Как найти мой украденный Macbook

28

У моей подруги только что украли ее Macbook. Ее учетная запись Dropbox по-прежнему работает на Macbook, поэтому она может видеть каждый раз, когда Macbook подключается к сети, и она может получить его IP-адрес.

Она передала эту информацию в полицию, которая говорит, что может потребоваться до месяца, чтобы узнать реальное местоположение с IP-адреса. Мне было интересно, могли бы мы помочь найти ноутбук, так как тогда человека с ним можно было бы арестовать сейчас за обращение с похищенными товарами (в противном случае они могли бы переустановить его до того, как полиция поймает их).

Вот факты об украденном Macbook:

  • Он работает под управлением OS X, но я не уверен, какая именно версия (хотя я выясню).
  • Была только одна учетная запись пользователя, без пароля и с правами администратора.
  • Dropbox оригинального владельца все еще синхронизируется, что дает нам IP-адрес каждый раз, когда он входит в сеть.
  • Первоначальный владелец не технарь, поэтому она вряд ли включит какие-либо функции дистанционного управления, такие как SSH, VNC и т. Д. (Я написал ей по электронной почте).
  • Она не использует iCloud или сервис .Mac.

Я собирался вставить соблазнительный файл в Dropbox, чтобы пользователь щелкнул по нему. Я предполагаю, что у меня будет только один шанс на это, поэтому я хотел бы поделиться некоторыми идеями о том, что лучше всего сделать.

Мои идеи пока:

  • Установите какой-нибудь регистратор ключей, чтобы отправить всю информацию обратно владельцу. Есть ли способ сделать это без уведомления пользователя?
  • Сделайте файл сценарием оболочки, чтобы получить как можно больше полезной информации, например, историю браузера, поиск резервных копий iPhone и т. Д. Я не уверен, что лучше всего отправить эту информацию обратно. Похоже, я могу использовать команду mail (конечно, для бесплатной учетной записи электронной почты)?
  • Может быть, включить удаленное управление. Есть ли способ сделать это без принятия пользователем всплывающих окон безопасности?

У кого-нибудь есть какие-нибудь советы здесь? Я написал множество сценариев оболочки, но мне было интересно, могут ли быть лучше другие варианты OS X, например, Applescript? У кого-нибудь есть идеи получше, чем вставить в него файл Dropbox?

Я знаю, что этот вопрос в основном относится к написанию вредоносных программ, но я бы хотел подражать моему герою из лекции DEF CON « Что происходит, когда вы крадете компьютер хакера» .

Прежде чем что-либо предпринять, мы обязательно сверимся с полицией, чтобы не нарушать никаких законов.

macos shell dropbox applescript Дэн Дж
источник
1
Не то чтобы это помогло восстановить ноутбук, но есть приложение, которое может помочь: hiddenapp.com ; preyproject.com ; orbicule.com/undercover/index.html
KM.
SSH настроен на ее компьютере? В этом случае Dropbox может дать вам IP-адрес компьютера, чтобы вы могли передавать файлы, выполнять удаленную очистку, устанавливать службу кейлоггера и т. Д.
MBraedley,
Я очень сомневаюсь, что у нее работает SSH. Я специально спросил ее об этом, когда написал ей по электронной почте, и я обновил вопрос выше, чтобы сказать это сейчас.
Дан Джей
2
Если она использует iCloud, возможно, активирован Find my Mac ? Или Вернуться к моему Mac ? Зайдите на iCloud.com, войдите в нее и нажмите « Найти мой iPhone» , затем выберите Mac в списке.
Даниэль Бек
1
Не совсем верно: если бы Mac был защищен паролем, мы бы никогда не смогли получить IP-адрес из Dropbox. Таким образом, этот вопрос помогает людям дать злоумышленнику возможность использовать компьютер и использовать такой сервис, как Dropbox, для получения IP-адреса, когда он подключается к сети!
Дан Дж

Ответы:

11

Я помню, как смотрел это видео доктора Зоза. Хорошая вещь.

Похоже, вы хорошо разбираетесь в сценариях оболочки и просто нуждаетесь в векторе атаки. Ключ к созданию чего-то похожего на то, что делал Zoz, - это получение доступа по SSH. В отличие от его ситуации, когда вор использовал коммутируемый модем, почти наверняка, так как более новые Маки не делают dialup, что вор использует широкополосное соединение и находится позади своего рода маршрутизатора NAT.

Даже если на компьютере был включен SSH, на маршрутизаторе нужно было бы настроить переадресацию портов, чтобы вы могли получить доступ к прослушивающему порту SSH машины извне. Преимущество широкополосного соединения в том, что IP-адрес почти наверняка будет меняться реже, чем при коммутируемом соединении.

