Как стать автором
Обновить

Комментарии 62

А в чем польза пароля на BIOS, если он снимается просто вынув батарею, на раз два, удалил через UEFI модуль — I'm in
На большинстве ноутбуков, как известно, пароль от BIOS хранится в энергонезависимой флеш-памяти, как раз для защиты от такого примитивного сброса.
У моего служебного ноутбука был такая же энергонезависимой флеш-памяти, которая потеряла свою память когда при помощью отвертку одновременно потрогал Jumper-ы (не знаю как они по русски называются), которые находились под ОП.

Как правило на ноутбуках пароль сбросом кмос не удаляется, надо либо аппаратно шить, либо мастер пароль.

Перемычки

No way

На ноутбуках надо выпаять ПЗУ и прошить специально подготовленным файлом прошивки.

Нужна специально форматированая дискета от производителя.
Трёх с половиной дюймов.
У меня такая есть :)
А можно как-то посмотреть на это? Сделаете dump?
(Пододревательно прищурившись ;) ) а зачем тебе ключевая дискетка от моей Toshiba T4400C?

Посмотрю, но если не ошибаюсь, обычная дискета с K E Y в первом секторе.
или это от Unisbook дискета…

она к 6400С случайно не подойдёт? ;)

http://white55.ru/soft/keydisk.exe скачай и в ДОС натрави на дискетку.

Делает то же, что я писал выше, но само, не нужно руками писать в сектор.Ниже ещё способ, но мне помог первый, и этот я не проверил.

офигеть, спасибо

В данном случае, а также в списке ноутбуков, приведенном здесь, отчетливо видно — для сброса пароля в BIOS нужно залить перешитый дамп, полное отключение питания — не поможет.
Польза может быть в том, что если системный раздел зашифрован таким образом, что часть ключа хранится в TPM и есть привязка к определённым регистрам, то любое изменение прошивки (или даже некоторых настроек, например, если вы попробуете отключить SecureBoot, чтобы на моей машине загрузить хоть что-то, не подписанное моим приватным ключом) превратит накопитель в кирпич с нулевой вероятностью извлечь какие-то данные.
Продавцу то в итоге сделали атата?
Нет, я не стал ему морочить голову и жаловаться, так как все разрешилось.
Не считаю что он виноват, потому что чтобы дойти до блокировки надо завершить предустановку ОС, быть подключенным к интернету и подождать. Будь я на его месте — пролетел бы точно так же, особенно учитывая объем торговли, там были сотни позиций с техникой.

круто, но что-то стремно. в том плане что из-за сбоя можно заблокировать или стереть данные на устройстве.

Нет, технология весьма надежная и испортить себе из-за «сбоя» или «кривых рук» — довольно сложно. Также, если подключения извне(как в моем случае) запрещены, то бояться тоже особо нечего. В худшем случае кто-то поломает meshcentral.com или ваш сервер и получит доступ к админке, с которой будет уже проводить манипуляции. На мой личный взгляд шанс этого стремится к нулю.

Это не реально, примерно если как в результате сбоя случайно на пустом месте самостоятельно напишется программа выполняющая какие то осмысленные действия.
Но потерю данных из-за сбоя на винчестере вполне можно словить, и Интел для этого не нужен.

Если нужен antitheft, то пароль на дальнейшую загрузку компа в биос + битлокер надежнее чем computrace (ибо второй не работает с битлокер, судя по вашим словам). Разница только в том, что блокировку нельзя снять удаленно, но это в большинстве случаев и ненужно.
Про идею с амт было интересно почитать, но выполняет она, все же, другие цели.

Согласен, если надо просто ограничить доступ, то хватит блокировки загрузки в BIOS + BitLocker/TrueCrypt. Но я хотел еще как-то локализовать получившего доступ и не вводить пароль при каждой загрузке, да и вообще прикольно иметь хардверный троян.
Но я хотел еще как-то локализовать получившего доступ и не вводить пароль при каждой загрузке, да и вообще прикольно иметь хардверный троян.


Только вот ноутбук у вас никогда не украдут. Маловероятно, что украдут.
Чтобы сработал ваш хардверный троян — ради лузлов нужно оставлять ноутбук в общественных местах без присмотра на время…
а я вот тупо забыл ноут в метро…
Чтобы сработал ваш хардверный троян — ради лузлов нужно оставлять ноутбук в общественных местах без присмотра на время…

Или продать...

