9 votos

¿Cómo puede el promedio de usuario fácil de validar la integridad de su Mac del firmware?

¿Cómo puede el promedio de usuario fácil de validar la integridad de su Mac del firmware?

Antes de downvote esta pregunta o me criticaban en cómo soy paranoico y nadie debería tener que hacer eso, por favor, lea a continuación.

En julio de 2015, CVE-2015-3692 reveló que un Mac del firmware de EFI, podría ser hackeado por un atacante remoto. (Los vectores disponibles para ello son, en otras Ecv, pero en teoría podría ser cualquier cosa, incluyendo cosas como malicioso falsa actualización de Flash instaladores.)

Esta vulnerabilidad fue hecho público por lo menos cuatro semanas antes de que Apple puso un parche en el 30 de julio para OS X 10.8, 10.9 y 10.10 con EFI Firmware Actualización de Seguridad 2015-001.

El mismo investigador de seguridad que anunció esta vulnerabilidad también afirma haber visto una demostración en una conferencia de un firmware hack que no se puede eliminar o sobrescribir.

Por lo tanto, una vez que un Mac EFI ha sido de su propiedad, si el atacante hizo bien, entonces la única manera de volver a actualizar el EFI con firmware de Apple válida sería la de conectar un reflasher directamente a la EFI chip en la placa lógica en sí misma (¿ no intente esto en casa).

Los artículos de noticias que informaron de esta vulnerabilidad le restaron importancia, diciendo que la mayoría de los usuarios no deben preocuparse, y todo lo que usted necesita hacer para protegerse es nunca dejes que tu Mac entra en modo de suspensión, y deshabilitar el usuario root, o nunca autenticar cualquier cosa que usted no 100% de confianza. Las cadenas de comentarios en los artículos, lo resumió así: si todo lo que venga a partir de fuentes de confianza, como la Aplicación oficial de la Tienda, y usted nunca se queda todo lo que no es de código firmado por el desarrollador sabe a Manzana, a continuación, usted debe tener nada de que preocuparse.

Pero luego, en septiembre de 2015 hemos aprendido acerca de la XCodeGhost explotar, que se sabe que se han traducido en numerosos infectados con malware aplicaciones que se muestran en el oficial de la App Store de iOS-pero, ¿qué acerca de las aplicaciones de OS X? En el artículo enlazado, Malwarebytes escribió:

Wardle señaló en Marzo que Xcode era vulnerable a este tipo de cosas, pero terriblemente, también señaló con el dedo a muchos otras aplicaciones de OS X. Cualquiera de estas aplicaciones podrían ser vulnerables a similar los ataques.

También escribió, "el usuario promedio no debe de pánico"-el mismo mantra que veo a menudo parrotted en los foros de soporte de Apple y en otros lugares, cada vez que un usuario publica un hilo acerca de un montón de extraños problemas que están teniendo. "Acabo de volver a formatear la unidad y realizar una instalación limpia del sistema. El problema es probable que una tercera parte de la modificación del sistema," nos dice. Cuando eso no lo soluciona, la gente dice que debe ser un problema de hardware, como un error de HDD, a falta de la GPU, o de la mala memoria RAM. He visto hilos donde la gente reemplazado literalmente cada componente en su Mac, y el problema siempre volvía.

Ahora sabemos que es hipotéticamente posible que los usuarios de EFI firmware tienes hackeado-por lo que incluso si su placa base fue sustituido, cuando te vuelva a instalar sus aplicaciones, el firmware podría conseguir reflashea de nuevo por el malware! Y si la placa base no fue reemplazado, luego de que sería una manguera no importa qué.

Que me trae de vuelta a la pregunta principal.

¿Cómo puede el promedio de usuario fácil de validar la integridad de su Mac del firmware? I. e. ¿cómo se puede comprobar para asegurarse de que su Mac del firmware nunca ha sido infectado por malware? No pude encontrar ningún método compatible con El Capitan que no requiere la desactivación de SIP. Para anteriores versiones del sistema operativo, no es un proceso complicado herramienta de terceros llamado DarwinDumper que puede volcar su EFIs contenido a un archivo de texto, pero usted todavía necesita tener el firmware de Apple válida para compararlo con-este no es un método que el usuario medio es capaz de hacer.

