Ondrejus Holzmanas Nors naujos funkcijos, įdiegtos OS X Yosemite ir iOS 8, suteikia vartotojams daug naudingų funkcijų, kurios supaprastina kelių įrenginių naudojimą, jos taip pat gali kelti grėsmę saugumui. Pavyzdžiui, persiunčiant tekstinius pranešimus iš „iPhone“ į „Mac“, prisijungiant prie įvairių paslaugų labai lengvai apeinamas dviejų etapų patvirtinimas.
„Continuity“ funkcijų rinkinys, per kurį „Apple“ sujungia kompiuterius su mobiliaisiais įrenginiais naujausiose operacinėse sistemose, yra labai įdomus, ypač kalbant apie tinklus ir technologijas, kurias jie naudoja „iPhone“ ir „iPad“ prijungimui prie „Mac“. Tęstinumas apima galimybę skambinti iš „Mac“, siųsti failus per „AirDrop“ arba greitai sukurti viešosios interneto prieigos tašką, tačiau dabar daugiausia dėmesio skirsime įprastų SMS persiuntimui į kompiuterius.
Ši santykinai nepastebima, bet labai naudinga funkcija blogiausiu atveju gali virsti saugumo spraga, leidžiančia užpuolikui gauti duomenis antrajam patikrinimo etapui prisijungiant prie pasirinktų paslaugų. Čia kalbame apie vadinamąjį dviejų fazių prisijungimą, kurį, be bankų, jau diegia daugelis interneto paslaugų ir yra daug saugesnis nei turint paskyrą, apsaugotą tik klasikiniu ir vienu slaptažodžiu.
Dviejų fazių patvirtinimas gali vykti įvairiais būdais, tačiau kalbant apie internetinę bankininkystę ir kitas interneto paslaugas dažniausiai susiduriame su patvirtinimo kodo siuntimu jūsų telefono numeriu, kurį vėliau turite įvesti šalia įprasto slaptažodžio. Todėl, jei kas nors gautų jūsų slaptažodį (arba kompiuterį su slaptažodžiu ar sertifikatu), jam paprastai prireiks jūsų mobiliojo telefono, pavyzdžiui, norint prisijungti prie internetinės bankininkystės, kur bus gauta SMS su slaptažodžiu antrajam patvirtinimo etapui. .
Tačiau tuo metu, kai visi tekstiniai pranešimai persiunčiami iš „iPhone“ į „Mac“ ir užpuolikas perima jūsų „Mac“, jiems nebereikia jūsų „iPhone“. Norint persiųsti klasikines SMS žinutes, nereikia tiesioginio ryšio tarp iPhone ir Mac – jie nebūtinai turi būti tame pačiame Wi-Fi tinkle, Wi-Fi net neturi būti įjungtas, kaip ir Bluetooth, ir viskas, ko reikia, yra prijungti abu įrenginius prie interneto. „SMS Relay“ paslauga, kaip oficialiai vadinamas pranešimų persiuntimu, bendrauja iMessage protokolu.
Praktiškai tai veikia taip, kad nors žinutė jums atkeliauja kaip įprasta SMS, „Apple“ ją apdoroja kaip „iMessage“ ir internetu perkelia į „Mac“ (taip ji veikė su „iMessage“ iki „SMS Relay“ atsiradimo). , kur ji rodoma kaip SMS žinutė, kurią nurodo žalias burbulas . „iPhone“ ir „Mac“ gali būti skirtingame mieste, tik abiem įrenginiams reikalingas interneto ryšys.
Taip pat galite gauti įrodymą, kad „SMS Relay“ neveikia per „Wi-Fi“ ar „Bluetooth“: įjunkite lėktuvo režimą „iPhone“ ir parašykite bei išsiųskite SMS „Mac“, prijungtame prie interneto. Tada atjunkite „Mac“ nuo interneto ir, atvirkščiai, prijunkite prie jo „iPhone“ (pakanka mobiliojo interneto). SMS siunčiama, nors du įrenginiai niekada tiesiogiai tarpusavyje nesusisiekė – viską užtikrina iMessage protokolas.
Taigi, naudojant pranešimų persiuntimą, reikia nepamiršti, kad dviejų veiksnių autentifikavimo saugumas yra pažeistas. Jei jūsų kompiuteris pavogtas, iš karto išjungti pranešimų siuntimą yra greičiausias ir lengviausias būdas apsisaugoti nuo galimo įsilaužimo į jūsų paskyras.
Įeiti į internetinę bankininkystę patogiau, jei nereikia perrašinėti patvirtinimo kodo iš telefono ekrano, o tiesiog nukopijuoti jį iš „Mac“ iš „Messages“, tačiau šiuo atveju daug svarbiau saugumas, kurio labai trūksta dėl SMS Relay. . Šios problemos sprendimas galėtų būti, pavyzdžiui, galimybė neįtraukti konkrečių numerių persiuntimo sistemoje „Mac“, nes SMS kodai dažniausiai gaunami iš tų pačių numerių.
