Ondrej Holzman Alhoewel die nuwe kenmerke wat in OS X Yosemite en iOS 8 bekendgestel is, baie nuttige kenmerke aan gebruikers bring wat die gebruik van veelvuldige toestelle vereenvoudig, kan dit ook 'n sekuriteitsbedreiging inhou. Byvoorbeeld, die aanstuur van teksboodskappe van 'n iPhone na 'n Mac omseil baie maklik tweestap-verifikasie wanneer jy by verskeie dienste aanmeld.
Die stel Kontinuïteitsfunksies, waarbinne Apple rekenaars met mobiele toestelle in die jongste bedryfstelsels verbind, is baie interessant, veral uit die oogpunt van die netwerke en tegnieke wat hulle gebruik om iPhones en iPads aan Macs te koppel. Kontinuïteit sluit die vermoë in om oproepe van 'n Mac af te maak, lêers via AirDrop te stuur of vinnig 'n hotspot te skep, maar nou sal ons daarop fokus om gereelde SMS'e na rekenaars aan te stuur.
Hierdie relatief onopvallende, maar baie nuttige funksie kan in die ergste geval in 'n sekuriteitsgat ontaard wat 'n aanvaller in staat stel om data vir die tweede verifikasiefase te bekom wanneer hy by geselekteerde dienste aanmeld. Ons praat hier van die sogenaamde tweefase-aanmelding, wat, benewens banke, reeds deur baie internetdienste ingestel word en baie veiliger is as wanneer jy 'n rekening het wat net deur 'n klassieke en enkele wagwoord beskerm word.
Tweefase-verifikasie kan op verskillende maniere plaasvind, maar wanneer ons oor aanlynbankdienste en ander internetdienste praat, kom ons meestal teë dat 'n verifikasiekode na jou foonnommer gestuur word, wat jy dan moet invoer langs die invoer van jou gewone wagwoord. As iemand dus jou wagwoord (of rekenaar insluitend wagwoord of sertifikaat) in die hande kry, sal hulle gewoonlik jou selfoon nodig hê, byvoorbeeld om by internetbankdienste aan te meld, waar 'n SMS met die wagwoord vir die tweede fase van verifikasie sal opdaag. .
Maar die oomblik as jy al jou teksboodskappe van jou iPhone af na jou Mac stuur en 'n aanvaller jou Mac oorneem, het hulle nie meer jou iPhone nodig nie. Om klassieke SMS-boodskappe aan te stuur, is geen direkte verbinding tussen iPhone en Mac nodig nie - hulle hoef nie op dieselfde Wi-Fi-netwerk te wees nie, Wi-Fi hoef nie eers aangeskakel te wees nie, net soos Bluetooth, en al wat nodig is, is om albei toestelle aan die internet te koppel. Die SMS Relay-diens, soos die aanstuur van boodskappe amptelik genoem word, kommunikeer via die iMessage-protokol.
In die praktyk is die manier waarop dit werk dat alhoewel die boodskap as 'n gewone SMS by jou aankom, Apple dit as 'n iMessage verwerk en dit oor die internet na die Mac oordra (dit is hoe dit met iMessage gewerk het voor die koms van SMS Relay) , waar dit dit as 'n SMS vertoon, wat deur 'n groen borrel aangedui word. iPhone en Mac kan elkeen in 'n ander stad wees, net albei toestelle benodig 'n internetverbinding.
Jy kan ook bewys kry dat SMS Relay nie oor Wi-Fi of Bluetooth werk nie deur die volgende te doen: aktiveer vliegtuigmodus op jou iPhone en skryf en stuur 'n SMS op jou Mac wat aan die internet gekoppel is. Ontkoppel dan die Mac van die internet en, omgekeerd, koppel die iPhone daaraan (mobiele internet is genoeg). Die SMS word gestuur al het die twee toestelle nog nooit direk met mekaar gekommunikeer nie – alles word verseker deur die iMessage-protokol.
Dus, wanneer boodskapaanstuur gebruik word, is dit nodig om in gedagte te hou dat die sekuriteit van twee-faktor-verifikasie in die gedrang kom. In die geval dat jou rekenaar gesteel word, moet jy onmiddellik die aanstuur van boodskappe deaktiveer, wat die vinnigste en maklikste manier is om 'n moontlike inbraak in jou rekeninge te voorkom.
Om internetbankdienste te betree is geriefliker as jy nie die verifikasiekode vanaf die foon se skerm hoef te herskryf nie, maar dit net vanaf Boodskappe op die Mac hoef te kopieer, maar in hierdie geval is sekuriteit baie belangriker, wat grootliks ontbreek as gevolg van SMS Relay . 'n Oplossing vir hierdie probleem kan byvoorbeeld die moontlikheid wees om spesifieke nommers van aanstuur op Mac uit te sluit, aangesien die SMS-kodes gewoonlik van dieselfde nommers af kom.
