Como o usuário médio pode validar facilmente a integridade do firmware do seu Mac?

9

Como o usuário médio pode validar facilmente a integridade do firmware do seu Mac?

Antes de você rebaixar esta questão ou me dar uma palestra sobre como eu sou paranóico e ninguém deve precisar fazer isso, leia abaixo.

Em julho de 2015, o CVE-2015-3692 revelou que o firmware EFI de um Mac poderia ser invadido por um invasor remoto. (Os vetores disponíveis para isso estão em outros CVEs, mas hipoteticamente podem ser qualquer coisa, incluindo itens como instaladores de atualizações falsas de Flash maliciosos.)

Essa vulnerabilidade foi tornada pública pelo menos quatro semanas antes de a Apple corrigi-la em 30 de julho para OS X 10.8, 10.9 e 10.10 com a Atualização de segurança do firmware EFI 2015-001 .

O mesmo pesquisador de segurança que anunciou essa vulnerabilidade também afirma ter visto uma demonstração em uma conferência de uma invasão de firmware que não pode ser removida ou substituída.

Portanto, uma vez que a EFI de um Mac tenha sido propriedade, se o invasor fez isso corretamente, a única maneira de atualizar a EFI com firmware válido da Apple seria conectar um reflasher diretamente ao chip EFI na própria placa lógica ( não tente isso em casa).

Os artigos de notícias que relataram essa vulnerabilidade subestimaram, dizendo que a maioria dos usuários não deve se preocupar e tudo o que você precisa fazer para se proteger nunca é deixar o Mac entrar no modo de suspensão e desativar o usuário root ou nunca autenticar qualquer coisa que você não confie 100%. Os tópicos de comentários desses artigos resumiram assim: se todos os seus aplicativos vêm de fontes confiáveis, como a App Store oficial, e você nunca executa nada que não seja assinado por código por desenvolvedor conhecido pela Apple, não deve se preocupar com nada.

Mas, em setembro de 2015, aprendemos sobre a exploração do XCodeGhost , que é conhecida por ter resultado em vários aplicativos infectados por malware aparecendo na iOS App Store oficial - mas e os aplicativos OS X? No artigo vinculado, Malwarebytes escreveu:

Wardle apontou em março que o Xcode era vulnerável a esse tipo de coisa, mas assustadoramente, também apontou o dedo para muitos outros aplicativos do OS X. Qualquer um desses aplicativos pode estar vulnerável a ataques semelhantes.

Eles também escreveram: "o usuário comum não deve entrar em pânico" - o mesmo mantra que eu sempre vejo papagaio nos fóruns de suporte da Apple e em qualquer outro lugar sempre que um usuário publica um tópico sobre vários problemas estranhos que está tendo. "Apenas reformate sua unidade e execute uma instalação limpa do sistema. O problema provavelmente é uma modificação do sistema de terceiros", nos disseram. Quando isso não corrige, as pessoas dizem que deve haver um problema de hardware, como um disco rígido com falha, GPU com falha ou RAM ruim. Já vi tópicos em que as pessoas substituíam literalmente todos os componentes do Mac, e o problema sempre voltava.

Agora sabemos que é hipoteticamente possível que o firmware EFI dos usuários seja invadido - portanto, mesmo que a placa-mãe tenha sido substituída, quando eles reinstalariam seus aplicativos, o firmware poderia sofrer uma nova atualização pelo malware! E se a placa-mãe não fosse substituída, elas seriam mangueiras, não importa o quê.

Isso me traz de volta à questão principal.

Como o usuário médio pode validar facilmente a integridade do firmware do seu Mac? Ou seja, como você pode verificar se o firmware do seu Mac nunca foi comprometido por malware? Não foi possível encontrar nenhum método compatível com o El Capitan que não exija a desativação do SIP. Para versões anteriores do sistema operacional, existe uma ferramenta de terceiros complicada chamada DarwinDumper que pode despejar o conteúdo das suas EFIs em um arquivo de texto, mas você ainda precisa ter o firmware válido da Apple para compará-lo - esse não é um método que o usuário comum é capaz de fazer.

Dizer às pessoas para não se preocuparem com algo de que muito bem poderiam ser vítimas e não têm como verificar se são é o que permite que esse tipo de exploração seja lucrativo para hackers, que dependem da complacência e da falta de vigilância no parte dos usuários.

