Ondrej Holzman Selvom de nye funktioner introduceret i OS X Yosemite og iOS 8 bringer en masse nyttige funktioner til brugere, der forenkler brugen af flere enheder, kan de også udgøre en sikkerhedstrussel. For eksempel omgår videresendelse af tekstbeskeder fra en iPhone til en Mac meget nemt totrinsbekræftelse, når du logger ind på forskellige tjenester.
Sættet af kontinuitetsfunktioner, inden for hvilke Apple forbinder computere med mobile enheder i de nyeste operativsystemer, er meget interessant, især med hensyn til de netværk og teknikker, de bruger til at forbinde iPhones og iPads til Macs. Kontinuitet inkluderer muligheden for at foretage opkald fra en Mac, sende filer via AirDrop eller hurtigt oprette et hotspot, men nu vil vi fokusere på at videresende almindelig SMS til computere.
Denne relativt upåfaldende, men meget brugbare funktion kan i værste fald blive til et sikkerhedshul, der gør det muligt for en angriber at indhente data til anden verifikationsfase, når han logger på udvalgte tjenester. Vi taler her om det såkaldte tofasede login, som udover banker allerede implementeres af mange internettjenester og er meget mere sikkert, end hvis du kun har en konto beskyttet af et klassisk og enkelt kodeord.
To-faset verifikation kan foregå på forskellige måder, men når vi taler om netbank og andre internettjenester, støder vi oftest på at sende en bekræftelseskode til dit telefonnummer, som du så skal indtaste ud for at indtaste dit almindelige kodeord. Derfor, hvis nogen får fat i din adgangskode (eller computer inklusiv adgangskode eller certifikat), vil de normalt bruge din mobiltelefon, for eksempel for at logge ind på netbank, hvor der kommer en sms med adgangskoden til anden fase af verifikationen. .
Men i det øjeblik du har alle dine tekstbeskeder videresendt fra din iPhone til din Mac, og en angriber overtager din Mac, har de ikke længere brug for din iPhone. For at videresende klassiske SMS-beskeder kræves der ingen direkte forbindelse mellem iPhone og Mac - de behøver ikke at være på det samme Wi-Fi-netværk, Wi-Fi skal ikke engang være tændt, ligesom Bluetooth, og alt hvad der er nødvendigt er at forbinde begge enheder til internettet. SMS Relay-tjenesten, som videresendelse af beskeder officielt kaldes, kommunikerer via iMessage-protokollen.
I praksis er den måde, det fungerer på, at selvom beskeden kommer til dig som en normal SMS, behandler Apple den som en iMessage og overfører den over internettet til Mac'en (sådan fungerede det med iMessage før fremkomsten af SMS Relay) , hvor den viser den som en SMS, hvilket er angivet med en grøn boble . iPhone og Mac kan være i hver sin by, kun begge enheder har brug for en internetforbindelse.
Du kan også få bevis for, at SMS Relay ikke fungerer over Wi-Fi eller Bluetooth på følgende måde: aktiver flytilstand på din iPhone og skriv og send en SMS på en Mac, der er forbundet til internettet. Afbryd derefter Mac'en fra internettet og tilslut omvendt iPhone til den (mobilt internet er nok). SMS'en sendes, selvom de to enheder aldrig har kommunikeret direkte med hinanden - alt er sikret af iMessage-protokollen.
Når du bruger videresendelse af meddelelser, er det derfor nødvendigt at huske på, at sikkerheden ved to-faktor-godkendelse er kompromitteret. I tilfælde af at din computer bliver stjålet, er deaktivering af beskeder med det samme den hurtigste og nemmeste måde at forhindre potentiel hacking af dine konti.
Det er mere bekvemt at gå ind i netbank, når du ikke skal omskrive bekræftelseskoden fra telefonens display, men blot kopiere den fra Beskeder på Mac'en, men sikkerheden er meget vigtigere i dette tilfælde, som i høj grad mangler på grund af SMS Relay . En løsning på dette problem kunne for eksempel være muligheden for at udelukke bestemte numre fra viderestilling på Mac, da SMS-koderne normalt kommer fra de samme numre.
Som nævnt i sidste afsnit - muligheden for at kopiere koden er meget mere praktisk og bedre.
