औसत उपयोगकर्ता अपने मैक के फर्मवेयर की अखंडता को आसानी से कैसे मान्य कर सकता है?

औसत उपयोगकर्ता अपने मैक के फर्मवेयर की अखंडता को आसानी से कैसे मान्य कर सकता है?

इससे पहले कि आप इस प्रश्न को छोड़ दें या मुझे इस बात पर व्याख्यान दें कि मैं कैसे पागल हूं और किसी को भी कभी भी ऐसा करने की आवश्यकता नहीं है, कृपया नीचे पढ़ें।

जुलाई 2015 में, CVE-2015-3692 ने खुलासा किया कि एक मैक के EFI फर्मवेयर को रिमोट हमलावर द्वारा हैक किया जा सकता है। (इसके लिए उपलब्ध वैक्टर अन्य सीवीई में हैं, लेकिन काल्पनिक रूप से कुछ भी हो सकता है, जिसमें दुर्भावनापूर्ण नकली अपडेट इंस्टॉलर्स जैसी चीजें शामिल हैं।)

इस भेद्यता को कम से कम चार सप्ताह पहले सार्वजनिक किया गया था, जब Apple ने 30 जुलाई को OS X 10.8, 10.9 और 10.10 के लिए EFI फर्मवेयर सुरक्षा अपडेट 2015-001 के साथ पैच किया था ।

वही सुरक्षा शोधकर्ता जिन्होंने इस भेद्यता की घोषणा की है, वे दावा करते हैं कि एक फर्मवेयर हैक के एक सम्मेलन में एक प्रदर्शन देखा गया जिसे हटाया नहीं जा सकता या फिर से लिखा नहीं जा सकता।

इसलिए, एक बार एक मैक के ईएफआई के स्वामित्व में होने के बाद, यदि हमलावर ने इसे सही किया, तो वैध एप्पल फर्मवेयर के साथ ईएफआई को फिर से भरने का एकमात्र तरीका तर्क बोर्ड पर ईएफआई चिप से सीधे एक प्रतिक्षेपक को तार करना होगा ( प्रयास न करें) यह घर पर)।

इस भेद्यता की रिपोर्ट करने वाले समाचार लेखों ने यह कहते हुए इसे समाप्त कर दिया कि अधिकांश उपयोगकर्ताओं को चिंता नहीं करनी चाहिए, और आपको अपनी सुरक्षा के लिए सभी करने की आवश्यकता है, कभी भी अपने मैक को स्लीप मोड में न जाने दें, और या तो रूट उपयोगकर्ता को अक्षम करें, या कभी भी कुछ भी प्रमाणित न करें। 100% विश्वास मत करो। उन लेखों पर टिप्पणी सूत्र ने इसे इस तरह से अभिव्यक्त किया है: यदि आपके सभी ऐप आधिकारिक ऐप स्टोर जैसे विश्वसनीय स्रोतों से आते हैं, और आप कभी भी कुछ भी नहीं चलाते हैं जो कि ऐप्पल द्वारा ज्ञात डेवलपर द्वारा कोड-हस्ताक्षरित नहीं है, तो आपको चिंता करने के लिए कुछ भी नहीं होना चाहिए ।

लेकिन तब सितंबर 2015 में हमने XCodeGhost शोषण के बारे में सीखा , जिसके बारे में ज्ञात है कि आधिकारिक iOS ऐप स्टोर पर कई मैलवेयर-संक्रमित ऐप्स दिखाई दे रहे हैं- लेकिन OS X ऐप्स के बारे में क्या? लिंक किए गए लेख में, मालवेयरबाइट्स ने लिखा:

वार्डले ने मार्च में वापस बताया कि Xcode इस तरह की चीज़ के प्रति संवेदनशील था, लेकिन भयावह रूप से, कई अन्य OS X ऐप्स पर भी उंगली उठाई। उन ऐप्स में से कोई भी समान हमलों के लिए असुरक्षित हो सकता है।

