Это поле позволяет активировать или отключить модуль BIOS Computrace (R ) опциональной службы в ОС от Absolute(R) Software. Computrace (R) агент от Absolute(R) Software является сервисом, предназначенным для отслеживания устройств и предоставления услуги по установлению их места расположения в случае если компьютер будет потерян или украден. Computrace (R) агент общается с программным обеспечение сервера мониторинга Absolute(R) Software на запрограммированных интервалов для предоставления услуг слежения.
Агент Computrace — это приложение Windows, которое имеет две формы: сокращенную и полную. Сокращенную форму агента можно характеризовать как имеющую минимально возможный размер при максимальной гибкости и расширяемости. Этот модуль внедряется в прошивку BIOS (а точнее в PCI Option ROM или как UEFI-модуль). В патенте США за номером 20060272020A1,принадлежащем Absolute Software, этот агент описан как mini CDA (Communications Driver Agent)и предназначен для проверки наличия и работоспособности полноразмерного агента. В случае отсутствия полноценного агента, мини-агент загрузит его с сервера в глобальной сети.
Согласно описанию в патенте, постоянный модуль находится в дополнительном BIOS ROM. Дополнительный ROM имеет небольшую секцию с модулями Computrace агента, которые добавляются производителем BIOS и прошиваются на заводе производителем компьютера (а точнее, производителем материнской платы).
Современный EFI BIOS может содержать до нескольких сотен специальных EFI-драйверов, EFI-приложений и других модулей, упакованных в некого рода файловую систему. Мы обнаружили, что один из таких модулей являлся EFI-приложением или дополнительным ROM с Computrace агентом внутри. Таким образом, перепрошивка BIOS лишь обновит версию агента.
rpcnetp.exe >в autochk.exe >в EFI-приложении >в другом EFI-App>в ROM модуле >в прошивке BIOS
Мы можем отметить, что для прошивок, содержащих Computrace, соответствующие настройки в BIOS Setup могут как существовать, так и отсутствовать.
Авторы исследования рассмотрели риск эксплуатации систем со встроенным в код прошивки BIOS программным обеспечением для защиты от хищения устройства. Они продемонстрировали доказательства уязвимости подобных модулей против локальных атак, подразумевающих наличие физического доступа к компьютеру или возможности исполнения на нем произвольного кода.
Стандартное поведение ПО Computrace
Фаза 1: модуль BIOS
В первой фазе сразу после инициализации основного BIOS выполняются модули дополнительных ROM, выполняются EFI-приложения. В этой стадии модуль Computrace просматривает FAT/FAT32/NTFS разделы жестких дисков в поисках установленной ОС Windows. Затем он создает копию системного autochk.exe и переписывает его своим кодом. Системный autochk.exe сохраняется под именем autochk.exe.bak на FAT или autochk.exe:BAK в альтернативном потоке данных NTFS.
Фаза 2: autochk.exe
Модифицированный autochk.exe, стартуя во время загрузки, имеет полный доступ как к локальным файлам, так и к реестру Windows. Благодаря этому он благополучно сохраняет в папку system32 файл агента rpcnetp.exe и регистрирует его в реестре Windows в качестве новой сервисной службы. Позже оригинальный autochk.exe восстанавливается из сохраненной копии.
Фаза 3: rpcnetp.exe
Именно этот модуль также известен как мини-агент Computrace агент или mini CDA (Communication Driver Agent). Его размер относительно невелик, всего около 17Kb.
Мини-агент стартует как сервисная служба Windows. Сразу после этого он копирует собственный исполняемый EXE-файл под именем rpcnetp.dll, устанавливая при этом соответствующий флаг в PE заголовке (чем утверждает, что это корректный DLL файл), и загружает DLL. Затем rpcnetp.exe запускает дочерний процесс svchost.exe в приостановленном состоянии и внедряет в его память созданный rpcnetp.dll. При возобновлении исполнения svchost.exe создает дочерний процесс браузера iexplore.exe с правами текущего активного пользователя. Iexplore.exe также создается в приостановленном состоянии и так же получает инъекцию rpcnetp.dll. Модифицированный таким образом браузер в автоматическом режиме соединяется с сервером управления для получения команд и загрузки дополнительных модулей. Это приводит к скачиванию и установке полноразмерного агента rpcnet.exe. https://www.securelist.com/ru/analysis/208050831/Ugroza_iz_BIOS
Опция также может иметь другие названия:
Название данной опции у данного производителя в данной версии BIOS:
Computrace значение по умолчанию [Deactivate]
Обозначение опции BIOS
Описание опции в БИОСе
Переведенное значение опции БИОС
1.
