Come trovare il mio Macbook rubato


28

Una mia amica ha appena rubato il suo Macbook. Il suo account Dropbox funziona ancora sul Macbook, quindi può vedere ogni volta che il Macbook è online e può ottenere il suo indirizzo IP.

Ha fornito queste informazioni alla polizia, che afferma che potrebbero essere necessari fino a un mese per ottenere la posizione reale dall'indirizzo IP. Mi chiedevo se avremmo potuto aiutare a trovare il laptop, poiché allora la persona con esso potrebbe essere arrestata ora per la gestione di beni rubati (altrimenti potrebbero reinstallarlo prima che la polizia li prenda).

Ecco i fatti sul Macbook rubato:

  • Funziona con OS X, ma non sono sicuro di quale versione (lo scoprirò comunque).
  • C'era un solo account utente, senza password e con privilegi di amministratore.
  • Dropbox del proprietario originale è ancora in fase di sincronizzazione, il che ci fornisce l'indirizzo IP ogni volta che viene online.
  • Il proprietario originale non è un tecnico, quindi è molto improbabile che abbia attivato una delle funzioni del telecomando come SSH, VNC ecc. (Le ho inviato un'e-mail per chiedere).
  • Non usa iCloud o il servizio .Mac.

Stavo pensando di inserire un file allettante in Dropbox per convincere l'utente a fare clic su di esso. Immagino che avrò solo una possibilità, quindi volevo alcune idee sulla cosa migliore da fare.

Le mie idee finora:

  • Installa una sorta di key logger per inviare tutte le informazioni al proprietario. Esiste un modo per farlo senza che l'utente sia informato?
  • Rendi il file uno script di shell per ottenere quante più informazioni utili possibili, ad esempio la cronologia del browser, cercare i backup di iPhone, ecc. Non sono sicuro del modo migliore per inviare queste informazioni. Sembra che potrei essere in grado di utilizzare il comando mail (ovviamente su un account di posta elettronica gratuito)?
  • Forse attivare la gestione remota. C'è un modo per farlo senza che l'utente accetti i popup di sicurezza?

Qualcuno ha qualche consiglio qui? Ho scritto molti script di shell, ma mi chiedevo se altre opzioni di OS X potessero essere migliori, ad esempio Applescript? Qualcuno ha qualche idea migliore che spingere un file Dropbox su di esso?

So che questa domanda riguarda fondamentalmente la scrittura di una forma di malware, ma mi piacerebbe essere in grado di emulare il mio eroe dalla lezione DEF CON di What Hacker's Computer di un hacker .

Ci assicureremo di verificare con la polizia prima di fare qualsiasi cosa per assicurarci di non infrangere alcuna legge.


1
Non che questo aiuti a ripristinare il laptop, ma esiste un'app che potrebbe aiutare: hiddenapp.com ; preyproject.com ; orbicule.com/undercover/index.html
KM.

SSH è installato sul suo computer? In tal caso, Dropbox può fornirti l'IP del computer in modo da poter trasferire file, cancellare in remoto, installare il servizio keylogger, ecc.
MBraedley

Dubito fortemente che SSH sia in esecuzione. Le ho chiesto in modo specifico quando l'ho inviata per e-mail e ho aggiornato la domanda sopra per dirlo ora.
Dan J,

2
Se usa iCloud, forse Find my Mac è attivato? O di nuovo sul mio Mac ? Vai su iCloud.com, accedi e fai clic su Trova il mio iPhone , quindi seleziona il Mac nell'elenco.
Daniel Beck

1
Non del tutto vero: se il Mac fosse protetto da password non saremmo mai stati in grado di ottenere l'indirizzo IP da Dropbox. Quindi, questa domanda dice in modo utile alle persone di dare all'attaccante un modo per usare la macchina e usare un servizio come Dropbox per ottenere l'IP quando arriva online!
Dan J,

Risposte:


11

Ricordo di aver visto quel video del dottor Zoz. Roba buona.

