Ondrej Holzman Vaikka OS X Yosemiten ja iOS 8:n uudet ominaisuudet tuovat käyttäjille paljon hyödyllisiä ominaisuuksia, jotka yksinkertaistavat useiden laitteiden käyttöä, ne voivat myös muodostaa turvallisuusuhan. Esimerkiksi tekstiviestien välittäminen iPhonesta Maciin ohittaa helposti kaksivaiheisen vahvistuksen kirjautuessasi eri palveluihin.
Continuity-toimintosarja, jossa Apple yhdistää tietokoneet uusimmissa käyttöjärjestelmissä oleviin mobiililaitteisiin, on erittäin mielenkiintoinen etenkin niiden verkkojen ja tekniikoiden osalta, joita he käyttävät iPhonen ja iPadin yhdistämiseen Mac-tietokoneisiin. Jatkuvuus sisältää mahdollisuuden soittaa puheluita Macista, lähettää tiedostoja AirDropin kautta tai luoda nopeasti hotspotin, mutta nyt keskitymme tavallisten tekstiviestien välittämiseen tietokoneille.
Tämä suhteellisen huomaamaton, mutta erittäin hyödyllinen toiminto voi pahimmassa tapauksessa muuttua tietoturva-aukoksi, jonka avulla hyökkääjä voi hankkia tietoja toista varmennusvaihetta varten kirjautuessaan valittuihin palveluihin. Puhumme tässä niin sanotusta kaksivaiheisesta kirjautumisesta, joka on pankkien lisäksi jo käytössä monissa internetpalveluissa ja on paljon turvallisempi kuin jos sinulla on vain klassisella ja yhdellä salasanalla suojattu tili.
Kaksivaiheinen vahvistus voi tapahtua eri tavoin, mutta kun puhumme verkkopankista ja muista verkkopalveluista, kohtaamme useimmiten varmistuskoodin lähettämisen puhelinnumeroosi, joka sinun tulee sitten syöttää tavallisen salasanasi syöttämisen yhteydessä. Siksi, jos joku saisi salasanasi haltuunsa (tai tietokoneen salasanan tai varmenteen mukaan), tarvitsee hän yleensä matkapuhelimeesi esimerkiksi kirjautuakseen verkkopankkiin, jonne saapuu salasanalla tekstiviesti toiseen vaiheeseen. vahvistuksesta.
Mutta kun kaikki tekstiviestisi välitetään iPhonesta Maciin ja hyökkääjä ottaa Macin hallintaansa, he eivät enää tarvitse iPhoneasi. Klassisten tekstiviestien välittämiseen ei tarvita suoraa yhteyttä iPhonen ja Macin välillä – niiden ei tarvitse olla samassa Wi-Fi-verkossa, Wi-Fin ei tarvitse edes olla päällä, kuten Bluetoothin, ja kaikki mitä tarvitaan, on yhdistää molemmat laitteet Internetiin. SMS Relay -palvelu, kuten viestien edelleenlähetystä virallisesti kutsutaan, kommunikoi iMessage-protokollan kautta.
Käytännössä se toimii niin, että vaikka viesti saapuu sinulle tavallisena tekstiviestinä, Apple käsittelee sen iMessagena ja siirtää sen Internetin kautta Macille (näin se toimi iMessagen kanssa ennen SMS Relayn tuloa) , jossa se näyttää sen tekstiviestinä, jonka ilmaisee vihreä kupla . iPhone ja Mac voivat kumpikin olla eri kaupungissa, vain molemmat laitteet tarvitsevat Internet-yhteyden.
Voit myös saada todisteen siitä, että SMS Relay ei toimi Wi-Fin tai Bluetoothin kautta, seuraavasti: aktivoi lentokonetila iPhonessasi ja kirjoita ja lähetä tekstiviesti Internetiin yhdistetyllä Macilla. Irrota sitten Mac Internetistä ja päinvastoin yhdistä iPhone siihen (mobiili internet riittää). Tekstiviesti lähetetään, vaikka laitteet eivät ole koskaan kommunikoineet suoraan keskenään – kaiken varmistaa iMessage-protokolla.
Viestinvälitystä käytettäessä on siis syytä pitää mielessä, että kaksivaiheisen autentikoinnin turvallisuus vaarantuu. Jos tietokoneesi varastetaan, viestien välitön poistaminen käytöstä on nopein ja helpoin tapa estää mahdollinen tiliesi hakkerointi.
Verkkopankkiin sisäänpääsy on kätevämpää, jos vahvistuskoodia ei tarvitse kirjoittaa uudelleen puhelimen näytöltä, vaan kopioida se Macin Viestit-sovelluksesta, mutta turvallisuus on tässä tapauksessa paljon tärkeämpää, mikä on SMS Relayn vuoksi suuresti puutteellista. . Ratkaisu tähän ongelmaan voisi olla esimerkiksi mahdollisuus sulkea tiettyjä numeroita edelleenlähetyksestä Macissa, koska tekstiviestikoodit tulevat yleensä samoista numeroista.
