OS X 10.11 - Comprendre les nouvelles règles de sécurité, Qu'est-ce qu'elles changent sur nos Hackintosh ?

[polyzargone]

Bonjour à tous.

Je vous propose ici de venir discuter des nouvelles règles en matière de sécurité introduites par OS X "El Capitan".

Le temps où OS X pouvait se vanter d'être à l'abri des virus et des malware est révolu. Sans parler des failles de sécurité propres à OS X . L'actualité récente le prouve régulièrement, et avec le succès toujours grandissants des OS d'Apple (OS X, iOS et maintenant WatchOS), les menaces sont de plus en plus présentes et il serait suicidaire de les ignorer.

Il ne s'agit pas ici de débattre sur la politique d'Apple en la matière, les news de MacBidouille ainsi que le forum "Articles & News : Vos réactions" sont là pour ça.

Non, il s'agit plutôt de discuter des implications qu'elle peut avoir sur Nos Hackintosh et sur leur fonctionnement.

Pour commencer, faisons le point :

La Developer Preview 4 et la Public Beta 2 n'autorisent plus le chargement de kexts s'ils sont installés ailleurs que dans /Library/Extensions ou /System/Library/Extensions.

Conséquence : Les kexts situés dans EFI/CLOVER/kexts/10.11 (Clover) et ceux dans Extra/Extensions (Chameleon) ne se chargeront pas. Et ce, même en utilisant les boot-flags kext-dev-mode=1 et/ou rootless=0

Pour l'instant, on ne sait pas trop si c'est dû aux bootloaders ou si c'est autre chose…

Pour rappel :

• kext-dev-mode=1 permet sous Yosemite d'autoriser le chargement des kexts non-signés par Apple ou un développeur enregistré. Sous 10.11, ce boot-flag est obsolète.

• rootless=0 est un nouveau boot-flag qui permet de désactiver l'ensemble des nouvelles mesures de protection d'OS X 10.11. Sans ce boot-flag, il est impossible de modifier le dossier System et donc de modifier, ajouter ou retirer des kexts non-signés par Apple ou un développeur enregistré. Et même dans ce dernier cas, il reste quand même des limitations à ce que peut faire un kext ou pas.

Je vous invite à lire cet article qui explique (en anglais ) assez bien le pourquoi du comment. Vous pouvez également consulter ce document (240 pages ) qui explique le fonctionnement du système de sécurité d'OS X 10.11 (source Apple).

On retiendra donc que le boot-flag rootless=0 remplace kext-dev-mode=1 et qu'il devient de facto obligatoire sur nos Hacks. Pas forcément de façon systématique mais mieux vaut l'activer en permanence si on veut pouvoir bricoler un peu les permissions et/ou reconstruire le cache (je rappelle que c'est très important sur Hackintosh ).

Maintenant, la question qui risque de se poser à terme, c'est va-t-on vers un OS X beaucoup plus vulnérable sur un Hack par rapport à un Mac du fait de la désactivation obligatoire de ces nouvelles mesures de protection ?

Si sur Yosemite, kext-dev-mode=1 ouvrait déjà un peu les vannes, sur El Capitan, c'est carrément tout le système de protection qui sera désactivé !

Voilà. Tout ceci ne sont que des interprétations basées sur ce que j'en ai vu/lu. Je vous invite bien sûr à partager vos points de vue et à me corriger si je n'ai rien compris .

[Sebinouse]

Si sur Yosemite, kext-dev-mode=1 ouvrait déjà un peu les vannes, sur El Capitan, c'est carrément tout le système de protection qui sera désactivé !

J'étais en train de me poser les mêmes questions mais dans ma tête, je n'aurais pas eu le courage de faire un post complet comme celui la ! Merci !

Bon maintenant on peut relativiser : avant Yosemite aucune de ces protections n'existait ... elles vont dans le bon sens mais elles ne sont peut-être pas indispensables dans un premier temps on revient à du MacOSX 10.9 dans lequel on pouvait charger les kext de notre choix et rooter comme on voulait ...



Ce message a été modifié par Sebinouse - 23 Jul 2015, 22:13.

