Ондреј Холцман Иако нове функције уведене у ОС Кс Иосемите и иОС 8 доносе много корисних функција корисницима које поједностављују употребу више уређаја, оне такође могу представљати безбедносну претњу. На пример, прослеђивање текстуалних порука са иПхоне-а на Мац веома лако заобилази верификацију у два корака приликом пријављивања на различите услуге.
Скуп функција континуитета, у оквиру којег Аппле повезује рачунаре са мобилним уређајима у најновијим оперативним системима, веома је занимљив, посебно у погледу мрежа и техника које користе за повезивање иПхоне-а и иПад-а са Мац-овима. Континуитет укључује могућност упућивања позива са Мац-а, слања датотека преко АирДроп-а или брзог креирања приступне тачке, али сада ћемо се фокусирати на прослеђивање редовних СМС-ова на рачунаре.
Ова релативно неупадљива, али веома корисна функција може, у најгорем случају, да се претвори у безбедносну рупу која омогућава нападачу да добије податке за другу фазу верификације приликом пријављивања на одабране сервисе. Овде је реч о такозваној двофазној пријави коју, поред банака, већ уводе многи интернет сервиси и много је сигурнији него ако имате налог заштићен само класичном и једном лозинком.
Двофазна верификација може да се одвија на различите начине, али када говоримо о онлајн банкарству и другим интернет услугама, најчешће се сусрећемо са слањем верификационог кода на ваш број телефона, који затим морате да унесете поред уноса своје обичне лозинке. Стога, ако неко дође до ваше лозинке (или рачунара укључујући лозинку или сертификат), обично ће му требати ваш мобилни телефон, на пример, да се пријави у интернет банкарство, где ће стићи СМС са лозинком за другу фазу верификације. .
Али у тренутку када све своје текстуалне поруке проследите са свог иПхоне-а на Мац и нападач преузме ваш Мац, више им не треба ваш иПхоне. Да бисте прослеђивали класичне СМС поруке, није потребна директна веза између иПхоне-а и Мац-а – они не морају да буду на истој Ви-Фи мрежи, Ви-Фи не мора чак ни да буде укључен, баш као и Блуетоотх, и све што је потребно је да повежете оба уређаја на интернет. Услуга СМС Релаи, како се званично зове прослеђивање порука, комуницира преко иМессаге протокола.
У пракси, начин на који то функционише је да иако вам порука стиже као обичан СМС, Аппле је обрађује као иМессаге и преноси је преко Интернета на Мац (овако је функционисало са иМессаге-ом пре појаве СМС Релаи-а) , где га приказује као СМС, што је означено зеленим балончићем . иПхоне и Мац могу бити у другом граду, само оба уређаја требају интернет везу.
Такође можете добити доказ да СМС Релаи не ради преко Ви-Фи-а или Блуетоотх-а на следећи начин: активирајте режим рада у авиону на свом иПхоне-у и напишите и пошаљите СМС на Мац рачунару који је повезан на Интернет. Затим искључите Мац са Интернета и, обрнуто, повежите иПхоне на њега (мобилни интернет је довољан). СМС се шаље иако два уређаја никада нису директно комуницирали један са другим - све је обезбеђено иМессаге протоколом.
Дакле, када користите прослеђивање порука, потребно је имати на уму да је безбедност двофакторске аутентификације угрожена. У случају да вам рачунар украду, одмах онемогућите размену порука најбржи и најлакши начин да спречите потенцијално хаковање ваших налога.
Улазак у интернет банкарство је практичнији када не морате да преписујете верификациони код са екрана телефона, већ га само копирате из Мессагес-а на Мац-у, али је безбедност у овом случају много важнија, што у великој мери недостаје због СМС Релаи-а . Решење за овај проблем може бити, на пример, могућност искључивања одређених бројева из прослеђивања на Мац-у, пошто СМС кодови обично долазе са истих бројева.
Као што је поменуто у последњем параграфу - могућност копирања кода је много згоднија и боља.
Поред тога – ако неко украде мој МацБоок, прво што урадим је да га блокирам и искључим све „прослеђивање“ и Континуитет на иПхоне-у – зато постоји и ова опција у Подешавањима / Поруке. :)
А ако вам га неко закачи, да ли и ви то заустављате?
И зашто имати ауторизацију у два корака када можете одмах блокирати украдени уређај, а?
Верификација у два корака је услуга треће стране, тако да тешко могу да је не користим или игноришем, барем у случају банака. И блокирам или избришем свој Мац преко Финд ми Мац. Предности прослеђивања СМС-а надмашују ако не видим ђавола иза свега.
Никога није брига за крађу, пуна енкрипција диска то решава. Али шта ћете да радите са хакованим рачунаром? Вероватно ништа, нећете знати за то.
Па, наравно, предности преовладавају, нико не види ђавола и корисник увек мења сигурност за свињу која плеше.
Иначе, да ли имате утисак да вас банке терају да шаљете СМС само из забаве?
ако је неко забринут, немојте га користити. Изузетно сам задовољан тиме
А они који немају бриге у комбинацији са 2ФА то ни не користе, јер очигледно не знају шта раде.
И како да искључим одређени број на Мацбоок-у и оставим га на иПхоне-у? Хвала на одговору
АФАИК најбоља опција је „искључите прослеђивање текстуалних порука у оквиру Поруке у подешавањима (са вашег иПхоне-а).“
Ако се не варам, не може се ставити на белу листу шта треба проследити, нити на црну листу шта не.
Па, зар није лакше украсти мобилни него Мац? Да, можете имати лозинку за мобилни, али и за МАЦ. Нисам стручњак, али вероватно није лако доћи до Мац-а ако не знам лозинку (не мислим да читам податке, већ да се улогујем да би се покренуо СМС релеј).