This field lets you Activate or Disable the BIOS module interface of the optional Computrace(R) Service from Absolute(R) Software.The Computrace(R) agent from Absolute(R) Software is a service solution designed to help track assets and provide recovery services in the event the computer is lost or stolen.
The Computrace(R) agent communicates with the Absolute software Monitoring Server at programmed intervals to provide the tracking service.
By activating the service, you consent to the transmission of information from and to your computer and the Absolute Software Monitoring Server. The Computrace service is purchased as an option and the monitoring Server will enable its agent security module through an interface provided by the BIOS.
Computrace(R) and Absolute(R) are registered trademarks of Absolute Software Corporation. The Absolute(R) Anti-Theft solution is presently Deactivated. Note that the Activate or Disable options will permanently Activate or Disable the feature and no further changes will be allowed.
Это поле позволяет активировать или отключить модуль BIOS Computrace (R) опциональной службы в ОС от Absolute(R) Software. Computrace (R) агент от Absolute(R) Software является сервисом, предназначенным для отслеживания устройств и предоставления услуги по установлению их места расположения в случае если компьютер будет потерян или украден. Computrace (R) агент общается с программным обеспечение сервера мониторинга Absolute(R) Software на запрограммированных интервалов для предоставления услуг слежения.
Computrace (R) и абсолютного (R) являются зарегистрированными торговыми марками Absolute Software Corporation.
Абсолют (R) Anti-Theft решение в настоящее время отключена. Обратите внимание, что включать или отключать опции будут постоянно Включить или отключить эту функцию и дальнейшие изменения не будут разрешены.
Если информация была полезной для вас, вы можете поблагодарить за труды Яндекс деньгами: 41001164449086 или пластиковой картой:
Удаляем rpcnetp.exe Computrace (LoJack) из BIOS UEFI на примере Asus 1225b
rpcnetp.exe – это файл системы Computrace для удалённой защиты в ноутбуках, которая по идеи должна помочь владельцу в случае кражи или утери. Всё бы хорошо, однако есть несколько но:
Многие скажут удалить и нет проблем! Но не тут то было.
Если не вдаваться в подробности, то фактически Computrace (он же lojack) зашит на уровне BIOS UEFI. Суть системы сводиться к тому, что она каждый раз при включении компьютера прописывает себя в Windows.
Более подробно механизм довольно неплохо расписан здесь:
В большинстве случаев Computrace использует 2 файла:
Все они находятся в подкаталогах c:\Windows. Тут всё зависит от версии Computrace, и для того чтобы их найти можно банально воспользоваться поиском Windows по слову “rpcnet”.
Повторюсь, сколько бы вы не пытаться удалить файлы с диска, переустанавливать Windows, Computrace будет прописываться в момент включения компьютера из BIOS!
На просторах интернета существуют несколько рецептов как избавиться от этой гадости:
В моём Asus 1225b, опции отключения в BIOS не оказалось, пустые файлы продолжали переписываться замечательной “защитой”.
Надо понимать, что Computrace работает (пока) только с Windows. При все своей любви к Linux системам, вариант полностью отказаться от Windows меня тоже не особо устроил. Поэтому, я решил покопаться в файле с прошивкой BIOS.
Далее я воспользовался Delete, и удалил соответствующий модуль, после чего залил новую прошивку. Вот тут меня поджидал, как сейчас модно говорить, Эпик Фейл. Система Висла между загрузкой Bios и стартом загрузчика.
Какими только способами я не пытался полностью удалить модуль из BIOS, система приходила в негодность.
Поэтому, я решил пойти другим путём, если нельзя полностью удалить модуль, то можно его деактивировать.
