¿Cómo puede el usuario promedio validar fácilmente la integridad del firmware de su Mac?

¿Cómo puede el usuario promedio validar fácilmente la integridad del firmware de su Mac?

Antes de rechazar esta pregunta o darme una conferencia sobre cómo soy paranoico y nadie debería necesitar hacer eso, lea a continuación.

En julio de 2015, CVE-2015-3692 reveló que el firmware de EFI de una Mac podría ser pirateado por un atacante remoto. (Los vectores disponibles para esto se encuentran en otros CVE, pero hipotéticamente podrían ser cualquier cosa, incluidos elementos como los instaladores de actualizaciones falsas maliciosas).

Esta vulnerabilidad se hizo pública al less cuatro semanas antes de que Apple lo parcheara el 30 de julio para OS X 10.8, 10.9 y 10.10 con EFI Firmware Security Update 2015-001 .

El mismo investigador de security que anunció esta vulnerabilidad también afirma haber visto una demostración en una conferencia de un hack de firmware que no se puede eliminar o sobrescribir.

Por lo tanto, una vez que el EFI de Mac haya sido propiedad, si el atacante lo hizo bien, entonces la única forma de volver a aplicar EFI con el firmware válido de Apple sería conectar un reajustador directamente al chip EFI en el tablero lógico en sí ( no intente esto en casa).

Los artículos de noticias que informaron sobre esta vulnerabilidad minimizaron su uso, diciendo que la mayoría de los usuarios no deberían preocuparse, y todo lo que necesita hacer para protegerse nunca es dejar que su Mac entre en modo de suspensión, y deshabilitar el usuario raíz, o nunca autenticar nada. no confíes al 100% Los hilos de comentarios sobre esos artículos lo resumieron de esta manera: si todas sus aplicaciones provienen de fonts confiables como la App Store oficial, y nunca ejecuta nada que no esté firmado por el desarrollador del código conocido por Apple, entonces no debe tener nada de qué preocuparse.

Pero luego, en septiembre de 2015, descubrimos el exploit XCodeGhost , que se sabe que ha resultado en la aparición de numerosas aplicaciones infectadas con malware en la tienda oficial de aplicaciones de iOS, pero ¿qué ocurre con las aplicaciones OS X? En el artículo vinculado, Malwarebytes escribió:

Wardle señaló en marzo que Xcode era vulnerable a este tipo de cosas, pero aterradoramente, también apuntó con el dedo a muchas otras aplicaciones OS X. Cualquiera de esas aplicaciones podría ser vulnerable a ataques similares.

También escribieron, "el usuario promedio no debería entrar en pánico", el mismo mantra que a menudo veo parchado en los foros de soporte de Apple y en cualquier otro lugar cada vez que un usuario publica un hilo acerca de toneladas de problemas extraños que están teniendo. "Simplemente vuelva a formatear la unidad y realice una installation limpia del sistema. El problema probablemente sea la modificación de un sistema de terceros", nos dicen. Cuando eso no lo soluciona, a las personas se les dice que debe ser un problema de hardware, como una unidad de disco duro que falla, una GPU defectuosa o una memory RAM defectuosa. He visto subprocesss donde las personas reemplazan literalmente todos los componentes en su Mac, y el problema siempre regresa.

Ahora sabemos que es posible hipotéticamente que el firmware EFI de los usuarios haya sido pirateado, por lo tanto, incluso si se replacea su placa base, cuando reinstalarían sus aplicaciones, ¡el firmware podría volver a ser revisado nuevamente por el malware! Y si la placa base no fue reemplazada, entonces se las rociaría sin importar nada.

Eso me lleva de vuelta a la pregunta principal.

¿Cómo puede el usuario promedio validar fácilmente la integridad del firmware de su Mac? Es decir, ¿cómo puede comprobar para asegurarse de que el firmware de su Mac nunca se haya visto comprometido por el malware? No pude encontrar ningún método compatible con El Capitán que no requiera desactivar el SIP. Para versiones anteriores del sistema operativo, hay una herramienta complicada de terceros llamada DarwinDumper que puede volcar el contenido de sus EFI en un file de text, pero aún necesita tener el firmware válido de Apple para compararlo: este no es un método que el usuario promedio es capaz de hacer

Decirles a las personas que no se preocupen por algo de lo que podrían ser víctimas, y no tienen forma de comprobar si lo hacen, es lo que permite que este tipo de exploits sea rentable para los piratas informáticos, que dependen de la complacencia y la falta de parte de los usuarios.

