Cách tìm Macbook bị đánh cắp của tôi

Một người bạn của tôi vừa bị đánh cắp Macbook. Tài khoản Dropbox của cô vẫn hoạt động trên Macbook, vì vậy cô có thể thấy mỗi lần Macbook trực tuyến và cô có thể lấy địa chỉ IP của nó.

Cô đã cung cấp thông tin này cho cảnh sát, người nói rằng có thể mất đến một tháng để có được vị trí thực sự từ địa chỉ IP. Tôi đã tự hỏi liệu chúng tôi có thể giúp tìm thấy máy tính xách tay không, vì lúc đó người có nó có thể bị bắt để xử lý hàng ăn cắp (nếu không họ có thể cài đặt lại trước khi cảnh sát bắt được chúng).

Dưới đây là sự thật về Macbook bị đánh cắp:

• Nó đang chạy OS X, nhưng tôi không chắc chính xác phiên bản nào (tôi sẽ tìm ra mặc dù).
• Chỉ có một tài khoản người dùng, không có mật khẩu và có đặc quyền quản trị viên.
• Dropbox của chủ sở hữu ban đầu vẫn đang đồng bộ hóa, cung cấp cho chúng tôi địa chỉ IP mỗi khi trực tuyến.
• Chủ sở hữu ban đầu không phải là kỹ thuật viên, vì vậy cô ấy rất khó có thể bật bất kỳ tính năng điều khiển từ xa nào như SSH, VNC, v.v. (Tôi đã gửi email cho cô ấy để hỏi).
• Cô ấy không sử dụng iCloud hoặc dịch vụ .Mac.

Tôi đã xem xét việc đẩy một tập tin hấp dẫn vào Dropbox để khiến người dùng nhấp vào nó. Tôi đoán tôi sẽ chỉ nhận được một phát bắn vào việc này, vì vậy muốn có một số ý tưởng về điều tốt nhất để làm.

Ý tưởng của tôi cho đến nay:

• Cài đặt một số loại logger để gửi lại tất cả thông tin cho chủ sở hữu. Có cách nào để làm điều này mà không cần người dùng nhận thức được không?
• Biến tập tin thành tập lệnh shell để thu thập càng nhiều thông tin hữu ích càng tốt, ví dụ: lịch sử trình duyệt, tìm bản sao lưu iPhone, v.v. Tôi không chắc chắn về cách tốt nhất để gửi lại thông tin này. Có vẻ như tôi có thể sử dụng lệnh mail (tất nhiên là vào tài khoản e-mail miễn phí)?
• Có thể bật quản lý từ xa. Có cách nào để làm điều này mà không cần người dùng chấp nhận cửa sổ bật lên bảo mật không?

Có ai có bất cứ lời khuyên ở đây? Tôi đã viết rất nhiều tập lệnh shell, nhưng tự hỏi liệu các tùy chọn OS X khác có thể tốt hơn không, ví dụ như Applescript? Có ai có ý tưởng nào tốt hơn việc đẩy một tập tin Dropbox vào nó không?

Tôi biết câu hỏi này về cơ bản là viết một dạng phần mềm độc hại, nhưng tôi rất thích có thể mô phỏng anh hùng của tôi từ bài diễn ra điều gì xảy ra khi bạn đánh cắp bài giảng DEF CON trên máy tính của hacker .

Chúng tôi sẽ đảm bảo kiểm tra với cảnh sát trước khi chúng tôi làm bất cứ điều gì để đảm bảo chúng tôi không vi phạm bất kỳ luật nào.

Tôi nhớ đã xem video của Tiến sĩ Zoz. Đồ tốt.

Có vẻ như bạn có năng lực với kịch bản shell và chỉ cần một vectơ tấn công. Chìa khóa để làm điều gì đó tương tự như những gì Zoz đã làm là có quyền truy cập SSH. Không giống như tình huống của anh ta, nơi tên trộm đang sử dụng modem quay số, gần như chắc chắn, vì các máy Mac mới hơn không thực hiện quay số, rằng tên trộm đang sử dụng kết nối băng thông rộng và đứng sau một loại bộ định tuyến NAT.

