mboost-dp1

sporing af bærbar efter reinstall


Gå til bund
Gravatar #1 - rumagenten
30. jun. 2014 21:08
Vi har fået stjålet et par bærbar fra arbejdet for nylig, og i den sammenhæng har jeg mistet en del data.

Jeg snakkede med vores it afdeling om man ikke kunne installere et program på computer, der bliver der efter en reinstall, således man kunne spore computere, også selv om tyven geninstallerede. Det vidste de ikke.

Men findes der ikke en sådan software?
Gravatar #2 - guds skovl
30. jun. 2014 23:12
jeg ved ikke helt om det har de funktioner du gerne vil, men tag et kig på preyproject.com :)
Gravatar #3 - Ravensholt
1. jul. 2014 06:23
De fleste Lenovo'er kommer med den slags indbygget i dag. Det kræver nemlig ikke kun software, men også hardware i form af en chip i maskinen.
Så jeg vil anbefale Jer fremover, at bruge Lenovo maskiner.
Jeg skal ikke udelukke, at det også findes i andre producenters laptops, men Lenovo er dem jeg har bedst erfarringer med rent professionelt.
Gravatar #4 - OrangeNewton
1. jul. 2014 06:25
Prey kan ikke, men deres FAQ giver et godt svar på hvad man kunne gøre i stedet.

https://preyproject.com/faq skrev:

Q: "And what if they format the computer?"
A: "That’s a different story. We encourage you to add a BIOS password and disable booting from removable devices on your PC, so that the thief will be forced to boot into the previous installation and thus, not be able to format your hard disk easily.

If you have a Mac, there’s a firmware password utility on your Tiger/Leopard OSX installation DVD (look for it in in Applications/Utilities). On newer OS X versions you’ll find the utility by booting from the recovery partition."


Grunden til at Prey ikke understøtter det er ikke at den type software ikke findes, problemet der skal løses er at du ikke på forhånd kan vide hvilket OS og version en tyv kunne finde på at installere. Det er heller ikke godt hvis OS kan se softwaren for så kunne tyven jo bare slette det. Der skal altså bruges et stykke software mellem hardware og OS. Sådan et stykke software bærer almindeligvis betegnelsen rootkit og hvis du har hørt den betegnelse før ved du muligvis godt at den normalt ikke lige er forbundet med positiv stemning. Rootkits installeres ofte i dit systems BIOS. På den måde kan OS ikke se dem direkte og alt kommunikation med hardwaren som OS'et laver kan forsinkes transparent. Det er ikke enkelt og ligetil at finde et "anti-theft rootkit". Den letteste løsning er nok som Prey foreslår at forhindre en reinstall. Alternativt skal man nok lede efter en hardware løsning, desværre er de fleste GPS tracking enheder lavet til børn og biler så de er lige store nok til at gemme i en bærbar.
Gravatar #5 - kinaholm
1. jul. 2014 10:15
LoJack virker vel?
Gravatar #6 - kasperd
1. jul. 2014 10:32
rumagenten (1) skrev:
Jeg snakkede med vores it afdeling om man ikke kunne installere et program på computer, der bliver der efter en reinstall, således man kunne spore computere, også selv om tyven geninstallerede.
Det kan man ikke. Dem som påstår, at de er i stand til at gøre det, lyver. Jeg vil undlade at nævne navnet på en dansk producent som har påstået, at deres software er i stand til at spore en computer efter man har slettet deres software fra maskinen.

Udstyr bliver nogle gange fundet igen på en af følgende måder:
- Udstyret bliver brugt uden nogen form for reinstallation. Der er masser af software, som potentielt kan spore en computer i det tilfælde. Som oftest sker sporingen med software som var installeret af en helt anden årsag.
- Udstyret bliver fundet fordi politiet finder frem til forbryderne ad veje, som intet har med det konkrete udstyr at gøre.

Det du selv kan gøre for at beskytte dig:
- For at undgå tab af data: Backupkopiering
- For at undgå data i uvedkommendes hænder: Kryptering
- For at undgå økonomisk tab: Forsikring
- For at gøre udstyret mindre interessant at stjæle: Hardware med indbygget mekanisme til spærring.