[blueG3]

en terme de "sécurité cible" , c'est pas terrible.

en terme d'absence de ce type de sécurité AVANT yosemite, je te répondrai , qu'actuellement la version Snow leopard (10.6.8) a de plus en plus risque du fait d'absence totale de correction strict en terme de sécurité
( partie Apple , partie issu de FreeBSD )

dans ce domaine , le monde libre (linux , BSD ) au moins diffuse et patchent les parties systèmes pour les éliminer.

des failles tels que bash , openssl , ssl et niveau de sécurité ( man in the middle ) ,ntp, version TLS , longueur minimum de cryptage , montre que dans le temps il y a
au début des petits trous et assez rapidement cela se fracture bien trop autour.


je n’évoque pas le cas de flash , ( on doit a des failles de niveau 0-day , a 1/semaine ) depuis le temps que flash existe , on voit ou passe réellement l'effort dans ce domaine ou on mesure très exactement le niveau Adobe dans ce domaine : ils excellent , en plus sur plusieurs plateformes ( windows , linux , os X ) , ils leur restent les console de jeux pour avoir les 5 étoiles d'or en terme de sécurité Raté.

c'est une des raisons qui me poussent a voir ailleurs ( linux , BSD ) en ce moment.

Ce message a été modifié par blueG3 - 23 Jul 2015, 22:36.

[polyzargone]

Bon maintenant on peut relativiser : avant Yosemite aucune de ces protections n'existait ... elles vont dans le bon sens mais elles ne sont peut-être pas indispensables dans un premier temps on revient à du MacOSX 10.9 dans lequel on pouvait charger les kext de notre choix et rooter comme on voulait ...

Absolument. Je ne veux pas non plus dramatiser à outrance tout ça. Et de toute manière, toute conclusion est bien trop prématurée tant qu'on aura pas la GM entre les mains et que les codeurs Hackintosh aient eu le temps de regarder ça de près. Ça peut encore évoluer et au pire, bah on fera avec (ou plutôt sans ).

Aux dernières nouvelles, c'est principalement l'injection des kexts via Clover qui foire et ça a l'air d'avoir quelque chose à voir avec le kernel. Il y a donc encore un espoir que ça vienne de là et pas d'autre chose. Maintenant, je ne suis pas développeur de bootloader donc je m’abstiendrai d'affirmer quoique ce soit .

Mais ne rêvons pas non plus, en ce qui concerne les nouvelles mesures de sécurité, je vois mal Apple faire machine arrière sur ces questions et que cela nous embête un peu sur Hackintosh n'est absolument pas un problème pour eux .

A contrario, je ne pense pas non plus et pour faire taire toute polémique à tendance paranoïaque, que tout ça fait partie d'un plan machiavélique destiné précisément à tuer d'un coup d'un seul les Hackintosh. Ce serait nous donner bien plus d'importance qu'on ne le mérite … Non, il s'agit d'une tendance générale qui consiste à renforcer la sécurité globale des OS, que ce soit sur Mac/PC/Linux.

Après, on peut aussi se dire, et là je m'avance sûrement un peu trop, qu'étant sous Hackintosh on a tendance a mieux comprendre ces problématiques de signature des kexts et les notions de root, droits/permissions. Ça ne fait pas de nous des experts mais j'aime à penser que ça nous permet d'appréhender cela un (peu) plus facilement que l'utilisateur Lambda… Mais là, je rêve certainement un peu !

Mais bon, on peut très bien vivre sans ces mesures si on fait un minimum attention à ce qu'on installe. Il y aura toujours des ptits malins qui trouveront des moyens beaucoup plus sophistiqués pour contourner les barrières et ça, même sans rootless=0 un utilisateur moyen ou relativement expérimenté n'y pourra pas grand chose .

[heinzoliger]

Voici mon opinion :

Il y a deux sortes d'attaque informatique :
Celles de masse et celles ciblées.

L'attaque ciblée concerne en général des personnes qui possèdent des données sensibles et rares. Les cibles seront des industrielles, des banques, des agences gouvernementales, voir des opposants politiques...
Vous voyez le topo.
Si on se considère une de ces personnes, alors avoir un hackintosh n'est pas recommandé. Rien que le fait de ne pas pouvoir activer FileVault discrédite cette solution.

