Geekly articles weekly

Como comprei um laptop bloqueado no eBay e tentei fazer o meu AntiTheft baseado no IntelAMT



TL; DR


Absolute Computrace - uma tecnologia que permite bloquear o carro (e não apenas ), mesmo se você reinstalar o sistema operacional ou mesmo substituir o disco rígido, por US $ 15 por ano. Eu comprei um laptop no eBay que estava bloqueado com essa coisa. O artigo descreve minha experiência, como lutei com ela e tentei fazer o mesmo na Intel AMT, mas de graça.

Vamos concordar imediatamente: eu não entro em portas abertas e não escrevo uma palestra sobre essas peças remotas, mas conto um pouco sobre como aumentar rapidamente o acesso remoto ao meu carro no meu joelho em qualquer situação (se estiver conectado à rede via RJ-45) ou, se estiver conectado via Wi-Fi, somente no sistema operacional Windows. Além disso, será possível registrar o SSID, o nome de usuário e a senha de um ponto específico na própria Intel AMT e, em seguida, o acesso Wi-Fi também pode ser obtido sem a inicialização do sistema. E também, se você instalar drivers para o Intel ME no GNU / Linux, isso também funcionará. Como resultado, não será possível bloquear o laptop remotamente e exibir uma mensagem (não consegui descobrir se isso é possível com a ajuda dessa tecnologia), mas o acesso será à área de trabalho remota e ao Secure Erase, e essa é a principal coisa.

O taxista saiu com meu laptop e eu decidi comprar um novo no eBay. O que poderia ter dado errado?

Do comprador aos ladrões - de uma só vez


Depois de levar para casa um laptop dos correios, comecei a concluir a pré-instalação do Windows 10 e, depois disso, consegui rodar o Firefox, quando de repente:

imagem

Entendi perfeitamente que ninguém modificaria o kit de distribuição do Windows e, se o fizesse, tudo não pareceria tão desajeitado e, geralmente, o bloqueio aconteceria mais rápido. E, no final, não faria sentido bloquear algo, pois tudo seria tratado pela reinstalação. Ok, reinicie.

Reiniciando no BIOS, e agora tudo fica um pouco mais claro:

imagem

E, finalmente, está finalmente claro:

imagem

Como aconteceu que meu próprio laptop me dói? O que é o Computrace?


A rigor, o Computrace é um conjunto de módulos no BIOS da EFI que, após carregar o sistema operacional Windows, joga seus cavalos de Troia nele, batendo em um servidor de software remoto Absolute e permitindo, se necessário, bloquear o sistema pela Internet. Mais detalhes podem ser encontrados aqui . Com sistemas operacionais diferentes do Windows, o Computrace não funciona. Além disso, se conectarmos a mídia do Windows criptografada com o BitLocker ou qualquer outro software, o Computrace não funcionará novamente - os módulos simplesmente não poderão lançar seus arquivos no sistema.

Remotamente, essas tecnologias podem parecer cósmicas, mas apenas até descobrirmos que tudo isso é feito na UEFI nativa com a ajuda de um e meio módulos duvidosos.

Parece que essa coisa é fria e onipotente até tentarmos, por exemplo, inicializar no GNU / Linux:

imagem
Neste laptop, o bloqueio está ativado no Computrace

Como eles dizem

imagem

O que fazer


Existem quatro vetores óbvios para resolver o problema:

  1. Escreva para o vendedor no eBay
  2. Escreva para o software Absolute, criador e proprietário do Computrace
  3. Faça um despejo a partir do chip da BIOS, envie-o para tipos lamacentos, para que eles enviem um despejo com um patch que desativa todos os bloqueios e altera a ID do dispositivo
  4. Ligue para a Lazard

Vamos ordená-los em ordem:

  1. Nós, como todas as pessoas adequadas, primeiro escrevemos para o vendedor que nos vendeu esse produto e discutimos o problema com quem é responsável por ele em primeiro lugar.

    Feito por:

    imagem
  2. De acordo com o conselho encontrado nas profundezas da Internet,
    Você precisa entrar em contato com o software absoluto. Eles desejam o número de série da máquina e o número de série da placa-mãe. Você também precisará fornecer "comprovante de compra", como um recibo. Eles entrarão em contato com o proprietário que possuem no arquivo e receberão o OK para removê-lo. Assumindo que não foi roubado, eles "sinalizam para exclusão". Depois disso, na próxima vez em que você se conectar à Internet ou tiver uma conexão aberta, ocorrerá um milagre que desaparecerá. Envie as coisas que mencionei para TechSupport@absolute.com.

    podemos escrever imediatamente no Absolute e falar sobre como desbloquear diretamente com eles. Não me apressei e decidi recorrer a essa decisão apenas mais perto do fim.
  3. Felizmente, uma solução brutal para o problema já estava presente. Esses caras e muitos outros mestres em suporte a computadores no mesmo eBay e até os indianos no Facebook nos prometem desbloquear o BIOS se enviarmos um despejo para eles e aguardar alguns minutos.

