Ondrej Holzman Čeprav nove funkcije, predstavljene v OS X Yosemite in iOS 8, uporabnikom prinašajo veliko uporabnih funkcij, ki poenostavljajo uporabo več naprav, lahko predstavljajo tudi varnostno grožnjo. Na primer, posredovanje besedilnih sporočil z iPhona na Mac zelo enostavno zaobide preverjanje v dveh korakih pri prijavi v različne storitve.
Nabor funkcij Continuity, v okviru katerega Apple povezuje računalnike z mobilnimi napravami v najnovejših operacijskih sistemih, je zelo zanimiv predvsem z vidika omrežij in tehnik, s katerimi povezujejo iPhone in iPad z Maci. Continuity vključuje možnost klicanja iz računalnika Mac, pošiljanja datotek prek AirDropa ali hitrega ustvarjanja dostopne točke, zdaj pa se bomo osredotočili na posredovanje običajnih SMS-ov v računalnike.
Ta razmeroma neopazna, a zelo uporabna funkcija se lahko v najslabšem primeru spremeni v varnostno luknjo, ki napadalcu omogoči pridobitev podatkov za drugo fazo preverjanja ob prijavi v izbrane storitve. Tu govorimo o tako imenovani dvofazni prijavi, ki jo poleg bank uvajajo že številne internetne storitve in je veliko bolj varna, kot če imate račun zaščiten le s klasičnim in enotnim geslom.
Dvofazno preverjanje lahko poteka na različne načine, a ko govorimo o spletnem bančništvu in drugih internetnih storitvah, se najpogosteje srečamo s pošiljanjem verifikacijske kode na vašo telefonsko številko, ki jo morate nato vnesti poleg običajnega gesla. Če se torej nekdo dokopa do vašega gesla (ali računalnika z geslom ali certifikatom), bo običajno potreboval vaš mobilni telefon, na primer za prijavo v spletno banko, kamor bo prišel SMS z geslom za drugo fazo verifikacije. .
Toda v trenutku, ko so vsa vaša besedilna sporočila posredovana z vašega iPhona na vaš Mac in napadalec prevzame vaš Mac, ne potrebuje več vašega iPhona. Za posredovanje klasičnih SMS sporočil ni potrebna neposredna povezava med iPhoneom in Macom – ni nujno, da sta v istem omrežju Wi-Fi, Wi-Fi niti ni treba vklopiti, tako kot Bluetooth, in vse kar je potrebno je, da povežete obe napravi z internetom. Storitev SMS Relay, kot se uradno imenuje posredovanje sporočil, komunicira prek protokola iMessage.
V praksi to deluje tako, da kljub temu, da sporočilo prispe do vas kot običajen SMS, ga Apple obdela kot iMessage in ga prek interneta prenese na Mac (tako je delovalo z iMessage pred pojavom SMS Relay) , kjer ga prikaže kot SMS, kar je označeno z zelenim oblačkom . iPhone in Mac sta lahko vsak v drugem mestu, le obe napravi potrebujeta internetno povezavo.
Dokaz, da SMS Relay ne deluje prek Wi-Fi ali Bluetooth, lahko dobite tudi na naslednji način: aktivirajte letalski način na svojem iPhoneu ter napišite in pošljite SMS na Macu, ki je povezan z internetom. Nato odklopite Mac iz interneta in, nasprotno, nanj povežite iPhone (dovolj je mobilni internet). SMS je poslan, čeprav napravi še nikoli nista neposredno komunicirali med seboj – za vse poskrbi protokol iMessage.
Tako je treba pri uporabi posredovanja sporočil upoštevati, da je varnost dvostopenjske avtentikacije ogrožena. V primeru, da vam ukradejo računalnik, je takojšnje onemogočanje sporočanja najhitrejši in najpreprostejši način za preprečitev morebitnega vdora v vaše račune.
Vstop v internetno bančništvo je bolj udoben, če vam kode za preverjanje ni treba prepisovati z zaslona telefona, ampak jo samo kopirate iz Messages na Macu, vendar je v tem primeru veliko pomembnejša varnost, ki je zaradi SMS Relayja zelo pomanjkljiva. . Rešitev te težave bi lahko bila na primer možnost izključitve določenih številk iz posredovanja na Macu, saj kode SMS običajno prihajajo z istih številk.