Деактивировать модуль я решил путём изменения места установки начального загрузчика Computrace.
Теперь он будет пытаться прописаться в 9тый раздел по адресу XINDOWS. Понятно, что это у него не получиться.
На выходе я получил прошивку, назвав её 1225B.209.n, в которой модуль Computrace не работоспособен.
После прошивки, всё что осталось сделать это удалить, rpcnetp.exe (либо rpcnet.exe), rpcnetp.dll (либо rpcnet.dll) стандартными средствами Windows.
Хотелось бы напомнить, что все кто решит прошиться моей версией 1225B.209.n, помните вы делаете это на свой страх и риск. Однако, за то время что я разбирался Computrace, шанс превратить свой ноутбук в “кирпич”, у меня был значительно больше чем у всех, кто решит воспользоваться уже готовой прошивкой 🙂
Если у кого есть мысли как полностью удалить модуль Computrace – пишите.
Опция Computrace предназначена для активации в BIOS поддержки одноименной технологии от Absolute Software. Данную опцию можно встретить исключительно в ноутбуках(они же лаптопы). В ней пользователь может выбрать один из трех вариантов значений – Disable (Отключить), Deactivate (Деактивировать) и Activate (Активировать).
Принцип работы
Служба Computrace представляет собой специальное программное обеспечение, встраиваемое в ноутбуки и разработанное компанией Absolute Software в рамках программы MCLA Laptop Initiative. Другое название этой технологии – LoJack for Laptops (для ноутбуков).
Назначение службы LoJack состоит в том, чтобы предотвращать кражи ноутбуков или находить их местоположение в том случае, если лаптоп был утерян. По замыслу создателей программы, если ноутбук был украден или потерян его обладателем, то пользователь должен заявить о пропаже в полицию. После этого программа, установленная на ноутбуке, позволяет отследить похищенный компьютер и передать местному отделению полиции информацию о его местонахождении, определяемую при помощи GPS и навигационной системы позиционирования Wi-Fi. Кроме того, в случае кражи дополнительная опция Data Delete позволит пользователю удалить с украденного компьютера всю конфиденциальную информацию.
Изначально программа Computrace размещается не на жестком диске, а в BIOS ноутбука. Таким образом, если жесткий диск ноутбука будет отформатирован или даже удален, то сама программа останется работоспособной. В функции программы LoJack входит отсылка через определенные временные интервалы на сервер Abcolute Software специальной информации, при помощи которой можно обнаружить местоположение лаптопа. Информация при этом передается незаметно от пользователя, таким образом, что он не может отключить этот процесс. Также программа Computrace периодически соединяется с сервером, чтобы получить модули обновления.
Программой LoJack снабжаются многие ноутбуки ведущих производителей, таких, как Toshiba, Fujitsu, Lenovo, Dell, Panasonic, HP и Asus.
Опция включения Computrace в BIOS обычно имеет три варианта – Disable, Deactivate и Activate. По умолчанию установлено значение Deactivate, то есть, опция изначально неактивна. Перед включением опции пользователю предлагается согласиться с условиями пользования сервисом, и в частности, с тем, что информация из ноутбука будет передаваться на сторонний сервер.
Выбор варианта Activate включает службу Absolute Software, а варианта Disable – отключает ее на постоянной основе. Однако перед выбором варианта Activate следует помнить, что отключить опцию из BIOS после ее включения будет уже невозможно.
Стоит ли включать опцию?
Прежде всего, стоит определить, нужна ли вам встроенная в ноутбук противоугонная функция? Если нет, то при покупке ноутбука стоит поинтересоваться, действительно ли в его BIOS встроена опция Computrace. Если такая опция установлена, то есть повод подумать о покупке другого ноутбука, поскольку опция LoJack for Laptops, естественно, не устанавливается на ноутбуки бесплатно и значительно увеличивает стоимость всего устройства. Также, если вы решите активировать опцию, то вам придется подписаться на услуги от Absolute Software по определению местонахождения лаптопа, иначе активация модуля Computrace будет совершенно бессмысленной.
Однако, предположим, что у вас оказался лаптоп с данной не активированной опцией (разумеется, не краденный). Безопасно ли менять значение опции в таком случае? Как оказывается, нет.
