Como o usuário médio pode validar facilmente a integridade do firmware do seu Mac?
Antes de você rebaixar esta questão ou me dar uma palestra sobre como eu sou paranóico e ninguém deve precisar fazer isso, leia abaixo.
Em julho de 2015, o CVE-2015-3692 revelou que o firmware EFI de um Mac poderia ser invadido por um invasor remoto. (Os vetores disponíveis para isso estão em outros CVEs, mas hipoteticamente podem ser qualquer coisa, incluindo itens como instaladores de atualizações falsas de Flash maliciosos.)
Essa vulnerabilidade foi tornada pública pelo menos quatro semanas antes de a Apple corrigi-la em 30 de julho para OS X 10.8, 10.9 e 10.10 com a Atualização de segurança do firmware EFI 2015-001 .
O mesmo pesquisador de segurança que anunciou essa vulnerabilidade também afirma ter visto uma demonstração em uma conferência de uma invasão de firmware que não pode ser removida ou substituída.
Portanto, uma vez que a EFI de um Mac tenha sido propriedade, se o invasor fez isso corretamente, a única maneira de atualizar a EFI com firmware válido da Apple seria conectar um reflasher diretamente ao chip EFI na própria placa lógica ( não tente isso em casa).
Os artigos de notícias que relataram essa vulnerabilidade subestimaram, dizendo que a maioria dos usuários não deve se preocupar e tudo o que você precisa fazer para se proteger nunca é deixar o Mac entrar no modo de suspensão e desativar o usuário root ou nunca autenticar qualquer coisa que você não confie 100%. Os tópicos de comentários desses artigos resumiram assim: se todos os seus aplicativos vêm de fontes confiáveis, como a App Store oficial, e você nunca executa nada que não seja assinado por código por desenvolvedor conhecido pela Apple, não deve se preocupar com nada.
Mas, em setembro de 2015, aprendemos sobre a exploração do XCodeGhost , que é conhecida por ter resultado em vários aplicativos infectados por malware aparecendo na iOS App Store oficial - mas e os aplicativos OS X? No artigo vinculado, Malwarebytes escreveu:
Wardle apontou em março que o Xcode era vulnerável a esse tipo de coisa, mas assustadoramente, também apontou o dedo para muitos outros aplicativos do OS X. Qualquer um desses aplicativos pode estar vulnerável a ataques semelhantes.
Eles também escreveram: "o usuário comum não deve entrar em pânico" - o mesmo mantra que eu sempre vejo papagaio nos fóruns de suporte da Apple e em qualquer outro lugar sempre que um usuário publica um tópico sobre vários problemas estranhos que está tendo. "Apenas reformate sua unidade e execute uma instalação limpa do sistema. O problema provavelmente é uma modificação do sistema de terceiros", nos disseram. Quando isso não corrige, as pessoas dizem que deve haver um problema de hardware, como um disco rígido com falha, GPU com falha ou RAM ruim. Já vi tópicos em que as pessoas substituíam literalmente todos os componentes do Mac, e o problema sempre voltava.
Agora sabemos que é hipoteticamente possível que o firmware EFI dos usuários seja invadido - portanto, mesmo que a placa-mãe tenha sido substituída, quando eles reinstalariam seus aplicativos, o firmware poderia sofrer uma nova atualização pelo malware! E se a placa-mãe não fosse substituída, elas seriam mangueiras, não importa o quê.
Isso me traz de volta à questão principal.
Como o usuário médio pode validar facilmente a integridade do firmware do seu Mac? Ou seja, como você pode verificar se o firmware do seu Mac nunca foi comprometido por malware? Não foi possível encontrar nenhum método compatível com o El Capitan que não exija a desativação do SIP. Para versões anteriores do sistema operacional, existe uma ferramenta de terceiros complicada chamada DarwinDumper que pode despejar o conteúdo das suas EFIs em um arquivo de texto, mas você ainda precisa ter o firmware válido da Apple para compará-lo - esse não é um método que o usuário comum é capaz de fazer.
