Çalınan Macbook'umu nasıl bulabilirim?

Bir arkadaşım sadece Macbook'unu çaldırdı. Dropbox hesabı hala Macbook üzerinde çalışıyor, böylece Macbook'un çevrimiçi olduğu her an görebilir ve IP adresini alabilir.

Bu bilgiyi, IP adresinden gerçek yeri bulmanın bir ay kadar sürebileceğini söyleyen polise verdi. Dizüstü bilgisayarı bulmamıza yardım edip edemeyeceğimizi merak ediyordum, o zaman onunla birlikte kişi çalıntı malları kullanmaktan tutuklanabilirdi (aksi takdirde polis onları yakalamadan yeniden yükleyebilirlerdi).

Çalınan Macbook hakkındaki gerçekler:

• OS X kullanıyor, ancak tam olarak hangi sürümün (ne olduğunu öğreneceğim) emin değilim.
• Parola olmadan ve yönetici ayrıcalıklarına sahip yalnızca bir kullanıcı hesabı vardı.
• Asıl sahibinin Dropbox'ı hala senkronize oluyor, bu da bize her çevrimiçi olduğunda IP adresini veriyor.
• Asıl mal sahibi bir teknoloji uzmanı değil, bu yüzden SSH, VNC vb. Gibi herhangi bir uzaktan kumanda özelliğini açmamış olması çok muhtemeldir (sormak için e-posta ile gönderdim).
• İCloud'u veya .Mac hizmetini kullanmaz.

Baştan çıkarıcı bir dosyayı, kullanıcının tıklaması için Dropbox'a itmeyi düşünüyordum. Sanırım bu konuda yalnızca bir şansım olacak, bu yüzden yapılacak en iyi şey hakkında fikir edinmek istedim.

Şimdiye dek fikirlerim:

• Tüm bilgileri sahibine geri göndermek için bir tür anahtar günlüğü yükleyin. Kullanıcıya farkında olmadan bunu yapmanın bir yolu var mı?
• Dosyayı, örneğin tarayıcı geçmişi, iPhone yedeklerini aramak vb. Gibi mümkün olduğunca yararlı bilgilerle karıştırmak için bir kabuk betiği yapın. Bu bilgiyi geri göndermenin en iyi yolundan emin değilim. Mail komutunu kullanabilirim (tabii ki ücretsiz bir e-posta hesabına)?
• Belki uzaktan yönetimi aç. Kullanıcıyı güvenlik açılır pencerelerini kabul etmeden yapmanın bir yolu var mı?

Burda ipucu olan var mı? Çok sayıda kabuk komut dosyası yazdım, ancak diğer OS X seçeneklerinin daha iyi olup olmadığını merak ediyordum, örneğin Applescript? Bir Dropbox dosyasını zorlamaktan daha iyi bir fikri olan var mı?

Bu sorunun temel olarak bir çeşit kötü amaçlı yazılım yazmakla ilgili olduğunu biliyorum, ancak kahramanımı bir Hacker'ın Bilgisayarını Çaldığınızda Ne Olduğundan Öyleyse DEF CON dersini vermeyi çok isterdim .

Herhangi bir yasa yapmadan emin olmak için herhangi bir şey yapmadan önce polise başvurduğunuzdan emin olacağız.

Dr. İyi şeyler.

Kabuk yazımı konusunda yetkinsiniz ve bir saldırı vektörüne ihtiyacınız var gibi. Zoz'un yaptıklarına benzer bir şey yapmanın anahtarı SSH erişimini sağlamak. Hırsızın bir çevirmeli modem kullandığı durumundan farklı olarak, yeni Mac'ler çevirme yapamadığından, hırsızın geniş bantlı bir bağlantı kullandığı ve bir tür NAT yönlendiricisinin arkasında olduğu neredeyse kesin.

Makinede SSH etkinleştirilmiş olsa bile, makinenin SSH dinleme portuna dışarıdan erişebilmeniz için yönlendiricide port yönlendirme yapılması gerekecektir. Geniş bant bağlantısının alt tarafı, IP adresinin neredeyse kesinlikle çevirmeli bağlantıya göre daha az değişeceğidir.

Senin durumunda olsaydım, hırsızın IP'sini tutardım, önce yönlendiricisinin web arayüzüne giriş yapıp oradan ne yapabileceğimi görmeye çalışırdım. Kaç kişinin varsayılan yönlendirici / modem şifrelerini yerinde bırakması şaşırtıcıdır ve çoğu büyük üretici için varsayılan şifreleri bulabileceğiniz çevrimiçi listeler vardır.

