Comment retrouver mon Macbook volé

28

Un de mes amis vient de se faire voler son Macbook. Son compte Dropbox fonctionne toujours sur le Macbook, elle peut donc voir chaque fois que le Macbook est en ligne et obtenir son adresse IP.

Elle a donné ces informations à la police, qui a déclaré qu'il pourrait falloir jusqu'à un mois pour obtenir l'emplacement réel à partir de l'adresse IP. Je me demandais si nous pouvions aider à trouver l'ordinateur portable, car alors la personne avec lui pourrait être arrêtée maintenant pour avoir manipulé des biens volés (sinon ils pourraient le réinstaller avant que la police ne les attrape).

Voici les faits sur le Macbook volé:

  • Il exécute OS X, mais je ne sais pas exactement quelle version (je le découvrirai cependant).
  • Il n'y avait qu'un seul compte d'utilisateur, sans mot de passe et avec des privilèges d'administrateur.
  • La Dropbox du propriétaire d'origine est toujours en cours de synchronisation, ce qui nous donne l'adresse IP à chaque mise en ligne.
  • Le propriétaire d'origine n'est pas un technicien, il est donc très peu probable qu'il ait activé l'une des fonctionnalités de la télécommande comme SSH, VNC, etc. (je lui ai envoyé un e-mail pour lui demander).
  • Elle n'utilise pas iCloud ou le service .Mac.

J'envisageais de pousser un fichier attrayant dans Dropbox pour amener l'utilisateur à cliquer dessus. Je suppose que je n'aurai qu'une seule chance, alors je voulais des idées sur la meilleure chose à faire.

Mes idées jusqu'à présent:

  • Installez une sorte d'enregistreur de clés pour renvoyer toutes les informations au propriétaire. Existe-t-il un moyen de le faire sans que l'utilisateur en soit informé?
  • Faites du fichier un script shell pour récupérer autant d'informations utiles que possible, par exemple l'historique du navigateur, recherchez les sauvegardes iPhone, etc. Je ne suis pas sûr de la meilleure façon de renvoyer ces informations. Il me semble que je pourrais peut-être utiliser la commande mail (vers un compte e-mail gratuit bien sûr)?
  • Peut-être activer la gestion à distance. Existe-t-il un moyen de le faire sans que l'utilisateur n'accepte les fenêtres contextuelles de sécurité?

Quelqu'un at-il des conseils ici? J'ai écrit de nombreux scripts shell, mais je me demandais si d'autres options OS X pourraient être meilleures, par exemple Applescript? Quelqu'un a-t-il de meilleures idées que de lui envoyer un fichier Dropbox?

Je sais que cette question concerne essentiellement l'écriture d'une forme de logiciel malveillant, mais j'aimerais pouvoir imiter mon héros de la conférence DEF CON What Happens When You Steal a Hacker Computer .

Nous nous assurerons de vérifier auprès de la police avant de faire quoi que ce soit pour nous assurer de ne violer aucune loi.

Dan J
la source
1
Non pas que cela aide à récupérer l'ordinateur portable, mais il existe une application qui pourrait aider: hiddenapp.com ; preyproject.com ; orbicule.com/undercover/index.html
KM.
SSH est-il installé sur son ordinateur? Si c'est le cas, Dropbox peut vous donner l'IP de l'ordinateur afin que vous puissiez transférer des fichiers, effacer à distance, installer le service keylogger, etc.
MBraedley
Je doute fort qu'elle ait SSH en cours d'exécution. Je lui ai posé des questions précises à ce sujet lorsque je lui ai envoyé un e-mail, et j'ai mis à jour la question ci-dessus pour le dire maintenant.
Dan J
2
Si elle utilise iCloud, est-ce que Find my Mac est peut-être activé? Ou de retour sur mon Mac ? Accédez à iCloud.com, connectez-la et cliquez sur Localiser mon iPhone , puis sélectionnez le Mac dans la liste.
Daniel Beck
1
Pas tout à fait vrai: si le Mac était protégé par mot de passe, nous n'aurions jamais pu obtenir l'adresse IP de Dropbox. Donc, cette question dit utilement aux gens de donner à l'attaquant un moyen d'utiliser la machine et d'utiliser un service comme Dropbox pour obtenir l'adresse IP lorsqu'elle est en ligne!
Dan J

Réponses:

11

Je me souviens avoir regardé cette vidéo du Dr Zoz. Bon produit.