For at spæringen kan være effektiv kræver det at hardwaren periodisk kommunikerer med en server, der bekræfter at den stadigvæk ikke er stjålet. En mekanisme, hvor hardwaren antager den ikke er stjålet, indtil den får andet at vide, kan nemt omgås.

Essensen af ovenstående er: backupkopiering, kryptering, forsikring. Og derudover lad være med at bruge kræfter på andre tiltag, med mindre du kan få reduceret forsikringspræmien eller selvrisikoen.
Gravatar #7 - OrangeNewton
1. jul. 2014 10:44
kasperd (6) skrev:
Det kan man ikke. Dem som påstår, at de er i stand til at gøre det, lyver. Jeg vil undlade at nævne navnet på en dansk producent som har påstået, at deres software er i stand til at spore en computer efter man har slettet deres software fra maskinen.

Det er sandt nok, men du kan godt prøve på at ligge softwaren et sted hvor den almindeligvis ikke slettes f.eks. BIOS. Der er ikke noget at gøre hvis tyven er ihærdig nok, man kan dog prøve at flytte grænsen for hvad 'ihærdig nok' dækker over.
Gravatar #8 - kasperd
1. jul. 2014 10:55
OrangeNewton (7) skrev:
du kan godt prøve på at ligge softwaren et sted hvor den almindeligvis ikke slettes f.eks. BIOS.
At modificere BIOS på en måde, som ikke gør computeren ubrugelig, kræver indgående kendskab til, hvordan den BIOS er struktureret.

Derudover kommer de næste to udfordringer:
- Sikre at softwaren fortsat ligger i BIOS efter en BIOS opdatering.
- BIOS skal lave indgreb i OS, efter maskinen er bootet, for at være i stand til rent faktisk at kommunikere med en server, som kan stå for sporingen. Det kræver at du opbygger et meget grundigt kendskab til det pågældende OS, vel at mærke uden at vide, hvilket OS der er tale om.

Så vil jeg hellere stole på en løsning lavet af hardwareproducenten, af følgende årsager:
- De har det nødvendige kendskab til BIOS.
- De er selv herre over om deres løsning er en del af BIOS opdateringerne.
- De kan indbygge den nødvendige hardware til at lave en mere robust løsning, end en baseret på BIOS kode.

Sporing efter reinstallation vil jeg stadigvæk ikke stole på, heller ikke, hvis det er lavet af hardwareproducenten. I stedet skal hardwaren deaktiveres, og den skal kun kunne reaktiveres ved kommunikation med en server. Så kan den spores, når den kommunikerer med den server.
Gravatar #9 - Slettet Bruger [365005336]
1. jul. 2014 11:03
Er der ikke tyverisikrings muligheder i Intel Vpro CPU'er?
Gravatar #10 - Slettet Bruger [937570647]
1. jul. 2014 11:18
#9
Så vidt jeg kan forstå, så går vPro-teknologien også kendt som Intel Anti-Theft vist ind under denne:

kasperd (6) skrev:
- For at gøre udstyret mindre interessant at stjæle: Hardware med indbygget mekanisme til spærring.


Du kan ikke spore computeren med Intel AT, men du kan få computeren til at tjekke om den er meldt stjålet og dermed låse den hvis den er.
Gravatar #11 - Slettet Bruger [365005336]
1. jul. 2014 11:26
Nå, Anti Theft servicen udgår næste år.
Gravatar #12 - Saxov
2. jul. 2014 06:11
Ikke at jeg lige har noget kendskab, men tænkte om der ikke sidder en flashable firmware på netkortet man vil kunne bruge til at gemme software i? her har den jo adgang til netforbindelsen, og kan derfor periodisk udsende sin ip o.l. til en server man har stående i firmaet ?

Selvfølgeligt kan netkortet også firmware opdateres af tyven så, men er det ikke mere sjældent nogen checker firmware versionen af netkortet end fx bios?
Gravatar #13 - Slettet Bruger [937570647]
2. jul. 2014 07:09
#12
Netkortet har vel ingen kendskab har til sin IP. IP'en er en højere abstraktion i netværksstakken. Plus, jeg tvivler på at de har efterladt tilstrækkeligt med plads på netkortets firmware hukommelse til et større stykke software.
Gravatar #14 - kasperd
2. jul. 2014 09:29
Saxov (12) skrev:
Ikke at jeg lige har noget kendskab, men tænkte om der ikke sidder en flashable firmware på netkortet man vil kunne bruge til at gemme software i?
Det afhænger af netkortet. Jeg tror sjældent det er de mest avancerede netkort, der bliver valgt til en laptop.

