Buzz
Như bất kỳ chuyên gia an toàn thông tin nào cũng sẽ nói với bạn, việc giữ cho phần mềm của bạn luôn được cập nhật là như làm đánh răng và dùng chỉ nha khoa của an ninh kỹ thuật số. Nhưng thậm chí người thực hành vệ sinh kỹ thuật số cẩn thận nhất thường tập trung vào việc duy trì các cập nhật của hệ điều hành và ứng dụng máy tính, chứ không phải là firmware của nó. Mã code ẩn mình, giống như bộ não lưỡi bò, kiểm soát mọi thứ từ webcam đến trackpad và cách máy tính tìm kiếm phần mềm khác khi khởi động. Một nghiên cứu mới đã phát hiện rằng các phần quan trọng nhất của firmware trên hàng triệu Mac không nhận được cập nhật. Và điều này không phải là do người dùng lười biếng đã bỏ qua cài đặt chúng, mà là do cập nhật firmware của Apple thường xuyên thất bại mà không thông báo cho người dùng, hoặc đơn giản là Apple lặng lẽ ngừng cung cấp cập nhật firmware cho những máy tính đó - trong một số trường hợp, thậm chí chống lại các kỹ thuật hack đã biết.
Tại hội nghị an ninh Ekoparty ngày hôm nay, công ty an ninh Duo dự định trình bày nghiên cứu về cách họ xâm nhập vào hàng ngàn máy tính để đo lường tình trạng thực tế của giao diện firmware có thể mở rộng của Apple, hay còn gọi là EFI. Đây là firmware chạy trước khi hệ điều hành của máy tính của bạn khởi động và có khả năng làm hỏng gần như mọi thứ khác xảy ra trên máy tính của bạn. Duo phát hiện rằng ngay cả các Mac với hệ điều hành đã được cập nhật hoàn hảo thường có mã EFI cũ hơn nhiều, do Apple không đẩy cập nhật EFI đến những máy tính đó hoặc không cảnh báo người dùng khi cập nhật firmware của họ gặp sự cố kỹ thuật và thất bại một cách yên lặng.
Đối với một số mô hình máy tính xách tay và máy tính để bàn của Apple, gần một phần ba hoặc một nửa số máy có phiên bản EFI không theo kịp với các cập nhật hệ điều hành của chúng. Và đối với nhiều mô hình, Apple đã không phát hành bất kỳ cập nhật firmware mới nào cả, khiến một phần của máy tính Apple trở nên dễ bị tấn công bởi các kỹ thuật tấn công EFI đã biết từ nhiều năm trước có thể đạt được kiểm soát sâu rộng và lâu dài trên máy tính của nạn nhân.
"Có một khẩu hiệu về việc duy trì hệ thống của bạn: Patch, patch, patch, và nếu bạn làm điều đó, bạn sẽ chạy nhanh hơn con gấu, bạn sẽ ở trong trạng thái tốt," nói Rich Smith, Giám đốc Nghiên cứu và Phát triển của Duo. "Nhưng chúng tôi đang thấy những trường hợp người ta đã làm những gì họ được bảo, cài đặt những bản vá này, và không có cảnh báo nào cho người dùng rằng họ vẫn đang chạy phiên bản EFI không đúng ... Phần mềm của bạn có thể an toàn trong khi firmware của bạn không an toàn, và bạn hoàn toàn mù quáng với điều đó."
Mã Code Dưới Mã Code
EFI của máy tính hiện đại, giống như BIOS trong các máy tính cũ hơn, là mã mầm kỹ thuật số mà máy tính sử dụng để khởi động hệ điều hành của mình. Điều này khiến nó trở thành một mục tiêu hấp dẫn, mặc dù khó hiểu, cho hacker: Kiểm soát EFI của máy tính---như Cơ quan An ninh Quốc gia (NSA) và CIA đã thể hiện khả năng làm trong những năm gần đây, theo tài liệu bí mật rò rỉ cho Der Spiegel và WikiLeaks---và một kẻ tấn công có thể cài đặt malware tồn tại ngoài hệ điều hành; quét antivirus sẽ không phát hiện nó, và thậm chí làm sạch toàn bộ ổ đĩa lưu trữ của máy tính cũng sẽ không diệt sạch nó.