On dirait que vous êtes compétent avec les scripts shell et que vous avez juste besoin d'un vecteur d'attaque. La clé pour faire quelque chose de similaire à ce que Zoz a fait est d'obtenir un accès SSH. Contrairement à sa situation, où le voleur utilisait un modem téléphonique, il est presque certain, puisque les nouveaux Mac ne font pas de numérotation, que le voleur utilise une connexion à large bande et se trouve derrière une sorte de routeur NAT.

Même si SSH était activé sur la machine, la redirection de port devrait être configurée sur le routeur pour que vous puissiez accéder au port d'écoute SSH de la machine depuis l'extérieur. L'avantage d'une connexion à large bande est que l'adresse IP changera presque certainement moins souvent qu'avec une connexion par ligne commutée.

Si j'étais à votre place, détenant l'IP du voleur, j'essaierais d'abord de me connecter à l'interface Web de leur routeur et de voir ce que je peux faire à partir de là. Il est étonnant de voir combien de personnes laissent leurs mots de passe de routeur / modem par défaut en place, et il existe des listes en ligne où vous pouvez trouver des mots de passe par défaut pour la plupart des principaux fabricants.

Une fois à l'intérieur, vérifiez la liste des clients DHCP sur le routeur et voyez si vous pouvez trouver le MacBook. De nombreux routeurs affichent l'adresse MAC (matérielle), l'adresse IP interne attribuée (192.168.1.x le plus souvent) et, surtout, le nom de la machine.

Déterminez quelle adresse IP est attribuée au MacBook, puis configurez un port vers lui dans les paramètres du routeur. Utilisez un port externe autre que 22 (le port 2222 par exemple) et transférez-le au port 22 de l'IP du MacBook.

De nombreux routeurs ont un accès SSH activé, donc l'accès au port IP @ 22 du voleur peut vous amener au shell du routeur plutôt qu'au shell de la machine. Maintenant, vous devriez avoir un port sur l'IP externe du voleur (que vous avez obtenu de Dropbox) qui vous amènera directement au port SSH devrait être lié au MacBook. Sauf que SSH n'est pas encore activé.

Cette partie nécessite une action du voleur. J'aime l'idée de l'e-mail, mais elle nécessite que votre ami utilise Apple Mail. Une meilleure approche pourrait être de télécharger un fichier .app tentant sur Dropbox qui activera SSH (Connexion à distance).

Vous pouvez le faire via un script shell, mais en le faisant via Applescript, en enregistrant Applescript en tant que .app et en lui donnant une belle icône, tout cela contribuera grandement à tromper votre marque et à ne pas vous trahir.

Voici le code Applescript pour activer la connexion à distance:

do shell script "sudo systemsetup setremotelogin on" user name "Friend's Username" password "Friend's Password" with administrator privileges

Ce morceau de code renverra une chaîne avec le numéro de série de la machine que vous pouvez vous envoyer par e-mail si vous voulez le faire:

do shell script "sudo system_profiler |grep \"r (system)\"" user name "Friend's Username" password "Friend's Password" with administrator privileges

J'écrirais l'applescript pour qu'il active la connexion à distance, fasse tout ce dont vous avez besoin. Essayez de ne pas créer de script pour l'interface graphique ou toute autre application que le shell car cela soulèvera des soupçons. À la fin, affichez un message indiquant «Cette application ne peut pas s'exécuter sur ce Macintosh». avec un bouton "Quitter" pour réduire les soupçons. Une fois que le script fonctionne dans AppleScript Editor, enregistrez-le en tant que fichier .app d'exécution.

Essayez de déguiser le .app en un jeu populaire, Plants vs.Zombies ou Angry Birds ou quelque chose. Vous pouvez exporter l'icône depuis le .app du jeu réel et la placer dans le .app que vous exportez depuis Applescript. Si votre ami a bien regardé le voleur, vous pouvez le profiler socialement et déguiser le .app en quelque chose d'autre qui pourrait l'intéresser.