Sembra che tu sia competente con lo scripting della shell e abbia solo bisogno di un vettore di attacco. La chiave per fare qualcosa di simile a quello che ha fatto Zoz è ottenere l'accesso SSH. A differenza della sua situazione, in cui il ladro stava usando un modem dialup, è quasi certo, dal momento che i Mac più recenti non fanno dialup, che il ladro sta usando una connessione a banda larga ed è dietro una sorta di router NAT.

Anche se SSH fosse abilitato sulla macchina, il port forwarding dovrebbe essere impostato sul router per accedere alla porta di ascolto SSH della macchina dall'esterno. L'aspetto positivo di una connessione a banda larga è che l'indirizzo IP cambierà quasi sicuramente meno spesso rispetto al dialup.

Se fossi nella tua posizione, tenendo l'IP del ladro, proverei prima ad accedere all'interfaccia web del loro router e vedere cosa posso fare da lì. È incredibile quante persone lasciano in posizione le loro password router / modem predefinite e ci sono elenchi online dove puoi trovare password predefinite per la maggior parte dei principali produttori.

Una volta dentro, controlla l'elenco dei client DHCP sul router e vedi se riesci a trovare il MacBook. Molti router mostreranno l'indirizzo MAC (hardware), l'indirizzo IP interno assegnato (192.168.1.x il più delle volte) e, soprattutto, il nome della macchina.

Scopri quale IP è assegnato al MacBook e quindi imposta una porta in avanti ad esso nelle impostazioni del router. Utilizzare una porta esterna diversa da 22, (ad esempio la porta 2222) e inoltrarla alla porta 22 dell'IP del MacBook.

Molti router hanno attivato l'accesso SSH, quindi l'accesso alla porta IP @ 22 del ladro potrebbe portarti alla shell del router piuttosto che alla shell della macchina. Ora dovresti avere una porta sull'IP esterno del ladro (che hai ottenuto da Dropbox) che ti porterà direttamente alla porta a cui SSH dovrebbe essere associato sul MacBook. Tranne che SSH non è ancora attivo.

Questa parte richiede alcune azioni da parte del ladro. Mi piace l'idea dell'email ma richiede che il tuo amico stia usando Apple Mail. Un approccio migliore potrebbe essere il caricamento di un file .app allettante su Dropbox che attiverà SSH (Accesso remoto).

Puoi farlo attraverso uno script di shell, ma farlo tramite Applescript, salvando l'Applescript come un .app e dandogli una bella icona farà tutto molto per ingannare il tuo segno e non regalarti.

Ecco il codice Applescript per attivare l'accesso remoto:

do shell script "sudo systemsetup setremotelogin on" user name "Friend's Username" password "Friend's Password" with administrator privileges

Questo bit di codice restituirà una stringa con il numero di serie della macchina che è possibile inviare per e-mail se si desidera farlo:

do shell script "sudo system_profiler |grep \"r (system)\"" user name "Friend's Username" password "Friend's Password" with administrator privileges

Vorrei scrivere lo script di mele in modo che accenda il login remoto, fa tutto il resto necessario. Cerca di non eseguire lo script della GUI o di altre applicazioni oltre alla shell in quanto ciò desterà sospetti. Alla fine visualizza un messaggio con l'effetto di "Questa applicazione non può essere eseguita su questo Macintosh". con un pulsante "Esci" per ridurre i sospetti. Quando lo script funziona in AppleScript Editor, salvalo come file .app di sola esecuzione.

Prova a nascondere .app come un gioco popolare, Plants vs. Zombies o Angry Birds o qualcosa del genere. Puoi esportare l'icona dal vero .app del gioco e metterlo nel .app che esporti da Applescript. Se il tuo amico ha dato una buona occhiata al ladro, puoi socializzare lui / lei e mascherare il .app come qualcos'altro a cui potrebbero essere interessati.

