Ondrej Holzman Għalkemm il-karatteristiċi ġodda introdotti f'OS X Yosemite u iOS 8 iġibu ħafna karatteristiċi utli għall-utenti li jissimplifikaw l-użu ta 'apparati multipli, jistgħu wkoll joħolqu theddida għas-sigurtà. Pereżempju, it-trażmissjoni ta' messaġġi minn iPhone għal Mac faċilment tevita l-verifika f'żewġ stadji meta tidħol f'diversi servizzi.
Is-sett ta’ funzjonijiet ta’ Kontinwità, li fihom Apple tgħaqqad kompjuters ma’ apparat mobbli fl-aħħar sistemi operattivi, huwa interessanti ħafna, speċjalment f’termini tan-netwerks u t-tekniki li jużaw biex jgħaqqdu iPhones u iPads mal-Macs. Il-kontinwità tinkludi l-abbiltà li tagħmel sejħiet minn Mac, tibgħat fajls permezz ta 'AirDrop jew toħloq malajr hotspot, iżda issa se niffukaw fuq it-trażmissjoni ta' SMS regolari lill-kompjuters.
Din il-funzjoni relattivament inkonspikwa, iżda utli ħafna tista', fl-agħar każ, tinbidel f'toqba tas-sigurtà li tippermetti lil attakkant jikseb data għat-tieni fażi ta' verifika meta jidħol fis-servizzi magħżula. Hawnhekk qed nitkellmu dwar l-hekk imsejjaħ login b'żewġ fażijiet, li, minbarra l-banek, diġà qed jiġi introdott minn bosta servizzi tal-internet u huwa ħafna aktar sigur milli kieku jkollok kont protett biss b'password klassika u waħda.
Il-verifika f’żewġ fażijiet tista’ sseħħ b’modi differenti, iżda meta nitkellmu dwar servizzi bankarji onlajn u servizzi oħra tal-internet, ħafna drabi niltaqgħu ma’ nibagħtu kodiċi ta’ verifika għan-numru tat-telefon tiegħek, li mbagħad trid iddaħħal ħdejn iddaħħal il-password regolari tiegħek. Għalhekk, jekk xi ħadd jikseb il-password tiegħek (jew il-kompjuter inkluż il-password jew iċ-ċertifikat), normalment ikollu bżonn il-mowbajl tiegħek, pereżempju, biex jidħol fl-internet banking, fejn jasal SMS bil-password għat-tieni fażi tal-verifika. .
Imma fil-mument li jkollok il-messaġġi kollha tiegħek mibgħuta mill-iPhone tiegħek għall-Mac tiegħek u attakkant jieħu f'idejh il-Mac tiegħek, m'għadhomx jeħtieġu l-iPhone tiegħek. Sabiex jintbagħtu messaġġi SMS klassiċi, m'hemmx bżonn ta 'konnessjoni diretta bejn iPhone u Mac - m'għandhomx għalfejn ikunu fuq l-istess netwerk Wi-Fi, Wi-Fi lanqas biss irid jinxtegħel, bħal Bluetooth, u dak kollu li hemm bżonn huwa li tqabbad iż-żewġ apparati mal-internet. Is-servizz SMS Relay, kif jissejjaħ uffiċjalment it-trażmissjoni tal-messaġġi, jikkomunika permezz tal-protokoll iMessage.
Fil-prattika, il-mod kif jaħdem huwa li għalkemm il-messaġġ jasal lilek bħala SMS normali, Apple tipproċessah bħala iMessage u tittrasferih fuq l-Internet għall-Mac (dan huwa kif ħadem ma 'iMessage qabel il-miġja ta' SMS Relay) , fejn juriha bħala SMS, li huwa indikat minn bużżieqa ħadra . iPhone u Mac kull wieħed jista 'jkun f'belt differenti, iż-żewġ apparati biss jeħtieġu konnessjoni tal-Internet.
Tista' wkoll tikseb prova li SMS Relay ma jaħdimx fuq Wi-Fi jew Bluetooth bil-mod li ġej: attiva l-modalità ajruplan fuq l-iPhone tiegħek u ikteb u ibgħat SMS fuq Mac konness mal-Internet. Imbagħad skonnettja l-Mac mill-Internet u, bil-maqlub, qabbad l-iPhone miegħu (l-internet mobbli huwa biżżejjed). L-SMS jintbagħat anke jekk iż-żewġ apparati qatt ma kkomunikaw direttament ma 'xulxin - kollox huwa żgurat mill-protokoll iMessage.
Għalhekk, meta tuża t-trażmissjoni tal-messaġġi, huwa meħtieġ li wieħed iżomm f'moħħu li s-sigurtà tal-awtentikazzjoni b'żewġ fatturi hija kompromessa. Fil-każ li l-kompjuter tiegħek jinsteraq, id-diżattivazzjoni tal-messaġġi immedjatament hija l-aktar mod mgħaġġel u faċli biex tevita l-hacking potenzjali tal-kontijiet tiegħek.
Id-dħul tal-internet banking huwa aktar konvenjenti jekk m'għandekx għalfejn tikteb mill-ġdid il-kodiċi ta 'verifika mill-wiri tat-telefon, iżda tikkopjaha biss minn Messaġġi fuq il-Mac, iżda s-sigurtà hija ħafna aktar importanti f'dan il-każ, li hija nieqsa ħafna minħabba SMS Relay . Soluzzjoni għal din il-problema tista' tkun, pereżempju, il-possibbiltà li jiġu esklużi numri speċifiċi milli jintbagħtu fuq Mac, peress li l-kodiċijiet tal-SMS normalment jiġu mill-istess numri.
