Как обычный пользователь может легко проверить целостность прошивки своего Mac?

Как обычный пользователь может легко проверить целостность прошивки своего Mac?

Перед тем, как опустить этот вопрос или прочитать мне лекцию о том, что я параноик, и никому не нужно это делать, прочитайте ниже.

В июле 2015 года CVE-2015-3692 показал, что прошивка EFI для Mac может быть взломана удаленным злоумышленником. (Векторы, доступные для этого, находятся в других CVE, но гипотетически могут быть чем угодно, включая такие вещи, как вредоносные фальшивые установщики обновлений Flash.)

Эта уязвимость была обнародована как минимум за четыре недели до того, как Apple исправила ее 30 июля для OS X 10.8, 10.9 и 10.10 с обновлением безопасности прошивки EFI 2015-001 .

Тот же исследователь безопасности, который объявил об этой уязвимости, также утверждает, что видел на конференции демонстрацию взлома прошивки, который нельзя удалить или перезаписать.

Поэтому, если EFI Mac принадлежит, и если злоумышленник сделал это правильно, то единственный способ перепрошить EFI действительной прошивкой Apple - это подключить перепрошиватель непосредственно к чипу EFI на самой плате логики ( не пытайтесь это дома).

Новостные статьи, в которых сообщалось об этой уязвимости, преуменьшали ее значение, говоря, что большинству пользователей не стоит беспокоиться, и все, что вам нужно для того, чтобы защитить себя, - это никогда не переводить ваш Mac в спящий режим и либо отключать пользователя root, либо никогда ничего не аутентифицировать. не доверяй 100% Потоки комментариев к этим статьям резюмируются следующим образом: если все ваши приложения поступают из надежных источников, таких как официальный App Store, и вы никогда не запускаете ничего, не подписанного разработчиком, известным Apple, то вам не о чем беспокоиться.

Но затем, в сентябре 2015 года, мы узнали об эксплойте XCodeGhost , который, как известно, привел к появлению множества зараженных вредоносными программами приложений в официальном магазине приложений iOS, но как быть с приложениями OS X? В связанной статье Malwarebytes писал:

В марте Уордл отметил, что XCode уязвим для такого рода вещей, но, что пугающе, также указал пальцем на многие другие приложения для OS X. Любое из этих приложений может быть уязвимо для подобных атак.

Они также писали: «Обычный пользователь не должен паниковать» - та же мантра, которую я часто вижу, попугая на форумах поддержки Apple и в других местах, когда пользователь публикует ветку о множестве странных проблем, с которыми он сталкивается. «Просто переформатируйте диск и выполните чистую установку системы. Возможно, проблема в модификации системы стороннего производителя», - говорят нам. Если это не помогает, людям говорят, что это должна быть аппаратная проблема, например, сбой жесткого диска, сбой графического процессора или сбой ОЗУ. Я видел потоки, где люди заменяли буквально каждый компонент на своем Mac, и проблема всегда возвращалась.

Теперь мы знаем, что гипотетически возможно, что прошивка EFI пользователей была взломана - поэтому даже если их материнская плата была заменена, когда они переустанавливают свои приложения, прошивка может просто перепрошиться снова вредоносной программой! И если материнская плата не будет заменена, то они будут прыгать, несмотря ни на что.

Это возвращает меня к основному вопросу.

Как обычный пользователь может легко проверить целостность прошивки своего Mac? Т.е. как вы можете убедиться, что прошивка вашего Mac никогда не была скомпрометирована вредоносным ПО? Я не смог найти метод, совместимый с El Capitan, который не требует отключения SIP. Для предыдущих версий ОС существует сложный сторонний инструмент под названием DarwinDumper, который может записывать содержимое ваших EFI в текстовый файл, но вам все равно нужно иметь действительное встроенное ПО Apple для сравнения - это не тот метод, который средний пользователь способен делать.

Говоря людям, чтобы они не беспокоились о том, что они очень хорошо могут стать жертвой, и у них нет возможности проверить, есть ли они, это то, что позволяет этим видам эксплойтов быть выгодными для хакеров, которые зависят от самодовольства и отсутствия бдительности со стороны часть пользователей.

