Як знайти мій викрадений Macbook


28

Мій друг просто вкрав її Macbook. Її обліковий запис Dropbox все ще працює над Macbook, тому вона може бачити кожного разу, коли Macbook з’являється в Інтернеті, і вона може отримати його IP-адресу.

Вона передала цю інформацію в поліцію, яка каже, що для отримання реального місцезнаходження з IP-адреси може знадобитися до місяця. Мені було цікаво, чи ми можемо допомогти знайти ноутбук, оскільки тоді людину з ним тепер можуть заарештувати за поводження з викраденим товаром (інакше вони можуть його встановити до того, як поліція їх зачепить).

Ось факти про викрадений Macbook:

  • Він працює під управлінням OS X, але я не впевнений, яка саме версія (я дізнаюся, хоча).
  • Був лише один обліковий запис користувача, без пароля та з правами адміністратора.
  • Дропбокс оригінального власника все ще синхронізується, що дає нам IP-адресу щоразу, коли він приходить в Інтернет.
  • Початковий власник не технік, тому вона навряд чи ввімкнула будь-яку з функцій дистанційного керування, як SSH, VNC тощо (я надіслав її електронною поштою).
  • Вона не використовує iCloud або сервіс .Mac.

Я розглядав можливість натиснути на привабливий файл у Dropbox, щоб користувач міг натиснути на нього. Я здогадуюсь, що в цьому заробляю лише один кадр, тому хотів отримати кілька ідей щодо найкращого.

Мої ідеї поки що:

  • Встановіть якийсь реєстратор ключів, щоб відправити всю інформацію назад власнику. Чи можна це зробити, не повідомляючи про це користувача?
  • Зробіть у файлі сценарій оболонки, щоб вивільнити якомога більше корисної інформації, наприклад, історію браузера, шукати резервні копії iPhone тощо. Хоча я не впевнений у найкращому способі повернення цієї інформації назад. Здається, я можу використовувати команду пошти (звичайно, до безкоштовного акаунта електронної пошти)?
  • Можливо, увімкніть віддалене управління. Чи є спосіб це зробити, не приймаючи користувачем спливаючі вікна?

Хтось має тут поради? Я написав багато сценаріїв оболонок, але цікавився, чи можуть бути інші варіанти OS X кращими, наприклад, Applescript? Хтось має кращі ідеї, ніж натискання на нього файлу Dropbox?

Я знаю, що це питання в основному стосується написання форми зловмисного програмного забезпечення, але я хотів би мати можливість наслідувати мого героя з лекції « Що стається, коли ти вкрадеш хакерський комп’ютер DEF CON».

Ми обов'язково проконсультуємось з поліцією, перш ніж робити щось, щоб не порушити жодних законів.


1
Не те, що це допомагає відновити ноутбук, але є додаток, який може допомогти: hiddenapp.com ; preyproject.com ; orbicule.com/undercover/index.html
КМ.

Чи встановлений SSH на її комп’ютері? Якщо так, Dropbox може надати вам IP-адресу комп'ютера, щоб ви могли перенести файли, віддалене стерти, встановити сервіс keylogger тощо
MBraedley

Я дуже сумніваюся, що в неї працює SSH. Я запитав її конкретно про це, коли я надіслав її електронною поштою, і я оновив вищезазначене питання, щоб сказати це зараз.
Dan J

2
Якщо вона використовує iCloud, чи Find My Mac можливо активований? Або повернутися до мого Mac ? Перейдіть на iCloud.com, увійдіть у неї та натисніть Знайти мій iPhone , а потім виберіть у списку Mac.
Даніель Бек

1
Не зовсім правда: якби Mac захищений паролем, ми б ніколи не змогли отримати IP-адресу від Dropbox. Отже, це запитання корисно підказує людям дати нападникові можливість користуватися машиною та скористатися службою на зразок Dropbox, щоб отримати IP, коли він з’явиться в Інтернеті!
Dan J

Відповіді:


11

Я пам’ятаю, як дивився це відео доктора Зоза. Хороший матеріал.