Если бы я занимал ваш IP-адрес вора, я бы сначала попытался войти в веб-интерфейс его маршрутизатора и посмотреть, что я могу сделать оттуда. Удивительно, сколько людей оставляют свои стандартные пароли маршрутизатора / модема на месте, и в Интернете есть списки, где вы можете найти пароли по умолчанию для большинства крупных производителей.

Оказавшись внутри, проверьте список клиентов DHCP на маршрутизаторе и посмотрите, сможете ли вы найти MacBook. Многие маршрутизаторы будут показывать MAC-адрес (аппаратный), назначенный внутренний IP-адрес (чаще всего 192.168.1.x) и, самое главное, имя машины.

Выясните, какой IP-адрес назначен MacBook, а затем настройте порт для переадресации на него в настройках маршрутизатора. Используйте какой-нибудь внешний порт, отличный от 22, (например, порт 2222) и перенаправьте его на порт 22 IP-адреса MacBook.

Во многих маршрутизаторах включен доступ по SSH, поэтому доступ к IP-порту 22 вора может привести вас к оболочке маршрутизатора, а не к оболочке машины. Теперь у вас должен быть порт на внешнем IP-адресе вора (который вы получили из Dropbox), который доставит вас непосредственно к порту SSH, к которому должен быть привязан MacBook. За исключением того, что SSH еще не включен.

Эта часть требует некоторых действий от вора. Мне нравится идея электронной почты, но она требует, чтобы ваш друг использовал Apple Mail. Лучшим подходом может быть загрузка заманчивого файла .app в Dropbox, который включит SSH (удаленный вход).

Вы можете сделать это с помощью сценария оболочки, но сделав это с помощью Applescript, сохранив Applescript как .app и присвоив ему красивый значок, все это будет иметь большое значение для того, чтобы обмануть вашу цель и не выдать себя.

Вот код Applescript для включения удаленного входа:

do shell script "sudo systemsetup setremotelogin on" user name "Friend's Username" password "Friend's Password" with administrator privileges

Этот бит кода вернет строку с серийным номером машины, которую вы можете отправить себе по электронной почте, если хотите это сделать:

do shell script "sudo system_profiler |grep \"r (system)\"" user name "Friend's Username" password "Friend's Password" with administrator privileges

Я бы написал appleScript, чтобы он включал удаленный вход и делал все, что вам нужно. Старайтесь не создавать сценарии для GUI или любых приложений, кроме оболочки, так как это вызовет подозрения. В конце отобразится сообщение «Это приложение не может быть запущено на этом Macintosh». с кнопкой «Выйти», чтобы уменьшить подозрение. Когда сценарий будет работать в редакторе AppleScript, сохраните его как файл .app только для запуска.

Попробуйте замаскировать .app как популярную игру, Plants vs. Zombies или Angry Birds или что-то в этом роде. Вы можете экспортировать значок из .app реальной игры и поместить его в .app, который вы экспортируете из Applescript. Если ваш друг хорошо посмотрел на вора, вы можете сделать социальный профиль его / ее и замаскировать .app как что-то еще, что может заинтересовать его.

При условии, что вы можете настроить порт вперед (ваша отметка не обеспечивает надлежащие меры безопасности), и вы можете заставить его / ее запустить приложение, у вас будет полный SSH-доступ к машине и вы сможете продолжить поиск подсказок без немедленно отдавая свое присутствие. Это также требует, чтобы знак не уставал от уведомлений Growl Dropbox и выходил из него, поэтому я бы посоветовал вашему другу на некоторое время прекратить сохранять файлы в ее Dropbox.

Примечание. Если вор отключится от своего интернет-провайдера и снова подключится, он получит новый внешний IP-адрес. Добавьте файл в Dropbox и дождитесь его синхронизации. Это должно получить вам обновленный IP.

Примечание 2: Если пользователь не подключается к маршрутизатору с MacBook в течение определенного периода времени (обычно 24 часа), срок аренды DHCP для внутреннего IP-адреса, назначенного MacBook, истекает. Скорее всего, он получит тот же IP-адрес при следующем подключении, если в сеть не будет добавлено другое устройство. В этом случае вам придется вручную войти в маршрутизатор и изменить порт вперед.

Это не единственный способ атаки, но это то, что я буду делать, когда понял, что IP все еще обновляется через Dropbox. Удачи!

РЕДАКТИРОВАТЬ: «Права администратора» в конце каждой строки «do shell script» очень важны. Пользователю будет предложено ввести пароль администратора вашего друга, и сценарий не будет выполнен, если вы не включите имя пользователя и пароль в строку.