    O processo de desbloqueio é descrito da seguinte maneira:
    A solução de desbloqueio está finalmente disponível e requer que o programador SPEG possa atualizar o BIOS.

    O processo é:

    1. Lendo o BIOS e crie um dump válido. Em um Thinkpad, o BIOS é casado com o chip TPM interno e contém uma assinatura exclusiva, portanto, é importante que o BIOS original seja uma leitura correta para o sucesso de toda a operação e restaure o BIOS posteriormente.
    2. Corrigir os binários do BIOS e injetar um pequeno programa UEFI allservice.ro. Este programa lerá o eeprom seguro, redefinirá o certificado e a senha do TPM, gravará o eeprom seguro e reconstruirá todos os dados.
    3. Escreva o dump do BIOS corrigido (isso funcionará apenas no TP btw), inicie o laptop e gere uma identificação de hardware. Enviaremos uma chave exclusiva que ativará o BIOS do Allservice, enquanto o BIOS estiver carregando, ele executará a rotina de desbloqueio e desbloqueará o SVP e o TPM.
    4. Por fim, escreva o despejo original do BIOS para operações normais e aproveite o laptop.

    Também podemos desativar o Computrace ou alterar o SN / UUID e redefinir o erro de soma de verificação RFID usando nosso programa UEFI da mesma maneira, se necessário

    O preço do serviço de desbloqueio é por máquina (como fazemos para Macbook / iMac, HP, Acer, etc). Para saber o preço e a disponibilidade do serviço, leia o próximo post abaixo. Você pode entrar em contato com support@allservice.ro para qualquer dúvida.

    Parece legítimo! Mas isso também, por razões óbvias, é uma opção para a situação mais desesperadora, além de todo o prazer custar US $ 80. Deixamos para mais tarde.
  4. Se Lazard quebrou tudo e me pediu para ligar de volta, não recuse! Pela causa.

Chamamos Lazard, também conhecida como "empresa líder mundial em consultoria financeira e gestão de ativos, assessora fusões, aquisições, reestruturação, estrutura e estratégia de capital".


Enquanto o vendedor com o eBay responde, eu jogo alguns dólares no zadarma e espero conversar com talvez o interlocutor mais sem alma do planeta - um suporte para uma enorme corporação financeira de Nova York. A garota pega o telefone rapidamente, ouve minhas explicações tímidas sobre como eu comprei esse laptop, escreve seu número de série e promete repassá-lo aos administradores que me ligam de volta. Esse processo é exatamente repetido duas vezes com diferença de um dia. Pela terceira vez, esperei deliberadamente a noite, até as dez da manhã em Nova York e liguei, lendo a massa que eu já conhecia sobre minha compra com um trava-língua. Duas horas depois, a mesma mulher me ligou de volta e começou a ler as instruções:
- Clique em escapar.
Eu clico, mas nada acontece.
- Algo não funciona, nada muda.
- Pressione.
Eu pressiono.
- Agora digite: 72406917
Eu apresento. Nada está acontecendo.
- Sabe, temo que não ajude ... Espere um pouco ...
O laptop reinicia de repente, o sistema é inicializado, a tela branca irritante desapareceu em algum lugar. Por fidelidade, eu entro no BIOS, o Computrace não está ativado. Tudo parece estar. Obrigado por seu apoio, escrevo para o vendedor que resolvi todos os problemas sozinho e relaxo.

Open Makeshift Computrace baseado em Intel AMT


Fiquei desanimado com o que aconteceu, mas gostei da ideia, minha dor fantasma estava procurando uma maneira de sair da minha incompetentemente perdida, queria proteger meu novo laptop, como se ele me devolvesse o antigo. Se alguém usa o Computrace, eu posso usá-lo, certo? Afinal, havia o Intel Anti-Theft, de acordo com a descrição - uma excelente tecnologia que funcionava como deveria, mas foi morta pela inércia do mercado, mas deveria haver uma alternativa. Aconteceu que essa alternativa começou onde terminou - apenas o software Absolute conseguiu se firmar nesse campo.

Para começar, vamos lembrar o que é o Intel AMT: é um conjunto de bibliotecas que faz parte do Intel ME, incorporado no BIOS da EFI, para que o administrador em algum escritório possa operar máquinas na rede sem se levantar de uma cadeira, mesmo que não carregue conectando remotamente a ISOs, controlando via área de trabalho remota, etc.

