Ortalama bir kullanıcı Mac'inin belleniminin bütünlüğünü kolayca nasıl doğrulayabilir?

Ortalama bir kullanıcı Mac'inin belleniminin bütünlüğünü kolayca nasıl doğrulayabilir?

Bu soruyu küçümsemeden veya bana nasıl paranoyak olduğumu anlatmadan önce kimsenin bunu yapması gerekmiyor, lütfen aşağıda okuyun.

Temmuz 2015'te CVE-2015-3692 , bir Mac'in EFI ürün yazılımının uzak bir saldırgan tarafından saldırıya uğradığını ortaya koydu. (Bunun için kullanılabilen vektörler diğer CVE'lerde bulunur, ancak kötü niyetli sahte Flash güncelleme yükleyicileri gibi şeyler dahil olmak üzere varsayımsal olarak herhangi bir şey olabilir.)

Bu güvenlik açığı, Apple'ın 30 Temmuz'da OS X 10.8, 10.9 ve 10.10 için EFI Ürün Yazılımı Güvenlik Güncelleştirmesi 2015-001 ile düzeltme ekinden en az dört hafta önce duyuruldu .

Bu güvenlik açığını bildiren aynı güvenlik araştırmacısı, kaldırılamayan veya üzerine yazılamayan bir ürün yazılımı kesmek konferansında bir gösteri gördüğünü iddia ediyor.

Bir Mac EFI olunan edildikten sonra saldırganın yaptığı nedenle, doğru, geçerli Elma firmware ile EFI reflash sonra tek yolu mantık tahta kendisi hakkında EFI çip doğrudan reflasher kadar Tel olacaktır (do not deneyin evde).

Bu güvenlik açığını bildiren haber makaleleri, çoğu kullanıcının endişelenmemesi gerektiğini ve kendinizi korumak için yapmanız gereken tek şeyin Mac'inizin uyku moduna girmesine izin vermemesi ve kök kullanıcıyı devre dışı bırakmaması veya % 100 güvenme. Bu makalelerdeki yorum konuları şu şekilde özetlenmiştir: tüm uygulamalarınız resmi App Store gibi güvenilir kaynaklardan geliyorsa ve Apple tarafından bilinen geliştirici tarafından kod imzalı olmayan hiçbir şey çalıştırmıyorsanız, endişelenecek bir şeyiniz olmamalıdır .

Ancak daha sonra Eylül 2015'te resmi iOS App Store'da kötü amaçlı yazılım bulaşmış sayısız uygulamanın ortaya çıktığı bilinen XCodeGhost istismarını öğrendik - ama OS X uygulamaları ne olacak? Bağlantılı makalede Malwarebytes şunu yazdı:

Wardle Mart ayında Xcode'un bu tür şeylere karşı savunmasız olduğunu belirtti, ancak korkutucu bir şekilde parmağını diğer birçok OS X uygulamasına da işaret etti. Bu uygulamalardan herhangi biri benzer saldırılara karşı savunmasız olabilir.

Ayrıca, "ortalama kullanıcı panik yapmamalı" yazdılar - Apple destek forumlarında sık sık gördüğüm aynı mantra ve bir kullanıcı yaşadıkları tonlarca tuhaf sorun hakkında bir ileti gönderdiğinde başka bir yerde. "Sadece sürücünüzü yeniden biçimlendirin ve sistemin temiz bir kurulumunu gerçekleştirin. Sorun muhtemelen üçüncü taraf bir sistem değişikliğidir." Bu sorunu çözmediğinde, insanların arızalı bir HDD, arızalı GPU veya kötü RAM gibi bir donanım sorunu olması gerektiği söylenir. İnsanların Mac'lerindeki her bileşenin yerini aldığı konuları gördüm ve sorun her zaman geri dönecekti.

Artık kullanıcıların EFI belleniminin saldırıya uğramasının varsayımsal olarak mümkün olduğunu biliyoruz - bu yüzden anakartlar değiştirilse bile, uygulamalarını yeniden yüklediklerinde, bellenim sadece kötü amaçlı yazılım tarafından yeniden yanıtlanabilir! Ve eğer anakart değiştirilmediyse, ne olursa olsun onlara yerleştirileceklerdi.

