So finden Sie mein gestohlenes Macbook

Eine Freundin von mir hat gerade ihr Macbook gestohlen. Ihr Dropbox-Konto funktioniert immer noch auf dem Macbook, sodass sie jedes Mal sehen kann, wenn das Macbook online geht, und die IP-Adresse abrufen kann.

Sie hat diese Informationen an die Polizei weitergegeben, die angibt, dass es bis zu einem Monat dauern kann, bis der tatsächliche Standort anhand der IP-Adresse ermittelt wurde. Ich habe mich gefragt, ob wir helfen könnten, den Laptop zu finden, da die Person mit ihm jetzt verhaftet werden könnte, weil sie gestohlene Waren gehandhabt hat.

Hier sind die Fakten über das gestohlene Macbook:

• Es läuft unter OS X, aber ich bin nicht sicher, welche Version genau (ich werde es jedoch herausfinden).
• Es gab nur ein einziges Benutzerkonto ohne Kennwort und mit Administratorrechten.
• Die Dropbox des ursprünglichen Besitzers wird weiterhin synchronisiert, sodass wir die IP-Adresse jedes Mal erhalten, wenn sie online geschaltet wird.
• Die ursprüngliche Besitzerin ist keine Technikfreak, daher ist es sehr unwahrscheinlich, dass sie eine der Fernbedienungsfunktionen wie SSH, VNC usw. aktiviert hat (ich habe sie per E-Mail gefragt).
• Sie verwendet weder iCloud noch den .Mac-Dienst.

Ich dachte darüber nach, eine verlockende Datei in Dropbox zu verschieben, damit der Benutzer darauf klickt. Ich schätze, ich bekomme nur einen Versuch, also wollte ich ein paar Ideen für das Beste.

Meine bisherigen Ideen:

• Installieren Sie eine Art Key Logger, um alle Informationen an den Eigentümer zurückzusenden. Gibt es eine Möglichkeit, dies zu tun, ohne dass der Benutzer darauf hingewiesen wird?
• Machen Sie die Datei zu einem Shell-Skript, um so viele nützliche Informationen wie möglich zu erhalten, z. B. den Browserverlauf, die Suche nach iPhone-Backups usw. Ich bin mir jedoch nicht sicher, wie ich diese Informationen am besten zurücksenden kann. Es hört sich so an, als könnte ich den Mail- Befehl verwenden (natürlich für ein kostenloses E-Mail-Konto).
• Aktivieren Sie möglicherweise die Remoteverwaltung. Gibt es eine Möglichkeit, dies zu tun, ohne dass der Benutzer Sicherheits-Popups akzeptiert?

Hat jemand hier irgendwelche Tipps? Ich habe viele Shell-Skripte geschrieben, habe mich aber gefragt, ob andere OS X-Optionen besser sein könnten, z. B. Applescript? Hat jemand bessere Ideen, als eine Dropbox-Datei darauf zu schieben?

Ich weiß, dass es bei dieser Frage im Wesentlichen um das Schreiben einer Form von Malware geht, aber ich würde gerne meinen Helden aus der Vorlesung Was passiert, wenn Sie den Computer eines Hackers stehlen DEF CON emulieren können .

Wir werden sicherstellen, dass wir uns bei der Polizei erkundigen, bevor wir etwas unternehmen, um sicherzustellen, dass wir keine Gesetze brechen.

Ich erinnere mich, dass ich das Video von Dr. Zoz gesehen habe. Gutes Zeug.

Es hört sich so an, als ob Sie mit Shell-Skripten vertraut sind und nur einen Angriffsvektor benötigen. Der Schlüssel zu einer ähnlichen Aktion wie Zoz ist der SSH-Zugriff. Im Gegensatz zu seiner Situation, in der der Dieb ein DFÜ-Modem verwendete, ist es fast sicher, dass der Dieb eine Breitbandverbindung verwendet und sich hinter einer Art NAT-Router befindet, da neuere Macs keine DFÜ-Verbindung herstellen.

Selbst wenn SSH auf dem Computer aktiviert wäre, müsste die Portweiterleitung auf dem Router eingerichtet werden, damit Sie von außen auf den SSH-Abhörport des Computers zugreifen können. Der Vorteil einer Breitbandverbindung ist, dass sich die IP-Adresse mit ziemlicher Sicherheit seltener ändert als bei einer Einwahl.

Wenn ich in Ihrer Position wäre und die IP des Diebes halten würde, würde ich zuerst versuchen, mich bei der Weboberfläche ihres Routers anzumelden und zu sehen, was ich von dort aus tun kann. Es ist erstaunlich, wie viele Leute ihre Standard-Router- / Modem-Passwörter beibehalten, und es gibt Online-Listen, in denen Sie Standard-Passwörter für die meisten großen Hersteller finden.

