Wie kann der durchschnittliche Benutzer die Integrität der Firmware seines Mac leicht überprüfen?

Wie kann der durchschnittliche Benutzer die Integrität der Firmware seines Mac leicht überprüfen?

Bevor Sie diese Frage ablehnen oder mir erklären, wie paranoid ich bin und niemand dies jemals tun sollte, lesen Sie bitte unten.

Im Juli 2015 enthüllte CVE-2015-3692 , dass die EFI-Firmware eines Mac von einem Angreifer aus der Ferne gehackt werden könnte. (Die dafür verfügbaren Vektoren befinden sich in anderen CVEs, können aber hypothetisch alles sein, einschließlich böswilliger gefälschter Flash-Update-Installer.)

Diese Sicherheitsanfälligkeit wurde mindestens vier Wochen vor dem Patch durch Apple am 30. Juli für OS X 10.8, 10.9 und 10.10 mit dem EFI Firmware Security Update 2015-001 veröffentlicht .

Derselbe Sicherheitsforscher, der diese Sicherheitsanfälligkeit angekündigt hat, behauptet auch, auf einer Konferenz eine Demonstration eines Firmware-Hacks gesehen zu haben, der nicht entfernt oder überschrieben werden kann.

Sobald der EFI eines Mac im Besitz ist und der Angreifer es richtig gemacht hat, besteht die einzige Möglichkeit, den EFI mit einer gültigen Apple-Firmware erneut zu flashen, darin, einen Reflasher direkt mit dem EFI-Chip auf der Logikplatine selbst zu verbinden ( versuchen Sie es nicht) dies zu Hause).

In Nachrichtenartikeln, in denen diese Sicherheitsanfälligkeit gemeldet wurde, wurde sie heruntergespielt. Die meisten Benutzer sollten sich keine Sorgen machen. Um sich zu schützen, müssen Sie Ihren Mac niemals in den Ruhemodus versetzen und entweder den Root-Benutzer deaktivieren oder niemals etwas authentifizieren Vertraue nicht 100%. Kommentarthreads zu diesen Artikeln fassten es folgendermaßen zusammen: Wenn alle Ihre Apps aus vertrauenswürdigen Quellen wie dem offiziellen App Store stammen und Sie niemals etwas ausführen, das nicht von einem Apple bekannten Entwickler signiert ist, sollten Sie sich keine Sorgen machen müssen.

Im September 2015 erfuhren wir dann von dem XCodeGhost-Exploit , der bekanntermaßen dazu geführt hat, dass zahlreiche mit Malware infizierte Apps im offiziellen iOS App Store angezeigt wurden - aber was ist mit OS X-Apps? In dem verlinkten Artikel schrieb Malwarebytes:

Wardle wies bereits im März darauf hin, dass Xcode für solche Dinge anfällig sei, zeigte aber erschreckenderweise auch mit dem Finger auf viele andere OS X-Apps. Jede dieser Apps kann für ähnliche Angriffe anfällig sein.

Sie schrieben auch: "Der durchschnittliche Benutzer sollte nicht in Panik geraten" - dasselbe Mantra, das ich oft in den Apple Support-Foren und anderswo sehe, wenn ein Benutzer einen Thread über Tonnen von seltsamen Problemen veröffentlicht, die er hat. "Formatieren Sie einfach Ihr Laufwerk neu und führen Sie eine Neuinstallation des Systems durch. Das Problem ist wahrscheinlich eine Systemänderung von Drittanbietern", wird uns mitgeteilt. Wenn dies das Problem nicht behebt, wird den Leuten mitgeteilt, dass es sich um ein Hardwareproblem handeln muss, z. B. eine fehlerhafte Festplatte, eine fehlerhafte GPU oder ein fehlerhafter Arbeitsspeicher. Ich habe Threads gesehen, in denen Leute buchstäblich jede Komponente in ihrem Mac ersetzt haben, und das Problem würde immer wieder auftreten.

Jetzt wissen wir, dass es hypothetisch möglich ist, dass die EFI-Firmware der Benutzer gehackt wurde. Selbst wenn ihr Motherboard ersetzt würde und sie ihre Apps neu installieren würden, könnte die Firmware von der Malware erneut gestartet werden! Und wenn das Motherboard nicht ersetzt würde, würden sie abgespritzt, egal was passiert.

