Як пересічний користувач може легко перевірити цілісність програмного забезпечення свого Mac?

Як пересічний користувач може легко перевірити цілісність програмного забезпечення свого Mac?

Перш ніж ви оскаржуєте це питання чи читаєте лекції про те, як я параноїк, і нікому ніколи цього не потрібно робити, будь ласка, прочитайте нижче.

У липні 2015 року CVE-2015-3692 виявив, що віддалений зловмисник може зламати мікропрограму EFI EF Mac. (Вектори, доступні для цього, є в інших CVE, але гіпотетично це може бути будь-чим, включаючи такі речі, як зловмисні підроблені інсталятори оновлення Flash.)

Ця вразливість була оприлюднена щонайменше за чотири тижні до того, як Apple виправила її 30 липня для ОС X 10.8, 10.9 та 10.10 за допомогою оновлення безпеки прошивки EFI 2015-001 .

Той самий дослідник безпеки, який оголосив про цю вразливість, також стверджує, що на конференції демонстрував демонстрацію злому прошивки, яку не можна видалити чи перезаписати.

Тому, як тільки власник EFI на Mac, якщо зловмисник зробив це правильно, то єдиним способом перепрофілювати EFI з дійсною вбудованою програмою Apple було б підключити перезавантажувач безпосередньо до мікросхеми EFI на самій логічній платі ( не намагайтеся це вдома).

Статті з новин, які повідомляли про цю вразливість, принизили це, сказавши, що більшість користувачів не повинні турбуватися, і все, що вам потрібно зробити, щоб убезпечити себе, це ніколи не відпускати ваш Mac у сплячий режим і не вимикати root-користувача, або ніколи нічого не перевіряти не довіряйте 100%. Нитки коментарів до цих статей підсумовують це так: якщо всі ваші програми надходять із надійних джерел, як-от офіційний магазин App Store, і ви ніколи не запускаєте нічого, що не підписане кодом розробником, відомим Apple, то вам не повинно нічого турбуватися.

Але потім у вересні 2015 року ми дізналися про подвиг XCodeGhost , який, як відомо, призвів до появи численних програм, заражених зловмисним програмним забезпеченням, в офіційному магазині iOS App Store, але що з додатками OS X? У пов'язаній статті Malwarebytes писав:

Ще в березні Уордл зазначив, що Xcode вразливий до подібних речей, але страхітливим також вказав пальцем на багато інших додатків OS X. Будь-яке з цих додатків може бути вразливим до подібних атак.

Вони також писали: "середній користувач не повинен панікувати" - та сама мантра, яку я часто бачу на папугах на форумах підтримки Apple і в будь-якому іншому місці, коли користувач розміщує тему про багато дивних проблем, які у них виникають. "Просто переформатуйте свій привід і виконайте чисту інсталяцію системи. Можливо, проблема, можливо, стороння модифікація системи", - нам кажуть. Коли це не виправляється, людям кажуть, що це повинна бути апаратна проблема, як, наприклад, несправний HDD, збій GPU або погана ОЗУ. Я бачив теми, де люди замінювали буквально кожен компонент свого Mac, і проблема завжди поверталася б.

Тепер ми знаємо, що гіпотетично можливо, що вбудовані програмні засоби EFI користувачів були зламані - тому навіть якщо їх материнську плату було замінено, коли вони перевстановили свої додатки, прошивку можна було б знову оновити шкідливим програмним забезпеченням! І якби материнську плату не замінили, то вони б не ввімкнули шланг, незважаючи ні на що.

Це повертає мене до головного питання.

Як пересічний користувач може легко перевірити цілісність програмного забезпечення свого Mac? Тобто як ви можете перевірити, щоб переконатися, що мікропрограмне забезпечення вашої Mac ніколи не було порушено зловмисними програмами? Я не зміг знайти жодного методу, сумісного з El Capitan, який не вимагає відключення SIP. Для попередніх версій ОС існує складний сторонній інструмент під назвою DarwinDumper, який може скидати вміст EFI у текстовий файл, але для порівняння все ще потрібно мати дійсну вбудовану програму Apple - це не метод, з яким пересічний користувач здатний робити.

Казати людям не турбуватися про те, що вони дуже добре можуть стати жертвою, і не мають можливості перевірити, чи є вони, - це те, що дає змогу цим видам подвигів бути вигідним для хакерів, які залежать від поступливості та відсутності пильності з боку частина користувачів.