Dizer às pessoas para não se preocuparem com algo de que muito bem poderiam ser vítimas e não têm como verificar se são é o que permite que esse tipo de exploração seja lucrativo para hackers, que dependem da complacência e da falta de vigilância no parte dos usuários.
==
EDIT: Encontrei o instalador de firmware oficial da Apple mais recente no site de suporte da Apple . O instalador não é executado em 10.10 ou 10.11, estranhamente. Usando o Pacifist, extraí o arquivo .scap para o meu Macbook Pro 9,1. Comparei o binário no HexFiend com o biosdump que eu usei usando o DarwinDump após reiniciar no Modo de Recuperação e rodar csrutil disableno terminal para desativar o rootless e habilitar a capacidade de executar kexts não assinados. Eu recuperei este cabeçalho do BIOS:
$IBIOSI$ MBP91.88Z.00D3.B0B.1506081214Copyright (c) 2005-2015 Apple Inc. All rights reserved.ˇˇˆ´5µ}ñÚC¥î°Îé!¢é_i@Ÿ¯¡Apple ROM Version
BIOS ID: MBP91
Built by: root@saumon
Date: Mon Jun 8 12:14:35 PDT 2015
Revision: svn 39254 (B&I)
Buildcave ID: 6
ROM Version: 00D3_B0B
O BIOS oficial do cabeçalho da Apple:
$IBIOSI$ MBP91.88Z.00D3.B0B.1506081214Copyright (c) 2005-2015 Apple Inc. All rights reserved.ˇˇˆ´5µ}ñÚC¥î°Îé!¢é_i@Ÿ¯¡Apple ROM Version
BIOS ID: MBP91
Built by: root@saumon
Date: Mon Jun 8 12:14:35 PDT 2015
Revision: svn 39254 (B&I)
Buildcave ID: 6
ROM Version: 00D3_B0B
Fora isso, os arquivos têm uma aparência muito diferente, mas acho que o arquivo .scap tem algum tipo de compactação. Pelo menos isso me diz que eu tinha o firmware mais recente instalado, o que foi lançado depois que os hacks foram anunciados. Eu sou muito bom. Seria bom poder confirmar que sou bom através de algum tipo de verificação de soma de verificação! Olhando para você, Apple!
Respostas:
Para verificar o firmware de um sistema Intel UEFI, como um Mactel, inicialize a distribuição Intel LUV (Validação UEFI Linux), luv-live, execute o Intel CHIPSEC. Ele verificará a maioria das vulnerabilidades de firmware conhecidas publicamente. Você deve executar o CHIPSEC ao obter sua caixa, salvar a ROM e, em seguida, executar novamente o CHIPSEC e comparar as ROMs para alterações. Você pode usar o UEFItool, CHIPSEC ou UEFI-Firmware-Parser , ou várias outras ferramentas para um exame forense da ROM.
Para mais informações sobre o tópico e as ferramentas envolvidas, veja meus slides da apresentação que fiz recentemente.
fonte
O título de “como pode um usuário médio” é um pouco de zona de perigo, já que não considero alguém que use a média do Terminal - não julgue, apenas que o público aqui está muito acima da média para saber que deve validar o firmware . Espero que não pareça pretensioso com este breve resumo do que acho que o usuário comum de mac deve fazer:
O instalador do macOS atualiza o firmware quando você instala / reinstala o sistema operacional; portanto, basta inicializar para recuperar e reinstalar a versão atual do macOS, você não perderá programas, configurações, dados e terá a chance de garantir que seu firmware esteja atualizado. Mesmo se você instalou o sistema operacional há vários meses - se houver um firmware mais recente quando o instalador verificar enquanto se prepara para instalar, você receberá essa atualização como parte do exercício.
Se você não puder ou estiver disposto a executar uma instalação, fica muito mais complicado relatar / validar que você está realmente atualizado. Suponho que depende de por que você acha que não recebeu as atualizações como parte do processo normal de atualização / atualização. Como não há verificação geral de todo o firmware, eu diria que o usuário médio não pode validar o firmware e até mesmo usuários excepcionais estão tendo dificuldade em executar o nível de análise necessário. Os usuários médios lutam com a diferença entre autenticação e autorização . Usuários experientes acham tedioso verificar somas de verificação e cadeias criptográficas de confiança e natureza humana: não realizamos bem essas atividades, mesmo em ambientes bem projetados, motivados e bem suportados.