उन्होंने यह भी लिखा, "औसत उपयोगकर्ता को घबराना नहीं चाहिए" - एक ही मंत्र है कि मैं अक्सर Apple समर्थन मंचों पर कहीं और तोते को देखता हूं और कभी-कभी एक उपयोगकर्ता किसी भी अजीब समस्या के टन के बारे में एक धागा पोस्ट करता है। हमें बताया गया है, "अपनी ड्राइव को फिर से सुधारें और सिस्टम की एक साफ स्थापना करें। समस्या संभवत: एक तृतीय-पक्ष सिस्टम संशोधन है।" जब वह इसे ठीक नहीं करता है, तो लोगों को बताया जाता है कि यह एक हार्डवेयर समस्या होनी चाहिए, जैसे कि एक असफल एचडीडी, असफल जीपीयू, या खराब रैम। मैंने ऐसे धागे देखे हैं, जहां लोग अपने मैक में हर कंपोनेंट को बदल देते हैं, और समस्या हमेशा वापस आ जाएगी।

अब हमें पता है कि यह काल्पनिक रूप से संभव है कि उपयोगकर्ताओं के ईएफआई फर्मवेयर हैक हो गए हैं - भले ही उनके मदरबोर्ड को बदल दिया गया हो, जब वे अपने ऐप को फिर से इंस्टॉल करेंगे, तो फर्मवेयर केवल मैलवेयर द्वारा फिर से वापस मिल सकता है! और अगर मदरबोर्ड को प्रतिस्थापित नहीं किया गया था, तो उन्हें कोई फर्क नहीं पड़ता।

यह मुझे मुख्य प्रश्न पर वापस लाता है।

औसत उपयोगकर्ता अपने मैक के फर्मवेयर की अखंडता को आसानी से कैसे मान्य कर सकता है? यानी आप यह सुनिश्चित करने के लिए जांच कर सकते हैं कि आपके मैक के फर्मवेयर को मैलवेयर द्वारा कभी समझौता नहीं किया गया है? मुझे El Capitan के साथ संगत कोई भी विधि नहीं मिली, जिसमें SIP को अक्षम करने की आवश्यकता न हो। पूर्व OS संस्करणों के लिए, डार्विनडम्पर नामक एक जटिल तृतीय-पक्ष उपकरण है जो आपकी EFI सामग्री को एक पाठ फ़ाइल में डंप कर सकता है, लेकिन आपको इसके खिलाफ तुलना करने के लिए वैध Apple फर्मवेयर की आवश्यकता है - यह एक तरीका नहीं है कि औसत उपयोगकर्ता करने में सक्षम है।

लोगों को यह बताने के लिए कि वे बहुत अच्छी तरह से शिकार हो सकते हैं, और अगर वे हैं, तो यह जांचने का कोई तरीका नहीं है कि क्या हैकर्स के लिए इस तरह के कारनामे लाभदायक हैं, जो शालीनता और सतर्कता की कमी पर निर्भर करते हैं। उपयोगकर्ताओं का हिस्सा।

==

EDIT: मुझे Apple के समर्थन साइट पर नवीनतम आधिकारिक Apple फर्मवेयर इंस्टॉलर मिला । इंस्टॉलर 10.10 या 10.11 पर, अजीब तरह से नहीं चलता है। Pacifist का उपयोग करते हुए मैंने अपने मैकबुक प्रो 9,1 के लिए .scap फ़ाइल निकाली। मैंने रिकवरी मोड में रिबूट करने और csrutil disableटर्मिनल पर चलने के बाद डार्विनडम्प का उपयोग करके खींचे जाने वाले बायोसडंप के साथ हेक्सफ़िएन्ड में द्विआधारी की तुलना की और रूटलेस को अक्षम करने के लिए और अहस्ताक्षरित केक्स को चलाने की क्षमता को सक्षम किया। मैंने यह BIOS शीर्षलेख पुनर्प्राप्त किया:

   $IBIOSI$   MBP91.88Z.00D3.B0B.1506081214Copyright (c) 2005-2015 Apple Inc.  All rights reserved.ˇˇˆ´5µ}ñÚC¥î°Îé!¢é_i@Ÿ¯¡Apple ROM Version
   BIOS ID:      MBP91
   Built by:     root@saumon
   Date:         Mon Jun  8 12:14:35 PDT 2015
   Revision:     svn 39254 (B&I)
   Buildcave ID: 6
   ROM Version:  00D3_B0B

