Jak znaleźć skradzionego Macbooka

Mój przyjaciel właśnie ukradł jej Macbooka. Jej konto Dropbox nadal działa na Macbooku, dzięki czemu może widzieć za każdym razem, gdy Macbook jest w trybie online, i może uzyskać jego adres IP.

Przekazała tę informację policji, która twierdzi, że uzyskanie prawdziwej lokalizacji z adresu IP może potrwać nawet miesiąc. Zastanawiałem się, czy moglibyśmy pomóc w znalezieniu laptopa, ponieważ wtedy osoba, która go ma, mogłaby zostać aresztowana za obchodzenie się ze skradzionymi towarami (w przeciwnym razie mogłyby go ponownie zainstalować, zanim złapie je policja).

Oto fakty dotyczące skradzionego Macbooka:

• Działa w systemie OS X, ale nie jestem pewien, która wersja (dowiem się jednak).
• Było tylko jedno konto użytkownika, bez hasła i z uprawnieniami administratora.
• Dropbox pierwotnego właściciela nadal się synchronizuje, co daje nam adres IP za każdym razem, gdy pojawia się w trybie online.
• Oryginalna właścicielka nie jest specjalistką, więc jest mało prawdopodobne, aby włączyła którąkolwiek z funkcji zdalnego sterowania, takich jak SSH, VNC itp. (Wysłałem jej e-mailem z zapytaniem).
• Nie korzysta z usługi iCloud ani usługi .Mac.

Zastanawiałem się nad wprowadzeniem kuszącego pliku do Dropbox, aby użytkownik mógł go kliknąć. Zgaduję, że dostanę tylko jedną szansę, więc chciałem pomysłów na najlepsze rzeczy do zrobienia.

Moje dotychczasowe pomysły:

• Zainstaluj program rejestrujący klucze, aby wysłać wszystkie informacje z powrotem do właściciela. Czy można to zrobić bez powiadomienia użytkownika?
• Ustaw plik jako skrypt powłoki, aby wyświetlał jak najwięcej użytecznych informacji, np. Historię przeglądarki, szukaj kopii zapasowych iPhone'a itp. Nie jestem jednak pewien, jak najlepiej wysłać te informacje z powrotem. Wygląda na to, że mogę użyć polecenia mail (oczywiście do darmowego konta e-mail)?
• Może włączyć zdalne zarządzanie. Czy istnieje sposób, aby to zrobić bez akceptowania wyskakujących okienek bezpieczeństwa?

Czy ktoś ma tu jakieś wskazówki? Napisałem wiele skryptów powłoki, ale zastanawiałem się, czy inne opcje OS X mogłyby być lepsze, np. Applescript? Czy ktoś ma lepsze pomysły niż wypchnięcie do niego pliku Dropbox?

Wiem, że to pytanie dotyczy w zasadzie pisania szkodliwego oprogramowania, ale chciałbym naśladować mojego bohatera z wykładu Co się dzieje, gdy kradniesz komputer hakera DEF CON.

Zanim zrobimy cokolwiek, skontaktujemy się z policją, aby upewnić się, że nie złamiemy żadnych przepisów.

Pamiętam, jak oglądałem ten film Dr. Zoza. Dobry towar.

Wygląda na to, że znasz się na skryptach powłoki i potrzebujesz tylko wektora ataku. Kluczem do zrobienia czegoś podobnego do tego, co zrobił Zoz, jest uzyskanie dostępu do SSH. W przeciwieństwie do jego sytuacji, w której złodziej korzystał z modemu telefonicznego, jest prawie pewne, ponieważ nowsze komputery Mac nie wykonują połączenia telefonicznego, że złodziej korzysta z połączenia szerokopasmowego i stoi za jakimś routerem NAT.

Nawet jeśli SSH były włączone na komputerze, przekierowanie portów musiałoby być skonfigurowane na routerze, aby uzyskać dostęp do portu nasłuchiwania SSH urządzenia z zewnątrz. Zaletą połączenia szerokopasmowego jest to, że adres IP prawie na pewno zmienia się rzadziej niż w przypadku połączenia modemowego.

Gdybym był na twoim miejscu, trzymając IP złodzieja, najpierw spróbowałbym zalogować się do interfejsu internetowego ich routera i zobaczyć, co mogę z tego zrobić. To zadziwiające, jak wiele osób pozostawia swoje domyślne hasła routera / modemu na miejscu, a online są listy, w których można znaleźć domyślne hasła dla większości głównych producentów.