L'attaque de masse par contre concerne tout le monde.
On va chercher à s'introduire dans le maximum d'ordinateurs possible pour en faire des Zombies, récupérer des CB, des identifiants de compte, ...
Ces attaques ciblent donc des configurations basiques comportant beaucoup d'utilisateurs.
Tant que la part de marché d'OSX était faible, on était donc à l'abri de ce type d'attaque. Ce n'est plus le cas actuellement.
Mais si tous les utilisateurs legit d'OSX ont les protections d'Apple activées avec rootless à 1 par exemple, alors je vois mal les hackers perdre du temps à développer des outils pour le petit pourcentage d'utilisateurs d'hackintosh qui ont ces protections de désactivées.
Je vois ça un peu comme la protection naturelle contre les maladies qu'ont les personnes non vaccinées si la majorité des autres le sont.
Si la grande majorité des installations d'OSX sont protégées au niveau root et kernel, alors tout le monde de fait est protégé à ce niveau.

Ce message a été modifié par heinzoliger - 25 Jul 2015, 14:46.

[polyzargone]

Très intéressant en effet.

Je te rejoins sur les deux styles d'attaques et sur le fait que grâce aux utilisateurs Mac "normaux" (il y en aura bien quelques-un qui vont quand même désactiver ces protections, hein ? ), l'ensemble de la base installée Hackintosh aura beaucoup moins de chances de devenir une cible potentielle.

D'un autre côté, pour reprendre l'analogie avec les maladies, si on est "infecté", on devient soi-même et de facto un vecteur de transmission. Il ne faut pas oublier que comme le souligne Sebinouse, ces protections ne concerneront que OS X 10.11 et que pour l'instant, la base installée est très proche de 0%.

Je ne doute pas une seconde qu'OS X 10.11 va rapidement être adopté, ne serait-ce qu'à cause de la supposée mauvaise réputation et supposée mauvaise qualité de Yosemite mais aussi par les mal compris apports de Metal mais en attendant, la base installée des anciens OS comme Mavericks, Mountain Lion et l'increvable Snow Leopard est encore assez conséquente. Je n'ai pas de chiffres exacts mais c'est de notoriété publique .

En clair, les anciens OS d'Apple seront tout aussi vulnérables qu'un OS X 10.11 avec rootless=0.

Alors évidemment, ce n'est pas la faible part de Hackintosh qui causera le plus de problème, c'est bien sûr et principalement cette base d'anciens OS non à jour qui le sera. De toute manière, il n'y a rien à faire et je doute même fortement qu'Apple continue indéfiniment de sortir des MÀJ de sécurité pour ceux-là. Ça va hurler à l'obsolescence programmée un peu partout mais bon, y a un moment où faut évoluer …

Mais si d'aventure on utilise son/ses Hackintosh en milieu hétérogène (et pas forcément pour un usage professionnel), c'est un point à prendre en compte. Car contrairement à toi, je ne suis pas certain que les Hackers se désintéresseront d'OS X une fois les nouvelles mesures de protection en vigueur car justement, ce n'est pas OS X 10.11 qui sera la cible et ce qu'on soit sur Mac ou sur Hack (alors si en plus sur Hack c'est encore plus facile… )

Plus Apple grossit, plus l'intérêt d'hacker OS X devient intéressant financièrement parlant (ne serait-ce que pour récupérer les comptes AppleID et les numéros de CB associés) et même si cela ne concerne qu'une petite partie des utilisateurs ou si ça demande plus d'efforts, ça rapportera de plus en plus gros à mesure qu'Apple envahit tous les domaines de la vie numérique.

[heinzoliger]

Pour les anciennes versions, c'est sûr qu'elles resteront vulnérables à ces attaques. Mais en général, les migrations vers les nouvelles versions se font assez rapidement. Et je parlais plutôt de la situation à terme. Vu qu'Apple va surement continuer tous les ans à fermer un peu plus l'OS à des modifications. (avec certainement à chaque fois des flags pour supprimer ces protections).

