Computrace

JNS-K

New member
Registriert
17 Sep. 2007
Beiträge
1.164
Cerub' schrieb:
Ich schreib den Verkäufer nochmal an, dass er sich doch bitte mit der Firma in Verbindung setzen soll damit die den Vertrag für dieses Gerät auflösen. Und ja hab ich bei einem Händler gekauft, bin aber schon über die 2 Wochen Rückgabe drüber. Vielleicht krieg ich ja zumindest eine Ermäßigung von ihm. :)
Nein, auf keinen Deal einlassen - außer er würde den Kaufpreis auf 0€ reduzieren. Er muss Dir die Daten rausrücken, andernfalls könnte man davon ausgehen, dass das Gerät gestohlen wurde ... Du darfst nicht vergessen, wenn eine Sicherheitsfunktion ausgelöst wird - hast Du nichts anderes mehr als Schrott auf dem Schreibtisch stehen. Im übrigen greift in diesem Fall die 2 Wochen Regel nicht ...

Cerub' schrieb:
Denkt ihr es bringt was Absolute anzuschreiben und auf meine Rechnung zu verweisen mit dem Hinweis, dass ich das gerne abgeschaltet hätte?
Weiß ich ehrlich gesagt nicht ... und ich könnte mir so ein Szenario auch nur bedingt vorstellen. Ich an Deiner Stelle würde selbst nichts unternehmen sondern wenn überhaupt nur den Verkäufer das machen lassen ...

VG JNS
 

lyvi

New member
Registriert
9 Apr. 2007
Beiträge
5.842
hi,
Denkt ihr es bringt was Absolute anzuschreiben und auf meine Rechnung zu verweisen mit dem Hinweis, dass ich das gerne abgeschaltet hätte?
nein man bekommt bei abschluss einen vertrag und bestimmte codes dazu ohne das macht die firma nichts sonst währe ja die "sicherheit" dahin.
ansonsten sehe ich das wie JNS-K.

greeTz, lyvi
 

peo2000

Member
Registriert
1 Feb. 2008
Beiträge
517
Hallo zusammen,
habe mich (mit nachträglichem Erschrecken) an einen Warnhinweis im BIOS meines X60 erinnert und nach nochmaligem Nachsehen festgestellt, dass mein kleines Schätzchen auch mit diesem tollen Feature "versehen" ist/war. Allerdings finde ich, außer dem Warnhinweis am Anfang, keine weiteren Hinwise in den BIOS Menüs. Ich will den Kram jedenfalls, nachdem was ich hier gelesen hab, definitiv loswerden und werde den Tipp "mal bei Mario anfragen" sofort umsetzen.
Gruß, -peo
 

cesarius

New member
Registriert
6 Dez. 2010
Beiträge
9
Hallo,

mal eine Frage: gibt es solch eine ähnliche Computrace-Funktion die mit der Intel Anti-Theft-Technik funktioniert jedoch nicht in Verbindung mit einer Zwischenfirma wie Absolute Software.

Was ich damit meine, ein Server/Verwaltungsprogramm, dass ich bei MIR in der Frima auf dem Server laufen lasse(und nicht bei Absolute Software) mit dem sich mein Laptop verbindet um zu schauen ob er entwendet wurde oder nicht.

Verstehe diesen Zwischenschritt mit Absolute Software bei der Intel AT-Technik sowieso nicht, ist wohl eher Geldmacherei.

Grüße
 

JNS-K

New member
Registriert
17 Sep. 2007
Beiträge
1.164
cesarius' schrieb:
mal eine Frage: gibt es solch eine ähnliche Computrace-Funktion die mit der Intel Anti-Theft-Technik funktioniert jedoch nicht in Verbindung mit einer Zwischenfirma wie Absolute Software.
Was ich damit meine, ein Server/Verwaltungsprogramm, dass ich bei MIR in der Frima auf dem Server laufen lasse(und nicht bei Absolute Software) mit dem sich mein Laptop verbindet um zu schauen ob er entwendet wurde oder nicht.
Leider ist kenne ich auch keine Software für den "Heimgebrauch" ... lediglich ein paar alternative Anbieter kenne ich. Falls jemandem eine solche Software bekannt sein sollte ... auch hier besteht großes Interesse.

cesarius' schrieb:
Verstehe diesen Zwischenschritt mit Absolute Software bei der Intel AT-Technik sowieso nicht, ist wohl eher Geldmacherei.
Meine Vermutung ist, das Intel das aus Sicherheits- bzw. Regressgründen nicht macht, denn wenn jeder gültige "Poison Pills" versenden bzw. Notebooks tracken könnte, wäre dem Missbrauch Tür und Tor geöffnet.