İçeri girdikten sonra yönlendiricideki DHCP müşteri listesini kontrol edin ve MacBook'u bulabilecek misiniz bakın. Birçok yönlendirici, dahili IP adresi (en sık 192.168.1.x) atanan MAC (donanım) Adresini ve en önemlisi makine adını gösterir.

Hangi IP'nin MacBook'a atandığını belirleyin ve ardından yönlendirici ayarlarında kendisine bir bağlantı noktası kurun. 22 dışında bir harici bağlantı noktası kullanın (örneğin, bağlantı noktası 2222) ve bu bağlantı noktasını MacBook’un IP’sinin 22 numaralı bağlantı noktasına iletin.

Birçok yönlendiricinin SSH erişimi açık olduğundan, hırsızın IP @ bağlantı noktasına 22 erişilmesi sizi makine kabuğu yerine yönlendirici kabuğuna götürebilir. Şimdi hırsızın harici IP'sinde (Dropbox'tan aldığınız) sizi doğrudan SSH portuna götürecek bir Mac'iniz olmalı ve MacBook'ta bağlı olmalıdır. Ancak, SSH henüz açılmadı.

Bu kısım hırsızdan biraz hareket gerektiriyor. E-posta fikrini beğendim ancak arkadaşınızın Apple Mail kullanıyor olması gerekiyor. Daha iyi bir yaklaşım, SSH'yi (Uzaktan Giriş) açacak olan Dropbox'a cazip bir .app dosyası yüklemek olabilir.

Bunu bir kabuk betiği ile yapabilirsiniz, ancak Applescript ile yapmak, Applescript'i bir .app olarak kaydetmek ve hoş bir ikon vermek markanızı kandırmak ve kendinizi vermemek için uzun bir yol kat edecektir.

Uzaktan Giriş özelliğini açmak için Applescript kodu:

do shell script "sudo systemsetup setremotelogin on" user name "Friend's Username" password "Friend's Password" with administrator privileges

Bu kod parçası, eğer yapmak istiyorsanız kendinize e-posta ile gönderebileceğiniz makinenin seri numarasına sahip bir dize döndürür:

do shell script "sudo system_profiler |grep \"r (system)\"" user name "Friend's Username" password "Friend's Password" with administrator privileges

El kitabını Uzaktan Giriş'i açacak şekilde, başka ne gerekiyorsa yaparsa yazarım. Şüphe uyandıracağından GUI'yi veya kabuğun dışındaki uygulamaları komut yazmamaya çalışın. Sonunda, "Bu uygulama bu Macintosh'ta çalışamaz." şüpheyi azaltmak için "Çık" düğmesine basın. Betik AppleScript Editör'de çalıştıktan sonra, onu yalnızca çalıştırılabilir bir .app dosyası olarak kaydedin.

.App'ı popüler bir oyun, Plants vs. Zombies veya Angry Birds gibi bir şey olarak gizlemeyi deneyin. Simgeyi gerçek oyunun .app dosyasından dışa aktarabilir ve Applescript'ten dışa aktardığınız .app içine yerleştirebilirsiniz. Arkadaşınız hırsızı yakından incelerse, onu sosyal olarak profillendirebilir ve .app'ı ilgilenebilecekleri başka bir şey olarak gizleyebilirsiniz.

Bağlantı noktasını ileri doğru ayarlayabilmeniz koşuluyla (işaretiniz uygun güvenlik uygulamalarını zorlamaz) ve uygulamayı çalıştırmasını sağlayabilirsiniz, makineye tam SSH erişiminiz olacak ve ipuçlarını aramaya devam edebilirsiniz. hemen varlığından vazgeç. Bu aynı zamanda, markanın Dropbox'ın Growl bildirimlerinden sıkılmamasını ve bırakmamasını gerektirir, bu nedenle bir süre arkadaşınıza Dropbox'a dosya kaydetmeyi bırakmasını öneririm.

Not: Hırsız ISS'lerinden ayrılırsa ve yeniden bağlanırsa, yeni bir harici IP alırlar. Dropbox'a bir dosya ekleyin ve senkronize etmesini bekleyin. Bu size güncellenmiş IP'yi sağlamalıdır.

Not 2: Kullanıcı yönlendiriciye MacBook ile belirli bir süre boyunca bağlantı kurmazsa (genellikle 24 saat), MacBook'a atanmış olan dahili IP adresinin DHCP kiralaması sona erer. Büyük olasılıkla, ağa başka bir cihaz tanıtılmadığı sürece, bir sonraki bağlanışında aynı IP adresini alacaktır. Bu durumda, yönlendiriciye manuel olarak tekrar giriş yapmanız ve bağlantı noktasını ileri doğru değiştirmeniz gerekecektir.

