Як знайти мій викрадений Macbook

Мій друг просто вкрав її Macbook. Її обліковий запис Dropbox все ще працює над Macbook, тому вона може бачити кожного разу, коли Macbook з’являється в Інтернеті, і вона може отримати його IP-адресу.

Вона передала цю інформацію в поліцію, яка каже, що для отримання реального місцезнаходження з IP-адреси може знадобитися до місяця. Мені було цікаво, чи ми можемо допомогти знайти ноутбук, оскільки тоді людину з ним тепер можуть заарештувати за поводження з викраденим товаром (інакше вони можуть його встановити до того, як поліція їх зачепить).

Ось факти про викрадений Macbook:

• Він працює під управлінням OS X, але я не впевнений, яка саме версія (я дізнаюся, хоча).
• Був лише один обліковий запис користувача, без пароля та з правами адміністратора.
• Дропбокс оригінального власника все ще синхронізується, що дає нам IP-адресу щоразу, коли він приходить в Інтернет.
• Початковий власник не технік, тому вона навряд чи ввімкнула будь-яку з функцій дистанційного керування, як SSH, VNC тощо (я надіслав її електронною поштою).
• Вона не використовує iCloud або сервіс .Mac.

Я розглядав можливість натиснути на привабливий файл у Dropbox, щоб користувач міг натиснути на нього. Я здогадуюсь, що в цьому заробляю лише один кадр, тому хотів отримати кілька ідей щодо найкращого.

Мої ідеї поки що:

• Встановіть якийсь реєстратор ключів, щоб відправити всю інформацію назад власнику. Чи можна це зробити, не повідомляючи про це користувача?
• Зробіть у файлі сценарій оболонки, щоб вивільнити якомога більше корисної інформації, наприклад, історію браузера, шукати резервні копії iPhone тощо. Хоча я не впевнений у найкращому способі повернення цієї інформації назад. Здається, я можу використовувати команду пошти (звичайно, до безкоштовного акаунта електронної пошти)?
• Можливо, увімкніть віддалене управління. Чи є спосіб це зробити, не приймаючи користувачем спливаючі вікна?

Хтось має тут поради? Я написав багато сценаріїв оболонок, але цікавився, чи можуть бути інші варіанти OS X кращими, наприклад, Applescript? Хтось має кращі ідеї, ніж натискання на нього файлу Dropbox?

Я знаю, що це питання в основному стосується написання форми зловмисного програмного забезпечення, але я хотів би мати можливість наслідувати мого героя з лекції « Що стається, коли ти вкрадеш хакерський комп’ютер DEF CON».

Ми обов'язково проконсультуємось з поліцією, перш ніж робити щось, щоб не порушити жодних законів.

Я пам’ятаю, як дивився це відео доктора Зоза. Хороший матеріал.

Це здається, що ви компетентні до сценаріїв оболонок і просто потрібен вектор атаки. Ключовим моментом, щоби зробити щось подібне до того, що зробив Зоз, є отримання доступу до SSH. На відміну від його ситуації, коли злодій використовував комутований модем, це майже певно, оскільки новіші Macs не роблять комутований комутатор, що злодій використовує широкосмуговий зв'язок і стоїть за якимось NAT-роутером.

Навіть якщо SSH було включено на апараті, для маршрутизації маршрутизаторів портів потрібно було б встановити, щоб ви мали доступ до порту прослуховування SSH машини ззовні. Перевага широкосмугового зв'язку полягає в тому, що IP-адреса майже напевно змінюватиметься рідше, ніж при комутованому дозвоні.

Якби я був на вашому становищі, тримаючи IP-адресу злодія, спершу спробую увійти до веб-інтерфейсу їх маршрутизатора і побачити, що я можу зробити звідти. Дивно, скільки людей залишають на місці свої паролі маршрутизатора / модему, а в Інтернеті є списки, де можна знайти паролі за замовчуванням для більшості великих виробників.

