วิธีค้นหา Macbook ที่ถูกขโมยของฉัน

เพื่อนของฉันเพิ่งขโมย Macbook ของเธอไป บัญชี Dropbox ของเธอยังคงทำงานบน Macbook ดังนั้นเธอจึงสามารถเห็นได้ทุกครั้งที่ Macbook ออนไลน์และเธอสามารถรับที่อยู่ IP ได้

เธอได้ให้ข้อมูลนี้แก่ตำรวจซึ่งอาจใช้เวลาถึงหนึ่งเดือนในการรับตำแหน่งจริงจากที่อยู่ IP ฉันสงสัยว่าเราจะช่วยหาแล็ปท็อปได้หรือไม่เพราะตอนนี้คนที่ถูกจับนั้นสามารถจับสินค้าที่ขโมยมาได้ (ไม่เช่นนั้นพวกเขาอาจติดตั้งใหม่ก่อนที่ตำรวจจะจับพวกเขา)

นี่คือข้อเท็จจริงเกี่ยวกับ Macbook ที่ถูกขโมย:

• มันใช้งาน OS X อยู่ แต่ฉันไม่แน่ใจว่าจะใช้เวอร์ชั่นใด
• มีบัญชีผู้ใช้เดียวเท่านั้นไม่มีรหัสผ่านและมีสิทธิ์ผู้ดูแลระบบ
• Dropbox ของเจ้าของดั้งเดิมยังคงซิงโครไนซ์ซึ่งจะให้ที่อยู่ IP กับเราทุกครั้งที่ออนไลน์
• เจ้าของดั้งเดิมไม่ใช่ช่างเทคนิคดังนั้นเธอจึงไม่น่าจะเปิดคุณสมบัติการควบคุมระยะไกลใด ๆ เช่น SSH, VNC และอื่น ๆ (ฉันส่งอีเมลไปถามเธอ)
• เธอไม่ได้ใช้ iCloud หรือบริการ. Mac

ฉันกำลังพิจารณาที่จะส่งไฟล์ที่น่าดึงดูดใน Dropbox เพื่อให้ผู้ใช้คลิกมัน ฉันเดาว่าฉันจะได้ภาพนี้เพียงนัดเดียวดังนั้นอยากได้ความคิดที่ดีที่สุดในการทำ

ความคิดของฉันจนถึงตอนนี้:

• ติดตั้งตัวบันทึกคีย์บางประเภทเพื่อส่งข้อมูลทั้งหมดกลับไปยังเจ้าของ มีวิธีใดในการทำเช่นนี้หากไม่มีผู้ใช้ที่รับทราบ
• ทำให้ไฟล์เป็นเชลล์สคริปต์เพื่อเบลอข้อมูลที่มีประโยชน์มากที่สุดเท่าที่จะเป็นไปได้เช่นประวัติเบราว์เซอร์ค้นหาการสำรองข้อมูลของ iPhone ฯลฯ ฉันไม่แน่ใจว่าวิธีที่ดีที่สุดในการส่งข้อมูลนี้กลับเป็นอย่างไร ดูเหมือนว่าฉันจะสามารถใช้คำสั่งmail (กับบัญชีอีเมลฟรีแน่นอน)
• อาจเปิดการจัดการระยะไกล มีวิธีการทำเช่นนี้โดยที่ผู้ใช้ไม่ยอมรับป๊อปอัปความปลอดภัยหรือไม่?

ใครบ้างมีเคล็ดลับที่นี่? ฉันเขียนเชลล์สคริปต์จำนวนมาก แต่สงสัยว่าตัวเลือก OS X อื่น ๆ อาจดีกว่าเช่น Applescript หรือไม่ มีใครมีแนวคิดที่ดีกว่าผลักไฟล์ Dropbox ไปหรือไม่

ฉันรู้ว่าคำถามนี้เป็นเรื่องเกี่ยวกับการเขียนมัลแวร์ในรูปแบบ แต่ฉันชอบที่จะเลียนแบบฮีโร่ของฉันจากสิ่งที่เกิดขึ้นเมื่อคุณขโมยบรรยายคอมพิวเตอร์ DEF CON ของแฮ็กเกอร์

เราจะตรวจสอบกับตำรวจก่อนที่เราจะทำอะไรเพื่อให้แน่ใจว่าเราจะไม่ผิดกฎหมาย

ฉันจำได้ว่าดูวิดีโอของดร. โซอซ สิ่งที่ดี.

