Pull to refresh

Comments 184

К слову, получилось идеальную клетку фарадея сделать? Что пробовалось и как отработало? Что с «боксом» из металлических прутьев?

Если вы про этот вопрос, то нет, не получилось. Я пробовал и закрытую микроволновку и разные коробки с фольгой одна в другой, проложенные диэлектром. Возможно это специфика BLE, устойчивость к помехам и слабому сигналу, не знаю. Ребята сказали что у них есть промышленная камера для тестирования антенн, попробую там. Еще я думал отпилить под корень антенну USB-адаптере, чтобы осталась только нога чипа.


Проблема в том, что макбуки/айфоны постоянно меняют МАК-адрес и невозможно зафильтровать по нему. Я пробовал PacketLogger из комплекта Xcode вместе с профилем логирования Bleutooth для айфона, но понял что оно тоже не все пакеты отображает. Еще есть ощущение, что айфон перестает слать BLE-маяки для FindMy если не двигается, но я не могу подтвердить это.


В общем, кто готов поучаствовать в исследовании протокола FindMy, могу добавить вас в наш чатик в телеграме посвященной этой теме.

А заземление было? Заземлять клетку это обязательное условие.

Я пробовал заземлять фольгу, но это не повлияло на результат. Мне нужно готовое решение куда я смог засунуть ноутубук и телефон и вытащить оттуда кабель, так чтобы внутрь коробки не залетал ни один посторонний сигнал. Городить какие-то костыли из проволоки и фольги надоело.

А обязательно надо клетку? За городом есть места где нет никаких сигналов. Конечно может быть слегка неудобно, но и чистота эксперимента будет соблюдена.
Я конечно не специалист по клеткам Фарадея, но обзор или вентиляция же не нужны вообще в данном случае(не обязательно же это должна быть именно клетка), положить металлическое ведро(металлический тазик?) на лист металла(ну или просто что-то плоское и металлическое) и заземлить все это не пробовали?
Если не соединить землю излучающего устройства с ведром — то вместо клетки Фарадея получится антенна-ведро. Пусть и плохо, но ого будет переизлучать сигналы. Можно обойтись и без «заземления», если вместо ведра использовать специальные поглотительные материалы.
На таких частотах провод заземления — очень большая индуктивность.
Самое эффективное решение в этой ситуации — снять заднюю крышку и отсоединить все 3 антенны (wifi+bt). В этом случае бук ничего не сможет передать дальше 1м.
Вероятность этого в данном случае околонулевая, тк это будет происходить при закрытом состоянии бука (LID датчик лог1), в котором передатчик wifi не работает.

Имеется в виду, что у передатчика без антенны может выгореть выходной каскад из-за высокого КСВ.
Что за бред? Как он, по-вашему, выходную мощность регулирует без измерения потребления?
И как же он регулирует мощность — как этот режим называется?
И причём тут потребление?
Почитайте на досуге, что такое коэффициент стоячей волны.
А для несведущих — поясните? На wifi устройствах физическое отключение антенн ведет к сгоранию передатчика? Ноутбуках, роутерах, wifi сетевых картах?

Нет, физическое отключение антенн не приводит к порче устройства

Если это не роутер на пол-ватта, то с большой долей вероятности(процентов так 99) ничего не произойдет — эти несчастные 50 милливат рассеять теплом на транзисторах не проблема. Там где опасность есть — там наклейки «не включать без антенны», например на радиостанциях или мощных передатчиках.
WIFI/BT после этого, кстати, вполне могут продолжать работать, с ужасной скоростью и дальностью, но работать, настолько большой там запас по силе сигнала. Я одно устройство уже собрался производителю возвращать, так как wifi на нем выдавал скорость примерно в 20кб/сек, но оказалось, что просто антенну надо докрутить на пару оборотов, контакта не было. Но подключалось как настоящее, ничего себя не выдавало.
Просто выше пишут про «пожечь передатчики», КСВ — вот тут не понял вообще что за пугалки
Ну это просто человек переносит свой опыт с промышленных роутеров или GSM/3G/4G модемы на бытовые устройства wifi.

Но выгореть передатчик(не в ноуте, а вообще) без антенны может легко, тут все правильно пишут: когда мощщу в пару ватт девать некуда(раньше она через антенну излучалась), она рассеивается внутри усилителя, что приводит к его нагреву. А КСВ — это показатель, который определяет, сколько энергии из выданной усилителем отразиться и пойдет обратно*. Антенны нет — излучать нечему, волны идут до конца разъёма, там чуть-чуть излучаются, но большая часть отражается и идет обратно.

*Однако, не все то, что не отразилось, уйдет в эфир: правильно закороченный выход передатчика резистором на 50ом вместо антенны имеет КСВ в 1, но почти ничего не излучает.
Если взять радиостанцию (к примеру возьмём CB на 27мгц, благо по этому можно кучу материалов найти) и устроить ей «вери качсный антен», то КСВ вполне себе может подскочить до очень больших цифр (оптимально КСВ должен быть в пределах 1-2) и при нажатии кнопки PTT в таком раскладе выходной каскад передатчика испускает волшебный дым. Ну а без волшебного дыма электроника не работает увы.
Не обязательно заземление, можно клетку фарадея зацепить на «земляной» или «общий» контакт макбука, например на USB, если он там есть конечно, или минусовой контакт от разъема питания. Это должно сработать даже лучше, чем заземление.