Це здається, що ви компетентні до сценаріїв оболонок і просто потрібен вектор атаки. Ключовим моментом, щоби зробити щось подібне до того, що зробив Зоз, є отримання доступу до SSH. На відміну від його ситуації, коли злодій використовував комутований модем, це майже певно, оскільки новіші Macs не роблять комутований комутатор, що злодій використовує широкосмуговий зв'язок і стоїть за якимось NAT-роутером.

Навіть якщо SSH було включено на апараті, для маршрутизації маршрутизаторів портів потрібно було б встановити, щоб ви мали доступ до порту прослуховування SSH машини ззовні. Перевага широкосмугового зв'язку полягає в тому, що IP-адреса майже напевно змінюватиметься рідше, ніж при комутованому дозвоні.

Якби я був на вашому становищі, тримаючи IP-адресу злодія, спершу спробую увійти до веб-інтерфейсу їх маршрутизатора і побачити, що я можу зробити звідти. Дивно, скільки людей залишають на місці свої паролі маршрутизатора / модему, а в Інтернеті є списки, де можна знайти паролі за замовчуванням для більшості великих виробників.

Потрапивши всередину, перевірте список клієнтів DHCP на маршрутизаторі і побачите, чи зможете ви знайти MacBook. Багато маршрутизаторів покажуть MAC (апаратну) адресу, призначену внутрішню IP-адресу (найчастіше 192.168.1.x) і найголовніше - назву машини.

З'ясуйте, який IP призначений MacBook, а потім встановіть порт вперед до нього в налаштуваннях маршрутизатора. Використовуйте якийсь зовнішній порт, крім 22 (наприклад, порт 2222) і переадресуйте його на порт 22 IP-адреси MacBook.

У багатьох маршрутизаторів увімкнено доступ SSH, тому доступ до IP-порту злодія 22 може перейти до оболонки маршрутизатора, а не до корпусу машини. Тепер у вас повинен бути порт зовнішнього IP-адреса злодія (який ви отримали від Dropbox), який доставить вас безпосередньо до порту SSH, повинен бути прив’язаний до MacBook. За винятком SSH ще не ввімкнено.

Ця частина вимагає певних дій від злодія. Мені подобається ідея електронної пошти, але вона вимагає, щоб ваш друг використовував Apple Mail. Кращим підходом може бути завантаження спокусливого .app-файла в Dropbox, який увімкне SSH (Remote Login).

Це можна зробити за допомогою сценарію оболонки, але робити це за допомогою Applescript, зберегти Applescript у форматі .app і дати йому гарну піктограму - все це піде на довгий шлях до оману вашої позначки та не віддавання себе.

Ось код Applescript для ввімкнення віддаленого входу:

do shell script "sudo systemsetup setremotelogin on" user name "Friend's Username" password "Friend's Password" with administrator privileges

Цей біт коду поверне рядок із серійним номером машини, який ви можете надіслати електронною поштою, якщо хочете це зробити:

do shell script "sudo system_profiler |grep \"r (system)\"" user name "Friend's Username" password "Friend's Password" with administrator privileges

Я б написав яблучний сценарій, щоб він увімкнув віддалений вхід, робить все, що вам потрібно. Намагайтеся не скриптувати графічний інтерфейс або будь-які додатки, крім оболонки, оскільки це викликає підозру. В кінці відобразиться повідомлення про ефект "Ця програма не може працювати на цьому Macintosh." за допомогою кнопки "Вийти", щоб зменшити підозру. Після того, як сценарій працює в редакторі AppleScript, збережіть його як лише запущений файл .app.

Спробуйте замаскувати .app як популярну гру, Plants vs. Zombies або Angry Birds або щось подібне. Ви можете експортувати піктограму з реального .app гри та помістити її в .app, який експортуєте з Applescript. Якщо ваш друг добре поглянув на злодія, ви зможете впорядкувати його в ній і замаскувати .app як щось інше, що їх може зацікавити.