ดูเหมือนว่าคุณมีความสามารถในการเขียนสคริปต์เชลล์และต้องการเพียงเวกเตอร์โจมตี กุญแจสำคัญในการทำสิ่งที่คล้ายกับที่ Zoz ทำคือการเข้าถึง SSH ซึ่งแตกต่างจากสถานการณ์ของเขาที่โจรใช้โมเด็ม dialup มันเกือบจะแน่นอนเนื่องจาก Mac รุ่นใหม่ไม่ทำการเรียกเลขหมายว่าขโมยใช้การเชื่อมต่อบรอดแบนด์และอยู่หลังเราเตอร์ NAT บางประเภท

แม้ว่าจะเปิดใช้งาน SSH บนเครื่องการส่งต่อพอร์ตจะต้องตั้งค่าบนเราเตอร์เพื่อให้คุณเข้าถึงพอร์ตการฟัง SSH ของเครื่องจากด้านนอก ข้อดีของการเชื่อมต่อบรอดแบนด์คือที่อยู่ IP จะเปลี่ยนบ่อยกว่าการหมุนโทรศัพท์

ถ้าฉันอยู่ในตำแหน่งของคุณถือ IP ของขโมยฉันจะพยายามลงชื่อเข้าใช้เว็บอินเตอร์เฟสของเราเตอร์ของพวกเขาก่อนและดูว่าฉันสามารถทำอะไรได้จากที่นั่น เป็นเรื่องที่น่าอัศจรรย์ว่ามีคนจำนวนเท่าใดที่ปล่อยรหัสผ่านเราเตอร์ / โมเด็มเริ่มต้นไว้และมีรายการออนไลน์ที่คุณสามารถค้นหารหัสผ่านเริ่มต้นสำหรับผู้ผลิตรายใหญ่ส่วนใหญ่

ตรวจสอบรายชื่อไคลเอ็นต์ DHCP บนเราเตอร์และดูว่าคุณสามารถหา MacBook ได้หรือไม่ เราเตอร์จำนวนมากจะแสดงที่อยู่ MAC (ฮาร์ดแวร์) ที่อยู่ IP ที่กำหนดภายใน (บ่อยครั้งที่ 192.168.1.x) และที่สำคัญที่สุดคือชื่อเครื่อง

กำหนด IP ที่กำหนดให้กับ MacBook จากนั้นตั้งค่าพอร์ตไปข้างหน้าในการตั้งค่าของเราเตอร์ ใช้พอร์ตภายนอกบางอย่างนอกเหนือจาก 22 (ตัวอย่างเช่นพอร์ต 2222) และส่งต่อไปยังพอร์ต 22 ของ IP ของ MacBook

เราเตอร์จำนวนมากที่เปิดใช้งานการเข้าถึง SSH ดังนั้นการเข้าถึง IP @ พอร์ต 22 ของโจรอาจนำคุณไปที่เราเตอร์เชลล์มากกว่าเครื่องเชลล์ ตอนนี้คุณควรมีพอร์ตบน IP ภายนอกของขโมย (ที่คุณได้รับจาก Dropbox) ซึ่งจะพาคุณไปยังพอร์ต SSH โดยตรงจะต้องเชื่อมโยงกับ MacBook ยกเว้น SSH ยังไม่เปิดใช้งาน

ส่วนนี้ต้องมีการกระทำบางอย่างจากขโมย ฉันชอบแนวคิดอีเมล แต่ต้องการให้เพื่อนของคุณใช้ Apple Mail วิธีที่ดีกว่าอาจอัปโหลดไฟล์. app ที่ดึงดูดไปยัง Dropbox ที่จะเปิด SSH (การเข้าสู่ระบบระยะไกล)

คุณสามารถทำสิ่งนี้ผ่านเชลล์สคริปต์ แต่ทำได้ผ่าน Applescript การบันทึก Applescript ให้เป็น. app และการให้ไอคอนที่ดีจะทำให้การหลอกลวงของคุณหายไป

นี่คือรหัส Applescript เพื่อเปิดใช้การเข้าสู่ระบบระยะไกล:

do shell script "sudo systemsetup setremotelogin on" user name "Friend's Username" password "Friend's Password" with administrator privileges

รหัสบิตนี้จะส่งคืนสตริงด้วยหมายเลขประจำเครื่องที่คุณสามารถส่งอีเมลถึงตัวเองได้หากคุณต้องการ:

do shell script "sudo system_profiler |grep \"r (system)\"" user name "Friend's Username" password "Friend's Password" with administrator privileges

