Làm thế nào người dùng trung bình có thể dễ dàng xác nhận tính toàn vẹn của chương trình cơ sở Mac của họ?

Làm thế nào người dùng trung bình có thể dễ dàng xác nhận tính toàn vẹn của chương trình cơ sở Mac của họ?

Trước khi bạn hạ thấp câu hỏi này hoặc giảng cho tôi về cách tôi bị hoang tưởng và không ai cần phải làm điều đó, xin vui lòng đọc dưới đây.

Vào tháng 7 năm 2015, CVE-2015-3692 tiết lộ rằng phần sụn EFI của Mac có thể bị tấn công bởi kẻ tấn công từ xa. (Các vectơ có sẵn cho điều này là trong các CVE khác, nhưng theo giả thuyết có thể là bất cứ thứ gì, kể cả những thứ như trình cài đặt cập nhật Flash giả mạo độc hại.)

Lỗ hổng này đã được công khai ít nhất bốn tuần trước khi Apple vá nó vào ngày 30 tháng 7 cho OS X 10.8, 10.9 và 10.10 với Bản cập nhật bảo mật phần mềm EFI 2015-001 .

Nhà nghiên cứu bảo mật tương tự đã tuyên bố lỗ hổng này cũng tuyên bố đã chứng kiến ​​một cuộc biểu tình tại một hội nghị về hack phần mềm không thể xóa hoặc ghi đè.

Vì vậy, một khi EFI của Mac đã được sở hữu, nếu kẻ tấn công đã làm điều đó đúng, thì cách duy nhất để reflash EFI với firmware của Apple có giá trị sẽ được để dây lên một reflasher trực tiếp đến chip EFI trên bảng logic riêng của mình (đừng không thử cái này ở nhà).

Các bài báo đã báo cáo lỗ hổng này đã hạ thấp nó, nói rằng hầu hết người dùng không nên lo lắng và tất cả những gì bạn cần làm để bảo vệ chính mình là không bao giờ để máy Mac của bạn chuyển sang chế độ ngủ và vô hiệu hóa người dùng root hoặc không bao giờ xác thực bất cứ điều gì bạn không tin tưởng 100%. Các luồng nhận xét về các bài viết đó đã tóm tắt như thế này: nếu tất cả các ứng dụng của bạn đến từ các nguồn đáng tin cậy như App Store chính thức và bạn không bao giờ chạy bất cứ thứ gì không được ký bởi nhà phát triển được biết bởi Apple, thì bạn không có gì phải lo lắng.

Nhưng sau đó vào tháng 9 năm 2015, chúng tôi đã biết về khai thác XCodeGhost , được biết là đã dẫn đến nhiều ứng dụng bị nhiễm phần mềm độc hại hiển thị trên App Store chính thức của iOS, nhưng còn ứng dụng OS X thì sao? Trong bài viết được liên kết, Malwarebytes đã viết:

Wardle đã chỉ ra hồi tháng 3 rằng Xcode dễ bị tổn thương với loại điều này, nhưng đáng sợ, cũng đã chỉ tay vào nhiều ứng dụng OS X khác. Bất kỳ ứng dụng nào trong số đó có thể dễ bị tấn công tương tự.

Họ cũng viết, "người dùng trung bình không nên hoảng sợ" cùng một câu thần chú mà tôi thường thấy được ghi lại trên các diễn đàn hỗ trợ của Apple và bất cứ nơi nào bất cứ khi nào người dùng đăng một chủ đề về hàng tấn vấn đề kỳ lạ mà họ đang gặp phải. "Chỉ cần định dạng lại ổ đĩa của bạn và thực hiện cài đặt sạch hệ thống. Vấn đề có thể là sửa đổi hệ thống của bên thứ ba", chúng tôi được thông báo. Khi điều đó không khắc phục được, mọi người được cho biết đó phải là một vấn đề về phần cứng, như lỗi ổ cứng, lỗi GPU hoặc RAM xấu. Tôi đã thấy các luồng trong đó mọi người thay thế mọi thành phần trong máy Mac của họ và vấn đề sẽ luôn quay trở lại.