Das bringt mich zurück zur Hauptfrage.

Wie kann der durchschnittliche Benutzer die Integrität der Firmware seines Mac leicht überprüfen? Dh wie können Sie überprüfen, ob die Firmware Ihres Mac noch nie durch Malware kompromittiert wurde? Ich konnte keine mit El Capitan kompatible Methode finden, bei der SIP nicht deaktiviert werden muss. Für frühere Betriebssystemversionen gibt es ein kompliziertes Drittanbieter-Tool namens DarwinDumper, mit dem Sie den Inhalt Ihrer EFIs in eine Textdatei kopieren können. Sie benötigen jedoch weiterhin die gültige Apple-Firmware, um sie vergleichen zu können. Dies ist keine Methode, die der durchschnittliche Benutzer verwendet ist dazu in der Lage.

Wenn man den Leuten sagt, sie sollen sich keine Sorgen um etwas machen, von dem sie sehr gut betroffen sein könnten, und keine Möglichkeit haben, zu überprüfen, ob dies der Fall ist, können diese Arten von Exploits für Hacker rentabel sein, die auf Selbstzufriedenheit und mangelnde Wachsamkeit angewiesen sind Teil der Benutzer.

==

BEARBEITEN: Ich habe das neueste offizielle Apple Firmware-Installationsprogramm auf der Support-Website von Apple gefunden . Das Installationsprogramm läuft seltsamerweise nicht unter 10.10 oder 10.11. Mit Pacifist habe ich die .scap-Datei für mein Macbook Pro 9,1 extrahiert. Ich habe die Binärdatei in HexFiend mit dem Biosdump verglichen, den ich mit DarwinDump nach dem Neustart im Wiederherstellungsmodus und dem Ausführen csrutil disableauf dem Terminal abgerufen habe, um rootless zu deaktivieren und die Möglichkeit zu aktivieren, nicht signierte Kexts auszuführen. Ich habe diesen BIOS-Header wiederhergestellt:

   $IBIOSI$   MBP91.88Z.00D3.B0B.1506081214Copyright (c) 2005-2015 Apple Inc.  All rights reserved.ˇˇˆ´5µ}ñÚC¥î°Îé!¢é_i@Ÿ¯¡Apple ROM Version
   BIOS ID:      MBP91
   Built by:     root@saumon
   Date:         Mon Jun  8 12:14:35 PDT 2015
   Revision:     svn 39254 (B&I)
   Buildcave ID: 6
   ROM Version:  00D3_B0B

Das offizielle BIOS aus Apples Header:

   $IBIOSI$   MBP91.88Z.00D3.B0B.1506081214Copyright (c) 2005-2015 Apple Inc.  All rights reserved.ˇˇˆ´5µ}ñÚC¥î°Îé!¢é_i@Ÿ¯¡Apple ROM Version
   BIOS ID:      MBP91
   Built by:     root@saumon
   Date:         Mon Jun  8 12:14:35 PDT 2015
   Revision:     svn 39254 (B&I)
   Buildcave ID: 6
   ROM Version:  00D3_B0B

Abgesehen davon sehen die Dateien sehr unterschiedlich aus, aber ich vermute, dass die .scap-Datei eine Art Komprimierung aufweist. Zumindest sagt mir das, dass ich die neueste Firmware installiert hatte, die veröffentlicht wurde, nachdem die Hacks angekündigt wurden. Mir geht es gut. Es wäre jedoch schön, bestätigen zu können, dass ich durch eine Art Prüfsummenüberprüfung gut bin! Sieh dich an, Apple!

Um die Firmware eines Intel UEFI-Systems wie eines Mactel zu überprüfen, starten Sie die Intel LUV- Distribution (Linux UEFI Validation), luv-live, und führen Sie Intel CHIPSEC aus. Es wird nach den meisten öffentlich bekannten Firmware-Schwachstellen gesucht. Sie sollten CHIPSEC ausführen, wenn Sie Ihre Box zum ersten Mal erhalten, das ROM speichern, dann CHIPSEC gelegentlich erneut ausführen und die ROMs auf Änderungen vergleichen. Sie können UEFItool, CHIPSEC oder UEFI-Firmware-Parser oder eine Handvoll anderer Tools für eine forensische Untersuchung des ROM verwenden.