Ngay cả khi SSH được bật trên máy, chuyển tiếp cổng sẽ phải được thiết lập trên bộ định tuyến để bạn truy cập cổng nghe SSH của máy từ bên ngoài. Mặt trái của kết nối băng thông rộng là địa chỉ IP gần như chắc chắn sẽ thay đổi ít thường xuyên hơn so với quay số.

Nếu tôi ở vị trí của bạn, nắm giữ IP của kẻ trộm, trước tiên tôi sẽ thử đăng nhập vào giao diện web của bộ định tuyến của họ và xem tôi có thể làm gì từ đó. Thật đáng ngạc nhiên khi có nhiều người để lại mật khẩu bộ định tuyến / modem mặc định của họ và có các danh sách trực tuyến nơi bạn có thể tìm thấy mật khẩu mặc định cho hầu hết các nhà sản xuất lớn.

Sau khi vào trong, hãy kiểm tra danh sách máy khách DHCP trên bộ định tuyến và xem bạn có thể tìm thấy MacBook không. Rất nhiều bộ định tuyến sẽ hiển thị Địa chỉ MAC (phần cứng), địa chỉ IP nội bộ được gán (192.168.1.x thường xuyên nhất) và quan trọng nhất là tên máy.

Chỉ ra IP nào được gán cho MacBook và sau đó thiết lập một cổng chuyển tiếp tới nó trong cài đặt của bộ định tuyến. Sử dụng một số cổng ngoài khác ngoài 22, (ví dụ cổng 2222) và chuyển tiếp cổng đó sang cổng 22 của IP của MacBook.

Nhiều bộ định tuyến đã bật truy cập SSH, vì vậy việc truy cập IP @ port 22 của kẻ trộm có thể đưa bạn đến vỏ bộ định tuyến thay vì vỏ máy. Bây giờ bạn nên có một cổng trên IP bên ngoài của tên trộm (mà bạn đã nhận được từ Dropbox), thứ sẽ đưa bạn trực tiếp đến cổng SSH nên được ràng buộc trên MacBook. Ngoại trừ SSH chưa được bật.

Phần này đòi hỏi một số hành động từ kẻ trộm. Tôi thích ý tưởng email nhưng nó yêu cầu bạn của bạn sử dụng Apple Mail. Cách tiếp cận tốt hơn có thể là tải lên tệp .app hấp dẫn lên Dropbox để bật SSH (Đăng nhập từ xa).

Bạn có thể thực hiện điều này thông qua tập lệnh shell, nhưng thực hiện nó thông qua Applescript, lưu Applescript dưới dạng .app và tạo cho nó một biểu tượng đẹp sẽ đi một chặng đường dài để đánh lừa dấu ấn của bạn và không cho phép bạn bỏ đi.

Đây là mã Applescript để bật Đăng nhập từ xa:

do shell script "sudo systemsetup setremotelogin on" user name "Friend's Username" password "Friend's Password" with administrator privileges

Đoạn mã này sẽ trả về một chuỗi có số sê-ri của máy mà bạn có thể gửi email cho chính mình nếu bạn muốn làm điều đó:

do shell script "sudo system_profiler |grep \"r (system)\"" user name "Friend's Username" password "Friend's Password" with administrator privileges

Tôi sẽ viết applescript để nó bật Đăng nhập từ xa, làm bất cứ điều gì khác bạn cần. Cố gắng không kịch bản GUI hoặc bất kỳ ứng dụng nào ngoài shell vì điều này sẽ gây nghi ngờ. Cuối cùng, hiển thị thông báo cho hiệu ứng "Ứng dụng này không thể chạy trên Macintosh này." với nút "Thoát" để giảm sự nghi ngờ. Khi tập lệnh đang hoạt động trong AppleScript Editor, hãy lưu tập tin dưới dạng tệp .app chỉ chạy.

