Comment retrouver mon Macbook volé

Un de mes amis vient de se faire voler son Macbook. Son compte Dropbox fonctionne toujours sur le Macbook, elle peut donc voir chaque fois que le Macbook est en ligne et obtenir son adresse IP.

Elle a donné ces informations à la police, qui a déclaré qu'il pourrait falloir jusqu'à un mois pour obtenir l'emplacement réel à partir de l'adresse IP. Je me demandais si nous pouvions aider à trouver l'ordinateur portable, car alors la personne avec lui pourrait être arrêtée maintenant pour avoir manipulé des biens volés (sinon ils pourraient le réinstaller avant que la police ne les attrape).

Voici les faits sur le Macbook volé:

• Il exécute OS X, mais je ne sais pas exactement quelle version (je le découvrirai cependant).
• Il n'y avait qu'un seul compte d'utilisateur, sans mot de passe et avec des privilèges d'administrateur.
• La Dropbox du propriétaire d'origine est toujours en cours de synchronisation, ce qui nous donne l'adresse IP à chaque mise en ligne.
• Le propriétaire d'origine n'est pas un technicien, il est donc très peu probable qu'il ait activé l'une des fonctionnalités de la télécommande comme SSH, VNC, etc. (je lui ai envoyé un e-mail pour lui demander).
• Elle n'utilise pas iCloud ou le service .Mac.

J'envisageais de pousser un fichier attrayant dans Dropbox pour amener l'utilisateur à cliquer dessus. Je suppose que je n'aurai qu'une seule chance, alors je voulais des idées sur la meilleure chose à faire.

Mes idées jusqu'à présent:

• Installez une sorte d'enregistreur de clés pour renvoyer toutes les informations au propriétaire. Existe-t-il un moyen de le faire sans que l'utilisateur en soit informé?
• Faites du fichier un script shell pour récupérer autant d'informations utiles que possible, par exemple l'historique du navigateur, recherchez les sauvegardes iPhone, etc. Je ne suis pas sûr de la meilleure façon de renvoyer ces informations. Il me semble que je pourrais peut-être utiliser la commande mail (vers un compte e-mail gratuit bien sûr)?
• Peut-être activer la gestion à distance. Existe-t-il un moyen de le faire sans que l'utilisateur n'accepte les fenêtres contextuelles de sécurité?

Quelqu'un at-il des conseils ici? J'ai écrit de nombreux scripts shell, mais je me demandais si d'autres options OS X pourraient être meilleures, par exemple Applescript? Quelqu'un a-t-il de meilleures idées que de lui envoyer un fichier Dropbox?

Je sais que cette question concerne essentiellement l'écriture d'une forme de logiciel malveillant, mais j'aimerais pouvoir imiter mon héros de la conférence DEF CON What Happens When You Steal a Hacker Computer .

Nous nous assurerons de vérifier auprès de la police avant de faire quoi que ce soit pour nous assurer de ne violer aucune loi.

Je me souviens avoir regardé cette vidéo du Dr Zoz. Bon produit.

On dirait que vous êtes compétent avec les scripts shell et que vous avez juste besoin d'un vecteur d'attaque. La clé pour faire quelque chose de similaire à ce que Zoz a fait est d'obtenir un accès SSH. Contrairement à sa situation, où le voleur utilisait un modem téléphonique, il est presque certain, puisque les nouveaux Mac ne font pas de numérotation, que le voleur utilise une connexion à large bande et se trouve derrière une sorte de routeur NAT.

Même si SSH était activé sur la machine, la redirection de port devrait être configurée sur le routeur pour que vous puissiez accéder au port d'écoute SSH de la machine depuis l'extérieur. L'avantage d'une connexion à large bande est que l'adresse IP changera presque certainement moins souvent qu'avec une connexion par ligne commutée.

Si j'étais à votre place, détenant l'IP du voleur, j'essaierais d'abord de me connecter à l'interface Web de leur routeur et de voir ce que je peux faire à partir de là. Il est étonnant de voir combien de personnes laissent leurs mots de passe de routeur / modem par défaut en place, et il existe des listes en ligne où vous pouvez trouver des mots de passe par défaut pour la plupart des principaux fabricants.

