Bagaimana cara rata-rata pengguna dengan mudah memvalidasi integritas firmware Mac mereka?

Bagaimana cara rata-rata pengguna dengan mudah memvalidasi integritas firmware Mac mereka?

Sebelum Anda menurunkan pertanyaan ini atau memberi tahu saya bagaimana saya paranoid dan tidak ada yang perlu melakukan itu, silakan baca di bawah ini.

Pada Juli 2015, CVE-2015-3692 mengungkapkan bahwa firmware EFI Mac dapat diretas oleh penyerang jarak jauh. (Vektor yang tersedia untuk ini ada di CVE lain, tetapi secara hipotesis dapat berupa apa saja, termasuk hal-hal seperti pemasang pembaruan Flash palsu yang berbahaya.)

Kerentanan ini dipublikasikan setidaknya empat minggu sebelum Apple menambalnya pada 30 Juli untuk OS X 10.8, 10.9, dan 10.10 dengan EFI Firmware Security Update 2015-001 .

Peneliti keamanan yang sama yang mengumumkan kerentanan ini juga mengklaim telah melihat demonstrasi di konferensi peretasan firmware yang tidak dapat dihapus atau ditimpa.

Oleh karena itu, sekali EFI Mac telah dimiliki, jika penyerang melakukannya dengan benar, maka satu-satunya cara untuk reflash EFI dengan firmware Apel valid akan kawat sampai reflasher langsung ke chip EFI pada papan logika itu sendiri (jangan tidak mencoba ini di rumah).

Artikel berita yang melaporkan kerentanan ini meremehkannya, mengatakan bahwa sebagian besar pengguna tidak perlu khawatir, dan semua yang perlu Anda lakukan untuk melindungi diri sendiri adalah jangan pernah membiarkan Mac Anda masuk ke mode tidur, dan baik menonaktifkan pengguna root, atau tidak pernah mengotentikasi apa pun yang Anda jangan 100% percaya. Utas komentar pada artikel-artikel itu merangkumnya seperti ini: jika semua aplikasi Anda berasal dari sumber tepercaya seperti App Store resmi, dan Anda tidak pernah menjalankan apa pun yang tidak ditandatangani kode oleh pengembang yang dikenal dengan Apple, maka Anda seharusnya tidak perlu khawatir.

Tetapi kemudian pada bulan September 2015 kami belajar tentang eksploitasi XCodeGhost , yang diketahui telah menghasilkan banyak aplikasi yang terinfeksi malware muncul di iOS App Store resmi — tetapi bagaimana dengan aplikasi OS X? Dalam artikel yang ditautkan, Malwarebytes menulis:

Wardle menunjukkan kembali pada bulan Maret bahwa Xcode rentan terhadap hal semacam ini, tetapi menakutkan, juga mengarahkan jari pada banyak aplikasi OS X lainnya. Salah satu aplikasi itu bisa rentan terhadap serangan serupa.

Mereka juga menulis, "rata-rata pengguna tidak perlu panik" — mantra yang sama yang sering saya lihat di forum dukungan Apple dan di tempat lain kapan saja pengguna memposting thread tentang berton-ton masalah aneh yang mereka alami. "Hanya memformat ulang drive Anda dan melakukan instalasi sistem yang bersih. Masalahnya kemungkinan modifikasi sistem pihak ketiga," kami diberitahu. Ketika itu tidak memperbaikinya, orang diberitahu itu pasti masalah perangkat keras, seperti HDD yang gagal, GPU yang gagal, atau RAM yang buruk. Saya telah melihat utas di mana orang mengganti setiap komponen di Mac mereka, dan masalahnya akan selalu kembali.

Sekarang kita tahu bahwa secara hipotesis dimungkinkan bahwa firmware EFI pengguna diretas — jadi bahkan jika motherboard mereka diganti, ketika mereka menginstal ulang aplikasi mereka, firmware hanya bisa terkena lagi oleh malware! Dan jika motherboard tidak diganti, maka mereka akan disemprot tidak peduli apa.

Itu membawa saya kembali ke pertanyaan utama.

Bagaimana cara rata-rata pengguna dengan mudah memvalidasi integritas firmware Mac mereka? Yaitu bagaimana Anda dapat memeriksa untuk memastikan firmware Mac Anda tidak pernah dikompromikan oleh malware? Saya tidak dapat menemukan metode yang kompatibel dengan El Capitan yang tidak memerlukan penonaktifan SIP. Untuk versi OS sebelumnya, ada alat pihak ketiga yang rumit yang disebut DarwinDumper yang dapat membuang konten EFI Anda ke file teks, tetapi Anda masih perlu memiliki firmware Apple yang valid untuk membandingkannya — ini bukan metode yang digunakan oleh rata-rata pengguna mampu melakukan.

Memberitahu orang-orang untuk tidak khawatir tentang sesuatu yang mereka dapat menjadi korban, dan tidak memiliki cara untuk memeriksa apakah mereka, adalah yang memungkinkan eksploitasi semacam ini menguntungkan bagi peretas, yang bergantung pada kepuasan diri dan kurangnya kewaspadaan pada bagian dari pengguna.

