web-dev-qa-db-fra.com

Comment trouver mon Macbook volé

Un de mes amis vient de se faire voler son Macbook. Son compte Dropbox fonctionne toujours sur le Macbook, ce qui lui permet de voir chaque fois que le Macbook est mis en ligne et d'obtenir son adresse IP.

Elle a donné cette information à la police, qui a déclaré qu'il pourrait s'écouler un mois avant d'obtenir le véritable emplacement à partir de l'adresse IP. Je me demandais si nous pouvions aider à trouver l'ordinateur portable, car son porteur pourrait alors être arrêté pour avoir manipulé des biens volés (sinon, ils pourraient le réinstaller avant que la police ne les attrape).

Voici les faits sur le Macbook volé:

  • Il fonctionne sous OS X, mais je ne sais pas exactement quelle version (je le saurai cependant).
  • Il n'y avait qu'un seul compte utilisateur, sans mot de passe et avec des privilèges d'administrateur.
  • Dropbox du propriétaire d'origine est toujours en cours de synchronisation, ce qui nous donne l'adresse IP à chaque fois qu'elle est mise en ligne.
  • Le propriétaire initial n'est pas un technophile. Il est donc très peu probable qu'elle ait activé les fonctions de contrôle à distance telles que SSH, VNC, etc. (je lui ai déjà envoyé un message électronique par courrier électronique).
  • Elle n'utilise ni iCloud ni le service .Mac.

J'envisageais d'insérer un fichier alléchant dans Dropbox pour que l'utilisateur clique dessus. J'imagine que je n'aurai qu'une chance, alors je voulais quelques idées sur la meilleure chose à faire.

Mes idées jusqu'ici:

  • Installez une sorte d’enregistreur de clés pour envoyer toutes les informations au propriétaire. Est-il possible de le faire sans que l'utilisateur en soit averti?
  • Faites du fichier un script Shell pour récupérer autant d’informations utiles que possible, par exemple. historique du navigateur, recherche de sauvegardes sur iPhone, etc. Cependant, je ne suis pas sûr du meilleur moyen de renvoyer ces informations. On dirait que je pourrais peut-être utiliser la commande mail (sur un compte de messagerie gratuit, bien sûr)?
  • Peut-être activer la gestion à distance. Y a-t-il un moyen de faire cela sans que l'utilisateur accepte les popups de sécurité?

Est-ce que quelqu'un a des conseils ici? J'ai écrit de nombreux scripts Shell, mais je me demandais si d'autres options d'OS X pourraient être meilleures, par exemple. Applescript? Quelqu'un a-t-il de meilleures idées que d'y insérer un fichier Dropbox?

Je sais que cette question concerne essentiellement l’écriture d’une forme de malware, mais j'aimerais pouvoir émuler mon héros depuis le . Que se passe-t-il lorsque vous volez l’ordinateur d’un pirate informatique DEF CON lecture.

Nous veillerons à vérifier auprès de la police avant de faire quoi que ce soit pour nous assurer de ne pas enfreindre les lois.

28
Dan J

Je me souviens avoir regardé cette vidéo du Dr Zoz. Bon produit.

On dirait que vous maîtrisez les scripts Shell et que vous avez juste besoin d’un vecteur d’attaque. La clé pour faire quelque chose de similaire à ce que Zoz a fait est d’obtenir un accès SSH. Contrairement à sa situation, où le voleur utilisait un modem d'accès à distance, il est presque certain, puisque les nouveaux Mac ne le fait pas, que le voleur utilise une connexion haut débit et se trouve derrière une sorte de routeur NAT.

Même si SSH était activé sur la machine, la redirection de port devrait être configurée sur le routeur pour que vous puissiez accéder au port d'écoute SSH de la machine de l'extérieur. L'avantage d'une connexion haut débit est que l'adresse IP changera presque certainement moins souvent qu'avec l'accès commuté.

Si j'étais à votre place, tenant l'adresse IP du voleur, j'essaierais d'abord de vous connecter à l'interface Web de son routeur et de voir ce que je peux faire à partir de là. Il est étonnant de voir combien de personnes ont laissé leurs mots de passe de routeur/modem par défaut en place, et il existe des listes en ligne dans lesquelles vous pouvez trouver des mots de passe par défaut pour la plupart des grands fabricants.