VG JNS
 

Mornsgrans

Help-Desk
Teammitglied
Registriert
20 Apr. 2007
Beiträge
68.902
Ich war leider gestern durch den Forencrash verhindert, folgendes zu posten:
Erst einmal ein link:
http://shop.lenovo.com/SEUILibrary/...ll/US/Sitelets/Software/Anti-Theft-Protection
Weiter unten der Verweis auf ein entsprechendes BIOS-Update:
http://www-307.ibm.com/pc/support/site.wss/document.do?sitestyle=lenovo&lndocid=MIGR-70945
(BIOS Update Utility - ThinkPad R400, R500, T400, T500, W500, X200, X200s, X200 Tablet and X301 )
Installation instructions

Notes:

* If you use Intel Anti-Theft Technology PC protection (AT-p):
o To use the Intel AT-p feature, Intel AMT 4.1 - Management Engine Firmware version 4.1.2 or higher must be installed into your computer.
o If Intel AT-p is still activated and when you try to get back to the older BIOS versions without Intel AT-p supported, the following message will be displayed. This is to prevent Intel AT-p from being deactivated.
+ BIOS Update CD: Error The system program file is not correct for this system
+ BIOS Update Utility: The process does not recognize this system.The utility process has not completed.
o To get back to such the older BIOS versions, you must deactivate Intel AT-p before applying the BIOS.
 

fakeraol

Member
Registriert
4 März 2009
Beiträge
324
JNS-K' schrieb:
Zitat von »JNS-K«

Eine Funktion unter anderem von Computrace ist - ....

Das Entfernen eines aktivierten Computrace aus dem Bios ist nicht möglich und jeder Versuch bedeutet den Kauf eines neuen Mainboards und CPU.
Erstens ist das eine Funktion vom Computrace-Agenten, und wenn der Dienst deaktiviert ist, kann er logischerweise nichts mehr machen.

Zweitens hat der Admin vom mydigitallive-Forum "Yen" für einen User das Computrace-Modul entfernt und der User hat den Erfolg bestätigt.
Damit sind deine Aussagen widerlegt.
hier gibts eine weitere Anleitung für die erfolgreiche Entfernung:
edit deeptrancer: Link entfernt!

Anders gesagt, was du hier schreibst, ist Unfug.

Mach dich erst mal sachkundig.
 

McPixl

Active member
Registriert
12 Aug. 2006
Beiträge
4.320
JNS-K' schrieb:
Das Entfernen eines aktivierten Computrace aus dem Bios ist nicht möglich und jeder Versuch bedeutet den Kauf eines neuen Mainboards und CPU. Denn mit der Aktivierung von Computrace wurden alle Sicherheitsmaßnahmen, die die modernen Intelchipsätze bieten, aktiviert und dazu gehört auch der TPM bzw. Intel TXT. D.h. bei jedem Bootvorgang überprüft dieser ob sich der Status aller Komponenten im vorgegebenen Parameterbereich befindet und bei Abweichungen wird ein Boot verhindert und der Rechner deaktiviert. Ein unautorisierter Biosflash ist eine Abweichung.
komisch ich habe mindestens 3 Rechner gesehen wo ich mit Sicherheit sagen kann das Computrace im BIOS deaktiviert bzw. aus dem BIOS entfernt wurde, die ohne weitere Probleme gebootet haben.
Wie erklärst Du Dir das wenn laut deiner Aussage ein Rechner wo ein aktiviertes Computrace aus dem BIOS entfernt wurde gar nicht booten kann.

Ich würde diesen Dienst so schnell wie möglich wieder aktivieren, denn keiner von uns weiß welche Funktionen der Sysadmin des ursprünglichen Käufers aktiviert hat. Eine Funktion unter anderem von Computrace ist - dass sich Rechner, die eine bestimmte Zeit (48-9999 Std.) lang keine Verbindung zu Computrace aufbauen konnten, aus Sicherheitsgründen automatisch deaktivieren

Rein interessehalber wie soll das möglich sein wenn Computrace aus dem Bios entfernt wurde ?