Weitere Informationen zum Thema und den beteiligten Tools finden Sie in meinen Folien für eine Präsentation, die ich kürzlich gehalten habe.

Der Titel „Wie kann ein durchschnittlicher Benutzer?“ Ist eine Art Gefahrenzone, da ich niemanden betrachte, der den Terminal-Durchschnitt verwendet - ohne ein Urteil zu fällen, nur dass das Publikum hier weit über dem Durchschnitt liegt, um überhaupt zu wissen, dass es die Firmware validieren sollte . Hoffentlich klinge ich mit dieser kurzen Zusammenfassung dessen, was der durchschnittliche Mac-Benutzer meiner Meinung nach tun sollte, nicht zu anmaßend:

Das macOS-Installationsprogramm aktualisiert die Firmware, wenn Sie das Betriebssystem installieren / neu installieren. Wenn Sie also einfach zur Wiederherstellung booten und die aktuelle Version von macOS neu installieren, verlieren Sie keine Programme, Einstellungen, Daten und können sicherstellen, dass Ihre Firmware auf dem neuesten Stand ist. Selbst wenn Sie das Betriebssystem vor einigen Monaten installiert haben - wenn es eine neuere Firmware gibt, die das Installationsprogramm überprüft, während es sich auf die Installation vorbereitet, erhalten Sie dieses Update als Teil der Übung.

Wenn Sie nicht in der Lage oder bereit sind, nur eine Installation auszuführen, wird es viel schwieriger zu melden / zu validieren, dass Sie wirklich auf dem neuesten Stand sind. Ich nehme an, es hängt davon ab, warum Sie glauben, dass Sie die Updates im Rahmen des normalen Upgrade- / Update-Prozesses nicht erhalten haben. Da die gesamte Firmware nicht allgemein überprüft wird, kann der durchschnittliche Benutzer die Firmware nicht validieren, und selbst außergewöhnliche Benutzer haben Schwierigkeiten, die erforderliche Analyse durchzuführen. Durchschnittliche Benutzer haben Probleme mit dem Unterschied zwischen Authentifizierung und Autorisierung . Erfahrene Benutzer finden es mühsam, Prüfsummen und kryptografische Vertrauensketten zu überprüfen, und die menschliche Natur ist, dass wir diese Aktivitäten nicht gut ausführen, selbst in gut entwickelten, gut motivierten und gut unterstützten Umgebungen.

Ich würde ein Support-Ticket mit Apple für jede Instanz eröffnen, in der ich die Firmware überprüfen und an der offiziellen Mailingliste für Apple-Sicherheitsbenachrichtigungen teilnehmen möchte, damit Sie auf dem Laufenden bleiben, wenn sich etwas ändert.

Es tut mir leid, wenn dies nicht die Antwort ist, die Sie wollten, aber ich hatte auch das Gefühl, dass dies mein kleiner Einstieg in eine Antwort für alle war, die Ihre Frage sehen und sich fragen, wie Sie anfangen sollen zu lernen. Wenn mehr Benutzer Apple um Unterstützung bitten, werden eventuell Knowledge Base-Artikel geschrieben. Irgendwann würde die Finanzierung hinzugefügt und das Problem so gestaltet, dass es dem Bildungsniveau der Benutzer entspricht. Wir sind erst in den frühen Tagen, von wo aus ich Dinge sehe.

Nur als Update überprüft macOS 10.13 High Sierra einmal pro Woche automatisch die Integrität der Mac-Firmware. Wenn ein Problem mit der Firmware festgestellt wird, bietet Ihr Mac an, einen Bericht an Apple zu senden. Ein Beitrag von The Eclectic Light Company sagt dies über die Berichte;

Wenn Sie einen echten Mac anstelle eines "Hackintosh" verwenden, bittet Kovah Sie, den Bericht zu senden. Auf diese Weise kann eficheck die Binärdaten von der EFI-Firmware senden, wodurch Ihre Privatsphäre gewahrt bleibt, indem im NVRAM gespeicherte Daten ausgeschlossen werden. Apple kann dann die Daten analysieren, um festzustellen, ob sie durch Malware oder etwas anderes geändert wurden.