W środku sprawdź listę klientów DHCP na routerze i sprawdź, czy możesz znaleźć MacBooka. Wiele routerów wyświetla adres MAC (sprzętowy), przypisany wewnętrzny adres IP (najczęściej 192.168.1.x) i, co najważniejsze, nazwę komputera.

Sprawdź, który adres IP jest przypisany do MacBooka, a następnie skonfiguruj port do niego w ustawieniach routera. Użyj zewnętrznego portu innego niż 22 (na przykład port 2222) i przekaż go do portu 22 adresu IP komputera MacBook.

Wiele routerów ma włączony dostęp SSH, więc dostęp do IP @ portu 22 złodzieja może doprowadzić cię do powłoki routera zamiast do powłoki maszyny. Teraz powinieneś mieć port na zewnętrznym adresie IP złodzieja (który dostałeś od Dropbox), który zabierze cię bezpośrednio do portu SSH, z którym powinieneś być związany na MacBooku. Tyle że SSH nie jest jeszcze włączony.

Ta część wymaga pewnego działania od złodzieja. Podoba mi się pomysł na e-mail, ale wymaga, aby Twój znajomy korzystał z Apple Mail. Lepszym rozwiązaniem może być przesłanie kuszącego pliku .app do Dropbox, który włączy SSH (logowanie zdalne).

Możesz to zrobić za pomocą skryptu powłoki, ale robiąc to za pomocą Applescript, zapisując Applescript jako .app i nadając mu ładną ikonę, wszystko to znacznie przyczyni się do oszukiwania twojego znaku i nie zdradzenia się.

Oto kod Applescript, aby włączyć zdalne logowanie:

do shell script "sudo systemsetup setremotelogin on" user name "Friend's Username" password "Friend's Password" with administrator privileges

Ten fragment kodu zwróci ciąg z numerem seryjnym urządzenia, który możesz wysłać do siebie e-mailem, jeśli chcesz to zrobić:

do shell script "sudo system_profiler |grep \"r (system)\"" user name "Friend's Username" password "Friend's Password" with administrator privileges

Napisałbym jabłkowy skrypt, aby włączał zdalne logowanie i robi wszystko, czego potrzebujesz. Staraj się nie pisać skryptów w GUI ani aplikacjach innych niż powłoka, ponieważ wzbudzi to podejrzenia. Na końcu wyświetli się komunikat „Ta aplikacja nie może działać na tym komputerze Macintosh”. z przyciskiem „Wyjdź”, aby zmniejszyć podejrzenia. Gdy skrypt działa w edytorze AppleScript, zapisz go jako plik .app przeznaczony tylko do uruchamiania.

Spróbuj ukryć .app jako popularną grę, Plants vs. Zombies lub Angry Birds lub coś w tym rodzaju. Możesz wyeksportować ikonę z .app prawdziwej gry i umieścić ją w .app, który eksportujesz z Applescript. Jeśli twój przyjaciel dobrze przyjrzał się złodziejowi, możesz profilować go społecznie i ukryć .app jako coś innego, czym mogą być zainteresowani.

Pod warunkiem, że możesz skonfigurować port do przekazywania dalej (twój znak nie wymusza stosowania odpowiednich praktyk bezpieczeństwa) i możesz zmusić go do uruchomienia aplikacji, będziesz mieć pełny dostęp SSH do maszyny i będziesz mógł dalej szukać wskazówek bez natychmiast ujawniając swoją obecność. Wymaga to również, aby znak nie zmęczył się powiadomieniami Dropbox's Growl i zrezygnował z niego, więc radziłbym twojej przyjaciółce, aby na jakiś czas przestała zapisywać pliki w swoim Dropbox.

Uwaga: jeśli złodziej rozłączy się z usługodawcą internetowym i połączy się ponownie, otrzyma nowy zewnętrzny adres IP. Dodaj plik do Dropbox i poczekaj, aż się zsynchronizuje. Powinno to uzyskać zaktualizowany adres IP.

Uwaga 2: Jeśli użytkownik nie połączy się z routerem za pomocą MacBooka przez określony czas (zwykle 24 godziny), dzierżawa DHCP dla wewnętrznego adresu IP przypisanego do MacBooka wygasa. Najprawdopodobniej przy następnym połączeniu uzyska ten sam adres IP, chyba że do sieci zostanie wprowadzone inne urządzenie. W takim przypadku musisz ręcznie zalogować się ponownie do routera i zmodyfikować przekierowanie portu.