@ cerub: So wie ich es verstanden hab ist ein Entfernen von Coputrace aus dem Bios bei einem Thinkpad nach der T6X Baureihe schwieriger aber nicht unmöglich.

Die Frage ist halt nur WER dir das entfernen kann.
 

fakeraol

Member
Registriert
4 März 2009
Beiträge
324
noch etwas:

die firma "core security technologies" hat computrace untersucht und herausgefunden, dass der server, zu dem sich der agent (dienst) verbinden soll, schlecht verschlüsselt in der registry abgelegt ist und geändert werden kann.
ausserdem wird der binärcode des agenten unter anderem in einen bereich ausserhalb der partitionen geschrieben, von wo ihn das bios beim booten wieder läd und auf die platte zurückschreibt, wenn er verändert wurde.
damit könnte ein virus/trojaner, wenn er erst mal auf dem rechner ist, seinen code genau da ablegen und würde vom bios anstatt des agenten auf die platte geschrieben werden und da der computrace-agent von allen virenscanner-anbietern in eine whitelist aufgenommmen wurde, wäre es äusserst schwer ihn zu entdecken und zu entfernen.

ausserdem haben sie herausgefunden, dass zwar die komunikation mit dem server verschlüsselt erfolgt, der schlüssel dazu aber ungeschützt übers netz übertragen wird, was die ganze verschlüsselung aushebelt.

es bestehen also massive sicherheitslücken durch ein fehlerhaftes design des ganzen systems, die sehr wohl eine reale gefahr durch andere trojaner und datenspione bedeuten. (@ laptrophaven)

im übrigen klingt es für mich ziemlich absurd, mit dem worst case scenario "ich bin zu blöd gewesen, auf meinen laptop aufzupassen." den vollzugriff auf all meine daten duch eine andere person/firma zu begründen, gegen die ich im ernstfall kaum eine handhabe hätte, sollten sie zb. geschäftsgeheimnisse mittels ihres dienstes stehlen, oder fahrlässig/vorsätzlich meine daten beschädigen. einerseits weil ich hinterher wohl kaum etwas beweisen könnte, andererseits weil die firma weit weg in den usa sitzt und ein prozess sehr schwierig und risikoreich wäre.
 

JNS-K

New member
Registriert
17 Sep. 2007
Beiträge
1.164
McPixl' schrieb:
komisch ich habe mindestens 3 Rechner gesehen wo ich mit Sicherheit sagen kann das Computrace im BIOS deaktiviert bzw. aus dem BIOS entfernt wurde, die ohne weitere Probleme gebootet haben.
Wie erklärst Du Dir das wenn laut deiner Aussage ein Rechner wo ein aktiviertes Computrace aus dem BIOS entfernt wurde gar nicht booten kann.
Es ist ein gewaltiger Unterschied, ob die Funktion nur im BIOS enthalten ist oder ob diese Funktion nicht nur enthalten, sondern auch aktiviert wurde. Solange es nicht aktiviert wurde, sollte es auch mit Hilfe eines gepatchten BIOS problemlos zu entfernen sein. Wurde es allerdings aktiviert, überwacht der TPM bzw. Intel TXT unter anderem die Integrität des BIOSes und wenn Modifizierungen festgestellt werden, verhindert der TPM bzw. Intel TXT den regulären Boot und das hat mit dem BIOS dann nicht mehr wirklich was zu tun.

Bis Du dann dem TMP bzw. Intel TXT ein integeres System vorgaukeln kannst, hast Du Elektroschrott auf dem Schreibtisch stehen. Allerdings gibt es keine 100% Sicherheit und solange das System auch eine Recoverymöglichkeit bietet und/oder wenn dann noch Implementierungsfehler hinzu kommen, ist es angreifbar - aber es ist sehr unwahrscheinlich dass das jeder 08/15 Depp kann.

McPixl' schrieb:
Rein interessehalber wie soll das möglich sein wenn Computrace aus dem Bios entfernt wurde ?
Wie schon oben gesagt, ein aktives Computrace sollte sich nicht so leicht entfernen lassen, allerdings wage ich es nicht zu behaupten dass das unmöglich ist, nur ob jemand privates den Aufwand bezahlen mag, wage ich ernsthaft zu bezweifeln.

fakeraol' schrieb:
es bestehen also massive sicherheitslücken durch ein fehlerhaftes design des ganzen systems, die sehr wohl eine reale gefahr durch andere trojaner und datenspione bedeuten. (@ laptrophaven)
Software wird von Menschen geschrieben und dummerweise machen diese halt eben Fehler. Allerdings sollten diese Designschwächen kurz nach bekannt werden dieser behoben worden sein, denn meines Wissens nach ist die Studie von 2008/09 und seit dem gibt es keine neue die solche Fehler aufzeigt. Allerdings weiß keiner ob es denn nicht noch andere Fehler gibt.