==

EDIT: Encontrei o instalador de firmware oficial da Apple mais recente no site de suporte da Apple . O instalador não é executado em 10.10 ou 10.11, estranhamente. Usando o Pacifist, extraí o arquivo .scap para o meu Macbook Pro 9,1. Comparei o binário no HexFiend com o biosdump que eu usei usando o DarwinDump após reiniciar no Modo de Recuperação e rodar csrutil disableno terminal para desativar o rootless e habilitar a capacidade de executar kexts não assinados. Eu recuperei este cabeçalho do BIOS:

   $IBIOSI$   MBP91.88Z.00D3.B0B.1506081214Copyright (c) 2005-2015 Apple Inc.  All rights reserved.ˇˇˆ´5µ}ñÚC¥î°Îé!¢é_i@Ÿ¯¡Apple ROM Version
   BIOS ID:      MBP91
   Built by:     root@saumon
   Date:         Mon Jun  8 12:14:35 PDT 2015
   Revision:     svn 39254 (B&I)
   Buildcave ID: 6
   ROM Version:  00D3_B0B

O BIOS oficial do cabeçalho da Apple:

   $IBIOSI$   MBP91.88Z.00D3.B0B.1506081214Copyright (c) 2005-2015 Apple Inc.  All rights reserved.ˇˇˆ´5µ}ñÚC¥î°Îé!¢é_i@Ÿ¯¡Apple ROM Version
   BIOS ID:      MBP91
   Built by:     root@saumon
   Date:         Mon Jun  8 12:14:35 PDT 2015
   Revision:     svn 39254 (B&I)
   Buildcave ID: 6
   ROM Version:  00D3_B0B

Fora isso, os arquivos têm uma aparência muito diferente, mas acho que o arquivo .scap tem algum tipo de compactação. Pelo menos isso me diz que eu tinha o firmware mais recente instalado, o que foi lançado depois que os hacks foram anunciados. Eu sou muito bom. Seria bom poder confirmar que sou bom através de algum tipo de verificação de soma de verificação! Olhando para você, Apple!

CommaToast
fonte
2
Esta é uma pergunta (bastante pesquisada) ou uma solicitação de recurso? Se for uma pergunta, você pode simplificá-la um pouco para colocar mais foco no que está procurando ("como um usuário final pode verificar a integridade do firmware")?
nohillside
Questão. A parte que estou procurando está em negrito e é repetida duas vezes e é o título. Eu confio nos leitores para instalar mais memória RAM em seus cérebros ou tomar ritalina se os detalhes de suporte forem um "problema".
CommaToast
2
No entanto, você pode melhorar as coisas, transformando sua edição (no final da sua pergunta) em uma primeira resposta (com provavelmente mais alguns detalhes sobre como o usuário casual pode executar as etapas necessárias). Além disso, se você quer Apple para ouvir (e eu acho que eles deveriam) um pedido de recurso é a melhor maneira ainda :-)
nohillside
Eu não quero Apple para "ouvir" ... Eu quero que eles sejam um tipo diferente de empresa do que o que eles são, e isso nunca vai acontecer, a menos que me contratar como "seguradora grandiosidade"
CommaToast

Respostas:

2

Para verificar o firmware de um sistema Intel UEFI, como um Mactel, inicialize a distribuição Intel LUV (Validação UEFI Linux), luv-live, execute o Intel CHIPSEC. Ele verificará a maioria das vulnerabilidades de firmware conhecidas publicamente. Você deve executar o CHIPSEC ao obter sua caixa, salvar a ROM e, em seguida, executar novamente o CHIPSEC e comparar as ROMs para alterações. Você pode usar o UEFItool, CHIPSEC ou UEFI-Firmware-Parser , ou várias outras ferramentas para um exame forense da ROM.

Para mais informações sobre o tópico e as ferramentas envolvidas, veja meus slides da apresentação que fiz recentemente.

Lee Fisher
fonte
Além disso, existe um projeto chamado Firmware Vault que coleta Apple ROMs, que também pode ser útil para estudar.
Lee Fisher
2

O título de “como pode um usuário médio” é um pouco de zona de perigo, já que não considero alguém que use a média do Terminal - não julgue, apenas que o público aqui está muito acima da média para saber que deve validar o firmware . Espero que não pareça pretensioso com este breve resumo do que acho que o usuário comum de mac deve fazer:

O instalador do macOS atualiza o firmware quando você instala / reinstala o sistema operacional; portanto, basta inicializar para recuperar e reinstalar a versão atual do macOS, você não perderá programas, configurações, dados e terá a chance de garantir que seu firmware esteja atualizado. Mesmo se você instalou o sistema operacional há vários meses - se houver um firmware mais recente quando o instalador verificar enquanto se prepara para instalar, você receberá essa atualização como parte do exercício.


