Como encontrar meu Macbook roubado

Eu lembro de assistir aquele vídeo do Dr. Zoz. Coisas boas.

Parece que você é competente com scripts de shell e precisa apenas de um vetor de ataque. A chave para fazer algo semelhante ao que o Zoz fez é obter acesso ao SSH. Ao contrário de sua situação, onde o ladrão estava usando um modem dial-up, é quase certo, já que os Macs mais novos não fazem discadas, que o ladrão está usando uma conexão de banda larga e está atrás de algum tipo de roteador NAT.

Mesmo se o SSH estivesse habilitado na máquina, o encaminhamento de porta teria que ser configurado no roteador para que você pudesse acessar a porta de escuta SSH da máquina do lado de fora. A vantagem de uma conexão de banda larga é que o endereço IP quase certamente mudará com menos frequência do que com discagem.

Se eu estivesse em sua posição, mantendo o IP do ladrão, tentaria primeiro fazer login na interface da Web do roteador e ver o que posso fazer a partir daí. É incrível a quantidade de pessoas que deixam suas senhas de roteador / modem padrão, e há listas on-line nas quais você pode encontrar senhas padrão para a maioria dos principais fabricantes.

Uma vez lá dentro, verifique a lista de clientes DHCP no roteador e veja se consegue encontrar o MacBook. Muitos roteadores mostrarão endereço MAC (hardware), endereço IP interno atribuído (192.168.1.x na maioria das vezes) e, mais importante, o nome da máquina.

Descobrir qual IP é atribuído ao MacBook e depois configurar uma porta para ele nas configurações do roteador. Use alguma porta externa diferente de 22, (porta 2222 por exemplo) e encaminhe-a para a porta 22 do IP do MacBook.

Muitos roteadores têm acesso SSH ativado, portanto, acessar a porta IP @ do ladrão pode levá-lo ao shell do roteador em vez do shell da máquina. Agora você deve ter uma porta no IP externo do ladrão (que você obteve do Dropbox) que o levará diretamente para a porta que o SSH deve estar ligado no MacBook. Exceto que o SSH ainda não está ativado.

Esta parte requer alguma ação do ladrão. Eu gosto da idéia de e-mail, mas é necessário que seu amigo esteja usando o Apple Mail. Uma abordagem melhor pode ser o upload de um arquivo .app tentador para o Dropbox que ativará o SSH (Login Remoto).

Você pode fazer isso através de um shell script, mas fazê-lo através do Applescript, salvando o Applescript como um .app e dando-lhe um bom ícone, tudo vai muito longe para enganar sua marca e não se doar.

Este é o código do Applescript para ativar o login remoto em:

do shell script "sudo systemsetup setremotelogin on" user name "Friend's Username" password "Friend's Password" with administrator privileges

Esse bit de código retornará uma string com o número de série da máquina que você pode enviar por e-mail para você mesmo se quiser:

do shell script "sudo system_profiler |grep \"r (system)\"" user name "Friend's Username" password "Friend's Password" with administrator privileges

Eu escreveria o applescript para que ele ativasse o Remote Login, faça o que você precisar. Tente não fazer o script da GUI ou de quaisquer aplicativos além do shell, pois isso levantará suspeitas. No final exibir uma mensagem para o efeito de "Este aplicativo não pode ser executado neste Macintosh." com um botão "Quit" para reduzir a suspeita. Quando o script estiver funcionando no AppleScript Editor, salve-o como um arquivo .app somente de execução.

Tente disfarçar o .app como um jogo popular, Plants vs. Zombies ou Angry Birds ou algo assim. Você pode exportar o ícone do .app do jogo real e colocá-lo no .app que você exportar do Applescript. Se o seu amigo der uma boa olhada no ladrão, você pode socializar o perfil dele e disfarçar o .app como algo em que possa estar interessado.

Desde que você possa configurar a porta para frente (sua marca não impõe práticas de segurança adequadas), e você pode fazer com que ela execute o aplicativo, você terá acesso SSH completo à máquina e poderá continuar procurando por pistas sem imediatamente revelar sua presença. Isso também exige que a marca não se canse das notificações Growl do Dropbox e saia dela, então eu aconselho seu amigo a parar de salvar os arquivos em seu Dropbox por um tempo.