Вынесли хату. Забрали ноут, ps4 и фотик. Как-то так.
мамка на Али стоит от 20 до 200 баксов.
Если ноут того стоит — можно и так решить.
И что тогда толку от трояна?
Самая обидная фишка в том, что чтобы локализовать получившего доступ, надо позволить залезть ему в ОС и подключиться к интернету, ибо очень маловероятно, что кто-то будет держать его воткнутым в RJ45 с интернетом если попользоваться нельзя. Либо ждать пока новую Windows накатят и пароль ОС сбросят.
Даже не знаю что лучше: вкладывать в бук бумажку с контактными данными, чтобы связались, если найдут или оставлять все данные напоказ в надежде, что удастся подключиться удаленно.
Запороленный ноут мало кому интересен (если только не на детали). По этой причине должны переустановить ОС почти сразу.
Кстати, в Intel AMT есть еще и Serial Over LAN (SOL), эта опция доступна в представленной мной конфигурации, что с этим делать я тоже не разобрался, но возможности потенциально интересные. Вот тут кое-что о ней: habr.com/ru/post/330572
Вы можете удаленно передать комбинацию клавиш вида win-R +адрес вашего сайта+ентер. Это как минимум.
Наверно, можно и скачать-запустить чтото для блокировки.
Это так паскудно, что я не стал даже писать такое, но, к сожалению, это самый логичный вариант сейчас.
Насколько я знаю некоторыми параметрам UEFI можно управлять не заходя непосредственно в ГУИ настроек, из консоли например перед загрузкой винды.
Теоретически можно сделать ну например трояна который бы активировал технологию с заданными параметрами и давал удалённый доступ к машине при этом не отлавливался бы антивирусами и не пропадал после переустановки винды.
НЛО прилетело и опубликовало эту надпись здесь
Можно даже и так сказать.
Судя по тому что контора вполне спокойно предоставила код разблокировки — ноут не ворованный, а просто при очередном цикле апгрейда либо забыли, либо не особо заморачивались с отключением computrace.
НЛО прилетело и опубликовало эту надпись здесь
Это звучит заманчиво

Заманчиво, как огромный развесистый бэкдор ко всему что есть на машине, и даже когда она выключена. Просто напрашивается спросить, этот вход ещё никто не научился эксплуатировать?

Ситуация несколько "заманчивее". В этом бэкдоре нашлись дыры.
По этой теме на Хабре было несколько статей от PositiveTechnologies.

Хорошо когда используют чипсеты серии Q. Жаль что их intel прикрыли.
в чипсетах серии В (Business) тоже есть АМТ
Заманчиво, как огромный развесистый бэкдор ко всему что есть на машине, и даже когда она выключена.
У Apple, допустим, тоже «бэкдор», однако мир открытого ПО так и не предложил ничего адекватного для решения проблемы «как сделать так, чтобы вор не смог пользоваться украденным Android-смартфоном».

Все руководства «как сделать свой смартфон свободным» начинаются с разблокировки загрузчика и прошивки свободной ОС, что сразу же делает задачу практически невыполнимой (единственным барьером остаётся FRP, которая, во-первых, требует гуглосервисы и гуглоаккаунт, а, во-вторых, обходится чуть ли не на каждом первом аппарате).

Ну почему — не придумали?
То, что вы прошили кастом, это еще не значит что нельзя прописать свои ключи в загрузчик и потом его заблокировать обратно.
берем https://github.com/chenxiaolong/avbroot
Либо берем гайд для GrapheneOS https://forum.xda-developers.com/t/guide-to-lock-bootloader-while-using-rooted-grapheneos-magisk-root.4510295/


Да, телефон должен поддерживать user-settable root of trust — https://source.android.com/docs/security/features/verifiedboot/device-state?hl=en

телефон должен поддерживать user-settable root of trust

И вот тут всё становится грустно. Причём, даже некоторые производители, поддерживавшие эту возможность, постепенно от неё отказываются.

у меня она наотрез отказывалась подключаться, так что у меня подключение заработало только удаленно.
Очевидно, чтобы подключиться — надо, чтобы Intel AMT перехватывала пакеты, не допуская их до CPU, на котором крутится операционка. Причём перехват хакерский — ибо операционка не в курсе того, что на компьютере работает кто-то ещё.
Дальше, видимо, происходит следующее: пакеты с компьютера проходят по «исходящему тракту». А Intel AMT, видимо, прослушивает только входящие пакеты.

Ну или есть версия — что надо как-то согласовать настройки IP-адресов в Intel AMT и в операционке. Ещё надо учитывать, что в этой схеме в операционке работает протокол ARP. Короче, тут всё довольно сложно.

PS: А вообще, разработчики готовы делать что угодно, лишь бы не зашивать операционку в ПЗУ. Хотя это сразу решило бы множество проблем.