Zu der Problematik mit dem Verstecken von Trojanern usw. - in diesem Fall ist das Szenario nicht wirklich realistisch - allerdings auch nicht unmöglich, denn man benötigt für das Ausnutzen physischen Zugriff, da man von einem laufenden System nicht auf diesen Bereich zugreifen können sollte. Hat man diesen, kann man auch normale Standard Windowsroutinen mittels eines Rootkits manipulieren - die sich genauso schwer entdecken lassen. Allerdings sollten diese, solang das Installationsmedium nicht auch manipuliert wurde, eine Neuinstallation nicht überleben, aber wer sich schon die Mühe macht ...

Im übrigen wäre es ein realistischeres Szenario dass jemand den Zugang zum Windows Update manipuliert und über diese Funktion ein Rootkit installieren lässt - da dieses ebenfalls von keinem Scanner überwacht wird und hierfür wäre noch nicht einmal ein physischer Zugriff nötig.

fakeraol' schrieb:
im übrigen klingt es für mich ziemlich absurd, mit dem worst case scenario "ich bin zu blöd gewesen, auf meinen laptop aufzupassen." den vollzugriff auf all meine daten duch eine andere person/firma zu begründen, gegen die ich im ernstfall kaum eine handhabe hätte, sollten sie zb. geschäftsgeheimnisse mittels ihres dienstes stehlen, oder fahrlässig/vorsätzlich meine daten beschädigen. einerseits weil ich hinterher wohl kaum etwas beweisen könnte, andererseits weil die firma weit weg in den usa sitzt und ein prozess sehr schwierig und risikoreich wäre.
Vertrauen musst Du irgendjemandem ... und Microsoft ist auch ein amerikanisches Unternehmen dem Du Deine Daten anvertraust und Du hast gegen MS auch so gut wie keine Regressmöglichkeiten. Die einzige Hoffnung die Du haben kannst, ist, dass sie es nicht wagen ihren Ruf zu riskieren.

Außerdem kann man auch mit noch soviel Sorgfalt keine 100% Sicherheit garantieren und auch Du gibst Dein Notebook eher her als wie dass Du eine Kugel usw. kassierst, für solche Fälle ist das gedacht und dass hat mit Dummheit nicht wirklich was zu tun.

Des weiteren kannst Du bei Notebooks keine annähernd sichere Umgebung, wie es zum Beispiel in einem gesicherten Unternehmensstandort möglich ist, aufbauen und wie schon in einem vorherigen Post erwähnt wäre manch ein Politiker und/oder Geheimdienst, denen schon Notebooks mit brisanten Daten abhanden und dummerweise auch noch in die "falschen" Hände kamen, für eine solche Funktion sicher dankbar gewesen.

VG JNS
 

Cerub

New member
Themenstarter
Registriert
20 Juli 2009
Beiträge
490
Also nur zur Info: Ich lebe momentan mit dem unterbundenen Systemdienst und bisher ist mein Notebook noch nicht ferngezündet geworden. :thumbsup:

Einen http:// Remoteeintrag in der Registry hab ich übrigens auch gefunden, der wurde umgehend gelöscht.

Intel ATP ist bei mir übrigens aus. :)
 

JNS-K

New member
Registriert
17 Sep. 2007
Beiträge
1.164
Cerub' schrieb:
Also nur zur Info: Ich lebe momentan mit dem unterbundenen Systemdienst und bisher ist mein Notebook noch nicht ferngezündet geworden. :thumbsup:
Dann sei froh ... denn leider weiß keiner von uns, welche Sicherheitsfunktionen der Sysadmin aktiviert hat. Somit wäre es auch durchaus möglich, dass sie zum Verkauf alle Sicherheitsfunktionen deaktiviert haben und das Dein Rechner lediglich bei Computrace registriert ist. Ist meine Vermutung. Allerdings wäre es mir persönlich trotzdem zu riskant - ich würde den Rechner zurückgeben, solang Du den Reaktivierungscode nicht hast, wer weiß wie lange es den Händler noch gibt, den Du im Falle eines Falles regresspflichtig machen könntest und wer sagt Dir dass der Status des Gerätes nicht irgendwann mal geändert wird. Genauso kann es aber auch sein das Du den Timelock noch nicht überschritten hast ...