За умови, що ви можете налаштувати порт вперед (ваш знак не застосовує належних правил безпеки), і ви можете змусити його / її запускати програму, ви матимете повний доступ SSH до машини та можете продовжувати шукати підказки без негайно віддаючи свою присутність. Це також вимагає, щоб марка не втомлювалась від сповіщень Growl від Dropbox і закривала її, тому я б порадив вашому другові припинити збереження файлів на її Dropbox на деякий час.

Примітка. Якщо злодій відключиться від свого провайдера і знову підключиться, він отримає новий зовнішній IP-адресу. Додайте файл до Dropbox і чекайте його синхронізації. Це має отримати оновлений IP.

Примітка 2: Якщо користувач не підключається до маршрутизатора з MacBook протягом певного часу (зазвичай 24 години), термін оренди DHCP для внутрішньої IP-адреси, призначеної MacBook, закінчується. Швидше за все, він отримає ту ж IP-адресу наступного разу, коли підключиться, якщо інший пристрій не буде введено в мережу. У цьому випадку вам доведеться вручну увійти до маршрутизатора та змінити порт вперед.

Це не єдиний засіб нападу, але це те, що я робив би другий, коли зрозумів, що IP все ще оновлюється через Dropbox. Удачі!

EDIT: "Привілеї адміністратора" в кінці кожного рядка "do shell script" дуже важливі. Користувачеві буде запропоновано ввести пароль адміністратора вашого друга, і сценарій не вдасться, якщо ви не включите ім'я користувача та пароль.


Вони працюють з порожнім паролем? Я думаю, що я пам'ятаю, що деякі речі не працюють належним чином, якщо у вас немає пароля.
Даніель Бек

Дякуємо, що вказали на це. Я навіть не усвідомлював, що OS X дозволяє створювати обліковий запис без пароля: S. Я припускав, що він мав на увазі, що функцію автоматичного входу ввімкнено. Ви можете змусити сценарій встановити пароль для її облікового запису, перш ніж запустити необхідні команди, використовуючи do shell script "dscl . -passwd /Users/Username '' newpassword". '' Являє собою поточний пароль (порожній рядок). Майте на увазі, що якщо автоматичний вхід не увімкнено, це заблокує злодія з машини.
Вікаш

Дякую за відмінну відповідь! Я забув, що мені, мабуть, доведеться зламати їх конфігурацію маршрутизатора, щоб отримати віддалений доступ SSH до Macbook. Юридично я вважаю, що було б добре налаштувати Macbook з дозволу власника, але зламати роутер, безумовно, було б незаконно (як мінімум у Великобританії). Якщо поліція спіймає злодія, то вони можуть закінчити захоплення маршрутизатора в рамках їх розслідування ...
Dan J

Це дійсно погана порада. Не в останню чергу, що робити, якщо злодій скидає пароль вашого електронної пошти (скажімо, використовуючи ваші секретні запитання), а потім відкриє вірусну електронну пошту на іншій машині, наприклад, у кібер-кафе? Що робити, якщо ви ввіртесь у їх маршрутизатор, то виявите, що вони сидять біля зірок, тепер ви вторглися в сторону і повністю відповідальні за випадання з цього приводу. Пропозиції Імхо про пильність ніколи не є корисною порадою, саме тому в своїй відповіді на це питання я раджу дозволити міліції робити свою роботу.
Sirex

Ви можете позбутися кроку "злому в їх модем", маючи VPS або будь-який зовнішній комп'ютер із відомим IP. Зазвичай я використовую openvpn для підключення до машин, які стоять за NAT через ssh, підключаючи їх до VPN, а потім потрапляючи на них через туди. Існують і інші способи, як, наприклад, запустити скрипт, який періодично завантажує та виконує сценарії оболонки із зазначеного зовнішнього сервера та надсилає вам результати. По суті, тепер у вас є цільова машина, яка ініціює з'єднання. Це значно скорочує кількість речей, які повинні виправитись для цього, щоб усунути: де
ентропія

15

Надішліть електронну пошту тітці, яка бажає їй з днем ​​народження та щоб тітка хотіла надіслати їй подарункову карту від Abercrombie & Fitch + до дня народження, але їй потрібна правильна адреса. Тоді до злодія слід впасти за цей низькобюджетний нігерійський шахрайський трюк.