Une fois à l'intérieur, vérifiez la liste des clients DHCP sur le routeur et voyez si vous pouvez trouver le MacBook. De nombreux routeurs affichent l'adresse MAC (matérielle), l'adresse IP interne attribuée (192.168.1.x le plus souvent) et, surtout, le nom de la machine.

Déterminez quelle adresse IP est attribuée au MacBook, puis configurez un port vers lui dans les paramètres du routeur. Utilisez un port externe autre que 22 (le port 2222 par exemple) et transférez-le au port 22 de l'IP du MacBook.

De nombreux routeurs ont un accès SSH activé, donc l'accès au port IP @ 22 du voleur peut vous amener au shell du routeur plutôt qu'au shell de la machine. Maintenant, vous devriez avoir un port sur l'IP externe du voleur (que vous avez obtenu de Dropbox) qui vous amènera directement au port SSH devrait être lié au MacBook. Sauf que SSH n'est pas encore activé.

Cette partie nécessite une action du voleur. J'aime l'idée de l'e-mail, mais elle nécessite que votre ami utilise Apple Mail. Une meilleure approche pourrait être de télécharger un fichier .app tentant sur Dropbox qui activera SSH (Connexion à distance).

Vous pouvez le faire via un script shell, mais en le faisant via Applescript, en enregistrant Applescript en tant que .app et en lui donnant une belle icône, tout cela contribuera grandement à tromper votre marque et à ne pas vous trahir.

Voici le code Applescript pour activer la connexion à distance:

do shell script "sudo systemsetup setremotelogin on" user name "Friend's Username" password "Friend's Password" with administrator privileges

Ce morceau de code renverra une chaîne avec le numéro de série de la machine que vous pouvez vous envoyer par e-mail si vous voulez le faire:

do shell script "sudo system_profiler |grep \"r (system)\"" user name "Friend's Username" password "Friend's Password" with administrator privileges

J'écrirais l'applescript pour qu'il active la connexion à distance, fasse tout ce dont vous avez besoin. Essayez de ne pas créer de script pour l'interface graphique ou toute autre application que le shell car cela soulèvera des soupçons. À la fin, affichez un message indiquant «Cette application ne peut pas s'exécuter sur ce Macintosh». avec un bouton "Quitter" pour réduire les soupçons. Une fois que le script fonctionne dans AppleScript Editor, enregistrez-le en tant que fichier .app d'exécution.

Essayez de déguiser le .app en un jeu populaire, Plants vs.Zombies ou Angry Birds ou quelque chose. Vous pouvez exporter l'icône depuis le .app du jeu réel et la placer dans le .app que vous exportez depuis Applescript. Si votre ami a bien regardé le voleur, vous pouvez le profiler socialement et déguiser le .app en quelque chose d'autre qui pourrait l'intéresser.

À condition que vous puissiez configurer le port en avant (votre marque n'applique pas les bonnes pratiques de sécurité), et que vous puissiez le faire exécuter l'application, vous aurez un accès SSH complet à la machine et pourrez continuer à chercher des indices sans trahir immédiatement votre présence. Cela nécessite également que la marque ne se lasse pas des notifications Growl de Dropbox et ne la quitte pas.Je conseillerais donc à votre amie d'arrêter d'enregistrer des fichiers dans sa Dropbox pendant un certain temps.

Remarque: Si le voleur se déconnecte de son FAI et se reconnecte, il obtiendra une nouvelle adresse IP externe. Ajoutez un fichier à Dropbox et attendez qu'il se synchronise. Cela devrait vous donner l'IP mise à jour.

Remarque 2: Si l'utilisateur ne se connecte pas au routeur avec le MacBook pendant un certain temps (généralement 24 heures), le bail DHCP pour l'adresse IP interne qui a été attribuée au MacBook expirera. Il obtiendra probablement la même adresse IP la prochaine fois qu'il se connectera, à moins qu'un autre appareil ne soit introduit dans le réseau. Dans ce cas, vous devrez vous reconnecter manuellement au routeur et modifier le port en avant.

Ce n'est pas le seul moyen d'attaque, mais c'est ce que je ferais à la seconde où je réaliserais que l'IP était toujours en cours de mise à jour via Dropbox. Bonne chance!