==

EDIT: encontré el último instalador oficial de firmware de Apple en el sitio de soporte de Apple . El instalador no se ejecuta en 10.10 o 10.11, de manera extraña. Usando Pacifist extraje el file .scap para mi Macbook Pro 9,1. Comparé el binary en HexFiend con el biosdump que saqué usando DarwinDump después de reiniciar en modo de recuperación y ejecutar csrutil disable en la terminal para deshabilitar rootless y habilitar la capacidad de ejecutar kexts sin firmar. Recuperé este encabezado de BIOS:

  $IBIOSI$ MBP91.88Z.00D3.B0B.1506081214Copyright (c) 2005-2015 Apple Inc. All rights reserved.ˇˇˆ´5µ}ñÚC¥î°Îé!¢é_i@Ÿ¯¡Apple ROM Version BIOS ID: MBP91 Built by: root@saumon Date: Mon Jun 8 12:14:35 PDT 2015 Revision: svn 39254 (B&I) Buildcave ID: 6 ROM Version: 00D3_B0B 

El BIOS oficial del encabezado de Apple:

  $IBIOSI$ MBP91.88Z.00D3.B0B.1506081214Copyright (c) 2005-2015 Apple Inc. All rights reserved.ˇˇˆ´5µ}ñÚC¥î°Îé!¢é_i@Ÿ¯¡Apple ROM Version BIOS ID: MBP91 Built by: root@saumon Date: Mon Jun 8 12:14:35 PDT 2015 Revision: svn 39254 (B&I) Buildcave ID: 6 ROM Version: 00D3_B0B 

Aparte de eso, los files son muy diferentes, pero supongo que el file .scap tiene algún tipo de compression. Al less eso me dice que tenía el último firmware instalado, el que se lanzó después de que se anunciaran los ataques. Estoy prolíficamente bien. Sin embargo, sería bueno poder confirmar que soy bueno mediante algún tipo de verificación de sum de comprobación. Mirándote, Apple!

  • ¿Dónde guarda OS X la contraseña de FileVault durante los reinicios en una actualización?
  • Poniendo keys SSH que he tomado de Ubuntu
  • Riesgo de security de los auriculares
  • Cómo borrar de forma segura una unidad SSD?
  • ¿Cómo puedo otorgar permiso permanente a una aplicación para que no pida mi contraseña todo el time?
  • Activación bloquear MacBook a Apple ID?
  • Adjuntar HD externo al aeropuerto: ¿es seguro?
  • Vulnerabilidad y administración de parches en macOS: ¿qué funciona?
  • 3 Solutions collect form web for “¿Cómo puede el usuario promedio validar fácilmente la integridad del firmware de su Mac?”

    Para comprobar el firmware de un sistema Intel UEFI, como Mactel, arranque la distro LUV de Intel (validation UEFI de Linux), luv-live, ejecute Intel CHIPSEC. Verificará la mayoría de las vulnerabilidades de firmware conocidas públicamente. Debe ejecutar CHIPSEC la primera vez que obtenga su caja, guarde la ROM y, a continuación, vuelva a ejecutar ocasionalmente CHIPSEC y compare los ROM con los cambios. Puede usar UEFItool, CHIPSEC o UEFI-Firmware-Parser , o un puñado de otras herramientas para un examen forense de la ROM.

    Para get más información sobre el tema y las herramientas involucradas, vea mis diapositivas para una presentación que hice recientemente.

    El usuario promedio no puede validar el firmware e incluso los usuarios excepcionales tienen dificultades para realizar el nivel de análisis requerido. Los usuarios promedio tienen dificultades con la diferencia entre authentication y autorización . A los usuarios expertos les resulta tedioso verificar las sums de comprobación y las cadenas criptográficas de confianza y naturaleza humana, ya que no hacemos bien esas actividades, incluso en entornos bien diseñados, bien motivados y bien respaldados.

    Abría un ticket de soporte con Apple para cada instancia en la que quería verificar el firmware y participar en la list de correo oficial de Notificaciones de security de Apple para estar al tanto cuando las cosas cambian.

    Lamento que esta no sea la respuesta que querías, pero también sentí que esta era mi pequeña input en una respuesta para todos los que tuvieran una pregunta y se preguntaran cómo comenzar a aprender. A medida que más usuarios pidan ayuda a Apple, eventualmente se escribirán artículos de la base de conocimiento. En algún punto de inflexión, se agregarían backgrounds y el problema se diseñaría para que coincida con los niveles de educación del usuario. Estamos en los primeros días desde donde veo las cosas.

    Solo como una actualización, macOS 10.13 High Sierra verificará automáticamente la integridad del firmware de una Mac una vez a la semana. Si se encuentra un problema con el firmware, su Mac ofrecerá enviar un informe a Apple. Una publicación de The Eclectic Light Company dice esto sobre los informes;

    Si está ejecutando una Mac real, en lugar de un 'Hackintosh', Kovah le pide que acepte enviar el informe. Esto permitirá a eficheck enviar los datos binarys del firmware EFI, preservando su privacidad al excluir los datos que se almacenan en la NVRAM. Luego, Apple podrá analizar los datos para determinar si han sido alterados por malware o cualquier otra cosa.

    AppleInsider dice esto también;

    El informe enviado a Apple excluye los datos almacenados en NVRAM. Apple luego mirará los datos transmitidos para evaluar si ha habido un ataque de malware

    Consulte aquí para get más información acerca de esta nueva function: macOS High Sierra realiza automáticamente un control de security en el firmware de EFI cada semana.

    Loving Apple Products like poisoning (iPhone, iPad, iMac, Macbook, iWatch).