Cómo encontrar mi Macbook robado


28

Una amiga mía acaba de robarle su Macbook. Su cuenta de Dropbox todavía funciona en el Macbook, por lo que puede ver cada vez que el Macbook se conecta y obtener su dirección IP.

Ella le ha dado esta información a la policía, quien dice que puede tomar hasta un mes obtener la ubicación real de la dirección IP. Me preguntaba si podríamos ayudar a encontrar la computadora portátil, ya que la persona con ella podría ser arrestada ahora por manipular bienes robados (de lo contrario, podrían reinstalarlo antes de que la policía los atrape).

Aquí están los hechos sobre el Macbook robado:

  • Está ejecutando OS X, pero no estoy seguro de qué versión (aunque lo averiguaré).
  • Solo había una cuenta de usuario único, sin contraseña y con privilegios de administrador.
  • El Dropbox del propietario original todavía se está sincronizando, lo que nos da la dirección IP cada vez que se conecta.
  • El propietario original no es un técnico, por lo que es muy poco probable que haya activado alguna de las funciones de control remoto como SSH, VNC, etc. (le he enviado un correo electrónico para preguntarle).
  • Ella no usa iCloud o el servicio .Mac.

Estaba considerando insertar un archivo atractivo en Dropbox para que el usuario haga clic en él. Supongo que solo tendré una oportunidad para esto, así que quería algunas ideas sobre lo mejor que podía hacer.

Mis ideas hasta ahora:

  • Instale algún tipo de registrador de claves para enviar toda la información al propietario. ¿Hay alguna manera de hacer esto sin que el usuario se dé cuenta?
  • Convierta el archivo en un script de shell para obtener tanta información útil como sea posible, por ejemplo, el historial del navegador, busque copias de seguridad del iPhone, etc. Sin embargo, no estoy seguro de la mejor manera de enviar esta información. ¿Parece que podría usar el comando de correo (a una cuenta de correo electrónico gratuita, por supuesto)?
  • Quizás activar la gestión remota. ¿Hay alguna manera de hacer esto sin que el usuario acepte ventanas emergentes de seguridad?

¿Alguien tiene algún consejo aquí? He escrito muchos scripts de shell, pero me preguntaba si otras opciones de OS X podrían ser mejores, por ejemplo, Applescript. ¿Alguien tiene alguna idea mejor que empujar un archivo de Dropbox?

Sé que esta pregunta se trata básicamente de escribir una forma de malware, pero me encantaría poder emular a mi héroe de la conferencia DEF CON de What Happens When You Steal a Hacker's Computer .

Nos aseguraremos de consultar con la policía antes de hacer algo para asegurarnos de no infringir ninguna ley.


1
No es que esto ayude a recuperar la computadora portátil, pero hay una aplicación que podría ayudar: hiddenapp.com ; preyproject.com ; orbicule.com/undercover/index.html
KM.

¿SSH está configurado en su computadora? Si es así, Dropbox puede proporcionarle la IP de la computadora para que pueda transferir archivos, borrar de forma remota, instalar el servicio de
registro de

Dudo mucho que tenga SSH funcionando. Le pregunté específicamente sobre eso cuando le envié un correo electrónico, y he actualizado la pregunta anterior para decir eso ahora.
Dan J

2
Si usa iCloud, ¿está activada la opción Buscar mi Mac ? ¿O volver a mi Mac ? Vaya a iCloud.com, inicie sesión y haga clic en Buscar mi iPhone , luego seleccione la Mac en la lista.
Daniel Beck

1
No del todo cierto: si la Mac estuviera protegida con contraseña, nunca hubiéramos podido obtener la dirección IP de Dropbox. Por lo tanto, esta pregunta ayuda a las personas a darle al atacante una forma de usar la máquina, ¡y usar un servicio como Dropbox para obtener la IP cuando se conecte!
Dan J

Respuestas:


11

Recuerdo haber visto ese video del Dr. Zoz. Buen material.

Parece que eres competente con las secuencias de comandos de shell y solo necesitas un vector de ataque. La clave para hacer algo similar a lo que hizo Zoz es obtener acceso SSH. A diferencia de su situación, donde el ladrón estaba usando un módem de acceso telefónico, es casi seguro, dado que las Mac más nuevas no hacen acceso telefónico, que el ladrón está usando una conexión de banda ancha y está detrás de algún tipo de enrutador NAT.

Incluso si SSH estuviera habilitado en la máquina, el reenvío de puertos tendría que estar configurado en el enrutador para que pueda acceder al puerto de escucha SSH de la máquina desde el exterior. La ventaja de una conexión de banda ancha es que la dirección IP cambiará casi siempre con menos frecuencia que con el acceso telefónico.