Kaip minėta paskutinėje pastraipoje – galimybė kopijuoti kodą yra daug patogesnė ir geresnė.
Be to – jei kas nors pavogs mano „MacBook“, pirmas dalykas, kurį darau, tai užblokuoju ir išjungiu „iPhone“ visą „persiuntimą“ ir „Continuity“ – štai kodėl „Nustatymuose“ / „Žinutėse“ yra ir ši parinktis. :)
Ir jei kas nors tai užkabina, ar jūs taip pat sustabdote?
Ir kam turėti dviejų etapų autorizaciją, kai galima iš karto užblokuoti pavogtą įrenginį, a?
Patvirtinimas dviem veiksmais yra trečiosios šalies paslauga, todėl vargu ar galiu ja nesinaudoti ar ignoruoti, bent jau bankų atveju. Aš blokuoju arba ištrinu savo „Mac“ naudodami „Find my Mac“. SMS persiuntimo privalumai nusveria, jei už visko nematau velnio.
Niekam nerūpi vagystė, tai išsprendžia pilnas disko šifravimas. Bet ką jūs ketinate daryti su nulaužtu kompiuteriu? Turbūt nieko, apie tai nesužinosi.
Na, žinoma, privalumai vyrauja, niekas velnio nemato ir vartotojas visada iškeičia apsaugą į šokančią kiaulę.
Beje, ar susidarė įspūdis, kad bankai verčia siųsti SMS tik dėl malonumo?
jei kas nors nerimauja, tai nenaudokite. Esu juo be galo patenkinta
O tie, kurie neturi rūpesčių kartu su 2FA, jo net nenaudoja, nes akivaizdžiai nežino, ką daro.
Ir kaip išskirti konkretų numerį „Macbook“ ir palikti jį „iPhone“? Ačiū už atsakymą
AFAIK geriausias pasirinkimas yra „išjungti tekstinių pranešimų persiuntimą nustatymų skiltyje „Žinutės“ (iš „iPhone“).
Jei neklystu, negalima įtraukti į baltąjį sąrašą, ką reikia persiųsti, nei į juodąjį sąrašą, ko ne.
Na, ar ne lengviau pavogti mobilųjį telefoną nei „Mac“? Taip, galite turėti slaptažodį mobiliesiems, bet ir MAC. Nesu ekspertas, bet turbūt nelengva prieiti prie Mac, jei nežinau slaptažodžio (turiu omenyje ne duomenų skaitymą, o prisijungimą, kad įsijungtų SMS relė).
Taip pat nepamirškite, kad kalbame apie dvigubą saugumą, kur pirma fazė yra pagrindinė – slaptažodžio įvedimas į garbę ir jei jo nėra parašyta MAC ar kokiame tekstiniame dokumente viduje, tai yra nėra prieigos prie banko (ir jūs nenaudojate 1111 kaip slaptažodžio :-))
Taigi, pavogę „Mac“, greičiausiai padarysite didžiausią žalą dėl tikrosios „Mac“ kainos.
2FA neišsprendžia pagrindinės „Mac“ ar IP vagystės. Sprendimas yra tas, kad užpuolikas turi valdyti „Mac“ ir dar ką nors. Dabar jam užtenka „Mac“. Coz paneigia visus 2FA privalumus.
(Patarimas yra apsisaugoti nuo varianto „užpuolikas „Mac“ valdo tik naršyklę“, o tai tikriausiai nėra visiškai kontroliuojama situacija.)
Tiesiog jei manote, kad „Mac“ yra visiškai saugus (haha), jums nereikės susidurti su 2FA. O jei ne, tada 2FA nustojo suteikti jums tą padidintą saugumą, pvz., Drive.
Ir dar kartą, labai vaizdingai – užeinate į svetainę „nicnebezpecneho.cz“, kuri yra pavojinga dėl nelemtų aplinkybių. Tai gali atsitikti jums gana lengvai – nereikia iš karto eiti į pornografines svetaines, užtenka, kad kas nors neapsaugos jūsų lankomo tinklaraščio ir leiskite į komentarus įterpti neapdorotą JavaScript. Tame puslapyje yra nuotolinis jūsų naršyklės išnaudojimas (taip vis tiek gali nutikti jums, nieko labai neįprasto). Arba įklimpti į socialinę inžineriją...
...po kelių valandų eini siųsti pinigų iš banko (prisijungi prie gmail, github...). Tai darydami įvedate prisijungimo duomenis į jau pažeistą kompiuterį (arba net nereikia to daryti, jei turite išsaugotus šiuos slaptažodžius) ir vieną kartą nukopijuokite bei įklijuokite kodą iš SMS.
..o naktį tavo kompiuteris pats prisijungia prie banko (gmail...), slaptažodį jau išsaugojo kažkas su kenkėjiška programa. Į savo mobilųjį telefoną negausite patvirtinimo SMS, bet... į tą pažeistą kompiuterį.
