盗まれたMacbookを見つける方法

友人がMacbookを盗まれました。彼女のDropboxアカウントはまだMacbookで機能しているため、Macbookがオンラインになるたびに確認でき、IPアドレスを取得できます。

彼女はこの情報を警察に提供しました。警察は、IPアドレスから実際の場所を取得するのに最大1か月かかる場合があると言います。盗まれた商品を取り扱ったために今すぐその人が逮捕される可能性があるので、ラップトップを見つけるのを手伝うことができるかどうか疑問に思っていました（そうでなければ、警察が捕まえる前に彼らはそれを再インストールするかもしれません）。

盗まれたMacbookに関する事実は次のとおりです。

• OS Xを実行していますが、正確にどのバージョンかはわかりません（ただし、確認します）。
• パスワードがなく、管理者権限を持つ単一のユーザーアカウントのみがありました。
• 元の所有者のDropboxはまだ同期中であり、オンラインになるたびにIPアドレスを取得します。
• 元の所有者は技術者ではないため、SSH、VNCなどのリモートコントロール機能を有効にした可能性は非常に低いです（メールで問い合わせました）。
• 彼女はiCloudや.Macサービスを使用していません。

ユーザーにクリックさせるために、魅力的なファイルをDropboxにプッシュすることを検討していました。私はこれで1発しか撮れないと思うので、最善のことについていくつかのアイデアが欲しかった。

これまでの私のアイデア：

• 何らかの種類のキーロガーをインストールして、すべての情報を所有者に送り返します。ユーザーに気付かれずにこれを行う方法はありますか？
• ファイルをシェルスクリプトにして、ブラウザの履歴、iPhoneのバックアップの検索など、できるだけ多くの有用な情報を取得します。ただし、この情報を返送する最善の方法はわかりません。（もちろん、無料の電子メールアカウントに対して）mailコマンドを使用できるように思えますか？
• リモート管理を有効にすることもできます。ユーザーがセキュリティポップアップを受け入れずにこれを行う方法はありますか？

ここに誰か何かヒントがありますか？私はたくさんのシェルスクリプトを書きましたが、他のOS Xオプション、例えばApplescriptがより良いかもしれないと思っていましたか？Dropboxファイルをプッシュするよりも良いアイデアがありますか？

この質問は基本的にマルウェアの形を書くことに関するものですが、ハッカーのコンピューター DEF CONを盗んだときに何が起こるかについて、ヒーローをエミュレートできるようになりたいと思っています。

法律に違反しないようにするために何かをする前に、必ず警察に確認してください。

そのゾーツ博士のビデオを見たことを覚えています。いい物。

シェルスクリプトの作成能力があり、攻撃ベクトルが必要なようです。Zozが行ったことと同様のことを行うための鍵は、SSHアクセスを取得することです。泥棒がダイヤルアップモデムを使用していた彼の状況とは異なり、新しいMacはダイヤルアップを行わないため、泥棒はブロードバンド接続を使用しており、何らかのNATルーターの背後にいることはほぼ確実です。

マシンでSSHが有効になっている場合でも、外部からマシンのSSHリスニングポートにアクセスするには、ルーターでポート転送を設定する必要があります。ブロードバンド接続の利点は、IPアドレスがダイヤルアップの場合よりもほとんど確実に変更されないことです。

私が泥棒のIPを持ってあなたの立場にいた場合、まずルーターのWebインターフェースにログインして、そこから何ができるかを確認します。デフォルトのルーター/モデムのパスワードをそのままにしておく人の数は驚くべきことです。また、ほとんどの主要メーカーのデフォルトのパスワードを見つけることができるオンラインのリストがあります。

内部に入ったら、ルーター上のDHCPクライアントのリストを確認し、MacBookが見つかるかどうかを確認します。多くのルーターには、MAC（ハードウェア）アドレス、割り当てられた内部IPアドレス（最も頻繁に192.168.1.x）、そして最も重要なのはマシン名が表示されます。

どのIPがMacBookに割り当てられているかを特定し、ルーターの設定でそのポートに転送するポートを設定します。22以外の外部ポート（ポート2222など）を使用して、MacBookのIPのポート22に転送します。

多くのルーターではSSHアクセスが有効になっているため、泥棒のIP @ポート22にアクセスすると、マシンシェルではなくルーターシェルにアクセスできる場合があります。これで、泥棒の外部IP（Dropboxから取得した）にポートがあり、MacBookでSSHがバインドされているポートに直接アクセスできます。ただし、SSHはまだ有効になっていません。

この部分には、泥棒からの何らかのアクションが必要です。私はメールのアイデアが好きですが、あなたの友人がApple Mailを使用していることが必要です。より良い方法は、魅力的な.appファイルをDropboxにアップロードし、SSH（リモートログイン）をオンにすることです。

これはシェルスクリプトを介して行うことができますが、Applescriptを介してそれを行い、Applescriptを.appとして保存し、素敵なアイコンを与えることはすべて、マークをだまし、自分を解放しないことに大いに役立ちます。

