Como encontrar o meu Macbook roubado

28

Uma amiga minha acabou de roubar seu Macbook. Sua conta do Dropbox ainda está trabalhando no Macbook, para que ela possa ver cada vez que o Macbook ficar online e obter seu endereço IP.

Ela forneceu essas informações à polícia, que diz que pode levar até um mês para obter a localização real do endereço IP. Eu queria saber se poderíamos ajudar a encontrar o laptop, pois a pessoa com ele poderia ser presa agora por manusear bens roubados (caso contrário, eles poderão reinstalá-lo antes que a polícia os pegue).

Aqui estão os fatos sobre o Macbook roubado:

  • Ele está executando o OS X, mas não tenho certeza exatamente de qual versão (vou descobrir).
  • Havia apenas uma conta de usuário, sem senha e com privilégios de administrador.
  • O Dropbox do proprietário original ainda está sincronizado, o que fornece o endereço IP sempre que ele fica online.
  • Como o proprietário original não é um técnico, é muito improvável que ela tenha ativado qualquer recurso de controle remoto como SSH, VNC etc. (enviei um e-mail a ela para perguntar).
  • Ela não usa o iCloud ou o serviço .Mac.

Eu estava pensando em inserir um arquivo atraente no Dropbox para fazer com que o usuário clicasse nele. Suponho que só vou ter uma chance disso, então queria algumas idéias sobre a melhor coisa a fazer.

Minhas idéias até agora:

  • Instale algum tipo de registrador de chaves para enviar todas as informações de volta ao proprietário. Existe alguma maneira de fazer isso sem que o usuário seja informado?
  • Torne o arquivo um script de shell para absorver o máximo possível de informações úteis, por exemplo, histórico do navegador, procurar backups do iPhone, etc. Não tenho certeza da melhor maneira de enviar essas informações de volta. Parece que eu posso usar o comando mail (para uma conta de email gratuita, é claro)?
  • Talvez ative o gerenciamento remoto. Existe uma maneira de fazer isso sem o usuário aceitar pop-ups de segurança?

Alguém tem alguma dica aqui? Eu escrevi muitos scripts de shell, mas queria saber se outras opções do OS X podem ser melhores, por exemplo, Applescript? Alguém tem alguma idéia melhor do que enviar um arquivo do Dropbox para ele?

Sei que essa pergunta é basicamente sobre como escrever uma forma de malware, mas eu adoraria poder imitar meu herói na palestra O que acontece quando você rouba o DEF CON de um hacker .

Vamos verificar com a polícia antes de fazer qualquer coisa para garantir que não violemos nenhuma lei.

macos shell dropbox applescript Dan J
fonte
11
Não que isso ajude a recuperar o laptop, mas existe um aplicativo que poderia ajudar: hiddenapp.com ; preyproject.com ; orbicule.com/undercover/index.html
KM.
O SSH está configurado no computador? Se assim for, Dropbox pode lhe dar o IP do computador para que você possa transferir arquivos, apagamento remoto, instalar serviço de keylogger, etc.
MBraedley
Eu duvido muito que ela tenha SSH rodando. Perguntei a ela especificamente sobre isso quando a enviei por e-mail e atualizei a pergunta acima para dizer isso agora.
Dan J
2
Se ela usa o iCloud, o Find my Mac está ativado? Ou de volta ao meu Mac ? Vá para o iCloud.com, faça o login e clique em Localizar meu iPhone e selecione o Mac na lista.
Daniel Beck
11
Não é bem verdade: se o Mac estivesse protegido por senha, nunca conseguiríamos obter o endereço IP do Dropbox. Portanto, essa pergunta ajuda as pessoas a dar ao invasor uma maneira de usar a máquina e usar um serviço como o Dropbox para obter o IP quando ele ficar online!
Dan J

Respostas:

11

Lembro-me de assistir ao vídeo do Dr. Zoz. Coisa boa.

Parece que você é competente com scripts de shell e precisa apenas de um vetor de ataque. A chave para fazer algo semelhante ao que Zoz fez é obter acesso SSH. Diferente da situação em que o ladrão usava um modem dial-up, é quase certo que, como os Macs mais novos não fazem conexão discada, o ladrão está usando uma conexão de banda larga e está atrás de algum tipo de roteador NAT.

Mesmo se o SSH estivesse ativado na máquina, o encaminhamento de porta teria que ser configurado no roteador para você acessar a porta de escuta SSH da máquina a partir do exterior. A vantagem de uma conexão de banda larga é que o endereço IP quase sempre muda com menos frequência do que com a conexão discada.