У него весь корпус является проводником заземлён. Иногда даже можно почувствовать на нём утечки тока в общей сети питания.

Я не поверю, что сигнал блютус пройдёт через фольгу. Вот если просто завернуть ноутбук в фольгу. На счёт микроволновки, вполне.
Старое бомбоубежище на отметке -50м ниже уровня поверхности — конечно, не идеальная защита от ЭМИ, но WiFi там точно не ловится.
Всю жизнь считал себя рассеянным, но после первых слов статьи чутка прям даже подуспокоился )
заголовок как украсть макбук
все вроде идет как надо
но потом в самом конце нам говорят о том что гиблое это дело, покупайте хорошие маки и правильно их настраивайте
#грустьтоскапечальогорчение #акакжехотелосьначатьвороватьмакбуки

Ну остается же вариант "продать на запчасти". Да, доходы падают, надо больше макбуков.

А давайте подумаем, что в таком случае останется на эти самые запчасти? Корпус, экран, ну может SSD или память, если они не запаяны.
Экран, клавиатура и аккумулятор – самые расходуемые запчасти.
Нужно отдать должное Apple, защита устройств у них наголову выше, чем у типичного ноутбука на Windows.

Даже такие базовые опции, как шифрование всего накопителя, доступны только начиная с pro варианта ОС.
Microsoft считает, что личные данные ничего не стоят.

В целом они не так уж и неправы, у большинства все личные данные уже загружены в фейсбук и доступны каждому желающему
Опции бэкапа всего диска как образ тоже порезали в десятке, остался только бэкап файлов. Неужели нельзя в ОС такую базовую функциональность встроить и поддерживать…
Есть там этот функционал. Засунули его правда в ж, так же как и создание диска восстановления для разворачивания этого образа.
Ого объявили устаревшим и могут выпилить в любом следующем релизе.
Кстати, возможно, это было бы не лишено смысла в плане создания абсолютной переносимости настроек и данных на другой комп с Win 10. Т.е. максимально отвязать данные (в том числе приложений и настроек) от особенностей конкретной системы. Разные производители ноутов, но винда-то одна, минимальный образ от производителя при восстановлении скачать с MS (похоже сделано в macos), а из бекапа только данные и приложения. Было бы здорово — бекап c Asus подойдет для восстановления на HP!
Мне так нравится как сделано все в Mac в этом плане.
Вы забыли, что Мак имеет ограниченное количество конфигураций, и драйвера от них всех легко помещаются и определяются. А если подключить диск с одного Вин-компа к другому и загрузится с него… может и получится, но глючить будет знатно
Не будет. Имею рабочий внешний ссд с 8.1, его можно просто выдернуть и воткнуть в другой комп. Винда сделает ресет драйверов и системы (с сохранением файлов) и будет работать как ни в чем не бывало. Закинуть пак туда типа SDI — и систему на своем харде можно развернуть почти на любом железе буквально за 10 минут.
За «пак типа SDI» отдельное спасибо. Не знал про это.

Ну там есть варианты с sysprep.


Но неделю назад один знакомый (с) рассадил ноутбук (ASUS ZenBook c i3), а работать надо было срочно. Пересаживал SSD из ZenBook в рецепиентный Acer (на Celeron, прости господи, с совсем другим чипсетом, видео, сетью и т. п.) и пока я думал: «щас BSOD-ами всё покроется, придется заново раскручивать, переставлять назад и как-то sysprep-ать», эта скотина загрузилась, подключилась к WiFi и, как я понял (кстати, надо уточнить), корректно зацепила OEM-лицензию.

Да давно пора уже для виндового зоопарка устройств делать наподобие гипервизора core и гостевой виртуалки. Проброс видео и всего — на совести производителя ноута, а сама винда с данными, лицензией, реестром и софтом — стандартный гость. И всех делов. Купил новый любой ноут — в нем win10 core, скопировал свой образ/вставил внешний ssd — и вперед. Переносимость — максимальная, потери в скорости по текущим реалиям уже не так велики должны быть.
Это далеко не так, шифрование на ноутбуках и планшетах работает и в домашних изданиях. Устройство должно соответствовать некоторым требованиям, но это понятно — Windows работает на таком зоопарке устройств (в отличие от macOS, где число конфигураций известно и ограничено), что без этого никак.

Да ведь нельзя поставить пароль на hdd через sata. Truecrypt тоже нельзя и т.п. оьязательно нужно шифровать средствами ОС, даже если там вместо диска флешка на 32гб которая и так еле дышит.

Вот уж чего, а пароль я вам и на IDE и на SATA поставлю, причём мне максимум dos+mhdd/victoria понадобится, и то, для того, чтобы отправить винту пару служебных стандартных команд.

причем — пароль неснимаемый БЕЗ уничтожения данных (согласно стандарта ATA)

В чём там проблема с TrueCrypt? Использую Veracrypt на системном SSD, который SATA, работает отлично. Вроде с NVMe у них были проблемы с производительностью, но уже исправили. Единственное, что огорчает — не все варианты шифрования доступны для GPT-разметки. Хотя Secure Boot поддерживается.
А нет проблем никаких. Тут просто выше писал человек что на на всех редакциях винды есть встроенный Bitlocker.
Я накидал вариантов, как обойтись и без него.
Видимо нить беседы потерялась.
Вроде с NVMe у них были проблемы с производительностью, но уже исправили.
Нет, это не исправить без довольно глубокой переделки архитектуры. Сказывается то, что TrueCrypt изначально затачивался под работу с контейнерами, а уже потом к этому всему прикрутили шифрование разделов.