==

EDIT: Saya menemukan pemasang firmware resmi Apple terbaru di situs dukungan Apple . Pemasang tidak berjalan pada 10.10 atau 10.11, anehnya. Menggunakan Pacifist saya mengekstrak file .scap untuk Macbook Pro 9,1 saya. Saya membandingkan biner di HexFiend dengan biosdump yang saya tarik menggunakan DarwinDump setelah me-reboot ke Mode Pemulihan dan berjalan csrutil disablepada terminal untuk menonaktifkan rootless dan memungkinkan kemampuan untuk menjalankan kexts yang tidak ditandai. Saya memulihkan header BIOS ini:

   $IBIOSI$   MBP91.88Z.00D3.B0B.1506081214Copyright (c) 2005-2015 Apple Inc.  All rights reserved.ˇˇˆ´5µ}ñÚC¥î°Îé!¢é_i@Ÿ¯¡Apple ROM Version
   BIOS ID:      MBP91
   Built by:     root@saumon
   Date:         Mon Jun  8 12:14:35 PDT 2015
   Revision:     svn 39254 (B&I)
   Buildcave ID: 6
   ROM Version:  00D3_B0B

BIOS resmi dari tajuk Apple:

   $IBIOSI$   MBP91.88Z.00D3.B0B.1506081214Copyright (c) 2005-2015 Apple Inc.  All rights reserved.ˇˇˆ´5µ}ñÚC¥î°Îé!¢é_i@Ÿ¯¡Apple ROM Version
   BIOS ID:      MBP91
   Built by:     root@saumon
   Date:         Mon Jun  8 12:14:35 PDT 2015
   Revision:     svn 39254 (B&I)
   Buildcave ID: 6
   ROM Version:  00D3_B0B

Selain itu file-file tersebut sangat berbeda, tetapi saya menduga file .scap memiliki beberapa jenis kompresi. Setidaknya itu memberitahu saya saya menginstal firmware terbaru, yang dirilis setelah peretasan diumumkan. Aku baik-baik saja. Akan lebih baik untuk dapat mengkonfirmasi saya baik melalui semacam verifikasi checksum namun! Melihatmu, Apple!

Untuk memeriksa firmware sistem Intel UEFI, seperti distro Mactel, booting Intel LUV (Linux UEFI Validation), jalankan langsung, jalankan Intel CHIPSEC. Ini akan memeriksa sebagian besar kerentanan firmware yang dikenal publik. Anda harus menjalankan CHIPSEC saat pertama kali mendapatkan kotak Anda, simpan ROM, lalu sesekali jalankan kembali CHIPSEC dan bandingkan ROM untuk perubahan. Anda dapat menggunakan UEFItool, CHIPSEC , atau UEFI-Firmware-Parser , atau beberapa alat lain untuk pemeriksaan forensik ROM.

Untuk beberapa informasi lebih lanjut tentang topik dan alat yang terlibat, lihat slide saya untuk presentasi yang saya berikan baru-baru ini.

Judul "bagaimana rata-rata pengguna" adalah sedikit zona bahaya, karena saya tidak menganggap siapa pun yang menggunakan rata-rata Terminal - tidak lewat penilaian, hanya saja penonton di sini jauh di atas rata-rata untuk mengetahui bahwa mereka harus memvalidasi firmware . Mudah-mudahan saya tidak terdengar terlalu sok dengan ringkasan singkat tentang apa yang menurut saya seharusnya dilakukan oleh pengguna mac:

Penginstal macOS memperbarui firmware ketika Anda menginstal / menginstal ulang OS, jadi cukup booting untuk memulihkan dan menginstal ulang versi macOS saat ini, Anda tidak akan kehilangan program, pengaturan, data dan mendapatkan kesempatan untuk memastikan firmware Anda mutakhir. Bahkan jika Anda menginstal OS beberapa bulan yang lalu - jika firmware yang lebih baru ada ketika installer memeriksa saat bersiap untuk menginstal, Anda akan mendapatkan pembaruan itu sebagai bagian dari latihan.

Jika Anda tidak dapat atau hanya ingin menjalankan instalasi, maka akan jauh lebih sulit untuk melaporkan / memvalidasi bahwa Anda benar-benar terkini. Saya kira itu tergantung pada mengapa Anda berpikir Anda tidak mendapatkan pembaruan sebagai bagian dari proses pemutakhiran / pembaruan yang normal. Karena tidak ada pemeriksaan umum pada semua firmware, saya akan mengatakan rata-rata pengguna tidak dapat memvalidasi firmware dan bahkan pengguna luar biasa mengalami kesulitan melakukan tingkat analisis yang diperlukan. Rata-rata pengguna berjuang dengan perbedaan antara otentikasi dan otorisasi . Pengguna ahli merasa membosankan untuk memverifikasi checksum dan rantai kepercayaan kriptografi dan sifat manusia adalah kita tidak melakukan kegiatan itu dengan baik, bahkan di lingkungan yang direkayasa dengan baik, bermotivasi baik, dan didukung dengan baik.

