Como encontrar meu Macbook roubado

28

Uma amiga minha acabou de roubar seu Macbook. Sua conta do Dropbox ainda está funcionando no Macbook, para que ela possa ver cada vez que o Macbook fica on-line, e ela pode obter seu endereço IP.

Ela deu essa informação para a polícia, que disse que pode levar até um mês para obter a localização real do endereço IP. Eu queria saber se poderíamos ajudar a encontrar o laptop, já que a pessoa com ele poderia ser presa agora por manipular bens roubados (caso contrário, eles podem reinstalá-lo antes que a polícia os pegue).

Aqui estão os fatos sobre o Macbook roubado:

  • Ele está executando o OS X, mas não sei exatamente qual versão (embora eu descubra).
  • Havia apenas uma única conta de usuário, sem senha e com privilégios de administrador.
  • O Dropbox do proprietário original ainda está sendo sincronizado, o que nos fornece o endereço IP sempre que fica on-line.
  • O dono original não é um técnico, então é muito improvável que ele tenha ativado qualquer recurso de controle remoto como SSH, VNC etc (enviei um e-mail a ela para perguntar).
  • Ela não usa o iCloud nem o serviço .Mac.

Eu estava pensando em enviar um arquivo atraente para o Dropbox para que o usuário clicasse nele. Eu estou supondo que vou ter apenas uma chance nisso, então queria algumas idéias sobre a melhor coisa a fazer.

Minhas ideias até agora:

  • Instale algum tipo de registrador de chaves para enviar todas as informações de volta ao proprietário. Existe alguma maneira de fazer isso sem o usuário ser informado?
  • Transforme o arquivo em um script de shell para obter o máximo de informações úteis, por exemplo, histórico do navegador, procure backups do iPhone, etc. Não tenho certeza da melhor maneira de enviar essa informação de volta embora. Parece que eu poderia usar o comando mail (para uma conta de e-mail gratuita, claro )?
  • Talvez ative o gerenciamento remoto. Existe uma maneira de fazer isso sem o usuário aceitar popups de segurança?

Alguém tem alguma dica aqui? Escrevi muitos scripts de shell, mas queria saber se outras opções do OS X poderiam ser melhores, por exemplo, Apipscript? Alguém tem alguma idéia melhor do que empurrar um arquivo do Dropbox para ele?

Eu sei que esta pergunta é basicamente sobre como escrever uma forma de malware, mas eu adoraria ser capaz de imitar meu herói a partir do O que acontece quando você rouba um computador de hacker DEF CON palestra.

Vamos nos certificar de verificar com a polícia antes de fazermos qualquer coisa para garantir que não violamos nenhuma lei.

    
por Dan J 09.11.2011 / 20:04

6 respostas

11

Eu lembro de assistir aquele vídeo do Dr. Zoz. Coisas boas.

Parece que você é competente com scripts de shell e precisa apenas de um vetor de ataque. A chave para fazer algo semelhante ao que o Zoz fez é obter acesso ao SSH. Ao contrário de sua situação, onde o ladrão estava usando um modem dial-up, é quase certo, já que os Macs mais novos não fazem discadas, que o ladrão está usando uma conexão de banda larga e está atrás de algum tipo de roteador NAT.

Mesmo se o SSH estivesse habilitado na máquina, o encaminhamento de porta teria que ser configurado no roteador para que você pudesse acessar a porta de escuta SSH da máquina do lado de fora. A vantagem de uma conexão de banda larga é que o endereço IP quase certamente mudará com menos frequência do que com discagem.

Se eu estivesse em sua posição, mantendo o IP do ladrão, tentaria primeiro fazer login na interface da Web do roteador e ver o que posso fazer a partir daí. É incrível a quantidade de pessoas que deixam suas senhas de roteador / modem padrão, e há listas on-line nas quais você pode encontrar senhas padrão para a maioria dos principais fabricantes.

Uma vez lá dentro, verifique a lista de clientes DHCP no roteador e veja se consegue encontrar o MacBook. Muitos roteadores mostrarão endereço MAC (hardware), endereço IP interno atribuído (192.168.1.x na maioria das vezes) e, mais importante, o nome da máquina.

Descobrir qual IP é atribuído ao MacBook e depois configurar uma porta para ele nas configurações do roteador. Use alguma porta externa diferente de 22, (porta 2222 por exemplo) e encaminhe-a para a porta 22 do IP do MacBook.

Muitos roteadores têm acesso SSH ativado, portanto, acessar a porta IP @ do ladrão pode levá-lo ao shell do roteador em vez do shell da máquina. Agora você deve ter uma porta no IP externo do ladrão (que você obteve do Dropbox) que o levará diretamente para a porta que o SSH deve estar ligado no MacBook. Exceto que o SSH ainda não está ativado.

Esta parte requer alguma ação do ladrão. Eu gosto da idéia de e-mail, mas é necessário que seu amigo esteja usando o Apple Mail. Uma abordagem melhor pode ser o upload de um arquivo .app tentador para o Dropbox que ativará o SSH (Login Remoto).

