webdevqa.jp.net

盗まれたMacbookを見つける方法

友人がMacbookを盗まれたばかりです。彼女のDropboxアカウントはまだMacbookで動作しているため、Macbookがオンラインになるたびに確認でき、IPアドレスを取得できます。

彼女は警察にこの情報を提供しました。警察は、IPアドレスから実際の場所を取得するのに最大1か月かかる可能性があると言います。ラップトップを見つけた人が盗難品の取り扱いで逮捕される可能性があるので、私は私が疑問に思っていました(さもなければ、警察が捕まる前に再インストールするかもしれません)。

盗まれたMacbookに関する事実は次のとおりです。

  • OS Xを実行していますが、正確にどのバージョンかはわかりません(ただし、わかります)。
  • ユーザーアカウントは1つだけで、パスワードはなく、管理者権限がありました。
  • 元の所有者のDropboxはまだ同期中で、オンラインになるたびにIPアドレスが提供されます。
  • 元の所有者は技術者ではないため、SSH、VNCなどのリモートコントロール機能をオンにしている可能性は非常に低いです(私は彼女にメールで問い合わせました)。
  • 彼女はiCloudや.Macサービスを使用していません。

魅力的なファイルをDropboxにプッシュして、ユーザーがクリックできるようにすることを検討していました。私はこれで一発しか撮れないと思うので、最良のことについていくつかのアイデアが欲しかった。

これまでの私の考え:

  • 何らかのキーロガーをインストールして、すべての情報を所有者に送り返します。ユーザーに気付かれずにこれを行う方法はありますか?
  • ファイルをシェルスクリプトにして、可能な限り多くの有用な情報を取得します。ブラウザの履歴、iPhoneのバックアップなどを探します。この情報を返信する最善の方法はわかりません。 mail コマンドを(もちろん無料の電子メールアカウントに対して)使用できるように思えますか?
  • 多分リモート管理をオンにします。ユーザーがセキュリティポップアップを受け入れることなくこれを行う方法はありますか?

誰かがここで何かヒントがありますか?私はたくさんのシェルスクリプトを作成しましたが、他のOS Xオプションの方が優れているかどうか疑問に思っていました。 Applescript? Dropboxファイルをプッシュするよりも優れたアイデアはありますか?

この質問は基本的にはある種のマルウェアを書くことについてですが、私のヒーローを ハッカーのコンピューターを盗んだときに起こること DEF CONの講義からエミュレートできるようになりたいです。

法律に違反しないようにするため、何かをする前に必ず警察に確認してください。

28
Dan J

ドクター・ゾズのビデオを見たことを覚えています。いい物。

シェルスクリプトの能力があり、攻撃ベクトルが必要なだけのようです。 Zozと同じようなことを行うための鍵は、SSHアクセスを取得することです。泥棒がダイヤルアップモデムを使用していた彼の状況とは異なり、新しいMacはダイヤルアップを行わないため、泥棒がブロードバンド接続を使用しており、ある種のNAT =ルーター。

マシンでSSHが有効になっている場合でも、外部からマシンのSSHリスニングポートにアクセスするには、ルーターでポート転送を設定する必要があります。ブロードバンド接続の利点は、IPアドレスがほとんど間違いなくダイヤルアップよりも頻繁に変化しないことです。

泥棒のIPを保持しているあなたの立場にいた場合、まずルーターのWebインターフェイスにログインして、そこから何ができるかを確認します。多くの人々がデフォルトのルーター/モデムのパスワードをそのままにしておくのは驚くべきことであり、ほとんどの主要メーカーのデフォルトのパスワードを見つけることができるオンラインのリストがあります。

中に入ったら、ルータのDHCPクライアントリストを確認し、MacBookが見つかるかどうかを確認します。多くのルーターには、MAC(ハードウェア)アドレス、割り当てられた内部IPアドレス(最も頻繁には192.168.1.x)、最も重要なのはマシン名が表示されます。

MacBookに割り当てられているIPを特定し、ルーターの設定でそのIPに転送するポートを設定します。 22以外の外部ポート(ポート2222など)を使用し、それをMacBookのIPのポート22に転送します。

多くのルーターではSSHアクセスが有効になっているため、泥棒のIP @ポート22にアクセスすると、マシンのシェルではなくルーターのシェルにアクセスする可能性があります。これで、泥棒の外部IP(Dropboxから取得したもの)にポートがあり、SSHがMacBookにバインドされているポートに直接アクセスできるはずです。ただし、SSHはまだ有効になっていません。

この部分では、泥棒から何らかのアクションが必要です。私は電子メールのアイデアが好きですが、友人がApple Mailを使用していることが必要です。SSH(リモートログイン)をオンにする魅力的な.appファイルをDropboxにアップロードすることをお勧めします。

これはシェルスクリプトを使用して実行できますが、Applescriptを使用して実行し、Applescriptを.appとして保存し、Niceアイコンを付けると、すべてマークをだまして、自分自身を失うことにはなりません。