Derudover - hvis nogen stjæler min MacBook, er det første jeg gør, at blokere den og slå al "videresendelse" og kontinuitet fra på iPhone - derfor er der også denne mulighed i Indstillinger / Beskeder. :)
Og hvis nogen kroger det til dig, stopper du det så også?
Og hvorfor have to-trins autorisation, når du kan blokere den stjålne enhed med det samme, hva'?
Totrinsbekræftelse er en tredjepartstjeneste, så jeg kan næsten ikke bruge den eller ignorere den, i hvert fald i tilfælde af banker. Og jeg blokerer eller sletter min Mac via Find min Mac. Fordelene ved videresendelse af sms opvejer, hvis jeg ikke ser djævelen bag alt.
Ingen bekymrer sig om tyveri, fuld diskkryptering løser det. Men hvad skal du med en hacket computer? Sandsynligvis ingenting, du ved ikke om det.
Nå, selvfølgelig, fordelene sejrer, ingen ser djævelen, og brugeren bytter altid sikkerhed for en dansende gris.
Har du i øvrigt indtryk af, at bankerne tvinger dig til at sende SMS bare for sjov?
hvis nogen er bekymret, så lad være med at bruge det. Jeg er yderst tilfreds med den
Og dem, der ikke har bekymringer i kombination med 2FA, bruger det ikke engang, for de ved åbenbart ikke, hvad de laver.
Og hvordan udelukker jeg et bestemt nummer på Macbook'en og efterlader det på iPhone? Tak for svaret
AFAIK den bedste mulighed er "slå videresendelse af tekstbeskeder fra under Beskeder i Indstillinger (fra din iPhone)."
Hvis jeg ikke tager fejl, er det ikke muligt at hvidliste, hvad der skal videresendes, og heller ikke sortliste, hvad der ikke er.
Nå, er det ikke nemmere at stjæle en mobiltelefon end en Mac? Ja, du kan have en adgangskode til mobil, men også til MAC. Jeg er ikke ekspert, men det er nok ikke nemt at komme til Mac'en, hvis jeg ikke kender adgangskoden (jeg mener ikke at læse dataene, men at logge ind, så SMS-relæet starter).
Glem heller ikke, at vi taler om dobbelt sikkerhed, hvor den første fase er den vigtigste - indtastning af adgangskoden for at honorere, og hvis du ikke har den skrevet på MAC'en eller i et eller andet tekstdokument indeni, så er der ingen adgang til banken (og du bruger ikke 1111 som adgangskode :-))
Så at stjæle en mac vil sandsynligvis forårsage den største skade på grund af den sande pris på mac'en.
2FA løser ikke primært Mac- eller IP-tyveri. Løsningen er, at angriberen skal have kontrol over Mac'en og noget andet. Mac'en er nok for ham nu. Coz ophæver alle fordelene ved 2FA.
(Rådet er at beskytte mod varianten "angriberen på Mac kontrollerer kun browseren", hvilket nok ikke er en fuldstændig kontrolleret situation.)
Det er bare sådan, at hvis du anser Mac for at være fuldstændig sikker (haha), så behøver du ikke at beskæftige dig med 2FA. Og hvis ikke, så holdt 2FA op med at give dig den øgede sikkerhed, såsom kørsel.
Og endnu en gang, meget levende - du går til webstedet "nicnebezpecneho.cz", som er farligt på grund af et uheldigt sæt omstændigheder. Dette kan ske for dig ret nemt - du behøver ikke at gå til porno-websteder med det samme, det er nok til, at nogen ikke sikrer den blog, du besøger, og lader usanificeret javascript blive indsat i kommentarerne. Der er en ekstern udnyttelse til din browser på den side (dette kan stadig ske for dig, intet meget usædvanligt). Eller blive fanget af social engineering...
...efter et par timer går du for at sende penge fra banken (du logger ind på gmail, github...). På den måde indtaster du login-dataene på den allerede kompromitterede computer (eller du behøver ikke engang at gøre det, hvis du har gemt disse adgangskoder) og kopierer og indsætter koden fra SMS'en én gang.