Você pode fazer isso através de um shell script, mas fazê-lo através do Applescript, salvando o Applescript como um .app e dando-lhe um bom ícone, tudo vai muito longe para enganar sua marca e não se doar.

Este é o código do Applescript para ativar o login remoto em:

do shell script "sudo systemsetup setremotelogin on" user name "Friend's Username" password "Friend's Password" with administrator privileges

Esse bit de código retornará uma string com o número de série da máquina que você pode enviar por e-mail para você mesmo se quiser:

do shell script "sudo system_profiler |grep \"r (system)\"" user name "Friend's Username" password "Friend's Password" with administrator privileges

Eu escreveria o applescript para que ele ativasse o Remote Login, faça o que você precisar. Tente não fazer o script da GUI ou de quaisquer aplicativos além do shell, pois isso levantará suspeitas. No final exibir uma mensagem para o efeito de "Este aplicativo não pode ser executado neste Macintosh." com um botão "Quit" para reduzir a suspeita. Quando o script estiver funcionando no AppleScript Editor, salve-o como um arquivo .app somente de execução.

Tente disfarçar o .app como um jogo popular, Plants vs. Zombies ou Angry Birds ou algo assim. Você pode exportar o ícone do .app do jogo real e colocá-lo no .app que você exportar do Applescript. Se o seu amigo der uma boa olhada no ladrão, você pode socializar o perfil dele e disfarçar o .app como algo em que possa estar interessado.

Desde que você possa configurar a porta para frente (sua marca não impõe práticas de segurança adequadas), e você pode fazer com que ela execute o aplicativo, você terá acesso SSH completo à máquina e poderá continuar procurando por pistas sem imediatamente revelar sua presença. Isso também exige que a marca não se canse das notificações Growl do Dropbox e saia dela, então eu aconselho seu amigo a parar de salvar os arquivos em seu Dropbox por um tempo.

Observação: se o ladrão se desconectar do ISP e se reconectar, ele receberá um novo IP externo. Adicione um arquivo ao Dropbox e aguarde que ele seja sincronizado. Isso deve te dar o IP atualizado.

Nota 2: Se o usuário não se conectar ao roteador com o MacBook por um determinado período de tempo (geralmente 24 horas), a concessão do DHCP para o endereço IP interno que foi atribuído ao MacBook expirará. O mais provável é que ele receba o mesmo endereço IP na próxima vez que se conectar, a menos que outro dispositivo seja introduzido na rede. Nesse caso, você precisará fazer login manualmente no roteador e modificar a porta para frente.

Este não é o único meio de ataque, mas é isso que eu faria no segundo que percebi que o IP ainda estava sendo atualizado via Dropbox. Boa sorte!

EDIT: Os "privilégios de administrador" no final de cada linha "do shell script" são muito importantes. O usuário será solicitado a fornecer a senha de administrador do seu amigo e o script falhará, se você não incluir o nome de usuário e a senha in-line.

    
por 10.11.2011 / 19:35
15

Envie um e-mail de uma tia desejando-lhe feliz aniversário e que a tia gostaria de lhe enviar um cartão de presente da Abercrombie & Fitch + para seu aniversário, mas precisa do endereço correto. Então cabe ao ladrão cair neste truque nigeriano de baixo orçamento.

+ Ou alguma outra marca famosa

    
por 09.11.2011 / 21:12
6

Honestamente, entre em contato com a Apple. Eles podem ter informações sobre como rastrear seu computador. Tenho certeza de que você não é a primeira pessoa que roubou seu Mac.

Editar: Eu procurei na Página de Suporte da Apple e, na verdade, é menos útil do que eu pensei que seria. O que você poderia tentar é usar o iCloud para bloquear remotamente o seu Macbook.

Daniel Beck testou e comentou que:

"While not a "secret Mac backdoor", and [though it's] not really helpful in actually getting the computer back, it works quite nicely to lock people out of your Mac. Your comment prompted me to try it and it's actually quite impressive. The screen goes white, it shuts down the computer and requires a six digit code you specified earlier via iCloud to resume the normal boot process."

    
por 09.11.2011 / 23:26
3

Isso não ajuda diretamente nessa situação, mas para o futuro e para todos os outros que têm Macbooks baixando o Prey pode lhe dar uma vantagem em rastreando o ladrão. Prey irá fornecer um relatório incluindo a localização e uma foto do seu ladrão e isso, combinado com a ajuda da polícia, pode trazer seu laptop de volta. Esteja ciente de que muitos departamentos de polícia não ajudarão a menos que você registre um relatório de item roubado com a polícia quando perder o computador; então faça isso o mais rápido possível.

    
por 10.11.2011 / 18:40
2

Dado o endereço IP, provavelmente você pode descobrir com qual ISP está se conectando ou mais.

Acesse: link

Digite o endereço IP.

por exemplo. Suponha que o endereço IP seja: 203.97.37.85 (este é o endereço do servidor web de um ISP na NZ).

E isso pode mostrar um nome de domínio da empresa ou do provedor de serviços de Internet. Se parece que é um nome de empresa, então você está realmente se estreitando rapidamente. Mas se é o nome de um provedor de rede (neste caso acima - TelstraClear NZ).

