Ondrej Holzman Þrátt fyrir að nýju eiginleikarnir sem kynntir eru í OS X Yosemite og iOS 8 koma með fullt af gagnlegum eiginleikum til notenda sem einfalda notkun margra tækja, þá geta þeir einnig valdið öryggisógn. Til dæmis, að áframsenda textaskilaboð frá iPhone til Mac fer mjög auðveldlega framhjá tveggja þrepa staðfestingu þegar þú skráir þig inn á ýmsa þjónustu.
Samfelluaðgerðirnar, þar sem Apple tengir tölvur við fartæki í nýjustu stýrikerfum, er mjög áhugavert, sérstaklega hvað varðar netkerfi og tækni sem þeir nota til að tengja iPhone og iPad við Mac. Samfella felur í sér möguleika á að hringja úr Mac, senda skrár í gegnum AirDrop eða búa til heitan reit á fljótlegan hátt, en nú munum við einbeita okkur að því að áframsenda venjuleg SMS í tölvur.
Þessi tiltölulega lítt áberandi, en mjög gagnlega aðgerð getur í versta falli breyst í öryggisgat sem gerir árásarmanni kleift að afla gagna fyrir seinni sannprófunarfasa þegar hann skráir sig inn á valdar þjónustur. Hér er verið að tala um svokallaða tveggja fasa innskráningu, sem, auk banka, er nú þegar í notkun hjá mörgum netþjónustum og er mun öruggara en ef þú ert með reikning sem er aðeins varinn með klassísku og einu lykilorði.
Tveggja fasa sannprófun getur farið fram á mismunandi vegu en þegar talað er um netbanka og aðra netþjónustu lendum við oftast í því að senda staðfestingarkóða í símanúmerið þitt sem þú þarft síðan að slá inn við hliðina á því að slá inn venjulega lykilorðið þitt. Þess vegna, ef einhver nær lykilorðinu þínu (eða tölvu þar á meðal lykilorð eða vottorð), þarf hann venjulega farsímann þinn, til dæmis til að skrá sig inn í netbanka, þar sem SMS með lykilorðinu fyrir seinni áfanga staðfestingar kemur .
En um leið og þú hefur sent öll textaskilaboðin þín frá iPhone þínum yfir á Mac þinn og árásarmaður tekur yfir Mac þinn, þurfa þeir ekki lengur iPhone þinn. Til þess að senda sígild SMS skilaboð þarf ekki bein tengingu milli iPhone og Mac - þau þurfa ekki að vera á sama Wi-Fi neti, Wi-Fi þarf ekki einu sinni að vera kveikt á, rétt eins og Bluetooth, og allt sem þarf er að tengja bæði tækin við internetið. SMS Relay þjónustan, eins og framsending skilaboða er opinberlega kölluð, hefur samskipti í gegnum iMessage samskiptareglur.
Í reynd er það þannig að þrátt fyrir að skilaboðin berist til þín sem venjulegt SMS, vinnur Apple þau sem iMessage og flytur þau yfir netið yfir á Mac (svona virkaði það með iMessage áður en SMS Relay kom) , þar sem það sýnir það sem SMS, sem er gefið til kynna með grænum kúla . iPhone og Mac geta hvort um sig verið í annarri borg, aðeins bæði tækin þurfa nettengingu.
Þú getur líka fengið sönnun fyrir því að SMS Relay virkar ekki yfir Wi-Fi eða Bluetooth á eftirfarandi hátt: virkjaðu flugstillingu á iPhone þínum og skrifaðu og sendu SMS á Mac tengdan við internetið. Aftengdu síðan Mac frá internetinu og öfugt tengdu iPhone við hann (farsímainternet er nóg). SMS-ið er sent þrátt fyrir að tækin tvö hafi aldrei átt bein samskipti sín á milli - allt er tryggt með iMessage samskiptareglum.
Því er nauðsynlegt að hafa í huga að öryggi tvíþættrar auðkenningar er í hættu þegar verið er að senda skilaboð. Ef tölvunni þinni er stolið er það að slökkva strax á skilaboðum fljótlegasta og auðveldasta leiðin til að koma í veg fyrir hugsanlega innbrot á reikningana þína.
Inngangur í netbanka er þægilegri ef ekki þarf að endurskrifa staðfestingarkóðann af skjá símans heldur bara afrita hann úr Messages á Mac, en öryggið er miklu mikilvægara í þessu tilfelli, sem er mjög ábótavant vegna SMS Relay . Lausn á þessu vandamáli gæti td verið möguleikinn á að útiloka ákveðin númer frá áframsendingu á Mac, þar sem SMS-kóðar koma venjulega frá sömu númerum.