Bu tek saldırı aracı değil, fakat IP’nin Dropbox aracılığıyla hala güncellenmekte olduğunu anladığım anda yaptığım şey bu. İyi şanslar!

EDIT: Her "kabuk komut dosyası yap" satırının sonundaki "yönetici ayrıcalıkları" çok önemlidir. Kullanıcıya arkadaşınızın yönetici şifresi sorulur ve satır içi kullanıcı adı ve şifre eklenmezse komut dosyası başarısız olur.

Mutlu doğum gününü kutlayan bir teyzeden bir e-posta gönderin ve teyzenin doğum günü için ona Abercrombie & Fitch + 'dan hediye kartı göndermek istediğini ancak doğru adrese ihtiyacı olduğunu söyleyin. Sonra bu düşük bütçeli Nijeryalı aldatmaca hilesi için düşmek hırsız kalmış.

+ Veya başka bir ünlü marka

Dürüst olmak gerekirse, Apple ile iletişime geçin. Bilgisayarlarının nasıl izleneceği hakkında bilgi sahibi olabilirler. Mac'in çalındığı ilk kişi sen olmadığına eminim.

Düzenleme: Apple'ın Destek Sayfasına baktım ve düşündüğümden daha az yardımcı oldu. Deneyebileceğiniz şey, Macbook'unuzu uzaktan kilitlemek için iCloud'u kullanmaktır.

Daniel Beck aslında test etti ve şöyle yorum yaptı:

“Gizli bir Mac arka kapı” olmasa ve [aslında] bilgisayarı gerçekten geri almakta pek yardımcı olmamakla birlikte, insanları Mac'inizden uzak tutmak oldukça iyi çalışıyor. Yorumunuz benden denememi istedi ve gerçekten etkileyici. Ekran beyaza döner, bilgisayarı kapatır ve normal önyükleme işlemini sürdürmek için iCloud aracılığıyla daha önce belirttiğiniz altı basamaklı bir kod gerektirir. "

Bu doğrudan bu durumu yardımcı olabilir, ancak gelecek için ve MacBooks indirirken olan tüm diğerleri için değil Prey hırsız izleme size bir avantaj sağlayabilir. Avcı, hırsızınızın yerini ve resmini içeren bir rapor sunacak ve bu, polis yardımı ile birleştirildiğinde dizüstü bilgisayarınızı geri alabilmektedir. Bilgisayarı kaybettikten sonra polise çalıntı madde bildirmediğiniz sürece birçok polis departmanının yardım edemeyeceğini unutmayın; öyleyse bunu en kısa zamanda yap.

IP adresi göz önüne alındığında, muhtemelen hangi ISS'ye veya daha fazla bağlandığını hesaplayabilirsiniz.

Git: http://remote.12dt.com/lookup.php

IP adresini girin.

Örneğin, ip adresinin 203.97.37.85 olduğunu varsayalım (bu aslında NZ'deki bir ISS'nin web sunucusu adresidir).

Ve bir şirket veya ISS alan adı gösterebilir. Bir şirket adı gibi görünüyorsa, o zaman gerçekten hızlı daraltın. Ancak bir ağ sağlayıcısının adı ise (yukarıdaki durumda - TelstraClear NZ).

Yukarıdakilere ek olarak, bir whois araması yaparım. Çevrimiçi whois arama araçlarından birini kullanın.

http://networking.ringofsaturn.com/Tools/whois.php

Ve bir çok bilgiyi geri alacaksın. Ancak bunun TelstraClear ağı içindeki bir adres olduğunu görebilirsiniz.

#
# Query terms are ambiguous.  The query is assumed to be:
#     "n 203.97.37.85"
#
# Use "?" to get help.
#

#
# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=203.97.37.85?showDetails=true&showARIN=false&ext=netref2
#

NetRange:       203.0.0.0 - 203.255.255.255
CIDR:           203.0.0.0/8
OriginAS:
NetName:        APNIC-203
NetHandle:      NET-203-0-0-0-1
Parent:
NetType:        Allocated to APNIC
Comment:        This IP address range is not registered in the ARIN database.
Comment:        For details, refer to the APNIC Whois Database via
Comment:        WHOIS.APNIC.NET or http://wq.apnic.net/apnic-bin/whois.pl
Comment:        ** IMPORTANT NOTE: APNIC is the Regional Internet Registry
Comment:        for the Asia Pacific region. APNIC does not operate networks
Comment:        using this IP address range and is not able to investigate
Comment:        spam or abuse reports relating to these addresses. For more
Comment:        help, refer to http://www.apnic.net/apnic-info/whois_search2/abuse-and-spamming
RegDate:        1994-04-05
Updated:        2010-08-02
Ref:            http://whois.arin.net/rest/net/NET-203-0-0-0-1

