MacBook saya sekarang memiliki pintu belakang permanen untuk beberapa peretas yang sepertinya tidak bisa saya singkirkan. Saya bahkan mencoba mem-boot dari Linux USB stick, menghapus semuanya termasuk partisi EFI, tetapi setiap kali saya mencoba menginstal ulang koneksi saya dibajak oleh fungsi "SlingShot" ini dan dialihkan ke beberapa server hosting yang terinfeksi:
NetworkFinishOSRSHostInfoLookup: Resolved OSRS Hostname [osrecovery.apple.com] to 17.164.1.12, Port 80
GetStationAddressViaIpAgent: Client IP Address: 172.20.10.6
GetStationAddressViaIpAgent: Client Subnet Mask: 255.255.255.240
GetStationAddressViaIpAgent: Router IP Address: 172.20.10.1
GetStationAddressViaIpAgent: DnsServer 0 Address: 172.20.10.1
NetworkFinishOSRSHostInfoLookup: Resolved DNS Address on interface with address 172.20.10.6
NetworkFinishOSRSHostInfoLookup: Got 1 Network Interfaces.
NetworkFinishOSRSHostInfoLookup: Handle 0 was used for successful DNS resolution of OSRS.
SlingShot: Got OSRS Info: Hostname osrecovery.apple.com, Host IP 17.164.1.12, Port: 80
SlingShotSetupAuthParams: Got MLB SN 'XXXXXXXXXXXXXXX'
NetworkResolveDomainName: Resolved IP Address for 'oscdn.apple.com': 23.62.239.26
DownloadChunkedAsset: Downloading 44 chunks.
NetworkResolveDomainName: Resolved IP Address for 'oscdn.apple.com': 23.62.239.26
SlingShotUpdateProgressUI: Recent download rate 0 dropped below 5 KBps, starting download stall timer.
SlingShotUpdateProgressUI: 30 sec avg 0 KBps, 541 KBps new total, last total 0 KBps, now 270 KBps
SlingShotUpdateProgressUI: Recent download rate 5 is above minimum 5 KBps, cancelling download stall timer.
SlingShotUpdateProgressUI: 30 sec avg 24 KBps, 748 KBps new total, last total 934 KBps, now 841 KBps
SlingShotUpdateProgressUI: 30 sec avg 23 KBps, 385 KBps new total, last total 429 KBps, now 407 KBps
SlingShotUpdateProgressUI: 30 sec avg 24 KBps, 269 KBps new total, last total 286 KBps, now 277 KBps
SlingShotUpdateProgressUI: 30 sec avg 57 KBps, 499 KBps new total, last total 446 KBps, now 472 KBps
SlingShotUpdateProgressUI: 30 sec avg 90 KBps, 645 KBps new total, last total 608 KBps, now 626 KBps
Mem-boot dari HD Pemulihan atau bahkan dari Drive Pemulihan Jaringan Apple masih membuat saya terjebak dalam rute ulang ini, dan sistem yang rusak dipasang setiap saat. Entah bagaimana bug ini dapat mengautentikasi pada sistem saya bahkan setelah penghapusan.
Tampaknya terkait perangkat keras. Booting dari Kali Linux pada USB stick saya mendapatkan entri ini di log boot yang menunjukkan bug firmware Mac:
[ 0.020231] [Firmware Bug]: ioapic 2 has no mapping iommu, interrupt remapping will be disabled
[ 0.020291] Not enable interrupt remapping
[ 0.020292] Failed to enable irq remapping. You are vulnerable to irq-injection attacks.
Segera diikuti oleh sistem yang dimiliki oleh sinyal interupsi dari jaringan?