Det minder mig som om en sjov episode, da jeg sidst kiggede på en laptop i en butik. Specifikationerne sagde at den var udstyret med både WiFi og Gbit Ethernet, men jeg kunne ikke finde noget RJ45 stik derpå. Jeg spørger så en ekspedient, hvor det der Gbit Ethernet sidder, hvortil han svarer, at det sidder inde i kabinettet. (Jeg tror ikke helt han har forstået forskellen på WiFi og kablet Ethernet.)

IT-ekspert Yvossen (13) skrev:
Netkortet har vel ingen kendskab har til sin IP. IP'en er en højere abstraktion i netværksstakken.
Den kunne prøve med en router solicitation pakke eller DHCP. Men det er nemt at omgå, hvis man følger med i, hvad der foregår på ens eget netværk. Og der vil jo også være netværk, der kræver autentifikation, før man får adgang, hvilket ville forhindre den fremgangsmåde.

Og hvis ikke der er GPS modtager indbygget i netkortet, så kunne man også sende eftersøgningen på vildspor ved at route kommunikationen gennem en proxy eller lignende.

IT-ekspert Yvossen (13) skrev:
Plus, jeg tvivler på at de har efterladt tilstrækkeligt med plads på netkortets firmware hukommelse til et større stykke software.
Det er så et andet problem. Man efterlader næppe voldsomt meget mere kapacitet, end der er brug for. Det mest avancerede netkort har ganske givet kapacitet nok til det, men det er næppe den type netkort, man finder i en laptop.
Gravatar #15 - Saxov
2. jul. 2014 11:19
IT-ekspert Yvossen (13) skrev:
Netkortet har vel ingen kendskab har til sin IP. IP'en er en højere abstraktion i netværksstakken.

Det er jeg med på, men jeg antog at Netkortet via fx packet inspection kunne finde ip'en. På den anden side, hvis den bare bare kan sende en traceroute til en hardcoded ip, og pakke svaret ind i et "hardcoded" datagram, der bliver sendt til en hardcoded ip, så vil den jo nok kunne fortælle noget :) og hvis modtageren logger ip'en som beskeden kommer fra, får de jo den "umiddelbare" ip som maskinen har (eller hvad end NAT/VPN/lign den er bag).

kasperd (14) skrev:
Det afhænger af netkortet. Jeg tror sjældent det er de mest avancerede netkort, der bliver valgt til en laptop.

Prøvede lige at google det netkort der sidder i min Lenovo, og der er en NVM update utility . Er det ikke en firmware update ?

Men hvor meget "fri plads" der så er deri, det er jo et spørgsmål.. Til gengælde har man jo også set at man kan lave specialiseret software der ikke fylder det store, hvis funktionaliteten er limited, og det er compilet.
Gravatar #16 - gramps
2. jul. 2014 11:35
#13
Hvis man ville, så kunne man vel få netkortet til at pinge f.eks. Google DNS og lytte efter svaret. I det datagram står modtager-IPen, altså netkortets egen IP-adresse. Netkortet skal så pakke det datagram ind i et nyt datagram, inkl. en UUID (ikke MAC), og sende til en overvågningsservice.

Det ville ikke være svært at forhindre, men jeg tvivler på at de fleste tyve ville have evnerne til det.
Gravatar #17 - kasperd
2. jul. 2014 12:48
gramps (16) skrev:
Hvis man ville, så kunne man vel få netkortet til at pinge f.eks. Google DNS
Du mener altså at du vil pinge en hardcoded ekstern IP adresse, og i så fald er du vel ligeglad med om det er en DNS server eller ej.