À condition que vous puissiez configurer le port en avant (votre marque n'applique pas les bonnes pratiques de sécurité), et que vous puissiez le faire exécuter l'application, vous aurez un accès SSH complet à la machine et pourrez continuer à chercher des indices sans trahir immédiatement votre présence. Cela nécessite également que la marque ne se lasse pas des notifications Growl de Dropbox et ne la quitte pas.Je conseillerais donc à votre amie d'arrêter d'enregistrer des fichiers dans sa Dropbox pendant un certain temps.

Remarque: Si le voleur se déconnecte de son FAI et se reconnecte, il obtiendra une nouvelle adresse IP externe. Ajoutez un fichier à Dropbox et attendez qu'il se synchronise. Cela devrait vous donner l'IP mise à jour.

Remarque 2: Si l'utilisateur ne se connecte pas au routeur avec le MacBook pendant un certain temps (généralement 24 heures), le bail DHCP pour l'adresse IP interne qui a été attribuée au MacBook expirera. Il obtiendra probablement la même adresse IP la prochaine fois qu'il se connectera, à moins qu'un autre appareil ne soit introduit dans le réseau. Dans ce cas, vous devrez vous reconnecter manuellement au routeur et modifier le port en avant.

Ce n'est pas le seul moyen d'attaque, mais c'est ce que je ferais à la seconde où je réaliserais que l'IP était toujours en cours de mise à jour via Dropbox. Bonne chance!

EDIT: Les "privilèges administrateur" à la fin de chaque ligne "do shell script" sont très importants. L'utilisateur sera invité à entrer le mot de passe administrateur de votre ami et le script échouera si vous n'incluez pas le nom d'utilisateur et le mot de passe en ligne.

Vickash
la source
Est-ce que cela fonctionne avec un mot de passe vide? Je pense que je me souviens de certaines choses qui ne fonctionnent pas correctement si vous n'avez pas de mot de passe.
Daniel Beck
Merci de l'avoir signalé. Je ne savais même pas qu'OS X vous permet de créer un compte sans mot de passe: S. J'ai supposé qu'il voulait dire que la connexion automatique était activée. Vous pouvez demander au script de définir un mot de passe pour son compte avant d'exécuter les commandes nécessaires, à l'aide de do shell script "dscl . -passwd /Users/Username '' newpassword". Le '' représente le mot de passe actuel (chaîne vide). Gardez à l'esprit que si la connexion automatique n'est pas activée, cela bloquera le voleur hors de la machine.
Vickash
Merci pour une excellente réponse! J'avais oublié que j'aurais probablement besoin de pirater la configuration de leur routeur pour obtenir un accès SSH à distance au Macbook. Légalement, je pense qu'il serait bien de reconfigurer le Macbook avec la permission du propriétaire, mais le piratage d'un routeur serait certainement illégal (au moins au Royaume-Uni). Si la police attrape le voleur, elle pourrait finir par saisir le routeur dans le cadre de son enquête ...
Dan J
C'est vraiment un mauvais conseil. Et surtout, que se passe-t-il si le voleur réinitialise votre mot de passe de messagerie (par exemple, en utilisant vos questions secrètes), puis ouvre le courrier électronique du virus sur une autre machine, comme celle d'un cybercafé? Que faire si vous piratez leur routeur, puis constatez qu'ils sont assis sur Starbucks, maintenant vous avez fait irruption dans un tiers et êtes entièrement responsable des retombées de cela. À mon humble avis, la vigilance n'est jamais un bon conseil, c'est pourquoi, dans ma réponse à cette question, je conseille de laisser la police faire son travail.
Sirex
Vous pouvez vous débarrasser de l'étape "pirater son modem" en ayant un VPS ou tout autre ordinateur externe avec une IP connue. J'utilise généralement openvpn pour me connecter à des machines qui sont derrière des NAT sur ssh en les connectant à un VPN, puis en y accédant. Il existe d'autres façons de le faire, comme par exemple exécuter un script qui télécharge et exécute périodiquement des scripts shell à partir dudit serveur externe et vous envoie les résultats. Essentiellement, vous avez maintenant la machine cible qui initie la connexion. Cela réduit considérablement le nombre de choses à faire pour que cela fonctionne à partir de: de
entropie
15

