Ondrejs Holcmans Lai gan jaunās funkcijas, kas ieviestas operētājsistēmās OS X Yosemite un iOS 8, sniedz lietotājiem daudz noderīgu funkciju, kas vienkāršo vairāku ierīču lietošanu, tās var arī radīt drošības apdraudējumu. Piemēram, pārsūtot īsziņas no iPhone uz Mac, ļoti viegli apiet divpakāpju verifikāciju, pierakstoties dažādos servisos.
Continuity funkciju komplekts, kura ietvaros Apple savieno datorus ar mobilajām ierīcēm jaunākajās operētājsistēmās, ir ļoti interesants, it īpaši no tīklu un tehnikas viedokļa, ko tie izmanto iPhone un iPad savienošanai ar Mac. Nepārtrauktība ietver iespēju veikt zvanus no Mac, sūtīt failus caur AirDrop vai ātri izveidot karsto punktu, taču tagad mēs koncentrēsimies uz parasto SMS pārsūtīšanu uz datoriem.
Šī salīdzinoši neuzkrītošā, taču ļoti noderīgā funkcija sliktākajā gadījumā var pārvērsties par drošības caurumu, kas ļauj uzbrucējam iegūt datus otrajai verifikācijas fāzei, piesakoties izvēlētajos servisos. Šeit ir runa par tā saukto divfāžu pieteikšanos, ko papildus bankām jau ievieš daudzi interneta servisi un kas ir daudz drošāka nekā tad, ja jums ir konts, kas aizsargāts tikai ar klasisku un vienotu paroli.
Divfāžu verifikācija var notikt dažādos veidos, taču, runājot par internetbanku un citiem interneta pakalpojumiem, visbiežāk sastopamies ar verifikācijas koda nosūtīšanu uz jūsu tālruņa numuru, kas pēc tam ir jāievada blakus parastās paroles ievadīšanai. Tāpēc, ja kāds saņem jūsu paroli (vai datoru, ieskaitot paroli vai sertifikātu), viņam parasti būs nepieciešams jūsu mobilais tālrunis, piemēram, lai pieteiktos internetbankā, kur pienāk SMS ar paroli verifikācijas otrajai fāzei. .
Taču brīdī, kad visas jūsu īsziņas ir pārsūtītas no jūsu iPhone uz jūsu Mac datoru un uzbrucējs pārņem jūsu Mac datoru, viņiem vairs nav nepieciešams jūsu iPhone. Lai pārsūtītu klasiskās SMS ziņas, nav nepieciešams tiešs savienojums starp iPhone un Mac — tiem nav jābūt vienā Wi-Fi tīklā, Wi-Fi pat nav jābūt ieslēgtam, tāpat kā Bluetooth, un viss, kas nepieciešams, ir savienot abas ierīces ar internetu. Pakalpojums SMS Relay, kā oficiāli tiek saukta ziņojumu pārsūtīšana, sazinās, izmantojot iMessage protokolu.
Praksē tas darbojas tā, ka, lai gan ziņojums jums tiek nosūtīts kā parasta īsziņa, Apple to apstrādā kā iMessage un internetā pārsūta uz Mac datoru (tādi tas darbojās ar iMessage pirms SMS Relay parādīšanās). , kur tas tiek parādīts kā SMS, ko norāda zaļš burbulis . iPhone un Mac var atrasties dažādās pilsētās, tikai abām ierīcēm ir nepieciešams interneta savienojums.
Varat arī iegūt pierādījumu, ka SMS relejs nedarbojas, izmantojot Wi-Fi vai Bluetooth, rīkojoties šādi: aktivizējiet lidmašīnas režīmu savā iPhone un rakstiet un nosūtiet SMS savā Mac datorā, kas ir savienots ar internetu. Pēc tam atvienojiet Mac no interneta un, gluži pretēji, pievienojiet tam iPhone (pietiek ar mobilo internetu). SMS tiek nosūtīts, lai gan abas ierīces nekad nav tieši sazinājušās viena ar otru – visu nodrošina iMessage protokols.
Tādējādi, izmantojot ziņojumu pārsūtīšanu, ir jāpatur prātā, ka tiek apdraudēta divu faktoru autentifikācijas drošība. Gadījumā, ja jūsu dators tiek nozagts, jums nekavējoties jāatspējo ziņojumu pārsūtīšana, kas ir ātrākais un vienkāršākais veids, kā novērst iespējamu uzlaušanu jūsu kontos.
Ieiešana internetbankā ir ērtāka, ja nav jāpārraksta verifikācijas kods no telefona displeja, bet vienkārši jākopē no Messages uz Mac, taču šajā gadījumā daudz svarīgāka ir drošība, kuras ļoti pietrūkst SMS Relay dēļ. . Šīs problēmas risinājums varētu būt, piemēram, iespēja izslēgt konkrētus numurus no pārsūtīšanas operētājsistēmā Mac, jo SMS kodi parasti nāk no tiem pašiem numuriem.