Observação: se o ladrão se desconectar do ISP e se reconectar, ele receberá um novo IP externo. Adicione um arquivo ao Dropbox e aguarde que ele seja sincronizado. Isso deve te dar o IP atualizado.

Nota 2: Se o usuário não se conectar ao roteador com o MacBook por um determinado período de tempo (geralmente 24 horas), a concessão do DHCP para o endereço IP interno que foi atribuído ao MacBook expirará. O mais provável é que ele receba o mesmo endereço IP na próxima vez que se conectar, a menos que outro dispositivo seja introduzido na rede. Nesse caso, você precisará fazer login manualmente no roteador e modificar a porta para frente.

Este não é o único meio de ataque, mas é isso que eu faria no segundo que percebi que o IP ainda estava sendo atualizado via Dropbox. Boa sorte!

EDIT: Os "privilégios de administrador" no final de cada linha "do shell script" são muito importantes. O usuário será solicitado a fornecer a senha de administrador do seu amigo e o script falhará, se você não incluir o nome de usuário e a senha in-line.

Envie um e-mail de uma tia desejando-lhe feliz aniversário e que a tia gostaria de lhe enviar um cartão de presente da Abercrombie & Fitch + para seu aniversário, mas precisa do endereço correto. Então cabe ao ladrão cair neste truque nigeriano de baixo orçamento.

+ Ou alguma outra marca famosa

Honestamente, entre em contato com a Apple. Eles podem ter informações sobre como rastrear seu computador. Tenho certeza de que você não é a primeira pessoa que roubou seu Mac.

Editar: Eu procurei na Página de Suporte da Apple e, na verdade, é menos útil do que eu pensei que seria. O que você poderia tentar é usar o iCloud para bloquear remotamente o seu Macbook.

Daniel Beck testou e comentou que:

"While not a "secret Mac backdoor", and [though it's] not really helpful in actually getting the computer back, it works quite nicely to lock people out of your Mac. Your comment prompted me to try it and it's actually quite impressive. The screen goes white, it shuts down the computer and requires a six digit code you specified earlier via iCloud to resume the normal boot process."

Isso não ajuda diretamente nessa situação, mas para o futuro e para todos os outros que têm Macbooks baixando o Prey pode lhe dar uma vantagem em rastreando o ladrão. Prey irá fornecer um relatório incluindo a localização e uma foto do seu ladrão e isso, combinado com a ajuda da polícia, pode trazer seu laptop de volta. Esteja ciente de que muitos departamentos de polícia não ajudarão a menos que você registre um relatório de item roubado com a polícia quando perder o computador; então faça isso o mais rápido possível.

Dado o endereço IP, provavelmente você pode descobrir com qual ISP está se conectando ou mais.

Acesse: link

Digite o endereço IP.

por exemplo. Suponha que o endereço IP seja: 203.97.37.85 (este é o endereço do servidor web de um ISP na NZ).

E isso pode mostrar um nome de domínio da empresa ou do provedor de serviços de Internet. Se parece que é um nome de empresa, então você está realmente se estreitando rapidamente. Mas se é o nome de um provedor de rede (neste caso acima - TelstraClear NZ).

Além do acima, eu faria uma pesquisa whois. Use uma das ferramentas de pesquisa on-line whois.

link

E você receberá muitas informações. Mas você pode ver que é um endereço dentro da rede da TelstraClear.

#
# Query terms are ambiguous.  The query is assumed to be:
#     "n 203.97.37.85"
#
# Use "?" to get help.
#

#
# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=203.97.37.85?showDetails=true&showARIN=false&ext=netref2
#

NetRange:       203.0.0.0 - 203.255.255.255
CIDR:           203.0.0.0/8
OriginAS:
NetName:        APNIC-203
NetHandle:      NET-203-0-0-0-1
Parent:
NetType:        Allocated to APNIC
Comment:        This IP address range is not registered in the ARIN database.
Comment:        For details, refer to the APNIC Whois Database via
Comment:        WHOIS.APNIC.NET or http://wq.apnic.net/apnic-bin/whois.pl
Comment:        ** IMPORTANT NOTE: APNIC is the Regional Internet Registry
Comment:        for the Asia Pacific region. APNIC does not operate networks
Comment:        using this IP address range and is not able to investigate
Comment:        spam or abuse reports relating to these addresses. For more
Comment:        help, refer to http://www.apnic.net/apnic-info/whois_search2/abuse-and-spamming
RegDate:        1994-04-05
Updated:        2010-08-02
Ref:            http://whois.arin.net/rest/net/NET-203-0-0-0-1