Исследования специалистов в области компьютерной безопасности показали, что программа LoJack, внедренная в BIOS ноутбука, может быть причиной серьезных проблем в области безопасности данных. Дело в том, что один из модулей программы встраивается и в установленную на ноутбуке операционную систему, модифицируя ее системные файлы. Эта особенность делает ноутбук с активированной системой LoJack уязвимым к хакерским атакам. Также по этой причине на работающий в операционной системе Windows модуль LoJack различные антивирусы могут реагировать, как на троянскую программу.
Исходя из вышеизложенного, опцию не рекомендуется включать, если, разумеется, вы не обладаете чрезвычайно дорогим ноутбуком и не имеете потребность в хранении на нем ценных данных.
Как я купил заблокированный ноутбук на eBay и попробовал сделать свой AntiTheft на базе IntelAMT
Таксист уехал с моим ноутбуком и я решил купить новый на eBay. Что могло пойти не так?
Из покупателя в воры — за один запуск
Принеся домой ноутбук из почтового отделения, я принялся за завершение предустановки Windows 10, а после даже успел накатить Firefox, как вдруг:
Я прекрасно понимал, что модифицировать дистрибутив Windows никто бы не стал, а если бы и стал, то все выглядело бы не так аляповато и вообще блокировка произошла бы тогда быстрее. Да и смысла, в конце концов, не было бы что-то блокировать, так как все лечилось бы переустановкой. Окей, перезагружаемся.
Перезагрузка в BIOS, и вот уже все становится чуть яснее:
И, наконец, окончательно ясно:
Как так вышло, что меня щемит собственный ноутбук? Что такое Computrace?
Строго говоря, Computrace — это такой набор модулей в вашей EFI BIOS, которые, после загрузки OS Windows, подкидывают в нее свои трояны, стучащие на удаленный сервер Absolute software и позволяющие, если потребуется, заблокировать систему по интернету. Более подробно можно почитать вот тут. С операционными системами, отличными от Windows, Computrace не работает. Более того, если мы подключим носитель с Windows, зашифрованный BitLocker, или любым другим софтом, то Computrace снова не сработает — модули просто не смогут подкинуть нам в систему свои файлы.
Отдаленно такие технологии могут показаться космическими, но лишь до той поры, пока мы не узнаем, что все это делается на родном UEFI с помощью полутора сомнительных модулей.
Кажется, будто эта штука холодна и всесильна, пока мы не попробуем, например, загрузиться в GNU/Linux:
На этом ноутбуке прямо сейчас активирована блокировка в Computrace
Что делать?
Есть четыре очевидных вектора разрешения возникшей проблемы:
You need to contact absolute software. They will want the machine serial number and the motherboard serial number. You will also need to supply «proof of purchase», like a receipt. They will contact the owner they have on file and get the OK to remove it. Assuming it is not stolen, they will then «flag it for delete». After that, the next time you connect to the internet or have an open internet connection, a miracle will occur and it will be gone. Send the stuff I mentioned to TechSupport@absolute.com.
Прооцесс анлока описывается так:
Unlocking solution is finally available and requires SPEG programmer to be able to flash the BIOS.
The unlock service price is per machine (like we do for the Macbook/iMac, HP, Acer, etc) For service price and availability please read the next post below. You may contact support@allservice.ro for any inquiry.
Звоним в Lazard aka «the world’s leading financial advisory and asset management firm, advises on mergers, acquisitions, restructuring, capital structure and strategy»
Пока продавец с eBay отвечает, я закидываю несколько баксов на zadarma и предвкушаю общение с, пожалуй, самым самым бездушным собеседником на планете — саппортом огромной финансовой корпорации из Нью-Йорка. Девушка быстро поднимает трубку, выслушивает на моем комрадглише робкие объяснения того, как я купил этот ноутбук, записывает его серийник и обещает передать админам, которые мне перезвонят. Этот процесс в точности повторяется два раза с разницей в сутки. На третий раз я специально дождался вечера, пока в Нью-Йорке будет 10 утра и позвонил, скороговоркой зачитав уже привычную мне пасту про мою покупку. Через два часа мне перезвонила все та же женщина и начала зачитывать инструкции: — Нажмите эскейп. Я нажимаю, но ничего не происходит. — Что-то не работает, ничего не меняется. — Нажимайте. — Жму. — Теперь вводите: 72406917 Ввожу. Ничего не происходит. — Вы знаете, боюсь это не помож… Минуточку… Ноутбук внезапно перезагружается, загружается система, назойливый белый экран куда-то пропал. Для верности захожу в биос, Computrace не активирован. Кажется, все. Благодарю за поддержку, пишу продавцу что решил все вопросы сам и расслабляюсь.