リモートログインをオンにするApplescriptコードは次のとおりです。

do Shell script "Sudo systemsetup setremotelogin on" user name "Friend's Username" password "Friend's Password" with administrator privileges

次のコードは、マシンのシリアル番号を含む文字列を返します。シリアル番号は、必要な場合にメールで送信できます。

do Shell script "Sudo system_profiler |grep \"r (system)\"" user name "Friend's Username" password "Friend's Password" with administrator privileges

AppleScriptを書いて、リモートログインがオンになり、他に必要なことをすべて実行するようにします。疑わしいので、GUIやシェル以外のアプリケーションをスクリプト化しないでください。最後に「このMacintoshではこのアプリケーションは実行できません。」というメッセージが表示されます。疑惑を減らすために「Quit」ボタンを備えています。スクリプトがAppleScriptエディタで機能したら、実行専用の.appファイルとして保存します。

.appを人気のゲーム、Plants vs. Zombies、Angry Birdsなどに変装してみてください。実際のゲームの.appからアイコンをエクスポートして、それをApplescriptからエクスポートした.appに入れることができます。友達が泥棒をよく見ている場合は、友達をソーシャルプロフィールで紹介し、.appを興味のある他の何かに偽装できます。

あなたがポートフォワードを設定でき(あなたの印は適切なセキュリティ慣行を強制しない)、そして彼/彼女にアプリケーションを実行させることができれば、あなたはマシンへの完全なSSHアクセスを持ち、手がかりを探すことなく続けることができますすぐにあなたの存在を放棄します。これには、マークがDropboxのGrowl通知に飽きずに終了する必要があるため、しばらくの間、Dropboxへのファイルの保存を停止することをお勧めします。

注:泥棒がISPから切断して再接続すると、新しい外部IPが取得されます。ファイルをDropboxに追加し、同期するのを待ちます。これにより、更新されたIPが取得されます。

注2:ユーザーがMacBookを使用してルーターに一定時間(通常は24時間)接続しない場合、MacBookに割り当てられた内部IPアドレスのDHCPリースは期限切れになります。別のデバイスがネットワークに導入されていない限り、ほとんどの場合、次回接続時に同じIPアドレスを取得します。この場合、ルーターに手動で再度ログインし、ポート転送を変更する必要があります。

これは唯一の攻撃手段ではありませんが、IPがまだDropbox経由で更新されていることに気付いた2番目の方法です。幸運を!

編集:各「do Shellスクリプト」行の最後にある「管理者権限」は非常に重要です。ユーザー名とパスワードをインラインで含めない場合、ユーザーは友達の管理者パスワードの入力を求められ、スクリプトは失敗します。

11
Vickash

おばさんからお誕生日おめでとう、そしておばさんが彼女の誕生日にAbercrombie&Fitch +からギフトカードを送りたいが正しい住所が必要であることを電子メールで送信する。その後、この低予算のナイジェリアの詐欺のトリックに落ちるのは泥棒次第です。

+または他の有名なブランド

15
ZippyV

正直なところ、アップルにお問い合わせください。彼らは自分のコンピュータを追跡する方法についての情報を持っているかもしれません。あなたがMacを盗まれた最初の人物ではないと思います。

編集:Appleのサポートページ を調べたところ、実際にはあまり役に立たなかったので、そうなると思いました。あなたが試すことができるのは、iCloudを使ってMacbookをリモートでロックアウトすることです。

ダニエルベックは実際にそれをテストし、次のようにコメントしました:

「「秘密のMacバックドア」ではありませんが、実際にコンピュータを元に戻すことはあまりできませんが、ユーザーをMacからロックアウトすることは非常にうまく機能します。コメントを試してみてください画面が真っ白になり、コンピュータがシャットダウンし、通常の起動プロセスを再開するには、以前にiCloudを介して指定した6桁のコードが必要です。 "

6
ChrisM

これはこの状況を直接助けるものではありませんが、MacBookをダウンロードしている将来そして他のすべての人にとって、 Prey は泥棒を追跡する上で有利になります。獲物はあなたの泥棒の場所と写真を含むレポートを提供し、これは警察の助けと組み合わせて、あなたのラップトップを取り戻すことができます。コンピュータを紛失したときに警察に盗難品の報告を提出しない限り、多くの警察署は役に立たないことに注意してください。できるだけ早くこれを行ってください。

3
ChrisM

IPアドレスがわかれば、おそらくどのISPを経由して接続しているのかを把握できます。

移動: http://remote.12dt.com/lookup.php

IPアドレスを入力します。

例えばIPアドレスが203.97.37.85であるとします(これは実際にはNZのISPのWebサーバーアドレスです)。

また、会社またはISPのドメイン名が表示される場合もあります。それが会社名であるように見える場合、あなたは本当に速く絞り込んでいます。しかし、それがネットワークプロバイダーの名前である場合(上記の場合-上記のTelstraClear NZ)。