Tudo isso está girando no Minix e nesse nível:
O Invisible Things Lab propôs chamar a funcionalidade da tecnologia Intel vPro / Intel AMT de um anel de proteção -3. Como parte dessa tecnologia, os chipsets que suportam a tecnologia vPro contêm um microprocessador independente (arquitetura ARC4), uma interface separada para uma placa de rede, acesso exclusivo a uma seção RAM dedicada (16 MB) e acesso DMA à RAM principal. Os programas nele são executados independentemente do processador central, o firmware é armazenado junto com os códigos do BIOS ou em uma memória flash SPI semelhante (o código possui uma assinatura criptográfica). A parte do firmware é um servidor da web integrado. A AMT está desativada por padrão, mas parte do código ainda funciona nesse modo, mesmo quando a AMT está desativada. O código de toque -3 está ativo mesmo no modo de energia S3 Sleep.
Isso parece tentador, porque parece que, se conseguirmos estabelecer uma conexão reversa com algum painel de administração usando o Intel AMT, poderemos ter acesso não pior que o Computrace (na verdade não).

Ativamos a Intel AMT em nossa máquina


Primeiro, alguns de vocês provavelmente gostariam de tocar neste AMT com suas próprias mãos, e aqui as nuances começam. Primeiro: você precisa de um processador com seu suporte. Felizmente, não há problemas com isso (se você não possui AMD), porque o vPro foi adicionado a quase todos os processadores Intel i5, i7 e i9 (você pode vê-lo aqui ) desde 2006, e o VNC normal foi trazido para lá já a partir de 2010 - vá. Segundo: se você possui um desktop, precisa de uma placa-mãe com suporte para essa funcionalidade, principalmente com o chipset Q. Nos laptops, precisamos apenas conhecer o modelo do processador. Se você se apoia no Intel AMT, é um bom sinal e pode aplicar as configurações obtidas aqui. Caso contrário, ou você não teve sorte / escolheu intencionalmente um processador ou chipset sem o suporte dessa tecnologia ou economizou com sucesso usando a AMD para si mesmo, o que também é motivo de alegria.

De acordo com os documentos
No modo não seguro, os dispositivos Intel AMT escutam na porta 16992.
No modo TLS, os dispositivos Intel AMT escutam na porta 16993.

A Intel AMT está aceitando conexões nas portas 16992 e 16993. Vamos lá.

Você deve verificar se o Intel AMT está ativado no BIOS:



Em seguida, precisamos reiniciar e pressionar Ctrl + P durante a inicialização



A senha padrão, como sempre, é admin .

Altere imediatamente a senha nas Configurações gerais do Intel ME. Em seguida, na Configuração da Intel AMT, ative Ativar acesso à rede. Feito. Agora você está oficialmente com backdoor. Nós somos carregados no sistema.

Agora, uma nuance importante: de acordo com a lógica das coisas, podemos acessar a Intel AMT a partir do host local e remotamente, mas não. A Intel diz que você pode conectar-se localmente e alterar as configurações usando o Utilitário de configuração da Intel AMT , mas eu me recusei a conectar, então minha conexão funcionou apenas remotamente.

Tomamos algum dispositivo e conectamos via yourIP : 16992

É assim:





Bem-vindo à interface padrão da Intel AMT! Por que é "padrão"? Porque é truncado e completamente inútil para nossos propósitos, e usaremos algo mais sério.

Conheça MeshCommander


Como de costume, as grandes empresas fazem algo e os usuários finais se modificam. Também aconteceu aqui.



Este homem modesto (não um exagero: o nome dele não está no site dele, eu precisava pesquisar no Google) chamado Ylian Saint-Hilaire desenvolveu ótimas ferramentas para trabalhar com a Intel AMT.

Quero prestar atenção no canal do YouTube imediatamente , em seus vídeos, ele mostra de maneira simples e clara em tempo real como executar determinadas tarefas relacionadas à Intel AMT e seu software.

Vamos começar com o MeshCommander . Baixe, instale e tente conectar-se ao nosso carro:



O processo não é instantâneo, mas, como resultado, obtemos esta tela:


Não que eu seja paranóico, mas dados sigilosos me perdoem tanto coquete

A diferença, como se costuma dizer, é óbvia. Não sei por que não existe esse conjunto de funções no painel de controle da Intel, mas há um fato: Ylian Saint-Hilaire tira muito mais da vida. Além disso, você pode instalar sua interface da web diretamente no firmware, possibilitando o uso de todas as funções sem um utilitário.

É feito assim:



Devo observar que não usei essa funcionalidade (interface da web personalizada) e não posso dizer nada sobre sua eficácia e eficiência, pois ela não é necessária para minhas necessidades.