Eins og fram kemur í síðustu málsgrein - hæfileikinn til að afrita kóðann er miklu þægilegri og betri.
Þar að auki - ef einhver stelur MacBook minni, þá er það fyrsta sem ég geri að loka á hana og slökkva á allri "framsendingu" og Continuity á iPhone - þess vegna er líka þessi valmöguleiki í Stillingar / Skilaboð. :)
Og ef einhver krækir í þig, hættirðu því líka?
Og hvers vegna að hafa tveggja þrepa heimild þegar þú getur lokað á stolna tækið strax, ha?
Tveggja þrepa staðfesting er þjónusta þriðja aðila, svo ég get varla notað hana eða hunsað hana, að minnsta kosti þegar um banka er að ræða. Og ég loka á eða eyða Mac minn í gegnum Find my Mac. Kostir SMS-framsendingar vega þyngra ef ég sé ekki djöfulinn á bak við allt.
Engum er sama um þjófnað, dulkóðun á fullum diskum leysir það. En hvað ætlarðu að gera við tölvur sem hakkað er? Sennilega ekkert, þú munt ekki vita af því.
Jæja, auðvitað, kostirnir ráða, enginn sér djöfulinn og notandinn skiptir alltaf örygginu út fyrir dansandi svín.
Við the vegur, hefurðu á tilfinningunni að bankarnir séu að neyða þig til að senda SMS þér til skemmtunar?
ef einhver hefur áhyggjur þá ekki nota það. Ég er afskaplega sáttur við það
Og þeir sem hafa ekki áhyggjur ásamt 2FA nota það ekki einu sinni, því þeir vita augljóslega ekki hvað þeir eru að gera.
Og hvernig útiloka ég ákveðið númer á Macbook og skil það eftir á iPhone? Takk fyrir svarið
AFAIK besti kosturinn er „slökkva á áframsendingu textaskilaboða undir Skilaboð í stillingum (frá iPhone þínum).“
Ef mér skjátlast ekki er ekki hægt að hvítlista það sem á að framsenda, né svartalista hvað ekki.
Jæja, er ekki auðveldara að stela farsíma en Mac? Já, þú getur haft lykilorð fyrir farsíma, en einnig fyrir MAC. Ég er enginn sérfræðingur, en það er líklega ekki auðvelt að komast í Mac ef ég veit ekki lykilorðið (ég er ekki að lesa gögnin heldur að skrá mig inn þannig að SMS relay fari í gang).
Ekki gleyma því líka að við erum að tala um tvöfalt öryggi, þar sem fyrsti áfanginn er aðal - að slá inn lykilorðið til að heiðra og ef þú ert ekki með það skrifað á MAC eða í einhverju textaskjali inni, þá er enginn aðgangur að bankanum (og þú notar ekki 1111 sem lykilorð :-))
Þannig að það að stela Mac mun líklega valda þér mestum skaða vegna raunverulegs verðs á Mac.
2FA leysir ekki aðal Mac eða IP þjófnað. Lausnin er sú að árásarmaðurinn þarf að ná stjórn á Mac og einhverju öðru. Macinn er nóg fyrir hann núna. Coz neitar öllum kostum 2FA.
(Ráðin er að verjast "árásarmaður á Mac stjórnar aðeins vafranum" afbrigði, sem er líklega ekki fullkomlega stjórnað ástandi.)
Það er bara þannig að ef þú telur Mac vera algjörlega öruggan (haha), þá þarftu ekki að takast á við 2FA. Og ef ekki, þá hætti 2FA að færa þér þetta aukna öryggi, eins og akstur.
Og einu sinni enn, mjög skær - þú ferð á vefsíðuna "nicnebezpecneho.cz", sem er hættuleg vegna óheppilegra aðstæðna. Þetta getur gerst auðveldlega fyrir þig - þú þarft ekki að fara á klámsíður strax, það er nóg fyrir einhvern að tryggja ekki bloggið sem þú ert að heimsækja og láta óhreinsað javascript vera sett inn í athugasemdirnar. Það er fjarstýring fyrir vafrann þinn á þeirri síðu (þetta getur samt gerst fyrir þig, ekkert mjög óvenjulegt). Eða festast í félagsverkfræði...
...eftir nokkra klukkutíma ferðu að senda peninga frá bankanum (þú skráir þig inn á gmail, github...). Með því að gera það slærðu inn innskráningargögnin inn í tölvuna sem þegar hefur verið í hættu (eða þú þarft ekki einu sinni að gera það ef þú ert með þessi lykilorð vistuð) og afritar og límir kóðann úr SMS einu sinni.
..og á kvöldin skráir tölvan þín sig inn í bankann (gmail...) sjálf, lykilorðið hefur þegar verið vistað af einhverjum með malware. Þú færð ekki staðfestingar-SMS í farsímann þinn, en... inn í þá tölvu sem er í hættu.