PPS: Хотя в результате пути эволюции, который ми имеем iRL — программисты окончательно разучились писать программы надёжно. И совершенно непонятно, как это исправить. Т.е. сначала появилась возможность оперативно накатывать исправления — а потом программисты перешли к модели поведения «лепим как получится, а при необходимости исправим». Очевидно, что написанную таким образом операционку зашивать в ПЗУ нельзя — она где-то через неделбю потребует обновлений, а через месяц — требование обновиться станет критическим.

Наверно, тут нужно исправлять многое. например, отказаться от программирования на Си и перейти к безопасным языкам программирования. Впрочем, это решит только часть проблем.
Вторую часть можно будет решить статическим анализом исходного кода. Но это тоже далеко не всё. А что дальше — вообще неясно.
Даже если программисты научатся писать код без ошибок, всё равно будет экономически невыгодно держать ОС в необновляемом ПЗУ — конкуренты выпустят машину чуть позже, но с более расширенной по возможностям версией ОС в ПЗУ, и тогда вся партия машин станет неконкуретноспособной.
Кроме того, судя по Винде, размер этой области ПЗУ нужно удваивать каждых полгода.
Раз уж стюардессу снова откопали, то внесу несколько пояснений.

Я не знаю почему в панели управления Intel нет такого набора функций, но факт есть факт: Ylian Saint-Hilaire берет от жизни ощутимо больше.

Это дефолтный клиент из прошлого, а «нормальный» для Интел как раз и разрабатывает Ylian Saint-Hilaire.

Само по себе однозначное наличие доступа к машине, если она подключена по кабелю, либо, если на ней установлен Windows, то и по WiFi.

Если опустить детали, то к моему, когда-то в далёком прошлом, большому сожалению, получим следующие уточнения в этом месте. А конкретно правильно будет «наличие доступа к машине, если она подключена по кабелю» (то есть у неё есть Ethernet — читай, это десктоп) и если это, всё же, ноутбук, то плюс, что «он подключён к питанию».

Не выяснено, работает ли она на SSD отличных от Intel.

Только Intel и только серии Pro (типа Pro 2500 или Pro 1500).

Остается нерешенной проблема отложенного выполнения, иными словами: нужно караулить когда машина войдет в сеть чтобы выполнить к ней подключение. Полагаю, что этому тоже есть какое-то решение.

Есть. Можно специальным образом настроить периодическое соединение и тогда при появлении интернета вы сразу же про это узнаете.

Говорю так уверенно, потому что был причастен к Intel AMT проекту в начале десятых, где из описанного (и не описанного) Вами многое было сделано, причём в облачном (AWS) исполнении. Условно говоря, Meshcentral сервер для управления автоматически поднимался на ближайшей к вашей локации виртуалке для лучшего пинга управления (Вы же уже отметили неприятность и важность лага при работе в CIRA-режимие?) Но если отбросить ностальгические сопли, Интел выбрал то, что вы описали в своей статье, а не то, что у нас было 8 лет назад.

Почему? Во-первых, потому что попытка монетизации Intel AMT провалилась (внутри этой сухой фразы в реальности целый детектив, но это другая история и важно, что внутри компании Intel это расценили именно так). Она была сделана с выходом AMT 4, где и появился CIRA режим с работой через Intel MPS (интеловский вариант Meshcentral) и окончательно похоронена начиная с AMT 7. После была предпринята ещё попытка какого-то коммерческого использования в виде Intel SMB (AMT 8), но факт — направление было признано бесперспективным (нельзя монетизировать), а потому закрыть. Точней — лишь поддержка (то, что делает Ylian).

Во-вторых, тогда ещё не знали, что внутри Интел уже принято решение по закрытию их Atom архитектуры и полному отказу от борьбы на рынке мобильников (помните Asus Zenphone?), что сильно сужало процент систем, потенциально поддерживающих Intel vPro (а планы поддержки Intel vPro а значит, возможно, после и Intel AMT — в Intel Atom были), в то время как поддержка Intel vPro это 1-2% от общего количества Intel чипсетов на 10 лет назад.

Ну, а через несколько лет в брошенной технологии поковырялись монстры из PositiveTechnologies со всем известным результатом. То, что десять лет назад могло быть суперовской вещью (ведь описанное в статье работало уже десять лет назад в точности также) — было закрыто. Как много других проектов Intel — не только в Google есть своё кладбище оных, даже как-то вёл список, но забросил, слишком уж их много оказалось.
Спасибо за развернутые пояснения. Операции проводились на SSD SSDPEKKW256G801. Это серия «Pro»?
Нет, это 760p. У неё есть Pro версия — Pro 7600p. Полный список тут. В самом конце их характеристик будет:

Intel® Remote Secure Erase Yes
Это дефолтный клиент из прошлого, а «нормальный» для Интел как раз и разрабатывает Ylian Saint-Hilaire.

