도난당한 맥북을 찾는 방법

내 친구가 방금 맥북을 도난당했습니다. Dropbox 계정은 여전히 ​​Macbook에서 작동하므로 Macbook이 온라인 상태가 될 때마다 IP 주소를 얻을 수 있습니다.

그녀는 경찰에이 정보를 제공했으며 IP 주소에서 실제 위치를 얻는 데 최대 한 달이 걸릴 수 있다고 말합니다. 노트북을 찾는 데 도움이 될지 궁금합니다. 랩톱을 가지고있는 사람이 도난당한 물건을 취급하기 위해 체포 될 수 있습니다 (그렇지 않으면 경찰이 잡기 전에 다시 설치할 수도 있습니다).

도난당한 Macbook에 대한 사실은 다음과 같습니다.

• OS X를 실행하고 있지만 정확히 어떤 버전인지 확실하지 않습니다 (하지만 알아낼 것입니다).
• 비밀번호가없고 관리자 권한이있는 단일 사용자 계정 만있었습니다.
• 원래 소유자의 Dropbox는 여전히 동기화 중이므로 온라인 상태가 될 때마다 IP 주소를 제공합니다.
• 원래 소유자는 기술 전문가가 아니므로 SSH, VNC 등과 같은 원격 제어 기능을 설정하지 않았을 가능성이 높습니다 (이메일을 이메일로 요청했습니다).
• 그녀는 iCloud 또는 .Mac 서비스를 사용하지 않습니다.

사용자가 파일을 클릭하도록 유혹 파일을 Dropbox로 푸시하는 것을 고려하고있었습니다. 나는 이것에 단 한 번만 얻을 것이라고 추측하고 있으므로 최선의 방법에 대한 아이디어를 원했습니다.

내 아이디어는 지금까지 :

• 모든 정보를 소유자에게 다시 보내려면 일종의 키 로거를 설치하십시오. 사용자에게 알리지 않고이를 수행 할 수있는 방법이 있습니까?
• 브라우저 기록, iPhone 백업 찾기 등과 같이 가능한 한 많은 유용한 정보를 얻을 수 있도록 쉘 스크립트를 파일로 만드십시오.이 정보를 다시 보내는 가장 좋은 방법은 확실하지 않습니다. mail 명령을 무료 전자 메일 계정으로 사용할 수있을 것 같 습니까?
• 원격 관리를 켜십시오. 사용자가 보안 팝업을 수락하지 않고이를 수행 할 수있는 방법이 있습니까?

여기에 팁이 있습니까? 쉘 스크립트를 많이 작성했지만 AppleOS와 같은 다른 OS X 옵션이 더 좋을지 궁금했습니다. Dropbox 파일을 밀어 넣는 것보다 더 좋은 아이디어가 있습니까?

이 질문은 기본적으로 일종의 맬웨어를 작성하는 것에 관한 것임을 알고 있지만 해커의 컴퓨터 DEF CON 강의 에서 발생하는 일 에서 영웅을 흉내 내고 싶습니다 .

법을 어 기지 않도록 조치를 취하기 전에 경찰에 확인해야합니다.

닥터 조즈 비디오를 본 기억이나요. 좋은 물건.

쉘 스크립팅에 능숙하고 공격 벡터가 필요한 것처럼 들립니다. Zoz와 비슷한 작업을 수행하는 열쇠는 SSH 액세스 권한을 얻는 것입니다. 도둑이 전화 접속 모뎀을 사용하는 상황과 달리 최신 맥은 전화 접속을하지 않기 때문에 도둑이 광대역 연결을 사용하고 일종의 NAT 라우터 뒤에 있다는 것이 거의 확실합니다.

기기에서 SSH가 활성화 된 경우에도 외부에서 기기의 SSH 수신 포트에 액세스하려면 라우터에서 포트 전달을 설정해야합니다. 광대역 연결의 단점은 IP 주소가 전화 접속보다 덜 자주 변경된다는 것입니다.

내가 당신의 위치에 있었고, 도둑의 IP를 잡고 있다면, 먼저 라우터의 웹 인터페이스에 로그인하여 거기서 할 수있는 일을 보려고합니다. 얼마나 많은 사람들이 기본 라우터 / 모뎀 암호를 제자리에두고 있는지 놀랍습니다. 대부분의 주요 제조업체의 기본 암호를 찾을 수있는 온라인 목록이 있습니다.