Se eu estivesse na sua posição, segurando o IP do ladrão, tentaria primeiro fazer login na interface da web do roteador e ver o que posso fazer a partir daí. É incrível o número de pessoas que mantêm suas senhas padrão de roteador / modem e existem listas on-line onde é possível encontrar senhas padrão para a maioria dos principais fabricantes.

Uma vez dentro, verifique a lista de clientes DHCP no roteador e veja se consegue encontrar o MacBook. Muitos roteadores mostram o endereço MAC (hardware), o endereço IP interno atribuído (192.168.1.x com mais freqüência) e, o mais importante, o nome da máquina.

Descubra qual IP está atribuído ao MacBook e configure uma porta para a frente nas configurações do roteador. Use alguma porta externa diferente de 22 (por exemplo, porta 2222) e encaminhe-a para a porta 22 do IP do MacBook.

Muitos roteadores têm acesso SSH ativado, portanto, acessar a porta IP @ do ladrão 22 pode levá-lo ao shell do roteador em vez do shell da máquina. Agora você deve ter uma porta no IP externo do ladrão (que você obteve no Dropbox) que o levará diretamente à porta em que o SSH deve estar ligado no MacBook. Exceto que o SSH ainda não está ativado.

Esta parte requer alguma ação do ladrão. Gosto da ideia de e-mail, mas exige que seu amigo esteja usando o Apple Mail. Uma abordagem melhor pode ser o upload de um tentador arquivo .app no ​​Dropbox que ativará o SSH (Login Remoto).

Você pode fazer isso através de um script de shell, mas fazê-lo através do Applescript, salvar o Applescript como um aplicativo e dar a ele um bom ícone ajudará muito a enganar sua marca e a não se entregar.

Aqui está o código da Applescript para ativar o Login Remoto:

do shell script "sudo systemsetup setremotelogin on" user name "Friend's Username" password "Friend's Password" with administrator privileges

Esse bit de código retornará uma sequência com o número de série da máquina que você pode enviar por e-mail para si mesmo se desejar:

do shell script "sudo system_profiler |grep \"r (system)\"" user name "Friend's Username" password "Friend's Password" with administrator privileges

Eu escreveria o AppleScript para ativar o Login Remoto, fazer o que mais você precisar. Tente não criar script da GUI ou de qualquer aplicativo além do shell, pois isso gera suspeitas. No final, exiba uma mensagem com o efeito "Este aplicativo não pode ser executado neste Macintosh". com um botão "Sair" para reduzir suspeitas. Quando o script estiver funcionando no AppleScript Editor, salve-o como um arquivo .app somente de execução.

Tente disfarçar o .app como um jogo popular, Plants vs. Zombies ou Angry Birds ou algo assim. Você pode exportar o ícone do .app do jogo real e colocá-lo no .app que você exporta do Applescript. Se o seu amigo deu uma boa olhada no ladrão, você pode identificá-lo socialmente e disfarçar o .app como outra coisa em que ele possa estar interessado.

Desde que você possa configurar a porta para a frente (sua marca não impõe práticas de segurança adequadas), e você pode executá-lo para executar o aplicativo, você terá acesso SSH completo à máquina e poderá continuar procurando pistas sem imediatamente denunciando sua presença. Isso também exige que a marca não se canse das notificações Growl do Dropbox e a saia, por isso aconselho sua amiga a parar de salvar arquivos no Dropbox por um tempo.

Nota: Se o ladrão se desconectar do provedor de serviços de Internet e se reconectar, ele obterá um novo IP externo. Adicione um arquivo ao Dropbox e aguarde a sincronização. Isso deve lhe dar o IP atualizado.

Nota 2: Se o usuário não se conectar ao roteador com o MacBook por um certo período de tempo (normalmente 24 horas), a concessão do DHCP para o endereço IP interno que foi atribuído ao MacBook expirará. Provavelmente, obterá o mesmo endereço IP na próxima vez que se conectar, a menos que outro dispositivo seja introduzido na rede. Nesse caso, você terá que efetuar login manualmente novamente no roteador e modificar a porta para a frente.

Este não é o único meio de ataque, mas é o que eu faria no momento em que percebi que o IP ainda estava sendo atualizado via Dropbox. Boa sorte!