Nie jest to jedyny sposób ataku, ale to właśnie zrobiłbym, gdy zdałem sobie sprawę, że adres IP jest wciąż aktualizowany za pośrednictwem Dropbox. Powodzenia!

EDYCJA: „Uprawnienia administratora” na końcu każdego wiersza „do script script” są bardzo ważne. Użytkownik zostanie poproszony o podanie hasła administratora znajomego, a skrypt nie powiedzie się, jeśli nie podasz nazwy użytkownika i hasła.

Wyślij e-mail od ciotki, która życzy jej wszystkiego najlepszego, i że ciotka chciałaby wysłać jej kartę podarunkową od Abercrombie & Fitch + na urodziny, ale potrzebuje poprawnego adresu. Następnie złodziej musi zakochać się w tej nisko budżetowej sztuczce oszustwa w Nigerii.

+ Lub inna znana marka

Szczerze, skontaktuj się z Apple. Mogą mieć informacje o tym, jak wyśledzić swój komputer. Jestem pewien, że nie jesteś pierwszą osobą, która ukradła Maca.

Edycja: zajrzałem na stronę wsparcia Apple i jest to w rzeczywistości mniej pomocne, niż się spodziewałem. Możesz spróbować użyć iCloud do zdalnego zablokowania swojego Macbooka.

Daniel Beck faktycznie to przetestował i skomentował:

„Chociaż nie jest to„ tajne tylne wejście do komputera Mac ”i [chociaż] nie jest to naprawdę pomocne w odzyskaniu komputera, działa całkiem nieźle, aby zablokować ludziom dostęp do komputera Mac. Twój komentarz zachęcił mnie do wypróbowania go i jest naprawdę imponujący. Ekran staje się biały, wyłącza komputer i wymaga sześciocyfrowego kodu określonego wcześniej przez iCloud, aby wznowić normalny proces uruchamiania. ”

Nie pomaga to bezpośrednio w tej sytuacji, ale w przyszłości i dla wszystkich innych, którzy pobierają Macbooki, Prey może dać przewagę w śledzeniu złodzieja. Prey dostarczy raport zawierający lokalizację i zdjęcie twojego złodzieja, a to w połączeniu z pomocą policji może odzyskać laptopa. Pamiętaj, że wiele departamentów policji nie pomoże, dopóki nie zgłaszasz policji zgłoszenia skradzionego przedmiotu po utracie komputera; więc zrób to jak najszybciej.

Biorąc pod uwagę adres IP, prawdopodobnie możesz dowiedzieć się, przez którego ISP się łączy lub więcej.

Idź do: http://remote.12dt.com/lookup.php

Wpisz adres IP.

np. Załóżmy, że adres IP to: 203.97.37.85 (tak naprawdę jest to adres serwera internetowego dostawcy usług internetowych w Nowej Zelandii).

I może wyświetlać nazwę firmy lub domeny ISP. Jeśli wygląda na to, że jest to nazwa firmy, naprawdę szybko się zawężasz. Ale jeśli jest to nazwa dostawcy sieci (w tym przypadku powyżej - TelstraClear NZ).

Oprócz powyższego zrobiłbym look-whois. Skorzystaj z jednego z internetowych narzędzi wyszukiwania Whois.

http://networking.ringofsaturn.com/Tools/whois.php

I otrzymasz wiele informacji. Ale widać, że jest to adres w sieci TelstraClear.

#
# Query terms are ambiguous.  The query is assumed to be:
#     "n 203.97.37.85"
#
# Use "?" to get help.
#

#
# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=203.97.37.85?showDetails=true&showARIN=false&ext=netref2
#

NetRange:       203.0.0.0 - 203.255.255.255
CIDR:           203.0.0.0/8
OriginAS:
NetName:        APNIC-203
NetHandle:      NET-203-0-0-0-1
Parent:
NetType:        Allocated to APNIC
Comment:        This IP address range is not registered in the ARIN database.
Comment:        For details, refer to the APNIC Whois Database via
Comment:        WHOIS.APNIC.NET or http://wq.apnic.net/apnic-bin/whois.pl
Comment:        ** IMPORTANT NOTE: APNIC is the Regional Internet Registry
Comment:        for the Asia Pacific region. APNIC does not operate networks
Comment:        using this IP address range and is not able to investigate
Comment:        spam or abuse reports relating to these addresses. For more
Comment:        help, refer to http://www.apnic.net/apnic-info/whois_search2/abuse-and-spamming
RegDate:        1994-04-05
Updated:        2010-08-02
Ref:            http://whois.arin.net/rest/net/NET-203-0-0-0-1