Vickash
источник
Они работают с пустым паролем? Я думаю, что я помню, что некоторые вещи не работают должным образом, если у вас нет пароля.
Даниэль Бек
Спасибо за указание на это. Я даже не подозревал, что OS X позволяет вам создать учетную запись без пароля: S. Я предположил, что он имел в виду, что автоматический вход был включен. Вы можете заставить скрипт установить пароль для своей учетной записи, прежде чем запускать необходимые команды, используя do shell script "dscl . -passwd /Users/Username '' newpassword". '' Представляет текущий пароль (пустая строка). Имейте в виду, что если автоматический вход в систему не включен, это заблокирует вора из машины.
Викаш
Спасибо за отличный ответ! Я забыл, что мне, вероятно, придется взломать их конфигурацию маршрутизатора, чтобы получить удаленный SSH-доступ к Macbook. С юридической точки зрения, было бы неплохо перенастроить Macbook с разрешения владельца, но взлом роутера, безусловно, был бы незаконным (по крайней мере, в Великобритании). Если полиция поймает вора, они могут в конечном итоге захватить роутер в рамках своего расследования ...
Дэн Джей
Это действительно плохой совет. Не в последнюю очередь, что если вор сбрасывает ваш пароль электронной почты (скажем, используя ваши секретные вопросы), а затем открывает вирусное письмо на другом компьютере, например, в кибер-кафе? Что если вы взломаете их роутер, то обнаружите, что они сидят в Starbucks, теперь вы взломали стороннюю организацию и несете полную ответственность за последствия этого. Имхо предложения о бдительности никогда не являются хорошим советом, именно поэтому в своем ответе на этот вопрос я советую позволить полиции выполнять свою работу.
Sirex
Вы можете избавиться от шага «взломать их модем», имея VPS или любой внешний компьютер с известным IP. Я обычно использую openvpn для подключения к машинам, которые находятся за NAT через ssh, подключая их к VPN и затем подключаясь к ним. Есть и другие способы сделать это, например, запустить скрипт, который периодически загружает и выполняет скрипты оболочки с указанного внешнего сервера и отправляет результаты вам по почте. По сути, теперь у вас есть целевой компьютер, инициирующий соединение. Это значительно уменьшает количество вещей , которые должны идти прямо на эту работу по сравнению с: де
энтропии
15

Отправьте электронное письмо от тети, желающей ей счастливого дня рождения, и о том, что тетя хотела бы отправить ей подарочную карту от Abercrombie & Fitch + на ее день рождения, но ей нужен правильный адрес. Тогда это до вора, чтобы попасть на этот малобюджетный мошеннический трюк.

+ Или какой-то другой известный бренд

ZippyV
источник
Я не думаю, что вор имеет доступ к ее электронной почте, но это хороший момент - я должен проверить ...
Дэн Джей
Она не использовала почтовую программу в OSX?
ZippyV
1
Если вы хотите использовать почтовый трюк, убедитесь, что вы отправили несколько писем от нескольких человек, чтобы сделать его менее подозрительным.
ZippyV
К вашему сведению, она не использует программу Mail в OS X, а только веб-почту. Хотя, если бы это был я, я бы предпочел немедленно изменить свой почтовый пароль, чтобы попытаться отключить вора, который получал доступ к моей почте ...
Дэн Дж
6

Честно говоря, свяжитесь с Apple. Они могут иметь информацию о том, как отследить свой компьютер. Я уверен, что вы не первый человек, у которого украли Mac.

Изменить: Я посмотрел на страницу поддержки Apple, и это на самом деле менее полезно, чем я думал, что будет. Что вы можете попробовать, так это использовать iCloud для удаленной блокировки вашего Macbook.

Дэниел Бек на самом деле проверил это и сказал, что:

«Хотя это и не« секретный бэкдор Mac »и [хотя] он не очень помогает вернуть компьютер, он очень хорошо работает, чтобы блокировать людей от вашего Mac. Ваш комментарий побудил меня попробовать его, и это действительно впечатляет». Экран становится белым, он выключает компьютер и требует шестизначного кода, который вы указали ранее через iCloud, чтобы возобновить нормальный процесс загрузки ».