Par contre, bien entendu que les hackers ne se désintéresseront pas d'OSX. Il y aura toujours des failles de sécurités et des gens capables de les trouver. C'est juste qu'ils chercheront (à terme toujours) à cibler la masse. C'est à dire un ordinateur ayant toutes les mesures de protections mises par Apple par défaut.
Et donc à ce niveau là, avoir personnellement rootless à 1 ou à 0 ne changera pas grand chose. Vu que le hacker supposera qu'il soit activé et basera son attaque dessus en passant par d'autres failles contre lesquelles il n'existe pas de protection.

[Akirami]

Merci de ce topic, je suis entrain de construire un nouvel ordi et la première chose que je fais après avoir installé OS X, c'est de tout virer l' App Store, les kexts concernant facebook et twitter, mon propre routeur en plus de celui de la box, je ne sais pas combien de temps ça tiendras mais je n'ai ni antivirus, ni par feu et jusqu'à aujourd'hui, ça tiens très bien et ce, avec 2 gamines à la maison

Bon j'ai bidoullé un peu les pare feu et un Raspi m'aide beaucoup

[Ovape]

Merci de ce topic, je suis entrain de construire un nouvel ordi et la première chose que je fais après avoir installé OS X, c'est de tout virer l' App Store, les kexts concernant facebook et twitter, mon propre routeur en plus de celui de la box, je ne sais pas combien de temps ça tiendras mais je n'ai ni antivirus, ni par feu et jusqu'à aujourd'hui, ça tiens très bien et ce, avec 2 gamines à la maison

Bon j'ai bidoullé un peu les pare feu et un Raspi m'aide beaucoup

Salut Akirami,
je viens d'arriver sur le forum et étant très novice en la matière, ce que tu dis concernant les kexts de facebook m'intéresse. Qu'entends-tu par la ? Et que t'apporteras le fait de virer l'app store ?

Cdlt

Alex

[Akirami]

Merci de ce topic, je suis entrain de construire un nouvel ordi et la première chose que je fais après avoir installé OS X, c'est de tout virer l' App Store, les kexts concernant facebook et twitter, mon propre routeur en plus de celui de la box, je ne sais pas combien de temps ça tiendras mais je n'ai ni antivirus, ni par feu et jusqu'à aujourd'hui, ça tiens très bien et ce, avec 2 gamines à la maison

Bon j'ai bidoullé un peu les pare feu et un Raspi m'aide beaucoup

Salut Akirami,
je viens d'arriver sur le forum et étant très novice en la matière, ce que tu dis concernant les kexts de facebook m'intéresse. Qu'entends-tu par la ? Et que t'apporteras le fait de virer l'app store ?

Cdlt

Alex

Salut Ovape,

L'avantage des systèmes basés sur UNIX (un LINUX amélioré concernant Androïd ou OS X), c'est qu'ils sont modulable à souhait.

Fais une simple recherche concernant les kexts (faceplouc et twitter) sur spotlight et tu trouveras ce que tu as besoin de virer.

Pour ma part c'est juste un sentiment de liberté, pas besoin de l'app store ou de faceplouc pour me servir d'un ordi, j'achète mes logiciels et mes jeux comme tout le monde mais je deteste la vente forcée, c'est tout.

J'avais fait une liste des kexts à virer, c'est sur un wiki interne, je vais essayer de retrouver cela et la mettre au propre si ça interesse du monde, le problème sera de faire le tri, il y a autant de hackintosh qu'il y a de hackintoshers

[polyzargone]

Petit état des lieux en ce qui concerne les nouvelles protections d'OS X 10.11 (que l'on appellera désormais System Integrity Protection ou SIP).

Le bootflag rootless=0 permettait jusqu'à la DP4 de modifier les fichiers du dossier System et de toucher au cache système, bref, de charger les kexts non-signés indispensables à nos Hacks.

Avec la DP5 (et très certainement la PB3 lorsqu'elle sera dispo), cela ne suffit plus. Maintenant, le SIP étant activé par défaut, on ne peut plus rien toucher même si rootless=0 permet en apparence de le faire.

Deux raisons à cela :

• La réparation des permissions doit être forcée par la commande chown -Rf 0:0 car la commande chown -R 0:0 ne suffit plus et rend le(s) kext(s) "Untrusted". Et aucun kext considéré comme Untrusted ne sera chargé ni ajouté au prelinkedkernel (le cache système d'OS X) qu'il soit dans /E/L ou /S/L/E.

