У моей подруги только что украли ее Macbook. Ее учетная запись Dropbox по-прежнему работает на Macbook, поэтому она может видеть каждый раз, когда Macbook подключается к сети, и она может получить его IP-адрес.
Она передала эту информацию в полицию, которая говорит, что может потребоваться до месяца, чтобы узнать реальное местоположение с IP-адреса. Мне было интересно, могли бы мы помочь найти ноутбук, так как тогда человека с ним можно было бы арестовать сейчас за обращение с похищенными товарами (в противном случае они могли бы переустановить его до того, как полиция поймает их).
Вот факты об украденном Macbook:
- Он работает под управлением OS X, но я не уверен, какая именно версия (хотя я выясню).
- Была только одна учетная запись пользователя, без пароля и с правами администратора.
- Dropbox оригинального владельца все еще синхронизируется, что дает нам IP-адрес каждый раз, когда он входит в сеть.
- Первоначальный владелец не технарь, поэтому она вряд ли включит какие-либо функции дистанционного управления, такие как SSH, VNC и т. Д. (Я написал ей по электронной почте).
- Она не использует iCloud или сервис .Mac.
Я собирался вставить соблазнительный файл в Dropbox, чтобы пользователь щелкнул по нему. Я предполагаю, что у меня будет только один шанс на это, поэтому я хотел бы поделиться некоторыми идеями о том, что лучше всего сделать.
Мои идеи пока:
- Установите какой-нибудь регистратор ключей, чтобы отправить всю информацию обратно владельцу. Есть ли способ сделать это без уведомления пользователя?
- Сделайте файл сценарием оболочки, чтобы получить как можно больше полезной информации, например, историю браузера, поиск резервных копий iPhone и т. Д. Я не уверен, что лучше всего отправить эту информацию обратно. Похоже, я могу использовать команду mail (конечно, для бесплатной учетной записи электронной почты)?
- Может быть, включить удаленное управление. Есть ли способ сделать это без принятия пользователем всплывающих окон безопасности?
У кого-нибудь есть какие-нибудь советы здесь? Я написал множество сценариев оболочки, но мне было интересно, могут ли быть лучше другие варианты OS X, например, Applescript? У кого-нибудь есть идеи получше, чем вставить в него файл Dropbox?
Я знаю, что этот вопрос в основном относится к написанию вредоносных программ, но я бы хотел подражать моему герою из лекции DEF CON « Что происходит, когда вы крадете компьютер хакера» .
Прежде чем что-либо предпринять, мы обязательно сверимся с полицией, чтобы не нарушать никаких законов.
источник
Ответы:
Я помню, как смотрел это видео доктора Зоза. Хорошая вещь.
Похоже, вы хорошо разбираетесь в сценариях оболочки и просто нуждаетесь в векторе атаки. Ключ к созданию чего-то похожего на то, что делал Zoz, - это получение доступа по SSH. В отличие от его ситуации, когда вор использовал коммутируемый модем, почти наверняка, так как более новые Маки не делают dialup, что вор использует широкополосное соединение и находится позади своего рода маршрутизатора NAT.
Даже если на компьютере был включен SSH, на маршрутизаторе нужно было бы настроить переадресацию портов, чтобы вы могли получить доступ к прослушивающему порту SSH машины извне. Преимущество широкополосного соединения в том, что IP-адрес почти наверняка будет меняться реже, чем при коммутируемом соединении.
Если бы я занимал ваш IP-адрес вора, я бы сначала попытался войти в веб-интерфейс его маршрутизатора и посмотреть, что я могу сделать оттуда. Удивительно, сколько людей оставляют свои стандартные пароли маршрутизатора / модема на месте, и в Интернете есть списки, где вы можете найти пароли по умолчанию для большинства крупных производителей.
Оказавшись внутри, проверьте список клиентов DHCP на маршрутизаторе и посмотрите, сможете ли вы найти MacBook. Многие маршрутизаторы будут показывать MAC-адрес (аппаратный), назначенный внутренний IP-адрес (чаще всего 192.168.1.x) и, самое главное, имя машины.
Выясните, какой IP-адрес назначен MacBook, а затем настройте порт для переадресации на него в настройках маршрутизатора. Используйте какой-нибудь внешний порт, отличный от 22, (например, порт 2222) и перенаправьте его на порт 22 IP-адреса MacBook.
Во многих маршрутизаторах включен доступ по SSH, поэтому доступ к IP-порту 22 вора может привести вас к оболочке маршрутизатора, а не к оболочке машины. Теперь у вас должен быть порт на внешнем IP-адресе вора (который вы получили из Dropbox), который доставит вас непосредственно к порту SSH, к которому должен быть привязан MacBook. За исключением того, что SSH еще не включен.
Эта часть требует некоторых действий от вора. Мне нравится идея электронной почты, но она требует, чтобы ваш друг использовал Apple Mail. Лучшим подходом может быть загрузка заманчивого файла .app в Dropbox, который включит SSH (удаленный вход).
Вы можете сделать это с помощью сценария оболочки, но сделав это с помощью Applescript, сохранив Applescript как .app и присвоив ему красивый значок, все это будет иметь большое значение для того, чтобы обмануть вашу цель и не выдать себя.