A condizione che tu possa impostare il port forward (il tuo marchio non impone pratiche di sicurezza adeguate) e puoi farlo eseguire l'applicazione, avrai pieno accesso SSH alla macchina e puoi continuare a cercare indizi senza dando immediatamente la tua presenza. Ciò richiede anche che il segno non si stanchi delle notifiche Growl di Dropbox e la lasci, quindi consiglio al tuo amico di smettere di salvare i file sul suo Dropbox per un po '.

Nota: se il ladro si disconnette dal proprio ISP e si riconnette, riceverà un nuovo IP esterno. Aggiungi un file a Dropbox e attendi che si sincronizzi. Questo dovrebbe procurarti l'IP aggiornato.

Nota 2: se l'utente non si connette al router con MacBook per un certo periodo di tempo (in genere 24 ore), il contratto di locazione DHCP per l'indirizzo IP interno assegnato a MacBook scadrà. Molto probabilmente otterrà lo stesso indirizzo IP la prossima volta che si connette, a meno che non venga introdotto un altro dispositivo nella rete. In questo caso dovrai accedere di nuovo manualmente al router e modificare il port forward.

Questo non è l'unico mezzo di attacco, ma è quello che farei nel momento in cui mi sono reso conto che l'IP era ancora in fase di aggiornamento tramite Dropbox. In bocca al lupo!

EDIT: I "privilegi di amministratore" alla fine di ogni riga "do shell script" sono molto importanti. All'utente verrà richiesta la password dell'amministratore del tuo amico e lo script avrà esito negativo, se non includi nome utente e password in linea.


Funzionano con password vuota? Penso di ricordare alcune cose che non funzionavano correttamente se non si dispone di una password.
Daniel Beck

Grazie per averlo segnalato. Non avevo nemmeno realizzato che OS X ti consente di creare un account senza password: S. Supponevo che intendesse abilitare l'accesso automatico. Puoi impostare lo script per impostare una password per il suo account prima di eseguire i comandi necessari, utilizzando do shell script "dscl . -passwd /Users/Username '' newpassword". '' Rappresenta la password corrente (stringa vuota). Tieni presente che se l'accesso automatico non è abilitato, questo bloccherà il ladro fuori dalla macchina.
Vickash,

Grazie per un'ottima risposta! Avevo dimenticato che probabilmente avrei dovuto hackerare la loro configurazione del router per ottenere l'accesso SSH remoto al Macbook. Legalmente penso che andrebbe bene riconfigurare il Macbook con il permesso del proprietario, ma l'hacking di un router sarebbe certamente illegale (almeno nel Regno Unito). Se la polizia cattura il ladro, potrebbe finire per impadronirsi del router come parte delle sue indagini ...
Dan J,

Questo è davvero un cattivo consiglio. Non ultimo, cosa succede se il ladro reimposta la password della tua e-mail (ad esempio, usando le tue domande segrete) e quindi apre l'e-mail del virus su un altro computer, come quello di un cyber café? Che cosa succede se entri nel loro router, poi scopri che sono seduti su Starbucks, ora sei entrato in una terza parte e sei completamente responsabile delle conseguenze di ciò. Imho suggerimenti di vigilanza non sono mai un buon consiglio, motivo per cui nella mia risposta a questa domanda consiglio di lasciare che la polizia faccia il proprio lavoro.
Sirex,

È possibile eliminare il passaggio "hackerare il proprio modem" disponendo di un VPS o di qualsiasi computer esterno con un IP noto. Di solito uso openvpn per connettermi a macchine che si trovano dietro NATs su ssh collegandoli a una VPN e poi raggiungendoli da lì. Esistono altri modi per farlo, come ad esempio eseguire uno script che scarica periodicamente ed esegue script di shell da detto server esterno e ti spedisce i risultati. In sostanza, ora hai la macchina target che avvia la connessione. Ciò riduce considerevolmente il numero di cose che devono andare bene affinché questo funzioni da: de
entropia

15

Invia un'e-mail da una zia che desidera il suo felice compleanno e che la zia vorrebbe inviarle una carta regalo da Abercrombie & Fitch + per il suo compleanno, ma ha bisogno dell'indirizzo corretto. Quindi tocca al ladro cadere per questa truffa nigeriana a basso budget.