EDIT: Os "privilégios de administrador" no final de cada linha "do shell script" são muito importantes. O usuário será solicitado a fornecer a senha de administrador do seu amigo e o script falhará, se você não incluir o nome de usuário e a senha embutidos.

Vickash
fonte
Eles funcionam com senha vazia? Acho que lembro que algumas coisas não funcionaram corretamente se você não tiver uma senha.
Daniel Beck
Obrigado por apontar isso. Eu nem percebi que o OS X permite criar uma conta sem uma senha: S. Supus que ele quis dizer que o Login automático estava ativado. Você pode fazer com que o script defina uma senha para a conta dela antes de executar os comandos necessários, usando do shell script "dscl . -passwd /Users/Username '' newpassword". O '' representa a senha atual (sequência vazia). Lembre-se de que, se o Login automático não estiver ativado, isso bloqueará o ladrão da máquina.
Vickash
Obrigado por uma excelente resposta! Eu tinha esquecido que provavelmente precisaria invadir a configuração do roteador para obter acesso SSH remoto ao Macbook. Legalmente, acho que seria bom reconfigurar o Macbook com a permissão do proprietário, mas invadir um roteador certamente seria ilegal (pelo menos no Reino Unido). Se a polícia pegar o ladrão, então eles podem acabar aproveitando o router como parte de sua investigação ...
Dan J
Este é um péssimo conselho. Além disso, e se o ladrão redefinir sua senha de e-mail (digamos, usando suas perguntas secretas) e depois abrir o e-mail de vírus em outra máquina, como a de um cyber café? E se você invadir o roteador deles e descobrir que eles estão sentados na starbucks, agora você invadiu um terceiro e é totalmente responsável pelas consequências disso. Imho sugestões de vigilantismo nunca são bons conselhos, e é exatamente por isso que, na minha resposta a esta pergunta, aconselho que a polícia faça seu trabalho.
Sirex
Você pode se livrar da etapa "invadir o modem deles" com um VPS ou qualquer computador externo com um IP conhecido. Eu costumo usar o openvpn para conectar-me a máquinas que estão por trás de NATs através do ssh, conectando-as a uma VPN e depois acessando-as por lá. Existem outras maneiras de fazer isso, como por exemplo, executar um script que periodicamente baixa e executa scripts de shell do referido servidor externo e envia os resultados para você. Essencialmente, agora você tem a máquina de destino iniciando a conexão. Isso reduz consideravelmente o número de coisas necessárias para que isso funcione: de
entropia
15

Envie um e-mail de uma tia desejando feliz aniversário e que a tia gostaria de lhe enviar um cartão de presente da Abercrombie & Fitch + para o aniversário dela, mas precisa do endereço correto. Cabe ao ladrão cair nesse truque de baixo custo da Nigéria.

+ Ou alguma outra marca famosa

ZippyV
fonte
Eu não acho que o ladrão tem acesso a seu e-mail, mas é um ponto bom - I deve verificar ...
Dan J
Ela não usou o programa de email no OSX?
ZippyV
11
Se você optar pelo truque de e-mail, envie mais de 1 e-mail de várias pessoas para torná-lo menos suspeito.
precisa
Para sua informação, ela não usa o programa Mail no OS X, apenas webmail. Se fosse eu, porém, eu prefiro mudar minha senha do correio imediatamente para tentar desativar o ladrão acessar meu e-mail ...
Dan J
6

Honestamente, entre em contato com a Apple. Eles podem ter informações sobre como rastrear seu computador. Tenho certeza de que você não é a primeira pessoa que roubou o Mac.

Edit: Eu olhei para a página de suporte da Apple e é realmente menos útil, então eu pensei que seria. O que você pode tentar é usar o iCloud para bloquear remotamente o seu Macbook.

Daniel Beck realmente testou e comentou que:

"Embora não seja um" backdoor secreto do Mac "e [apesar de] não ser realmente útil para recuperar o computador, ele funciona muito bem para bloquear as pessoas do seu Mac. Seu comentário me levou a experimentá-lo e é realmente impressionante. A tela fica branca, desliga o computador e requer um código de seis dígitos que você especificou anteriormente via iCloud para continuar o processo normal de inicialização. "