[ 0.174491] ACPI: Interpreter enabled
[ 0.174496] ACPI Exception: AE_NOT_FOUND, While evaluating Sleep State [\_S1_] (20140926/hwxface-580)
[ 0.174499] ACPI Exception: AE_NOT_FOUND, While evaluating Sleep State [\_S2_] (20140926/hwxface-580)
[ 0.174509] ACPI: (supports S0 S3 S4 S5)
[ 0.174510] ACPI: Using IOAPIC for interrupt routing
[ 0.174530] PCI: Using host bridge windows from ACPI; if necessary, use "pci=nocrs" and report a bug
[ 0.180547] ACPI: PCI Root Bridge [PCI0] (domain 0000 [bus 00-ff])
[ 0.180552] acpi PNP0A08:00: _OSC: OS assumes control of [PCIeHotplug SHPCHotplug AER PCIeCapability]
[ 0.180903] acpi PNP0A08:00: [Firmware Info]: MMCONFIG for domain 0000 [bus 00-9a] only partially covers this bridge
Kemudian ada entri yang menunjukkan fungsi uPnP yang tampaknya menyamar sebagai file audio inti, dan saya perhatikan hal yang sama terjadi dengan PulseAudio di laptop Linux saya. Dan uPnP telah dinonaktifkan pada router saya untuk sementara waktu sekarang.
Juga, setiap distro Linux yang saya coba unduh dan instal atau instal dari disk telah disuntikkan dengan kerentanan yang sama. Bahkan jika saya pergi ke jaringan yang sama sekali berbeda. Jadi bug ada di komputer saya, tetapi tetap ada melalui lap. Dan setiap komputer dan router telah dihapus dan diinstal ulang dari awal, tetapi masih masuk ke dalam segalanya dan saya masih tidak memiliki kendali atas koneksi jaringan saya.
Cukup yakin ini semua dimulai dari iPhone saya dan akses melalui otentikasi "Percayai Komputer ini", tetapi saya belum menghubungkan iPhone saya ke laptop mana pun sejak ini dimulai. Dan ada lebih banyak detail dan momen menyenangkan seperti server apache yang digunakan 15 menit setelah penghapusan, USB stick saya dihapus dan hub dinonaktifkan ketika saya mencoba menyalin file server sebagai bukti, dan AppleCare mengatakan kepada saya bahwa mereka tidak melihat apa-apa sangat abnormal tentang semua ini.
Tapi ... Dengan anggapan ini sebagian besar ada dalam file konfigurasi boot, bagaimana cara membersihkannya di Mac dan Linux untuk memastikannya tidak terus bereplikasi sendiri? Atau apa yang harus saya lakukan untuk mengunci sesuatu?
Jawaban:
Saya pikir Anda telah bekerja sendiri dalam kegilaan paranoid dengan mengambil interpretasi terburuk dari sekelompok pesan log yang Anda tidak benar-benar mengerti.
Saya cukup yakin SlingShot adalah nama internal Apple untuk apa yang secara publik dikenal sebagai "OS X Internet Recovery". Jika hard drive Mac Anda telah sepenuhnya dihapus (bahkan tidak ada partisi pemulihan yang biasanya tersembunyi), maka Mac Anda akan mencoba untuk netboot dari server Apple (mungkin di-host di server CDN Akamai / EdgeSuite; Apple sudah lama menggunakan Akamai sebagai CDN favorit).
Artikel ini memberi Anda beberapa informasi tentang Pemulihan Internet (serta pemulihan partisi pemulihan hard drive lokal): https://support.apple.com/en-us/HT4718
Saya pikir "Firmware Bug" yang dilaporkan oleh installer Linux hanyalah bug, atau installer yang terlalu bersemangat menyebutnya sebagai "bug" ketika firmware tidak memiliki fitur keamanan tertentu yang diharapkan akan diinstal oleh installer. Saya tidak melihat bukti bahwa ini adalah citra firmware yang rusak, diretas, atau dibajak.
Adapun potongan log terakhir, harap menyadari bahwa motherboard sering memiliki "jembatan chip" untuk menghubungkan satu bus ke yang lain (seperti menghubungkan dua bus PCI satu sama lain), dan "interrupt routing" mengacu pada rute dari chip-ke-chip yang sinyal interupsi mengambil melintasi motherboard. Ini "menjembatani" dan "routing" adalah semua tentang chip dan bus dan sirkuit elektronik lainnya pada motherboard, bukan jaringan LAN / Internet.
sumber
Entah itu bagian integral dari jaringan Anda, atau router Anda telah dikompromikan dan DNS-nya dimainkan.
sumber