Потрапивши всередину, перевірте список клієнтів DHCP на маршрутизаторі і побачите, чи зможете ви знайти MacBook. Багато маршрутизаторів покажуть MAC (апаратну) адресу, призначену внутрішню IP-адресу (найчастіше 192.168.1.x) і найголовніше - назву машини.

З'ясуйте, який IP призначений MacBook, а потім встановіть порт вперед до нього в налаштуваннях маршрутизатора. Використовуйте якийсь зовнішній порт, крім 22 (наприклад, порт 2222) і переадресуйте його на порт 22 IP-адреси MacBook.

У багатьох маршрутизаторів увімкнено доступ SSH, тому доступ до IP-порту злодія 22 може перейти до оболонки маршрутизатора, а не до корпусу машини. Тепер у вас повинен бути порт зовнішнього IP-адреса злодія (який ви отримали від Dropbox), який доставить вас безпосередньо до порту SSH, повинен бути прив’язаний до MacBook. За винятком SSH ще не ввімкнено.

Ця частина вимагає певних дій від злодія. Мені подобається ідея електронної пошти, але вона вимагає, щоб ваш друг використовував Apple Mail. Кращим підходом може бути завантаження спокусливого .app-файла в Dropbox, який увімкне SSH (Remote Login).

Це можна зробити за допомогою сценарію оболонки, але робити це за допомогою Applescript, зберегти Applescript у форматі .app і дати йому гарну піктограму - все це піде на довгий шлях до оману вашої позначки та не віддавання себе.

Ось код Applescript для ввімкнення віддаленого входу:

do shell script "sudo systemsetup setremotelogin on" user name "Friend's Username" password "Friend's Password" with administrator privileges

Цей біт коду поверне рядок із серійним номером машини, який ви можете надіслати електронною поштою, якщо хочете це зробити:

do shell script "sudo system_profiler |grep \"r (system)\"" user name "Friend's Username" password "Friend's Password" with administrator privileges

Я б написав яблучний сценарій, щоб він увімкнув віддалений вхід, робить все, що вам потрібно. Намагайтеся не скриптувати графічний інтерфейс або будь-які додатки, крім оболонки, оскільки це викликає підозру. В кінці відобразиться повідомлення про ефект "Ця програма не може працювати на цьому Macintosh." за допомогою кнопки "Вийти", щоб зменшити підозру. Після того, як сценарій працює в редакторі AppleScript, збережіть його як лише запущений файл .app.

Спробуйте замаскувати .app як популярну гру, Plants vs. Zombies або Angry Birds або щось подібне. Ви можете експортувати піктограму з реального .app гри та помістити її в .app, який експортуєте з Applescript. Якщо ваш друг добре поглянув на злодія, ви зможете впорядкувати його в ній і замаскувати .app як щось інше, що їх може зацікавити.

За умови, що ви можете налаштувати порт вперед (ваш знак не застосовує належних правил безпеки), і ви можете змусити його / її запускати програму, ви матимете повний доступ SSH до машини та можете продовжувати шукати підказки без негайно віддаючи свою присутність. Це також вимагає, щоб марка не втомлювалась від сповіщень Growl від Dropbox і закривала її, тому я б порадив вашому другові припинити збереження файлів на її Dropbox на деякий час.

Примітка. Якщо злодій відключиться від свого провайдера і знову підключиться, він отримає новий зовнішній IP-адресу. Додайте файл до Dropbox і чекайте його синхронізації. Це має отримати оновлений IP.

Примітка 2: Якщо користувач не підключається до маршрутизатора з MacBook протягом певного часу (зазвичай 24 години), термін оренди DHCP для внутрішньої IP-адреси, призначеної MacBook, закінчується. Швидше за все, він отримає ту ж IP-адресу наступного разу, коли підключиться, якщо інший пристрій не буде введено в мережу. У цьому випадку вам доведеться вручну увійти до маршрутизатора та змінити порт вперед.

Це не єдиний засіб нападу, але це те, що я робив би другий, коли зрозумів, що IP все ще оновлюється через Dropbox. Удачі!