AppleInsider sagt dies ebenfalls.

Der an Apple gesendete Bericht schließt im NVRAM gespeicherte Daten aus. Apple überprüft dann die übertragenen Daten, um festzustellen, ob ein Malware-Angriff stattgefunden hat

Weitere Informationen zu dieser neuen Funktion finden Sie hier: macOS High Sierra führt jede Woche automatisch eine Sicherheitsüberprüfung der EFI-Firmware durch

Nur ein Update zu dieser Frage, da ein neues Programm verfügbar ist.

Es heißt Eficheck. Es befindet sich im Verzeichnis / usr / libexec / firmwarecheckers / eficheck, auch bekannt als wahrscheinlich nicht in Ihrem Pfad. Es ist also etwas komplexer als einige andere, aber es gibt eine Manpage dafür, die seine Verwendung dokumentiert.

Es ist wichtig zu berücksichtigen, dass alles, was bescheiden genug ist, um in Ihr EFI zu gelangen, der Erkennung wahrscheinlich bis zu einem gewissen Grad entgehen kann. Das ist einer der Gründe, warum Antiviren-Checks nutzlos sind, obwohl die Leute, die "Antivirus-Checks sind Müll" wieder auffliegen lassen, keine Ahnung haben, warum und die Schlussfolgerung wiederholen, dass jemand, der klüger ist als sie, die Antiviren-Unternehmen dazu neigen, nicht zu wissen, dass sie die Fähigkeit haben Um Mac-spezifische Malware richtig zu analysieren, damit sie nicht den eindeutigen Hash-Wert einer Datei zu ihrer Datenbank hinzufügt, kann Ihr Computer die Hashs seiner eigenen Dateien berechnen, die dann mit einer Datenbank bekannter Malware-Hashs verglichen werden. Fast alle Virenscans tun nichts mehr und suchen nicht nach bösartigem Verhalten.

Letztendlich ist Apples EFI Intels UEFI, also vertrauen Sie darauf, dass Apple etwas richtig macht, das wirklich komplex und technisch ist. Apple kann nicht einmal seine eigene PKI herausfinden und haben Sie jemals das Entwicklerhandbuch für einen Intel-Prozessor gesehen? Es sind Tausende von Seiten Altgriechisch. Ich meine, komm schon, du hast Apple nicht für hübsch und schlau gehalten, oder?

Die Sicherheits-Mailingliste ist eine einfache Benachrichtigung, wenn Updates veröffentlicht werden, und nicht mehr. Sie sind auf dem Laufenden, wenn neue Patches für lange Zeit identifizierte und leicht auszunutzende CVE-ID-Probleme auftreten, die das neueste Betriebssystem und ältere Betriebssysteme betreffen, auch bekannt als die verwendeten. Es gibt nichts, was zukünftige Exploits in den Updates verhindern könnte. Zumindest werden sie dies aufgrund ihrer Politik, nicht über solche Dinge zu sprechen, jemals erwähnen. Die einzigen angesprochenen Sicherheitselemente sind die Angabe, dass durch das Update ein ganz bestimmtes Problem behoben wurde.

Wenn sie einen "Malware-Angriff" identifizieren würden (er blieb danach nicht mehr bestehen?), Würde dies gegen ihre eigenen Richtlinien verstoßen, wenn sie ihn bestätigen und dem Benutzer Bericht erstatten würden, sowie eine schlechte Geschäftsentscheidung seit vielen von Ihre Kunden glauben immer noch nicht an Malware. Beachten Sie, dass nichts über die Kontaktaufnahme mit dem Benutzer oder die Behebung des Problems aussagt. Könnte jetzt die Schlagzeilen sehen. Die ganze schlechte Presse in letzter Zeit hat ihr Ego wirklich verletzt und scheint sich einem Wendepunkt zu nähern.