• Le SIP actif empêchera le chargement des kexts non-signés. Je ne sais pas trop si le simple fait de réparer correctement les permissions ou d'utiliser rootless=0 permet de contourner cela, donc dans le doute, je conseille de le désactiver aussi. À tester .

Pour cela, une nouvelle commande terminal est disponible : csrutil

[EDIT] Cette commande existe déjà dans la PB2 et probablement dans les versions DP/PB depuis les toutes premières builds.

Voici comment s'en servir :

Code

usage: csrutil <command>

Modify the System Integrity Protection configuration. All configuration changes apply to the entire machine.

Available commands:

    disable

        Disable the protection on the machine. Requires a reboot.

    enable

        Enable the protection on the machine. Requires a reboot.

    status

        Display the current configuration.

(source : InsanelyMac)

En ce qui concerne Clover et l'injection des kexts directement depuis EFI/CLOVER/kexts/10.11, les choses sont en cours et il semble qu'elles avancent bien. Par ailleurs, Pike R. Alpha semble avoir trouvé une solution (compliquée ) au problème qui devrait pouvoir être intégrée à l'ensemble des bootloaders dans un avenir très proche .

Cette solution pourrait avoir l'énorme avantage de permettre le chargement des kexts non signés tout en laissant le SIP pleinement actif et fonctionnel. Cela étant dit, c'est aussi la preuve que le SIP peut être très facilement contourné et il est fort possible qu'Apple bloque cette possibilité dans une prochaine bêta. Et d'un certain côté, ce serait même souhaitable !

Voilà, n'hésitez pas à compléter/confirmer/infirmer tout cela. J'ai sans doute oublié certaines choses et/ou mal compris d'autres .

[chris27]

Tu as pu exécuter le CSRUTIL directement dans EL_capitan ?
Dans mon cas il m'a demander d'aller directement dans le recovery pour le faire. Mais, dans le recovery, il ne me trouvait pas la bonne commande...

En tout cas, le fait d'ajouter :
<key>RtVariables</key>
<dict>
<key>BooterConfig</key>
<string>0x28</string>
<key>CsrActiveConfig</key>
<string>0x67</string>
</dict>

au config.plist sur clover, permet de désactiver le SIP.

[polyzargone]

Tu as pu exécuter le CSRUTIL directement dans EL_capitan ?
Dans mon cas il m'a demander d'aller directement dans le recovery pour le faire. Mais, dans le recovery, il ne me trouvait pas la bonne commande...

En tout cas, le fait d'ajouter :
<key>RtVariables</key>
<dict>
<key>BooterConfig</key>
<string>0x28</string>
<key>CsrActiveConfig</key>
<string>0x67</string>
</dict>

au config.plist sur clover, permet de désactiver le SIP.

Non, je n'ai pas essayé étant donné que comme toi, Clover l'avait déjà désactivé dans le config.plist. En principe, il n'y a pas besoin d'aller dans le Recovery HD (en fait, je pense même que ça ne fonctionne pas du tout et que ça ne change rien à cause d'une histoire de nvram (j'suis pas sûr d'avoir compris mais va voir ici) ), il suffit juste de redémarrer .

[polyzargone]

La première chose que je fais après avoir installé OS X, c'est de tout virer l' App Store, les kexts concernant facebook et twitter
(…)

Je viens d'arriver sur le forum et étant très novice en la matière, ce que tu dis concernant les kexts de facebook m'intéresse. Qu'entends-tu par la ? Et que t'apporteras le fait de virer l'app store ?

Sauf erreur de ma part, il n'y a pas de kext "Facebook, Twitter, Linkedin & co" à proprement parler dans OS X. Ce sont des comptes que l'on ajoute ou pas dans Préférences système > Comptes Internet.

Donc à part ne pas les activer ou les désactiver, il n'y a rien de plus à faire. OS X ne vous embêtera pas avec ça .

Si pour une raison ou une autre vous voulez quand même les activer mais ne pas être emm**der à tout bout de champ, c'est dans les Notifications que tout se règle plus ou moins finement.

Il est également possible de régler ce qu'on veut synchroniser application par application.