リモートログインを有効にするApplescriptコードは次のとおりです。

do shell script "sudo systemsetup setremotelogin on" user name "Friend's Username" password "Friend's Password" with administrator privileges

このコードは、マシンのシリアル番号を含む文字列を返します。シリアル番号は、必要に応じて自分宛にメールで送信できます。

do shell script "sudo system_profiler |grep \"r (system)\"" user name "Friend's Username" password "Friend's Password" with administrator privileges

リモートログインをオンにして、他に必要なことを行うように、私はアップルスクリプトを書きます。GUIまたはシェル以外のアプリケーションのスクリプトを作成しないようにしてください。これにより疑念が生じます。最後に、「このアプリケーションはこのMacintoshでは実行できません」というメッセージを表示します。疑いを減らすための「終了」ボタンがあります。AppleScript Editorでスクリプトが動作したら、実行専用の.appファイルとして保存します。

.appを人気のあるゲーム、Plants vs. Zombies、Angry Birdsなどに変装してみてください。実際のゲームの.appからアイコンをエクスポートし、Applescriptからエクスポートした.appにアイコンを配置できます。友人が泥棒をよく見た場合、あなたは彼/彼女を社会的にプロファイルし、.appを彼らが興味を持っているかもしれない何かとして偽装することができます。

ポートをフォワードに設定できれば（マークは適切なセキュリティ慣行を強制しません）、アプリケーションを実行させることができれば、マシンへの完全なSSHアクセスが可能になり、手がかりを探し続けることができますすぐにあなたの存在を与える。これには、マークがDropboxのGrowl通知に飽きて終了しないことも必要です。そのため、友人にDropboxへのファイルの保存をしばらく停止することをお勧めします。

注：泥棒がISPから切断して再接続すると、泥棒は新しい外部IPを取得します。ファイルをDropboxに追加し、同期するのを待ちます。これにより、更新されたIPが取得されます。

注2：ユーザーがMacBookを使用して一定時間（通常24時間）ルーターに接続しない場合、MacBookに割り当てられた内部IPアドレスのDHCPリースは期限切れになります。別のデバイスがネットワークに導入されない限り、次に接続するときに同じIPアドレスを取得する可能性があります。このイベントでは、手動でルーターにログインし直し、ポートを変更する必要があります。

これが攻撃の唯一の手段ではありませんが、これはIPがDropboxを介してまだ更新されていることに気付いた2番目の方法です。がんばろう！

編集：各「do shell script」行の最後にある「管理者権限」は非常に重要です。インラインでユーザー名とパスワードを含めないと、ユーザーは友達の管理者パスワードの入力を求められ、スクリプトは失敗します。

電子メールを送信叔母、彼女の幸せな誕生日を希望していることを叔母がアバクロンビー＆フィッチ+からギフトカードを送りたいが、正しい住所が必要であるを送信します。それから、この低予算のナイジェリアの詐欺に陥るのは泥棒次第です。

+または他の有名なブランド

正直に、アップルに連絡してください。彼らは自分のコンピューターを追跡する方法についての情報を持っているかもしれません。Macを盗まれたのはあなたが初めてではないに違いない。

編集：Appleのサポートページを調べましたが、実際にはあまり役に立ちませんでした。あなたが試すことができるのは、iCloudを使用してMacbookをリモートでロックアウトすることです。

ダニエル・ベックは実際にそれをテストし、コメントしました：

「「秘密のMacバックドア」ではなく、実際にコンピュータを元に戻すのにはあまり役に立たないが、Macから人々を締め出すのは非常にうまく機能する。画面が白くなり、コンピューターがシャットダウンし、通常の起動プロセスを再開するには、iCloudで以前指定した6桁のコードが必要になります。

これはこの状況を直接助けるものではありませんが、将来、そしてMacbookがPreyをダウンロードする他のすべての人にとって、泥棒を追跡する上であなたに利点を与えることができます。獲物はあなたの泥棒の場所と写真を含むレポートを提供します、そして、これは警察からの助けと組み合わされて、あなたのラップトップを取り戻すことができます。コンピューターを紛失したときに盗まれたアイテムのレポートを警察に提出しない限り、多くの警察署は助けにならないことに注意してください。できるだけ早くこれを行ってください。

IPアドレスを指定すると、おそらくどのISPを介して接続しているかを判断できます。

移動先：http://remote.12dt.com/lookup.php

IPアドレスを入力します。

たとえば、IPアドレスが203.97.37.85であると仮定します（これは実際にはNZのISPのWebサーバーアドレスです）。

また、会社またはISPのドメイン名が表示される場合があります。それが会社名のように見える場合、あなたは本当に速く絞り込んでいます。しかし、それがネットワークプロバイダーの名前である場合（この場合は上記-TelstraClear NZ）。