+ O qualche altro marchio famoso


Non credo che il ladro abbia accesso alla sua e-mail, ma è un buon punto - dovrei controllare ...
Dan J,

Non ha usato il programma di posta in OSX?
ZippyV

1
Se vai per il trucco della posta assicurati di inviare più di 1 e-mail da più persone per renderlo meno sospetto.
ZippyV

Cordiali saluti, non usa il programma Mail in OS X, solo webmail. Se fossi in me, preferirei cambiare immediatamente la mia password di posta per provare a disabilitare il ladro che accede alla mia posta ...
Dan J,

6

Onestamente, contatta Apple. Potrebbero avere informazioni su come rintracciare il proprio computer. Sono sicuro che non sei la prima persona a cui è stato rubato il Mac.

Modifica: ho guardato nella pagina di supporto di Apple ed è in realtà meno utile di quanto pensassi. Quello che potresti provare è usare iCloud per bloccare in remoto il tuo Macbook.

Daniel Beck lo ha effettivamente testato e ha commentato che:

"Pur non essendo una" backdoor segreta per Mac ", e [sebbene non sia] davvero utile per riavere il computer, funziona abbastanza bene per bloccare le persone dal tuo Mac. Il tuo commento mi ha spinto a provarlo ed è davvero piuttosto impressionante. Lo schermo diventa bianco, spegne il computer e richiede un codice a sei cifre specificato in precedenza tramite iCloud per riprendere il normale processo di avvio. "


4
Penso che questo non aiuterà - probabilmente ti suggeriranno di acquistarne uno nuovo.
Simon Sheehan,

3
Sì, attiveranno semplicemente la loro backdoor segreta per Mac e avranno pieno accesso al sistema.
Daniel Beck

@DanielBeck è vero o stai trollando? Se è vero, un riferimento sarebbe utile per un'affermazione così significativa. Se stai trollando, rimuovi il tuo commento, poiché non è utile fornire informazioni errate.
Pensa

2
@nhinkle Il sarcasmo non sta trollando. Non si tratta di pesca a traina, poiché non è né fuori tema né destinato a provocare risposte emotive. Usando un'ironica esagerazione del reclamo in questa risposta, sottolineo che Apple non può aiutare qui. Potrebbero avere indirizzi IP, ma quelli sono già noti. Non rimuoverò il mio commento, dal momento che ha un reale, sul tema scopo: in disaccordo con questa risposta. Possiamo sempre discuterne su Meta, se vuoi.
Daniel Beck

2
@ChrisM Pur non essendo una "backdoor segreta per Mac", e non tutti davvero utili per riavere il computer, funziona abbastanza bene per bloccare le persone dal tuo Mac. Il tuo commento mi ha spinto a provarlo ed è in realtà abbastanza impressionante. Lo schermo diventa bianco, spegne il computer e richiede un codice a sei cifre specificato in precedenza tramite iCloud per riprendere il normale processo di avvio. +1 se lo includi nella tua risposta.
Daniel Beck

3

Questo non aiuta direttamente questa situazione, ma per il futuro e per tutti gli altri che hanno Macbook che scaricano Prey può darti un vantaggio nel tracciare il ladro. Prey fornirà un rapporto contenente la posizione e un'immagine del ladro e questo, combinato con l'aiuto della polizia, può riavere indietro il tuo laptop. Essere consapevoli del fatto che molti dipartimenti di polizia non aiuteranno a meno che non si presenti un rapporto sugli oggetti rubati con la polizia quando si perde il computer; quindi fallo al più presto.


