Comment j'ai acheté un ordinateur portable verrouillé sur eBay et essayé de faire mon AntiTheft basé sur IntelAMT

TL; DR

Absolute Computrace - une technologie qui vous permet de verrouiller la voiture (et pas seulement ), même si vous avez réinstallé le système d'exploitation ou même remplacé le disque dur, pour 15 $ par an. J'ai acheté un ordinateur portable sur eBay qui était verrouillé avec cette chose. L'article décrit mon expérience, comment je me suis battu avec et j'ai essayé de faire la même chose sur Intel AMT, mais gratuitement.

Soyons immédiatement d'accord: je n'entre pas par effraction dans les portes ouvertes et n'écris pas une conférence sur ces pièces distantes, mais je raconte un peu le contexte et comment augmenter rapidement l'accès à distance à ma voiture sur mes genoux dans n'importe quelle situation (si elle est connectée au réseau via RJ-45) ou s'il est connecté via Wi-Fi, alors uniquement sous Windows OS. En outre, il sera possible d'enregistrer le SSID, le nom d'utilisateur et le mot de passe d'un point spécifique dans Intel AMT lui-même, puis un accès Wi-Fi peut également être obtenu sans démarrer dans le système. Et aussi, si vous installez des pilotes pour Intel ME sur GNU / Linux, cela devrait également fonctionner. En conséquence, il ne sera pas possible de bloquer l'ordinateur portable à distance et d'afficher un message (je n'ai pas pu déterminer si cela est possible avec l'aide de cette technologie), mais l'accès se fera au bureau à distance et à Secure Erase, et c'est important.

Le chauffeur de taxi est parti avec mon ordinateur portable et j'ai décidé d'en acheter un nouveau sur eBay. Qu'est-ce qui aurait pu mal tourner?

De l'acheteur aux voleurs - en une seule fois

Ayant ramené à la maison un ordinateur portable du bureau de poste, je me suis mis à terminer la préinstallation de Windows 10, et après cela, j'ai même réussi à lancer Firefox, quand tout à coup:



J'ai parfaitement compris que personne ne modifierait le kit de distribution Windows, et si c'était le cas, alors tout ne serait pas si maladroit et généralement le verrouillage se produirait plus rapidement. Et au final, cela n'aurait aucun sens de bloquer quelque chose, car tout serait traité par réinstallation. Ok, redémarrez.

Redémarrage dans le BIOS, et maintenant tout devient un peu plus clair:



Et enfin, c'est enfin clair:

Comment est-il arrivé que mon propre ordinateur portable me fasse mal? Qu'est-ce que Computrace?

À proprement parler, Computrace est un tel ensemble de modules dans votre BIOS EFI qui, après avoir chargé le système d'exploitation Windows, y jette leurs chevaux de Troie, frappant sur un serveur logiciel Absolute distant et permettant, si nécessaire, de bloquer le système via Internet. Plus de détails peuvent être trouvés ici . Avec les systèmes d'exploitation autres que Windows, Computrace ne fonctionne pas. De plus, si nous connectons le support Windows crypté par BitLocker ou tout autre logiciel, Computrace ne fonctionnera plus - les modules ne pourront tout simplement pas jeter leurs fichiers dans le système.

À distance, ces technologies peuvent sembler cosmiques, mais seulement jusqu'à ce que nous découvrions que tout cela se fait dans l'UEFI natif à l'aide d'un module et demi douteux.

Il semble que cette chose soit froide et omnipotente jusqu'à ce que nous essayions, par exemple, de démarrer dans GNU / Linux:


Sur cet ordinateur portable, le verrouillage est désormais activé dans Computrace

Comme on dit

Que faire

Il existe quatre vecteurs évidents pour résoudre le problème:

1. Écrivez au vendeur sur eBay
2. Écrivez au logiciel Absolute, créateur et propriétaire de Computrace
3. Faites un vidage à partir de la puce du BIOS, envoyez-le aux types boueux afin qu'ils envoient un vidage avec un correctif qui désactive tous les verrous et modifie l'ID de l'appareil
4. Appelez Lazard

Trions-les dans l'ordre:

1. Comme toutes les personnes compétentes, nous écrivons d'abord au vendeur qui nous a vendu un tel produit et discutons du problème avec celui qui en est le premier responsable.
   