Si estuviera en su posición, sosteniendo la IP del ladrón, primero trataría de iniciar sesión en la interfaz web de su enrutador y ver qué puedo hacer desde allí. Es sorprendente cuántas personas dejan sus contraseñas predeterminadas de enrutador / módem en su lugar, y hay listas en línea donde puede encontrar las contraseñas predeterminadas para la mayoría de los principales fabricantes.

Una vez dentro, verifique la lista de clientes DHCP en el enrutador y vea si puede encontrar el MacBook. Muchos enrutadores mostrarán la dirección MAC (hardware), la dirección IP interna asignada (192.168.1.x más a menudo) y lo más importante, el nombre de la máquina.

Averigua qué IP está asignada al MacBook y luego configura un puerto hacia adelante en la configuración del enrutador. Utilice algún puerto externo que no sea el 22 (por ejemplo, el puerto 2222) y reenvíelo al puerto 22 de la IP del MacBook.

Muchos enrutadores tienen el acceso SSH activado, por lo que acceder al puerto IP @ 22 del ladrón puede llevarlo al shell del enrutador en lugar del shell de la máquina. Ahora debería tener un puerto en la IP externa del ladrón (que obtuvo de Dropbox) que lo llevará directamente al puerto al que SSH debe estar vinculado en el MacBook. Excepto que SSH aún no está activado.

Esta parte requiere alguna acción del ladrón. Me gusta la idea del correo electrónico, pero requiere que tu amigo use Apple Mail. Un mejor enfoque podría ser subir un tentador archivo .app a Dropbox que activará SSH (inicio de sesión remoto).

Puede hacer esto a través de un script de shell, pero hacerlo a través de Applescript, guardar el Applescript como .app y darle un buen ícono ayudará a engañar a su marca y no darse a sí mismo.

Aquí está el código de Applescript para activar el inicio de sesión remoto:

do shell script "sudo systemsetup setremotelogin on" user name "Friend's Username" password "Friend's Password" with administrator privileges

Este bit de código devolverá una cadena con el número de serie de la máquina que puede enviarse por correo electrónico si desea hacer eso:

do shell script "sudo system_profiler |grep \"r (system)\"" user name "Friend's Username" password "Friend's Password" with administrator privileges

Escribiría el applecript para que active Remote Login, haga lo que sea que necesite. Intente no escribir la GUI ni ninguna otra aplicación además del shell, ya que esto generará sospechas. Al final, muestra un mensaje que dice "Esta aplicación no puede ejecutarse en este Macintosh". con un botón "Salir" para reducir las sospechas. Una vez que el script esté funcionando en el Editor AppleScript, guárdelo como un archivo .app de solo ejecución.

Intenta disfrazar el .app como un juego popular, Plants vs. Zombies o Angry Birds o algo así. Puedes exportar el ícono del .app del juego real y ponerlo en el .app que exportas de Applescript. Si tu amigo echó un buen vistazo al ladrón, puedes perfilarlo socialmente y disfrazar la aplicación como algo más en lo que podrían estar interesados.

Siempre que pueda configurar el puerto hacia adelante (su marca no aplica las prácticas de seguridad adecuadas), y puede hacer que ejecute la aplicación, tendrá acceso SSH completo a la máquina y puede seguir buscando pistas sin inmediatamente regalando tu presencia. Esto también requiere que la marca no se canse de las notificaciones de Dropbox Growl y la abandone, por lo que le aconsejaría a su amigo que deje de guardar archivos en su Dropbox por un tiempo.

Nota: Si el ladrón se desconecta de su ISP y se vuelve a conectar, obtendrá una nueva IP externa. Agregue un archivo a Dropbox y espere a que se sincronice. Esto debería obtener la IP actualizada.

Nota 2: si el usuario no se conecta al enrutador con el MacBook durante un cierto período de tiempo (generalmente 24 horas), la concesión de DHCP para la dirección IP interna que se asignó al MacBook caducará. Lo más probable es que obtenga la misma dirección IP la próxima vez que se conecte, a menos que se introduzca otro dispositivo en la red. En este caso, deberá volver a iniciar sesión manualmente en el enrutador y modificar el puerto hacia adelante.

Este no es el único medio de ataque, pero esto es lo que haría en el momento en que me di cuenta de que la IP todavía se estaba actualizando a través de Dropbox. ¡Buena suerte!

EDITAR: Los "privilegios de administrador" al final de cada línea "do script script" son muy importantes. Se le solicitará al usuario la contraseña de administrador de su amigo y la secuencia de comandos fallará si no incluye el nombre de usuario y la contraseña en línea.