Une fois à l'intérieur, vérifiez la liste des clients DHCP sur le routeur et voyez si vous pouvez trouver le MacBook. De nombreux routeurs affichent l'adresse MAC (matérielle), l'adresse IP interne attribuée (le plus souvent (192.168.1.x)) et, plus important encore, le nom de la machine.

Déterminez quelle adresse IP est assignée au MacBook, puis configurez un transfert de port sur celui-ci dans les paramètres du routeur. Utilisez un port externe autre que 22 (le port 2222 par exemple) et transmettez-le au port 22 de l'adresse IP du MacBook.

L'accès SSH étant activé sur de nombreux routeurs, l'accès au port IP @ du voleur 22 pourrait vous amener au shell du routeur plutôt qu'à celui de la machine. Vous devriez maintenant avoir un port sur l'IP externe du voleur (que vous avez obtenu de Dropbox) qui vous mènera directement au port auquel le SSH devrait être lié sur le MacBook. Sauf que SSH n'est pas encore activé.

Cette partie nécessite une action du voleur. J'aime bien l'idée du courrier électronique, mais cela nécessite que votre ami utilise Apple Mail. Une meilleure approche pourrait être de télécharger un fichier .app tentant sur Dropbox qui activera SSH (Remote Login).

Vous pouvez le faire via un script Shell, mais le faire via Applescript, enregistrer l’applescript au format .app et lui attribuer une icône de Nice contribuera grandement à tromper votre marque et à ne pas vous abandonner.

Voici le code Applescript pour activer la connexion à distance:

do Shell script "Sudo systemsetup setremotelogin on" user name "Friend's Username" password "Friend's Password" with administrator privileges

Ce morceau de code renverra une chaîne avec le numéro de série de la machine que vous pourrez vous envoyer par courriel si vous voulez le faire:

do Shell script "Sudo system_profiler |grep \"r (system)\"" user name "Friend's Username" password "Friend's Password" with administrator privileges

Je voudrais écrire le script AppleScript pour qu'il active la connexion à distance, fait tout ce dont vous avez besoin. Essayez de ne pas créer de script pour l'interface graphique ou les applications autres que le shell, car cela soulèverait des soupçons. À la fin, affichez un message à l'effet "Cette application ne peut pas s'exécuter sur ce Macintosh". avec un bouton "Quitter" pour réduire les soupçons. Une fois que le script fonctionne dans l'éditeur AppleScript, enregistrez-le sous forme de fichier .app uniquement.

Essayez de déguiser le .app en un jeu populaire, Plants vs. Zombies ou Angry Birds ou quelque chose du genre. Vous pouvez exporter l'icône à partir du fichier .app du jeu réel et la placer dans le fichier .app que vous exportez à partir d'Applescript. Si votre ami a bien examiné le voleur, vous pouvez le profiler socialement et déguiser le .app en quelque chose d'autre qui pourrait les intéresser.

Pourvu que vous puissiez configurer le port en avant (votre marque n'applique pas les règles de sécurité appropriées) et que vous puissiez le faire exécuter l'application, vous aurez un accès SSH complet à la machine et pourrez continuer à rechercher des indices sans donner immédiatement votre présence. Cela nécessite également que la marque ne se lasse pas des notifications Growl de Dropbox et la quitte, alors je conseillerais à votre amie d'arrêter de sauvegarder les fichiers sur sa Dropbox pendant un certain temps.

Remarque: si le voleur se déconnecte de son fournisseur de services Internet et se reconnecte, il obtiendra une nouvelle adresse IP externe. Ajoutez un fichier à Dropbox et attendez sa synchronisation. Cela devrait vous donner l'IP mise à jour.

Remarque 2: Si l'utilisateur ne se connecte pas au routeur avec le MacBook pendant un certain temps (généralement 24 heures), le contrat de location DHCP pour l'adresse IP interne attribuée au MacBook expirera. Très probablement, il obtiendra la même adresse IP lors de sa connexion, à moins qu'un autre périphérique ne soit introduit sur le réseau. Dans ce cas, vous devrez vous reconnecter manuellement au routeur et modifier le transfert de port.