Envoyez un e-mail d'une tante lui souhaitant un joyeux anniversaire et que la tante souhaite lui envoyer une carte-cadeau d'Abercrombie & Fitch + pour son anniversaire mais a besoin de la bonne adresse. Ensuite, c'est au voleur de tomber dans cette astuce d'escroquerie nigériane à petit budget.

+ Ou une autre marque célèbre

ZippyV
la source
Je ne pense pas que le voleur ait accès à son e-mail, mais c'est un bon point - je devrais vérifier ...
Dan J
Elle n'a pas utilisé le programme de messagerie sous OSX?
ZippyV
1
Si vous optez pour le courrier, assurez-vous d'envoyer plus d'un e-mail de plusieurs personnes pour le rendre moins suspect.
ZippyV
Pour info, elle n'utilise pas le programme Mail sous OS X, juste le webmail. Si c'était moi cependant, je préférerais changer mon mot de passe de messagerie immédiatement pour essayer de désactiver le voleur accédant à ma messagerie ...
Dan J
6

Honnêtement, contactez Apple. Ils peuvent avoir des informations sur la façon de retrouver leur ordinateur. Je suis sûr que vous n'êtes pas la première personne à se faire voler son Mac.

Edit: j'ai regardé dans la page d'assistance d'Apple et c'est en fait moins utile que je ne le pensais. Ce que vous pouvez essayer, c'est d'utiliser iCloud pour verrouiller à distance votre Macbook.

Daniel Beck l'a testé et a déclaré que:

"Bien qu'il ne s'agisse pas d'une" porte dérobée secrète pour Mac ", et [bien que ce ne soit] pas vraiment utile pour récupérer l'ordinateur, cela fonctionne très bien pour verrouiller les gens hors de votre Mac. Votre commentaire m'a incité à l'essayer et c'est en fait assez impressionnant. L'écran devient blanc, il arrête l'ordinateur et nécessite un code à six chiffres que vous avez spécifié précédemment via iCloud pour reprendre le processus de démarrage normal. "

ChrisM
la source
4
Je pense que cela n'aidera pas - ils vous suggéreront probablement d'en acheter un nouveau.
Simon Sheehan
3
Oui - ils vont simplement activer leur porte dérobée secrète Mac et auront un accès complet au système.
Daniel Beck
@DanielBeck est-ce vrai ou êtes-vous à la traîne? S'il est vrai, une référence serait bien pour une réclamation aussi importante. Si vous êtes à la traîne, veuillez supprimer votre commentaire, car il n'est pas utile de fournir des informations erronées.
nhinkle
2
@nhinkle Sarcasm n'est pas à la traîne. Ce n'est pas de la traîne, car ce n'est ni hors sujet ni destiné à provoquer des réponses émotionnelles. En utilisant une exagération ironique de l'affirmation dans cette réponse, je souligne qu'il n'y a aucun moyen pour Apple d'aider ici. Ils peuvent avoir des adresses IP, mais celles-ci sont déjà connues. Je ne supprimerai pas mon commentaire, car il a un véritable objectif: être en désaccord avec cette réponse. Nous pouvons toujours en discuter sur Meta si vous le souhaitez.
Daniel Beck
2
@ChrisM Bien qu'il ne s'agisse pas d'une "porte dérobée secrète pour Mac", et pas vraiment utile pour récupérer l'ordinateur, il fonctionne très bien pour verrouiller les gens hors de votre Mac. Votre commentaire m'a incité à l'essayer et c'est en fait assez impressionnant. L'écran devient blanc, il arrête l'ordinateur et nécessite un code à six chiffres que vous avez spécifié précédemment via iCloud pour reprendre le processus de démarrage normal. +1 si vous l'incluez dans votre réponse.
Daniel Beck
3

Cela n'aide pas directement cette situation, mais pour l'avenir et pour tous ceux qui ont des Macbooks, le téléchargement de Prey peut vous donner un avantage dans le suivi du voleur. Prey vous fournira un rapport comprenant l'emplacement et une photo de votre voleur et ceci, combiné avec l'aide de la police, peut vous récupérer votre ordinateur portable. Sachez que de nombreux services de police n’aideront pas à moins que vous ne déposiez un rapport d’objet volé auprès de la police lorsque vous perdez l’ordinateur; faites-le dès que possible.