Kot je bilo omenjeno v zadnjem odstavku - možnost kopiranja kode je veliko bolj priročna in boljša.
Poleg tega - če mi nekdo ukrade MacBook, ga najprej blokiram in izklopim vse "forwarding" in Continuity na iPhonu - zato je tudi ta možnost v Settings / Messages. :)
In če ti ga kdo natakne, ga tudi ustaviš?
In zakaj bi imeli avtorizacijo v dveh korakih, ko lahko ukradeno napravo takoj blokirate, kajne?
Dvostopenjska verifikacija je storitev tretje osebe, zato je skoraj ne morem ne uporabljati ali zanemariti, vsaj v primeru bank. In svoj Mac blokiram ali izbrišem prek Find my Mac. Prednosti SMS posredovanja odtehtajo, če za vsem skupaj ne vidim hudiča.
Nikomur ni mar za krajo, polno šifriranje diska to reši. Toda kaj boš naredil z vlomljenim računalnikom? Verjetno nič, za to ne boste vedeli.
No, seveda prevladajo prednosti, nihče ne vidi hudiča in uporabnik varnost vedno zamenja za plešočega pujsa.
Mimogrede, imate vtis, da vas banke silijo v pošiljanje SMS-ov samo za zabavo?
če je kdo zaskrbljen, naj ga ne uporablja. Zelo sem zadovoljen z njim
In tisti, ki nimajo pomislekov v kombinaciji z 2FA tega niti ne uporabljajo, ker očitno ne vedo kaj delajo.
In kako izključim določeno številko na Macbooku in jo pustim na iPhoneu? Hvala za odgovor
AFAIK najboljša možnost je "izklopite posredovanje besedilnih sporočil pod Sporočila v nastavitvah (iz vašega iPhone-a)."
Če se ne motim, tega, kar je treba posredovati, ni mogoče uvrstiti na belo listo, niti na črno, česar ne.
No, ali ni lažje ukrasti mobilni telefon kot Mac? Da, lahko imate geslo za mobilni telefon, pa tudi za MAC. Nisem strokovnjak, ampak verjetno ni lahko priti do Maca, če ne poznam gesla (ne mislim brati podatkov, ampak se prijaviti, da se sproži SMS rele).
Ne pozabite tudi, da govorimo o dvojni varnosti, kjer je glavna prva faza - vnos gesla, ki ga morate spoštovati in če ga nimate zapisanega na MAC-u ali v kakšnem besedilnem dokumentu notri, potem je nimate dostopa do banke (in ne uporabljate 1111 kot gesla :-))
Torej bo prava cena maca verjetno največja škoda, ki vam jo bo povzročila kraja maca.
2FA ne reši primarne kraje Mac ali IP. Rešitev je, da mora napadalec prevzeti nadzor nad Macom in še kaj drugega. Zdaj mu Mac zadošča. Coz zanika vse prednosti 2FA.
(Nasvet je, da se zaščitite pred različico "napadalec na Mac nadzoruje samo brskalnik", kar verjetno ni povsem nadzorovana situacija.)
Samo, če menite, da je Mac popolnoma varen (haha), potem se vam ni treba ukvarjati z 2FA. In če ne, potem vam 2FA neha prinašati večjo varnost, kot je driv.
In še enkrat, zelo nazorno - greste na spletno stran "nicnebezpecneho.cz", ki je zaradi nesrečnega spleta okoliščin nevarna. To se vam lahko zgodi zelo enostavno – ni vam treba takoj obiskati pornografskih strani, dovolj je, da nekdo ne zavaruje bloga, ki ga obiskujete, in pusti v komentarje vstaviti nerazčiščen javascript. Na tej strani je oddaljeno izkoriščanje za vaš brskalnik (to se vam lahko še vedno zgodi, nič zelo nenavadnega). Ali pa vas ujame socialni inženiring ...
...po nekaj urah greš pošiljat denar iz banke (se prijaviš na gmail, github...). Pri tem vnesete prijavne podatke v že ogrožen računalnik (oz. vam tega niti ni treba storiti, če imate ta gesla shranjena) in enkrat kopirate in prilepite kodo iz SMS-a.