..og om natten logger din computer ind i banken (gmail...) af sig selv, adgangskoden er allerede blevet gemt af en person med malware. Du modtager ikke en bekræftelses-sms på din mobiltelefon, men... ind i den kompromitterede computer.
2FA løste præcis disse scenarier. Indtil Apple brød det.
Jeg troede, at 2FA betyder, at jeg skal bevise mig selv med 2 ting, for eksempel:
- adgangskode
– med en telefon, der accepterer SMS
Nå, videresendelse af SMS til Mac til telefonen tilføjer også Mac (eller flere Mac og iPad, som jeg har parret) som et alternativ, men det er stadig 2FA. Eller ikke?
Endnu en gang - under normale omstændigheder løser 2FA situationer som "min Mac er hacket, og jeg ved ikke om det". For så kan du gå ud fra, at Mac'en kender din adgangskode til tjenesten (at du allerede har den gemt eller vil lytte til den, næste gang du logger på tjenesten). Og nu kan du forvente, at han også kender SMS (eller han kan til enhver tid bede om det, og han vil modtage det).
De fleste tjenester, der tilbyder to-faktor-godkendelse (Facebook, Dropbox, Google, Microsoft, …) tillader, at engangsadgangskoder genereres ved hjælp af en app (jeg bruger Google Authenticator). Applikationen genererer konstant tidsbegrænsede koder til registrerede tjenester. Koden kan kopieres med det samme og bruges til at logge ind. Du behøver ikke vente på, at SMS'en kommer, og hvis de videresendes til Mac'en, skal du løse problemet beskrevet i artiklen.
Kompromitterede Mac'er har SMS-beskeder, når du logger ind...
Spørg gerne om det. Hvis jeg har slået to-faset verifikation til med generering af en engangskode ved hjælp af applikationen, så sender den givne tjeneste ingen SMS.
Hvis noget ikke har ændret sig, ville mange tjenester have telefonen og lade SMS være standardindstillingen. Så din hackede computer er tilbage.
Med et stort antal banker er der ikke noget valg, bare en SMS og det er det.
Jeg forstår det ikke helt klart. Hvis nogen stjæler min Mac, slår jeg SMS fra, fjernstørrer Mac'en og ændrer adgangskoden i banken. Eller hvad er fangsten?
Ville du gøre det, før du læser denne artikel?
Helt, helt automatisk.
Men to-faset autentificering handler om, at angriberen har brug for to bekræftelser: ADGANGSKODE OG SMS. Det betyder, at hvis jeg er bange for, at nogen vil tage min parrede Mac, gemmer jeg ikke adgangskoden der, og hvis nogen hacker min browser, kommer de ikke ind i iMessage.
Hvor får du sikkerheden for, at den ikke bryder ud af din browser? Ifølge de aktuelle resultater af Pwn4Fun og Pwn2Own ser det ud til, at der er mindst to nul-dage for Safari:
"På Pwn4Fun leverede Google en meget imponerende udnyttelse mod Apple Safaris lancering af Calculator som root på Mac OS X"
"Af Liang Chen fra Keen Team:
Mod Apple Safari flyder en bunke over sammen med en sandkasse-bypass, hvilket resulterer i kodeudførelse."
Tynde hvide bogstaver på en grøn baggrund - ikke engang en elev fra en specialskole kunne have foreslået det bedre...
En af måderne at stoppe dette på er at erstatte kodegenerering via en dongle (for eksempel denne: http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ ) det er sikkert og det muliggør højere sikkerhed, KB skal også gøre noget lignende - et certifikat uploadet til en USB-disk, uden hvilket en person ikke kan oprette forbindelse til internetbank, plus nogle gange sendes et engangskodeord til telefonen osv. ... Der er mange muligheder, men alle har deres egne, hun skal beslutte, om sikkerheden er vigtig for hende (om hun har en adgangskode eller ej? osv.)
Unicredit har en fantastisk ting. Smart-nøglen er aldrig en klassisk SMS, men jeg genererer et engangskodeord i mobilapplikationen.
Jeg har brug for råd om hvorfor jeg pludselig ikke kan sende en mm kort video, hvilket var muligt indtil nu? Der er ingen mulighed for blot at indsætte en video, den svarer ikke, den indsætter den ikke i beskeden
Děkuji