Apple के हेडर से आधिकारिक BIOS:

   $IBIOSI$   MBP91.88Z.00D3.B0B.1506081214Copyright (c) 2005-2015 Apple Inc.  All rights reserved.ˇˇˆ´5µ}ñÚC¥î°Îé!¢é_i@Ÿ¯¡Apple ROM Version
   BIOS ID:      MBP91
   Built by:     root@saumon
   Date:         Mon Jun  8 12:14:35 PDT 2015
   Revision:     svn 39254 (B&I)
   Buildcave ID: 6
   ROM Version:  00D3_B0B

इसके अलावा फाइलें बहुत अलग दिख रही हैं, लेकिन मैं अनुमान लगा रहा हूं कि .scap फाइल में किसी प्रकार का कम्प्रेशन होता है। कम से कम जो मुझे बताता है कि मेरे पास नवीनतम फर्मवेयर स्थापित था, जो कि हैक की घोषणा के बाद जारी किया गया था। मैं बहुत अच्छा हूँ। हालांकि, किसी भी तरह के चेकसम सत्यापन के माध्यम से मैं अच्छा होने की पुष्टि करने में सक्षम होना अच्छा होगा! आपको देखकर, Apple!

एक इंटेल UEFI सिस्टम के फर्मवेयर की जांच करने के लिए, जैसे कि Mactel, बूट Intel LUV (Linux UEFI Validation) distro, luv-live, Intel CHIPSEC चलाते हैं। यह अधिकांश सार्वजनिक रूप से ज्ञात फर्मवेयर कमजोरियों के लिए जाँच करेगा। आपको CHIPSEC चलाना चाहिए जब आप पहली बार अपना बॉक्स प्राप्त करते हैं, तो ROM को सहेजें, फिर कभी-कभी CHIPSEC को फिर से चलाएं और परिवर्तनों के लिए ROM की तुलना करें। आप UEFItool, CHIPSEC , या UEFI- फ़र्मवेयर-पार्सर का उपयोग कर सकते हैं , या ROM के फ़ोरेंसिक परीक्षण के लिए कुछ अन्य उपकरण इस्तेमाल कर सकते हैं ।

विषय और शामिल किए गए टूल के बारे में कुछ और जानकारी के लिए, हाल ही में दी गई प्रस्तुति के लिए मेरी स्लाइड देखें ।

"एक औसत उपयोगकर्ता कैसे हो सकता है" का शीर्षक थोड़ा खतरे का क्षेत्र है, क्योंकि मैं किसी ऐसे व्यक्ति पर विचार नहीं करता हूं जो टर्मिनल औसत का उपयोग करता है - पासिंग निर्णय नहीं, बस यहां दर्शकों को औसत से ऊपर है यहां तक ​​कि वे फर्मवेयर को मान्य करना चाहिए। । उम्मीद है कि मुझे लगता है कि औसत मैक उपयोगकर्ता को क्या करना चाहिए, इस छोटे से सारांश के साथ मैं बहुत अधिक प्रभावशाली नहीं हूं।

MacOS इंस्टॉलर फर्मवेयर को अपडेट करता है जब आप OS को स्थापित / पुनः इंस्टॉल करते हैं, तो बस macOS के वर्तमान संस्करण को पुनर्प्राप्त करने और पुन: स्थापित करने के लिए बूट करते हैं, आप किसी भी प्रोग्राम, सेटिंग्स, डेटा को नहीं खोएंगे और यह सुनिश्चित करने का मौका मिलेगा कि आपका फर्मवेयर अद्यतित है। यहां तक ​​कि अगर आपने कई महीनों पहले ओएस स्थापित किया था - अगर इंस्टॉलर चेक करने के लिए तैयार होने के दौरान नए फर्मवेयर के आसपास है, तो आपको उस अपडेट को व्यायाम के हिस्से के रूप में मिलेगा।