Вот код Applescript для включения удаленного входа:
Этот бит кода вернет строку с серийным номером машины, которую вы можете отправить себе по электронной почте, если хотите это сделать:
Я бы написал appleScript, чтобы он включал удаленный вход и делал все, что вам нужно. Старайтесь не создавать сценарии для GUI или любых приложений, кроме оболочки, так как это вызовет подозрения. В конце отобразится сообщение «Это приложение не может быть запущено на этом Macintosh». с кнопкой «Выйти», чтобы уменьшить подозрение. Когда сценарий будет работать в редакторе AppleScript, сохраните его как файл .app только для запуска.
Попробуйте замаскировать .app как популярную игру, Plants vs. Zombies или Angry Birds или что-то в этом роде. Вы можете экспортировать значок из .app реальной игры и поместить его в .app, который вы экспортируете из Applescript. Если ваш друг хорошо посмотрел на вора, вы можете сделать социальный профиль его / ее и замаскировать .app как что-то еще, что может заинтересовать его.
При условии, что вы можете настроить порт вперед (ваша отметка не обеспечивает надлежащие меры безопасности), и вы можете заставить его / ее запустить приложение, у вас будет полный SSH-доступ к машине и вы сможете продолжить поиск подсказок без немедленно отдавая свое присутствие. Это также требует, чтобы знак не уставал от уведомлений Growl Dropbox и выходил из него, поэтому я бы посоветовал вашему другу на некоторое время прекратить сохранять файлы в ее Dropbox.
Примечание. Если вор отключится от своего интернет-провайдера и снова подключится, он получит новый внешний IP-адрес. Добавьте файл в Dropbox и дождитесь его синхронизации. Это должно получить вам обновленный IP.
Примечание 2: Если пользователь не подключается к маршрутизатору с MacBook в течение определенного периода времени (обычно 24 часа), срок аренды DHCP для внутреннего IP-адреса, назначенного MacBook, истекает. Скорее всего, он получит тот же IP-адрес при следующем подключении, если в сеть не будет добавлено другое устройство. В этом случае вам придется вручную войти в маршрутизатор и изменить порт вперед.
Это не единственный способ атаки, но это то, что я буду делать, когда понял, что IP все еще обновляется через Dropbox. Удачи!
РЕДАКТИРОВАТЬ: «Права администратора» в конце каждой строки «do shell script» очень важны. Пользователю будет предложено ввести пароль администратора вашего друга, и сценарий не будет выполнен, если вы не включите имя пользователя и пароль в строку.
источник
do shell script "dscl . -passwd /Users/Username '' newpassword"
. '' Представляет текущий пароль (пустая строка). Имейте в виду, что если автоматический вход в систему не включен, это заблокирует вора из машины.Отправьте электронное письмо от тети, желающей ей счастливого дня рождения, и о том, что тетя хотела бы отправить ей подарочную карту от Abercrombie & Fitch + на ее день рождения, но ей нужен правильный адрес. Тогда это до вора, чтобы попасть на этот малобюджетный мошеннический трюк.
+ Или какой-то другой известный бренд
источник
Честно говоря, свяжитесь с Apple. Они могут иметь информацию о том, как отследить свой компьютер. Я уверен, что вы не первый человек, у которого украли Mac.
Изменить: Я посмотрел на страницу поддержки Apple, и это на самом деле менее полезно, чем я думал, что будет. Что вы можете попробовать, так это использовать iCloud для удаленной блокировки вашего Macbook.
Дэниел Бек на самом деле проверил это и сказал, что:
источник
Это не поможет напрямую в этой ситуации, но в будущем и для всех остальных, у кого Macbook скачивает Prey, вы можете отследить вора. Prey предоставит отчет, в котором будет указано местонахождение и фотография вашего вора, и это, в сочетании с помощью полиции, может вернуть вам ваш ноутбук. Имейте в виду, что многие отделы полиции не помогут, если вы не подадите в полицию отчет об украденных вещах, когда потеряете компьютер; так сделайте это как можно скорее.
источник
Учитывая IP-адрес, вы, вероятно, сможете определить, через какого интернет-провайдера он подключается или более.
Перейдите по адресу : http://remote.12dt.com/lookup.php
Введите IP-адрес.
Например, предположим, что IP-адрес: 203.97.37.85 (это фактически адрес веб-сервера интернет-провайдера в Новой Зеландии).
И это может показать доменное имя компании или провайдера. Если похоже, что это название компании, значит, вы быстро сужаетесь. Но если это имя сетевого провайдера (в данном случае выше - TelstraClear NZ).
В дополнение к вышесказанному я бы сделал поиск в whois. Используйте один из онлайн-инструментов для поиска в Whois.
http://networking.ringofsaturn.com/Tools/whois.php
И вы получите много информации. Но вы можете видеть, что это адрес в сети TelstraClear.
Это было бы вопросом для полиции в этот момент. Я сомневаюсь, что интернет-провайдер скажет вам, кто входит в систему в этот момент.
Если вы вернете ноутбук или в итоге получите новый, установите на него preyproject. Позже все станет намного проще. Вы даже можете сфотографировать обидчика :)
источник
Есть множество вещей, которые вы могли бы сделать, и я настоятельно рекомендую вам не делать ничего из них. Пусть полиция сделает свою работу и произведет арест.
Это не умный ответ, но правильный, imho.
- не в последнюю очередь, если вы возитесь с этим удаленно, и они думают, что вы на них, они, вероятно, разобьют ноутбук на куски.
источник