Hãy thử ngụy trang .app thành một trò chơi phổ biến, Plants vs. Zombies hoặc Angry Birds hoặc một cái gì đó. Bạn có thể xuất biểu tượng từ .app của trò chơi thực và đưa nó vào .app bạn xuất từ ​​Applescript. Nếu bạn của bạn có một cái nhìn tốt về kẻ trộm, bạn có thể xã hội hồ sơ anh ta / cô ta và ngụy trang .app như một cái gì đó mà họ có thể quan tâm.

Với điều kiện bạn có thể thiết lập cổng chuyển tiếp (nhãn hiệu của bạn không thực thi các biện pháp bảo mật phù hợp) và bạn có thể khiến anh ấy / cô ấy chạy ứng dụng, bạn sẽ có quyền truy cập SSH đầy đủ vào máy và có thể tiếp tục tìm kiếm manh mối mà không cần ngay lập tức cho đi sự hiện diện của bạn. Điều này cũng yêu cầu nhãn hiệu không cảm thấy mệt mỏi với các thông báo Growl của Dropbox và thoát nó, vì vậy tôi khuyên bạn của bạn ngừng lưu tệp vào Dropbox của cô ấy trong một thời gian.

Lưu ý: Nếu kẻ trộm ngắt kết nối với ISP của chúng và kết nối lại, chúng sẽ nhận được một IP bên ngoài mới. Thêm một tập tin vào Dropbox và chờ cho nó đồng bộ hóa. Điều này sẽ giúp bạn cập nhật IP.

Lưu ý 2: Nếu người dùng không kết nối với bộ định tuyến với MacBook trong một khoảng thời gian nhất định (thường là 24 giờ), hợp đồng thuê DHCP cho địa chỉ IP nội bộ được gán cho MacBook sẽ hết hạn. Nhiều khả năng nó sẽ nhận được cùng một địa chỉ IP vào lần tiếp theo khi kết nối, trừ khi một thiết bị khác được đưa vào mạng. Trong trường hợp này, bạn sẽ phải đăng nhập lại thủ công vào bộ định tuyến và sửa đổi cổng chuyển tiếp.

Đây không phải là phương tiện tấn công duy nhất, nhưng đây là lần thứ hai tôi nhận ra IP vẫn đang được cập nhật qua Dropbox. Chúc may mắn!

EDIT: "Đặc quyền quản trị viên" ở cuối mỗi dòng "do shell script" là rất quan trọng. Người dùng sẽ được nhắc nhập mật khẩu quản trị viên của bạn bè và tập lệnh sẽ thất bại, nếu bạn không bao gồm tên người dùng và mật khẩu nội tuyến.

Gửi e-mail từ một người dì chúc mừng sinh nhật của cô ấy và người dì muốn gửi cho cô ấy một thẻ quà tặng từ Abercrombie & Fitch + cho ngày sinh nhật của cô ấy nhưng cần địa chỉ chính xác. Sau đó, kẻ trộm sẽ rơi vào trò lừa đảo Nigeria với ngân sách thấp này.

+ Hoặc một số thương hiệu nổi tiếng khác

Thành thật, liên hệ với Apple. Họ có thể có thông tin về cách theo dõi máy tính của họ. Tôi chắc chắn bạn không phải là người đầu tiên bị đánh cắp máy Mac.

Chỉnh sửa: Tôi đã xem trang Hỗ trợ của Apple và nó thực sự ít hữu ích hơn sau đó tôi nghĩ nó sẽ như vậy. Những gì bạn có thể thử là sử dụng iCloud để khóa Macbook từ xa.