..ponoči pa se ti računalnik sam prijavi v banko (gmail...), geslo si je že nekdo shranil z malwareom. Na mobilni telefon ne boste prejeli potrditvenega SMS-a, ampak... v ta ogroženi računalnik.
2FA je rešil točno te scenarije. Dokler ga Apple ni zlomil.
Mislil sem, da 2FA pomeni, da se moram dokazati z dvema stvarema, na primer:
– geslo
– s telefonom, ki sprejema SMS
No, posredovanje sporočil SMS na Mac v telefon prav tako doda Mac (ali več Mac in iPad, ki sem jih seznanil) kot alternativo, vendar je še vedno 2FA. ali ne?
Še enkrat – v normalnih okoliščinah 2FA rešuje situacije, kot je "moj Mac je vdrl in ne vem za to". Ker potem lahko domnevate, da Mac pozna vaše geslo za storitev (da ga že imate shranjeno oz. ga boste poslušali ob naslednji prijavi v storitev). In zdaj lahko pričakujete, da bo znal tudi SMS (ali pa ga lahko kadarkoli zahteva in ga bo prejel).
Večina storitev, ki ponujajo dvostopenjsko avtentikacijo (Facebook, Dropbox, Google, Microsoft, …), omogoča generiranje enkratnih gesel s pomočjo aplikacije (jaz uporabljam Google Authenticator). Aplikacija stalno generira časovno omejene kode za registrirane storitve. Kodo lahko takoj kopirate in uporabite za prijavo. Ni vam treba čakati, da SMS prispe in, če so posredovani na Mac, rešite težavo, opisano v članku.
Ogroženi maci imajo SMS sporočila ob prijavi ...
Lahko prosite za to. Če imam vklopljeno dvofazno preverjanje z generiranjem enkratne kode s pomočjo aplikacije, potem dana storitev ne pošilja nobenega SMS-a.
Če se kaj ni spremenilo, je veliko servisov želelo telefon in pustilo SMS kot privzeto možnost. Torej je vaš vdrti računalnik nazaj.
Pri velikem številu bank ni izbire, samo sms in to je to.
Tega ne razumem čisto jasno. Če mi nekdo ukrade Mac, izklopim SMS, na daljavo pobrišem Mac in spremenim geslo na banki. Ali v čem je ulov?
Bi to storili, preden preberete ta članek?
Absolutno, popolnoma samodejno.
Toda pri dvofazni avtentikaciji gre za dejstvo, da napadalec potrebuje dve potrditvi: GESLO IN SMS. To pomeni, da če se bojim, da bo nekdo vzel moj seznanjeni Mac, gesla ne shranim tja in če nekdo vdre v moj brskalnik, ne bo vstopil v iMessage.
Kje dobite zagotovilo, da ne bo izbruhnil iz vašega brskalnika? Glede na trenutne rezultate Pwn4Fun in Pwn2Own je videti, da sta za Safari vsaj dva dneva nič:
"Na Pwn4Fun je Google ponudil zelo impresiven izkoristek proti Apple Safari, ki je zagnal Calculator kot root v Mac OS X."
"Avtor Liang Chen iz ekipe Keen:
Proti Apple Safari, prelivanje kopice skupaj z obvodom peskovnika, kar ima za posledico izvajanje kode."
Tanke bele črke na zeleni podlagi - niti učenec posebne šole ne bi mogel predlagati boljšega ...
Eden od načinov za zaustavitev tega je zamenjava generiranja kode prek ključa (na primer to: http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ ) je varen in omogoča višjo varnost, nekaj podobnega mora narediti tudi KB - certifikat naložen na USB disk, brez katerega se oseba ne more priklopiti na internetno bančništvo, poleg tega se včasih pošlje na telefon enkratno geslo itd. ... Možnosti je veliko, a vsak ima svojo, sama se mora odločiti, ali ji je varnost pomembna (če ima geslo ali ne? itd.)
Unicredit ima super stvar. Pametni ključ nikoli ni klasičen SMS, ampak v mobilni aplikaciji generiram enkratno geslo.
Potrebujem nasvet, zakaj nenadoma ne morem poslati mm kratkega videa, kar je bilo do sedaj možno? Ni možnosti, da preprosto vstavi video, ne odgovori, ne vstavi ga v sporočilo
hvala