Cerub' schrieb:
Einen http:// Remoteeintrag in der Registry hab ich übrigens auch gefunden, der wurde umgehend gelöscht.
kann aber auch sein, dass das nur ein Honeypot ist ... wenn ich so was basteln würde, würde ich es so machen ...

Cerub' schrieb:
Intel ATP ist bei mir übrigens aus. :)
Du meinst bestimmt Intel AMT und ja das sollte deaktiviert sein, da es andernfalls einen Fernwartungszugang bietet - der sehr mächtig ist und missbraucht werden kann. Intel AMT sollte nur in begründeten Fällen aktiviert und dann auch richtig konfiguriert werden.

VG JNS
 

Cerub

New member
Themenstarter
Registriert
20 Juli 2009
Beiträge
490
Ok ihr habt recht, nicht Intel AMT sondern Intel ATP ist bei mir permanently disabled und inactive. Meinte schon das. ;) (Genauso wie alles in der Richtung was man deaktivieren kann.. inklusive Fingerprint, außer eben diesem blöden Computrace)
 

McPixl

Active member
Registriert
12 Aug. 2006
Beiträge
4.320
JNS-K' schrieb:
Es ist ein gewaltiger Unterschied, ob die Funktion nur im BIOS enthalten ist oder ob diese Funktion nicht nur enthalten, sondern auch aktiviert wurde. Solange es nicht aktiviert wurde, sollte es auch mit Hilfe eines gepatchten BIOS problemlos zu entfernen sein. Wurde es allerdings aktiviert, überwacht der TPM bzw. Intel TXT unter anderem die Integrität des BIOSes und wenn Modifizierungen festgestellt werden, verhindert der TPM bzw. Intel TXT den regulären Boot und das hat mit dem BIOS dann nicht mehr wirklich was zu tun.
also die Drei Rechner von denen ich spreche hatten ein aktiviertes Computrace da sie ehemalige Firmenrechner gewesen sind.


JNS-K' schrieb:
Wie schon oben gesagt, ein aktives Computrace sollte sich nicht so leicht entfernen lassen, allerdings wage ich es nicht zu behaupten dass das unmöglich ist, nur ob jemand privates den Aufwand bezahlen mag, wage ich ernsthaft zu bezweifeln.
So unbezahlbar ist der Aufwand nicht allerdings waren diejenigen die das gemacht haben auch wirklich welche die ziemlich genau wussten was sie da tun und das nötige Equipment hatten.
 

fakeraol

Member
Registriert
4 März 2009
Beiträge
324
D. Nuhr

Offensichtlich haben andere sich wesentlich gründlicher damit beschäftigt, bevor sie sich eine Aussage dazu erlauben.

just my 2 cents
 

Helios

Active member
Registriert
23 Sep. 2009
Beiträge
12.518
*Und wieder mal ein Thread, der kurz vor der Schliessung steht*
 

stiffi

Member
Registriert
16 Dez. 2007
Beiträge
622
Warum sollte man den Thread schließen? Es ist nun einmal Tatsache das es hier im Form einer Hand voll Leuten gelungen ist die voller Kontrolle über ihrer rechtmäßig erworbene Hardware zu erhalten. Was ist daran verwerflich?

Das der Ton etwas rau erscheint sei mal den Schlafmangel der beteiligten Hacker geschuldet. Was diese mit ihrem erlangten Wissen jetzt anfangen ist eine Sache die sie mal bereden müssen.

Auch ich war Zeuge des Hacks.

Stiffi
 

fakeraol

Member
Registriert
4 März 2009
Beiträge
324
@Cerub
der registryeintrag liegt unter
HKLM\SYSTEM\CurrentControlSet\Services\rpcnet\Parameters
entweder direkt, oder im schlüssel "security".

wenn der dienst aus ist, spielt das aber keine rolle.
ausserdem gibt es ein dutzend möglichkeiten, den dienst zu deaktivieren, so dass er aus bleibt.
und ohne laufenden dienst sind alle unkenrufe witzlos.
 
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen
Oben