltung des Büronetzwerks ist erwünscht, die Bekämpfung der rechtswidrig beschlagnahmten Liegenschaft über das Internet jedoch nicht. Betrachten Sie die Werkzeuge, die uns theoretisch beim Kampf um Privateigentum helfen können:
- An sich das eindeutige Vorhandensein des Zugriffs auf das Gerät, wenn es über Kabel angeschlossen ist oder wenn Windows darauf installiert ist, dann über WLAN. Ja, kindisch, aber es ist schon sehr schwierig für einen normalen Menschen, einen solchen Laptop zu benutzen, selbst wenn jemand plötzlich die Kontrolle übernimmt. Darüber hinaus besteht trotz der Tatsache, dass ich die Skripte nicht herausfinden konnte, sicherlich die Möglichkeit, einige Funktionen auf ihnen künstlerisch auszuschneiden, um Benachrichtigungen zu blockieren / anzuzeigen.
- Remote Secure Erase mit Intel Active Management-Technologie
Mit dieser Option können Sie alle Informationen in Sekunden aus dem Auto entfernen. Es ist nicht klar, ob es auf anderen SSDs als Intel funktioniert. Hier können Sie mehr über diese Funktion erfahren. Sie können die Arbeit hier bewundern. Die Qualität ist schrecklich, aber nur 10 Megabyte und das Wesentliche ist klar.
Das Problem der verzögerten Ausführung bleibt ungelöst, mit anderen Worten: Sie müssen beobachten, wann der Computer in das Netzwerk eintritt, um eine Verbindung zu ihm herzustellen. Ich glaube, dass dies auch eine Lösung hat.
In einer idealen Ausführung müssen Sie den Laptop sperren und eine Art Beschriftung anzeigen, aber in unserem Fall haben wir nur unvermeidlichen Zugriff, und die weitere Vorgehensweise ist eine Frage der Fantasie.
Vielleicht kannst du die Maschine irgendwie blockieren oder zumindest eine Meldung anzeigen, wenn du es weißt. Vielen Dank!
Vergessen Sie nicht, ein Passwort im BIOS festzulegen.
Vielen Dank an berez für das Korrekturlesen!