==

РЕДАКТИРОВАТЬ: я нашел последний официальный установщик прошивки Apple на сайте поддержки Apple . Установщик не работает 10.10 или 10.11, как ни странно. Используя Pacifist, я извлек файл .scap для моего Macbook Pro 9,1. Я сравнил бинарный файл в HexFiend с биосдампом, который я извлек, используя DarwinDump после перезагрузки в режиме восстановления и запуска csrutil disableна терминале, чтобы отключить без root и включить возможность запуска неподписанных кекстов. Я восстановил этот заголовок BIOS:

   $IBIOSI$   MBP91.88Z.00D3.B0B.1506081214Copyright (c) 2005-2015 Apple Inc.  All rights reserved.ˇˇˆ´5µ}ñÚC¥î°Îé!¢é_i@Ÿ¯¡Apple ROM Version
   BIOS ID:      MBP91
   Built by:     root@saumon
   Date:         Mon Jun  8 12:14:35 PDT 2015
   Revision:     svn 39254 (B&I)
   Buildcave ID: 6
   ROM Version:  00D3_B0B

Официальный BIOS из шапки Apple:

   $IBIOSI$   MBP91.88Z.00D3.B0B.1506081214Copyright (c) 2005-2015 Apple Inc.  All rights reserved.ˇˇˆ´5µ}ñÚC¥î°Îé!¢é_i@Ÿ¯¡Apple ROM Version
   BIOS ID:      MBP91
   Built by:     root@saumon
   Date:         Mon Jun  8 12:14:35 PDT 2015
   Revision:     svn 39254 (B&I)
   Buildcave ID: 6
   ROM Version:  00D3_B0B

Кроме того, файлы выглядят очень по-разному, но я предполагаю, что файл .scap имеет некоторое сжатие. По крайней мере, это говорит о том, что у меня установлена ​​последняя прошивка, выпущенная после того, как были объявлены хаки. У меня все хорошо. Было бы неплохо иметь возможность подтвердить, что я в порядке с помощью некоторой проверки контрольной суммы, однако! Глядя на тебя, Apple!

Чтобы проверить встроенное ПО системы Intel UEFI, такой как Mactel, загрузите дистрибутив Intel LUV (проверка Linux UEFI), luv-live, запустите Intel CHIPSEC. Он проверит большинство известных уязвимостей прошивки. Вы должны запустить CHIPSEC, когда вы сначала получите свой ящик, сохранить ПЗУ, затем периодически перезапускать CHIPSEC и сравнивать ПЗУ на предмет изменений. Вы можете использовать UEFItool, CHIPSEC или UEFI-Firmware-Parser , или несколько других инструментов для судебной экспертизы ПЗУ.

Для получения дополнительной информации о теме и используемых инструментах см. Мои слайды для презентации, которую я недавно сделал.

Заголовок «как может обычный пользователь» является чем-то вроде опасной зоны, так как я не считаю кого-либо, кто использует среднее значение терминала - не выносить суждения, просто аудитория здесь намного выше среднего, чтобы даже знать, что они должны проверять прошивку , Надеюсь, я не выгляжу слишком претенциозно с этим кратким изложением того, что, по моему мнению, должен делать средний пользователь Mac:

Установщик macOS обновляет прошивку при установке / переустановке ОС, поэтому, просто загрузившись для восстановления и переустановив текущую версию macOS, вы не потеряете никаких программ, настроек, данных и получите возможность убедиться, что ваша прошивка обновлена. Даже если вы установили ОС несколько месяцев назад - если более новая прошивка уже есть, когда установщик проверяет ее во время подготовки к установке, вы получите это обновление как часть упражнения.

Если вы не можете или не хотите просто запустить установку, тогда будет гораздо сложнее сообщить / проверить, действительно ли вы в курсе. Я полагаю, это зависит от того, почему вы думаете, что вы не получили обновления как часть обычного процесса обновления / обновления. Поскольку нет общей проверки всех встроенных программ, я бы сказал, что средний пользователь не может проверить встроенное ПО, и даже исключительные пользователи испытывают трудности с выполнением требуемого уровня анализа. Среднестатистические пользователи борются с разницей между аутентификацией и авторизацией . Опытные пользователи считают утомительным проверять контрольные суммы и криптографические цепочки доверия и человеческой натуры, если мы не выполняем эти действия хорошо, даже в хорошо спроектированных, хорошо мотивированных, хорошо поддерживаемых средах.