Ce n'est pas le seul moyen d'attaque, mais c'est ce que je ferais dès que je réalisais que l'IP était toujours en cours de mise à jour via Dropbox. Bonne chance!

EDIT: Les "privilèges administrateur" à la fin de chaque ligne "do script Shell" sont très importants. Le mot de passe administrateur de votre ami sera demandé à l'utilisateur et le script échouera si vous n'incluez pas le nom d'utilisateur et le mot de passe en ligne.

11
Vickash

Envoyez un courrier électronique d'une tante souhaitant un joyeux anniversaire et que la tante voudrait lui envoyer une carte-cadeau d'Abercrombie & Fitch + pour son anniversaire mais a besoin de la bonne adresse. Ensuite, il appartient au voleur de craquer pour ce stratagème nigérian à petit budget.

+ Ou une autre marque célèbre

15
ZippyV

Honnêtement, contactez Apple. Ils peuvent avoir des informations sur la façon de localiser leur ordinateur. Je suis sûr que vous n'êtes pas la première personne à se faire voler son Mac.

Modifier: J'ai examiné la page de support d'Apple et il est en fait moins utile que ce que je pensais. . Vous pouvez essayer d'utiliser iCloud pour verrouiller votre Macbook à distance.

Daniel Beck l'a testé et a commenté ceci:

"Bien qu'il ne s'agisse pas d'une" porte dérobée secrète pour Mac ", et [bien que ce ne soit pas vraiment utile pour récupérer l'ordinateur, cela fonctionne assez bien pour verrouiller les personnes hors de votre Mac. Votre commentaire m'a incité à essayer et c'est en fait assez impressionnant. L'écran devient blanc, il éteint l'ordinateur et nécessite un code à six chiffres que vous avez spécifié précédemment via iCloud pour reprendre le processus de démarrage normal. "

6
ChrisM

Cela n’aide pas directement cette situation, mais pour l’avenir et pour tous ceux qui téléchargent des Macbooks Prey peut vous donner un avantage pour suivre le voleur. Prey fournira un rapport indiquant la localisation et une photo de votre voleur. Ceci, combiné à l'aide de la police, peut vous permettre de récupérer votre ordinateur portable. Sachez que de nombreux services de police ne vous aideront pas si vous ne déposez pas un rapport d’article volé auprès de la police lorsque vous perdez votre ordinateur; faites-le dès que possible.

3
ChrisM

Étant donné l'adresse IP, vous pouvez probablement déterminer le fournisseur d'accès auquel il se connecte ou plus.

Allez à: http://remote.12dt.com/lookup.php

Entrez l'adresse IP.

par exemple. Supposons que l'adresse IP soit: 203.97.37.85 (il s'agit en fait de l'adresse du serveur Web d'un fournisseur de services Internet en Nouvelle-Zélande).

Et cela peut indiquer un nom de domaine d’entreprise ou d’ISP. Si cela ressemble à un nom de société, alors vous réduisez vraiment rapidement. Mais s'il s'agit du nom d'un fournisseur de réseau (dans ce cas ci-dessus - TelstraClear NZ).

En plus de ce qui précède, je ferais une recherche whois. Utilisez l’un des outils de recherche en ligne Whois.

http://networking.ringofsaturn.com/Tools/whois.php

Et vous aurez beaucoup d'informations. Mais vous pouvez voir que c'est une adresse dans le réseau TelstraClear.

#
# Query terms are ambiguous.  The query is assumed to be:
#     "n 203.97.37.85"
#
# Use "?" to get help.
#

#
# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=203.97.37.85?showDetails=true&showARIN=false&ext=netref2
#

NetRange:       203.0.0.0 - 203.255.255.255
CIDR:           203.0.0.0/8
OriginAS:
NetName:        APNIC-203
NetHandle:      NET-203-0-0-0-1
Parent:
NetType:        Allocated to APNIC
Comment:        This IP address range is not registered in the ARIN database.
Comment:        For details, refer to the APNIC Whois Database via
Comment:        WHOIS.APNIC.NET or http://wq.apnic.net/apnic-bin/whois.pl
Comment:        ** IMPORTANT NOTE: APNIC is the Regional Internet Registry
Comment:        for the Asia Pacific region. APNIC does not operate networks
Comment:        using this IP address range and is not able to investigate
Comment:        spam or abuse reports relating to these addresses. For more
Comment:        help, refer to http://www.apnic.net/apnic-info/whois_search2/abuse-and-spamming
RegDate:        1994-04-05
Updated:        2010-08-02
Ref:            http://whois.arin.net/rest/net/NET-203-0-0-0-1