Такође, не заборавите да је реч о двострукој безбедности, где је прва фаза главна – уношење лозинке за поштовање и ако је немате уписану на МАЦ-у или у неком текстуалном документу унутра, онда постоји нема приступа банци (и не користите 1111 као лозинку :-))
Дакле, крађа Мац-а ће вам вероватно нанети највећу штету због праве цене Мац-а.
2ФА не решава примарну крађу Мац-а или ИП-а. Решење је да нападач мора да преузме контролу над Мац-ом и нечим другим. Мек му је сада довољан. Јер негира све предности 2ФА.
(Савет је да се заштитите од варијанте „нападач на Мац-у контролише само прегледач“, што вероватно није потпуно контролисана ситуација.)
Само ако сматрате да је Мац потпуно безбедан (хаха), онда не морате да се бавите 2ФА. А ако не, онда је 2ФА престала да вам доноси ту повећану сигурност, као што је дрив.
И још једном, врло сликовито - идете на веб страницу "ницнебезпецнехо.цз", која је опасна због несрећног сплета околности. То вам се може лако десити – не морате одмах да идете на порно сајтове, довољно је да неко не обезбеди блог који посећујете и да неисправан јавасцрипт буде убачен у коментаре. На тој страници постоји удаљени експлоат за ваш претраживач (ово вам се још увек може догодити, ништа необично). Или се упусти у друштвени инжењеринг...
...после неколико сати идете да пошаљете новац из банке (логирате се на гмаил, гитхуб...). Притом уносите податке за пријаву у већ компромитовани рачунар (или не морате то да радите ако имате сачуване ове лозинке) и једном копирате и налепите код из СМС-а.
..а ноћу се ваш рачунар сам пријављује у банку (гмаил...), лозинку је већ сачувао неко са малвером. Нећете добити потврдни СМС на свој мобилни телефон, али... у тај компромитовани рачунар.
2ФА је решила управо ове сценарије. Док га Аппле није сломио.
Мислио сам да 2ФА значи да морам да се докажем са 2 ствари, на пример:
- Лозинка
– са телефоном који прихвата СМС
Па, прослеђивање СМС-а на Мац на телефон такође додаје Мац (или више Мац-а и иПад-а које сам упарио) као алтернативу, али је и даље 2ФА. Или не?
Још једном – под нормалним околностима, 2ФА решава ситуације попут „мој Мац је хакован и не знам за то“. Зато што тада можете претпоставити да Мац зна вашу лозинку за услугу (да је већ имате сачувану или ће је послушати следећи пут када се пријавите на услугу). А сада можете очекивати да ће и он знати СМС (или може да га затражи у било ком тренутку и да ће га добити).
Већина услуга које нуде двофакторску аутентификацију (Фацебоок, Дропбок, Гоогле, Мицрософт,…) дозвољавају генерисање једнократних лозинки помоћу апликације (ја користим Гоогле Аутхентицатор). Апликација стално генерише временски ограничене кодове за регистроване услуге. Код се може одмах копирати и користити за пријаву. Не морате чекати да СМС стигне и, ако се проследи на Мац, решите проблем описан у чланку.
Компромитовани Мацови имају СМС поруке када се пријављују...
Слободно то тражите. Ако сам укључио двофазну верификацију са генерисањем једнократног кода помоћу апликације, онда дата услуга не шаље СМС.
Ако се нешто није променило, многи сервиси су желели телефон и оставили СМС као подразумевану опцију. Дакле, ваш хаковани рачунар се вратио.
Код великог броја банака нема избора, само СМС и то је то.
Не разумем ово сасвим јасно. Ако неко украде мој Мац, искључим СМС, даљински обришем Мац и променим лозинку у банци. Или у чему је квака?
Да ли бисте то урадили пре него што прочитате овај чланак?
Апсолутно, апсолутно аутоматски.
Али двофазна аутентификација се односи на чињеницу да су нападачу потребне две потврде: ЛОЗИНКА И СМС. То значи да ако се плашим да ће неко узети мој упарени Мац, не чувам лозинку тамо, а ако неко хакује мој претраживач, неће ући у иМессаге.
Одакле вам гаранција да неће избити из вашег претраживача? Према тренутним резултатима Пвн4Фун и Пвн2Овн, изгледа да постоји најмање два нула дана за Сафари:
„На Пвн4Фун-у, Гоогле је испоручио веома импресивну експлоатацију против Аппле Сафарија лансирајући Калкулатор као роот на Мац ОС Кс-у“
„Аутор Лианг Цхен из Кеен Теам-а:
Против Аппле Сафарија, преливање гомиле заједно са заобилажењем сандбок-а, што резултира извршавањем кода."
Танка бела слова на зеленој позадини - ни ученик специјалне школе не би могао боље да предложи...
Један од начина да се ово заустави је замена генерисања кода преко кључа (на пример ово: http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ ) безбедно је и омогућава већу безбедност, КБ такође треба да уради нешто слично - сертификат на УСБ диск, без којег особа не може да се повеже на интернет банкарство, плус понекад се на телефон пошаље једнократна лозинка итд. ... Постоји много могућности, али свако има своје, она мора да одлучи да ли јој је безбедност важна (да ли има лозинку или не? итд.)
Уницредит има сјајну ствар. Паметни кључ никада не долази путем класичног СМС-а, већ ја генеришем једнократну лозинку у мобилној апликацији.
Треба ми савет зашто одједном не могу да пошаљем мм кратак видео, што је до сада било могуће? Не постоји опција да једноставно убаците видео, он не одговара, не убацује га у поруку
хвала