上記に加えて、whois検索を実行します。オンラインのwhois検索ツールの1つを使用します。

http://networking.ringofsaturn.com/Tools/whois.php

そして、あなたはたくさんの情報を得るでしょう。しかし、これはTelstraClearネットワーク内のアドレスであることがわかります。

#
# Query terms are ambiguous.  The query is assumed to be:
#     "n 203.97.37.85"
#
# Use "?" to get help.
#

#
# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=203.97.37.85?showDetails=true&showARIN=false&ext=netref2
#

NetRange:       203.0.0.0 - 203.255.255.255
CIDR:           203.0.0.0/8
OriginAS:
NetName:        APNIC-203
NetHandle:      NET-203-0-0-0-1
Parent:
NetType:        Allocated to APNIC
Comment:        This IP address range is not registered in the ARIN database.
Comment:        For details, refer to the APNIC Whois Database via
Comment:        WHOIS.APNIC.NET or http://wq.apnic.net/apnic-bin/whois.pl
Comment:        ** IMPORTANT NOTE: APNIC is the Regional Internet Registry
Comment:        for the Asia Pacific region. APNIC does not operate networks
Comment:        using this IP address range and is not able to investigate
Comment:        spam or abuse reports relating to these addresses. For more
Comment:        help, refer to http://www.apnic.net/apnic-info/whois_search2/abuse-and-spamming
RegDate:        1994-04-05
Updated:        2010-08-02
Ref:            http://whois.arin.net/rest/net/NET-203-0-0-0-1

OrgName:        Asia Pacific Network Information Centre
OrgId:          APNIC
Address:        PO Box 2131
City:           Milton
StateProv:      QLD
PostalCode:     4064
Country:        AU
RegDate:
Updated:        2011-09-24
Ref:            http://whois.arin.net/rest/org/APNIC

ReferralServer: whois://whois.apnic.net

OrgAbuseHandle: AWC12-ARIN
OrgAbuseName:   APNIC Whois Contact
OrgAbusePhone:  +61 7 3858 3188
OrgAbuseEmail:  [email protected]
OrgAbuseRef:    http://whois.arin.net/rest/poc/AWC12-ARIN

OrgTechHandle: AWC12-ARIN
OrgTechName:   APNIC Whois Contact
OrgTechPhone:  +61 7 3858 3188
OrgTechEmail:  [email protected]
OrgTechRef:    http://whois.arin.net/rest/poc/AWC12-ARIN

#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#

% [whois.apnic.net node-1]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

inetnum:      203.97.0.0 - 203.97.127.255
netname:      TELSTRACLEAR-NZ
descr:        TelstraClear Ltd
country:      NZ
admin-c:      TAC3-AP
tech-c:       TTC7-AP
notify:       [email protected]
mnt-by:       APNIC-HM
mnt-lower:    MAINT-NZ-TELSTRACLEAR
status:       ALLOCATED PORTABLE
changed:      [email protected] 19960101
changed:      [email protected] 20010624
changed:      [email protected] 20041214
changed:      [email protected] 20050216
source:       APNIC

role:         TelstraClear Administrative Contact
address:      TelstraClear Limited
address:      Network Planning
address:      Private Bag 92143
address:      Auckland
country:      NZ
e-mail:       [email protected]
phone:        +64 9 912 5205
trouble:      For network abuse contact:
trouble:      [email protected]
trouble:      +64 9 912 5161
trouble:      For 24/7 after-hours NOC contact:
trouble:      +64 9 912 4482
notify:       [email protected]
tech-c:       TTC7-AP
admin-c:      TAC3-AP
nic-hdl:      TAC3-AP
mnt-by:       MAINT-NZ-TELSTRACLEAR
changed:      [email protected] 20041125
source:       APNIC

role:         TelstraClear Technical Contact
address:      TelstraClear Limited
address:      Customer Help
address:      Private Bag 92143
address:      Auckland
country:      NZ
e-mail:       [email protected]
phone:        +64 9 912 5161
trouble:      For network abuse contact:
trouble:      [email protected]
trouble:      +64 9 912 5161
trouble:      For 24/7 after-hours NOC contact:
trouble:      +64 9 912 4482
notify:       [email protected]
tech-c:       TTC7-AP
admin-c:      TAC3-AP
nic-hdl:      TTC7-AP
mnt-by:       MAINT-NZ-TELSTRACLEAR
changed:      [email protected] 20041125
source:       APNIC

その時点で警察の問題になるでしょう。 ISPがその時点で誰がログインしているかを教えてくれるとは思えません。

ラップトップを取り戻す場合、または新しいラップトップを入手する場合は、そこにpreyprojectをインストールしてください。それは後で物事をより簡単にするでしょう。犯罪者の写真を撮ることもできます:)

2
Matt H

あなたができることはたくさんあります。私はそれらのどれもしないことを強くお勧めします。警察に仕事をさせ、逮捕させてください。

賢い答えではありませんが、正しい答えです。

-特に、あなたがリモートでそれをいじって、彼らがあなたが彼らにいると思っているなら、彼らはおそらくラップトップをビットに粉砕するでしょう。

1
Sirex