ฉันจะเขียน applescript เพื่อที่จะเปิดใช้งานการเข้าสู่ระบบระยะไกลทำสิ่งอื่นที่คุณต้องการ พยายามอย่าเขียนสคริปต์ GUI หรือแอปพลิเคชันใด ๆ นอกเหนือจากเชลล์เนื่องจากจะทำให้เกิดความสงสัย ในตอนท้ายแสดงข้อความถึงผลกระทบของ "แอปพลิเคชันนี้ไม่สามารถทำงานบน Macintosh นี้" ด้วยปุ่ม "ออก" เพื่อลดความสงสัย เมื่อสคริปต์ทำงานใน AppleScript Editor ให้บันทึกเป็นไฟล์. app แบบ run-only

ลองปลอมแปลงแอป. เป็นเกมยอดนิยม, Plants vs. Zombies หรือ Angry Birds หรือบางอย่าง คุณสามารถส่งออกไอคอนจาก. app ของเกมจริงและใส่ลงใน. app ที่คุณส่งออกจาก Applescript หากเพื่อนของคุณดูโจรคนนั้นได้ดีคุณสามารถบันทึกเขา / เธอทางสังคมและอำพราง. app เป็นอย่างอื่นที่พวกเขาอาจสนใจ

โดยมีเงื่อนไขว่าคุณสามารถตั้งค่าพอร์ตไปข้างหน้า (เครื่องหมายของคุณไม่ได้บังคับใช้วิธีปฏิบัติด้านความปลอดภัยที่เหมาะสม) และคุณสามารถให้เขา / เธอทำงานแอพพลิเคชั่นได้คุณจะสามารถเข้าถึง SSH แบบเต็มไปยังเครื่องได้ ให้การแสดงตนของคุณทันที สิ่งนี้ต้องการให้เครื่องหมายไม่ทำให้เบื่อกับการแจ้งเตือน Growl ของ Dropbox และออกจากมันดังนั้นฉันขอแนะนำให้เพื่อนของคุณหยุดบันทึกไฟล์ลงใน Dropbox ของเธอสักพัก

หมายเหตุ: หากขโมยตัดการเชื่อมต่อจาก ISP ของพวกเขาและเชื่อมต่ออีกครั้งพวกเขาจะได้รับ IP ภายนอกใหม่ เพิ่มไฟล์ใน Dropbox และรอให้ซิงค์ นี่ควรจะได้รับ IP ที่อัปเดตแล้ว

หมายเหตุ 2: หากผู้ใช้ไม่ได้เชื่อมต่อกับเราเตอร์กับ MacBook เป็นระยะเวลาหนึ่ง (โดยปกติคือ 24 ชั่วโมง) DHCP ที่เช่าสำหรับที่อยู่ IP ภายในที่กำหนดให้กับ MacBook จะหมดอายุ ส่วนใหญ่แล้วมันจะได้รับที่อยู่ IP เดียวกันในครั้งถัดไปที่เชื่อมต่อเว้นแต่จะมีการแนะนำอุปกรณ์อื่นในเครือข่าย ในเหตุการณ์นี้คุณจะต้องลงชื่อกลับเข้าใช้เราเตอร์ด้วยตนเองและแก้ไขพอร์ตไปข้างหน้า

นี่ไม่ใช่วิธีการโจมตีเพียงอย่างเดียว แต่นี่คือสิ่งที่ฉันทำครั้งที่สองที่ฉันรู้ว่า IP ยังคงได้รับการอัปเดตผ่าน Dropbox โชคดี!

แก้ไข: "สิทธิ์ผู้ดูแลระบบ" ในตอนท้ายของแต่ละบรรทัด "do shell script" มีความสำคัญมาก ผู้ใช้จะได้รับแจ้งให้ป้อนรหัสผ่านผู้ดูแลระบบของเพื่อนของคุณและสคริปต์จะล้มเหลวหากคุณไม่รวมชื่อผู้ใช้และรหัสผ่านแบบอินไลน์

ส่งอีเมลจากป้าที่ต้องการสุขสันต์วันเกิดและป้าต้องการส่งบัตรของขวัญจาก Abercrombie & Fitch + สำหรับวันเกิดของเธอ แต่ต้องการที่อยู่ที่ถูกต้อง จากนั้นก็ขึ้นอยู่กับโจรที่จะล้มเพราะการหลอกลวงไนจีเรียในงบประมาณต่ำ