यदि आप किसी इंस्टॉल को चलाने में सक्षम या इच्छुक नहीं हैं, तो आप रिपोर्ट करने / मान्य करने के लिए बहुत अधिक पेचीदा हो जाते हैं। मुझे लगता है कि यह इस बात पर निर्भर करता है कि आपको क्यों लगता है कि आपको अपडेट सामान्य नवीनीकरण / अद्यतन प्रक्रिया के हिस्से के रूप में नहीं मिला है। चूंकि सभी फर्मवेयर पर कोई सामान्य जांच नहीं है, इसलिए मैं कहूंगा कि औसत उपयोगकर्ता फर्मवेयर को मान्य नहीं कर सकता है और यहां तक ​​कि असाधारण उपयोगकर्ताओं को आवश्यक विश्लेषण के स्तर पर प्रदर्शन करने में कठिनाई हो रही है। औसत उपयोगकर्ता प्रमाणीकरण और प्राधिकरण के बीच अंतर के साथ संघर्ष करते हैं । विशेषज्ञ उपयोगकर्ताओं को विश्वास और मानव स्वभाव की चेकसम और क्रिप्टोग्राफ़िक श्रृंखलाओं को सत्यापित करने के लिए थकाऊ लगता है कि हम उन गतिविधियों को अच्छी तरह से नहीं करते हैं, यहां तक ​​कि अच्छी तरह से प्रेरित, अच्छी तरह से प्रेरित, अच्छी तरह से समर्थित वातावरण में भी।

मैं प्रत्येक उदाहरण के लिए Apple के साथ एक समर्थन टिकट खोलूंगा जहां मैं फर्मवेयर को सत्यापित करना चाहता हूं और आधिकारिक Apple सुरक्षा अधिसूचना मेलिंग सूची में भाग लेना चाहता हूं ताकि चीजें बदलने पर आप लूप में हों।

मुझे खेद है कि अगर यह ऐसा उत्तर नहीं है जो आप चाहते थे, लेकिन मुझे यह भी लगा कि यह मेरी छोटी प्रविष्टि है जो आपके प्रश्न को देखती है और यह सीखती है कि सीखने की शुरुआत कैसे करें। जैसा कि अधिक उपयोगकर्ता समर्थन के लिए सेब से पूछते हैं, अंततः ज्ञान के आधार लेख लिखे जाएंगे। कुछ टिपिंग बिंदु पर, फंडिंग को जोड़ा जाएगा और समस्या को उपयोगकर्ता शिक्षा के स्तर से मिलान करने के लिए इंजीनियर किया जाएगा। हम अभी शुरुआती दिनों में हैं जहां से मैं चीजें देखता हूं।

एक अद्यतन के रूप में, macOS 10.13 उच्च सिएरा स्वचालित रूप से सप्ताह में एक बार मैक के फर्मवेयर की अखंडता को सत्यापित करेगा। यदि फर्मवेयर के साथ कोई समस्या पाई जाती है, तो आपका मैक एप्पल को एक रिपोर्ट भेजने की पेशकश करेगा। द इक्लेक्टिक लाइट कंपनी की एक पोस्ट रिपोर्ट के बारे में यह कहती है;

यदि आप 'हैकिन्टोश' के बजाय एक वास्तविक मैक चला रहे हैं, तो कोवा पूछता है कि आप रिपोर्ट भेजने के लिए सहमत हैं। यह eficheck को EFI फर्मवेयर से बाइनरी डेटा भेजने की अनुमति देगा, जो NVRAM में संग्रहीत डेटा को छोड़कर आपकी गोपनीयता को संरक्षित करता है। Apple तब यह निर्धारित करने के लिए डेटा का विश्लेषण करने में सक्षम होगा कि क्या यह मैलवेयर या किसी अन्य चीज़ से बदल दिया गया है।

AppleInsider यह भी कहता है;

Apple को भेजी गई रिपोर्ट NVRAM में संग्रहीत डेटा को बाहर करती है। यदि मालवेयर हमला हुआ है तो मूल्यांकन करने के लिए एप्‍पल ट्रांसमिटेड डेटा को देखेगा

इस नई सुविधा के बारे में अधिक जानने के लिए यहाँ देखें: मैकओएस हाई सिएरा स्वचालित रूप से प्रत्येक सप्ताह ईएफआई फर्मवेयर पर सुरक्षा जाँच करता है

एक नया कार्यक्रम उपलब्ध होने के बाद से इस सवाल का सिर्फ एक अद्यतन ..