EDIT: "Привілеї адміністратора" в кінці кожного рядка "do shell script" дуже важливі. Користувачеві буде запропоновано ввести пароль адміністратора вашого друга, і сценарій не вдасться, якщо ви не включите ім'я користувача та пароль.

Надішліть електронну пошту тітці, яка бажає їй з днем ​​народження та щоб тітка хотіла надіслати їй подарункову карту від Abercrombie & Fitch + до дня народження, але їй потрібна правильна адреса. Тоді до злодія слід впасти за цей низькобюджетний нігерійський шахрайський трюк.

+ Або якийсь інший відомий бренд

Чесно кажучи, зв’яжіться з Apple. Вони можуть мати інформацію про те, як відстежувати свій комп’ютер. Я впевнений, що ви не перша людина, у якої вкрали свій Mac.

Редагувати: Я переглянув сторінку підтримки Apple, і це насправді менш корисно, ніж я вважав, що це буде. Що ви можете спробувати, це використовувати iCloud для віддаленого блокування вашого Macbook.

Деніел Бек насправді перевірив це і прокоментував:

"Хоча це не" таємний backdoor Mac "і [хоча це не дуже допомагає насправді повернути комп'ютер назад, він працює досить непогано, щоб заблокувати людей з вашого Mac. Ваш коментар спонукав мене спробувати це, і це насправді дуже вражає. Екран стає білим, він вимикає комп'ютер і вимагає шестизначного коду, який ви вказали раніше через iCloud, щоб відновити нормальний процес завантаження. "

Це безпосередньо не допомагає цій ситуації, але в майбутньому та для всіх інших, у кого Macbooks завантажують здобич, можна дати вам перевагу у відстеженні злодія. Здобич надасть звіт, включаючи місцеположення та фотографію вашого злодія, і це, у поєднанні з допомогою поліції, може повернути вам ваш ноутбук. Майте на увазі, що багато відділів поліції не допоможуть, якщо ви не подасте в поліцію протокол про викрадені речі, коли втратите комп’ютер; тому робіть це якнайшвидше.

Враховуючи IP-адресу, ви, ймовірно, можете розробити, через який ISP він підключається чи більше.

Перейдіть за посиланням: http://remote.12dt.com/lookup.php

Введіть IP-адресу.

Наприклад, припустимо, що ip-адреса: 203.97.37.85 (це фактично адреса веб-сервера провайдера в NZ).

І може відображатись доменне ім’я компанії чи провайдера. Якщо здається, що це назва компанії, то ви дійсно швидко звужуєтесь. Але якщо це ім’я провайдера мережі (в даному випадку вище - TelstraClear NZ).

На додаток до вищезазначеного я б зробив whois пошук. Скористайтеся одним із онлайн-інструментів пошуку Whois.

http://networking.ringofsaturn.com/Tools/whois.php

І ви отримаєте багато інформації. Але ви бачите, що це адреса в мережі TelstraClear.

#
# Query terms are ambiguous.  The query is assumed to be:
#     "n 203.97.37.85"
#
# Use "?" to get help.
#

#
# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=203.97.37.85?showDetails=true&showARIN=false&ext=netref2
#

NetRange:       203.0.0.0 - 203.255.255.255
CIDR:           203.0.0.0/8
OriginAS:
NetName:        APNIC-203
NetHandle:      NET-203-0-0-0-1
Parent:
NetType:        Allocated to APNIC
Comment:        This IP address range is not registered in the ARIN database.
Comment:        For details, refer to the APNIC Whois Database via
Comment:        WHOIS.APNIC.NET or http://wq.apnic.net/apnic-bin/whois.pl
Comment:        ** IMPORTANT NOTE: APNIC is the Regional Internet Registry
Comment:        for the Asia Pacific region. APNIC does not operate networks
Comment:        using this IP address range and is not able to investigate
Comment:        spam or abuse reports relating to these addresses. For more
Comment:        help, refer to http://www.apnic.net/apnic-info/whois_search2/abuse-and-spamming
RegDate:        1994-04-05
Updated:        2010-08-02
Ref:            http://whois.arin.net/rest/net/NET-203-0-0-0-1