¿Funcionan con contraseña vacía? Creo que recuerdo algunas cosas que no funcionan correctamente si no tienes una contraseña.
Daniel Beck

Gracias por señalar esto. Ni siquiera me di cuenta de que OS X te permite crear una cuenta sin contraseña: S. Supuse que quería decir que el inicio de sesión automático estaba habilitado. Puede hacer que el script establezca una contraseña para su cuenta antes de ejecutar los comandos necesarios, utilizando do shell script "dscl . -passwd /Users/Username '' newpassword". El '' representa la contraseña actual (cadena vacía). Tenga en cuenta que si el inicio de sesión automático no está habilitado, esto bloqueará al ladrón fuera de la máquina.
Vickash

Gracias por una excelente respuesta! Olvidé que probablemente necesitaría hackear la configuración de su enrutador para obtener acceso SSH remoto al Macbook. Legalmente, creo que estaría bien reconfigurar el Macbook con el permiso del propietario, pero piratear un enrutador ciertamente sería ilegal (al menos en el Reino Unido). Si la policía atrapa al ladrón, entonces podrían terminar secuestrando el enrutador como parte de su investigación ...
Dan J

Este es realmente un mal consejo. No menos importante, ¿qué pasa si el ladrón restablece su contraseña de correo electrónico (digamos, usando sus preguntas secretas) y luego abre el correo electrónico del virus en otra máquina, como una en un cibercafé? ¿Qué pasa si pirateas su enrutador y luego descubres que están sentados en Starbucks, ahora has entrado en un tercero y eres completamente responsable de las consecuencias de eso? Las sugerencias de Imho sobre el vigilantismo nunca son buenos consejos, por eso, en mi respuesta a esta pregunta, aconsejo dejar que la policía haga su trabajo.
Sirex

Puede deshacerse del paso de "piratear su módem" al tener un VPS o cualquier computadora externa con una IP conocida. Usualmente uso openvpn para conectarme a máquinas que están detrás de NATs a través de ssh conectándolas a una VPN y luego llegando a ellas por allí. Hay otras formas de hacerlo, como por ejemplo ejecutar un script que periódicamente descarga y ejecuta scripts de shell desde dicho servidor externo y le envía los resultados por correo. Esencialmente, ahora tiene la máquina de destino iniciando la conexión. Esto reduce considerablemente la cantidad de cosas que deben ir bien para que esto funcione: de
entropía

15

Enviar un e-mail desde una tía deseándole feliz cumpleaños y que la tía le gustaría enviarle una tarjeta de regalo de Abercrombie & Fitch + para su cumpleaños, pero necesita la dirección correcta. Entonces depende del ladrón caer en este truco de estafa nigeriano de bajo presupuesto.

+ O alguna otra marca famosa


No creo que el ladrón tiene acceso a su correo electrónico, pero es un buen punto - que debe comprobar ...
Dan J

¿Ella no usó el programa de correo en OSX?
ZippyV

1
Si va por el truco del correo, asegúrese de enviar más de 1 correo electrónico de varias personas para que sea menos sospechoso.
ZippyV

Para su información, ella no usa el programa Mail en OS X, solo webmail. Sin embargo, si fuera yo, preferiría cambiar mi contraseña de correo inmediatamente para intentar deshabilitar al ladrón que accede a mi correo ...
Dan J

6

Honestamente, contacta a Apple. Es posible que tengan información sobre cómo localizar su computadora. Estoy seguro de que no eres la primera persona a la que le han robado su Mac.

Editar: busqué en la página de soporte de Apple y en realidad es menos útil de lo que pensé que sería. Lo que podría intentar es usar iCloud para bloquear remotamente su Macbook.

Daniel Beck realmente lo probó y comentó que:

"Aunque no es una" puerta trasera secreta de Mac ", y [aunque no es] realmente útil para recuperar la computadora, funciona bastante bien para bloquear a las personas fuera de su Mac. Su comentario me llevó a probarlo y en realidad es bastante impresionante. La pantalla se pone en blanco, apaga la computadora y requiere un código de seis dígitos que especificó anteriormente a través de iCloud para reanudar el proceso de arranque normal ".