Soos in die laaste paragraaf genoem - die vermoë om die kode te kopieer is baie geriefliker en beter.
Boonop - as iemand my MacBook steel, is die eerste ding wat ek doen om dit te blokkeer en alle "aanstuur" en kontinuïteit op die iPhone af te skakel - daarom is daar ook hierdie opsie in Instellings / Boodskappe. :)
En as iemand dit aan jou haak, stop jy dit ook?
En hoekom twee-stap magtiging hê as jy die gesteelde toestel dadelik kan blokkeer, nè?
Twee-stap-verifikasie is 'n derdeparty-diens, so ek kan dit beswaarlik nie gebruik of ignoreer nie, ten minste in die geval van banke. En ek blokkeer of vee my Mac uit via Find my Mac. Die voordele van SMS-aanstuur weeg swaarder as ek nie die duiwel agter alles sien nie.
Niemand gee om oor diefstal nie, volledige skyfkodering los dit op. Maar wat gaan jy doen met 'n gekapte rekenaar? Seker niks, jy sal nie daarvan weet nie.
Wel, natuurlik, die voordele seëvier, niemand sien die duiwel nie en die gebruiker verruil altyd sekuriteit vir 'n dansende vark.
Terloops, het jy die indruk dat die banke jou dwing om net vir die pret SMS te stuur?
as iemand bekommerd is, moet dit dan nie gebruik nie. Ek is uiters tevrede daarmee
En diegene wat nie bekommernisse in kombinasie met 2FA het nie, gebruik dit nie eens nie, want hulle weet natuurlik nie wat hulle doen nie.
En hoe sluit ek 'n spesifieke nommer op die Macbook uit en laat dit op die iPhone? Dankie vir die antwoord
AFAIK die beste opsie is "skakel die aanstuur van teksboodskappe af onder Boodskappe in Instellings (vanaf jou iPhone)."
As ek my nie misgis nie, is dit nie moontlik om te witlys wat aangestuur moet word nie, en ook nie wat nie op swartlys nie.
Wel, is dit nie makliker om 'n selfoon as 'n Mac te steel nie? Ja, jy kan 'n wagwoord vir selfoon hê, maar ook vir MAC. Ek is nie 'n kenner nie, maar dit is seker nie maklik om by die Mac uit te kom as ek nie die wagwoord ken nie (ek bedoel nie om die data te lees nie, maar om aan te meld sodat die SMS-aflos begin).
Moet ook nie vergeet dat ons praat van dubbele sekuriteit nie, waar die eerste fase die hoof een is - die invoer van die wagwoord om te eer en as jy dit nie op die MAC of in een of ander teksdokument binne geskryf het nie, dan is daar geen toegang tot die bank nie (en jy gebruik nie 1111 as 'n wagwoord nie :-))
Dus, om 'n Mac te steel, sal jou waarskynlik die grootste skade veroorsaak as gevolg van die werklike prys van die Mac.
2FA los nie primêre Mac- of IP-diefstal op nie. Die oplossing is dat die aanvaller beheer oor die Mac en iets anders moet kry. Die Mac is nou genoeg vir hom. Coz ontken al die voordele van 2FA.
(Die raad is om te beskerm teen die "aanvaller op Mac beheer net die blaaier"-variant, wat waarskynlik nie 'n heeltemal beheerde situasie is nie.)
Dit is net dat as jy Mac as heeltemal veilig beskou (haha), dan hoef jy nie met 2FA te doen nie. En indien nie, dan het 2FA opgehou om vir jou daardie verhoogde sekuriteit te bring, soos ry.
En nog 'n keer, baie aanskoulik - jy gaan na die webwerf "nicnebezpecneho.cz", wat gevaarlik is as gevolg van 'n ongelukkige stel omstandighede. Dit kan redelik maklik met jou gebeur - jy hoef nie dadelik na pornwebwerwe te gaan nie, dit is genoeg vir iemand om nie die blog wat jy besoek te beveilig nie en ongesuiwerde javascript in die opmerkings te laat invoeg. Daar is 'n afstandbeheer vir jou blaaier op daardie bladsy (dit kan steeds met jou gebeur, niks baie ongewoon nie). Of raak vasgevang in sosiale ingenieurswese ...
...na 'n paar uur gaan stuur jy geld van die bank af (jy meld aan by gmail, github...). Sodoende voer jy die aanmelddata in op die reeds gekompromitteerde rekenaar (of jy hoef dit nie eers te doen as jy hierdie wagwoorde gestoor het nie) en kopieer en plak die kode een keer van die SMS af.