миро
источник
4
Я думаю, что это не поможет - они, вероятно, предложат вам купить новый.
Саймон Шихан,
3
Да, они просто активируют свой секретный бэкдор Mac и получат полный доступ к системе.
Даниэль Бек
@DanielBeck это правда или ты троллинг? Если это правда, ссылка была бы хороша для такой существенной претензии. Если вы троллите, пожалуйста, удалите свой комментарий, так как не нужно предоставлять дезинформацию.
nhinkle
2
@nhinkle Сарказм не троллинг. Это не троллинг, поскольку он не является темой и не предназначен для того, чтобы вызывать эмоциональные реакции. Используя ироническое преувеличение в этом ответе, я подчеркиваю, что Apple не может здесь помочь. Они могут иметь IP-адреса, но они уже известны. Я не буду удалять свой комментарий, так как он имеет реальную цель темы: не согласиться с этим ответом. Мы всегда можем обсудить это на Meta, хотя, если вы хотите.
Даниэль Бек
2
@ChrisM Хотя это и не «секретный бэкдор Mac», и не все действительно помогают вернуть компьютер, он прекрасно работает, чтобы блокировать людей от вашего Mac. Ваш комментарий побудил меня попробовать это, и это действительно впечатляет. Экран становится белым, он выключает компьютер и требует шестизначного кода, который вы указали ранее через iCloud, чтобы возобновить нормальный процесс загрузки. +1, если вы включите это в свой ответ.
Даниэль Бек
3

Это не поможет напрямую в этой ситуации, но в будущем и для всех остальных, у кого Macbook скачивает Prey, вы можете отследить вора. Prey предоставит отчет, в котором будет указано местонахождение и фотография вашего вора, и это, в сочетании с помощью полиции, может вернуть вам ваш ноутбук. Имейте в виду, что многие отделы полиции не помогут, если вы не подадите в полицию отчет об украденных вещах, когда потеряете компьютер; так сделайте это как можно скорее.

миро
источник
Среди конкурентов - hiddenapp.com и orbicule.com/undercover/mac (я являюсь клиентом последнего, и в ограниченном тестировании, т. Е. В «демонстрационном режиме», обнаружении и снимках с камеры, без обращения в полицию, это работало довольно хорошо).
Даниэль Бек
Вы знаете, как раздражающие ответы на то, что «это не поможет в этой ситуации ...», когда у вас украли ноутбук :)
Джонатан.
2

Учитывая IP-адрес, вы, вероятно, сможете определить, через какого интернет-провайдера он подключается или более.

Перейдите по адресу : http://remote.12dt.com/lookup.php

Введите IP-адрес.

Например, предположим, что IP-адрес: 203.97.37.85 (это фактически адрес веб-сервера интернет-провайдера в Новой Зеландии).

И это может показать доменное имя компании или провайдера. Если похоже, что это название компании, значит, вы быстро сужаетесь. Но если это имя сетевого провайдера (в данном случае выше - TelstraClear NZ).

В дополнение к вышесказанному я бы сделал поиск в whois. Используйте один из онлайн-инструментов для поиска в Whois.

http://networking.ringofsaturn.com/Tools/whois.php

И вы получите много информации. Но вы можете видеть, что это адрес в сети TelstraClear.

#
# Query terms are ambiguous.  The query is assumed to be:
#     "n 203.97.37.85"
#
# Use "?" to get help.
#

#
# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=203.97.37.85?showDetails=true&showARIN=false&ext=netref2
#

NetRange:       203.0.0.0 - 203.255.255.255
CIDR:           203.0.0.0/8
OriginAS:
NetName:        APNIC-203
NetHandle:      NET-203-0-0-0-1
Parent:
NetType:        Allocated to APNIC
Comment:        This IP address range is not registered in the ARIN database.
Comment:        For details, refer to the APNIC Whois Database via
Comment:        WHOIS.APNIC.NET or http://wq.apnic.net/apnic-bin/whois.pl
Comment:        ** IMPORTANT NOTE: APNIC is the Regional Internet Registry
Comment:        for the Asia Pacific region. APNIC does not operate networks
Comment:        using this IP address range and is not able to investigate
Comment:        spam or abuse reports relating to these addresses. For more
Comment:        help, refer to http://www.apnic.net/apnic-info/whois_search2/abuse-and-spamming
RegDate:        1994-04-05
Updated:        2010-08-02
Ref:            http://whois.arin.net/rest/net/NET-203-0-0-0-1

OrgName:        Asia Pacific Network Information Centre
OrgId:          APNIC
Address:        PO Box 2131
City:           Milton
StateProv:      QLD
PostalCode:     4064
Country:        AU
RegDate:
Updated:        2011-09-24
Ref:            http://whois.arin.net/rest/org/APNIC

ReferralServer: whois://whois.apnic.net

OrgAbuseHandle: AWC12-ARIN
OrgAbuseName:   APNIC Whois Contact
OrgAbusePhone:  +61 7 3858 3188
OrgAbuseEmail:  search-apnic-not-arin@apnic.net
OrgAbuseRef:    http://whois.arin.net/rest/poc/AWC12-ARIN