Decirle a la gente que no se preocupe acerca de algo que muy bien podría ser la víctima, y no tienen manera de comprobar si lo son, es lo que permite este tipo de exploits para ser rentables para los hackers, que dependen de la complacencia y la falta de vigilancia por parte de los usuarios.

==

EDIT: me encontré con la última oficial de Apple instalador de firmware en el sitio de soporte de Apple. El instalador no se ejecuta en 10.10 o 10.11, extrañamente. El uso de Pacifista he extraído los .scap archivo para mi Macbook Pro de 9,1. He comparado el binario en HexFiend con el biosdump que me sacó el uso de DarwinDump después de reiniciar en Modo de Recuperación y ejecución csrutil disable en terminal para desactivar el desarraigo y habilitar la posibilidad de ejecutar sin firmar kexts. He recuperado este BIOS encabezado:

   $IBIOSI$   MBP91.88Z.00D3.B0B.1506081214Copyright (c) 2005-2015 Apple Inc.  All rights reserved.ˇˇˆ´5µ}ñÚC¥î°Îé!¢é_i@Ÿ¯¡Apple ROM Version
   BIOS ID:      MBP91
   Built by:     root@saumon
   Date:         Mon Jun  8 12:14:35 PDT 2015
   Revision:     svn 39254 (B&I)
   Buildcave ID: 6
   ROM Version:  00D3_B0B

El oficial de la BIOS de la Manzana de la cabecera:

   $IBIOSI$   MBP91.88Z.00D3.B0B.1506081214Copyright (c) 2005-2015 Apple Inc.  All rights reserved.ˇˇˆ´5µ}ñÚC¥î°Îé!¢é_i@Ÿ¯¡Apple ROM Version
   BIOS ID:      MBP91
   Built by:     root@saumon
   Date:         Mon Jun  8 12:14:35 PDT 2015
   Revision:     svn 39254 (B&I)
   Buildcave ID: 6
   ROM Version:  00D3_B0B

Aparte de que los archivos son muy diferentes, pero supongo que la .scap archivo tiene algún tipo de compresión. Al menos eso me dice que yo tenía instalado el firmware más reciente, el que fue publicado después de los hacks fueron anunciados. Estoy debo favorable de la buena. Sería agradable ser capaz de confirmar que estoy bien a través de algún tipo de verificación de suma de comprobación, sin embargo! Mira, Apple!

2voto

Oskar Puntos 1242

El usuario promedio no puede validar el firmware e incluso excepcional usuarios están teniendo dificultad para realizar el nivel de análisis requerido. Media de los usuarios de lucha con la diferencia entre la autenticación y la autorización. Los usuarios expertos resulta tedioso para verificar las sumas de comprobación y de cifrado de las cadenas de la confianza y de la naturaleza humana es no hacemos esas actividades, incluso en bien diseñado, bien motivados, bien apoyado entornos.

Me gustaría abrir un ticket de soporte con Apple para cada instancia donde quería comprobar el firmware y participar en la oficial de Apple en las Notificaciones de Seguridad de la lista de correo de modo que usted está en el bucle cuando las cosas cambian.

Lo siento si esto no es la respuesta que quería, pero yo también sentí que este era mi pequeña entrada en una respuesta a todo el mundo que ve a su pregunta y se pregunta cómo iniciarse en el aprendizaje. A medida que más usuarios pedir a apple para obtener asistencia, eventualmente, artículos de knowledge base que será escrito. En algún punto de inflexión, el financiamiento sería añadido y el problema podría ser diseñados para que coincida con los niveles de formación de usuarios. Estamos sólo en los primeros días de donde yo veo las cosas.

2voto

Lee Fisher Puntos 36

Para comprobar el firmware de Intel del sistema UEFI, tales como Mactel, arranque Intel LUV (Linux, UEFI Validación) distro, luv-live, ejecutar Intel CHIPSEC. Lo voy a revisar para la mayoría del público conoce el firmware de vulnerabilidades. Debe ejecutar CHIPSEC cuando usted llegue a su casilla de guardar la ROM, de vez en cuando volver a ejecutar CHIPSEC y comparar las ROMs para los cambios. Usted puede utilizar UEFItool, CHIPSEC, o UEFI Firmware del Analizador, o un puñado de otras herramientas para un examen forense de la ROM.

Para más información sobre el tema y de las herramientas implicadas, ver mis diapositivas para una presentación que di recientemente.

AppleAyuda.com

AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

X