+ Або якийсь інший відомий бренд


Я не думаю, що злодій має доступ до своєї електронної пошти, але це хороший момент - я повинен перевірити ...
Dan J

Вона не використовувала поштову програму в OSX?
ZippyV

1
Якщо ви хочете скористатися поштовим фокусом, переконайтеся, що надішліть більше 1 електронної пошти від кількох людей, щоб зробити його менш підозрілим.
ZippyV

FYI, вона не використовує програму Mail в ОС X, а лише веб-пошту. Якщо б це був я, я вважаю за краще негайно змінити свій поштовий пароль, щоб спробувати відключити злодію доступ до моєї пошти ...
Dan J

6

Чесно кажучи, зв’яжіться з Apple. Вони можуть мати інформацію про те, як відстежувати свій комп’ютер. Я впевнений, що ви не перша людина, у якої вкрали свій Mac.

Редагувати: Я переглянув сторінку підтримки Apple, і це насправді менш корисно, ніж я вважав, що це буде. Що ви можете спробувати, це використовувати iCloud для віддаленого блокування вашого Macbook.

Деніел Бек насправді перевірив це і прокоментував:

"Хоча це не" таємний backdoor Mac "і [хоча це не дуже допомагає насправді повернути комп'ютер назад, він працює досить непогано, щоб заблокувати людей з вашого Mac. Ваш коментар спонукав мене спробувати це, і це насправді дуже вражає. Екран стає білим, він вимикає комп'ютер і вимагає шестизначного коду, який ви вказали раніше через iCloud, щоб відновити нормальний процес завантаження. "


4
Я думаю, що це не допоможе - вони, ймовірно, запропонують вам купити новий.
Саймон Шихан

3
Так - вони просто активують свою таємну задню бік Mac і матимуть повний доступ до системи.
Даніель Бек

@DanielBeck це правда чи ти тролінг? Якщо це правда, для такої суттєвої претензії було б добре посилання. Якщо ви робите тролінг, видаліть коментар, оскільки це не корисно для надання дезінформації.
nhinkle

2
@nhinkle Сарказм не тролінг. Це не тролінг, оскільки це ні поза темою, ні покликане викликати емоційні реакції. Використовуючи іронічне перебільшення твердження у цій відповіді, я зазначаю, що Apple не може допомогти тут. Вони можуть мати IP-адреси, але вони вже відомі. Я не буду видаляти свій коментар, оскільки він має реальну мету теми: не погоджуючись з цією відповіддю. Ми завжди можемо обговорити це на Meta, хоч якщо хочеш.
Даніель Бек

2
@ChrisM Хоча це не "таємний бекдор" для Mac, і не всі дуже корисні для фактичного повернення комп'ютера, він працює досить непогано, щоб заблокувати людей з вашого Mac. Ваш коментар спонукав мене спробувати це, і насправді це дуже вражає. Екран стає білим, він вимикає комп'ютер і вимагає шестизначного коду, який ви вказали раніше через iCloud, щоб відновити звичайний процес завантаження. +1, якщо ви включите це у відповідь.
Даніель Бек

3

Це безпосередньо не допомагає цій ситуації, але в майбутньому та для всіх інших, у кого Macbooks завантажують здобич, можна дати вам перевагу у відстеженні злодія. Здобич надасть звіт, включаючи місцеположення та фотографію вашого злодія, і це, у поєднанні з допомогою поліції, може повернути вам ваш ноутбук. Майте на увазі, що багато відділів поліції не допоможуть, якщо ви не подасте в поліцію протокол про викрадені речі, коли втратите комп’ютер; тому робіть це якнайшвидше.