Bây giờ chúng tôi biết rằng có thể giả thuyết rằng phần sụn EFI của người dùng đã bị hack vì vậy ngay cả khi bo mạch chủ của họ bị thay thế, khi họ cài đặt lại ứng dụng, phần sụn có thể bị phần mềm độc hại phản xạ lại! Và nếu bo mạch chủ không được thay thế, thì chúng sẽ bị ho bất cứ điều gì.

Điều đó đưa tôi trở lại câu hỏi chính.

Làm thế nào người dùng trung bình có thể dễ dàng xác nhận tính toàn vẹn của chương trình cơ sở Mac của họ? Tức là làm thế nào bạn có thể kiểm tra để đảm bảo phần sụn của Mac chưa bao giờ bị phần mềm độc hại xâm nhập? Tôi không thể tìm thấy bất kỳ phương pháp nào tương thích với El Capitan không yêu cầu tắt SIP. Đối với các phiên bản HĐH trước, có một công cụ của bên thứ ba phức tạp có tên DarwinDumper có thể kết xuất nội dung EFI của bạn vào tệp văn bản, nhưng bạn vẫn cần có phần sụn Apple hợp lệ để so sánh với nó, đây không phải là phương pháp mà người dùng trung bình có khả năng làm.

Nói mọi người đừng lo lắng về điều gì đó mà họ rất có thể là nạn nhân và không có cách nào để kiểm tra xem họ có phải là điều cho phép các loại khai thác này mang lại lợi nhuận cho tin tặc, những người phụ thuộc vào sự tự mãn và thiếu cảnh giác một phần của người dùng.

==

EDIT: Tôi đã tìm thấy trình cài đặt firmware chính thức mới nhất của Apple trên trang web hỗ trợ của Apple . Trình cài đặt không chạy vào ngày 10.10 hoặc 10.11. Sử dụng Pacifist tôi đã trích xuất tệp .scap cho Macbook Pro 9,1 của mình. Tôi đã so sánh nhị phân trong HexFiend với biosdump mà tôi đã sử dụng DarwinDump sau khi khởi động lại vào Chế độ khôi phục và chạy csrutil disabletrên thiết bị đầu cuối để vô hiệu hóa rootless và cho phép khả năng chạy các kexts không dấu. Tôi đã phục hồi tiêu đề BIOS này:

   $IBIOSI$   MBP91.88Z.00D3.B0B.1506081214Copyright (c) 2005-2015 Apple Inc.  All rights reserved.ˇˇˆ´5µ}ñÚC¥î°Îé!¢é_i@Ÿ¯¡Apple ROM Version
   BIOS ID:      MBP91
   Built by:     root@saumon
   Date:         Mon Jun  8 12:14:35 PDT 2015
   Revision:     svn 39254 (B&I)
   Buildcave ID: 6
   ROM Version:  00D3_B0B

BIOS chính thức từ tiêu đề của Apple:

   $IBIOSI$   MBP91.88Z.00D3.B0B.1506081214Copyright (c) 2005-2015 Apple Inc.  All rights reserved.ˇˇˆ´5µ}ñÚC¥î°Îé!¢é_i@Ÿ¯¡Apple ROM Version
   BIOS ID:      MBP91
   Built by:     root@saumon
   Date:         Mon Jun  8 12:14:35 PDT 2015
   Revision:     svn 39254 (B&I)
   Buildcave ID: 6
   ROM Version:  00D3_B0B

Ngoài ra, các tệp trông rất khác nhau, nhưng tôi đoán tệp .scap có một số kiểu nén. Ít nhất điều đó cho tôi biết tôi đã cài đặt firmware mới nhất, phần mềm được phát hành sau khi hack được công bố. Tôi hoàn toàn tốt. Tuy nhiên, thật tuyệt khi có thể xác nhận rằng tôi tốt thông qua một số loại xác minh tổng kiểm tra! Nhìn vào bạn, Apple!

Để kiểm tra phần sụn của hệ thống Intel UEFI, chẳng hạn như Mactel, khởi động bản phân phối Intel LUV (Xác thực UEFI Linux), luv-live, chạy Intel CHIPSEC. Nó sẽ kiểm tra hầu hết các lỗ hổng phần sụn được biết đến công khai. Bạn nên chạy CHIPSEC khi lần đầu tiên nhận được hộp của mình, lưu ROM, sau đó thỉnh thoảng chạy lại CHIPSEC và so sánh các ROM để thay đổi. Bạn có thể sử dụng UEFItool, CHIPSEC hoặc UEFI-Firmware-Parser hoặc một số công cụ khác để kiểm tra pháp y về ROM.