+ หรือแบรนด์ที่มีชื่อเสียงอื่น ๆ

สุจริตติดต่อ Apple พวกเขาอาจมีข้อมูลเกี่ยวกับวิธีการติดตามคอมพิวเตอร์ ฉันแน่ใจว่าคุณไม่ใช่คนแรกที่ถูกขโมย Mac

แก้ไข:ฉันดูที่หน้าสนับสนุนของ Appleและจริง ๆ แล้วมันมีประโยชน์น้อยกว่าฉันคิดว่ามันจะเป็น สิ่งที่คุณสามารถลองใช้คือ iCloud เพื่อล็อค Macbook ของคุณจากระยะไกล

Daniel Beck ได้ทำการทดสอบและแสดงความคิดเห็นว่า:

"แม้ว่าจะไม่ใช่" secret ลับๆ Mac backdoor "และ [ถึงแม้ว่ามันจะไม่เป็นประโยชน์จริง ๆ ในการนำคอมพิวเตอร์กลับมา แต่ก็ใช้งานได้ดีทีเดียวที่จะล็อคคนออกจาก Mac ของคุณความคิดเห็นของคุณกระตุ้นให้ฉันลองใช้ หน้าจอเป็นสีขาวมันจะปิดเครื่องคอมพิวเตอร์และต้องใช้รหัสหกหลักที่คุณระบุไว้ก่อนหน้านี้ผ่าน iCloud เพื่อให้กระบวนการบูตปกติกลับมาทำงานต่อ "

สิ่งนี้ไม่ได้ช่วยสถานการณ์นี้โดยตรง แต่สำหรับอนาคตและสำหรับคนอื่น ๆ ที่มี Macbooks ดาวน์โหลดเหยื่อสามารถให้ประโยชน์กับคุณในการติดตามโจร เหยื่อจะจัดทำรายงานรวมถึงที่ตั้งและรูปภาพของโจรของคุณและสิ่งนี้เมื่อรวมกับความช่วยเหลือจากตำรวจคุณสามารถนำแล็ปท็อปของคุณกลับมาได้ โปรดทราบว่าแผนกตำรวจหลายแห่งจะไม่ช่วยหากคุณไม่แจ้งเรื่องที่ถูกขโมยกับตำรวจเมื่อคุณทำคอมพิวเตอร์หาย จงทำสิ่งนี้ให้เร็วที่สุด

เมื่อได้รับที่อยู่ IP คุณสามารถใช้ ISP ที่เชื่อมต่อผ่านหรือมากกว่านั้นได้

ไปที่: http://remote.12dt.com/lookup.php

ป้อนที่อยู่ IP

เช่นสมมติว่าที่อยู่ ip คือ: 203.97.37.85 (อันที่จริงคือที่อยู่เว็บเซิร์ฟเวอร์ของ ISP ในนิวซีแลนด์)

และอาจแสดงชื่อโดเมนของ บริษัท หรือ ISP หากดูเหมือนว่าเป็นชื่อ บริษัท คุณก็จะแคบลงอย่างรวดเร็ว แต่ถ้าเป็นชื่อของผู้ให้บริการเครือข่าย (ในกรณีนี้คือ - TelstraClear NZ)

นอกจากด้านบนฉันจะค้นหา whois ใช้หนึ่งในเครื่องมือค้นหา whois ออนไลน์

http://networking.ringofsaturn.com/Tools/whois.php

และคุณจะได้รับข้อมูลกลับมากมาย แต่คุณจะเห็นว่ามันเป็นที่อยู่ภายในเครือข่าย TelstraClear

#
# Query terms are ambiguous.  The query is assumed to be:
#     "n 203.97.37.85"
#
# Use "?" to get help.
#

#
# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=203.97.37.85?showDetails=true&showARIN=false&ext=netref2
#

NetRange:       203.0.0.0 - 203.255.255.255
CIDR:           203.0.0.0/8
OriginAS:
NetName:        APNIC-203
NetHandle:      NET-203-0-0-0-1
Parent:
NetType:        Allocated to APNIC
Comment:        This IP address range is not registered in the ARIN database.
Comment:        For details, refer to the APNIC Whois Database via
Comment:        WHOIS.APNIC.NET or http://wq.apnic.net/apnic-bin/whois.pl
Comment:        ** IMPORTANT NOTE: APNIC is the Regional Internet Registry
Comment:        for the Asia Pacific region. APNIC does not operate networks
Comment:        using this IP address range and is not able to investigate
Comment:        spam or abuse reports relating to these addresses. For more
Comment:        help, refer to http://www.apnic.net/apnic-info/whois_search2/abuse-and-spamming
RegDate:        1994-04-05
Updated:        2010-08-02
Ref:            http://whois.arin.net/rest/net/NET-203-0-0-0-1