Bref, je ne vais pas vous faire un tuto sur ça (d'autant que c'est pas tellement le sujet ici ) mais y a rien de bien compliquer dans cette affaire et il n'y a pas besoin de virer des kexts .

Et en ce qui concerne l'AppStore, le virer c'est une chose mais quid des MÀJ OS X ?

Ça oblige à les télécharger manuellement et ça, c'est si elles sont toutes disponibles sous cette forme ce qui n'est pas évident du tout …

[Akirami]

Je t'assure qu'il y a bien des kexts concernant les réseaux sociaux, Facebook et Twitter sont bien intégrés dans OS X, cherches les régies de pub associées à iADS et tu les trouveras.

Ceci, on ne va pas polluer ce sujet, j'en créerais un quand j'aurais le temps.

Edit : Concernant l'app store, c'est juste un pkg à DL, rien de bien compliqué.

Ce message a été modifié par Akirami - 31 Jul 2015, 07:21.

[iGH]

Kext editing/unsigned kexts require only:
CSR_ALLOW_UNTRUSTED_KEXTS > 1
CSR_ALLOW_UNRESTRICTED_FS > 2

CsrActiveConfig=0x3.
Tested.

Trouvé là

[polyzargone]

Merci iGH

Pour compléter et en espérant que ce soit la liste "définitive" :

0x1 permet :

CSR_ALLOW_UNTRUSTED_KEXTS // le chargement des kexts non signés

0x3 permet :

CSR_ALLOW_UNTRUSTED_KEXTS // le chargement des kexts non signés

CSR_ALLOW_UNRESTRICTED_FS // le chargement des systèmes de fichier non signés (Tuxera NTFS, Paragon NTFS par ex.)

0x65 permet :

CSR_ALLOW_UNTRUSTED_KEXTS // le chargement des kexts non signés

CSR_ALLOW_TASK_FOR_PID // la gestion des process par PID

CSR_ALLOW_UNRESTRICTED_DTRACE // le déboguagge du kernel via DTrace

CSR_ALLOW_UNRESTRICTED_NVRAM // de lever la restriction des paramètres NVRAM

0x67 permet :

CSR_ALLOW_UNTRUSTED_KEXTS // le chargement des kexts non signés

CSR_ALLOW_UNRESTRICTED_FS // le chargement des systèmes de fichier non signés (Tuxera NTFS, Paragon NTFS par ex.)

CSR_ALLOW_TASK_FOR_PID // la gestion des process par PID

CSR_ALLOW_UNRESTRICTED_DTRACE // le déboguagge du kernel via DTrace

CSR_ALLOW_UNRESTRICTED_NVRAM // de lever la restriction des paramètres NVRAM

Source : InsanelyMac

[aranaud]

Donc si je comprend bien. On devrai pourvoir mettre 0x1 à la place de 0x67 pour faire fonctionner 10.11 sur no Hackintosh ? L'utilité de BooterConfig ?

Code

<key>RtVariables</key>
<dict>
<key>BooterConfig</key>
<string>0x28</string>
<key>CsrActiveConfig</key>
<string>0x67</string>
</dict>

[polyzargone]

Donc si je comprend bien. On devrai pourvoir mettre 0x1 à la place de 0x67 pour faire fonctionner 10.11 sur no Hackintosh ? L'utilité de BooterConfig ?

En principe, tu peux même démarrer avec 0x00 à condition que tu ne rajoutes aucun kext et que tu ne reconstruises surtout pas le cache.

De cette manière, tu auras le SIP activé et le maximum de protection mais tu ne pourras plus rien faire dans le dossier System sans modifier à nouveau le CrsActiveConfig en 0x1 ou 0x3.

Mais oui, tu as raison, 0x1 suffit pour démarrer un Hackintosh sous OS X 10.11.

À mon avis 0x65 ou 0x67 ne servent absolument à rien pour le commun des mortels, autrement dit nous . À noter tout de même que certains utilitaires comme DarwinDumper par exemple ont besoin de DTrace pour créer un rapport.

Quant à BooterConfig, visiblement il ne sert à rien du tout.

[aranaud]

Bon, j'ai viré BooterConfig vu qui ne sert à rien et j'ai aussi passé CsrActiveConfig à 0x3.