Crisma
fonte
4
Acho que isso não vai ajudar - eles provavelmente sugerem que você compre um novo.
Simon Sheehan
3
Sim - eles apenas ativam o backdoor secreto do Mac e terão acesso total ao sistema.
Daniel Beck
@DanielBeck é verdade ou você está trollando? Se for verdade, uma referência seria legal para uma afirmação tão significativa. Se você estiver procurando, remova seu comentário, pois não é útil fornecer informações incorretas.
Nhinkle
2
@nhinkle O sarcasmo não está trollando. Isso não é trolling, pois não está fora de tópico nem se destina a provocar respostas emocionais. Usando um exagero irônico da afirmação nesta resposta, aponto que não há como a Apple ajudar aqui. Eles podem ter endereços IP, mas eles já são conhecidos. Não removerei meu comentário, pois ele tem um propósito real e tópico: discordar desta resposta. Sempre podemos discutir isso no Meta, se você quiser.
Daniel Beck
2
@ChrisM Embora não seja um "backdoor secreto do Mac" e nem seja realmente útil para recuperar o computador, ele funciona muito bem para bloquear as pessoas do seu Mac. Seu comentário me levou a experimentá-lo e é realmente bastante impressionante. A tela fica branca, desliga o computador e requer um código de seis dígitos que você especificou anteriormente via iCloud para reiniciar o processo normal de inicialização. +1 se você incluir isso em sua resposta.
Daniel Beck
3

Isso não ajuda diretamente essa situação, mas para o futuro e para todos os outros que têm Macbooks baixando o Prey, você pode ter uma vantagem em rastrear o ladrão. O Prey fornecerá um relatório incluindo a localização e uma foto do seu ladrão e isso, combinado com a ajuda da polícia, pode recuperar o seu laptop. Esteja ciente de que muitos departamentos de polícia não ajudarão, a menos que você arquive um relatório de item roubado na polícia quando você perder o computador; faça isso o mais rápido possível.

Crisma
fonte
Os concorrentes incluem hiddenapp.com e orbicule.com/undercover/mac (Eu sou um cliente do último, e em testes limitados, ou seja, "modo de demonstração" localizar e imagens da câmara, sem entrar em contato com a polícia, ele funcionou muito bem).
Daniel Beck
Você sabe como respostas irritantes com "isso não vai ajudar nessa situação ..." são quando você tem seu laptop roubado :)
Jonathan.
2

Dado o endereço IP, você provavelmente pode descobrir em qual provedor está se conectando ou mais.

Vá para: http://remote.12dt.com/lookup.php

Digite o endereço IP.

por exemplo, suponha que o endereço IP seja: 203.97.37.85 (esse é realmente o endereço do servidor da web de um ISP na Nova Zelândia).

E pode mostrar uma empresa ou nome de domínio do provedor. Se parece que é um nome de empresa, você está realmente se estreitando rapidamente. Mas se for o nome de um provedor de rede (neste caso acima - TelstraClear NZ).

Além do acima, eu faria uma pesquisa whois. Use uma das ferramentas de pesquisa whois online.

http://networking.ringofsaturn.com/Tools/whois.php

E você receberá muitas informações. Mas você pode ver que é um endereço na rede TelstraClear.

#
# Query terms are ambiguous.  The query is assumed to be:
#     "n 203.97.37.85"
#
# Use "?" to get help.
#

#
# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=203.97.37.85?showDetails=true&showARIN=false&ext=netref2
#

NetRange:       203.0.0.0 - 203.255.255.255
CIDR:           203.0.0.0/8
OriginAS:
NetName:        APNIC-203
NetHandle:      NET-203-0-0-0-1
Parent:
NetType:        Allocated to APNIC
Comment:        This IP address range is not registered in the ARIN database.
Comment:        For details, refer to the APNIC Whois Database via
Comment:        WHOIS.APNIC.NET or http://wq.apnic.net/apnic-bin/whois.pl
Comment:        ** IMPORTANT NOTE: APNIC is the Regional Internet Registry
Comment:        for the Asia Pacific region. APNIC does not operate networks
Comment:        using this IP address range and is not able to investigate
Comment:        spam or abuse reports relating to these addresses. For more
Comment:        help, refer to http://www.apnic.net/apnic-info/whois_search2/abuse-and-spamming
RegDate:        1994-04-05
Updated:        2010-08-02
Ref:            http://whois.arin.net/rest/net/NET-203-0-0-0-1

OrgName:        Asia Pacific Network Information Centre
OrgId:          APNIC
Address:        PO Box 2131
City:           Milton
StateProv:      QLD
PostalCode:     4064
Country:        AU
RegDate:
Updated:        2011-09-24
Ref:            http://whois.arin.net/rest/org/APNIC