2FA leysti nákvæmlega þessar aðstæður. Þar til Apple braut það.
Ég hélt að 2FA þýði að ég þarf að sanna mig með 2 hlutum, til dæmis:
- lykilorð
– með síma sem tekur við SMS
Jæja, að senda SMS til Mac í símann bætir líka Mac (eða fleiri Mac og iPad sem ég hef parað saman) sem valkost, en það er samt 2FA. Eða ekki?
Enn og aftur - undir venjulegum kringumstæðum leysir 2FA aðstæður eins og "Macinn minn er hakkaður og ég veit ekki um það". Vegna þess að þá geturðu gert ráð fyrir að Mac viti lykilorðið þitt fyrir þjónustuna (að þú sért nú þegar með það vistað eða hlustar á það næst þegar þú skráir þig inn á þjónustuna). Og nú má búast við því að hann muni líka vita SMS (eða hann getur beðið um það hvenær sem er og hann mun fá það).
Flestar þjónustur sem bjóða upp á tvíþætta auðkenningu (Facebook, Dropbox, Google, Microsoft, …) leyfa að einskiptis lykilorð séu búin til með því að nota app (ég nota Google Authenticator). Forritið býr stöðugt til tímatakmarkaða kóða fyrir skráða þjónustu. Hægt er að afrita kóðann strax og nota til innskráningar. Þú þarft ekki að bíða eftir að SMS-skilaboðin berist og ef þau eru send á Mac skaltu leysa vandamálið sem lýst er í greininni.
Makka sem eru í hættu hafa SMS skilaboð þegar þú skráir þig inn...
Ekki hika við að biðja um það. Ef ég hef kveikt á tvífasa staðfestingu með því að búa til einskiptakóða með því að nota forritið, þá sendir tiltekin þjónusta engin SMS.
Ef eitthvað hefur ekki breyst vildu margar þjónustur hafa símann og skildu eftir SMS sem sjálfgefinn valkost. Þannig að tölvuþrjóta tölvan þín er komin aftur.
Með miklum fjölda banka er ekkert val, bara SMS og það er allt.
Ég skil þetta ekki alveg skýrt. Ef einhver stelur Mac-num mínum slökkva ég á SMS, fjarþurrka Mac-inn og skipti um lykilorð í bankanum. Eða hver er gripurinn?
Myndirðu gera það áður en þú lest þessa grein?
Algerlega, algjörlega sjálfkrafa.
En tveggja fasa auðkenning snýst um þá staðreynd að árásarmaðurinn þarf tvær staðfestingar: LYKILORÐ OG SMS. Þetta þýðir að ef ég er hræddur um að einhver taki paraða Mac-inn minn geymi ég ekki lykilorðið þar og ef einhver hakkar inn vafrann minn kemst hann ekki inn í iMessage.
Hvar færðu fullvissu um að það brotni ekki út úr vafranum þínum? Samkvæmt núverandi niðurstöðum Pwn4Fun og Pwn2Own, lítur út fyrir að það séu að minnsta kosti tveir núll dagar fyrir Safari:
"Á Pwn4Fun, Google skilaði mjög áhrifamikilli hetjudáð gegn Apple Safari sem ræsir Reiknivél sem rót á Mac OS X"
Eftir Liang Chen hjá Keen Team:
Gegn Apple Safari flæddi hrúga yfir ásamt sandkassa framhjá, sem leiðir til keyrslu kóða."
Þunnt hvítt letur á grænum grunni - ekki einu sinni nemandi í sérskóla hefði getað stungið upp á því betur...
Ein af leiðunum til að stöðva þetta er að skipta um kóðagerð í gegnum dongle (til dæmis þetta: http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ ) það er öruggt og það gerir aukið öryggi kleift, KB þarf líka að gera eitthvað svipað - vottorð hlaðið upp á USB disk, án þess getur maður ekki tengst netbanka, auk þess sem stundum er sent einu sinni lykilorð í símann o.s.frv. ... Það eru margir möguleikar, en hver hefur sitt eigið hún þarf að ákveða hvort öryggi sé henni mikilvægt (er hún með lykilorð eða ekki? o.s.frv.)
Unicredit hefur frábæran hlut. Snjalllykillinn er aldrei klassískt SMS, en ég bý til eitt skipti lykilorð í farsímaforritinu.
Mig vantar ráðleggingar um hvers vegna ég get allt í einu ekki sent mm stutt myndband, sem var hægt hingað til? Það er enginn möguleiki að setja bara myndskeið, það svarar ekki, það setur það ekki inn í skilaboðin
Děkuji