Daniel Beck thực sự đã thử nó và nhận xét rằng:

"Mặc dù không phải là" cửa hậu Mac bí mật "và [mặc dù nó] không thực sự hữu ích trong việc lấy lại máy tính, nhưng nó hoạt động khá độc đáo để khóa mọi người khỏi máy Mac của bạn. Nhận xét của bạn đã nhắc tôi dùng thử và nó thực sự khá ấn tượng. Màn hình chuyển sang màu trắng, nó tắt máy tính và yêu cầu mã gồm sáu chữ số bạn đã chỉ định trước đó thông qua iCloud để tiếp tục quá trình khởi động bình thường. "

Điều này không trực tiếp giúp ích cho tình huống này, nhưng trong tương lai và cho tất cả những người khác có Macbook tải xuống Prey có thể giúp bạn có lợi thế trong việc theo dõi kẻ trộm. Prey sẽ cung cấp một báo cáo bao gồm vị trí và hình ảnh về tên trộm của bạn và điều này, kết hợp với sự giúp đỡ từ cảnh sát, có thể giúp bạn lấy lại máy tính xách tay của bạn. Xin lưu ý rằng nhiều sở cảnh sát sẽ không giúp đỡ trừ khi bạn nộp báo cáo mục bị đánh cắp với cảnh sát khi bạn mất máy tính; vì vậy hãy làm điều này càng sớm càng tốt

Với địa chỉ IP, bạn có thể tìm ra ISP mà nó đang kết nối thông qua hoặc nhiều hơn.

Truy cập: http://remote.12dt.com/lookup.php

Nhập địa chỉ IP.

ví dụ: Giả sử địa chỉ IP là: 203.97.37,85 (đây thực sự là địa chỉ máy chủ web của ISP tại New Zealand).

Và nó có thể hiển thị một tên miền công ty hoặc ISP. Nếu có vẻ như đó là một tên công ty thì bạn thực sự thu hẹp rất nhanh. Nhưng nếu đó là tên của một nhà cung cấp mạng (trong trường hợp này ở trên - TelstraClear NZ).

Ngoài những điều trên tôi sẽ làm một tra cứu whois. Sử dụng một trong những công cụ tra cứu whois trực tuyến.

http://networking.ringofsaturn.com/Tools/whois.php

Và bạn sẽ nhận lại được rất nhiều thông tin. Nhưng bạn có thể thấy rằng đó là một địa chỉ trong mạng TelstraClear.

#
# Query terms are ambiguous.  The query is assumed to be:
#     "n 203.97.37.85"
#
# Use "?" to get help.
#

#
# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=203.97.37.85?showDetails=true&showARIN=false&ext=netref2
#

NetRange:       203.0.0.0 - 203.255.255.255
CIDR:           203.0.0.0/8
OriginAS:
NetName:        APNIC-203
NetHandle:      NET-203-0-0-0-1
Parent:
NetType:        Allocated to APNIC
Comment:        This IP address range is not registered in the ARIN database.
Comment:        For details, refer to the APNIC Whois Database via
Comment:        WHOIS.APNIC.NET or http://wq.apnic.net/apnic-bin/whois.pl
Comment:        ** IMPORTANT NOTE: APNIC is the Regional Internet Registry
Comment:        for the Asia Pacific region. APNIC does not operate networks
Comment:        using this IP address range and is not able to investigate
Comment:        spam or abuse reports relating to these addresses. For more
Comment:        help, refer to http://www.apnic.net/apnic-info/whois_search2/abuse-and-spamming
RegDate:        1994-04-05
Updated:        2010-08-02
Ref:            http://whois.arin.net/rest/net/NET-203-0-0-0-1

OrgName:        Asia Pacific Network Information Centre
OrgId:          APNIC
Address:        PO Box 2131
City:           Milton
StateProv:      QLD
PostalCode:     4064
Country:        AU
RegDate:
Updated:        2011-09-24
Ref:            http://whois.arin.net/rest/org/APNIC