   Fabriqué par:
   
   
2. Selon les conseils trouvés dans les profondeurs d'Internet,
   

   Vous devez contacter le logiciel absolu. Ils voudront le numéro de série de la machine et le numéro de série de la carte mère. Vous devrez également fournir une «preuve d'achat», comme un reçu. Ils contacteront le propriétaire qu'ils ont dans le dossier et obtiendront le OK pour le supprimer. En supposant qu'il ne soit pas volé, ils "le marqueront pour suppression". Après cela, la prochaine fois que vous vous connecterez à Internet ou que vous disposerez d'une connexion Internet ouverte, un miracle se produira et disparaîtra. Envoyez les informations que j'ai mentionnées à TechSupport@absolute.com.

   
   nous pouvons écrire immédiatement en absolu et parler de déverrouillage directement avec eux. Je ne me suis pas précipité et j'ai décidé de recourir à une telle décision seulement plus près de la fin.
3. Heureusement, une solution brutale au problème était déjà présente. Ces gars-là et de nombreux autres maîtres de l'assistance informatique sur le même eBay et même les Indiens sur Facebook nous promettent de déverrouiller notre BIOS si nous leur envoyons un vidage et attendons quelques minutes.
   
   Le processus de déverrouillage est décrit comme suit:
   

   La solution de déverrouillage est enfin disponible et nécessite un programmeur SPEG pour pouvoir flasher le BIOS.
   
   Le processus est le suivant:
   
   

   1. Lecture du BIOS et création d'un vidage valide. Dans un Thinkpad, le BIOS est marié à la puce TPM interne et contient une signature unique de celui-ci, il est donc important que le BIOS d'origine soit une lecture correcte pour le succès de toute l'opération et pour restaurer le BIOS par la suite.
   2. Patcher les binaires du BIOS et injecter un petit programme UEFI allservice.ro. Ce programme va lire l'eeprom sécurisé, réinitialiser le certificat et le mot de passe TPM, écrire l'eeprom sécurisé et reconstruire toutes les données.
   3. Écrivez le vidage du BIOS patché (cela ne fonctionnera que dans ce TP btw), démarrez l'ordinateur portable et générez un ID matériel. Nous vous enverrons une clé unique qui activera le BIOS Allservice, tandis que le BIOS se chargera, il exécutera la routine de déverrouillage et déverrouillera le SVP et le TPM.
   4. Enfin, réécrivez le vidage du BIOS d'origine pour les opérations normales et profitez de l'ordinateur portable.

   
   Nous pouvons également désactiver Computrace ou modifier le SN / UUID et réinitialiser l'erreur de somme de contrôle RFID en utilisant notre programme UEFI de la même manière, si nécessaire
   
   Le prix du service de déverrouillage est par machine (comme nous le faisons pour le Macbook / iMac, HP, Acer, etc.) Pour le prix du service et la disponibilité, veuillez lire le prochain post ci-dessous. Vous pouvez contacter support@allservice.ro pour toute demande.
   

   
   Semble légitime! Mais cela aussi, pour des raisons évidentes, est une option pour la situation la plus désespérée, en plus de tout le plaisir coûte 80 $. Nous le laissons pour plus tard.
4. Si Lazard a tout cassé et me demande de rappeler, alors ne refusez pas! Pour la cause.

Nous appelons Lazard alias "le premier cabinet mondial de conseil financier et de gestion d'actifs, conseille sur les fusions, acquisitions, restructurations, structure du capital et stratégie"