I concorrenti includono hiddenapp.com e orbicule.com/undercover/mac (sono un cliente di quest'ultimo, e in test limitati, ad esempio localizzazione in "modalità demo" e immagini della telecamera, senza contattare la polizia, ha funzionato abbastanza bene).
Daniel Beck

Sai quante risposte esasperanti che stanno con "questo non aiuterà in questa situazione ..." quando ti viene rubato il laptop :)
Jonathan.

2

Dato l'indirizzo IP, probabilmente puoi capire a quale ISP si sta connettendo o più.

Vai a: http://remote.12dt.com/lookup.php

Inserisci l'indirizzo IP

es. Supponiamo che l'indirizzo IP sia: 203.97.37.85 (in realtà questo è l'indirizzo del web server di un ISP in Nuova Zelanda).

E può mostrare una società o un nome di dominio ISP. Se sembra che sia un nome di società, allora stai davvero restringendo in fretta. Ma se è il nome di un fornitore di rete (in questo caso sopra - TelstraClear NZ).

Oltre a quanto sopra, farei una ricerca whois. Utilizzare uno degli strumenti di ricerca whois online.

http://networking.ringofsaturn.com/Tools/whois.php

E otterrai molte informazioni. Ma puoi vedere che è un indirizzo all'interno della rete TelstraClear.

#
# Query terms are ambiguous.  The query is assumed to be:
#     "n 203.97.37.85"
#
# Use "?" to get help.
#

#
# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=203.97.37.85?showDetails=true&showARIN=false&ext=netref2
#

NetRange:       203.0.0.0 - 203.255.255.255
CIDR:           203.0.0.0/8
OriginAS:
NetName:        APNIC-203
NetHandle:      NET-203-0-0-0-1
Parent:
NetType:        Allocated to APNIC
Comment:        This IP address range is not registered in the ARIN database.
Comment:        For details, refer to the APNIC Whois Database via
Comment:        WHOIS.APNIC.NET or http://wq.apnic.net/apnic-bin/whois.pl
Comment:        ** IMPORTANT NOTE: APNIC is the Regional Internet Registry
Comment:        for the Asia Pacific region. APNIC does not operate networks
Comment:        using this IP address range and is not able to investigate
Comment:        spam or abuse reports relating to these addresses. For more
Comment:        help, refer to http://www.apnic.net/apnic-info/whois_search2/abuse-and-spamming
RegDate:        1994-04-05
Updated:        2010-08-02
Ref:            http://whois.arin.net/rest/net/NET-203-0-0-0-1

OrgName:        Asia Pacific Network Information Centre
OrgId:          APNIC
Address:        PO Box 2131
City:           Milton
StateProv:      QLD
PostalCode:     4064
Country:        AU
RegDate:
Updated:        2011-09-24
Ref:            http://whois.arin.net/rest/org/APNIC

ReferralServer: whois://whois.apnic.net

OrgAbuseHandle: AWC12-ARIN
OrgAbuseName:   APNIC Whois Contact
OrgAbusePhone:  +61 7 3858 3188
OrgAbuseEmail:  search-apnic-not-arin@apnic.net
OrgAbuseRef:    http://whois.arin.net/rest/poc/AWC12-ARIN

OrgTechHandle: AWC12-ARIN
OrgTechName:   APNIC Whois Contact
OrgTechPhone:  +61 7 3858 3188
OrgTechEmail:  search-apnic-not-arin@apnic.net
OrgTechRef:    http://whois.arin.net/rest/poc/AWC12-ARIN