OrgName:        Asia Pacific Network Information Centre
OrgId:          APNIC
Address:        PO Box 2131
City:           Milton
StateProv:      QLD
PostalCode:     4064
Country:        AU
RegDate:
Updated:        2011-09-24
Ref:            http://whois.arin.net/rest/org/APNIC

ReferralServer: whois://whois.apnic.net

OrgAbuseHandle: AWC12-ARIN
OrgAbuseName:   APNIC Whois Contact
OrgAbusePhone:  +61 7 3858 3188
OrgAbuseEmail:  search-apnic-not-arin@apnic.net
OrgAbuseRef:    http://whois.arin.net/rest/poc/AWC12-ARIN

OrgTechHandle: AWC12-ARIN
OrgTechName:   APNIC Whois Contact
OrgTechPhone:  +61 7 3858 3188
OrgTechEmail:  search-apnic-not-arin@apnic.net
OrgTechRef:    http://whois.arin.net/rest/poc/AWC12-ARIN

#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#

% [whois.apnic.net node-1]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

inetnum:      203.97.0.0 - 203.97.127.255
netname:      TELSTRACLEAR-NZ
descr:        TelstraClear Ltd
country:      NZ
admin-c:      TAC3-AP
tech-c:       TTC7-AP
notify:       apnic.changes@team.telstraclear.co.nz
mnt-by:       APNIC-HM
mnt-lower:    MAINT-NZ-TELSTRACLEAR
status:       ALLOCATED PORTABLE
changed:      hm-changed@apnic.net 19960101
changed:      netobjs@clear.net.nz 20010624
changed:      hm-changed@apnic.net 20041214
changed:      hm-changed@apnic.net 20050216
source:       APNIC

role:         TelstraClear Administrative Contact
address:      TelstraClear Limited
address:      Network Planning
address:      Private Bag 92143
address:      Auckland
country:      NZ
e-mail:       apnic.changes@team.telstraclear.co.nz
phone:        +64 9 912 5205
trouble:      For network abuse contact:
trouble:      list.admin@team.telstraclear.co.nz
trouble:      +64 9 912 5161
trouble:      For 24/7 after-hours NOC contact:
trouble:      +64 9 912 4482
notify:       apnic.changes@team.telstraclear.co.nz
tech-c:       TTC7-AP
admin-c:      TAC3-AP
nic-hdl:      TAC3-AP
mnt-by:       MAINT-NZ-TELSTRACLEAR
changed:      hm-changed@apnic.net 20041125
source:       APNIC

role:         TelstraClear Technical Contact
address:      TelstraClear Limited
address:      Customer Help
address:      Private Bag 92143
address:      Auckland
country:      NZ
e-mail:       list.admin@team.telstraclear.co.nz
phone:        +64 9 912 5161
trouble:      For network abuse contact:
trouble:      list.admin@team.telstraclear.co.nz
trouble:      +64 9 912 5161
trouble:      For 24/7 after-hours NOC contact:
trouble:      +64 9 912 4482
notify:       apnic.changes@team.telstraclear.co.nz
tech-c:       TTC7-AP
admin-c:      TAC3-AP
nic-hdl:      TTC7-AP
mnt-by:       MAINT-NZ-TELSTRACLEAR
changed:      hm-changed@apnic.net 20041125
source:       APNIC

มันคงเป็นเรื่องของตำรวจในตอนนั้น ฉันสงสัยว่า ISP กำลังจะบอกคุณว่าใครกำลังเข้าสู่ระบบ ณ จุดนั้น

หากคุณนำแล็ปท็อปกลับมาหรือหากคุณได้รับแล็ปท็อปใหม่ให้ติดตั้ง preyproject มันจะทำให้สิ่งต่าง ๆ ง่ายขึ้นในภายหลัง คุณยังสามารถถ่ายรูปผู้กระทำความผิดได้ด้วย :)

มีหลายสิ่งที่คุณสามารถทำได้และฉันขอแนะนำให้คุณไม่ทำอย่างนั้น ให้ตำรวจทำงานและจับกุมตัว

มันไม่ใช่คำตอบที่ฉลาด แต่เป็นคำตอบที่ถูก

- ไม่อย่างน้อยถ้าคุณยุ่งกับมันจากระยะไกลและพวกเขาคิดว่าคุณกำลังเข้าสู่พวกเขาพวกเขาจะทุบแล็ปท็อปเป็นบิต