Pendant que le vendeur d'eBay répond, je jette quelques dollars sur zadarma et j'ai hâte de parler avec peut-être l'interlocuteur le plus sans âme de la planète - un soutien pour une énorme société financière de New York. La fille décroche rapidement le téléphone, écoute mes explications timides sur la façon dont j'ai acheté cet ordinateur portable, écrit son numéro de série et promet de le transmettre aux administrateurs qui me rappelleront. Ce processus est répété exactement deux fois avec une différence d'un jour. Pour la troisième fois, j'ai délibérément attendu la soirée, jusqu'à 10 heures du matin à New York et appelé, lisant les pâtes que je connaissais déjà à propos de mon achat avec un bagoutier. Deux heures plus tard, la même femme m'a rappelé et a commencé à lire les instructions:
- Cliquez sur échapper.
Je clique, mais rien ne se passe.
- Quelque chose ne fonctionne pas, rien ne change.
- Appuyez sur.
- J'appuie.
- Entrez maintenant: 72406917
Je vous présente. Il ne se passe rien.
- Tu sais, j'ai bien peur que ça n'aidera pas ... Attends une minute ...
L'ordinateur portable redémarre soudainement, le système démarre, l'écran blanc ennuyeux a disparu quelque part. Pour la fidélité, je vais dans le BIOS, Computrace n'est pas activé. Tout semble être. Merci pour votre soutien, j'écris au vendeur que j'ai résolu tous les problèmes moi-même et me détendre.

Open Makeshift Computrace basé sur Intel AMT

J'ai été découragé par ce qui s'est passé, mais j'ai aimé l'idée, ma douleur fantôme cherchait un moyen de sortir de ma perte incompétente, je voulais protéger mon nouvel ordinateur portable, comme s'il me rendrait l'ancien. Si quelqu'un utilise Computrace, je peux l'utiliser, non? Après tout, il y avait Intel Anti-Theft, selon la description - une excellente technologie qui fonctionnait comme il se doit, mais elle a été tuée par l'inertie du marché, mais il devrait y avoir une alternative. Il s'est avéré que cette alternative a commencé là où elle s'est terminée - seul le logiciel Absolute a pu prendre pied dans ce domaine.

Pour commencer, rappelons ce qu'est Intel AMT: c'est un tel ensemble de bibliothèques qui fait partie d'Intel ME, intégré dans le BIOS EFI, de sorte que l'administrateur de certains bureaux puisse faire fonctionner des machines sur le réseau sans se lever d'une chaise, même si elles ne se chargent pas. en se connectant à distance aux ISO, en contrôlant via un bureau distant, etc.

Tout cela tourne sur Minix et à peu près à ce niveau:

Invisible Things Lab a proposé d'appeler la fonctionnalité de la technologie Intel vPro / Intel AMT un anneau de protection -3. Dans le cadre de cette technologie, les chipsets prenant en charge la technologie vPro contiennent un microprocesseur indépendant (architecture ARC4), ont une interface séparée vers une carte réseau, un accès exclusif à une section RAM dédiée (16 Mo) et un accès DMA à la RAM principale. Les programmes qui s'y trouvent sont exécutés indépendamment du processeur central, le firmware est stocké avec les codes BIOS ou sur une mémoire flash SPI similaire (le code a une signature cryptographique). La partie firmware est un serveur web intégré. AMT est désactivé par défaut, mais une partie du code fonctionne toujours dans ce mode même lorsque AMT est désactivé. Le code de sonnerie -3 est actif même en mode d'alimentation S3 Sleep.

Cela semble tentant, car il semble que si nous pouvons établir une connexion inverse avec un panneau d'administration à l'aide d'Intel AMT, nous ne pouvons pas avoir pire accès que Computrace (en fait non).

Nous activons Intel AMT sur notre machine

Tout d'abord, certains d'entre vous aimeraient probablement toucher cet AMT de vos propres mains, et ici les nuances commencent. Premièrement: vous avez besoin d'un processeur avec son support. Heureusement, cela ne pose aucun problème (si vous n'avez pas AMD), car vPro a été ajouté à presque tous les processeurs Intel i5, i7 et i9 (vous pouvez le voir ici ) depuis 2006, et le VNC normal y a déjà été introduit à partir de 2010- allez. Deuxièmement: si vous avez un ordinateur de bureau, vous avez besoin d'une carte mère prenant en charge de telles fonctionnalités, notamment avec le chipset Q. Dans les ordinateurs portables, nous n'avons besoin que de connaître le modèle du processeur. Si vous prenez en charge Intel AMT, c'est un bon signe et vous pouvez appliquer les paramètres obtenus ici. Sinon, soit vous n'avez pas eu de chance / vous avez choisi intentionnellement un processeur ou un chipset sans le support de cette technologie, soit vous avez réussi à économiser en prenant AMD pour vous, ce qui est également un motif de joie.