==

EDIT: Я знайшов останню офіційну програму встановлення програмного забезпечення Apple на сайті підтримки Apple . Інсталятор не працює 10.10 або 10.11, як не дивно. За допомогою Pacifist я витяг файл .scap для свого Macbook Pro 9,1. Я порівнював бінарне в HexFiend з biosdump, який я витягнув за допомогою DarwinDump після перезавантаження в режим відновлення та запуску csrutil disableна терміналі, щоб відключити без корінь та дати можливість запускати неподписані кекси. Я відновив цей заголовок BIOS:

   $IBIOSI$   MBP91.88Z.00D3.B0B.1506081214Copyright (c) 2005-2015 Apple Inc.  All rights reserved.ˇˇˆ´5µ}ñÚC¥î°Îé!¢é_i@Ÿ¯¡Apple ROM Version
   BIOS ID:      MBP91
   Built by:     root@saumon
   Date:         Mon Jun  8 12:14:35 PDT 2015
   Revision:     svn 39254 (B&I)
   Buildcave ID: 6
   ROM Version:  00D3_B0B

Офіційний BIOS із заголовка Apple:

   $IBIOSI$   MBP91.88Z.00D3.B0B.1506081214Copyright (c) 2005-2015 Apple Inc.  All rights reserved.ˇˇˆ´5µ}ñÚC¥î°Îé!¢é_i@Ÿ¯¡Apple ROM Version
   BIOS ID:      MBP91
   Built by:     root@saumon
   Date:         Mon Jun  8 12:14:35 PDT 2015
   Revision:     svn 39254 (B&I)
   Buildcave ID: 6
   ROM Version:  00D3_B0B

Крім того, що файли виглядають дуже по-різному, але я здогадуюсь, що .scap файл має певне стиснення. Принаймні це говорить мені, що в мене встановлена ​​остання вбудована програма - та, яка була випущена після анонсів хаків. Я досить добре. Було б приємно підтвердити, що я добре через якусь перевірку контрольної суми, проте! Дивлячись на тебе, Apple!

Щоб перевірити програмне забезпечення такої системи Intel UEFI, як Mactel, завантажте дистрибутив Intel LUV (Linux UEFI Validation), запустіть програму Intel CHIPSEC. Він перевірить більшість загальновідомих уразливостей програмного забезпечення. Ви повинні запустити CHIPSEC, коли ви вперше отримаєте коробку, збережіть ПЗУ, а потім періодично запускайте CHIPSEC і порівняйте ПЗУ для змін. Ви можете використовувати UEFItool, CHIPSEC або UEFI-Firmware-Parser або жменю інших інструментів для судової експертизи ПЗУ.

Для отримання додаткової інформації про тему та інструменти, що стосуються, дивіться мої слайди для презентації, яку я нещодавно представив.

Заголовок "як може пересічний користувач" є трохи небезпечною зоною, оскільки я не вважаю того, хто використовує середнє значення терміналу - не приймаючи судження, лише те, що аудиторія тут набагато вище середнього, щоб навіть знати, що він повинен перевірити прошивку . Сподіваюся, я не звучу занадто претензійно з цим коротким підсумком того, що, на мою думку, повинен робити середній користувач Mac:

Інсталятор macOS оновлює прошивку під час встановлення / перевстановлення ОС, тому просто завантажившись до відновлення та перевстановлення поточної версії macOS, ви не втратите жодних програм, налаштувань, даних та отримаєте шанс переконатися, що ваша прошивка актуальна. Навіть якщо ви встановили ОС кілька місяців тому - якщо з’являється новіша прошивка, коли інсталятор перевіряє, готуючись до встановлення, ви отримаєте це оновлення як частину вправи.

Якщо ви не в змозі або не бажаєте просто запустити інсталяцію, то повідомляти / перевіряти, що ви дійсно в курсі, стає набагато складніше. Я думаю, це залежить від того, чому ви вважаєте, що ви не отримали оновлення як частину звичайного процесу оновлення / оновлення. Оскільки немає загальної перевірки всієї прошивки, я б сказав, що середній користувач не може перевірити прошивку, і навіть у виняткових користувачів виникають труднощі з виконанням необхідного рівня аналізу. Середні користувачі борються з різницею між автентифікацією та авторизацією . Користувачам-експертам здається нудним перевіряти контрольні суми та криптографічні ланцюги довіри та людської природи, якщо ми не робимо цю діяльність добре, навіть у добре спроектованих, добре мотивованих та добре підтримуваних середовищах.