OpenMakeshift Computrace Intel AMT based
Для начала вспомним что такое Intel AMT: это такой набор библиотек, являющийся частью Intel ME, вшитый в EFI BIOS, для того, чтобы админ в каком-нибудь офисе мог, не вставая со стула, оперировать машинами в сети, даже если они не загружаются, подключая удаленно ISOшки, управляя через удаленный рабочий стол и т.д.
Крутится все это на Minix и примерно на таком уровне:
Это звучит заманчиво, ведь видится, что если мы сможем наладить обратное подключение к какой-нибудь админке силами Intel AMT, то сможем иметь доступ не хуже чем у Computrace(на самом деле нет).
Активируем Intel AMT на нашей машине
Сперва, некоторым из вас наверняка хотелось бы потрогать этот AMT своими руками, а тут и начинаются нюансы. Во-первых: вам нужен процессор с его поддержкой. С этим, к счастью, проблем нет(если у вас не AMD), ведь vPro добавлена почти во все процессоры Intel i5, i7 и i9(посмотреть можно тут) начиная с 2006-го года, а нормальный VNC туда завезли уже с 2010-го. Во-вторых: если у вас десктоп, то вам нужна материнская плата с поддержкой такой функциональности, а именно с чипсетом Q. В ноутбуках же нам достаточно знать только модель процессора. Если вы обнаружили у себя поддержку Intel AMT, то это хороший знак и вы сможете применить полученные здесь установки. Если же нет, то либо вам не повезло/вы умышленно выбрали процессор или чипсет без поддержки этой технологии, либо вы удачно сэкономили, взяв себе AMD, что тоже является поводом для радости.
In non-secure mode, Intel AMT devices listen on port 16992. In TLS mode, Intel AMT devices listen on port 16993.
Intel AMT принимает к себе коннекты на портах 16992 и 16993. Туда и двинемся.
Необходимо проверить что Intel AMT включена в BIOS:
Далее нам нужно перезагрузиться и нажать во время загрузки Ctrl + P
Стандартный пароль, как водится, admin.
Сразу же меняем пароль в Intel ME General Settings. Далее в Intel AMT Configuration включаем Activate Network Access. Готово. Вы теперь официально пробэкдурены. Грузимся в систему.
Теперь важный нюанс: по логике вещей мы можем получить доступ к Intel AMT с localhost и удаленно, но нет. Intel говорит что локально подключаться и менять настройки можно с помощью Intel AMT Configuration Utility, но у меня она наотрез отказывалась подключаться, так что у меня подключение заработало только удаленно.
Берем какое-нибудь устройство и подключаемся по yourIP:16992
Добро пожаловать стандартный интерфейс Intel AMT! Почему «стандартный»? Потому что он урезан и для нашей целей совершенно бесполезен, а мы будем использовать что-то более серьезное.
Знакомимся с MeshCommander
Как это водится — большие компании что-то делают, а конечные пользователи дорабатывают под себя. Так случилось и здесь.
Вот этот скромный(не преувеличение: его имя отсутствует на его же сайте, пришлось погуглить) мужчина по имени Ylian Saint-Hilaire разработал замечательные инструменты для работы с Intel AMT.
Сразу хочу обратить внимание на его YouTube-канал, в своих видео он просто и понятно показывает в режиме реального времени как выполнить те или иные задачи связанные с Intel AMT и его софтом.