Конкуренти включають hiddenapp.com та orbicule.com/undercover/mac (я замовник останнього, і в обмеженому тестуванні, тобто в "демо-режимі", розміщенні та фотографії камери, не звертаючись до поліції, це спрацювало досить добре).
Даніель Бек

Чи знаєте ви, як нахабні відповіді про те, що бути з "це не допоможе в цій ситуації ..." - це коли у вас вкрадений ноутбук :)
Джонатан.

2

Враховуючи IP-адресу, ви, ймовірно, можете розробити, через який ISP він підключається чи більше.

Перейдіть за посиланням: http://remote.12dt.com/lookup.php

Введіть IP-адресу.

Наприклад, припустимо, що ip-адреса: 203.97.37.85 (це фактично адреса веб-сервера провайдера в NZ).

І може відображатись доменне ім’я компанії чи провайдера. Якщо здається, що це назва компанії, то ви дійсно швидко звужуєтесь. Але якщо це ім’я провайдера мережі (в даному випадку вище - TelstraClear NZ).

На додаток до вищезазначеного я б зробив whois пошук. Скористайтеся одним із онлайн-інструментів пошуку Whois.

http://networking.ringofsaturn.com/Tools/whois.php

І ви отримаєте багато інформації. Але ви бачите, що це адреса в мережі TelstraClear.

#
# Query terms are ambiguous.  The query is assumed to be:
#     "n 203.97.37.85"
#
# Use "?" to get help.
#

#
# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=203.97.37.85?showDetails=true&showARIN=false&ext=netref2
#

NetRange:       203.0.0.0 - 203.255.255.255
CIDR:           203.0.0.0/8
OriginAS:
NetName:        APNIC-203
NetHandle:      NET-203-0-0-0-1
Parent:
NetType:        Allocated to APNIC
Comment:        This IP address range is not registered in the ARIN database.
Comment:        For details, refer to the APNIC Whois Database via
Comment:        WHOIS.APNIC.NET or http://wq.apnic.net/apnic-bin/whois.pl
Comment:        ** IMPORTANT NOTE: APNIC is the Regional Internet Registry
Comment:        for the Asia Pacific region. APNIC does not operate networks
Comment:        using this IP address range and is not able to investigate
Comment:        spam or abuse reports relating to these addresses. For more
Comment:        help, refer to http://www.apnic.net/apnic-info/whois_search2/abuse-and-spamming
RegDate:        1994-04-05
Updated:        2010-08-02
Ref:            http://whois.arin.net/rest/net/NET-203-0-0-0-1

OrgName:        Asia Pacific Network Information Centre
OrgId:          APNIC
Address:        PO Box 2131
City:           Milton
StateProv:      QLD
PostalCode:     4064
Country:        AU
RegDate:
Updated:        2011-09-24
Ref:            http://whois.arin.net/rest/org/APNIC

ReferralServer: whois://whois.apnic.net

OrgAbuseHandle: AWC12-ARIN
OrgAbuseName:   APNIC Whois Contact
OrgAbusePhone:  +61 7 3858 3188
OrgAbuseEmail:  search-apnic-not-arin@apnic.net
OrgAbuseRef:    http://whois.arin.net/rest/poc/AWC12-ARIN

OrgTechHandle: AWC12-ARIN
OrgTechName:   APNIC Whois Contact
OrgTechPhone:  +61 7 3858 3188
OrgTechEmail:  search-apnic-not-arin@apnic.net
OrgTechRef:    http://whois.arin.net/rest/poc/AWC12-ARIN