Если нужна скорость, то либо BitLocker, либо DiskCryptor, который недавно форкнули и прикручивают поддержку EFI-загрузки.
кому надо делают это, даже не выходя в интернет, просто нужно знать как
У меня НР был элитбук, тоже какое то хитрое шифрование стояло (не храню ничего ценного в принципе на ноутбуке), произошел сбой при накатывании обновления 10 и все все данные потеряны, диск зашифрован. Все снесли под корень, поставили заново.
Несмотря на то, что есть риск, что все слетит при обновлении (сам так же пользуюсь), уж лучше так, чем риск все кому-то подарить.

Была пара статей про закладку в биосе.кажется называлась lojack computrace.там тоже довольно интересные исследования проводились.автор даже подобие своего сервера для приема сигнала после стирания винта поднимал.

Зато с типичного ноутбука можно легко снести форточку и поставить адекватный дистрибутив линукса, доставив тем самым любому вору и атакующему незабываемые впечатления от криптографического головняка.
Стоит отметить, что многое зависит от самого пользователя (его подготовки), а не от девайса, если речь идёт о защите собственных данных.

Вроде далеко не на каждом ноутбуке все хорошо с драйверами под линукс? Или моя знания устарели?

если производитель не использует совсем уж экзотичное оборудование, проблем в последние годы, вроде как не наблюдается.

У многих ноутбуков достаточно поставить пароль на биос, чтобы доставить очень серьёзный головняк вплоть до того же разбора на запчасти.


Впрочем неоспоримое преимущество Apple в том, что у них зашифрованы практически все ноутбуки, а значит их продукция автоматически будет менее привлекательна для вора.

У многих ноутбуков эта проблема с паролем решается при помощи программатора за 10уе(или даже меньше) и прошивки с такой-же модели(в худшем случае).
на некоторых HP видел intel anti-theft.
вроде крутая штука
Она есть, но интел вроде как эту технологию похоронил в угоду более свежим. А в эпоху C2D/Core iX 2/3/4/5 эта технология устранялась программатором и прошивкой от соседнего бука.
Ну это вообще был троян махровейший, распространяющийся, ЕМНИП через ACPI таблицы ноутбука =) Благо работал только под Windows.
На диске макбука выделяется маленький раздел под линукс. Современное ядро (efistub) может грузиться сразу без всяких промежуточных загрузчиков вроде refind.
В случае, если из мака достанут винт — эта схема уже не работает, не так ли?

Да, но только на макбуках с 2015 года диск распаян на материнке, как и оперативка.

Но разве MacBook Pro 2016-2017 не имеют съемный SSD накопитель с интерфейсом PCIe? пруф

В Air 2017 также съёмный SSD. К слову, легко меняется на обычный м.2 при наличии переходника за несколько долларов.

Странно. Пишу с макбука 2015 года.
Куда при апргейде поставил Samsung 970 EVO Plus через переходник.
Никаких других распаянных дисков не заметил.
Что я сделал не так?

Когда использовал рабочий комп с filevault, субъективно казалось, что ос грузится дольше, чем без шифрования на домашнем. Так что для себя вижу причины не включать защиту.


А что касается т2, то от него геморроя больше чем защиты. Тот факт, что компьютер был продан на запчасти, а не как работающий, ситуацию не изменит.
Зато самостоятельно заменить запчасти станет нереально.

Медленнее он работает, медленнее. Немного, но разница есть. Однако, осозновать, что без filevault данные на диске не защищены ничем, настолько больно, что для меня есть смысл идти на ухудшение производительности, но зато не париться о том, что кто-то получит доступ к данным с потерянного ноутбука. А на запчасти пусть продают, фиг с ним. Главное, без данных.
А на сколько медленнее? Я пользуюсь сам но вообще не замечаю замедления

На прошках и эирах со старым magsafe2 -в 2 раза запись/чтение проседала.если бесплатной мерялке верить под названием blackmagic.

Запуск чего-то тяжеловесного, типа фотошопа — процентов на 20-30 замедляется, когда я в последний раз тестировал. Но это на старом ноуте, 2012 год.
Apple T2 выпущен в 2017 году и тогда же впервые поставлен в компьютер Mac Pro, поэтому он никак не мог бы замедлять ноут 2012 года.

Программное шифрование – естественно, замедляет.
Apple T2 выпущен в 2017 году и тогда же впервые поставлен в компьютер Mac Pro, поэтому он никак не мог бы замедлять ноут 2012 года.