Além do acima, eu faria uma pesquisa whois. Use uma das ferramentas de pesquisa on-line whois.

link

E você receberá muitas informações. Mas você pode ver que é um endereço dentro da rede da TelstraClear.

#
# Query terms are ambiguous.  The query is assumed to be:
#     "n 203.97.37.85"
#
# Use "?" to get help.
#

#
# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=203.97.37.85?showDetails=true&showARIN=false&ext=netref2
#

NetRange:       203.0.0.0 - 203.255.255.255
CIDR:           203.0.0.0/8
OriginAS:
NetName:        APNIC-203
NetHandle:      NET-203-0-0-0-1
Parent:
NetType:        Allocated to APNIC
Comment:        This IP address range is not registered in the ARIN database.
Comment:        For details, refer to the APNIC Whois Database via
Comment:        WHOIS.APNIC.NET or http://wq.apnic.net/apnic-bin/whois.pl
Comment:        ** IMPORTANT NOTE: APNIC is the Regional Internet Registry
Comment:        for the Asia Pacific region. APNIC does not operate networks
Comment:        using this IP address range and is not able to investigate
Comment:        spam or abuse reports relating to these addresses. For more
Comment:        help, refer to http://www.apnic.net/apnic-info/whois_search2/abuse-and-spamming
RegDate:        1994-04-05
Updated:        2010-08-02
Ref:            http://whois.arin.net/rest/net/NET-203-0-0-0-1

OrgName:        Asia Pacific Network Information Centre
OrgId:          APNIC
Address:        PO Box 2131
City:           Milton
StateProv:      QLD
PostalCode:     4064
Country:        AU
RegDate:
Updated:        2011-09-24
Ref:            http://whois.arin.net/rest/org/APNIC

ReferralServer: whois://whois.apnic.net

OrgAbuseHandle: AWC12-ARIN
OrgAbuseName:   APNIC Whois Contact
OrgAbusePhone:  +61 7 3858 3188
OrgAbuseEmail:  [email protected]
OrgAbuseRef:    http://whois.arin.net/rest/poc/AWC12-ARIN

OrgTechHandle: AWC12-ARIN
OrgTechName:   APNIC Whois Contact
OrgTechPhone:  +61 7 3858 3188
OrgTechEmail:  [email protected]
OrgTechRef:    http://whois.arin.net/rest/poc/AWC12-ARIN

#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#

% [whois.apnic.net node-1]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

inetnum:      203.97.0.0 - 203.97.127.255
netname:      TELSTRACLEAR-NZ
descr:        TelstraClear Ltd
country:      NZ
admin-c:      TAC3-AP
tech-c:       TTC7-AP
notify:       [email protected]
mnt-by:       APNIC-HM
mnt-lower:    MAINT-NZ-TELSTRACLEAR
status:       ALLOCATED PORTABLE
changed:      [email protected] 19960101
changed:      [email protected] 20010624
changed:      [email protected] 20041214
changed:      [email protected] 20050216
source:       APNIC

role:         TelstraClear Administrative Contact
address:      TelstraClear Limited
address:      Network Planning
address:      Private Bag 92143
address:      Auckland
country:      NZ
e-mail:       [email protected]
phone:        +64 9 912 5205
trouble:      For network abuse contact:
trouble:      [email protected]
trouble:      +64 9 912 5161
trouble:      For 24/7 after-hours NOC contact:
trouble:      +64 9 912 4482
notify:       [email protected]
tech-c:       TTC7-AP
admin-c:      TAC3-AP
nic-hdl:      TAC3-AP
mnt-by:       MAINT-NZ-TELSTRACLEAR
changed:      [email protected] 20041125
source:       APNIC

role:         TelstraClear Technical Contact
address:      TelstraClear Limited
address:      Customer Help
address:      Private Bag 92143
address:      Auckland
country:      NZ
e-mail:       [email protected]
phone:        +64 9 912 5161
trouble:      For network abuse contact:
trouble:      [email protected]
trouble:      +64 9 912 5161
trouble:      For 24/7 after-hours NOC contact:
trouble:      +64 9 912 4482
notify:       [email protected]
tech-c:       TTC7-AP
admin-c:      TAC3-AP
nic-hdl:      TTC7-AP
mnt-by:       MAINT-NZ-TELSTRACLEAR
changed:      [email protected] 20041125
source:       APNIC

Seria um assunto para a polícia naquele momento. Duvido que o ISP lhe diga quem está logando nesse ponto.

Se você conseguir o laptop de volta, ou se você comprar um novo, instale o preyproject nele. Isso tornará as coisas muito mais simples depois. Você pode até tirar uma foto do ofensor:)

    
por 10.11.2011 / 21:02
1

Há toneladas de coisas que você poderia fazer, e eu recomendo que você não faça nenhuma delas. Deixe a polícia fazer o trabalho deles e fazer a prisão.

Não é a resposta inteligente, mas é a resposta certa, imho.

- não menos importante, se você mexer com ele remotamente e eles acharem que você está neles, eles provavelmente vão quebrar o laptop em pedaços.

    
por 10.11.2011 / 21:58