Để biết thêm thông tin về chủ đề và các công cụ liên quan, hãy xem các trang trình bày của tôi để trình bày gần đây.

Tiêu đề của Làm thế nào một người dùng trung bình có thể là một khu vực nguy hiểm, vì tôi không xem xét bất cứ ai sử dụng Terminal Average - không vượt qua phán xét, chỉ cần khán giả ở đây vượt quá mức trung bình để biết họ nên xác nhận phần sụn . Hy vọng rằng tôi không có vẻ quá tự phụ với bản tóm tắt ngắn gọn này về những gì tôi nghĩ rằng người dùng mac trung bình nên làm:

Trình cài đặt macOS cập nhật chương trình cơ sở khi bạn cài đặt / cài đặt lại HĐH, vì vậy chỉ cần khởi động để khôi phục và cài đặt lại phiên bản macOS hiện tại, bạn sẽ không mất bất kỳ chương trình, cài đặt, dữ liệu nào và có cơ hội đảm bảo chương trình cơ sở của bạn được cập nhật. Ngay cả khi bạn đã cài đặt HĐH vài tháng trước - nếu phần sụn mới hơn xuất hiện khi trình cài đặt kiểm tra trong khi sẵn sàng cài đặt, bạn sẽ nhận được bản cập nhật đó như một phần của bài tập.

Nếu bạn không thể hoặc không muốn chạy cài đặt, thì việc báo cáo / xác thực bạn sẽ thực sự cập nhật sẽ trở nên khó khăn hơn nhiều. Tôi cho rằng nó phụ thuộc vào lý do tại sao bạn nghĩ rằng bạn không nhận được các bản cập nhật như là một phần của quá trình nâng cấp / cập nhật thông thường. Vì không có kiểm tra chung về tất cả các phần sụn, tôi sẽ nói rằng người dùng trung bình không thể xác thực phần sụn và ngay cả những người dùng đặc biệt cũng gặp khó khăn khi thực hiện mức độ phân tích cần thiết. Người dùng trung bình đấu tranh với sự khác biệt giữa xác thực và ủy quyền . Người dùng chuyên gia cảm thấy tẻ nhạt khi xác minh tổng kiểm tra và chuỗi tin cậy và bản chất con người là chúng ta không thực hiện tốt các hoạt động đó, ngay cả trong môi trường được thiết kế tốt, được thúc đẩy tốt, được hỗ trợ tốt.

Tôi sẽ mở một vé hỗ trợ với Apple cho từng trường hợp tôi muốn xác minh chương trình cơ sở và tham gia vào danh sách gửi thư Thông báo bảo mật chính thức của Apple để bạn vào vòng lặp khi mọi thứ thay đổi.

Tôi xin lỗi nếu đây không phải là câu trả lời bạn muốn, nhưng tôi cũng cảm thấy đây là mục nhỏ của tôi để trả lời cho mọi người thấy câu hỏi của bạn và tự hỏi làm thế nào để bắt đầu học. Khi nhiều người dùng yêu cầu apple hỗ trợ, cuối cùng các bài viết cơ sở kiến ​​thức sẽ được viết. Tại một số điểm tới hạn, tài trợ sẽ được thêm vào và vấn đề sẽ được thiết kế để phù hợp với trình độ học vấn của người dùng. Chúng ta chỉ ở những ngày đầu từ nơi tôi nhìn thấy mọi thứ.

Cũng giống như một bản cập nhật, macOS 10.13 High Sierra sẽ tự động xác minh tính toàn vẹn của phần sụn của Mac mỗi tuần một lần. Nếu tìm thấy sự cố với phần sụn, máy Mac của bạn sẽ đề nghị gửi báo cáo cho Apple. Một bài đăng của Công ty Ánh sáng Eclectic nói điều này về các báo cáo;

Nếu bạn đang chạy Mac thực sự, thay vì 'Hackffy', Kovah yêu cầu bạn đồng ý gửi báo cáo. Điều này sẽ cho phép eficheck gửi dữ liệu nhị phân từ phần sụn EFI, bảo vệ quyền riêng tư của bạn bằng cách loại trừ dữ liệu được lưu trữ trong NVRAM. Apple sau đó sẽ có thể phân tích dữ liệu để xác định xem liệu nó đã bị thay đổi bởi phần mềm độc hại hay bất cứ thứ gì khác.