ChrisM
la source
Les concurrents incluent hiddenapp.com et orbicule.com/undercover/mac (je suis un client de ce dernier, et dans des tests limités, c'est-à-dire en mode "démo", localisation et photos de la caméra, pas de contact avec la police, cela a très bien fonctionné).
Daniel Beck
Savez-vous à quel point les réponses exaspérantes selon lesquelles "cela n'aidera pas dans cette situation ..." sont lorsque vous vous êtes fait voler votre ordinateur portable :)
Jonathan.
2

Compte tenu de l'adresse IP, vous pouvez probablement déterminer par quel FAI il se connecte ou plus.

Accédez à: http://remote.12dt.com/lookup.php

Saisissez l'adresse IP.

Par exemple, supposons que l'adresse IP soit: 203.97.37.85 (il s'agit en fait de l'adresse du serveur Web d'un FAI en NZ).

Et il peut afficher un nom de domaine d'entreprise ou de FAI. S'il semble que ce soit un nom d'entreprise, vous vous rétrécissez vraiment rapidement. Mais si c'est le nom d'un fournisseur de réseau (dans ce cas ci-dessus - TelstraClear NZ).

En plus de ce qui précède, je ferais une recherche whois. Utilisez l'un des outils de recherche whois en ligne.

http://networking.ringofsaturn.com/Tools/whois.php

Et vous récupérerez beaucoup d'informations. Mais vous pouvez voir que c'est une adresse dans le réseau TelstraClear.

#
# Query terms are ambiguous.  The query is assumed to be:
#     "n 203.97.37.85"
#
# Use "?" to get help.
#

#
# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=203.97.37.85?showDetails=true&showARIN=false&ext=netref2
#

NetRange:       203.0.0.0 - 203.255.255.255
CIDR:           203.0.0.0/8
OriginAS:
NetName:        APNIC-203
NetHandle:      NET-203-0-0-0-1
Parent:
NetType:        Allocated to APNIC
Comment:        This IP address range is not registered in the ARIN database.
Comment:        For details, refer to the APNIC Whois Database via
Comment:        WHOIS.APNIC.NET or http://wq.apnic.net/apnic-bin/whois.pl
Comment:        ** IMPORTANT NOTE: APNIC is the Regional Internet Registry
Comment:        for the Asia Pacific region. APNIC does not operate networks
Comment:        using this IP address range and is not able to investigate
Comment:        spam or abuse reports relating to these addresses. For more
Comment:        help, refer to http://www.apnic.net/apnic-info/whois_search2/abuse-and-spamming
RegDate:        1994-04-05
Updated:        2010-08-02
Ref:            http://whois.arin.net/rest/net/NET-203-0-0-0-1

OrgName:        Asia Pacific Network Information Centre
OrgId:          APNIC
Address:        PO Box 2131
City:           Milton
StateProv:      QLD
PostalCode:     4064
Country:        AU
RegDate:
Updated:        2011-09-24
Ref:            http://whois.arin.net/rest/org/APNIC

ReferralServer: whois://whois.apnic.net

OrgAbuseHandle: AWC12-ARIN
OrgAbuseName:   APNIC Whois Contact
OrgAbusePhone:  +61 7 3858 3188
OrgAbuseEmail:  [email protected]
OrgAbuseRef:    http://whois.arin.net/rest/poc/AWC12-ARIN

OrgTechHandle: AWC12-ARIN
OrgTechName:   APNIC Whois Contact
OrgTechPhone:  +61 7 3858 3188
OrgTechEmail:  [email protected]
OrgTechRef:    http://whois.arin.net/rest/poc/AWC12-ARIN