44
Creo que esto no ayudará, probablemente te sugieran que compres uno nuevo.
Simon Sheehan el

3
Sí, solo activarán su puerta trasera secreta de Mac y tendrán acceso completo al sistema.
Daniel Beck

@DanielBeck, ¿es cierto o estás trolleando? Si es cierto, una referencia sería buena para un reclamo tan significativo. Si está cursando, elimine su comentario, ya que no es útil proporcionar información errónea.
nhinkle

2
@nhinkle Sarcasm no está trolling. Esto no es curricán, ya que no está fuera del tema ni pretende provocar respuestas emocionales. Utilizando una exageración irónica de la afirmación en esta respuesta, señalo que no hay forma de que Apple ayude aquí. Pueden tener direcciones IP, pero ya se conocen. No eliminaré mi comentario, ya que tiene un propósito real sobre el tema: no estoy de acuerdo con esta respuesta. Sin embargo, siempre podemos discutir esto en Meta si lo desea.
Daniel Beck

2
@ChrisM Si bien no es una "puerta trasera secreta de Mac", y no es realmente útil para recuperar la computadora, funciona bastante bien para bloquear a las personas de su Mac. Su comentario me llevó a probarlo y en realidad es bastante impresionante. La pantalla se pone blanca, apaga la computadora y requiere un código de seis dígitos que especificó anteriormente a través de iCloud para reanudar el proceso de arranque normal. +1 si incluye esto en su respuesta.
Daniel Beck

3

Esto no ayuda directamente a esta situación, pero para el futuro y para todos los que tienen Macbooks que descargan Prey pueden darle una ventaja en el seguimiento del ladrón. Prey le proporcionará un informe que incluye la ubicación y una foto de su ladrón y esto, combinado con la ayuda de la policía, puede recuperar su computadora portátil. Tenga en cuenta que muchos departamentos de policía no ayudarán a menos que presente un informe de artículos robados a la policía cuando pierda la computadora; así que hazlo lo antes posible.


Los competidores incluyen hiddenapp.com y orbicule.com/undercover/mac (soy cliente de este último, y en pruebas limitadas, es decir, "modo de demostración", localización y fotos de la cámara, sin contactar a la policía, funcionó bastante bien).
Daniel Beck

¿Sabes cuán irritantes son las respuestas de estar con "esto no ayudará en esta situación ..." cuando te roban la laptop :)
Jonathan.

2

Dada la dirección IP, probablemente pueda averiguar a través de qué ISP se conecta o más.

Vaya a: http://remote.12dt.com/lookup.php

Ingrese la dirección IP.

por ejemplo, suponga que la dirección IP es: 203.97.37.85 (esta es realmente la dirección del servidor web de un ISP en Nueva Zelanda).

Y puede mostrar un nombre de dominio de empresa o ISP. Si parece que es el nombre de una compañía, entonces realmente estás reduciéndote rápidamente. Pero si es el nombre de un proveedor de red (en este caso arriba, TelstraClear NZ).

Además de lo anterior, haría una búsqueda whois. Utilice una de las herramientas de búsqueda whois en línea.

http://networking.ringofsaturn.com/Tools/whois.php

Y obtendrás mucha información. Pero puede ver que es una dirección dentro de la red TelstraClear.

#
# Query terms are ambiguous.  The query is assumed to be:
#     "n 203.97.37.85"
#
# Use "?" to get help.
#

#
# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=203.97.37.85?showDetails=true&showARIN=false&ext=netref2
#

NetRange:       203.0.0.0 - 203.255.255.255
CIDR:           203.0.0.0/8
OriginAS:
NetName:        APNIC-203
NetHandle:      NET-203-0-0-0-1
Parent:
NetType:        Allocated to APNIC
Comment:        This IP address range is not registered in the ARIN database.
Comment:        For details, refer to the APNIC Whois Database via
Comment:        WHOIS.APNIC.NET or http://wq.apnic.net/apnic-bin/whois.pl
Comment:        ** IMPORTANT NOTE: APNIC is the Regional Internet Registry
Comment:        for the Asia Pacific region. APNIC does not operate networks
Comment:        using this IP address range and is not able to investigate
Comment:        spam or abuse reports relating to these addresses. For more
Comment:        help, refer to http://www.apnic.net/apnic-info/whois_search2/abuse-and-spamming
RegDate:        1994-04-05
Updated:        2010-08-02
Ref:            http://whois.arin.net/rest/net/NET-203-0-0-0-1

OrgName:        Asia Pacific Network Information Centre
OrgId:          APNIC
Address:        PO Box 2131
City:           Milton
StateProv:      QLD
PostalCode:     4064
Country:        AU
RegDate:
Updated:        2011-09-24
Ref:            http://whois.arin.net/rest/org/APNIC

ReferralServer: whois://whois.apnic.net

OrgAbuseHandle: AWC12-ARIN
OrgAbuseName:   APNIC Whois Contact
OrgAbusePhone:  +61 7 3858 3188
OrgAbuseEmail:  search-apnic-not-arin@apnic.net
OrgAbuseRef:    http://whois.arin.net/rest/poc/AWC12-ARIN