2FA išsprendė būtent šiuos scenarijus. Kol Apple nesulaužė.
Maniau, kad 2FA reiškia, kad turiu įrodyti save 2 dalykais, pavyzdžiui:
- Slaptažodis
– su telefonu, kuris priima SMS
Na, o SMS persiuntimas į „Mac“ į telefoną taip pat prideda „Mac“ (arba daugiau „Mac“ ir „iPad“, kuriuos suporavau) kaip alternatyvą, tačiau tai vis tiek yra 2FA. Arba ne?
Dar kartą – įprastomis aplinkybėmis 2FA išsprendžia tokias situacijas kaip „mano Mac’as nulaužtas ir aš apie tai nežinau“. Nes tada galite manyti, kad „Mac“ žino jūsų paslaugos slaptažodį (kad jūs jį jau išsaugojote arba išklausysite jį kitą kartą prisijungę prie paslaugos). O dabar galima tikėtis, kad jis žinos ir SMS (arba gali bet kada paprašyti ir gaus).
Dauguma paslaugų, siūlančių dviejų veiksnių autentifikavimą („Facebook“, „Dropbox“, „Google“, „Microsoft“ ir kt.), leidžia sugeneruoti vienkartinius slaptažodžius naudojant programą (naudoju „Google Authenticator“). Programėlė nuolat generuoja riboto laiko kodus registruotoms paslaugoms. Kodą galima iškart nukopijuoti ir naudoti prisijungiant. Nereikia laukti, kol ateis SMS ir, jei jie persiųs į Mac, išspręsti straipsnyje aprašytą problemą.
Sukompromituotiems kompiuteriams prisijungus būna SMS žinutės...
Nedvejodami paprašykite to. Jei naudodamas programą įjungiau dviejų fazių patvirtinimą generuodamas vienkartinį kodą, tai nurodyta paslauga nesiunčia jokios SMS žinutės.
Jei kažkas nepasikeitė, daugelis tarnybų norėjo telefono ir SMS paliko kaip numatytąją parinktį. Taigi jūsų nulaužtas kompiuteris grįžo.
Esant dideliam bankų skaičiui, pasirinkimo nėra, tiesiog SMS ir viskas.
Aš tai nelabai aiškiai suprantu. Jei kas nors pavagia mano „Mac“, išjungiu SMS, nuotoliniu būdu išvalau „Mac“ ir pakeičiau slaptažodį banke. Arba koks laimikis?
Ar darytumėte tai prieš skaitydami šį straipsnį?
Absoliučiai, visiškai automatiškai.
Tačiau dviejų fazių autentifikavimas yra susijęs su tuo, kad užpuolikui reikia dviejų patvirtinimų: SLAPTAŽODŽIO IR SMS. Tai reiškia, kad jei bijau, kad kas nors atims mano susietą „Mac“, slaptažodžio ten nesaugoju, o jei kas nors įsilaužs į mano naršyklę, jis nepateks į „iMessage“.
Iš kur gauti garantiją, kad ji neišsivers iš jūsų naršyklės? Remiantis dabartiniais „Pwn4Fun“ ir „Pwn2Own“ rezultatais, atrodo, kad „Safari“ yra mažiausiai dvi nulinės dienos:
„Pwn4Fun“ „Google“ atliko labai įspūdingą išnaudojimą prieš „Apple Safari“, paleidusi skaičiuotuvą kaip root sistemoje „Mac OS X“
Liang Chen iš Keen Team:
Prieš Apple Safari, krūvos perpildymas ir smėlio dėžės apėjimas, dėl kurio vykdomas kodas.
Plonos baltos raidės žaliame fone – geriau net specialiosios mokyklos auklėtinis nebūtų galėjęs pasiūlyti...
Vienas iš būdų tai sustabdyti yra pakeisti kodo generavimą naudojant raktą (pavyzdžiui, tai: http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ ) yra saugus ir įgalina didesnį saugumą, KB taip pat reikia padaryti kažką panašaus - į USB diską įkeltas sertifikatas, be kurio žmogus negali prisijungti prie internetinės bankininkystės, plius kartais į telefoną atsiunčiamas vienkartinis slaptažodis ir t.t. ... Galimybių yra daug, bet kiekvienas turi savo, ji turi nuspręsti, ar jai svarbu saugumas (turi slaptažodį ar ne? ir pan.)
Unicredit turi puikų dalyką. Išmanusis raktas niekada nėra klasikinė SMS, bet mobiliojoje programėlėje generuoju vienkartinį slaptažodį.
Man reikia patarimo, kodėl staiga negaliu išsiųsti mm trumpo vaizdo įrašo, kas buvo įmanoma iki šiol? Nėra galimybės tiesiog įterpti vaizdo įrašą, jis nereaguoja, neįterpia jo į pranešimą
děkuji