일단 들어가면 라우터에서 DHCP 클라이언트 목록을 확인하고 MacBook을 찾을 수 있는지 확인하십시오. 많은 라우터에는 MAC (하드웨어) 주소, 내부 IP 주소 (192.168.1.x가 가장 많이 지정됨) 및 가장 중요한 컴퓨터 이름이 표시됩니다.

MacBook에 할당 된 IP를 확인한 다음 라우터 설정에서 포트를 앞으로 설정하십시오. 22 이외의 외부 포트 (예 : 포트 2222)를 사용하여 MacBook IP의 포트 22로 전달하십시오.

많은 라우터에서 SSH 액세스가 설정되어 있으므로 도둑의 IP @ 포트 22에 액세스하면 시스템 쉘이 아닌 라우터 쉘로 연결될 수 있습니다. 이제 도둑의 외부 IP (Dropbox에서 가져온)에 포트가 있어야합니다.이 포트는 SSH에 직접 연결되어 MacBook에 바인딩되어야합니다. SSH가 아직 켜져 있지 않은 경우.

이 부분은 도둑의 조치가 필요합니다. 이메일 아이디어가 마음에 들지만 친구가 Apple Mail을 사용해야합니다. 더 좋은 방법은 유혹적인 .app 파일을 Dropbox에 업로드하여 SSH (원격 로그인)를 켜는 것입니다.

쉘 스크립트를 통해이 작업을 수행 할 수는 있지만 Applescript를 통해 수행하면 Applescript를 .app로 저장하고 멋진 아이콘을 제공하면 마크를 속이고 자신을 포기하지 않는 것이 좋습니다.

원격 로그인을 켜는 Applescript 코드는 다음과 같습니다.

do shell script "sudo systemsetup setremotelogin on" user name "Friend's Username" password "Friend's Password" with administrator privileges

이 코드는 기기의 일련 번호가 포함 된 문자열을 반환하여 원하는 경우 이메일로 보낼 수 있습니다.

do shell script "sudo system_profiler |grep \"r (system)\"" user name "Friend's Username" password "Friend's Password" with administrator privileges

애플 로그인을 작성하여 원격 로그인을 활성화하고 필요한 다른 작업을 수행합니다. 셸 이외의 GUI 또는 응용 프로그램을 스크립팅하지 마십시오. 의심이 될 수 있습니다. 마지막에 "이 응용 프로그램은이 Macintosh에서 실행할 수 없습니다"라는 메시지가 표시됩니다. "종료"버튼으로 의심을 줄입니다. 스크립트가 AppleScript 편집기에서 작동하면 실행 전용 .app 파일로 저장하십시오.

.app을 인기있는 게임, Plants vs. Zombies 또는 Angry Birds 등으로 위장 해보십시오. 실제 게임의 .app에서 아이콘을 내보내고 Applescript에서 내 보낸 .app에 넣을 수 있습니다. 친구가 도둑을 잘 살펴 본다면 소셜하게 프로필을 작성하고 .app을 다른 관심 대상으로 위장 할 수 있습니다.

포트 포워드를 설정하고 (표시가 적절한 보안 관행을 시행하지 않음) 응용 프로그램을 실행할 수있게하면 시스템에 대한 전체 SSH 액세스 권한이 있으며 단서없이 계속 실마리를 찾을 수 있습니다 당신의 존재를 즉시 포기하십시오. 또한 마크가 Dropbox의 Growl 알림에 지쳐서 종료하지 않아야하므로 친구가 잠시 동안 Dropbox에 파일 저장을 중지하도록 조언합니다.

참고 : 도둑이 ISP에서 연결을 끊었다가 다시 연결하면 새 외부 IP를 얻게됩니다. Dropbox에 파일을 추가하고 동기화 될 때까지 기다립니다. 업데이트 된 IP를 얻을 수 있습니다.

참고 2 : 사용자가 일정 시간 (대개 24 시간) 동안 MacBook을 사용하여 라우터에 연결하지 않으면 MacBook에 할당 된 내부 IP 주소에 대한 DHCP 임대가 만료됩니다. 다른 장치가 네트워크에 도입되지 않는 한 다음에 연결할 때 동일한 IP 주소를 얻습니다. 이 경우 라우터에 수동으로 다시 로그인하고 포트 포워드를 수정해야합니다.