EDIT: Les "privilèges administrateur" à la fin de chaque ligne "do shell script" sont très importants. L'utilisateur sera invité à entrer le mot de passe administrateur de votre ami et le script échouera si vous n'incluez pas le nom d'utilisateur et le mot de passe en ligne.

Envoyez un e-mail d'une tante lui souhaitant un joyeux anniversaire et que la tante souhaite lui envoyer une carte-cadeau d'Abercrombie & Fitch + pour son anniversaire mais a besoin de la bonne adresse. Ensuite, c'est au voleur de tomber dans cette astuce d'escroquerie nigériane à petit budget.

+ Ou une autre marque célèbre

Honnêtement, contactez Apple. Ils peuvent avoir des informations sur la façon de retrouver leur ordinateur. Je suis sûr que vous n'êtes pas la première personne à se faire voler son Mac.

Edit: j'ai regardé dans la page d'assistance d'Apple et c'est en fait moins utile que je ne le pensais. Ce que vous pouvez essayer, c'est d'utiliser iCloud pour verrouiller à distance votre Macbook.

Daniel Beck l'a testé et a déclaré que:

"Bien qu'il ne s'agisse pas d'une" porte dérobée secrète pour Mac ", et [bien que ce ne soit] pas vraiment utile pour récupérer l'ordinateur, cela fonctionne très bien pour verrouiller les gens hors de votre Mac. Votre commentaire m'a incité à l'essayer et c'est en fait assez impressionnant. L'écran devient blanc, il arrête l'ordinateur et nécessite un code à six chiffres que vous avez spécifié précédemment via iCloud pour reprendre le processus de démarrage normal. "

Cela n'aide pas directement cette situation, mais pour l'avenir et pour tous ceux qui ont des Macbooks, le téléchargement de Prey peut vous donner un avantage dans le suivi du voleur. Prey vous fournira un rapport comprenant l'emplacement et une photo de votre voleur et ceci, combiné avec l'aide de la police, peut vous récupérer votre ordinateur portable. Sachez que de nombreux services de police n’aideront pas à moins que vous ne déposiez un rapport d’objet volé auprès de la police lorsque vous perdez l’ordinateur; faites-le dès que possible.

Compte tenu de l'adresse IP, vous pouvez probablement déterminer par quel FAI il se connecte ou plus.

Accédez à: http://remote.12dt.com/lookup.php

Saisissez l'adresse IP.

Par exemple, supposons que l'adresse IP soit: 203.97.37.85 (il s'agit en fait de l'adresse du serveur Web d'un FAI en NZ).

Et il peut afficher un nom de domaine d'entreprise ou de FAI. S'il semble que ce soit un nom d'entreprise, vous vous rétrécissez vraiment rapidement. Mais si c'est le nom d'un fournisseur de réseau (dans ce cas ci-dessus - TelstraClear NZ).

En plus de ce qui précède, je ferais une recherche whois. Utilisez l'un des outils de recherche whois en ligne.

http://networking.ringofsaturn.com/Tools/whois.php

Et vous récupérerez beaucoup d'informations. Mais vous pouvez voir que c'est une adresse dans le réseau TelstraClear.

#
# Query terms are ambiguous.  The query is assumed to be:
#     "n 203.97.37.85"
#
# Use "?" to get help.
#

#
# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=203.97.37.85?showDetails=true&showARIN=false&ext=netref2
#

NetRange:       203.0.0.0 - 203.255.255.255
CIDR:           203.0.0.0/8
OriginAS:
NetName:        APNIC-203
NetHandle:      NET-203-0-0-0-1
Parent:
NetType:        Allocated to APNIC
Comment:        This IP address range is not registered in the ARIN database.
Comment:        For details, refer to the APNIC Whois Database via
Comment:        WHOIS.APNIC.NET or http://wq.apnic.net/apnic-bin/whois.pl
Comment:        ** IMPORTANT NOTE: APNIC is the Regional Internet Registry
Comment:        for the Asia Pacific region. APNIC does not operate networks
Comment:        using this IP address range and is not able to investigate
Comment:        spam or abuse reports relating to these addresses. For more
Comment:        help, refer to http://www.apnic.net/apnic-info/whois_search2/abuse-and-spamming
RegDate:        1994-04-05
Updated:        2010-08-02
Ref:            http://whois.arin.net/rest/net/NET-203-0-0-0-1