Вы глаза-то поднимите к началу треда. Речь о filevault. Первоначально вообще спор с тезисом в статье «Оно не тормозит работу диска и не повышает его износ». T2, естественно, никак замедлять работу не может.
Как я понял, он имел в виду, что на маках с T2 шифрование аппаратно ускорено и скорость I/O не снижается вообще. Собственно, когда включаешь FileVault на старых маках, начинается многочасовое шифрование диска, а на новых с T2 диск уже зашифрован по умолчанию — включение FV в настройках просто врубает требование вводить пароль для дешифрования при входе в систему.
Я на прошке late 2013 тестировал тупо через dd с разной длиной блока — процентов на 5-10 стало медленнее.
Но при скорости самого диска, такое можно заметить только при измерениях.
Да, на новых ноутбуках с PCI-E SSD узкое место уже не диск.
А какие вы там собрались запчасти менять? Там все распаяно

Как минимум экран не распаян.
Распаянные детали тоже отпаиваются, если что. Правда, без т2 в "не удовлетворяющем наших клиентов" неавторизованом сервисе за 100 рублей, а с т2 "в кашерном" аппле сервисе за 2000 рублей.

А что, известны случаи, что при смене экрана т2 не давал включится? Это все как менялось так и меняется
во-первых, 3х минутное гугление даёт:

The parts affected, according to the document, are the display assembly, logic board, top case, and Touch ID board for the MacBook Pro, and the logic board and flash storage on the iMac Pro. It is also likely that logic board repairs on the new MacBook Air and Mac mini are affected, as well as the Mac mini’s flash storage. Yet, the document, which is believed to have been distributed earlier this year, does not mention those products because they were unannounced at the time.

Regardless, to replace those parts, a technician would need to run what’s known as the AST 2 System Configuration suite, which Apple only distributes to Apple Stores and certified ASPs


во-вторых, мое сообщение не только про экран

в-третьих, да, на айфонах такие случаи были. На макбуках T2 не так давно, чтобы аппле успела начать развлекаться по-полной
к чему эти цитаты? Случаев блокировки не было, возможность есть. На данный момент нельзя помнять кнопку отпечатков и материнскую плату, это вполне нормально. Экраны меняй нехочу, память в макмини ставь сколько угодно.
Да и на телефонах по факту менять можно все кроме кнопки с отпечатками и лоджик боард.

А тут написано, что случаи блокировки экранов на телефонах были
https://ru.ifixit.com/News/9917/11-3-update-breaking-iphone-screens


Но даже, если предположить, что случаев не было, то мой выбор между "огорчить вора, что он не сможет использовать компьютер как он есть" и "теоритически внезапно получить окирпиченный девайс по среди рабочего дня" однозначен.


Но это все лично мое мнение и не более чем лирическое отступление. Думаю, что на ваши вопросы 1. про реальные кейсы окирпичивания экрана и 2. что в аппле технике можно менять, ответил. Если говорить конкретно, то, да, именно на макбуках, именно до текущего момента, именно экраны пока что никто не блокировал

Модем теперь нельзя менять на телефонах. И флеш (т.е. диск).

Статья отличная, вы много разложили по полочкам и помогли сложить понятный образ в голове.
Я решил последовать советам и включил гостевого пользователя, а затем поставил пароль на UEFI. После этого я попробовал войти под гостевым пользователем, чтобы посмотреть что же это такое, но при попытке войти мне предлагается перезагрузиться в «secure, safari-only system» и после согласия на этот праздник у меня спрашивают пароль на этот самый UEFI :) я несколько раз перезагрузился, но результат тот же — гость хочет пароль от UEFI. Может я где накосячил?
Нет, все верно. Пароль на прошивку требуется для загрузки любой ОС, кроме основной (в том числе recoveryOS). Более того, утилитой firmwarepasswd можно включить еще более строгий режим, при котором пароль спрашивают при каждой загрузке независимо ни от чего другого.
Также установка пароля на прошивку по умолчанию отключает загрузку OptionROMов с любых устройств (это тоже можно настроить вышеупомянутой утилитой).

Получается ошибся я. Значит либо Гость, либо пароль на UEFI. Но ведь это нелепо! Почему загрузчик который показывает меню ввода пароля для FileVault не может загрузить recoveryOS? Он кстати не на том же разделе лежит?

Почему загрузчик который показывает меню ввода пароля для FileVault не может загрузить recoveryOS?
Из за гарантий безопасности у пароля на прошивку: «Пароль на прошивку требуется для загрузки любой ОС, кроме основной (в том числе recoveryOS)». Если разрешить загрузку recoveryOS в гостевой режим без пароля, то любой эксплоит (потенциально сильно устаревшего) Safari передаст полный контроль атакующему. Именно поэтому при установке пароля не работает BootPicker, TDM и все остальное, отлично работающее без него.
Target Disk Mode, возможность подключить один мак в качестве внешнего накопителя к другому через Thunderbolt, USB3 или FireWire.
Он кстати не на том же разделе лежит?
На APFS — нет, boot.efi для FileVault лежит на Preboot volume, boot.efi и BaseSystem.dmg для recoveryOS лежат на Recovery volume.
К сожалению, все модели макбуков до 2019 года (без чипа T2) беззащитны против воров

Но ведь T2 ставится с 2018 же, да и по ссылке то же самое написано
Мне когда-то, еще до find my mac, помог найти украденный ноутбук preyproject. Воришка переставил макось, но это не помогло.

Может быть кто-то знает технические подробности, как он работает?

Допустим, пользователь поставил пароль на UEFI, и с большой вероятностью он такой же, как и пароль от учётки. Программатором можно только сбросить пароль UEFI, или можно его считать и тем самым узнать?