이것이 유일한 공격 수단은 아니지만 이것이 Dropbox를 통해 IP가 여전히 업데이트되고 있음을 알게 된 것입니다. 행운을 빕니다!

편집 : 각 "do shell script"행 끝에있는 "관리자 권한"은 매우 중요합니다. 사용자 이름과 비밀번호를 인라인으로 포함하지 않으면 사용자에게 친구의 관리자 비밀번호를 묻는 메시지가 표시되고 스크립트가 실패합니다.

생일 축하를 원하는 이모 에게서 이메일로 이모 가 생일 축하를 위해 Abercrombie & Fitch +로부터 선물 카드를 보내려고하지만 정확한 주소가 필요합니다. 그런 저예산 나이지리아 사기 속임수를 쓰러 뜨리는 것은 도둑에게 달려 있습니다.

또는 다른 유명 브랜드

솔직히 Apple에 문의하십시오. 컴퓨터를 추적하는 방법에 대한 정보가있을 수 있습니다. 나는 당신이 그들의 Mac을 도난당한 최초의 사람이 아니라고 확신합니다.

편집 : Apple의 지원 페이지를 살펴 보았을 때 실제로 도움이되지 않았다고 생각했습니다. 시도 할 수있는 것은 iCloud를 사용하여 Macbook을 원격으로 잠그는 것입니다.

Daniel Beck은 실제로 그것을 테스트하고 다음과 같이 논평했습니다.

"비밀 한 Mac 백도어"는 아니지만 실제로 컴퓨터를 다시 가져 오는 데 실제로 도움이되지는 않지만 Mac에서 사람들을 잠그는 데 매우 효과적입니다. 귀하의 의견은 저를 사용해 보도록했으며 실제로 매우 인상적입니다. 화면이 흰색으로 바뀌고 컴퓨터가 종료되며 정상적인 부팅 과정을 재개하려면 이전에 iCloud를 통해 지정한 6 자리 코드가 필요합니다. "

이것은이 상황에 직접적으로 도움이되지는 않지만, 미래와 Macbook이 Prey 를 다운로드하는 다른 모든 사람들을 위해 도둑을 추적하는 데 유리할 수 있습니다. Prey는 도둑의 위치와 사진을 포함한 보고서를 제공 할 것이며 경찰의 도움과 함께 노트북을 다시 가져올 수 있습니다. 컴퓨터를 잃어 버렸을 때 경찰에 도난당한 품목 보고서를 제출하지 않으면 많은 경찰서가 도움이되지 않습니다. 최대한 빨리이 작업을 수행하십시오.

IP 주소가 주어지면, 어느 ISP를 통해 연결 중인지 알아낼 수 있습니다.

http://remote.12dt.com/lookup.php로 이동하십시오.

IP 주소를 입력하십시오.

예를 들어 ip 주소가 203.97.37.85라고 가정합니다 (실제로 NZ에있는 ISP의 웹 서버 주소 임).

그리고 회사 또는 ISP 도메인 이름을 표시 할 수 있습니다. 회사 이름 인 것 같으면 정말 좁아지고 있습니다. 그러나 그것이 네트워크 제공자의 이름이라면 (이 경우 위의 TelstraClear NZ).

위의 것 외에도 whois 조회를 수행합니다. 온라인 후이즈 조회 도구 중 하나를 사용하십시오.

http://networking.ringofsaturn.com/Tools/whois.php

그리고 많은 정보를 얻을 수 있습니다. 그러나 TelstraClear 네트워크 내의 주소임을 알 수 있습니다.

#
# Query terms are ambiguous.  The query is assumed to be:
#     "n 203.97.37.85"
#
# Use "?" to get help.
#

#
# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=203.97.37.85?showDetails=true&showARIN=false&ext=netref2
#

NetRange:       203.0.0.0 - 203.255.255.255
CIDR:           203.0.0.0/8
OriginAS:
NetName:        APNIC-203
NetHandle:      NET-203-0-0-0-1
Parent:
NetType:        Allocated to APNIC
Comment:        This IP address range is not registered in the ARIN database.
Comment:        For details, refer to the APNIC Whois Database via
Comment:        WHOIS.APNIC.NET or http://wq.apnic.net/apnic-bin/whois.pl
Comment:        ** IMPORTANT NOTE: APNIC is the Regional Internet Registry
Comment:        for the Asia Pacific region. APNIC does not operate networks
Comment:        using this IP address range and is not able to investigate
Comment:        spam or abuse reports relating to these addresses. For more
Comment:        help, refer to http://www.apnic.net/apnic-info/whois_search2/abuse-and-spamming
RegDate:        1994-04-05
Updated:        2010-08-02
Ref:            http://whois.arin.net/rest/net/NET-203-0-0-0-1