Vì vậy, Duo đã quyết định đánh giá xem mã nhạy cảm đằng sau MacOS của Apple có được cập nhật đều đặn như thế nào thực sự. (Quan trọng là lưu ý rằng các nhà nghiên cứu đã chọn Apple đơn giản vì sự kiểm soát của họ đối với cả phần cứng và phần mềm làm cho nó trở thành một bộ máy tính dễ phân tích hơn nhiều so với các máy tính chạy Windows hoặc Linux, không phải vì có bất kỳ lý do nào nghĩ rằng công ty này ít cẩn thận hơn với firmware của mình so với các nhà sản xuất máy tính khác.) Trong những tháng gần đây, họ đã phân tích kỹ lưỡng 73.000 máy Mac được sử dụng bởi khách hàng của họ và được lấy mẫu từ các mạng doanh nghiệp khác nhau. Sau đó, họ thu hẹp bộ sưu tập đó xuống còn khoảng 54.000 máy tính đủ mới để được bảo dưỡng tích cực bởi Apple, và so sánh firmware của mỗi máy tính với phiên bản mà máy tính đó nên có dựa trên phiên bản hệ điều hành của nó.
Kết quả là một bức tranh đầy bất ngờ về các bản vá bị thiếu: Tổng cộng, 4,2% các Mac mà họ kiểm tra có phiên bản EFI sai cho phiên bản hệ điều hành của họ, ngụ ý rằng họ đã cài đặt một bản vá phần mềm mà cách nào đó đã không cập nhật EFI của họ. Đối với một số mô hình cụ thể, kết quả còn tồi tệ hơn nhiều: Đối với một chiếc iMac desktop, mô hình màn hình 21,5 inch muộn 2015, nhóm nghiên cứu phát hiện các bản cập nhật EFI thất bại ở 43% máy. Và ba phiên bản của Macbook Pro 2016 có phiên bản EFI sai cho phiên bản hệ điều hành của họ ở từ 25 đến 35%, ngụ ý rằng chúng cũng có tỷ lệ thất bại cập nhật EFI nghiêm trọng.
Các nhà nghiên cứu của Duo nói họ không thể xác định tại sao các Mac không nhận được cập nhật. Như các bản cập nhật hệ điều hành, đôi khi cập nhật firmware thất bại do độ phức tạp của việc cài đặt trên nhiều máy tính đa dạng, họ nói. Nhưng khác với một bản cập nhật hệ điều hành thất bại, một bản cập nhật EFI thất bại không kích hoạt bất kỳ cảnh báo nào cho người dùng. "Chúng tôi không biết tại sao tất cả các cập nhật EFI không được thực hiện; chúng tôi biết rằng chúng không được thực hiện," nói ông Smith của Duo. "Và nếu nó không hoạt động, người dùng cuối không bao giờ được thông báo."
Những Lỗ Hổng Trong Các Bản Vá
Đến bao lâu mà những bản cập nhật firmware thất bại này sẽ khiến Mac mở cửa cho các kỹ thuật tấn công EFI đã biết đến thực sự không rõ---phân tích của nhà nghiên cứu về các bản cập nhật thất bại không đi xa đến mức định lượng bao nhiêu lỗi như thế nào khiến máy tính trở nên dễ tấn công cụ thể. Nhưng nhóm nghiên cứu đã xem xét cách Apple vá bốn phương pháp tấn công EFI khác nhau được trình bày trong nghiên cứu an ninh trước đó và phát hiện rằng công ty đơn giản là không đưa ra các bản vá firmware chống lại những cuộc tấn công đó cho hàng chục mô hình Mac cũ, ngay cả khi họ đã cập nhật hệ điều hành của những máy tính đó.
Đối với một cuộc tấn công được biết đến là Thunderstrike, có thể được CIA sử dụng đôi khi để cài đặt phần mềm gián điệp sâu bên trong máy tính nạn nhân theo các thông báo mới đây từ WikiLeaks, nhóm nghiên cứu nói rằng 47 mô hình PC không nhận được bản vá firmware để ngăn chặn cuộc tấn công. Điều đó có thể là do các hạn chế về phần cứng của cuộc tấn công Thunderstrike đó, nhóm nghiên cứu thừa nhận, bởi vì nó yêu cầu một hacker phải có quyền truy cập vật lý vào cổng Thunderbolt của máy tính mục tiêu, một thành phần mà nhiều máy Mac cũ không có. Nhưng họ cũng phát hiện ra rằng 31 mô hình Mac không nhận được bản vá firmware chống lại cuộc tấn công khác được biết đến là Thunderstrike 2, một kỹ thuật nhiễm trùng EFI phát triển hơn có thể được thực hiện từ xa. (Duo đã phát hành một công cụ mã nguồn mở để kiểm tra phiên bản firmware của Mac của bạn có lỗ hổng ở đây.)