OrgTechHandle: AWC12-ARIN
OrgTechName:   APNIC Whois Contact
OrgTechPhone:  +61 7 3858 3188
OrgTechEmail:  search-apnic-not-arin@apnic.net
OrgTechRef:    http://whois.arin.net/rest/poc/AWC12-ARIN

#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#

% [whois.apnic.net node-1]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

inetnum:      203.97.0.0 - 203.97.127.255
netname:      TELSTRACLEAR-NZ
descr:        TelstraClear Ltd
country:      NZ
admin-c:      TAC3-AP
tech-c:       TTC7-AP
notify:       apnic.changes@team.telstraclear.co.nz
mnt-by:       APNIC-HM
mnt-lower:    MAINT-NZ-TELSTRACLEAR
status:       ALLOCATED PORTABLE
changed:      hm-changed@apnic.net 19960101
changed:      netobjs@clear.net.nz 20010624
changed:      hm-changed@apnic.net 20041214
changed:      hm-changed@apnic.net 20050216
source:       APNIC

role:         TelstraClear Administrative Contact
address:      TelstraClear Limited
address:      Network Planning
address:      Private Bag 92143
address:      Auckland
country:      NZ
e-mail:       apnic.changes@team.telstraclear.co.nz
phone:        +64 9 912 5205
trouble:      For network abuse contact:
trouble:      list.admin@team.telstraclear.co.nz
trouble:      +64 9 912 5161
trouble:      For 24/7 after-hours NOC contact:
trouble:      +64 9 912 4482
notify:       apnic.changes@team.telstraclear.co.nz
tech-c:       TTC7-AP
admin-c:      TAC3-AP
nic-hdl:      TAC3-AP
mnt-by:       MAINT-NZ-TELSTRACLEAR
changed:      hm-changed@apnic.net 20041125
source:       APNIC

role:         TelstraClear Technical Contact
address:      TelstraClear Limited
address:      Customer Help
address:      Private Bag 92143
address:      Auckland
country:      NZ
e-mail:       list.admin@team.telstraclear.co.nz
phone:        +64 9 912 5161
trouble:      For network abuse contact:
trouble:      list.admin@team.telstraclear.co.nz
trouble:      +64 9 912 5161
trouble:      For 24/7 after-hours NOC contact:
trouble:      +64 9 912 4482
notify:       apnic.changes@team.telstraclear.co.nz
tech-c:       TTC7-AP
admin-c:      TAC3-AP
nic-hdl:      TTC7-AP
mnt-by:       MAINT-NZ-TELSTRACLEAR
changed:      hm-changed@apnic.net 20041125
source:       APNIC

Это было бы вопросом для полиции в этот момент. Я сомневаюсь, что интернет-провайдер скажет вам, кто входит в систему в этот момент.

Если вы вернете ноутбук или в итоге получите новый, установите на него preyproject. Позже все станет намного проще. Вы даже можете сфотографировать обидчика :)

Мэтт Н
источник
Благодарность! Вероятно, я должен был сказать в исходном вопросе, что я уже выполнил поиск WHOIS и трассировщик, но он не дает мне достаточно конкретного местоположения. Tracert даже не доходит до целевого IP, предположительно из-за провайдера в середине, блокирующего пинг.
Дан Дж
1

Есть множество вещей, которые вы могли бы сделать, и я настоятельно рекомендую вам не делать ничего из них. Пусть полиция сделает свою работу и произведет арест.

Это не умный ответ, но правильный, imho.

- не в последнюю очередь, если вы возитесь с этим удаленно, и они думают, что вы на них, они, вероятно, разобьют ноутбук на куски.

Sirex
источник
Понятия не имею, почему за это проголосовали.
Sirex
3
Я не понизил голос, но я думаю, что это лучше подходит как комментарий, так как он не предоставляет никакой реальной информации. Если бы у вас были дополнительные данные, возможно, относительно того, насколько успешно местная полиция восстанавливает украденные компьютеры, то это был бы хороший ответ. Прямо сейчас это просто мнение.
Чад Леви
Мой ответ на вопрос «что мне делать» - ничто или, по крайней мере, ничто незаконное. Требуйте страховки и восстановления из резервной копии (и используйте шифрование диска в будущем), поэтому они у вас есть. Я был бы удивлен, если бы процент успеха полиции, выслеживающей украденные товары, был выше, чем вероятность, что потерпевшая невинная третья сторона выдвинет законные обвинения против действий в принятом ответе. В этом случае у ОП даже есть некоторая информация для ускорения полицейского процесса.
Sirex