OrgTechHandle: AWC12-ARIN
OrgTechName:   APNIC Whois Contact
OrgTechPhone:  +61 7 3858 3188
OrgTechEmail:  search-apnic-not-arin@apnic.net
OrgTechRef:    http://whois.arin.net/rest/poc/AWC12-ARIN

#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#

% [whois.apnic.net node-1]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

inetnum:      203.97.0.0 - 203.97.127.255
netname:      TELSTRACLEAR-NZ
descr:        TelstraClear Ltd
country:      NZ
admin-c:      TAC3-AP
tech-c:       TTC7-AP
notify:       apnic.changes@team.telstraclear.co.nz
mnt-by:       APNIC-HM
mnt-lower:    MAINT-NZ-TELSTRACLEAR
status:       ALLOCATED PORTABLE
changed:      hm-changed@apnic.net 19960101
changed:      netobjs@clear.net.nz 20010624
changed:      hm-changed@apnic.net 20041214
changed:      hm-changed@apnic.net 20050216
source:       APNIC

role:         TelstraClear Administrative Contact
address:      TelstraClear Limited
address:      Network Planning
address:      Private Bag 92143
address:      Auckland
country:      NZ
e-mail:       apnic.changes@team.telstraclear.co.nz
phone:        +64 9 912 5205
trouble:      For network abuse contact:
trouble:      list.admin@team.telstraclear.co.nz
trouble:      +64 9 912 5161
trouble:      For 24/7 after-hours NOC contact:
trouble:      +64 9 912 4482
notify:       apnic.changes@team.telstraclear.co.nz
tech-c:       TTC7-AP
admin-c:      TAC3-AP
nic-hdl:      TAC3-AP
mnt-by:       MAINT-NZ-TELSTRACLEAR
changed:      hm-changed@apnic.net 20041125
source:       APNIC

role:         TelstraClear Technical Contact
address:      TelstraClear Limited
address:      Customer Help
address:      Private Bag 92143
address:      Auckland
country:      NZ
e-mail:       list.admin@team.telstraclear.co.nz
phone:        +64 9 912 5161
trouble:      For network abuse contact:
trouble:      list.admin@team.telstraclear.co.nz
trouble:      +64 9 912 5161
trouble:      For 24/7 after-hours NOC contact:
trouble:      +64 9 912 4482
notify:       apnic.changes@team.telstraclear.co.nz
tech-c:       TTC7-AP
admin-c:      TAC3-AP
nic-hdl:      TTC7-AP
mnt-by:       MAINT-NZ-TELSTRACLEAR
changed:      hm-changed@apnic.net 20041125
source:       APNIC

Sería un asunto de la policía en ese momento. Dudo que el ISP le diga quién inicia sesión en ese momento.

Si recupera la computadora portátil, o si termina obteniendo una nueva, entonces instale el proyecto previo. Hará las cosas mucho más simples más tarde. Incluso puedes tomar una foto del delincuente :)


¡Gracias! Probablemente debería haber dicho en la pregunta original que ya hice la búsqueda de WHOIS y un seguimiento, pero no me da una ubicación lo suficientemente específica. El tracert ni siquiera llega al IP objetivo, presumiblemente debido a que un ISP en el medio bloquea los pings.
Dan J

1

Hay toneladas de cosas que podría hacer, y le recomiendo que no haga ninguna de ellas. Deje que la policía haga su trabajo y haga el arresto.

No es la respuesta inteligente, pero es la correcta, en mi humilde opinión.

- no menos importante, si lo juegas de forma remota y piensan que estás en ellos, es probable que rompan la computadora portátil en pedazos.


No tengo idea de por qué esto fue rechazado, realmente.
Sirex

3
No voté en contra, pero creo que esto es más adecuado como comentario ya que no proporciona información real. Si tuviera datos adicionales, tal vez sobre la tasa de éxito de la policía local que recupera las PC robadas, entonces sería una buena respuesta. En este momento, es solo una opinión.
Chad Levy el

Mi respuesta a "qué debo hacer" no es nada , o al menos nada ilegal. Solicite el seguro y restaure desde la copia de seguridad (y use el cifrado de disco en el futuro), es por eso que los tiene. Me sorprendería si la tasa de éxito de la policía en la búsqueda de bienes robados es mayor que la probabilidad de que un tercero inocente agraviado presente cargos legítimos contra las acciones en la respuesta aceptada. En este caso, el OP incluso tiene alguna información para acelerar el proceso policial.
Sirex
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.