Überprüfen Sie in der Liste der DHCP-Clients auf dem Router, ob Sie das MacBook finden. Viele Router zeigen die MAC-Adresse (Hardware), die zugewiesene interne IP-Adresse (192.168.1.x am häufigsten) und vor allem den Computernamen an.

Finden Sie heraus, welche IP-Adresse dem MacBook zugewiesen ist, und richten Sie in den Einstellungen des Routers einen Port für die Weiterleitung ein. Verwenden Sie einen anderen externen Port als 22 (z. B. Port 2222) und leiten Sie diesen an Port 22 der IP-Adresse des MacBook weiter.

Bei vielen Routern ist der SSH-Zugriff aktiviert. Wenn Sie also auf den IP @ -Port 22 des Diebes zugreifen, gelangen Sie möglicherweise eher zur Router-Shell als zur Maschinen-Shell. Jetzt sollten Sie einen Port auf der externen IP des Diebes (die Sie von Dropbox erhalten haben) haben, über den Sie direkt zum Port gelangen, an den SSH auf dem MacBook gebunden sein sollte. Nur dass SSH noch nicht aktiviert ist.

Dieser Teil erfordert eine Aktion des Diebes. Ich mag die E-Mail-Idee, aber dafür muss Ihr Freund Apple Mail verwenden. Ein besserer Ansatz könnte darin bestehen, eine verlockende .app-Datei auf Dropbox hochzuladen, die SSH (Remote Login) aktiviert.

Sie können dies über ein Shell-Skript tun, aber wenn Sie es über Applescript tun, speichern Sie das Applescript als .app und geben Sie ihm ein nettes Symbol.

Hier ist der Applescript-Code zum Aktivieren der Remote-Anmeldung:

do shell script "sudo systemsetup setremotelogin on" user name "Friend's Username" password "Friend's Password" with administrator privileges

Dieser Code gibt eine Zeichenfolge mit der Seriennummer des Geräts zurück, die Sie sich per E-Mail senden können, wenn Sie dies möchten:

do shell script "sudo system_profiler |grep \"r (system)\"" user name "Friend's Username" password "Friend's Password" with administrator privileges

Ich würde das Applescript so schreiben, dass es die Remote-Anmeldung einschaltet und alles macht, was Sie sonst noch brauchen. Versuchen Sie nicht, die GUI oder andere Anwendungen als die Shell zu skripten, da dies den Verdacht aufkommen lässt. Am Ende wird die Meldung "Diese Anwendung kann auf diesem Macintosh nicht ausgeführt werden." Angezeigt. mit einem "Quit" -Button, um den Verdacht zu verringern. Wenn das Skript in AppleScript Editor ausgeführt wird, speichern Sie es als reine .app-Datei.

Versuchen Sie, die .app als beliebtes Spiel zu tarnen, als Plants vs. Zombies oder Angry Birds oder so. Sie können das Symbol aus der .app des echten Spiels exportieren und in die .app einfügen, die Sie aus Applescript exportieren. Wenn Ihr Freund einen guten Blick auf den Dieb hat, können Sie ihn / sie sozial profilieren und die .app als etwas anderes tarnen, das ihn / sie möglicherweise interessiert.

Vorausgesetzt, Sie können den Port für die Weiterleitung einrichten (Ihre Markierung erzwingt keine ordnungsgemäßen Sicherheitspraktiken), und Sie können ihn / sie zum Ausführen der Anwendung auffordern, haben Sie vollen SSH-Zugriff auf den Computer und können weiterhin nach Hinweisen suchen, ohne Verschenke sofort deine Anwesenheit. Dies setzt auch voraus, dass die Marke die Dropbox-Growl-Benachrichtigungen nicht satt hat und sie beendet. Ich rate Ihrer Freundin, das Speichern von Dateien in ihrer Dropbox für eine Weile einzustellen.

Hinweis: Wenn der Dieb die Verbindung zu seinem Internetdienstanbieter trennt und erneut herstellt, erhält er eine neue externe IP-Adresse. Fügen Sie eine Datei zu Dropbox hinzu und warten Sie, bis sie synchronisiert ist. Dies sollte Ihnen die aktualisierte IP bringen.

Hinweis 2: Wenn der Benutzer für eine bestimmte Zeit (normalerweise 24 Stunden) keine Verbindung zum Router mit dem MacBook herstellt, läuft die DHCP-Lease für die interne IP-Adresse ab, die dem MacBook zugewiesen wurde. Höchstwahrscheinlich erhält es beim nächsten Verbindungsaufbau dieselbe IP-Adresse, es sei denn, ein anderes Gerät wird in das Netzwerk eingeführt. In diesem Fall müssen Sie sich manuell wieder beim Router anmelden und die Portweiterleitung ändern.