AppleInsider cũng nói điều này;

Báo cáo được gửi tới Apple không bao gồm dữ liệu được lưu trữ trong NVRAM. Apple sau đó sẽ xem xét dữ liệu được truyền để đánh giá xem có bị tấn công phần mềm độc hại không

Kiểm tra tại đây để tìm hiểu thêm về tính năng mới này: macOS High Sierra Tự động thực hiện kiểm tra bảo mật trên phần sụn EFI mỗi tuần

Chỉ cần cập nhật cho câu hỏi này vì đã có chương trình mới ..

Nó được gọi là eficheck. Nó nằm trong thư mục / usr / libexec / Firmwarecheckers / eficheck aka có thể không có trong đường dẫn của bạn, vì vậy nó phức tạp hơn một số trang khác nhưng có một trang dành cho tài liệu sử dụng.

Điều quan trọng cần xem xét là bất cứ điều gì đủ tinh vi để vào EFI của bạn đều có khả năng tránh được sự phát hiện ở một mức độ nào đó. Đó là rất nhiều lý do kiểm tra chống vi-rút là vô ích, mặc dù những người lấy lại "kiểm tra chống vi-rút là rác" không biết lý do tại sao và đang lặp lại kết luận ai đó thông minh hơn họ đã đưa ra rằng các công ty chống vi-rút có xu hướng không biết có khả năng để phân tích chính xác phần mềm độc hại cụ thể của Mac để họ không thêm giá trị băm duy nhất của tệp vào cơ sở dữ liệu của họ để máy tính của bạn có thể tính toán các hàm băm của chính tệp đó sau đó chống lại cơ sở dữ liệu băm phần mềm độc hại đã biết. Hầu như tất cả các lần quét vi-rút không làm gì thêm và không tìm kiếm hành vi xấu.

Vào cuối ngày, mặc dù EFI của Apple là UEFI của Intel, vì vậy bạn tin tưởng Apple sẽ làm điều gì đó chính xác, thực sự phức tạp và kỹ thuật. Apple thậm chí không thể tìm ra PKI của riêng họ và bạn đã bao giờ xem hướng dẫn dành cho nhà phát triển cho bộ xử lý Intel chưa? Đó là hàng ngàn trang của Hy Lạp cổ đại. Ý tôi là, bạn không nghĩ Apple đẹp và thông minh phải không?

Danh sách gửi thư bảo mật là một thông báo đơn giản khi các bản cập nhật được phát hành và không có gì nữa. Bạn sẽ ở trong vòng lặp cho các bản vá mới để các vấn đề được xác định và dễ dàng khai thác CVE IDE ảnh hưởng đến hệ điều hành mới nhất và các bản cũ hơn hay còn gọi là các bản đang sử dụng. Không có gì để ngăn chặn việc khai thác trong tương lai trong các bản cập nhật..tất cả những gì họ sẽ đề cập đến bao giờ do chính sách của họ không nói về những điều như vậy. Các mục bảo mật duy nhất được giải quyết sẽ nói rằng một vấn đề rất cụ thể đã được khắc phục bằng bản cập nhật.

Nếu họ đã xác định được một "cuộc tấn công phần mềm độc hại" (nó không dính vào sau đó?), Thì nó đã vi phạm chính sách của chính họ nếu họ xác nhận và báo cáo lại cho người dùng cũng như là một quyết định kinh doanh tồi tệ vì nhiều khách hàng của họ vẫn không tin vào phần mềm độc hại. Lưu ý rằng nó không nói gì về việc liên hệ với người dùng hoặc khắc phục sự cố. Có thể thấy các tiêu đề bây giờ .. Tất cả các báo chí xấu gần đây đã thực sự bầm dập cái tôi của họ và có vẻ như nó đang đến gần một điểm bùng phát.