Selon les documents

En mode non sécurisé, les périphériques Intel AMT écoutent sur le port 16992.
En mode TLS, les périphériques Intel AMT écoutent sur le port 16993.

Intel AMT accepte les connexions sur les ports 16992 et 16993. Nous y irons.

Vous devez vérifier qu'Intel AMT est activé dans le BIOS:



Ensuite, nous devons redémarrer et appuyer sur Ctrl + P pendant le démarrage



Le mot de passe standard, comme d'habitude, est admin .

Modifiez immédiatement le mot de passe dans les paramètres généraux d'Intel ME. Ensuite, dans la configuration Intel AMT, activez Activer l'accès réseau. C'est fait. Vous êtes maintenant officiellement détourné. Nous sommes chargés dans le système.

Maintenant une nuance importante: selon la logique des choses, nous pouvons accéder à Intel AMT à partir de l'hôte local et à distance, mais non. Intel dit que vous pouvez vous connecter localement et modifier les paramètres à l'aide de l' utilitaire de configuration Intel AMT , mais j'ai catégoriquement refusé de me connecter, donc ma connexion ne fonctionnait qu'à distance.

Nous prenons un appareil et nous nous connectons via votre IP : 16992

Cela ressemble à ceci:





Bienvenue dans l'interface Intel AMT standard! Pourquoi est-ce "standard"? Parce qu'il est tronqué et complètement inutile pour nos fins, et nous utiliserons quelque chose de plus sérieux.

Rencontrez MeshCommander

Comme d'habitude, les grandes entreprises font quelque chose et les utilisateurs finaux modifient eux-mêmes. C'est arrivé ici aussi.



Cet homme modeste (pas une exagération: son nom n'est pas sur son site, j'ai dû google) nommé Ylian Saint-Hilaire a développé d'excellents outils pour travailler avec Intel AMT.

Je veux faire attention à sa chaîne YouTube tout de suite , dans ses vidéos, il montre simplement et clairement en temps réel comment effectuer certaines tâches liées à Intel AMT et à son logiciel.

Commençons par MeshCommander . Téléchargez, installez et essayez de vous connecter à notre voiture:



Le processus n'est pas instantané, mais en conséquence, nous obtenons cet écran:


Non pas que je sois paranoïaque, mais sur les données sensibles, pardonnez-moi une telle coquetterie

La différence, comme on dit, est évidente. Je ne sais pas pourquoi il n'y a pas un tel ensemble de fonctions dans le panneau de configuration Intel, mais il y a un fait: Ylian Saint-Hilaire prend beaucoup plus de vie. De plus, vous pouvez installer son interface web directement dans le firmware, il permettra d'utiliser toutes les fonctions sans utilitaire.

C'est fait comme ceci:



Je dois noter que je n'ai pas utilisé cette fonctionnalité (interface Web personnalisée) et je ne peux rien dire sur son efficacité et son efficience, car elle n'est pas requise pour mes besoins.

Vous pouvez jouer avec la fonctionnalité, il est peu probable que vous puissiez tout gâcher, car le BIOS est le point de départ et d'arrivée de ce festival, vous pouvez ensuite tout réinitialiser en désactivant Intel AMT.

Déployer MeshCentral et implémenter BackConnect

Et ici commence une décharge complète de la tête. Oncle n'a pas seulement fait un client, mais aussi tout un panneau d'administration pour notre cheval de Troie! Et il ne l'a pas seulement fait, mais l'a lancé pour tout le monde sur son serveur .

Commencez par installer votre propre serveur MeshCentral ou si vous n'êtes pas familier avec MeshCentral, vous pouvez essayer le serveur public à vos risques et périls sur MeshCentral.com.

Cela indique positivement la fiabilité de son code, car je n'ai pas pu trouver de nouvelles sur les hacks et les fuites pendant le service.