OrgName:        Asia Pacific Network Information Centre
OrgId:          APNIC
Address:        PO Box 2131
City:           Milton
StateProv:      QLD
PostalCode:     4064
Country:        AU
RegDate:
Updated:        2011-09-24
Ref:            http://whois.arin.net/rest/org/APNIC

ReferralServer: whois://whois.apnic.net

OrgAbuseHandle: AWC12-ARIN
OrgAbuseName:   APNIC Whois Contact
OrgAbusePhone:  +61 7 3858 3188
OrgAbuseEmail:  search-apnic-not-arin@apnic.net
OrgAbuseRef:    http://whois.arin.net/rest/poc/AWC12-ARIN

OrgTechHandle: AWC12-ARIN
OrgTechName:   APNIC Whois Contact
OrgTechPhone:  +61 7 3858 3188
OrgTechEmail:  search-apnic-not-arin@apnic.net
OrgTechRef:    http://whois.arin.net/rest/poc/AWC12-ARIN

#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#

% [whois.apnic.net node-1]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

inetnum:      203.97.0.0 - 203.97.127.255
netname:      TELSTRACLEAR-NZ
descr:        TelstraClear Ltd
country:      NZ
admin-c:      TAC3-AP
tech-c:       TTC7-AP
notify:       apnic.changes@team.telstraclear.co.nz
mnt-by:       APNIC-HM
mnt-lower:    MAINT-NZ-TELSTRACLEAR
status:       ALLOCATED PORTABLE
changed:      hm-changed@apnic.net 19960101
changed:      netobjs@clear.net.nz 20010624
changed:      hm-changed@apnic.net 20041214
changed:      hm-changed@apnic.net 20050216
source:       APNIC

role:         TelstraClear Administrative Contact
address:      TelstraClear Limited
address:      Network Planning
address:      Private Bag 92143
address:      Auckland
country:      NZ
e-mail:       apnic.changes@team.telstraclear.co.nz
phone:        +64 9 912 5205
trouble:      For network abuse contact:
trouble:      list.admin@team.telstraclear.co.nz
trouble:      +64 9 912 5161
trouble:      For 24/7 after-hours NOC contact:
trouble:      +64 9 912 4482
notify:       apnic.changes@team.telstraclear.co.nz
tech-c:       TTC7-AP
admin-c:      TAC3-AP
nic-hdl:      TAC3-AP
mnt-by:       MAINT-NZ-TELSTRACLEAR
changed:      hm-changed@apnic.net 20041125
source:       APNIC

role:         TelstraClear Technical Contact
address:      TelstraClear Limited
address:      Customer Help
address:      Private Bag 92143
address:      Auckland
country:      NZ
e-mail:       list.admin@team.telstraclear.co.nz
phone:        +64 9 912 5161
trouble:      For network abuse contact:
trouble:      list.admin@team.telstraclear.co.nz
trouble:      +64 9 912 5161
trouble:      For 24/7 after-hours NOC contact:
trouble:      +64 9 912 4482
notify:       apnic.changes@team.telstraclear.co.nz
tech-c:       TTC7-AP
admin-c:      TAC3-AP
nic-hdl:      TTC7-AP
mnt-by:       MAINT-NZ-TELSTRACLEAR
changed:      hm-changed@apnic.net 20041125
source:       APNIC

Ce serait l'affaire de la police à ce moment-là. Je doute que le FAI va vous dire qui se connecte à ce stade.

Si vous récupérez l'ordinateur portable, ou si vous en obtenez un nouveau, installez-y preyproject. Cela rendra les choses beaucoup plus simples plus tard. Vous pouvez même prendre une photo du délinquant :)

Il y a des tonnes de choses que vous pourriez faire, et je vous recommande fortement de n'en faire aucune. Laissez la police faire son travail et procéder à l'arrestation.

Ce n'est pas la réponse intelligente, mais c'est la bonne, à mon humble avis.

- pas des moindres, si vous vous trompez à distance et qu'ils pensent que vous êtes sur eux, ils briseront probablement l'ordinateur portable en morceaux.