gramps (16) skrev:
og lytte efter svaret. I det datagram står modtager-IPen, altså netkortets egen IP-adresse.
Du kan ikke finde ud af din egen IP adresse på den måde. Serveren sender svaret til den IP adresse, der stod i anmodningen. Så hvis ikke du skriver din egen IP adresse i pakken du sender, så får du aldrig noget svar tilbage.
Gravatar #18 - Slettet Bruger [365005336]
2. jul. 2014 12:54
Kan ikke forstå at der ikke findes et firma der har lavet noget der kan bruges... Det virker som et produkt man gerne vil ha.
Gravatar #19 - OrangeNewton
2. jul. 2014 13:14
LoJack (som foreslået i #5) kunne i princippet bruges(under antagelse af bærbaren er på listen over supportede enheder), men hvis vi er ude i den situation hvor tyven lige laver en BIOS reset eller laver packet inspection på alt den sender på netværket etc. så er det som kasperd påpeger ikke muligt at løse problemet.
Gravatar #20 - kasperd
2. jul. 2014 15:05
SlettetBruger (18) skrev:
Kan ikke forstå at der ikke findes et firma der har lavet noget der kan bruges.
Ifølge nogle af ovenstående indlæg har Intel lavet noget.

SlettetBruger (18) skrev:
Det virker som et produkt man gerne vil ha.
Der er vist masser af firmaer, der laver software løsninger til de kunder som køber det billigste produkt, som lover at løse opgaven, uden at kunden selv har sat sig ind i om produktet kan omgås.

Kan et gennemført hardware produkt konkurrere på pris med software produkter, som lover det kunderne gerne vil høre og leverer et produkt, der virker så længe ingen forsøger at omgå det? Jeg tvivler.

Dermed er markedsegmentet reduceret til de kunder, der sætter sig ind i, hvad produktet kan og hvad det reelt er værd. For dem er der en ret nem måde at måle forholdsvist præcist, hvad produktet er værd. Værdien af produktet er præcist de penge man kan spare på forsikringen ved at købe produktet.

Skræmmende nok er der faktisk et forsikringsselskab som i et program på en dansk TV kanal antydede, at et bestemt Windows program kunne blive et krav for at en computer overhovedet kunne være dækket af forsikringen. Det på trods af at der var tale om en ren software løsning og derfor nemt kunne omgås. Jeg havde en mistanke om at journalisten havde klippet indslaget lidt for opfindsomt sammen. Jeg kontaktede personen som havde udtalt sig, og han ville gerne uddybe sin udtalelse, lige indtil han fandt ud af, at jeg var kritisk overfor produktet, så besluttede han sig for at han ikke ville udtale sig alligevel.

Men jeg tror de kom på bedre tanker, for de gjorde vist aldrig alvor af trusselen, og de er mig bekendt også holdt op med selv at reklamere for programmet.

Er der nogen som har hørt om et forsikringsselskab, som har tilbudt en lavere pris på forsikring, hvis man vælger hardware med indbygget funktion til at spærre maskinen i tilfælde af tyveri? Og hvis ikke der findes eksempler på det, er pågældende hardware så overhovedet værd at bruge penge på?
Gravatar #21 - Slettet Bruger [365005336]
2. jul. 2014 17:27
kasperd (20) skrev:
Ifølge nogle af ovenstående indlæg har Intel lavet noget.


SlettetBruger (11) skrev:
Nå, Anti Theft servicen udgår næste år.


Gravatar #22 - kasperd
2. jul. 2014 19:45
SlettetBruger (21) skrev:
SlettetBruger (11) skrev:
Nå, Anti Theft servicen udgår næste år.
Præcist hvad er det, du prøver at sige?

Det lyder som om Intel har prøvet en sådan løsning og konstateret at der ikke var tilstrækkelig efterspørgsel. Det kan enten skyldes at Intel ikke har lavet det godt nok eller at der bare ikke er et marked for det.

Det manglende marked kunne skyldes at hovedparten af de potentielle kunder falder i en af følgende to kategorier:
- Dem der på ingen måde går op i teknikken og blot vælger en billig softwareløsning, som lover guld og grønne skove.
- Dem der er klar over fordelle og ulemper ved forskellige løsninger og har indset at i sidste ende skal prisen på løsningen sammenholdes med den besparelse der kan opnås i forsikringsomkostninger.

Hvis ikke der er nogen forsikringsselskaber, der vil give et afslag i prisen på forsikring af hardware udstyret med foranstaltninger imod tyveri, hvorfor skulle man så som kunde bruge ekstra penge på sådan hardware?
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login