"Đó là một nguy cơ lớn," nói Thomas Reed, trưởng nhóm nghiên cứu về Apple tại công ty an ninh MalwareBytes. "Không tốt khi thấy những máy tính này bị bỏ lại với các phiên bản firmware dễ tấn công. Có khả năng cao rằng những máy tính này có thể bị khai thác bởi phần mềm độc hại kiểm tra EFI của bạn và nếu nó có lỗ hổng, tấn công để cài đặt một cái gì đó một cách kiên trì."
Không Chỉ Là Vấn Đề của Apple
Khi Mytour liên hệ với Apple để có ý kiến, công ty không phủ nhận những phát hiện của Duo, mà Duo đã chia sẻ với Apple vào tháng 6. Nhưng người phát ngôn chỉ đến một tính năng của phiên bản mới của MacOS, High Sierra, kiểm tra EFI của máy tính hàng tuần để đảm bảo nó không bị hỏng một cách nào đó. "Để cung cấp một trải nghiệm an toàn và an toàn hơn trong lĩnh vực này, macOS High Sierra tự động xác minh firmware Mac hàng tuần," tuyên bố đọc. "Apple tiếp tục làm việc chăm chỉ trong lĩnh vực an ninh firmware và chúng tôi luôn khám phá cách để làm cho hệ thống của chúng tôi trở nên an toàn hơn."
Trong khi tính năng High Sierra đó đánh dấu một cải thiện đáng kể đối với an ninh EFI của Apple, nó không áp dụng cho các hệ điều hành cũ hơn hoặc hoàn toàn giảm nhẹ vấn đề, Duo chỉ ra: Tính năng được thiết kế để bắt firmware bị hack --- không phải firmware đã lỗi thời hoặc đã thất bại cập nhật. Xeno Kovah, chuyên gia an ninh EFI của Apple, viết trong một tweet về nghiên cứu của Duo rằng anh ấy đồng ý với kết luận của nó, và rằng "chúng ta có những điều chúng ta có thể làm tốt hơn." (Sau đó anh ấy đã xóa tweet.)
Tất nhiên, Apple có lẽ không đặc biệt cẩu thả trong việc vá EFI của máy tính của mình, so với các nhà sản xuất máy tính khác. Trên thực tế, nhóm nghiên cứu cảnh báo rằng họ không thể phân tích tình trạng của EFI trên các máy tính Windows hoặc Linux của Dell, HP, Lenovo, Samsung hoặc bất kỳ một tá thương hiệu nào khác: EFI của mỗi máy tính đó sẽ phụ thuộc vào nhà sản xuất phần cứng và do đó yêu cầu một phân tích riêng biệt. Và điều đó có nghĩa là EFI của những máy tính đó có thể ở tình trạng tồi tệ hơn, vì người dùng máy tính cá nhân thường được yêu cầu cập nhật hệ điều hành của họ một cách độc lập từ firmware của họ, với mỗi bản cập nhật đến từ một nguồn khác nhau. "Tôi nghi ngờ rằng vấn đề này nhiều lần nặng nề hơn trên Windows so với Mac," Reed của MalwareBytes nói.
Tất cả điều đó có nghĩa là những phát hiện của Duo không chỉ trỏ đến một vấn đề của Apple, hoặc thậm chí là vấn đề EFI, mà là một vấn đề firmware rộng lớn, nghiêm trọng. "Nếu bạn là một mục tiêu gián điệp công nghiệp hoặc một mục tiêu của quốc gia, bạn cần phải nghĩ về an ninh của firmware cũng như phần mềm nếu bạn muốn xây dựng một mô hình đe dọa đáng tin cậy và thực tế," Smith của Duo nói.
Nói cách khác, hacker tinh vi ngày nay đã vượt xa khỏi hình ảnh đơn giản hóa của người dùng trung bình về một máy tính: ứng dụng trên một hệ điều hành trên phần cứng. Thay vào đó, họ đang tự đặt mình vào các góc khuất của kiến trúc máy tính đó tồn tại ngoài hình ảnh đó. Và bất kỳ ai hy vọng giữ cho máy tính của họ thực sự an toàn sẽ cần bắt đầu nhìn vào những góc đó, nữa.