Dies ist nicht das einzige Angriffsmittel, aber dies ist das, was ich tun würde, sobald ich feststelle, dass die IP noch über Dropbox aktualisiert wird. Viel Glück!

BEARBEITEN: Die "Administratorrechte" am Ende jeder "do shell script" -Zeile sind sehr wichtig. Der Benutzer wird aufgefordert, das Administratorkennwort seines Freundes einzugeben, und das Skript schlägt fehl, wenn Sie Benutzername und Kennwort nicht inline eingeben.

Senden Sie eine E-Mail von einer Tante ihr alles Gute zum Geburtstag wünschen , und dass die Tante möchte zu ihrem Geburtstag ihr eine Geschenkkarte von Abercrombie & Fitch + senden, muss aber die richtige Adresse. Dann liegt es an dem Dieb, auf diesen nigerianischen Betrugstrick mit niedrigem Budget hereinzufallen.

+ Oder eine andere berühmte Marke

Wenden Sie sich ehrlich an Apple. Möglicherweise verfügen sie über Informationen zum Auffinden ihres Computers. Ich bin sicher, Sie sind nicht die erste Person, der der Mac gestohlen wurde.

Bearbeiten: Ich habe in Apples Support-Seite nachgesehen und es ist tatsächlich weniger hilfreich als ich dachte, dass es wäre. Was Sie versuchen könnten, ist die Verwendung von iCloud, um Ihr Macbook aus der Ferne zu sperren.

Daniel Beck hat es tatsächlich ausprobiert und kommentiert:

"Obwohl es sich nicht um eine" geheime Mac-Hintertür "handelt und [obwohl sie] nicht wirklich hilfreich ist, um den Computer tatsächlich wiederherzustellen, funktioniert es recht gut, Leute von Ihrem Mac fernzuhalten. Ihr Kommentar hat mich dazu veranlasst, es zu versuchen, und es ist tatsächlich ziemlich beeindruckend. Der Bildschirm wird weiß, fährt den Computer herunter und erfordert einen sechsstelligen Code, den Sie zuvor über iCloud angegeben haben, um den normalen Startvorgang fortzusetzen. "

Dies gilt nicht direkt diese Situation helfen, aber für die Zukunft und für alle andere , den Macbooks Downloads haben Prey können Ihnen bei der Verfolgung des Diebes einen Vorteil verschaffen. Prey wird einen Bericht mit dem Aufenthaltsort und einem Bild Ihres Diebes vorlegen. In Kombination mit der Hilfe der Polizei können Sie Ihren Laptop zurückbekommen. Beachten Sie, dass viele Polizeidienststellen nur dann Abhilfe schaffen, wenn Sie bei der Polizei einen Bericht über gestohlene Gegenstände einreichen, wenn Sie den Computer verlieren. Also mach das so schnell wie möglich.

Anhand der IP-Adresse können Sie wahrscheinlich herausfinden, über welchen ISP die Verbindung hergestellt wird.

Gehen Sie zu: http://remote.12dt.com/lookup.php

Geben Sie die IP-Adresse ein.

Angenommen, die IP-Adresse lautet: 203.97.37.85 (dies ist tatsächlich die Webserver-Adresse eines ISP in Neuseeland).

Und möglicherweise wird ein Firmen- oder ISP-Domainname angezeigt. Wenn es so aussieht, als wäre es ein Firmenname, dann werden Sie schnell enger. Aber wenn es der Name eines Netzwerkanbieters ist (in diesem Fall oben - TelstraClear NZ).

Zusätzlich zu dem oben Genannten würde ich einen Whois-Lookup durchführen. Verwenden Sie eines der Online-Tools für die Whois-Suche.

http://networking.ringofsaturn.com/Tools/whois.php

Und Sie erhalten viele Informationen zurück. Sie können jedoch sehen, dass es sich um eine Adresse innerhalb des TelstraClear-Netzwerks handelt.