Я б відкрив службу підтримки в Apple для кожного випадку, коли я хотів перевірити прошивку та брати участь в офіційному списку розсилки офіційних повідомлень Apple, щоб ви опинилися в циклі, коли все зміниться.

Вибачте, якщо це не відповідь, яку ви хотіли, але я також відчув, що це мій невеликий запис у відповідь усім, хто бачить ваше запитання і цікавиться, як почати з навчання. Оскільки більше користувачів просять яблук про підтримку, з часом статті про базу знань будуть написані. У якийсь переломний момент буде додано фінансування та проблема буде розроблена відповідно до рівнів освіти користувачів. Ми просто в перші дні, звідки я бачу речі.

Як оновлення, macOS 10.13 High Sierra автоматично перевірятиме цілісність програмного забезпечення Mac один раз на тиждень. Якщо проблема з прошивкою знайдена, ваш Mac запропонує надіслати звіт в Apple. Пост The Eclectic Light Company говорить про ці звіти;

Якщо ви використовуєте справжній Mac, а не "Hackintosh", Кова просить вас погодитись надіслати звіт. Це дозволить eficheck надсилати бінарні дані з програмного забезпечення EFI, зберігаючи вашу конфіденційність, виключаючи дані, що зберігаються у NVRAM. Тоді Apple зможе проаналізувати дані, щоб визначити, чи були вони змінені шкідливим програмним забезпеченням чи чимось іншим.

AppleInsider також говорить про це;

Звіт, надісланий Apple, виключає дані, що зберігаються в NVRAM. Потім Apple перегляне передані дані, щоб оцінити, чи сталася атака зловмисного програмного забезпечення

Перевірте тут, щоб дізнатися більше про цю нову функцію: macOS High Sierra автоматично виконує перевірку безпеки на прошивці EFI щотижня

Просто оновлення цього питання, оскільки доступна нова програма ..

Це називається eficheck. Це, мабуть, у каталозі / usr / libexec / firmwarecheckers / eficheck, імовірно, не на вашому шляху, тому це трохи складніше, ніж деякі інші, але для нього є довідкова сторінка, яка документує його використання.

Важливо врахувати, що щось досить складне, щоб потрапити на ваш ІФІ, швидше за все, зможе уникнути виявлення певною мірою. Це дуже багато причин, що антивірусні перевірки марні, хоча люди, які відривають "антивірусні перевірки - сміття", не мають поняття, чому і повторюють висновок, хтось розумніший, ніж вони зробили, - це те, що антивірусні компанії, як правило, не мають можливості правильно аналізувати специфічні для Mac зловмисні програми, щоб вони не додавали до своєї бази даних унікальне хеш-значення файлу, щоб ваш комп’ютер міг обчислити хеші власних файлів, аніж у базі даних відомих хесів зловмисних програм. Практично всі сканування вірусів більше нічого не роблять і не шукають прискіпливої ​​поведінки.

Зрештою, хоча EFI Apple - це UEFI від Intel, тому ви довіряєте Apple зробити щось правильно, що є справді складним та технічним. Apple навіть не може розібратися у власному ПКІ, а ви коли-небудь бачили посібник розробника для процесора Intel? Це тисячі сторінок давньогрецької мови. Я маю на увазі, давай, ти не думав, що Apple була гарною та розумною, чи не так?

Список розсилки безпеки - це просте сповіщення, коли виходять оновлення, і більше нічого. Ви будете в циклі для нових виправлень, які давно визначили і легко експлуатували проблеми з ідентифікацією CVE, що зачіпають останню ОС та старіші, також ті, що використовуються. Нічого не заважає майбутнім експлуатаціям в оновленнях ... принаймні, що вони коли-небудь згадують через свою політику не говорити про такі речі. Єдиними питаннями безпеки буде сказати, що оновлення було вирішено дуже конкретну проблему.

Якщо вони виявлять "атаку зловмисного програмного забезпечення" (вона не зникала після цього?), Вона порушила б їх власну політику, якщо вони підтвердили б це і повідомили про це користувачеві, а також будуть поганим бізнес-рішенням, оскільки багато хто з них їх клієнти досі не вірять у зловмисне програмне забезпечення. Зверніть увагу, він нічого не говорить про зв'язок із користувачем або усунення проблеми. Можна побачити заголовки зараз. Вся погана преса останнім часом насправді синить своє его та здається, що наближається до переломної точки.