OrgName:        Asia Pacific Network Information Centre
OrgId:          APNIC
Address:        PO Box 2131
City:           Milton
StateProv:      QLD
PostalCode:     4064
Country:        AU
RegDate:
Updated:        2011-09-24
Ref:            http://whois.arin.net/rest/org/APNIC

ReferralServer: whois://whois.apnic.net

OrgAbuseHandle: AWC12-ARIN
OrgAbuseName:   APNIC Whois Contact
OrgAbusePhone:  +61 7 3858 3188
OrgAbuseEmail:  [email protected]
OrgAbuseRef:    http://whois.arin.net/rest/poc/AWC12-ARIN

OrgTechHandle: AWC12-ARIN
OrgTechName:   APNIC Whois Contact
OrgTechPhone:  +61 7 3858 3188
OrgTechEmail:  [email protected]
OrgTechRef:    http://whois.arin.net/rest/poc/AWC12-ARIN

#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#

% [whois.apnic.net node-1]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

inetnum:      203.97.0.0 - 203.97.127.255
netname:      TELSTRACLEAR-NZ
descr:        TelstraClear Ltd
country:      NZ
admin-c:      TAC3-AP
tech-c:       TTC7-AP
notify:       [email protected]
mnt-by:       APNIC-HM
mnt-lower:    MAINT-NZ-TELSTRACLEAR
status:       ALLOCATED PORTABLE
changed:      [email protected] 19960101
changed:      [email protected] 20010624
changed:      [email protected] 20041214
changed:      [email protected] 20050216
source:       APNIC

role:         TelstraClear Administrative Contact
address:      TelstraClear Limited
address:      Network Planning
address:      Private Bag 92143
address:      Auckland
country:      NZ
e-mail:       [email protected]
phone:        +64 9 912 5205
trouble:      For network abuse contact:
trouble:      [email protected]
trouble:      +64 9 912 5161
trouble:      For 24/7 after-hours NOC contact:
trouble:      +64 9 912 4482
notify:       [email protected]
tech-c:       TTC7-AP
admin-c:      TAC3-AP
nic-hdl:      TAC3-AP
mnt-by:       MAINT-NZ-TELSTRACLEAR
changed:      [email protected] 20041125
source:       APNIC

role:         TelstraClear Technical Contact
address:      TelstraClear Limited
address:      Customer Help
address:      Private Bag 92143
address:      Auckland
country:      NZ
e-mail:       [email protected]
phone:        +64 9 912 5161
trouble:      For network abuse contact:
trouble:      [email protected]
trouble:      +64 9 912 5161
trouble:      For 24/7 after-hours NOC contact:
trouble:      +64 9 912 4482
notify:       [email protected]
tech-c:       TTC7-AP
admin-c:      TAC3-AP
nic-hdl:      TTC7-AP
mnt-by:       MAINT-NZ-TELSTRACLEAR
changed:      [email protected] 20041125
source:       APNIC

Seria um assunto para a polícia naquele momento. Duvido que o ISP lhe diga quem está logando nesse ponto.

Se você conseguir o laptop de volta, ou se você comprar um novo, instale o preyproject nele. Isso tornará as coisas muito mais simples depois. Você pode até tirar uma foto do ofensor:)

Há toneladas de coisas que você poderia fazer, e eu recomendo que você não faça nenhuma delas. Deixe a polícia fazer o trabalho deles e fazer a prisão.

Não é a resposta inteligente, mas é a resposta certa, imho.

- não menos importante, se você mexer com ele remotamente e eles acharem que você está neles, eles provavelmente vão quebrar o laptop em pedaços.