Kā minēts pēdējā rindkopā - iespēja kopēt kodu ir daudz ērtāka un labāka.
Turklāt - ja kāds nozog manu MacBook, pirmais, ko daru, ir to bloķēt un iPhone izslēdzot visu "pārsūtīšanu" un Continuity - tāpēc arī Iestatījumos/Ziņojumos ir šāda iespēja. :)
Un, ja kāds jums to pieķer, vai jūs to arī pārtraucat?
Un kāpēc ir nepieciešama divpakāpju autorizācija, ja jūs varat uzreiz bloķēt nozagto ierīci, vai ne?
Divpakāpju verifikācija ir trešās puses pakalpojums, tāpēc diez vai varu to neizmantot vai ignorēt, vismaz banku gadījumā. Un es bloķēju vai izdzēšu savu Mac, izmantojot Find my Mac. SMS pārsūtīšanas priekšrocības atsver, ja es aiz visa neredzu velnu.
Nevienam nerūp zādzība, pilna diska šifrēšana to atrisina. Bet ko jūs darīsit ar uzlauztu datoru? Droši vien nekas, tu par to nezināsi.
Nu, protams, priekšrocības ņem virsroku, neviens velnu neredz un lietotājs vienmēr apsardzi nomaina pret dejojošu cūku.
Starp citu, vai jums ir radies iespaids, ka bankas liek jums sūtīt SMS tikai sava prieka pēc?
ja kāds uztraucas, tad nelietojiet. Esmu ar to ārkārtīgi apmierināts
Un tie, kuriem nav bažas kombinācijā ar 2FA, to pat neizmanto, jo viņi acīmredzami nezina, ko viņi dara.
Un kā Macbook datorā izslēgt konkrētu numuru un atstāt to iPhone? Paldies par atbildi
AFAIK labākā iespēja ir “izslēdziet īsziņu pārsūtīšanu sadaļā Ziņojumi iestatījumos (no jūsu iPhone).
Ja nemaldos, nevar ne baltajā sarakstā, ne to, kas ir jāpārsūta, ne melnajā sarakstā, kas nav.
Nu, vai nav vieglāk nozagt mobilo tālruni nekā Mac? Jā, jums var būt parole mobilajam tālrunim, bet arī MAC. Neesmu eksperts, bet droši vien nav viegli tikt pie Mac, ja nezinu paroli (es nedomāju lasīt datus, bet gan ielogoties, lai iedarbinātos SMS relejs).
Tāpat neaizmirstiet, ka runa ir par dubulto drošību, kur pirmā fāze ir galvenā - ievadiet paroli, lai godinātu un ja jums tas nav ierakstīts MAC vai kādā teksta dokumentā iekšā, tad ir nav piekļuves bankai (un jūs neizmantojat 1111 kā paroli :-))
Tātad, reālā mac cena, iespējams, būs lielākais kaitējums, ko jums nodara mac zādzība.
2FA neatrisina primāro Mac vai IP zādzību. Risinājums ir tāds, ka uzbrucējam ir jāiegūst kontrole pār Mac datoru un kaut ko citu. Viņam tagad pietiek ar Mac. Coz noliedz visas 2FA priekšrocības.
(Ieteicams aizsargāties pret variantu “Uzbrucējs operētājsistēmā Mac kontrolē tikai pārlūkprogrammu”, kas, iespējams, nav pilnībā kontrolēta situācija.)
Vienkārši, ja uzskatāt, ka Mac ir pilnīgi drošs (haha), tad jums nav jāsaskaras ar 2FA. Un ja nē, tad 2FA vairs nesniedz jums šo paaugstināto drošību, piemēram, disku.
Un vēl vienu reizi ļoti spilgti - jūs dodaties uz vietni "nicnebezpecneho.cz", kas ir bīstama neveiksmīgu apstākļu kopuma dēļ. Tas var notikt ar jums diezgan viegli - jums nav uzreiz jādodas uz porno vietnēm, pietiek ar to, ka kāds neaizsargā jūsu apmeklēto emuāru un ļauj komentāros ievietot netīrītu javascript. Šajā lapā ir jūsu pārlūkprogrammas attālināta izmantošana (tas joprojām var notikt ar jums, nekas neparasts). Vai arī pieķerties sociālajai inženierijai...
...pēc dažām stundām tu ej sūtīt naudu no bankas (ielogojies gmail, github...). To darot, jūs ievadāt pieteikšanās datus jau apdraudētajā datorā (vai arī jums tas pat nav jādara, ja šīs paroles ir saglabātas) un vienu reizi nokopējiet un ielīmējiet kodu no SMS.