OrgName:        Asia Pacific Network Information Centre
OrgId:          APNIC
Address:        PO Box 2131
City:           Milton
StateProv:      QLD
PostalCode:     4064
Country:        AU
RegDate:
Updated:        2011-09-24
Ref:            http://whois.arin.net/rest/org/APNIC

ReferralServer: whois://whois.apnic.net

OrgAbuseHandle: AWC12-ARIN
OrgAbuseName:   APNIC Whois Contact
OrgAbusePhone:  +61 7 3858 3188
OrgAbuseEmail:  search-apnic-not-arin@apnic.net
OrgAbuseRef:    http://whois.arin.net/rest/poc/AWC12-ARIN

OrgTechHandle: AWC12-ARIN
OrgTechName:   APNIC Whois Contact
OrgTechPhone:  +61 7 3858 3188
OrgTechEmail:  search-apnic-not-arin@apnic.net
OrgTechRef:    http://whois.arin.net/rest/poc/AWC12-ARIN

#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#

% [whois.apnic.net node-1]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

inetnum:      203.97.0.0 - 203.97.127.255
netname:      TELSTRACLEAR-NZ
descr:        TelstraClear Ltd
country:      NZ
admin-c:      TAC3-AP
tech-c:       TTC7-AP
notify:       apnic.changes@team.telstraclear.co.nz
mnt-by:       APNIC-HM
mnt-lower:    MAINT-NZ-TELSTRACLEAR
status:       ALLOCATED PORTABLE
changed:      hm-changed@apnic.net 19960101
changed:      netobjs@clear.net.nz 20010624
changed:      hm-changed@apnic.net 20041214
changed:      hm-changed@apnic.net 20050216
source:       APNIC

role:         TelstraClear Administrative Contact
address:      TelstraClear Limited
address:      Network Planning
address:      Private Bag 92143
address:      Auckland
country:      NZ
e-mail:       apnic.changes@team.telstraclear.co.nz
phone:        +64 9 912 5205
trouble:      For network abuse contact:
trouble:      list.admin@team.telstraclear.co.nz
trouble:      +64 9 912 5161
trouble:      For 24/7 after-hours NOC contact:
trouble:      +64 9 912 4482
notify:       apnic.changes@team.telstraclear.co.nz
tech-c:       TTC7-AP
admin-c:      TAC3-AP
nic-hdl:      TAC3-AP
mnt-by:       MAINT-NZ-TELSTRACLEAR
changed:      hm-changed@apnic.net 20041125
source:       APNIC

role:         TelstraClear Technical Contact
address:      TelstraClear Limited
address:      Customer Help
address:      Private Bag 92143
address:      Auckland
country:      NZ
e-mail:       list.admin@team.telstraclear.co.nz
phone:        +64 9 912 5161
trouble:      For network abuse contact:
trouble:      list.admin@team.telstraclear.co.nz
trouble:      +64 9 912 5161
trouble:      For 24/7 after-hours NOC contact:
trouble:      +64 9 912 4482
notify:       apnic.changes@team.telstraclear.co.nz
tech-c:       TTC7-AP
admin-c:      TAC3-AP
nic-hdl:      TTC7-AP
mnt-by:       MAINT-NZ-TELSTRACLEAR
changed:      hm-changed@apnic.net 20041125
source:       APNIC

그 시점에서 경찰에게 문제가 될 것입니다. ISP가 그 시점에 누가 로그인했는지 알려주지 않을 것입니다.

랩톱을 다시 가져 오거나 새 랩톱을 얻는 경우 preyproject를 설치하십시오. 나중에 훨씬 간단하게 만들 수 있습니다. 당신은 심지어 범죄자의 사진을 찍을 수 있습니다 :)

당신이 할 수있는 일이 많이 있으며, 나는 당신이 그중 아무것도하지 않는 것이 좋습니다. 경찰이 일을하고 체포하도록하십시오.

그것은 영리한 대답이 아니라 올바른 답입니다.

적어도 원격으로 엉망으로 생각하고 그들이 당신을 생각한다고 생각하면 노트북을 조금씩 부 likely 버릴 것입니다.