Kuten viimeisessä kappaleessa mainittiin - kyky kopioida koodi on paljon kätevämpi ja parempi.
Lisäksi - jos joku varastaa MacBookini, ensimmäinen asia, jonka teen, on estää se ja sammuttaa kaikki "edelleenlähetys" ja jatkuvuus iPhonessa - siksi tämä vaihtoehto on myös Asetuksissa / Viestit. :)
Ja jos joku kiinnittää sen sinuun, lopetatko myös sen?
Ja miksi sinulla on kaksivaiheinen valtuutus, kun voit estää varastetun laitteen heti, vai mitä?
Kaksivaiheinen vahvistus on kolmannen osapuolen palvelu, joten tuskin voi olla käyttämättä tai sivuuttaa sitä, ainakin pankkien tapauksessa. Ja estän tai poistan Macin Find my Mac -toiminnolla. Tekstiviestien välittämisen edut ovat suuremmat, jos en näe paholaista kaiken takana.
Kukaan ei välitä varkaudesta, täysi levyn salaus ratkaisee sen. Mutta mitä aiot tehdä hakkeroidulla tietokoneella? Luultavasti ei mitään, et tiedä siitä.
No, tietysti edut voittaa, kukaan ei näe paholaista ja käyttäjä vaihtaa aina turvan tanssivaan porsaan.
Muuten, onko sinulla sellainen käsitys, että pankit pakottavat sinut lähettämään tekstiviestejä vain huvin vuoksi?
Jos joku on huolissaan, älkää käyttäkö sitä. Olen erittäin tyytyväinen siihen
Ja ne, joilla ei ole huolta 2FA:n kanssa, eivät edes käytä sitä, koska he eivät ilmeisesti tiedä mitä tekevät.
Ja kuinka voin sulkea pois tietyn numeron Macbookista ja jättää sen iPhoneen? Kiitos vastauksesta
AFAIK paras vaihtoehto on "kytkeä tekstiviestien edelleenlähetys pois päältä asetusten Viestit-kohdassa (iPhonesta)."
Jos en erehdy, ei ole mahdollista lisätä sallittujen luetteloon, mitä pitäisi lähettää, eikä mustalle listalle, mitä ei.
No, eikö matkapuhelimen varastaminen ole helpompaa kuin Macin? Kyllä, sinulla voi olla salasana mobiililaitteille, mutta myös MACille. En ole asiantuntija, mutta luultavasti ei ole helppoa päästä Macille, jos en tiedä salasanaa (en tarkoita tietojen lukemista, vaan kirjautumista, jotta SMS-välitys käynnistyy).
Älä myöskään unohda, että puhumme kaksoisturvallisuudesta, jossa ensimmäinen vaihe on tärkein - salasanan syöttäminen kunniaksi ja jos sitä ei ole kirjoitettu MAC:iin tai johonkin tekstidokumenttiin sisällä, niin sitten on ei pääsyä pankkiin (etkä käytä numeroa 1111 salasanana :-))
Joten macin varastaminen aiheuttaa sinulle todennäköisesti suurimman vahingon macin todellisen hinnan vuoksi.
2FA ei ratkaise ensisijaista Mac- tai IP-varkautta. Ratkaisu on, että hyökkääjän on saatava hallintaansa Mac ja jotain muuta. Mac riittää hänelle nyt. Coz tekee tyhjäksi kaikki 2FA:n edut.
(Neuvo on suojautua "hyökkääjä Macissa vain hallitsee selainta" -versiota vastaan, mikä ei todennäköisesti ole täysin hallittu tilanne.)
Se on vain, että jos pidät Macia täysin turvallisena (haha), sinun ei tarvitse käsitellä 2FA:ta. Ja jos ei, niin 2FA lakkasi tuomasta sinulle lisättyä turvallisuutta, kuten Drivea.
Ja vielä kerran, erittäin elävästi - siirryt verkkosivustolle "nicnebezpecneho.cz", joka on vaarallinen valitettavien olosuhteiden vuoksi. Tämä voi tapahtua sinulle melko helposti - sinun ei tarvitse mennä pornosivustoille heti, riittää, että joku ei suojaa vierailevaa blogia ja antaa desinfioimattoman javascriptin lisätä kommentteihin. Tällä sivulla on selaimesi etäkäyttö (tämä voi silti tapahtua sinulle, ei mitään kovin epätavallista). Tai joutua sosiaaliseen manipulointiin...
...muutaman tunnin kuluttua lähdet lähettämään rahaa pankista (kirjaudut sisään gmailiin, githubiin...). Tällöin syötät kirjautumistiedot jo vaarantuneeseen tietokoneeseen (tai sinun ei tarvitse tehdä sitä, jos sinulla on nämä salasanat tallennettuna) ja kopioit ja liität koodin tekstiviestistä kerran.