OrgName:        Asia Pacific Network Information Centre
OrgId:          APNIC
Address:        PO Box 2131
City:           Milton
StateProv:      QLD
PostalCode:     4064
Country:        AU
RegDate:
Updated:        2011-09-24
Ref:            http://whois.arin.net/rest/org/APNIC

ReferralServer: whois://whois.apnic.net

OrgAbuseHandle: AWC12-ARIN
OrgAbuseName:   APNIC Whois Contact
OrgAbusePhone:  +61 7 3858 3188
OrgAbuseEmail:  [email protected]
OrgAbuseRef:    http://whois.arin.net/rest/poc/AWC12-ARIN

OrgTechHandle: AWC12-ARIN
OrgTechName:   APNIC Whois Contact
OrgTechPhone:  +61 7 3858 3188
OrgTechEmail:  [email protected]
OrgTechRef:    http://whois.arin.net/rest/poc/AWC12-ARIN

#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#

% [whois.apnic.net node-1]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

inetnum:      203.97.0.0 - 203.97.127.255
netname:      TELSTRACLEAR-NZ
descr:        TelstraClear Ltd
country:      NZ
admin-c:      TAC3-AP
tech-c:       TTC7-AP
notify:       [email protected]
mnt-by:       APNIC-HM
mnt-lower:    MAINT-NZ-TELSTRACLEAR
status:       ALLOCATED PORTABLE
changed:      [email protected] 19960101
changed:      [email protected] 20010624
changed:      [email protected] 20041214
changed:      [email protected] 20050216
source:       APNIC

role:         TelstraClear Administrative Contact
address:      TelstraClear Limited
address:      Network Planning
address:      Private Bag 92143
address:      Auckland
country:      NZ
e-mail:       [email protected]
phone:        +64 9 912 5205
trouble:      For network abuse contact:
trouble:      [email protected]
trouble:      +64 9 912 5161
trouble:      For 24/7 after-hours NOC contact:
trouble:      +64 9 912 4482
notify:       [email protected]
tech-c:       TTC7-AP
admin-c:      TAC3-AP
nic-hdl:      TAC3-AP
mnt-by:       MAINT-NZ-TELSTRACLEAR
changed:      [email protected] 20041125
source:       APNIC

role:         TelstraClear Technical Contact
address:      TelstraClear Limited
address:      Customer Help
address:      Private Bag 92143
address:      Auckland
country:      NZ
e-mail:       [email protected]
phone:        +64 9 912 5161
trouble:      For network abuse contact:
trouble:      [email protected]
trouble:      +64 9 912 5161
trouble:      For 24/7 after-hours NOC contact:
trouble:      +64 9 912 4482
notify:       [email protected]
tech-c:       TTC7-AP
admin-c:      TAC3-AP
nic-hdl:      TTC7-AP
mnt-by:       MAINT-NZ-TELSTRACLEAR
changed:      [email protected] 20041125
source:       APNIC

Ce serait un problème pour la police à ce moment-là. Je doute que le FAI vous dise qui se connecte à ce moment-là.

Si vous récupérez l'ordinateur portable ou si vous en achetez un nouveau, installez le logiciel proyproject dessus. Cela rendra les choses beaucoup plus simples plus tard. Vous pouvez même prendre une photo du délinquant :)

2
Matt H

Vous pouvez faire des tonnes de choses et je vous recommande vivement de ne rien faire. Laissons la police faire son travail et procéder à l'arrestation.

Ce n'est pas la réponse intelligente, mais c'est la bonne, à mon humble avis.

- et surtout, si vous vous y plongez à distance et qu’ils pensent que vous y êtes, ils briseront probablement l’ordinateur portable.

1
Sirex