ReferralServer: whois://whois.apnic.net

OrgAbuseHandle: AWC12-ARIN
OrgAbuseName:   APNIC Whois Contact
OrgAbusePhone:  +61 7 3858 3188
OrgAbuseEmail:  [email protected]
OrgAbuseRef:    http://whois.arin.net/rest/poc/AWC12-ARIN

OrgTechHandle: AWC12-ARIN
OrgTechName:   APNIC Whois Contact
OrgTechPhone:  +61 7 3858 3188
OrgTechEmail:  [email protected]
OrgTechRef:    http://whois.arin.net/rest/poc/AWC12-ARIN

#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#

% [whois.apnic.net node-1]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

inetnum:      203.97.0.0 - 203.97.127.255
netname:      TELSTRACLEAR-NZ
descr:        TelstraClear Ltd
country:      NZ
admin-c:      TAC3-AP
tech-c:       TTC7-AP
notify:       [email protected]
mnt-by:       APNIC-HM
mnt-lower:    MAINT-NZ-TELSTRACLEAR
status:       ALLOCATED PORTABLE
changed:      [email protected] 19960101
changed:      [email protected] 20010624
changed:      [email protected] 20041214
changed:      [email protected] 20050216
source:       APNIC

role:         TelstraClear Administrative Contact
address:      TelstraClear Limited
address:      Network Planning
address:      Private Bag 92143
address:      Auckland
country:      NZ
e-mail:       [email protected]
phone:        +64 9 912 5205
trouble:      For network abuse contact:
trouble:      [email protected]
trouble:      +64 9 912 5161
trouble:      For 24/7 after-hours NOC contact:
trouble:      +64 9 912 4482
notify:       [email protected]
tech-c:       TTC7-AP
admin-c:      TAC3-AP
nic-hdl:      TAC3-AP
mnt-by:       MAINT-NZ-TELSTRACLEAR
changed:      [email protected] 20041125
source:       APNIC

role:         TelstraClear Technical Contact
address:      TelstraClear Limited
address:      Customer Help
address:      Private Bag 92143
address:      Auckland
country:      NZ
e-mail:       [email protected]
phone:        +64 9 912 5161
trouble:      For network abuse contact:
trouble:      [email protected]
trouble:      +64 9 912 5161
trouble:      For 24/7 after-hours NOC contact:
trouble:      +64 9 912 4482
notify:       [email protected]
tech-c:       TTC7-AP
admin-c:      TAC3-AP
nic-hdl:      TTC7-AP
mnt-by:       MAINT-NZ-TELSTRACLEAR
changed:      [email protected] 20041125
source:       APNIC

Seria um problema para a polícia naquele momento. Duvido que o ISP lhe diga quem está entrando nesse ponto.

Se você receber o laptop de volta ou se conseguir um novo, instale o pré-projeto nele. Isso tornará as coisas muito mais simples depois. Você pode até tirar uma foto do agressor :)

Matt H
fonte
Obrigado! Eu provavelmente deveria ter dito na pergunta original que eu já fiz a pesquisa WHOIS e um tracert, mas isso não me dá uma localização específica o suficiente. O tracert nem chega ao IP de destino, provavelmente devido a um ISP no meio bloqueando os pings.
Dan J
1

Há várias coisas que você pode fazer, e eu recomendo que você não faça nenhuma delas. Deixe a polícia fazer o seu trabalho e fazer a prisão.

Não é a resposta inteligente, mas é a certa, imho.

- não menos importante, se você mexer com isso remotamente e eles acharem que você é um deles, provavelmente quebrarão o laptop em pedaços.

Sirex
fonte
realmente não faço ideia do motivo pelo qual isso foi prejudicado.
Sirex
3
Não diminuí o voto, mas acho que isso é mais adequado como comentário, pois não fornece informações reais. Se você tivesse dados adicionais, talvez em relação à taxa de sucesso da polícia local em recuperar PCs roubados, seria uma boa resposta. No momento, é apenas uma opinião.
Chad Levy
Minha resposta para "o que devo fazer" não é nada , ou pelo menos nada é ilegal. Reivindicar o seguro e restaurar a partir do backup (e usar criptografia de disco no futuro), é por isso que você os possui. Eu ficaria surpreso se a taxa de sucesso da polícia caçar mercadorias roubadas for maior do que a probabilidade de um terceiro inocente prejudicado pressionar acusações legítimas contra as ações na resposta aceita. Nesse caso, o OP ainda tem algumas informações para acelerar o processo policial.
Sirex