..ja yöllä tietokoneesi kirjautuu pankkiin (gmail...) itsestään, salasanan on jo tallentanut joku haittaohjelma. Et saa vahvistusviestiä matkapuhelimeesi, mutta... siihen vaarantuneeseen tietokoneeseen.
2FA ratkaisi juuri nämä skenaariot. Kunnes Apple rikkoi sen.
Ajattelin, että 2FA tarkoittaa, että minun on todistettava itseni kahdella asialla, esimerkiksi:
- Salasana
– puhelimella, joka hyväksyy tekstiviestit
Tekstiviestien lähettäminen Macille puhelimeen lisää myös Macin (tai useamman Macin ja iPadin, jotka olen yhdistänyt) vaihtoehtona, mutta se on silti 2FA. Tai ei?
Jälleen kerran - normaaleissa olosuhteissa 2FA ratkaisee tilanteet, kuten "Macini on hakkeroitu, enkä tiedä siitä". Koska silloin voit olettaa, että Mac tietää palvelun salasanasi (että sinulla on se jo tallennettu tai kuuntelee sitä seuraavan kerran kun kirjaudut palveluun). Ja nyt voit odottaa, että hän tietää myös tekstiviestit (tai hän voi pyytää sitä milloin tahansa ja hän saa sen).
Useimmat kaksivaiheista todennusta tarjoavat palvelut (Facebook, Dropbox, Google, Microsoft jne.) mahdollistavat kertaluonteisten salasanojen luomisen sovelluksen avulla (käytän Google Authenticatoria). Sovellus luo jatkuvasti aikarajoitettuja koodeja rekisteröidyille palveluille. Koodi voidaan kopioida välittömästi ja käyttää kirjautumiseen. Sinun ei tarvitse odottaa tekstiviestien saapumista ja ratkaista artikkelissa kuvattu ongelma, jos ne välitetään Macille.
Vaaralliset Macit saavat tekstiviestejä sisäänkirjautumisen yhteydessä...
Pyydä sitä rohkeasti. Jos olen laittanut päälle kaksivaiheisen varmennuksen luomalla kertakoodin sovelluksella, niin kyseinen palvelu ei lähetä tekstiviestiä.
Jos jokin ei ole muuttunut, monet palvelut halusivat puhelimen ja jättivät tekstiviestin oletusvaihtoehdoksi. Joten hakkeroitu tietokoneesi on palannut.
Kun pankkeja on paljon, vaihtoehtoja ei ole, vain tekstiviesti ja siinä se.
En ymmärrä tätä kovin selvästi. Jos joku varastaa Macini, sammutan tekstiviestit, etäpyyhin Macin ja vaihdan salasanan pankissa. Vai mikä on saalis?
Tekisitkö sen ennen tämän artikkelin lukemista?
Ehdottomasti, täysin automaattisesti.
Mutta kaksivaiheinen todennus tarkoittaa sitä, että hyökkääjä tarvitsee kaksi vahvistusta: SALASANA JA SMS. Tämä tarkoittaa, että jos pelkään jonkun vievän pariksi liitetyn Macini, en tallenna salasanaa sinne, ja jos joku hakkeroi selaimeni, hän ei pääse iMessageen.
Mistä saat varmuuden, että se ei murtaudu selaimesta? Pwn4Funin ja Pwn2Ownin nykyisten tulosten mukaan näyttää siltä, että Safarilla on vähintään kaksi nollapäivää:
"Pwn4Funissa Google tarjosi erittäin vaikuttavan hyödyn Apple Safaria vastaan käynnistämällä Calculatorin pääkäyttäjänä Mac OS X:ssä"
"Liang Chen Keen Teamista:
Apple Safaria vastaan keon ylivuoto sekä hiekkalaatikon ohitus, mikä johtaa koodin suorittamiseen."
Ohut valkoinen kirjain vihreällä taustalla - ei edes erikoiskoulun oppilas olisi voinut ehdottaa sitä paremmin...
Yksi tapa lopettaa tämä on korvata koodin luominen donglen kautta (esimerkiksi tämä: http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ ) se on turvallinen ja mahdollistaa korkeamman turvallisuuden, myös KB:n pitää tehdä jotain vastaavaa - USB-levylle ladattu varmenne, jota ilman ei voi muodostaa yhteyttä verkkopankkiin, plus joskus puhelimeen lähetetään kertakäyttöinen salasana jne. ... Mahdollisuuksia on monia, mutta jokaisella on omansa, hänen on päätettävä, onko turvallisuus hänelle tärkeää (onko hänellä salasana vai ei? jne.)
Unicreditillä on hieno juttu. Älyavain ei ole koskaan perinteinen tekstiviesti, mutta luon kertaluonteisen salasanan mobiilisovelluksessa.
Tarvitsen neuvoja miksi en yhtäkkiä voi lähettää mm lyhyttä videota, mikä oli mahdollista tähän asti? Ei ole mahdollisuutta yksinkertaisesti lisätä videota, se ei vastaa, se ei lisää sitä viestiin
kiitos