Нет, он довольно неплохо зашифрован. Вот тут у Педро много подробностей и про устройство хранилища пароля, и про методы его сброса (официальные и нет). Начиная c 10.15 в утилиту firmwarepasswd добавлена возможность отключить восстановление пароля через AppleCare.
UFO landed and left these words here
Заранее отвечу про широко известного в узких кругах слона в комнате с Т2checkm8. Проблема известна, решение разрабатывается, о подробностях или сроках говорить не уполномочен, прошу пардону.
стоп, а разве iboot используется и на десктопных компьютерах?
Со стороны х86 — нет, со стороны Т2 — используется для загрузки bridgeOS.
но ведь там уязвимость в бутроме который на заводе один раз зашивается(по крайней мере, на мобилках), получается что по факту просто нет публично доступных инструментов именно для bridgeOS этой, а так проблема нерешаемая. вот это поворот.
Ну вот про слона я не зря упоминал. :)
Проблема нерешаемая — это фатализм.
Было бы прекрасно, если бы этот функционал работал прямо на Bluetooth/WiFi чипе, когда на материнской плате есть дежурное питание.

Еще один способ убить аккумулятор устройства побыстрее. Все же помнят, что аатомобиль без движения с сигналкой, скажем, после месяца двух — может не завестись? Но это сильно зависит от состояния аккума, правильности сборки электроцепей в авто, модели сигналки. Так же и тут.

Все же помнят, что аатомобиль без движения с сигналкой, скажем, после месяца двух — может не завестись?

солнечная батарея на задней полке и хвост к югу решают.
полгода — точно.

Все помнят, но со штатной и нормальным аккумулятором — спокойно стоит месяцами.

Важно иметь в виду, если ноутбук помнит сеть с паролем, то он не будет автоматически подключаться к ней, если она вдруг появится без пароля, но с тем же именем.
А если сделать точку доступа запароленной, но принимающей любой пароль?
Если такое возможно было бы, тогда все WiFi сразу стало бы легко взломать)
А по теме: шифрование работает так, что 2 устройства не говорят друг другу пароль, они сразу шифруют свои сообщения им, и по сути если пароль второй стороне не известен, то она не сможет прочитать его, и тем более ответить правильно.
Теперь воры прочитают статью на Хабре и узнают что надо ещё глушилку Bluetooth «на дело» таскать.
У меня несколько раз воровали макбуки

Автор, мне кажется что с тобой что-то не так.

Я может конечно ошибаюсь, но мне не кажется нормальным что у одного и того же человека многократно крадут ноутбуки.

Ну если рассуждать, то получается, что если у ТСа регулярно крадут дорогие вещи, то вещи недорогие у него крадут намного чаще и он уже привык к самому факту краж и спокойней к ним относится и прикладывает меньше мер по упреждению краж, что приводит к их увеличению и так по кругу)))
Мне кажется, корпорации Apple следует заключить договор со всеми основными опсосами (операторами сотовой связи) о постоянном свободном доступе всех макбуков и айфонов (точнее, всех желающих — модель устройства не отследить; но всем остальным это не нужно) к серверам отслеживания местоположения. Т.е. независимо от наличия полноценного (т.е читай — оплаченного) доступа в Интернет, устройство всегда (ну, при доступности сотовой связи) может сообщить свои координаты.

Чтобы параноики не беспокоились — эти координаты посылаются в зашифрованном виде — так что Apple прочитать их не может. Но владелец устройства — может узнать, где находится его устройство.

Отдельная проблема — устройство должно как-то узнать свои координаты. GPS — сильно жрёт батарею. Значит, хорошо бы брать координаты по идентификаторам сотовых вышек — вот только не знаю, есть ли у сотовых вышек такие идентификаторы.

А ещё хорошо бы пристёгивать устройство к рюкзаку или к себе тонким прочным тросиком. Любая преграда для вора может оказаться критичной и заставить его бросить начатое дело.
Параноики не смогут не беспокоится, пока неопенсорсная штука будет слать каким-то образом зашифрованные сигналы о координатах через любых доступных опсосов даже если ноутбук выключен…

Не то слово.
Если немного отвлечься от темы статьи — любое относительно современное устройство Apple может в выключенном состоянии пересылать свои точные координаты куда угодно при условии нахождения рядом какого либо другого современного устройства от того же Apple.
Какие там отключения геолокации, какие аир моды…

Хватит даже просто сотовых модулей в макбуках (ну сколько он сам по себе стоит? с учетом стоимости макбуков) но при этом с поддержкой eSIM(а чтобы сбросить текущий профиль — нужно загрузить систему) + включаемым по команде gps- и проблема с поиском решается (правда появятся статьи что эппл следит за всеми + Соответствующие Службы могут попросить найти макбук -:))

Согласно тесту black magic, при использовании file vault скорости падали в 2 раза на маках с magsafe2.хотя в повседневной работе это никак не заметно.так что щифрование на скорость влияет, но и производительности диска хватает с запасом

1. Новые Маки (с T2) при настройках T2 по умолчанию невозможно загрузить с флешки, не имея админского пароля macOS. Также при настройках по умолчанию невозможно загрузить Linux.

2. Люди, ворующие ноутбуки у незнакомых людей, вообще не будут париться чего-то там взламывать и переустанавливать, а просто продадут на детали.