Я бы открывал заявку в службу поддержки Apple для каждого случая, когда я хотел проверить прошивку и принять участие в официальном списке рассылки Apple Security Notification, чтобы вы были в курсе событий, когда все меняется.

Извините, если это не тот ответ, который вы хотели, но я также чувствовал, что это была моя маленькая запись в ответе всем, кто видит ваш вопрос и интересуется, как начать обучение. Поскольку все больше пользователей обращаются в Apple за поддержкой, в конечном итоге будут написаны статьи базы знаний. В какой-то переломный момент будет добавлено финансирование, и проблема будет разработана таким образом, чтобы соответствовать уровням обучения пользователей. Мы только в первые дни, откуда я вижу вещи.

Так же, как обновление, macOS 10.13 High Sierra будет автоматически проверять целостность прошивки Mac один раз в неделю. Если проблема с прошивкой обнаружена, ваш Mac предложит отправить отчет в Apple. В сообщении The Eclectic Light Company говорится об отчетах;

Если вы работаете на настоящем Mac, а не на «Hackintosh», Kovah просит вас согласиться отправить отчет. Это позволит eficheck отправлять двоичные данные из прошивки EFI, сохраняя вашу конфиденциальность, исключая данные, хранящиеся в NVRAM. Затем Apple сможет проанализировать данные, чтобы определить, были ли они изменены вредоносным ПО или чем-то еще.

AppleInsider также говорит об этом;

Отчет, отправленный в Apple, исключает данные, хранящиеся в NVRAM. Затем Apple изучит переданные данные, чтобы оценить, была ли атака вредоносной программы.

Проверьте здесь, чтобы узнать больше об этой новой функции: macOS High Sierra автоматически выполняет проверку безопасности на прошивке EFI каждую неделю

Просто обновление на этот вопрос, поскольку новая программа доступна ..

Это называется eficheck. Он находится в каталоге / usr / libexec / firmwarecheckers / eficheck, вероятно, не в вашем пути, поэтому он немного сложнее, чем некоторые другие, но для этого есть страница руководства, в которой документируется его использование.

Важно учитывать, что что-либо достаточно сложное, чтобы проникнуть в ваш EFI, вероятно, сможет в некоторой степени избежать обнаружения. Именно по этой причине антивирусные проверки бесполезны, хотя люди, которые извергают «антивирусные проверки - мусор», не имеют ни малейшего представления о том, почему и повторяют вывод, который сделал кто-то умнее, чем те, что антивирусные компании, как правило, не знают, имеют ли они возможность правильно проанализировать вредоносные программы для Mac, чтобы они не добавляли уникальное значение хэша файла в свою базу данных, чтобы ваш компьютер мог вычислять хеши своих файлов, а не хеш-коды базы данных известных хэшей вредоносного ПО. Почти все проверки на вирусы больше ничего не делают и не ищут вредоносного поведения.

В конце концов, хотя EFI от Apple - это UEFI от Intel, вы доверяете Apple делать что-то правильно, действительно сложное и техническое. Apple даже не может понять свою собственную PKI, и вы когда-нибудь видели руководство разработчика для процессора Intel? Это тысячи страниц древнегреческого. Я имею в виду, давай ты не думал, что Apple была красивой и умной, не так ли?

Список рассылки по безопасности - это простое уведомление о выходе обновлений и ничего более. Вы будете в курсе новых исправлений для давно идентифицированных и легко эксплуатируемых проблем с CVE-идентификаторами, затрагивающих последние и более старые ОС, а также те, которые используются. Нет ничего, что могло бы предотвратить будущие эксплойты в обновлениях ... по крайней мере, о которых они будут упоминать из-за своей политики не говорить о таких вещах. Единственные затронутые элементы безопасности будут заключаться в том, что в обновлении исправлена ​​очень специфическая проблема.

Если бы они идентифицировали «атаку вредоносного ПО» (она не продолжалась после?), Это нарушило бы их собственную политику, если бы они подтвердили ее и сообщили о ней пользователю, а также приняли бы плохое деловое решение, поскольку многие из их клиенты до сих пор не верят в вредоносные программы. Обратите внимание, что в нем ничего не говорится о том, как связаться с пользователем или решить проблему. Теперь можно увидеть заголовки новостей. Вся плохая пресса в последнее время наносит вред своему эго и, похоже, приближается к переломному моменту.