#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#

% [whois.apnic.net node-1]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

inetnum:      203.97.0.0 - 203.97.127.255
netname:      TELSTRACLEAR-NZ
descr:        TelstraClear Ltd
country:      NZ
admin-c:      TAC3-AP
tech-c:       TTC7-AP
notify:       [email protected]
mnt-by:       APNIC-HM
mnt-lower:    MAINT-NZ-TELSTRACLEAR
status:       ALLOCATED PORTABLE
changed:      [email protected] 19960101
changed:      [email protected] 20010624
changed:      [email protected] 20041214
changed:      [email protected] 20050216
source:       APNIC

role:         TelstraClear Administrative Contact
address:      TelstraClear Limited
address:      Network Planning
address:      Private Bag 92143
address:      Auckland
country:      NZ
e-mail:       [email protected]
phone:        +64 9 912 5205
trouble:      For network abuse contact:
trouble:      [email protected]
trouble:      +64 9 912 5161
trouble:      For 24/7 after-hours NOC contact:
trouble:      +64 9 912 4482
notify:       [email protected]
tech-c:       TTC7-AP
admin-c:      TAC3-AP
nic-hdl:      TAC3-AP
mnt-by:       MAINT-NZ-TELSTRACLEAR
changed:      [email protected] 20041125
source:       APNIC

role:         TelstraClear Technical Contact
address:      TelstraClear Limited
address:      Customer Help
address:      Private Bag 92143
address:      Auckland
country:      NZ
e-mail:       [email protected]
phone:        +64 9 912 5161
trouble:      For network abuse contact:
trouble:      [email protected]
trouble:      +64 9 912 5161
trouble:      For 24/7 after-hours NOC contact:
trouble:      +64 9 912 4482
notify:       [email protected]
tech-c:       TTC7-AP
admin-c:      TAC3-AP
nic-hdl:      TTC7-AP
mnt-by:       MAINT-NZ-TELSTRACLEAR
changed:      [email protected] 20041125
source:       APNIC

Ce serait l'affaire de la police à ce moment-là. Je doute que le FAI va vous dire qui se connecte à ce stade.

Si vous récupérez l'ordinateur portable, ou si vous en obtenez un nouveau, installez-y preyproject. Cela rendra les choses beaucoup plus simples plus tard. Vous pouvez même prendre une photo du délinquant :)

Matt H
la source
Merci! J'aurais probablement dû dire dans la question d'origine que j'avais déjà fait la recherche WHOIS et un tracert, mais cela ne me donne pas un emplacement suffisamment précis. Le tracert n'atteint même pas l'IP cible, probablement en raison d'un FAI au milieu bloquant les pings.
Dan J
1

Il y a des tonnes de choses que vous pourriez faire, et je vous recommande fortement de n'en faire aucune. Laissez la police faire son travail et procéder à l'arrestation.

Ce n'est pas la réponse intelligente, mais c'est la bonne, à mon humble avis.

- pas des moindres, si vous vous trompez à distance et qu'ils pensent que vous êtes sur eux, ils briseront probablement l'ordinateur portable en morceaux.

Sirex
la source
aucune idée pourquoi cela a été rejeté, vraiment.
Sirex
3
Je n'ai pas downvote, mais je pense que cela convient mieux comme commentaire car il ne fournit aucune information réelle. Si vous aviez des données supplémentaires, peut-être concernant le taux de réussite de la police locale à récupérer des PC volés, alors ce serait une bonne réponse. Pour l'instant, ce n'est qu'une opinion.
Chad Levy
Ma réponse à "que dois-je faire" n'est rien , ou du moins rien d'illégal. Réclamez l'assurance et restaurez à partir de la sauvegarde (et utilisez le chiffrement du disque à l'avenir), c'est pourquoi vous les avez. Je serais surpris si le taux de réussite de la police à la recherche de biens volés était supérieur à la probabilité qu'un tiers innocent lésé porte des accusations légitimes contre les actions de la réponse acceptée. Dans ce cas, le PO a même des informations pour accélérer le processus de police.
Sirex