OrgName:        Asia Pacific Network Information Centre
OrgId:          APNIC
Address:        PO Box 2131
City:           Milton
StateProv:      QLD
PostalCode:     4064
Country:        AU
RegDate:
Updated:        2011-09-24
Ref:            http://whois.arin.net/rest/org/APNIC

ReferralServer: whois://whois.apnic.net

OrgAbuseHandle: AWC12-ARIN
OrgAbuseName:   APNIC Whois Contact
OrgAbusePhone:  +61 7 3858 3188
OrgAbuseEmail:  search-apnic-not-arin@apnic.net
OrgAbuseRef:    http://whois.arin.net/rest/poc/AWC12-ARIN

OrgTechHandle: AWC12-ARIN
OrgTechName:   APNIC Whois Contact
OrgTechPhone:  +61 7 3858 3188
OrgTechEmail:  search-apnic-not-arin@apnic.net
OrgTechRef:    http://whois.arin.net/rest/poc/AWC12-ARIN

#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#

% [whois.apnic.net node-1]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

inetnum:      203.97.0.0 - 203.97.127.255
netname:      TELSTRACLEAR-NZ
descr:        TelstraClear Ltd
country:      NZ
admin-c:      TAC3-AP
tech-c:       TTC7-AP
notify:       apnic.changes@team.telstraclear.co.nz
mnt-by:       APNIC-HM
mnt-lower:    MAINT-NZ-TELSTRACLEAR
status:       ALLOCATED PORTABLE
changed:      hm-changed@apnic.net 19960101
changed:      netobjs@clear.net.nz 20010624
changed:      hm-changed@apnic.net 20041214
changed:      hm-changed@apnic.net 20050216
source:       APNIC

role:         TelstraClear Administrative Contact
address:      TelstraClear Limited
address:      Network Planning
address:      Private Bag 92143
address:      Auckland
country:      NZ
e-mail:       apnic.changes@team.telstraclear.co.nz
phone:        +64 9 912 5205
trouble:      For network abuse contact:
trouble:      list.admin@team.telstraclear.co.nz
trouble:      +64 9 912 5161
trouble:      For 24/7 after-hours NOC contact:
trouble:      +64 9 912 4482
notify:       apnic.changes@team.telstraclear.co.nz
tech-c:       TTC7-AP
admin-c:      TAC3-AP
nic-hdl:      TAC3-AP
mnt-by:       MAINT-NZ-TELSTRACLEAR
changed:      hm-changed@apnic.net 20041125
source:       APNIC

role:         TelstraClear Technical Contact
address:      TelstraClear Limited
address:      Customer Help
address:      Private Bag 92143
address:      Auckland
country:      NZ
e-mail:       list.admin@team.telstraclear.co.nz
phone:        +64 9 912 5161
trouble:      For network abuse contact:
trouble:      list.admin@team.telstraclear.co.nz
trouble:      +64 9 912 5161
trouble:      For 24/7 after-hours NOC contact:
trouble:      +64 9 912 4482
notify:       apnic.changes@team.telstraclear.co.nz
tech-c:       TTC7-AP
admin-c:      TAC3-AP
nic-hdl:      TTC7-AP
mnt-by:       MAINT-NZ-TELSTRACLEAR
changed:      hm-changed@apnic.net 20041125
source:       APNIC

Bu noktada polis için bir sorun olurdu. ISS'nin size bu noktada kimin giriş yaptığını söyleyeceğinden şüpheliyim.

Dizüstü bilgisayarı geri alırsanız veya yenisini alırsanız, preyproject'i üzerine takın. Daha sonra işleri çok daha kolaylaştıracak. Suçluların fotoğrafını bile çekebilirsiniz :)

Yapabileceğin bir sürü şey var ve hiçbirini yapmamanı şiddetle tavsiye ederim. Polisin işini yapmasına ve tutuklama yapmasına izin ver.

Bu akıllıca bir cevap değil, ama doğru olan, yani.

- en azından, uzaktan takarsanız ve üzerlerinizde bulunduğunu düşünüyorlarsa, muhtemelen dizüstü bilgisayarı parçalara ayıracaklardır.