Eu abriria um tíquete de suporte com a Apple para cada instância em que desejasse verificar o firmware e participar da lista de discussão oficial das Notificações de segurança da Apple, para que você fique informado quando as coisas mudarem.
Sinto muito se essa não é a resposta que você queria, mas também senti que essa era minha pequena entrada em uma resposta para todos que veem sua pergunta e se perguntam como começar a aprender. À medida que mais usuários solicitam suporte à Apple, eventualmente serão escritos artigos da base de conhecimento. Em algum momento crítico, o financiamento seria adicionado e o problema seria projetado para corresponder aos níveis de educação do usuário. Estamos apenas nos primeiros dias de onde eu vejo as coisas.
fonte
Assim como uma atualização, o macOS 10.13 High Sierra verificará automaticamente a integridade do firmware de um Mac uma vez por semana. Se for encontrado um problema com o firmware, o seu Mac oferecerá o envio de um relatório para a Apple. Um post da The Eclectic Light Company diz isso sobre os relatórios;
AppleInsider também diz isso;
Verifique aqui para saber mais sobre esse novo recurso: o macOS High Sierra executa automaticamente a verificação de segurança no firmware EFI todas as semanas
fonte
Apenas uma atualização para esta pergunta, já que um novo programa está disponível.
É chamado eficheck. Ele está no diretório / usr / libexec / firmwarecheckers / eficheck , ou seja, provavelmente não está no seu caminho, portanto é um pouco mais complexo que outros, mas há uma página de manual que documenta seu uso.
É importante considerar que qualquer coisa modestamente sofisticada o suficiente para entrar na sua EFI provavelmente será capaz de evitar a detecção em algum grau. Essa é a razão pela qual as verificações de antivírus são inúteis, embora as pessoas que regurgitam "verificações de antivírus sejam lixo" não tenham idéia do porquê e estão repetindo a conclusão de que alguém mais esperto do que eles tirou, ou seja, que as empresas de antivírus tendem a não saber ter a capacidade para analisar adequadamente o malware específico do Mac, para que eles não adicionem o valor de hash exclusivo de um arquivo ao banco de dados, para que o computador possa calcular os hashs de seus próprios arquivos e os de um banco de dados de hashs de malware conhecidos. Quase todas as varreduras de vírus não fazem mais nada e não procuram comportamento malicioso.
No final das contas, embora a EFI da Apple seja a UEFI da Intel, você confia que a Apple fará algo corretamente que seja realmente complexo e técnico. A Apple não consegue nem descobrir sua própria PKI e você já viu o manual do desenvolvedor de um processador Intel? São milhares de páginas do grego antigo. Quero dizer, vamos lá, você não achou a Apple bonita e inteligente, não é?
A lista de discussão de segurança é uma notificação simples quando as atualizações são lançadas e nada mais. Você gostaria que novos patches solucionassem problemas identificados por CVE por muito tempo identificados e facilmente exploráveis, afetando o sistema operacional mais recente e os mais antigos, também conhecidos como aqueles em uso. Não há nada que impeça futuras explorações nas atualizações ... pelo menos que elas serão mencionadas devido à sua política de não falar dessas coisas. Os únicos itens de segurança abordados serão dizer que um problema muito específico foi corrigido pela atualização.
Se eles identificassem um "ataque de malware" (não permaneceu por aí depois?), Violaria sua própria política se o confirmasse e relatasse ao usuário, além de ser uma péssima decisão comercial, já que muitos seus clientes ainda não acreditam em malware. Observe que não diz nada sobre como entrar em contato com o usuário ou corrigir o problema. Poderia ver as manchetes agora. Toda a má imprensa ultimamente tem realmente machucado seu ego e parece que está se aproximando de um ponto de inflexão.
fonte