..en snags meld jou rekenaar self by die bank aan (gmail...), die wagwoord is reeds gestoor deur iemand met malware. Jy sal nie 'n bevestiging-SMS op jou selfoon ontvang nie, maar... in daardie gekompromitteerde rekenaar.
2FA het presies hierdie scenario's opgelos. Totdat Apple dit gebreek het.
Ek het gedink dat 2FA beteken dat ek myself deur 2 dinge moet bewys, byvoorbeeld:
- wagwoord
– met 'n foon wat SMS aanvaar
Wel, om SMS na Mac na die foon aan te stuur, voeg ook die Mac (of meer Mac en iPad wat ek gepaar het) by as alternatief, maar dit is steeds 2FA. Of nie?
Weereens – onder normale omstandighede los 2FA situasies op soos “my Mac is gehack en ek weet nie daarvan nie”. Want dan kan jy aanvaar dat die Mac jou wagwoord vir die diens ken (dat jy dit reeds gestoor het of daarna sal luister die volgende keer as jy by die diens aanmeld). En nou kan jy verwag dat hy ook SMS sal ken (of hy kan enige tyd daarvoor vra en hy sal dit ontvang).
Die meeste dienste wat tweefaktor-stawing bied (Facebook, Dropbox, Google, Microsoft, …) laat toe dat eenmalige wagwoorde gegenereer word deur 'n toepassing te gebruik (ek gebruik Google Authenticator). Die toepassing genereer voortdurend tydbeperkte kodes vir geregistreerde dienste. Die kode kan onmiddellik gekopieer word en gebruik word om aan te meld. Jy hoef nie te wag vir die SMS om te arriveer nie en, as dit na die Mac aangestuur word, los die probleem op wat in die artikel beskryf word.
Gekompromitteerde Mac's het SMS-boodskappe wanneer u aanmeld...
Vra gerus daarvoor. As ek tweefase-verifikasie aangeskakel het met die generering van 'n eenmalige kode deur die toepassing te gebruik, dan stuur die gegewe diens geen SMS nie.
As iets nie verander het nie, wou baie dienste die foon hê en SMS as die verstekopsie gelaat. So jou gekapte rekenaar is terug.
Met 'n groot aantal banke is daar geen keuse nie, net 'n SMS en dit is dit.
Ek verstaan dit nie baie duidelik nie. As iemand my Mac steel, skakel ek SMS af, vee die Mac op afstand af en verander die wagwoord by die bank. Of wat is die vangs?
Sou jy dit doen voordat jy hierdie artikel lees?
Absoluut, absoluut outomaties.
Maar tweefase-verifikasie gaan oor die feit dat die aanvaller twee bevestigings benodig: WAGWOORD EN SMS. Dit beteken dat as ek bang is dat iemand my gekoppelde Mac sal neem, ek nie die wagwoord daar stoor nie, en as iemand my blaaier hack, sal hulle nie by iMessage inkom nie.
Waar kry jy die versekering dat dit nie uit jou blaaier sal breek nie? Volgens die huidige resultate van Pwn4Fun en Pwn2Own, lyk dit of daar ten minste twee nul dae vir Safari is:
"By Pwn4Fun het Google 'n baie indrukwekkende uitbuiting gelewer teen Apple Safari wat Calculator as wortel op Mac OS X bekendstel."
"Deur Liang Chen van Keen Team:
Teen Apple Safari loop 'n hoop oor saam met 'n sandbox-omleiding, wat lei tot kode-uitvoering."
Dun wit letters op 'n groen agtergrond - nie eers 'n leerling van 'n spesiale skool kon dit beter voorgestel het nie...
Een van die maniere om dit te stop, is om kodegenerering via 'n dongle te vervang (byvoorbeeld hierdie: http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ ) dit is veilig en dit maak hoër sekuriteit moontlik, KB moet ook iets soortgelyks doen - 'n sertifikaat wat op 'n USB-skyf opgelaai is, waarsonder 'n persoon nie aan internetbankdienste kan koppel nie, plus soms word 'n eenmalige wagwoord na die foon gestuur, ens. ... Daar is baie moontlikhede, maar elkeen het sy eie sy moet besluit of sekuriteit vir haar belangrik is (of sy 'n wagwoord het of nie? ens.)
Unicredit het 'n wonderlike ding. Die slimsleutel is nooit 'n klassieke SMS nie, maar ek genereer 'n eenmalige wagwoord in die mobiele toepassing.
Ek het raad nodig oor hoekom ek skielik nie 'n mm kort video kan stuur nie, wat tot nou moontlik was? Daar is geen opsie om bloot 'n video in te voeg nie, dit reageer nie, dit voeg dit nie in die boodskap in nie
Děkuji