#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#

% [whois.apnic.net node-1]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

inetnum:      203.97.0.0 - 203.97.127.255
netname:      TELSTRACLEAR-NZ
descr:        TelstraClear Ltd
country:      NZ
admin-c:      TAC3-AP
tech-c:       TTC7-AP
notify:       apnic.changes@team.telstraclear.co.nz
mnt-by:       APNIC-HM
mnt-lower:    MAINT-NZ-TELSTRACLEAR
status:       ALLOCATED PORTABLE
changed:      hm-changed@apnic.net 19960101
changed:      netobjs@clear.net.nz 20010624
changed:      hm-changed@apnic.net 20041214
changed:      hm-changed@apnic.net 20050216
source:       APNIC

role:         TelstraClear Administrative Contact
address:      TelstraClear Limited
address:      Network Planning
address:      Private Bag 92143
address:      Auckland
country:      NZ
e-mail:       apnic.changes@team.telstraclear.co.nz
phone:        +64 9 912 5205
trouble:      For network abuse contact:
trouble:      list.admin@team.telstraclear.co.nz
trouble:      +64 9 912 5161
trouble:      For 24/7 after-hours NOC contact:
trouble:      +64 9 912 4482
notify:       apnic.changes@team.telstraclear.co.nz
tech-c:       TTC7-AP
admin-c:      TAC3-AP
nic-hdl:      TAC3-AP
mnt-by:       MAINT-NZ-TELSTRACLEAR
changed:      hm-changed@apnic.net 20041125
source:       APNIC

role:         TelstraClear Technical Contact
address:      TelstraClear Limited
address:      Customer Help
address:      Private Bag 92143
address:      Auckland
country:      NZ
e-mail:       list.admin@team.telstraclear.co.nz
phone:        +64 9 912 5161
trouble:      For network abuse contact:
trouble:      list.admin@team.telstraclear.co.nz
trouble:      +64 9 912 5161
trouble:      For 24/7 after-hours NOC contact:
trouble:      +64 9 912 4482
notify:       apnic.changes@team.telstraclear.co.nz
tech-c:       TTC7-AP
admin-c:      TAC3-AP
nic-hdl:      TTC7-AP
mnt-by:       MAINT-NZ-TELSTRACLEAR
changed:      hm-changed@apnic.net 20041125
source:       APNIC

Тоді б справа міліції була. Я сумніваюся, що провайдер повідомить вам, хто входить у цей момент.

Якщо ви все-таки отримаєте ноутбук, або якщо ви все-таки отримаєте новий, то встановіть на нього попередній проект. Згодом це стане набагато простішим. Можна навіть сфотографувати злочинця :)


Спасибі! Я, мабуть, сказав у первісному запитанні, що я вже робив пошук WHOIS і трекер, але це не дає мені достатньо конкретного місця. Tracert навіть не потрапляє до цільового IP, імовірно, через провайдера в середині, який блокує пінг.
Dan J

1

Ви можете зробити багато речей, і настійно рекомендую не робити жодної з них. Нехай поліція виконує свою справу і зробить арешт.

Це не розумна відповідь, але її правильна, імхо.

- Не в останню чергу, якщо ви віддалено поблукаєте з цим, і вони думають, що ви на них, вони, швидше за все, розіб’ють ноутбук на біти.


Не маю ідеї, чому це сталося неприйнятним, насправді.
Sirex

3
Я не став голосом, але я вважаю, що це краще підходить як коментар, оскільки він не надає реальної інформації. Якщо у вас були додаткові дані, можливо, щодо успішності місцевої поліції, яка вилучала вкрадені ПК, то це була б хороша відповідь. Зараз це лише думка.
Чад Леві

Моя відповідь на "що я повинен робити" - це нічого , або, принаймні, нічого незаконного. Претендуйте на страхування та відновлення з резервної копії (та використовуйте шифрування диска в майбутньому), тому ви їх маєте. Я був би здивований, якщо рівень успішності поліції, що виганяє викрадені товари, вищий, ніж ймовірність того, що потерпіла невинна третя сторона висуне законні звинувачення проти дій у прийнятій відповіді. У цьому випадку в ОП навіть є якась інформація для прискорення процесу поліції.
Сірекс
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.