#
# Query terms are ambiguous.  The query is assumed to be:
#     "n 203.97.37.85"
#
# Use "?" to get help.
#

#
# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=203.97.37.85?showDetails=true&showARIN=false&ext=netref2
#

NetRange:       203.0.0.0 - 203.255.255.255
CIDR:           203.0.0.0/8
OriginAS:
NetName:        APNIC-203
NetHandle:      NET-203-0-0-0-1
Parent:
NetType:        Allocated to APNIC
Comment:        This IP address range is not registered in the ARIN database.
Comment:        For details, refer to the APNIC Whois Database via
Comment:        WHOIS.APNIC.NET or http://wq.apnic.net/apnic-bin/whois.pl
Comment:        ** IMPORTANT NOTE: APNIC is the Regional Internet Registry
Comment:        for the Asia Pacific region. APNIC does not operate networks
Comment:        using this IP address range and is not able to investigate
Comment:        spam or abuse reports relating to these addresses. For more
Comment:        help, refer to http://www.apnic.net/apnic-info/whois_search2/abuse-and-spamming
RegDate:        1994-04-05
Updated:        2010-08-02
Ref:            http://whois.arin.net/rest/net/NET-203-0-0-0-1

OrgName:        Asia Pacific Network Information Centre
OrgId:          APNIC
Address:        PO Box 2131
City:           Milton
StateProv:      QLD
PostalCode:     4064
Country:        AU
RegDate:
Updated:        2011-09-24
Ref:            http://whois.arin.net/rest/org/APNIC

ReferralServer: whois://whois.apnic.net

OrgAbuseHandle: AWC12-ARIN
OrgAbuseName:   APNIC Whois Contact
OrgAbusePhone:  +61 7 3858 3188
OrgAbuseEmail:  search-apnic-not-arin@apnic.net
OrgAbuseRef:    http://whois.arin.net/rest/poc/AWC12-ARIN

OrgTechHandle: AWC12-ARIN
OrgTechName:   APNIC Whois Contact
OrgTechPhone:  +61 7 3858 3188
OrgTechEmail:  search-apnic-not-arin@apnic.net
OrgTechRef:    http://whois.arin.net/rest/poc/AWC12-ARIN

#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#

% [whois.apnic.net node-1]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

inetnum:      203.97.0.0 - 203.97.127.255
netname:      TELSTRACLEAR-NZ
descr:        TelstraClear Ltd
country:      NZ
admin-c:      TAC3-AP
tech-c:       TTC7-AP
notify:       apnic.changes@team.telstraclear.co.nz
mnt-by:       APNIC-HM
mnt-lower:    MAINT-NZ-TELSTRACLEAR
status:       ALLOCATED PORTABLE
changed:      hm-changed@apnic.net 19960101
changed:      netobjs@clear.net.nz 20010624
changed:      hm-changed@apnic.net 20041214
changed:      hm-changed@apnic.net 20050216
source:       APNIC

role:         TelstraClear Administrative Contact
address:      TelstraClear Limited
address:      Network Planning
address:      Private Bag 92143
address:      Auckland
country:      NZ
e-mail:       apnic.changes@team.telstraclear.co.nz
phone:        +64 9 912 5205
trouble:      For network abuse contact:
trouble:      list.admin@team.telstraclear.co.nz
trouble:      +64 9 912 5161
trouble:      For 24/7 after-hours NOC contact:
trouble:      +64 9 912 4482
notify:       apnic.changes@team.telstraclear.co.nz
tech-c:       TTC7-AP
admin-c:      TAC3-AP
nic-hdl:      TAC3-AP
mnt-by:       MAINT-NZ-TELSTRACLEAR
changed:      hm-changed@apnic.net 20041125
source:       APNIC

role:         TelstraClear Technical Contact
address:      TelstraClear Limited
address:      Customer Help
address:      Private Bag 92143
address:      Auckland
country:      NZ
e-mail:       list.admin@team.telstraclear.co.nz
phone:        +64 9 912 5161
trouble:      For network abuse contact:
trouble:      list.admin@team.telstraclear.co.nz
trouble:      +64 9 912 5161
trouble:      For 24/7 after-hours NOC contact:
trouble:      +64 9 912 4482
notify:       apnic.changes@team.telstraclear.co.nz
tech-c:       TTC7-AP
admin-c:      TAC3-AP
nic-hdl:      TTC7-AP
mnt-by:       MAINT-NZ-TELSTRACLEAR
changed:      hm-changed@apnic.net 20041125
source:       APNIC

Zu diesem Zeitpunkt wäre es Sache der Polizei. Ich bezweifle, dass der ISP Ihnen sagen wird, wer sich zu diesem Zeitpunkt anmeldet.

Wenn Sie den Laptop zurückbekommen oder einen neuen bekommen, installieren Sie preyproject darauf. Das wird die Sache später viel einfacher machen. Du kannst sogar ein Foto von dem Täter machen :)

Es gibt Unmengen von Dingen, die Sie tun können, und ich kann Ihnen nur empfehlen, keine davon zu tun. Lassen Sie die Polizei ihre Arbeit machen und nehmen Sie sie fest.

Es ist nicht die clevere Antwort, aber es ist die richtige, imho.

- Nicht zuletzt, wenn Sie aus der Ferne damit herumspielen und sie glauben, Sie hätten es drauf, werden sie den Laptop wahrscheinlich in Stücke zerschlagen.