Bu beni ana soruya geri getiriyor.

Ortalama bir kullanıcı Mac'inin belleniminin bütünlüğünü kolayca nasıl doğrulayabilir? Yani Mac'inizin belleniminin hiçbir zaman kötü amaçlı yazılımdan ödün vermediğinden emin olmak için nasıl kontrol edebilirsiniz? SIP'yi devre dışı bırakmayı gerektirmeyen El Capitan ile uyumlu bir yöntem bulamadım. Önceki işletim sistemi sürümleri için, EFI içeriklerinizi bir metin dosyasına dökebilen DarwinDumper adlı karmaşık bir üçüncü taraf aracı vardır, ancak yine de karşılaştırmak için geçerli Apple ürün yazılımına sahip olmanız gerekir; bu, ortalama kullanıcının kullandığı bir yöntem değildir. yapabilir.

İnsanlara çok iyi bir şey hakkında endişe etmemelerini söylemek, kurban olabilir ve kontrol etmenin bir yolu yoktur, bu tür istismarların, yakınlığa ve uyanıklığa bağlı olan hackerlar için karlı olmasını sağlayan şeydir. kullanıcıların bir parçası.

==

EDIT: Apple'ın destek sitesinde en son resmi Apple ürün yazılımı yükleyicisini buldum . Yükleyici tuhaf bir şekilde 10.10 veya 10.11'de çalışmaz. Pacifist kullanarak Macbook Pro 9,1'im için .scap dosyasını çıkardım. HexFiend'deki ikili dosyayı, rootless'ı csrutil disabledevre dışı bırakmak ve imzasız kexts çalıştırma yeteneğini etkinleştirmek için Kurtarma Moduna yeniden başladıktan ve terminalde çalıştıktan sonra DarwinDump kullanarak çektiğim biosdump ile karşılaştırdım . Bu BIOS başlığını kurtardım:

   $IBIOSI$   MBP91.88Z.00D3.B0B.1506081214Copyright (c) 2005-2015 Apple Inc.  All rights reserved.ˇˇˆ´5µ}ñÚC¥î°Îé!¢é_i@Ÿ¯¡Apple ROM Version
   BIOS ID:      MBP91
   Built by:     root@saumon
   Date:         Mon Jun  8 12:14:35 PDT 2015
   Revision:     svn 39254 (B&I)
   Buildcave ID: 6
   ROM Version:  00D3_B0B

Apple'ın başlığındaki resmi BIOS:

   $IBIOSI$   MBP91.88Z.00D3.B0B.1506081214Copyright (c) 2005-2015 Apple Inc.  All rights reserved.ˇˇˆ´5µ}ñÚC¥î°Îé!¢é_i@Ÿ¯¡Apple ROM Version
   BIOS ID:      MBP91
   Built by:     root@saumon
   Date:         Mon Jun  8 12:14:35 PDT 2015
   Revision:     svn 39254 (B&I)
   Buildcave ID: 6
   ROM Version:  00D3_B0B

Bunun dışında dosyaları çok farklı görünümlü, ama sanırım .scap dosyası bir tür sıkıştırma vardır. En azından bana en son ürün yazılımı yüklü olduğunu söylüyor, bilgisayar korsanları açıklandıktan sonra piyasaya sürüldü. Ben çok iyiyim. Ancak checksum doğrulaması bir tür iyiyim teyit edebilmek için iyi olurdu! Sana bakıyorum, Apple!