OrgName:        Asia Pacific Network Information Centre
OrgId:          APNIC
Address:        PO Box 2131
City:           Milton
StateProv:      QLD
PostalCode:     4064
Country:        AU
RegDate:
Updated:        2011-09-24
Ref:            http://whois.arin.net/rest/org/APNIC

ReferralServer: whois://whois.apnic.net

OrgAbuseHandle: AWC12-ARIN
OrgAbuseName:   APNIC Whois Contact
OrgAbusePhone:  +61 7 3858 3188
OrgAbuseEmail:  search-apnic-not-arin@apnic.net
OrgAbuseRef:    http://whois.arin.net/rest/poc/AWC12-ARIN

OrgTechHandle: AWC12-ARIN
OrgTechName:   APNIC Whois Contact
OrgTechPhone:  +61 7 3858 3188
OrgTechEmail:  search-apnic-not-arin@apnic.net
OrgTechRef:    http://whois.arin.net/rest/poc/AWC12-ARIN

#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#

% [whois.apnic.net node-1]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

inetnum:      203.97.0.0 - 203.97.127.255
netname:      TELSTRACLEAR-NZ
descr:        TelstraClear Ltd
country:      NZ
admin-c:      TAC3-AP
tech-c:       TTC7-AP
notify:       apnic.changes@team.telstraclear.co.nz
mnt-by:       APNIC-HM
mnt-lower:    MAINT-NZ-TELSTRACLEAR
status:       ALLOCATED PORTABLE
changed:      hm-changed@apnic.net 19960101
changed:      netobjs@clear.net.nz 20010624
changed:      hm-changed@apnic.net 20041214
changed:      hm-changed@apnic.net 20050216
source:       APNIC

role:         TelstraClear Administrative Contact
address:      TelstraClear Limited
address:      Network Planning
address:      Private Bag 92143
address:      Auckland
country:      NZ
e-mail:       apnic.changes@team.telstraclear.co.nz
phone:        +64 9 912 5205
trouble:      For network abuse contact:
trouble:      list.admin@team.telstraclear.co.nz
trouble:      +64 9 912 5161
trouble:      For 24/7 after-hours NOC contact:
trouble:      +64 9 912 4482
notify:       apnic.changes@team.telstraclear.co.nz
tech-c:       TTC7-AP
admin-c:      TAC3-AP
nic-hdl:      TAC3-AP
mnt-by:       MAINT-NZ-TELSTRACLEAR
changed:      hm-changed@apnic.net 20041125
source:       APNIC

role:         TelstraClear Technical Contact
address:      TelstraClear Limited
address:      Customer Help
address:      Private Bag 92143
address:      Auckland
country:      NZ
e-mail:       list.admin@team.telstraclear.co.nz
phone:        +64 9 912 5161
trouble:      For network abuse contact:
trouble:      list.admin@team.telstraclear.co.nz
trouble:      +64 9 912 5161
trouble:      For 24/7 after-hours NOC contact:
trouble:      +64 9 912 4482
notify:       apnic.changes@team.telstraclear.co.nz
tech-c:       TTC7-AP
admin-c:      TAC3-AP
nic-hdl:      TTC7-AP
mnt-by:       MAINT-NZ-TELSTRACLEAR
changed:      hm-changed@apnic.net 20041125
source:       APNIC

W tym momencie to byłaby sprawa policji. Wątpię, aby dostawca usług internetowych poinformował cię, kto loguje się w tym momencie.

Jeśli odzyskasz laptopa lub jeśli otrzymasz nowy, zainstaluj na nim preprojekt. Ułatwi to później. Możesz nawet zrobić zdjęcie przestępcy :)

Jest mnóstwo rzeczy, które możesz zrobić i gorąco polecam, abyś nie robił żadnej z nich. Niech policja wykona swoją pracę i dokona aresztowania.

To nie jest mądra odpowiedź, ale właściwa, imho.

- zwłaszcza, jeśli zadzierasz z nim zdalnie, a oni myślą, że jesteś na nich, prawdopodobnie rozbiją laptopa na kawałki.