А вот там где купили на детали уже могут и запариться, если уж им нужны запчасти значит навыки уже имеются.

Это совершенно другой сценарий, тут простецкими решениями не обойтись. Если люди готовы ради данных на откровенный криминал с воровством, то у них явно в команде есть квалифицированные хакеры.

Получается, даже человек, который захочет вернуть мне компьютер не сможет это сделать, если я заранее не напишу где-то на корпусе мои контакты.

Settings->Securyty&Privacy->«Show a message when screen is locked»
Пишете там свой свои контакты. Корпус царапать не нужно. Профит!
Спасибо автору за подробное описание. Уверен, воры уже добавили себе в «избранное».

По теме. У нас в конторе ночью какой-то бомж разбил кирпичом окно и залез в офис. Хотел спереть iMac. А они все металлическим тросиком к столу прикручены. Так ни с чем и ушел. Так что всякие Find My Mac может и полезны, но «железного» решения никто не отменял :)
По теме. У нас в конторе ночью какой-то бомж разбил кирпичом окно и залез в офис. Хотел спереть iMac. А они все металлическим тросиком к столу прикручены.
т.е. чтобы подойти к коллеге вам надо откручивать тросик или это делается только перед уходом?
iMac это не ноутбук.

И кстати, на многих ноутбуках отверстие под kensington lock тоже есть. Тросик с замком, открывается ключом, примерно как велик.

Зачем при этом (подходя к коллеге) моноблок то переть с собой?

Спасибо.
Я стал владельцем MacBook)
Хотя не факт.Кто-то стучится в дверь…
Спасибо за интересную статью! Всегда юзал FileVault и ставил дополнительно пароль прошивки. На T2 чипах у мака можно запретить запуск с внешних носителей, операции в Recovery теперь требуют пароль от учетки в macOS. Значит ли это, что на 2019 маках с T2 чипами пароль от прошивки уже можно не ставить, т.к. он не дает никаких преимуществ вместе с T2?
NVRAM всё ещё можно сбросить, так что пароль прошивки всё-таки нужен
При перепрошивке ведь снова ставится МакОс, почему он при подключении к сети не может отправить все серийники своего железа или при подключении нового эппл айди? Если хоть один принадлежит украденому, лочить сами железки. Или ставят какую-то пропатченную версию?
почему он при подключении к сети не может отправить все серийники своего железа

отправляет


при подключении нового эппл айди

потому что, очевидно, процедура смены владельца не до конца продумана. И есть вероятность, что это выгодно самому эпплу


Если хоть один принадлежит украденому, лочить сами железки.

отличная тема — называется — убить рынок б/у техники. Т.е. я как продавец макбука делаю над ним какие-то хитрые действия, а потом продаю, потом заявляю на угон. Нужна гарантия и точная процедура отвязки от старого акка + перенос на новый

Но рынок б/у iphone существует же. И не убит. Просто не продумано до конца, согласен с вами. Сверять имхо надо только sn мат. платы (ну и может какой-то идентификатор cpu). Я был удивлен сам недавно, что у MacBook не работает такая же привязка к введенному Apple ID, как у iPhone.
Сделали бы в официальном сервисе услугу «смена владельца». 10$ заплатили, данные поменяли.

позиция apple
Хотя, зачем брать 10$, можно 100$. Можно вообще такой тариф сделать что дешевле новый мак купить чем бу.
Может, все к тому и идет. Сначала диск впаивают на плату, а копия данных в iCloud. Потом просто подписку сделают, платишь 50$ в месяц (типа лизинга) и пользуешься. Сломалась железка — дадут новую. Варианты подписок будут — с/без Apple Music, с 10/50/100 Гб места под данные для восстановления. А чтобы вы не волновались — с опсосами договоряться, и ваши данные, защищенные только вашим ключом, будут даже с выключенного ноута сливаться на сервер Apple.

Я задавался таким же вопросом, почему мой украденный ноутбук с тем же серийным номером легко привязывается к новому icloud, хотя в этот же момент он висит в режиме пропажи в icloud. Ответа у меня нет. Но наверное, в условиях, когда флешка с UEFI никак не была защищена, это было оправдано, ведь любой мог сменить серийный номер материнки.

А можно поподробнее про offline finding и searchpartyuseragent?
Первый вопрос — как ноутбук в офлайне понимает, что ему нужно рассылать экстренные BLE пакеты?
Второй вопрос — получается любые маковские устройства потенциально могут отправлять свои координаты через мой интернет канал? Это на всех ОС действует или только начиная с Catalina?
Ну на первый вопрос статья отвечает, я думаю…
Когда устройство оказывается без интернета, например, телефон без SIM-карты или макбук без WiFi, оно начинает рассылать специальные пакеты через Bluetooth Low Energy со своим публичным ключом.

Т.е. сразу, как только теряет связь с сетью.
Если следовать написанному, то все устройства apple без интернета шлют свои координаты с помощью близлежащих устройств через BLE? Даже те, которые не являются потерянными? Сомневаюсь, что появление такой функции не вызвало бы широкий общественный резонанс.

По порядку:


  1. Устройство рассылают СВОИ ключи через BLE, для того чтобы их отыскали, только если у них пропал интернет. Когда интернет есть, они и так шлют координаты свои координаты в интернет по запросу владельца.