Mactel gibi bir Intel UEFI sisteminin bellenimini kontrol etmek için Intel LUV (Linux UEFI Validation) dağıtımını, luv-live'i önyükleyin, Intel CHIPSEC'i çalıştırın. Genel olarak bilinen ürün yazılımı güvenlik açıklarının çoğunu kontrol eder. Kutunuzu ilk aldığınızda CHIPSEC'i çalıştırmalı, ROM'u kaydetmeli, sonra zaman zaman CHIPSEC'i yeniden çalıştırmalı ve ROM'ları değişiklikler için karşılaştırmalısınız. ROM'un adli muayenesi için UEFItool, CHIPSEC veya UEFI-Bellenim-Ayrıştırıcı ya da bir avuç başka araç kullanabilirsiniz.

Konu ve ilgili araçlar hakkında daha fazla bilgi için, son zamanlarda verdiğim bir sunum için slaytlarıma bakın .

“Ortalama bir kullanıcı nasıl olabilir” başlığı biraz tehlikeli bir bölge, çünkü Terminal ortalamasını kullanan kimseyi düşünmüyorum - yargıyı geçmiyorum, sadece buradaki kitlenin bellenimi doğrulamaları gerektiğini bile bilmek için ortalamanın çok üstünde. . Umarım ortalama mac kullanıcı ne yapması gerektiğini düşündüğüm bu kısa özeti ile çok iddialı değilim:

MacOS yükleyicisi, işletim sistemini yüklediğinizde / yeniden yüklediğinizde bellenimi günceller, bu nedenle sadece macOS'un kurtarılması ve yeniden yüklenmesi için önyükleme yaparsanız, herhangi bir program, ayar, veri kaybetmezsiniz ve belleniminizin güncel olduğundan emin olma şansınız olmaz. İşletim sistemini birkaç ay önce kurmuş olsanız bile - yükleyici yüklemeye hazırlanırken kontrol ederken daha yeni bir ürün yazılımı varsa, bu güncellemeyi alıştırmanın bir parçası olarak alırsınız.

Yalnızca bir yükleme gerçekleştiremiyorsanız veya istemiyorsanız, gerçekten güncel olduğunuzu bildirmek / doğrulamak çok daha zor olur. Sanırım neden güncellemeleri normal yükseltme / güncelleme işleminin bir parçası olarak almadığınızı düşündüğünüze bağlı. Tüm bellenim üzerinde genel bir kontrol olmadığından, ortalama bir kullanıcının bellenimi doğrulayamadığını ve istisnai kullanıcıların bile gerekli analiz düzeyini gerçekleştirmekte zorlandığını söyleyebilirim. Ortalama kullanıcılar kimlik doğrulama ve yetkilendirme arasındaki farkla mücadele eder . Uzman kullanıcılar, checksum'ları ve güven ve insan doğası kriptografik zincirlerini doğrulamayı sıkıcı buluyor, bu faaliyetleri iyi tasarlanmış, iyi motive edilmiş, iyi desteklenen ortamlarda bile iyi yapmıyoruz.

Bellenimi doğrulamak ve resmi Apple Güvenlik Bildirimleri posta listesine katılmak istediğim her örnek için Apple ile bir destek bileti açacağım, böylece işler değiştiğinde döngüde olursunuz.

Bu istediğin cevap değilse özür dilerim, ama aynı zamanda sorunuzu gören ve öğrenmeye nasıl başlayacağını merak eden herkese verilen bir cevaba küçük girişim olduğunu hissettim. Daha fazla kullanıcı apple'dan destek istediğinden, sonunda bilgi tabanı makaleleri yazılacaktır. Bazı devrilme noktalarında finansman eklenecek ve sorun kullanıcı eğitim düzeylerine uyacak şekilde geliştirilecektir. Sadece ilk günlerde bir şeyler gördüğüm yerdeyiz.

Tıpkı bir güncelleme gibi, macOS 10.13 High Sierra, bir Mac'in ürün yazılımının bütünlüğünü haftada bir kez otomatik olarak doğrulayacaktır. Ürün yazılımı ile ilgili bir sorun bulunursa Mac'iniz Apple'a bir rapor göndermeyi önerecektir. The Eclectic Light Company'nin bir raporu, raporlar hakkında şunları söylüyor;

'Hackintosh' yerine gerçek bir Mac kullanıyorsanız Kovah raporu göndermeyi kabul ettiğinizi sorar. Bu eficheck'in ikili verileri EFI belleniminden göndermesine ve NVRAM'da depolanan verileri hariç tutarak gizliliğinizi korumasına izin verecektir. Apple daha sonra kötü amaçlı yazılım veya başka bir şey tarafından değiştirilip değiştirilmediğini belirlemek için verileri analiz edebilecektir.