..un pa nakti dators pats ielogojas bankā (gmail...), paroli jau kāds ar kaitīgo programmu ir saglabājis. Jūs nesaņemsiet apstiprinājuma SMS savā mobilajā tālrunī, bet... uzlauztajā datorā.
2FA atrisināja tieši šos scenārijus. Līdz Apple to salauza.
Es domāju, ka 2FA nozīmē, ka man sevi jāpierāda ar 2 lietām, piemēram:
- parole
– ar telefonu, kas pieņem SMS
Nu, pārsūtot SMS uz Mac uz tālruni, kā alternatīvu tiek pievienots arī Mac (vai vairāki Mac un iPad, kurus esmu savienojis pārī), taču tas joprojām ir 2FA. Vai nē?
Vēlreiz - normālos apstākļos 2FA atrisina tādas situācijas kā "mans Mac ir uzlauzts un es par to nezinu". Jo tad varat pieņemt, ka Mac zina jūsu pakalpojuma paroli (ka jums tā jau ir saglabāta, vai arī noklausīsies to nākamreiz, kad pieteiksieties pakalpojumā). Un tagad var sagaidīt, ka viņš zinās arī SMS (vai arī jebkurā brīdī var palūgt un saņems).
Lielākā daļa pakalpojumu, kas piedāvā divu faktoru autentifikāciju (Facebook, Dropbox, Google, Microsoft utt.), ļauj ģenerēt vienreizējas paroles, izmantojot lietotni (es izmantoju Google Authenticator). Lietojumprogramma pastāvīgi ģenerē reģistrēto pakalpojumu kodus ar ierobežotu laiku. Kodu var uzreiz nokopēt un izmantot, lai pieteiktos. Jums nav jāgaida, līdz pienāk SMS, un, ja tās tiek pārsūtītas uz Mac, atrisiniet rakstā aprakstīto problēmu.
Kompromitētajiem Mac datoriem, piesakoties, tiek parādītas īsziņas...
Jūtieties brīvi lūgt to. Ja esmu ieslēdzis divfāžu verifikāciju ar vienreizēja koda ģenerēšanu, izmantojot aplikāciju, tad konkrētais pakalpojums nesūta SMS.
Ja kaut kas nav mainījies, daudzi dienesti gribēja tālruni un atstāja SMS kā noklusējuma opciju. Tātad jūsu uzlauztais dators ir atgriezies.
Ar lielu skaitu banku izvēles nav, tikai SMS un viss.
Es to ļoti skaidri nesaprotu. Ja kāds nozog manu Mac, es izslēdzu SMS, attālināti noslauku Mac un mainu paroli bankā. Vai arī kāds ir nozvejas?
Vai jūs to darītu pirms šī raksta lasīšanas?
Pilnīgi, absolūti automātiski.
Bet divu fāžu autentifikācija ir saistīta ar to, ka uzbrucējam ir nepieciešami divi apstiprinājumi: PAROLE UN SMS. Tas nozīmē, ka, ja es baidos, ka kāds paņems manu pārī savienoto Mac, es tur nesaglabāju paroli, un, ja kāds uzlauž manu pārlūkprogrammu, viņš neiekļūs iMessage.
Kur jūs ņemat pārliecību, ka tas neizlauzīsies no jūsu pārlūkprogrammas? Saskaņā ar pašreizējiem Pwn4Fun un Pwn2Own rezultātiem šķiet, ka Safari ir vismaz divas nulles dienas:
"Pwn4Fun Google nodrošināja ļoti iespaidīgu darbību pret Apple Safari, palaižot kalkulatoru kā saknes versiju operētājsistēmā Mac OS X."
"Liang Chen no Keen Team:
Pret Apple Safari, kaudzes pārplūde kopā ar smilškastes apiešanu, kā rezultātā tiek izpildīts kods.
Plāni balti burti uz zaļa fona - labāk pat speciālās skolas skolēns nebūtu varējis ieteikt...
Viens no veidiem, kā to apturēt, ir aizstāt koda ģenerēšanu, izmantojot sargspraudni (piemēram, šis: http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ ) tas ir drošs un tas dod iespēju augstāku drošību, arī KB ir jādara kaut kas līdzīgs - USB diskā ielādēts sertifikāts, bez kura cilvēks nevar pieslēgties internetbankai, plus dažreiz telefonam tiek nosūtīta vienreizēja parole utt. ... Ir daudz iespēju, bet katram ir savas, viņai ir jāizlemj, vai viņai ir svarīga drošība (vai viņai ir vai nav parole? utt.)
Unicredit ir lieliska lieta. Viedā atslēga nekad nav klasiska SMS, bet es ģenerēju vienreizēju paroli mobilajā aplikācijā.
Man vajag padomu, kāpēc pēkšņi nevaru nosūtīt mm īsu video, kas bija iespējams līdz šim? Nav iespēju vienkārši ievietot video, tas nereaģē, neievieto ziņojumā
paldies