  2. Посреднические анонимные устройства, которые пересылают маяки, используют публичный ключ, так что шифруют только в одну сторону, то есть сами уже не могут расшифровать то что зашифровали. Дальше они анонимно пересылаются через интернет на устройство в приложение FindMy. Так что владелец, который смог расшифровать эти координаты, не знает кто их ему переслал. Получается все анонимно.


Понятно, спасибо. Иными словами, для того чтобы сработал offline finding устройство все таки должно хоть раз выйти в интернет, чтобы принять запрос на поиск.
По второму вопросу меня беспокоит не то, что посреднические устройства могут что-то расшифровать, а сам факт того, что любое устройство может стать посредником. Не проблема, если устройство отправит лишних пару сотен байт с координатами дабы помочь найти чей-то смарфтон, но по-моему пользователи должны как минимум знать, что их устройства могут быть косвенно использованы третьими лицами хотя бы для благих целей. Однако, крайне интересная функция.
Иными словами, для того чтобы сработал offline finding устройство все таки должно хоть раз выйти в интернет, чтобы принять запрос на поиск.

Нет, маяки начинают рассылаться сразу как пропал интернет, читай коннект с apple по которому в обычном состоянии доставляются уведомления и управляется удаленная блокировка и очистка.


но по-моему пользователи должны как минимум знать, что их устройства могут быть косвенно использованы третьими лицами хотя бы для благих целей

Вы можете такое отключить посредничество в настройках. По умолчанию оно включено.

Уж кто-то, а Apple на вашей беде наварилась больше всех.
Отличную пометку сделали, что статья в ознакомительных целях. А то сейчас владельцы макбуков прям напряглись
Я плохо понял, вор зайдя в фейковый линукс ничего не заподозрит, увидев первичную настройку, и подключит WiFi? Скорее же он все сразу отформатирует.
Или это методика против кражи личных данных?
Походу, вор не увидит, что WiFi включен. Картинка на экране не будет отображать то, что реально происходит. ЗЫ: помните прикол с принскрином рабочего стола windows со всеми ярлыками и сделать taskbar скрытым и переместить его еще вверх, скажем? Лет 15 назад это вводило в ступор и бешенство даже относительно адекватных людей :)
Меня из-за этого прикола чуть не отчислили из универа, после того как я в компьютерном классе на всех 14 компах сделал такой прикол) при чем я спалился чисто из-за того, что не смог сдержаться от смеха, когда препод и недоумевающий народ минут 10 тыкали компы.
Я ради прикола себе поставил такой рабочий стол, народ не мог понять как моим компом только у меня получается пользоваться. Кончилось тем что сам забыл про это и после прогорания стула после нескольких перезагрузок убрал.
вор зайдя в фейковый линукс ничего не заподозрит, увидев первичную настройку

А что он должен заподозрить? Может подумает, что комп удаленно очистили к заводскому состоянию. Я бы скорее всего сам не догадался даже, если бы мне попался такой ноутбук. В случае ворами были таджики на стройке, например. Вряд ли они стали бы первым делом накатывать чистую макось, если компьютер и так работает. Но так как им достался компьютер полностью залоченный, как раз вынудил их переустановить макось.

Какая версия ios справа? Второе устройство есть? Откуда этот скриншот.

Нужно зайти в меню "найти айфон"

Владелец… может слушать звук с микрофона и смотреть на вора через камеру, и т.д.

Кажется, картинка из предисловия начинает обретать смысл

При включении вэб-камеры, рядом загорается индикатор. Вор поймет, что что-то пошло не так.

По задумке, можно было скрыто послушать микрофон и решить когда подходящий момент чтобы сделать фотку

Существует команда или приложение для iOS которое позволяет быстро (например, с помощью Siri) стирать устройство (одно или сразу несколько) или отмечать его пропавшим (будь то MacOS, iOS…) или же даже выключить?
Да, я знаю, что с помощью приложения Локатор можно стереть устройство. Но цель сделать это автоматизировано и максимально быстро. А нативно через iOS команды — локатор может отдать только геопозицию и не боле…
Но наверно возможно реализовать это на запросах к сайту www.icloud.com/find (где можно авторизоваться без 2FA, с ограниченным функционалом – но можно включить режим пропажи или стереть устроство/устройства).
Или же есть еще какие-то решения «тревожной кнопки»?

Знаю только, что пятикратное быстрое нажатие кнопки блокировки на айфоне отключает разблокировку по отпечатку пальца. Можно сделать быстро в кармане неглядя, когда, например, подходят полицейские пообщаться.

У меня на 5 нажатия срабатывает экстренный вызов. Да, разблокировка по отпечатку тоже отключается, но вызов при этом никуда не пропадает. Говоря проще, незаметно в кармане можно случайно и позвонить (а если в настройках SOS включен звук отсчёта, то ещё и громко нашуметь).
Разобрался. Если отключить автовызов (в настройках SOS в iOS), то при нажатии 5 раз на блокировку появится менюшка (в том числе с возможностью вызова). Кстати, тот же эффект, если одновременно зажать кнопку блокировки и любую из клавиш громкости (что менее палевно, чем пятикратное нажатия блокировки).