AppleInsider de bunu söylüyor;

Apple'a gönderilen rapor NVRAM'de depolanan verileri hariç tutar. Apple daha sonra bir kötü amaçlı yazılım saldırısı olup olmadığını değerlendirmek için iletilen verilere bakar

Bu yeni özellik hakkında daha fazla bilgi edinmek için buraya bakın: macOS High Sierra Her Hafta EFI Ürün Yazılımı Üzerinde Otomatik Olarak Güvenlik Kontrolü Yapıyor

Yeni bir program mevcut olduğundan bu soruyu güncelleyin ..

Buna eficheck denir. Bu öyle / usr / libexec / firmwarecheckers / eficheck biraz daha karmaşık bazıları diğerlerinden daha var ama bir adam sayfası olduğunu belgeler kullanım bunun için vardır, böylece yolunda muhtemelen aka dizinde değil.

EFI'nize girecek kadar mütevazı bir şekilde sofistike bir şeyin muhtemelen bir dereceye kadar algılamadan kaçınabileceğini düşünmek önemlidir. Antivirüs kontrollerinin işe yaramaz olmasının bir nedeni de budur, ancak "antivirüs kontrollerini yeniden düzenleyenlerin çöp olduğu" hakkında hiçbir ipucu yoktur ve neden daha akıllı birisinin çizdiği sonucu tekrarlıyorlar ki bu da antivirüs şirketlerinin yetenekleri olduğunu bilmiyor. Mac'e özgü kötü amaçlı yazılımları düzgün bir şekilde analiz etmek, böylece veritabanlarına bir dosyanın benzersiz karma değerini eklemezler, böylece bilgisayarınız kendi dosyalarının karmalarını sonra bilinen kötü amaçlı karmaların bir veritabanına karşı olanları hesaplayabilir. Hemen hemen tüm virüs taramaları başka bir şey yapmaz ve kötü davranışlar aramaz.

Günün sonunda Apple'ın EFI'sı Intel'in UEFI'sidir, bu yüzden Apple'ın gerçekten karmaşık ve teknik olan bir şeyi doğru bir şekilde yapmasına güveniyorsunuz. Apple kendi PKI'larını bile bulamıyor ve hiç Intel işlemcisinin geliştirici kılavuzunu gördünüz mü? Binlerce sayfa antik yunanca. Demek istediğim, Apple'ın güzel ve akıllı olduğunu düşünmedin, değil mi?

Güvenlik posta listesi, güncellemeler yayınlandığında basit bir bildirimdir ve başka bir şey değildir. En yeni işletim sistemini ve daha eski işletim sistemlerini etkileyen, uzun süredir tanımlanmış ve kolayca sömürülen CVE-IDed sorunlarına yeni yamalar eklemeniz gerekir. Güncellemelerde gelecekteki istismarları önlemek için hiçbir şey yok ... en azından bu tür şeylerden bahsetmeme politikaları nedeniyle her zaman bahsedecekler. Ele alınan tek güvenlik öğesi, güncelleme ile çok özel bir sorunun giderildiğini söylemek olacaktır.

Eğer bir "kötü amaçlı yazılım saldırısı" belirlediyseler (sonra yapışıp kalmadılar mı?) müşterileri hala kötü amaçlı yazılımlara inanmıyor. Kullanıcıyla bağlantı kurma veya sorunu çözme hakkında hiçbir şey söylemediğine dikkat edin. Şimdi manşetleri görebiliyordu .. Son zamanlarda tüm kötü basın egosunu gerçekten çürütüyor ve bir devrilme noktasına yaklaşıyor gibi görünüyor.