Nie wiadomo czemu, ale niektórzy użytkownicy systemów firmy Apple są głęboko przekonani o braku podatności ich OS na wszelakie ataki. Jak pokazuje historia dziur w systemach Apple, a mało ich nie było nie jest to prawdą (choćby nawet słynna dziura z chmurą Apple umożliwiająca wykradania zdjęć). Pojawił się ostatnio nowy rodzaj ataku, który pozwala zainfekować MacBooki. Dodatkowo, problem jest bardziej złożony. Wirus może się przenosić z jednego MacBooka, na innego i to nawet jeżeli komputery nie są w sieci.

Virus attack concept. Control panel with red light and warning. Conceptual image symbol of computer infection.
Virus attack concept. Control panel with red light and warning. Conceptual image symbol of computer infection.

Ataki na firmware nie są zbyt mocno rozpowszechnione. Przeważnie ataki tego typu dotyczyły exploitów typu NSA. Rok temu tego typu problemy pojawiły się w Dell, Lenovo, Samsung i HP. Teraz okazuje się ze firmware Apple, a dokładnie MacBooków jest także podatne!!!

EFI jest oprogramowaniem uruchamianym razem ze startem systemu. Niestety, prawda jest taka, że firmware MacBook nie jest podpisany kryptograficznie. Pozwala to go dowolnie modyfikować i prawda jest taka, że taka modyfikacja jest absolutnie niewykrywalna i niezauważalna. Problem jest jeszcze jeden i chyba jeszcze bardziej tragiczny w skutkach. Rozwiązania i systemy antywirusowe nie radzą sobie ze skanowaniem i sprawdzaniem firmware. User nie ma też dostępu i nie jest w stanie weryfikować, czy doszło do wprowadzenia zmian, czy też nie. Pętelka się zamyka i to w niezbyt ładnym stylu. Wygląda na to, że firmware jest mocno podatne i jest świetnym motorem napędowym do włamań!!!

Ile odkryto błędów tego oprogramowania? Około pięciu, jak przekazał do mediów Xeno Kovah. Apple oczywiście szybko pospieszyło na pomoc i dwa z nich zostały już załatane. Nie ma się z czego cieszyć, bo to żadne osiągnięcie zwłaszcza w dalszej perspektywie – jednakże, dalej pozostają trzy podatne na atak!

grippe_gruppe_final

Jednym z robaków użądżająch sobie imprezkę w firmware MacBooka jest robaczek o jakże uroczej nazwie Thunderstrike 2. ma on ciekawy sposób działania. Infekcja następuje naprawdę w kilka sekund. Robal pozostaje w ukryciu cały czas i nie zostawia ŻADNYCH śladów działania na dysku i filesystemie. Zasiada w miejscu, gdzie user nie ma absolutnie dostępu, czyli w chipie. Antywirus też raczej nic nie może.

Czy panika jest w tym wypadku słuszna? Ważne w tym wszystkim jest to, jak do samej infekcji dochodzi. Primo i chyba najważniejsze jest to, że aby komputer został zainfekowany trzeba mieć FIZYCZNY DOSTĘP DO KOMPUTERA, a złośliwe oprogramowanie podpiąć w Thunderbolt. Dlatego właśnie nie trzeba sieci do infekcji. Jednakże, jeżeli lubicie zostawiać swojego MacBooka bez opieki warto mieć przy sobie malutki materiał ochronny. Zapewne większość za chwilę umrze ze śmiechu, ale nie jest to dowcip, ani próba Waszej wiedzy moi drodzy. Warto odwiedzić Rossmana, Sephore, Naturę czy inną drogerię i zaopatrzyć się w…. UWAGA… LAKIER DO PAZNOKCI. To nie jest żart! Taki sposób na zabezpieczenie przedstawili przedstawili Eric Michaud oraz Ryan Lackey w trakcie 30C3.  Chodzi o dokładnie stworzenie takiej jakby “plomby” na każdej śrubce przy pomocy lakieru do paznokci. Dla specjalistów w tej dziedzinie informacja: musi być metaliczny lub brokatowy. Chodzi o to, aby wygląd takie plomby był unikatowy. Teraz wystarczy zrobić zdjęcie każdej pieczęci i porównywać “plomby” z ich zdjęciami przed uruchomieniem komputera. Ciekawe? :> My się uśmialiśmy po pachy, aczkolwiek sposób wydaje się być rozsądnym rozwiązaniem.

Atak może być także przeprowadzony przez sieć, nie ma tak, że tylko lokalnie i już. Sprawa wygląda jednak tak, że user musi uruchomić złosliwe oprogramowanie (owszem, idiotów nie brakuje i na tym polega większość ataków na OSX). Root też łatwo można wykraść i nawet kilka dni temu poinformowano o tym w sieci:

   echo 'echo "$(whoami) ALL=(ALL) NOPASSWD:ALL" >&3' | DYLD_PRINT_TO_FILE=/etc/sudoers newgrp; sudo -s

Ładne, prawda? Kiedy tylko wirusik się zadomowi będzie oczekiwał na podłączenie jakiegoś urządzenia zewnętrznego. Po jego podpięciu złośliwe oprogramowanie wgra kod podmieniający firmware do tzw. Option ROM-u urządzenia. I po ptokach! Firmware zostanie podmienione!

Co dzieje się, gdy dojdzie do zainfekowania Waszego MacBooka? I tu zaczynają się schody! Wirus potrafi przetrwać nawet apokalipsę w postaci upgrade systemu, a nawet firmware.  Mało tego – każde podpinane do zainfekowanego Macbooka przez Thunderbolt urządzenie zewnętrzne może mieć podmieniany Option ROM i tym samym rozprzestrzeniać infekcję na inne komputery Apple. O zgrozo!

content

Jest jednak jedno słuszne i logiczne wyjście z tego grajdołka! REFRESH CHIPA na którym zapisany jest firmware! Twórca robala wypowiada się w ten sposób o samym ratowaniu sprzętu:

“jest to sytuacja, w której większość osób powinna wyrzucić komputer, bo nie dysponują oni umiejętnościami pozwalającymi na otworzenie obudowy i przeprogramowanie chipa”

Jakie wnioski z dzisiejszej lekcji: NIE PODPINAMY KOMPUTERA DO NIEZNANYCH PRZEJŚCIÓWEK THUNDERBOLT!!! Zapisać, przykleić nad głową, zapamiętać i później nie płakać! Wiadomo też, że podobno poprawka 10.10.4 ma eliminować możliwość wykorzystania tej dziury na Macbookach, ale info jest oficjalnie nie potwierdzone.