#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#

% [whois.apnic.net node-1]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

inetnum:      203.97.0.0 - 203.97.127.255
netname:      TELSTRACLEAR-NZ
descr:        TelstraClear Ltd
country:      NZ
admin-c:      TAC3-AP
tech-c:       TTC7-AP
notify:       apnic.changes@team.telstraclear.co.nz
mnt-by:       APNIC-HM
mnt-lower:    MAINT-NZ-TELSTRACLEAR
status:       ALLOCATED PORTABLE
changed:      hm-changed@apnic.net 19960101
changed:      netobjs@clear.net.nz 20010624
changed:      hm-changed@apnic.net 20041214
changed:      hm-changed@apnic.net 20050216
source:       APNIC

role:         TelstraClear Administrative Contact
address:      TelstraClear Limited
address:      Network Planning
address:      Private Bag 92143
address:      Auckland
country:      NZ
e-mail:       apnic.changes@team.telstraclear.co.nz
phone:        +64 9 912 5205
trouble:      For network abuse contact:
trouble:      list.admin@team.telstraclear.co.nz
trouble:      +64 9 912 5161
trouble:      For 24/7 after-hours NOC contact:
trouble:      +64 9 912 4482
notify:       apnic.changes@team.telstraclear.co.nz
tech-c:       TTC7-AP
admin-c:      TAC3-AP
nic-hdl:      TAC3-AP
mnt-by:       MAINT-NZ-TELSTRACLEAR
changed:      hm-changed@apnic.net 20041125
source:       APNIC

role:         TelstraClear Technical Contact
address:      TelstraClear Limited
address:      Customer Help
address:      Private Bag 92143
address:      Auckland
country:      NZ
e-mail:       list.admin@team.telstraclear.co.nz
phone:        +64 9 912 5161
trouble:      For network abuse contact:
trouble:      list.admin@team.telstraclear.co.nz
trouble:      +64 9 912 5161
trouble:      For 24/7 after-hours NOC contact:
trouble:      +64 9 912 4482
notify:       apnic.changes@team.telstraclear.co.nz
tech-c:       TTC7-AP
admin-c:      TAC3-AP
nic-hdl:      TTC7-AP
mnt-by:       MAINT-NZ-TELSTRACLEAR
changed:      hm-changed@apnic.net 20041125
source:       APNIC

A quel punto sarebbe una questione di polizia. Dubito che l'ISP ti dirà chi accede a quel punto.

Se riavvii il laptop o se ne ottieni uno nuovo, installa il pre-progetto su di esso. Renderà le cose molto più semplici in seguito. Puoi anche fare una foto all'autore del reato :)


Grazie! Probabilmente avrei dovuto dire nella domanda originale che ho già fatto la ricerca WHOIS e un tracert, ma non mi dà una posizione abbastanza specifica. Il tracert non arriva nemmeno fino all'IP di destinazione, presumibilmente a causa di un ISP nel mezzo che blocca i ping.
Dan J,

1

Ci sono tonnellate di cose che potresti fare e ti consiglio vivamente di non farne nessuna. Lascia che la polizia faccia il suo lavoro e faccia l'arresto.

Non è la risposta intelligente, ma è quella giusta, imho.

- non ultimo, se ci si scherza in remoto e pensano che ci si trovi sopra, probabilmente si romperà il laptop a pezzi.


non ho idea del perché questo sia stato downvoted, davvero.
Sirex,

3
Non ho votato in negativo, ma penso che questo sia più adatto come commento in quanto non fornisce informazioni reali. Se avessi ulteriori dati, forse per quanto riguarda il tasso di successo della polizia locale che recupera i PC rubati, sarebbe una buona risposta. In questo momento, è solo un'opinione.
Chad Levy,

La mia risposta a "cosa dovrei fare" è nulla o almeno nulla di illegale. Richiedi l'assicurazione e ripristina dal backup (e utilizza la crittografia del disco in futuro), ecco perché li hai. Sarei sorpreso se il tasso di successo della polizia a caccia di beni rubati è superiore alla probabilità che un terzo innocente danneggiato faccia pressioni legittime contro le azioni nella risposta accettata. In questo caso il PO ha anche alcune informazioni per accelerare il processo di polizia.
Sirex,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.