Saya akan membuka tiket dukungan dengan Apple untuk setiap contoh di mana saya ingin memverifikasi firmware dan berpartisipasi dalam milis Pemberitahuan Keamanan Apple resmi sehingga Anda berada di lingkaran ketika ada perubahan.

Maaf jika ini bukan jawaban yang Anda inginkan, tetapi saya juga merasa ini adalah entri kecil saya untuk menjawab semua orang yang melihat pertanyaan Anda dan bertanya-tanya bagaimana cara memulai belajar. Karena semakin banyak pengguna yang meminta dukungan Apple, pada akhirnya artikel berbasis pengetahuan akan ditulis. Pada titik kritis, dana akan ditambahkan dan masalahnya akan direkayasa agar sesuai dengan tingkat pendidikan pengguna. Kami hanya di hari-hari awal dari tempat saya melihat sesuatu.

Sama seperti pembaruan, macOS 10.13 High Sierra akan secara otomatis memverifikasi integritas firmware Mac sekali seminggu. Jika masalah dengan firmware ditemukan, Mac Anda akan menawarkan untuk mengirim laporan ke Apple. Sebuah posting oleh The Eclectic Light Company mengatakan ini tentang laporan;

Jika Anda menjalankan Mac nyata, bukan 'Hackintosh', Kovah meminta Anda setuju untuk mengirim laporan. Ini akan memungkinkan eficheck untuk mengirim data biner dari firmware EFI, menjaga privasi Anda dengan mengecualikan data yang disimpan dalam NVRAM. Apple kemudian akan dapat menganalisis data untuk menentukan apakah telah diubah oleh malware atau apa pun.

AppleInsider juga mengatakan ini;

Laporan yang dikirim ke Apple tidak termasuk data yang disimpan dalam NVRAM. Apple kemudian akan melihat data yang dikirimkan untuk mengevaluasi jika ada serangan malware

Periksa di sini untuk mempelajari lebih lanjut tentang fitur baru ini: macOS High Sierra Secara Otomatis Melakukan Pemeriksaan Keamanan pada EFI Firmware Setiap Minggu

Hanya pembaruan untuk pertanyaan ini karena program baru tersedia ..

Itu disebut eficheck. Itu ada di direktori / usr / libexec / firmwarecheckers / eficheck alias mungkin tidak ada di jalur Anda, jadi ini sedikit lebih rumit daripada yang lain, tetapi ada halaman manual untuknya yang mendokumentasikan penggunaannya.

Penting untuk mempertimbangkan bahwa apa pun yang cukup canggih untuk masuk ke EFI Anda kemungkinan akan dapat menghindari deteksi sampai tingkat tertentu. Itulah banyak alasan mengapa pemeriksaan antivirus tidak berguna, meskipun orang-orang yang memuntahkan "cek antivirus adalah sampah" tidak memiliki petunjuk mengapa dan mengulangi kesimpulan seseorang yang lebih pintar daripada mereka yang menarik yaitu bahwa perusahaan antivirus cenderung tidak mengetahui memiliki kemampuan untuk menganalisis malware spesifik Mac dengan benar sehingga mereka tidak menambahkan nilai hash unik file ke database mereka sehingga komputer Anda dapat menghitung hash dari file-nya sendiri kemudian terhadap database hash malware yang dikenal. Hampir semua pemindaian virus tidak melakukan apa-apa lagi dan tidak mencari perilaku jahat.

Pada akhirnya, EFI Apple adalah Intel UEFI sehingga Anda memercayai Apple untuk melakukan sesuatu dengan benar yang sangat kompleks dan teknis. Apple bahkan tidak dapat mengetahui PKI mereka sendiri dan apakah Anda pernah melihat manual pengembang untuk prosesor Intel? Ini ribuan halaman dari bahasa Yunani kuno. Maksud saya, Anda tidak menganggap Apple cantik dan pintar, bukan?

Milis keamanan adalah pemberitahuan sederhana ketika pembaruan dirilis dan tidak lebih. Anda akan berada di loop untuk tambalan baru ke masalah IDE lama diidentifikasi dan mudah dieksploitasi mempengaruhi OS terbaru dan yang lebih tua alias yang digunakan. Tidak ada yang mencegah eksploitasi di masa depan dalam pembaruan .. setidaknya mereka akan menyebutkan karena kebijakan mereka untuk tidak membicarakan hal-hal seperti itu. Satu-satunya item keamanan yang ditangani adalah untuk mengatakan bahwa masalah yang sangat spesifik telah diperbaiki oleh pembaruan.

Jika mereka mengidentifikasi "serangan malware" (tidak bertahan setelah?), Itu akan melanggar kebijakan mereka sendiri jika mereka mengkonfirmasi dan melaporkan kembali kepada pengguna serta menjadi keputusan bisnis yang buruk karena banyak pelanggan mereka masih tidak percaya pada malware. Perhatikan itu tidak mengatakan apa-apa tentang menghubungi pengguna atau memperbaiki masalah. Bisa melihat berita utama sekarang .. Semua pers yang buruk akhir-akhir ini benar-benar telah memar ego mereka dan sepertinya mendekati titik kritis.