Скажите пожалуйста, раз уж нормальный достаточно давно разработан, то почему Intel продолжает использовать в качестве дефолтного именно клиент из прошлого, а не нормальный? Возможно во имя стандартной корпоративной ненависти к пользователям?
Возможно во имя стандартной корпоративной ненависти к пользователям?

Вы в слове «забота» сделали девять ошибок.
Спасибо, очень интересно! Прояснили несколько моментов.

Хотелось бы новых статей от вас.

PS У меня был смартфон Lenovo K900 много лет, с Intel Atom. Вернее, до сих пор лежит в ящике. Хороший аппарат.

Я правильно понимаю, что ноут подключенный к сети через док станцию не равно ноут подключенный через встроенную сетевую? И эта технология не сработает?

Только встроенная Intel сетевая карта с поддержкой Intel vPro / Intel AMT.
Интересно, а на макбуке такая же фигота есть?

С недавних пор (iMac Pro, Mac Pro 2019, Mac mini 2018, MacBook Air 2018+, MacBook Pro 2018+) в ПК Apple стоит чип "T2 Security" (J137AP, iBridge2,1 и другие) для схожих целей — https://support.apple.com/ru-ru/HT208862
(Пишут что на нем крутится целая ОС bridgeOS, которая является сильно модифицированной watchOS; образ 0.5ГБ)
Через него проходят обращения к встроенному SSD и TouchID, он же является корнем для доверенной загрузки — https://www.apple.com/euro/mac/shared/docs/Apple_T2_Security_Chip_Overview.pdf
Внутри T2 есть два ключа шифрования — одинаковый для серии чипов GID и уникальный для каждого экземпляра UID; заявлена невозможность их считывания из чипа. Чип позволяет произвести не более 90 попыток ввода пароля (стр 5-7); перепаивание чипа не позволит считать данные с диска из-за иного UID.
Есть несколько режимов безопасности — Secure boot policy, в полном допускается загрузка лишь ОС, подписанных Apple. Подписывание запрашивается онлайн при установке (обновлении) ОС непосредственно для данного экземпляра устройства по ECID идентификатору T2:


Full Security is the default configuration on a Mac with the T2 chip. When an operating system is being installed, the system communicates to an Apple Signing Server and requests a personalized signature that includes the ECID— a unique ID specific to the chip—as part of the signing request. The signature is unique and usable only by the operating system with that T2 chip installed. Therefore, when Full Security is configured, the T2 chip ensures the operating system is uniquely signed for each computer.
A copy of macOS on an external drive won’t necessarily already be personalized for a Mac the first time it is booted. In this case, the first time a user attempts to boot from the external drive, Mac boots into Recovery, and Boot Recovery Assistant makes the signing request to Apple so it can obtain the necessary personalized signature. This is automatic, and looks like a longer boot process with a progress bar. Subsequent boots proceed normally.

В случае кражи владелец может заблокировать устройство (если чип правильно настроен): https://support.apple.com/en-us/HT208987 ("Your Mac must have the Apple T2 Security Chip.")


Более подробное описание T2, его прошивок, встроенного ethernet канала: https://i.blackhat.com/USA-19/Thursday/us-19-Davidov-Inside-The-Apple-T2.pdf
"The T2 is a significant step forward towards bringing the same security properties of iOS to macOS."


https://dataexpert.nl/media/1854/blackbag-t2_acquisition_and_analysis-compressed.pdf


• By default all APFS volumes that contain user data on T2-protected systems are encrypted
• The hardware-assisted encryption works slightly differently than the software encryption we just discussed
• It is not possible to decrypt data without using the specific T2 chip from a given T2-protected system
А всё-таки в этой детективной истории интересно, как активировалась защита?
Не похоже что это сделали изначальные владельцы, т.к. в этом случае какой им был смысл отдавать код разблокировки?
По факту переустановки винды?
Ноутбук не находился в использовании, вообще. Синкпады очень маркие и вообще сразу видно пользовались или нет, у моего признаков не было. Я полагаю, что защита активировалась автоматически, но что ее триггернуло — вопрос. Может, время? Если ноут долго не был в сети, то включается триггер или что-то такое.
Absolute Software предлагает различные методы защиты от угона. В частности, её клиент должен периодически регистрироваться на её сервере, иначе ноутбук считается угнанным — типа работая локально (это сейчас кажется нелепым, но технология старая и тогда такое — чисто локальная работа — было актуально), в результате через некоторое время он блокируется.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации

Истории