इसे eficheck कहा जाता है। यह / usr / libexec / फर्मवेयरcheckers / eficheck निर्देशिका उर्फ ​​में संभवत: आपके मार्ग में नहीं है, इसलिए यह कुछ अन्य लोगों की तुलना में थोड़ा अधिक जटिल है, लेकिन इसके लिए एक मैन पेज है जो इसके उपयोग को दस्तावेज करता है।

यह विचार करना महत्वपूर्ण है कि आपके EFI में आने के लिए कुछ भी परिष्कृत रूप से परिष्कृत कुछ हद तक पता लगाने में सक्षम होने जा रहा है। यही कारण है कि बहुत सारे एंटीवायरस चेक बेकार हैं, हालाँकि जो लोग "एंटीवायरस चेक कचरा करते हैं" के लिए कोई सुराग नहीं है कि क्यों और निष्कर्ष निकाल रहे हैं कि कोई व्यक्ति उन्हें आकर्षित करने की तुलना में अधिक होशियार दोहरा रहा है जो कि एंटीवायरस कंपनियों को पता नहीं है कि उनकी क्षमता है मैक विशिष्ट मैलवेयर का ठीक से विश्लेषण करने के लिए, ताकि वे अपने डेटाबेस में एक फ़ाइल के अद्वितीय हैश मान को नहीं जोड़ रहे हैं ताकि आपका कंप्यूटर अपनी खुद की फ़ाइलों के हैश की गणना कर सके, फिर ज्ञात मैलवेयर हैश के डेटाबेस के विरुद्ध। लगभग सभी वायरस स्कैन अधिक कुछ नहीं करते हैं और दुर्भावनापूर्ण व्यवहार की तलाश नहीं करते हैं।

दिन के अंत में हालांकि Apple का EFI Intel का UEFI है, इसलिए आप Apple पर सही ढंग से कुछ करने के लिए भरोसा कर रहे हैं जो वास्तव में जटिल और तकनीकी है। Apple अपने खुद के PKI का भी पता नहीं लगा सकता है और क्या आपने कभी इंटेल प्रोसेसर के लिए डेवलपर मैनुअल देखा है? यह प्राचीन यूनानी के हजारों पृष्ठ हैं। मेरा मतलब है कि आपको नहीं लगा कि Apple बहुत सुंदर और स्मार्ट था, क्या आपने?

सुरक्षा मेलिंग सूची एक सरल सूचना है जब अपडेट जारी किए जाते हैं और इससे अधिक कुछ नहीं होता है। आप लंबे समय से पहचाने जाने वाले और आसानी से उपयोग किए जाने वाले सीवीई-आईडी के मुद्दों पर नए पैच के लिए लूप में होंगे, जो नवीनतम ओएस और पुराने वाले उर्फ ​​को प्रभावित करते हैं। अद्यतनों में भविष्य के कारनामों को रोकने के लिए कुछ भी नहीं है..इस तरह कि वे अपनी नीति के कारण कभी भी इस तरह की बातों को नहीं बोलने का उल्लेख करेंगे। केवल संबोधित किए जाने वाले सुरक्षा आइटमों को यह कहना होगा कि अपडेट द्वारा एक बहुत ही विशिष्ट मुद्दा तय किया गया है।

यदि उन्होंने "मालवेयर अटैक" की पहचान की है (यह उसके बाद छड़ी नहीं करता है?), यह उनकी खुद की नीति का उल्लंघन करेगा यदि वे इसकी पुष्टि करते हैं और उपयोगकर्ता को वापस रिपोर्ट करते हैं और कई के बाद से खराब व्यावसायिक निर्णय लेते हैं। उनके ग्राहक अभी भी मालवेयर पर विश्वास नहीं करते हैं। ध्यान दें कि यह उपयोगकर्ता से संपर्क करने या समस्या को ठीक करने के बारे में कुछ नहीं कहता है। अब सुर्खियाँ देख सकते हैं .. हाल ही में सभी बुरे प्रेस वास्तव में उनके अहंकार को काट रहे हैं और ऐसा लगता है जैसे यह एक टिपिंग बिंदु पर आ रहा है।