Начнем с MeshCommander. Качаем, устанавливаем и пытаемся подключиться к нашей машине:
Процесс не мгновенный, но в результате мы получим вот такой экран:
Не то, чтобы я параноик, но sensitive data затру, простите мне такое кокетство
Разница, как говорится, налицо. Я не знаю почему в панели управления Intel нет такого набора функций, но факт есть факт: Ylian Saint-Hilaire берет от жизни ощутимо больше. Более того, вы можете установить его веб-интерфейс прямо в прошивку, он даст возможность пользоваться всеми функциями без утилиты.
Должен отметить, что я эту функциональность(Custom web interface) не использовал и ничего не могу сказать об ее эффективности и работоспособности, так как для моих нужд он не требуется.
Вы можете поиграться с функциональностью, вряд ли у вас получится все испортить, ведь начальной и конечной отправной точкой всего этого фестиваля является BIOS, в нем вы потом сможете все сбросить, отключив Intel AMT.
Разворачиваем MeshCentral и реализуем BackConnect
Get started by installing a MeshCentral server of your own or if you are not familiar with MeshCentral, you can try the public server at your own risk at MeshCentral.com.
Это положительно говорит о надежности его кода, так как мне не удалось найти никаких новостей о взломах и утечках на протяжении работы сервиса.
Лично я кручу MeshCentral на своем сервере так как необоснованно считаю что это более надежно, но в этом нет ничего кроме суеты и томления духа. Если вы хотите также, то тут есть документы, а здесь контейнер с MeshCentral. В документах написано как связать все это в NGINX, так что реализация легко интегрируется в ваши домашние сервера.
Регистрируемся на meshcentral.com, заходим и создаем Device Group, выбрав опцию «no agent»:
Почему «no agent»? Потому что зачем нам чтобы он устанавливал что-то лишнее, непонятно как это себя ведет и как будет работать.
Качаем cira_setup_test.mescript и используем его в нашем MeshCommander вот таким образом:
Voilà! Через какое-то время наша машина подключится к MeshCentral и можно будет что-нибудь с ней сделать.
Во-первых: вам следует знать что просто так наш софт стучаться на удаленный сервер не будет. Это связано с тему, что у Intel AMT есть две опции для подключения — через удаленнный сервер и непосредственно локально. Одновременно они не работают. Наш скрипт уже настроил систему для удаленной работы, но вам может потребоваться подключиться локально. Для того, чтобы вы могли подключиться локально, надо вот здесь
написать строку, которая является вашим локальным доменом(обратите внимание, что наш скрипт туда УЖЕ вбил какую-то рандомную строку, чтобы подключение осуществилось удаленно) или очистить все строки вовсе(но тогда удаленное подключение будет недоступно). Например, у меня в OpenWrt локальный домен это lan:
Соответственно, если мы туда впишем lan, и если наша машина будет подключена в сеть с этим локальным доменом, то удаленно подключение будет недоступно, а локальные порты 16992 и 16993 откроются и будут принимать подключения. Короче, если там какая-то белиберда, не имеющая отношение к вашему локальному домену, то софт стучит, если нет, то вам надо подключаться к нему самим по проводу, вот и все.
Вы спросите — а где же тут AntiTheft? Как я сказал изначально — Intel AMT не очень приспособлен для борьбы с ворами. Админить офисную сеть — это пожалуйста, а вот воевать с неправомерно завладевшими имуществом личностями посредством сети интернет — не особо. Рассмотрим инструментарий, который, в теории, может нам помочь в борьбе за частную собственность:
С помощью этой опции можно удалить всю инфу с машину за секунды. Не выяснено, работает ли она на SSD отличных от Intel. Вот тут можно более подробно почитать об этой функции. Полюбоваться на работу можно тут. Качество ужасное, зато всего 10 мегабайт и суть ясна.
Остается нерешенной проблема отложенного выполнения, иными словами: нужно караулить когда машина войдет в сеть чтобы выполнить к ней подключение. Полагаю, что этому тоже есть какое-то решение.
В идеальном исполнении надо блокировать ноутбук и выводить какую-то надпись, но в нашем случае мы просто имеем неотвратимый доступ, и как действовать дальше — дело фантазии.
Возможно у вас как-то получится блокировать машину или хотя бы выводить сообщение, напишите, если знаете. Спасибо!