Personnellement, je fais tourner MeshCentral sur mon serveur parce que je pense déraisonnablement qu'il est plus fiable, mais il n'y a rien d'autre que de l'agitation et de la langueur d'esprit. Si vous voulez aussi, alors il y a des documents ici , et voici un conteneur avec MeshCentral. Les documents expliquent comment regrouper tout cela dans NGINX, de sorte que la mise en œuvre s'intègre facilement à vos serveurs domestiques.

Inscrivez-vous sur meshcentral.com , entrez et créez un groupe de périphériques en sélectionnant l'option «pas d'agent»:



Pourquoi "pas d'agent"? Parce que pourquoi en avons-nous besoin pour installer quelque chose de superflu, il n'est pas clair comment il se comporte et comment cela fonctionnera.

Cliquez sur "Ajouter l'ACEI":



Téléchargez cira_setup_test.mescript et utilisez-le dans notre MeshCommander comme ceci:



Voilà! Après un certain temps, notre machine se connectera au MeshCentral et vous pourrez en faire quelque chose.

Premièrement: vous devez savoir que notre logiciel ne frappera pas comme ça sur un serveur distant. Cela est dû au fait qu'Intel AMT a deux options pour se connecter - via un serveur distant et directement localement. Ils ne travaillent pas en même temps. Notre script a déjà configuré le système pour le travail à distance, mais vous devrez peut-être vous connecter localement. Pour pouvoir vous connecter localement, vous avez besoin ici



écrivez une ligne qui est votre domaine local (notez que notre script a DÉJÀ conduit une ligne aléatoire là-bas pour que la connexion puisse être établie à distance) ou effacez toutes les lignes (mais la connexion à distance ne sera pas disponible). Par exemple, dans OpenWrt, mon domaine local est lan:



Par conséquent, si nous y entrons lan et si notre machine est connectée au réseau avec ce domaine local, la connexion ne sera pas disponible à distance et les ports locaux 16992 et 16993 s'ouvriront et accepteront les connexions. En bref, s'il y a des déchets qui ne sont pas liés à votre domaine local, alors le logiciel frappe, sinon, vous devez vous y connecter vous-même par fil, c'est tout.

Deuxièmement:



Tout est prêt!

Vous demandez - où est AntiTheft ici? Comme je l'ai dit initialement - Intel AMT n'est pas très adapté pour combattre les voleurs. L'administration du réseau de bureaux est la bienvenue, mais la lutte contre les biens saisis illégalement au moyen d'Internet ne l'est pas vraiment. Considérez les outils qui, en théorie, peuvent nous aider dans la lutte pour la propriété privée:

1. En soi, la présence univoque d'accès à la machine, si elle est connectée via un câble, ou si Windows y est installé, puis via le WiFi. Oui, puérilité, mais il est déjà très difficile pour une personne ordinaire d'utiliser un tel ordinateur portable même si quelqu'un prend soudainement le contrôle. De plus, malgré le fait que je n'ai pas pu comprendre les scripts, il y a certainement une opportunité de supprimer artistiquement certaines fonctionnalités pour bloquer / afficher les notifications.
2. Effacement sécurisé à distance avec la technologie Intel Active Management
   
   
   
   Avec cette option, vous pouvez supprimer toutes les informations de la voiture en quelques secondes. Il n'est pas clair si cela fonctionne sur des SSD autres qu'Intel. Ici, vous pouvez en savoir plus sur cette fonctionnalité plus en détail. Vous pouvez admirer le travail ici . La qualité est terrible, mais seulement 10 mégaoctets et l'essence est claire.

Le problème de l'exécution différée reste non résolu, en d'autres termes: vous devez regarder quand la machine entre dans le réseau pour s'y connecter. Je pense que cela a aussi une solution.

Dans une exécution idéale, vous devez verrouiller l'ordinateur portable et afficher une sorte d'inscription, mais dans notre cas, nous avons juste un accès inévitable, et comment continuer est une question de fantaisie.

Peut-être pouvez-vous en quelque sorte bloquer la machine ou au moins afficher un message, écrivez si vous le savez. Je vous remercie!

N'oubliez pas de définir un mot de passe sur le BIOS.

Merci à Berez pour la relecture!