上記に加えて、whoisルックアップを行います。オンラインwhois検索ツールのいずれかを使用します。

http://networking.ringofsaturn.com/Tools/whois.php

そして、多くの情報が返ってきます。しかし、TelstraClearネットワーク内のアドレスであることがわかります。

#
# Query terms are ambiguous.  The query is assumed to be:
#     "n 203.97.37.85"
#
# Use "?" to get help.
#

#
# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=203.97.37.85?showDetails=true&showARIN=false&ext=netref2
#

NetRange:       203.0.0.0 - 203.255.255.255
CIDR:           203.0.0.0/8
OriginAS:
NetName:        APNIC-203
NetHandle:      NET-203-0-0-0-1
Parent:
NetType:        Allocated to APNIC
Comment:        This IP address range is not registered in the ARIN database.
Comment:        For details, refer to the APNIC Whois Database via
Comment:        WHOIS.APNIC.NET or http://wq.apnic.net/apnic-bin/whois.pl
Comment:        ** IMPORTANT NOTE: APNIC is the Regional Internet Registry
Comment:        for the Asia Pacific region. APNIC does not operate networks
Comment:        using this IP address range and is not able to investigate
Comment:        spam or abuse reports relating to these addresses. For more
Comment:        help, refer to http://www.apnic.net/apnic-info/whois_search2/abuse-and-spamming
RegDate:        1994-04-05
Updated:        2010-08-02
Ref:            http://whois.arin.net/rest/net/NET-203-0-0-0-1

OrgName:        Asia Pacific Network Information Centre
OrgId:          APNIC
Address:        PO Box 2131
City:           Milton
StateProv:      QLD
PostalCode:     4064
Country:        AU
RegDate:
Updated:        2011-09-24
Ref:            http://whois.arin.net/rest/org/APNIC

ReferralServer: whois://whois.apnic.net

OrgAbuseHandle: AWC12-ARIN
OrgAbuseName:   APNIC Whois Contact
OrgAbusePhone:  +61 7 3858 3188
OrgAbuseEmail:  search-apnic-not-arin@apnic.net
OrgAbuseRef:    http://whois.arin.net/rest/poc/AWC12-ARIN

OrgTechHandle: AWC12-ARIN
OrgTechName:   APNIC Whois Contact
OrgTechPhone:  +61 7 3858 3188
OrgTechEmail:  search-apnic-not-arin@apnic.net
OrgTechRef:    http://whois.arin.net/rest/poc/AWC12-ARIN

#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#

% [whois.apnic.net node-1]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

inetnum:      203.97.0.0 - 203.97.127.255
netname:      TELSTRACLEAR-NZ
descr:        TelstraClear Ltd
country:      NZ
admin-c:      TAC3-AP
tech-c:       TTC7-AP
notify:       apnic.changes@team.telstraclear.co.nz
mnt-by:       APNIC-HM
mnt-lower:    MAINT-NZ-TELSTRACLEAR
status:       ALLOCATED PORTABLE
changed:      hm-changed@apnic.net 19960101
changed:      netobjs@clear.net.nz 20010624
changed:      hm-changed@apnic.net 20041214
changed:      hm-changed@apnic.net 20050216
source:       APNIC

role:         TelstraClear Administrative Contact
address:      TelstraClear Limited
address:      Network Planning
address:      Private Bag 92143
address:      Auckland
country:      NZ
e-mail:       apnic.changes@team.telstraclear.co.nz
phone:        +64 9 912 5205
trouble:      For network abuse contact:
trouble:      list.admin@team.telstraclear.co.nz
trouble:      +64 9 912 5161
trouble:      For 24/7 after-hours NOC contact:
trouble:      +64 9 912 4482
notify:       apnic.changes@team.telstraclear.co.nz
tech-c:       TTC7-AP
admin-c:      TAC3-AP
nic-hdl:      TAC3-AP
mnt-by:       MAINT-NZ-TELSTRACLEAR
changed:      hm-changed@apnic.net 20041125
source:       APNIC

role:         TelstraClear Technical Contact
address:      TelstraClear Limited
address:      Customer Help
address:      Private Bag 92143
address:      Auckland
country:      NZ
e-mail:       list.admin@team.telstraclear.co.nz
phone:        +64 9 912 5161
trouble:      For network abuse contact:
trouble:      list.admin@team.telstraclear.co.nz
trouble:      +64 9 912 5161
trouble:      For 24/7 after-hours NOC contact:
trouble:      +64 9 912 4482
notify:       apnic.changes@team.telstraclear.co.nz
tech-c:       TTC7-AP
admin-c:      TAC3-AP
nic-hdl:      TTC7-AP
mnt-by:       MAINT-NZ-TELSTRACLEAR
changed:      hm-changed@apnic.net 20041125
source:       APNIC

その時点で警察にとっては問題になるでしょう。ISPがその時点で誰がログインしているかを教えてくれるとは思わない。

ラップトップを取り戻す場合、または新しいラップトップを入手する場合は、preyprojectをインストールします。後で物事がもっと簡単になります。犯人の写真を撮ることもできます:)

できることは山ほどありますが、どれもしないことを強くお勧めします。警察に仕事をさせて逮捕させてください。

それは賢い答えではありませんが、正しい答えです。

-特に、あなたがそれをリモートで台無しにし、彼らがあなたが彼らの上にいると思うなら、彼らはラップトップを少しずつ粉砕するでしょう。