für EFI gibt's meines Wissens ein Rootkit
Diese Bezeichnung trifft es zwar nicht ganz, aber im Grunde ist das wahr.
Diese Form von *potentieller* Schadsoftware steht allerdings bisher nur als transiente Form im Raum, dh schlimmstenfalls als eine reguläre Datei im Filesystem der EFI Systempartition. Dort würde sie durch eine komplette Neupartitionierung der Platte zuverlässig ausgeschaltet.
Das permanente Einbringen von eigenem Code ins EPROM der Firmware wäre *theoretisch* möglich, aber davor braucht man eher keine Angst zu haben. Das gestaltet sich ausserordentlich schwierig und muss sehr spezifisch an die individuelle Firmwarebasis angepasst geschehen. Das meint, um sämtliche Mac-Modelle in all ihren Ausprägungen damit treffen zu können, müssten gegenwärtig schon etwa 100-150 Varianten erzeugt, und jede einzelne an einem passenden Stück Opferhardware ausgiebig getestet werden. Wer dazu in der Lage wäre (schon rein logistisch eine regelrechte Marsmission), der könnte auch den softwaregestützten Regenerierungsprozess der Firmware von Grund auf sabotieren. Sowas mag man nicht an die Wand malen, das wäre definitiv nur noch mit dem Lötkolben zu beseitigen.
lässt sich bspw. über USB oder Thunderbolt übertragen.
Transient, s.o.
Hier wäre es also sinnvoll, das EFI zu flashen um absolut sicher zu gehen.
Nein, und das aus zwei Gründen:
- Hättest du es mit einem evolutionär tatsächlich so fortgeschrittenen Schädling zu tun, könntest du gar nichts mehr flashen.
Die entsprechende Routine kann ebenso "einfach" entfernt, oder sonstwie manipuliert werden, wie eine neue Komponente hinzuzufügen ist.
- Das flashen würde dich nicht im geringsten davor schützen, dass die Maschine sich den Schädling bei der erstbesten Gelegenheit sofort erneut einfängt.
Die SSD mit Nullen überschreiben wäre auch eine Idee.
Ganz im Gegenteil, so macht man SSD (und andere Flashspeicher) langfristig unbrauchbar. Das gehört mit zum gemeinsten und destruktivsten, das man solcher Hardware antun kann.
MBR gibt's laut eurer Aussage nicht, das ist ja schön zu hören.
Das ist relativ.
Ein MBR existiert zwar, er wird aber nur verwendet wenn ein "Legacy-OS" in der BIOS-Umgebung gestartet wird (aka Windows als BootCamp-Installation). Hast du kein Boot Camp aktuell in Verwendung, kannst du das Thema vergessen. Für die EFI-Startprozedur (die von OS X benutzt wird) ist der MBR-Bootcode nur eine sinnfrei herumliegende Dateileiche ohne jegliche Bedeutung.
Dann stell ich mir noch die Frage, wo das System vom Apple Internet Recovery liegt
Auf den Servern von Apple.
(Oder genauer gesagt, auf der verteilten Serverfarm von Akamai Technologies, wo Apple schon seit etwa 15 Jahren alle seine Angebote hosten lässt.)
Die Firmware enthält nur eine relativ bescheiden simple EFI-Applikation, die dort (im AppStore) das entsprechende Diskimage herunterlädt und es dann aus dem RAM heraus aufstartet. Funktioniert also prinzipiell fast genauso wie ein Net-Boot im lokalen Netz, nur über andere Protokolle.
Das geladene Plattenabbild ist das gleiche, das sich auch im Installer befindet, den man im AppStore kaufen kann - nur dass die Version hier immer die gleiche bleibt, mit der das Gerät verkauft wurde.
in einem extra ROM oder in einer versteckten Plattenpartition?
In einem ROM hätte mir besser gefallen als der Status Quo.
Und als Plattenpartition existiert dieses "Base System" erst nachdem es im Zuge der System-Neuinstallation dorthin kopiert wurde. Dann nennt sich die genau gleiche Software "Recovery HD".
Da wäre ja auch Platz für ein rootkit o.ä.
Daher wird diese Partition auch bei jeder Neuinstallation der Systemsoftware durch eine frische Kopie ersetzt (aus dem Installerpaket, bzw ofenwarm aus dem Netz geladen).
)