Одной рукой в кармане намного проще нажать блокировку чем комбинацию из нескольких клавиш. Особенно когда росгвардейцы уже пытаются вырвать у тебя телефон чтобы посмотреть нет ли там фотографий с закладкой.

Дальше первого пункта даже не стал читать. Потому что там бред. При включении функции fond my mac автоматически активируется пользователь гость. Который не требует ввода пароля чтобы загрузится в систему. Это как бы и есть фишка- украли комп, смотрят какая информация есть- заходят, подключают wifi- сервак посылает геолокации. При включении блокировки можно оставить контакт для связи

Попробуйте почитать, я старался.

Вроде бы читал обмен между информацией между девайсами Apple идет через UWB, т.е. не только Bluetooth. А еще читал что в РФ эта функиця не доступна, и решил что Offline finding не заработает.
> покупайте макбук с чипом Т2

На макбук с Т2 до сих пор нельзя поставить линукс

Это проблема? Учитывая, что типично линуксо применение (а-ля ML с CUDA) на маке все равно не светит ?

Мне MacOS не нравится, использую линукс, плюс линукс по работе нужен.

А по железу macbook удобное — сейчас не найти ноута с экраном HiDPI и соотношением сторон 16:10.
Из-за этого в прошлом году покупал 15" без чипа T2, возможно, один из последних не Б/У

виртуалочки никто не отменял )
это раз.
Два — если речь про окружение — ну, homebrew. ansible, terraform работают, докер-шмокер есть — что еще надо ?

А зачем мне куча виртуалок, если могу напрямую запустить, тратя на это заметно меньше ресурсов?
А ещё мне заметно больше нравится интерфейс KDE, плюс я всю систему могу полностью под себя настроить, просто задав нужные флаги сборки программ (у меня дистрибутив на основе генты — в нём это проще всего делать)

MacOS мне очень неудобна (ставил жене — тоже не захотела в ней работать, потребовала поменять систему, хотя у неё тоже макбук).

PS У макбука 1 заметный недостаток — распаяная память, а вируалки много жрут как раз памяти.
PS У макбука 1 заметный недостаток — распаяная память, а вируалки много жрут как раз памяти.

решается покупкой модели с нужным объемом (а не нищебродскими 8ГиБ), потом через два года скидываете его — т.к. требования стали х2. На самом деле очень грустно, но многие ноутбуки других производителей тоже распаивают память. Т.е. нынешний baseline — память распаяна — ок, если ее можно апгрейдить — отлично (это преимущество). Другой вопрос воспользуетесь ли Вы этим преимуществом когда-либо )


А зачем мне куча виртуалок, если могу напрямую запустить, тратя на это заметно меньше ресурсов?

от задач зависит )


MacOS мне очень неудобна (ставил жене — тоже не захотела в ней работать, потребовала поменять систему, хотя у неё тоже макбук).

а мне пофиг ) есть вещи, которые удобнее делать в линуксе, есть, которые в маке.
Просто маленькая деталь. От чего я реально пищу — в маке очень легко вводить латинские символы с диакритикой

вот так. Ну, и такое в мелочах постоянно. С другой стороны — да, закрытая система и что-то в ней подтюнить достаточно сложно. Как пример — у жены сломалась синхронизация с iCloud. Вот была магия и закончилась. Как чинить — вообще не ясно. Внезапно помогло обновление ОС до крайней доступной на этом iMac версии. Уж не знаю — протокол ли поменяли или что-то еще. Но оно заработало.

> решается покупкой модели с нужным объемом (а не нищебродскими 8ГиБ)

Вот последний я покупал с 32 гигами, но у меня есть и модель 2014 года с 8 гигами — тогда её хватало, но думал, что позже наращу, и пролетел.

Но зачем выкидывать ноут, если его для бо́льшей части задач хватает?
Поставить-то можно, но T2 придётся отключить.
Вроде бы он не отключется, можно только указать меньше проверок делать:

Техническая поддержка Apple опубликовала пояснение, что загрузить альтернативные операционные системы всё-таки возможно, если полностью отключить функцию безопасной загрузки Secure Boot при загрузке через Startup Security Utility в режиме macOS Recovery. Однако при отключении безопасной загрузки чип T2 по-прежнему блокирует все операционные системы, кроме macOS и Windows 10, несмотря на то, что при установке параметра No Security в macOS Secure Boot указано, что он не предъявляет к вашему загрузочному диску никаких требований безопасности.

www.linux.org.ru/news/apple/14590148/page1

Плюс он же является и контроллером диска, и Touch Bar с функциональными клавишами и кнопкой включения ноута.
Я у себя для загрузки линукса использую загрузчик от MacOS, поэтому проблемы с UEFI у меня нет, но пока драйвера для T2 не будет в ядре, т.е. пока не одобрят его на включение в основную ветку, новый макбук брать не буду.

вот только вчера загрузил с флешки убунту 20.04 на макмини с т2, маковский диск виден и читается. в чём проблема?

Проблема вот в этом: habr.com/ru/post/429070

Драйвер есть, но он не входит в основную ветку ядра: habr.com/ru/post/472106

А пока его не включили напрямую в ядро, а не патчами на стороне дистрибутива, в любой момент этот драйвер может перестать быть рабочим.
Only those users with full accounts are able to leave comments. Log in, please.