Você pode brincar com a funcionalidade; é improvável que você consiga arruinar tudo, porque o ponto inicial e final de todo o festival é o BIOS; nele você pode redefinir tudo desativando o Intel AMT.

Implante o MeshCentral e implemente o BackConnect


E aqui começa um despejo completo da cabeça. O tio não apenas criou um cliente, mas também um painel de administração completo para o nosso cavalo de Troia! E ele não fez apenas isso, mas o lançou para todos em seu servidor .
Comece instalando seu próprio servidor MeshCentral ou, se você não estiver familiarizado com o MeshCentral, poderá tentar o servidor público por sua conta e risco no MeshCentral.com.

Isso indica positivamente a confiabilidade do seu código, pois não consegui encontrar notícias sobre hacks e vazamentos durante o serviço.

Pessoalmente, eu giro o MeshCentral no meu servidor porque acredito irracionalmente que é mais confiável, mas não há nada além de confusão e lentidão de espírito. Se você também quiser, existem documentos aqui e aqui está um contêiner com o MeshCentral. Os documentos dizem como reunir tudo no NGINX, para que a implementação se integre facilmente aos seus servidores domésticos.

Registre-se no meshcentral.com , entre e crie um grupo de dispositivos selecionando a opção "sem agente":



Por que "nenhum agente"? Por que precisamos instalar algo supérfluo, não está claro como ele se comporta e como funcionará.

Clique em "Adicionar CIRA":



Faça o download do arquivo cira_setup_test.mescript e use-o no nosso MeshCommander assim:



Voilà! Após algum tempo, nossa máquina se conectará ao MeshCentral e você poderá fazer algo com ele.

Primeiro: você deve saber que nosso software não bate em um servidor remoto assim. Isso se deve ao fato de a Intel AMT ter duas opções de conexão - por meio de um servidor remoto e diretamente localmente. Eles não funcionam ao mesmo tempo. Nosso script já configurou o sistema para trabalho remoto, mas pode ser necessário conectar-se localmente. Para que você possa se conectar localmente, você precisa aqui



escreva uma linha que seja seu domínio local (observe que nosso script JÁ martelou alguma linha aleatória lá para que a conexão possa ser feita remotamente) ou limpe todas as linhas (mas a conexão remota estará indisponível). Por exemplo, no OpenWrt, meu domínio local é lan:



Portanto, se inserirmos lan lá e se nossa máquina estiver conectada a uma rede com esse domínio local, a conexão não estará disponível remotamente e as portas locais 16992 e 16993 abrirão e aceitarão conexões. Em resumo, se houver algum lixo que não esteja relacionado ao seu domínio local, o software baterá, caso contrário, será necessário conectar-se a ele por fio, só isso.

Em segundo lugar:



Está tudo pronto!

Você pergunta - onde está o AntiTheft aqui? Como eu disse inicialmente - a Intel AMT não está muito adaptada para combater ladrões. A administração da rede do escritório é bem-vinda, mas combater a propriedade confiscada ilegalmente por meio da Internet não é realmente. Considere as ferramentas que, em teoria, podem nos ajudar na luta pela propriedade privada:

  1. Por si só, a presença inequívoca de acesso à máquina, se ela estiver conectada via cabo ou se o Windows estiver instalado nela, então via Wi-Fi. Sim, infantilidade, mas já é muito difícil para uma pessoa comum usar esse laptop, mesmo que alguém de repente assuma o controle. Além disso, apesar do fato de eu não ter conseguido descobrir os scripts, certamente há uma oportunidade de cortar artisticamente algumas funcionalidades neles para bloquear / exibir notificações.
  2. Apagar seguro remoto com a tecnologia Intel Active Management



    Com esta opção, você pode remover todas as informações do carro em segundos. Não está claro se ele funciona em SSDs diferentes da Intel. Aqui você pode ler mais sobre esse recurso em mais detalhes. Você pode admirar o trabalho aqui . A qualidade é terrível, mas apenas 10 megabytes e a essência é clara.

O problema da execução adiada permanece sem solução, em outras palavras: você precisa observar quando a máquina entra na rede para se conectar a ela. Eu acredito que isso também tem alguma solução.

Em uma execução ideal, você precisa bloquear o laptop e exibir algum tipo de inscrição, mas, no nosso caso, apenas temos acesso inevitável, e como prosseguir é uma questão de fantasia.

Talvez você possa de alguma forma bloquear a máquina ou, pelo menos, exibir uma mensagem, escreva se souber. Obrigada

Não esqueça de definir uma senha no BIOS.

Agradecimentos a berez pela revisão!

Source: https://habr.com/ru/post/pt482870/

More articles:


All Articles