Se você não puder ou estiver disposto a executar uma instalação, fica muito mais complicado relatar / validar que você está realmente atualizado. Suponho que depende de por que você acha que não recebeu as atualizações como parte do processo normal de atualização / atualização. Como não há verificação geral de todo o firmware, eu diria que o usuário médio não pode validar o firmware e até mesmo usuários excepcionais estão tendo dificuldade em executar o nível de análise necessário. Os usuários médios lutam com a diferença entre autenticação e autorização . Usuários experientes acham tedioso verificar somas de verificação e cadeias criptográficas de confiança e natureza humana: não realizamos bem essas atividades, mesmo em ambientes bem projetados, motivados e bem suportados.

Eu abriria um tíquete de suporte com a Apple para cada instância em que desejasse verificar o firmware e participar da lista de discussão oficial das Notificações de segurança da Apple, para que você fique informado quando as coisas mudarem.

Sinto muito se essa não é a resposta que você queria, mas também senti que essa era minha pequena entrada em uma resposta para todos que veem sua pergunta e se perguntam como começar a aprender. À medida que mais usuários solicitam suporte à Apple, eventualmente serão escritos artigos da base de conhecimento. Em algum momento crítico, o financiamento seria adicionado e o problema seria projetado para corresponder aos níveis de educação do usuário. Estamos apenas nos primeiros dias de onde eu vejo as coisas.

bmike
fonte
0

Assim como uma atualização, o macOS 10.13 High Sierra verificará automaticamente a integridade do firmware de um Mac uma vez por semana. Se for encontrado um problema com o firmware, o seu Mac oferecerá o envio de um relatório para a Apple. Um post da The Eclectic Light Company diz isso sobre os relatórios;

Se você estiver executando um Mac real, em vez de um 'Hackintosh', Kovah pede que você concorde em enviar o relatório. Isso permitirá que o eficheck envie os dados binários do firmware EFI, preservando sua privacidade excluindo os dados armazenados na NVRAM. A Apple poderá analisar os dados para determinar se foram alterados por malware ou qualquer outra coisa.

AppleInsider também diz isso;

O relatório enviado à Apple exclui os dados armazenados na NVRAM. A Apple examinará os dados transmitidos para avaliar se houve um ataque de malware

Verifique aqui para saber mais sobre esse novo recurso: o macOS High Sierra executa automaticamente a verificação de segurança no firmware EFI todas as semanas

Jake3231
fonte
0

Apenas uma atualização para esta pergunta, já que um novo programa está disponível.

É chamado eficheck. Ele está no diretório / usr / libexec / firmwarecheckers / eficheck , ou seja, provavelmente não está no seu caminho, portanto é um pouco mais complexo que outros, mas há uma página de manual que documenta seu uso.

É importante considerar que qualquer coisa modestamente sofisticada o suficiente para entrar na sua EFI provavelmente será capaz de evitar a detecção em algum grau. Essa é a razão pela qual as verificações de antivírus são inúteis, embora as pessoas que regurgitam "verificações de antivírus sejam lixo" não tenham idéia do porquê e estão repetindo a conclusão de que alguém mais esperto do que eles tirou, ou seja, que as empresas de antivírus tendem a não saber ter a capacidade para analisar adequadamente o malware específico do Mac, para que eles não adicionem o valor de hash exclusivo de um arquivo ao banco de dados, para que o computador possa calcular os hashs de seus próprios arquivos e os de um banco de dados de hashs de malware conhecidos. Quase todas as varreduras de vírus não fazem mais nada e não procuram comportamento malicioso.

No final das contas, embora a EFI da Apple seja a UEFI da Intel, você confia que a Apple fará algo corretamente que seja realmente complexo e técnico. A Apple não consegue nem descobrir sua própria PKI e você já viu o manual do desenvolvedor de um processador Intel? São milhares de páginas do grego antigo. Quero dizer, vamos lá, você não achou a Apple bonita e inteligente, não é?

A lista de discussão de segurança é uma notificação simples quando as atualizações são lançadas e nada mais. Você gostaria que novos patches solucionassem problemas identificados por CVE por muito tempo identificados e facilmente exploráveis, afetando o sistema operacional mais recente e os mais antigos, também conhecidos como aqueles em uso. Não há nada que impeça futuras explorações nas atualizações ... pelo menos que elas serão mencionadas devido à sua política de não falar dessas coisas. Os únicos itens de segurança abordados serão dizer que um problema muito específico foi corrigido pela atualização.

Se eles identificassem um "ataque de malware" (não permaneceu por aí depois?), Violaria sua própria política se o confirmasse e relatasse ao usuário, além de ser uma péssima decisão comercial, já que muitos seus clientes ainda não acreditam em malware. Observe que não diz nada sobre como entrar em contato com o usuário ou corrigir o problema. Poderia ver as manchetes agora. Toda a má imprensa ultimamente tem realmente machucado seu ego e parece que está se aproximando de um ponto de inflexão.

David Smith
fonte