OrgName:        Asia Pacific Network Information Centre
OrgId:          APNIC
Address:        PO Box 2131
City:           Milton
StateProv:      QLD
PostalCode:     4064
Country:        AU
RegDate:
Updated:        2011-09-24
Ref:            http://whois.arin.net/rest/org/APNIC

ReferralServer: whois://whois.apnic.net

OrgAbuseHandle: AWC12-ARIN
OrgAbuseName:   APNIC Whois Contact
OrgAbusePhone:  +61 7 3858 3188
OrgAbuseEmail:  search-apnic-not-arin@apnic.net
OrgAbuseRef:    http://whois.arin.net/rest/poc/AWC12-ARIN

OrgTechHandle: AWC12-ARIN
OrgTechName:   APNIC Whois Contact
OrgTechPhone:  +61 7 3858 3188
OrgTechEmail:  search-apnic-not-arin@apnic.net
OrgTechRef:    http://whois.arin.net/rest/poc/AWC12-ARIN

#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#

% [whois.apnic.net node-1]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

inetnum:      203.97.0.0 - 203.97.127.255
netname:      TELSTRACLEAR-NZ
descr:        TelstraClear Ltd
country:      NZ
admin-c:      TAC3-AP
tech-c:       TTC7-AP
notify:       apnic.changes@team.telstraclear.co.nz
mnt-by:       APNIC-HM
mnt-lower:    MAINT-NZ-TELSTRACLEAR
status:       ALLOCATED PORTABLE
changed:      hm-changed@apnic.net 19960101
changed:      netobjs@clear.net.nz 20010624
changed:      hm-changed@apnic.net 20041214
changed:      hm-changed@apnic.net 20050216
source:       APNIC

role:         TelstraClear Administrative Contact
address:      TelstraClear Limited
address:      Network Planning
address:      Private Bag 92143
address:      Auckland
country:      NZ
e-mail:       apnic.changes@team.telstraclear.co.nz
phone:        +64 9 912 5205
trouble:      For network abuse contact:
trouble:      list.admin@team.telstraclear.co.nz
trouble:      +64 9 912 5161
trouble:      For 24/7 after-hours NOC contact:
trouble:      +64 9 912 4482
notify:       apnic.changes@team.telstraclear.co.nz
tech-c:       TTC7-AP
admin-c:      TAC3-AP
nic-hdl:      TAC3-AP
mnt-by:       MAINT-NZ-TELSTRACLEAR
changed:      hm-changed@apnic.net 20041125
source:       APNIC

role:         TelstraClear Technical Contact
address:      TelstraClear Limited
address:      Customer Help
address:      Private Bag 92143
address:      Auckland
country:      NZ
e-mail:       list.admin@team.telstraclear.co.nz
phone:        +64 9 912 5161
trouble:      For network abuse contact:
trouble:      list.admin@team.telstraclear.co.nz
trouble:      +64 9 912 5161
trouble:      For 24/7 after-hours NOC contact:
trouble:      +64 9 912 4482
notify:       apnic.changes@team.telstraclear.co.nz
tech-c:       TTC7-AP
admin-c:      TAC3-AP
nic-hdl:      TTC7-AP
mnt-by:       MAINT-NZ-TELSTRACLEAR
changed:      hm-changed@apnic.net 20041125
source:       APNIC

Тоді б справа міліції була. Я сумніваюся, що провайдер повідомить вам, хто входить у цей момент.

Якщо ви все-таки отримаєте ноутбук, або якщо ви все-таки отримаєте новий, то встановіть на нього попередній проект. Згодом це стане набагато простішим. Можна навіть сфотографувати злочинця :)

Ви можете зробити багато речей, і настійно рекомендую не робити жодної з них. Нехай поліція виконує свою справу і зробить арешт.

Це не розумна відповідь, але її правильна, імхо.

- Не в останню чергу, якщо ви віддалено поблукаєте з цим, і вони думають, що ви на них, вони, швидше за все, розіб’ють ноутбук на біти.