ReferralServer: whois://whois.apnic.net

OrgAbuseHandle: AWC12-ARIN
OrgAbuseName:   APNIC Whois Contact
OrgAbusePhone:  +61 7 3858 3188
OrgAbuseEmail:  search-apnic-not-arin@apnic.net
OrgAbuseRef:    http://whois.arin.net/rest/poc/AWC12-ARIN

OrgTechHandle: AWC12-ARIN
OrgTechName:   APNIC Whois Contact
OrgTechPhone:  +61 7 3858 3188
OrgTechEmail:  search-apnic-not-arin@apnic.net
OrgTechRef:    http://whois.arin.net/rest/poc/AWC12-ARIN

#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#

% [whois.apnic.net node-1]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

inetnum:      203.97.0.0 - 203.97.127.255
netname:      TELSTRACLEAR-NZ
descr:        TelstraClear Ltd
country:      NZ
admin-c:      TAC3-AP
tech-c:       TTC7-AP
notify:       apnic.changes@team.telstraclear.co.nz
mnt-by:       APNIC-HM
mnt-lower:    MAINT-NZ-TELSTRACLEAR
status:       ALLOCATED PORTABLE
changed:      hm-changed@apnic.net 19960101
changed:      netobjs@clear.net.nz 20010624
changed:      hm-changed@apnic.net 20041214
changed:      hm-changed@apnic.net 20050216
source:       APNIC

role:         TelstraClear Administrative Contact
address:      TelstraClear Limited
address:      Network Planning
address:      Private Bag 92143
address:      Auckland
country:      NZ
e-mail:       apnic.changes@team.telstraclear.co.nz
phone:        +64 9 912 5205
trouble:      For network abuse contact:
trouble:      list.admin@team.telstraclear.co.nz
trouble:      +64 9 912 5161
trouble:      For 24/7 after-hours NOC contact:
trouble:      +64 9 912 4482
notify:       apnic.changes@team.telstraclear.co.nz
tech-c:       TTC7-AP
admin-c:      TAC3-AP
nic-hdl:      TAC3-AP
mnt-by:       MAINT-NZ-TELSTRACLEAR
changed:      hm-changed@apnic.net 20041125
source:       APNIC

role:         TelstraClear Technical Contact
address:      TelstraClear Limited
address:      Customer Help
address:      Private Bag 92143
address:      Auckland
country:      NZ
e-mail:       list.admin@team.telstraclear.co.nz
phone:        +64 9 912 5161
trouble:      For network abuse contact:
trouble:      list.admin@team.telstraclear.co.nz
trouble:      +64 9 912 5161
trouble:      For 24/7 after-hours NOC contact:
trouble:      +64 9 912 4482
notify:       apnic.changes@team.telstraclear.co.nz
tech-c:       TTC7-AP
admin-c:      TAC3-AP
nic-hdl:      TTC7-AP
mnt-by:       MAINT-NZ-TELSTRACLEAR
changed:      hm-changed@apnic.net 20041125
source:       APNIC

Đó là một vấn đề cho cảnh sát tại thời điểm đó. Tôi nghi ngờ ISP sẽ cho bạn biết ai đang đăng nhập vào thời điểm đó.

Nếu bạn lấy lại máy tính xách tay, hoặc nếu cuối cùng bạn nhận được một cái mới thì hãy cài đặt preyproject lên nó. Nó sẽ làm mọi thứ đơn giản hơn nhiều sau này. Bạn thậm chí có thể chụp ảnh của kẻ phạm tội :)

Có rất nhiều điều bạn có thể làm, và tôi thực sự khuyên bạn không nên làm gì trong số đó. Hãy để cảnh sát làm công việc của họ và bắt giữ.

Đó không phải là câu trả lời thông minh, nhưng đó là câu trả lời đúng, imho.

- không kém phần quan trọng, nếu bạn làm hỏng nó từ xa và họ nghĩ rằng bạn đang ở trên chúng, họ có thể sẽ đập vỡ máy tính xách tay thành bit.