Kif issemma fl-aħħar paragrafu - il-kapaċità li tikkopja l-kodiċi hija ħafna aktar konvenjenti u aħjar.
Barra minn hekk – jekk xi ħadd jisraq il-MacBook tiegħi, l-ewwel ħaġa li nagħmel hu li nibblokkah u titfi l-“forwarding” u l-Kontinwità kollha fuq l-iPhone – għalhekk hemm ukoll din l-għażla f’Settings/Messaġġi. :)
U jekk xi ħadd jaqbadha miegħek, twaqqafha wkoll?
U għaliex għandek awtorizzazzjoni f'żewġ stadji meta tista' timblokka l-apparat misruq mill-ewwel, huh?
Il-verifika f'żewġ stadji hija servizz ta' parti terza, għalhekk ma nistax nużaha jew ninjoraha, għall-inqas fil-każ tal-banek. U jien jimblokka jew inħassar il-Mac tiegħi permezz Sib il-Mac tiegħi. Il-benefiċċji tat-trażmissjoni tal-SMS jegħlbu jekk ma narax ix-xitan wara kollox.
Ħadd ma jimpurtah mis-serq, il-kriptaġġ sħiħ tad-disk issolvi dan. Imma x'se tagħmel b'kompjuter hacked? Probabbilment xejn, ma tkunx taf biha.
Ukoll, ovvjament, il-vantaġġi jipprevalu, ħadd ma jara lix-xitan u l-utent dejjem jinnegozja s-sigurtà għal ħanżir taż-żfin.
Mill-mod, għandek l-impressjoni li l-banek qed iġiegħlek tibgħat SMS biss għall-gost?
jekk xi ħadd ikun inkwetat allura tużahx. Jiena estremament sodisfatt biha
U dawk li m'għandhomx tħassib flimkien ma '2FA lanqas biss jużawh, għax ovvjament ma jafux x'qed jagħmlu.
U kif neskludi numru speċifiku fuq il-Macbook u nħallih fuq l-iPhone? Grazzi tat-tweġiba
AFAIK l-aħjar għażla hija "itfi Test Messaġġi Forwarding taħt Messaġġi fl-Settings (mill-iPhone tiegħek)."
Jekk ma nkunx żbaljat, mhux possibbli li dak li għandu jintbagħat fil-lista l-bajda, lanqas dak li ma jkunx fil-lista sewda.
Ukoll, mhux aktar faċli li tisraq mowbajl milli Mac? Iva, jista 'jkollok password għall-mowbajl, iżda wkoll għall-MAC. Jien m'iniex espert, imma aktarx mhux faċli li tasal għall-Mac jekk ma nafx il-password (ma rridx li naqra d-data, imma li tidħol biex tibda l-SMS relay).
Tinsiex ukoll li qed nitkellmu dwar is-sigurtà doppja, fejn l-ewwel fażi hija dik prinċipali - iddaħħal il-password biex tonora u jekk ma jkollokx miktub fuq il-MAC jew f'xi dokument ta' test ġewwa, allura hemm l-ebda aċċess għall-bank (u ma tużax 1111 bħala password :-))
Għalhekk, is-serq ta 'mac probabbilment jikkawża l-akbar ħsara minħabba l-prezz veru tal-mac.
2FA ma ssolvix is-serq primarju tal-Mac jew tal-IP. Is-soluzzjoni hija li l-attakkant irid jikseb kontroll tal-Mac u xi ħaġa oħra. Il-Mac huwa biżżejjed għalih issa. Coz jiċħad il-benefiċċji kollha ta '2FA.
(Il-parir huwa li tipproteġi kontra l-varjant "l-attakkant fuq Mac jikkontrolla biss il-brawżer", li probabbilment mhix sitwazzjoni kompletament ikkontrollata.)
Huwa biss li jekk tqis il-Mac bħala totalment sigur (haha), allura m'għandekx għalfejn tittratta 2FA. U jekk le, allura 2FA waqaf iġiblek dik is-sigurtà miżjuda, bħal driv.
U darba oħra, b'mod ċar ħafna - tmur fuq il-websajt "nicnebezpecneho.cz", li hija perikoluża minħabba sett ta 'ċirkostanzi sfortunati. Dan jista 'jiġrilek pjuttost faċilment - m'għandekx għalfejn tmur f'siti pornografiċi minnufih, huwa biżżejjed li xi ħadd ma jassigurax il-blog li qed iżżur u jħalli javascript mhux sanitizzat jiddaħħal fil-kummenti. Hemm sfruttament remot għall-browser tiegħek f'dik il-paġna (dan xorta jista' jiġri lilek, xejn mhux tas-soltu). Jew tinqabad fl-inġinerija soċjali...
...wara ftit sigħat tmur tibgħat flus mill-bank (tidħol fuq gmail, github...). Meta tagħmel dan, iddaħħal id-data tal-login fil-kompjuter diġà kompromess (jew lanqas ma jkollok għalfejn tagħmel dan jekk għandek dawn il-passwords salvati) u tikkopja u tippejstja l-kodiċi mill-SMS darba waħda.
..u bil-lejl, il-kompjuter tiegħek jidħol fil-bank (gmail...) waħdu, il-password diġà ġiet salvata minn xi ħadd b'malware. Mhux se tirċievi SMS ta' konferma fuq il-mowbajl tiegħek, iżda... f'dak il-kompjuter kompromess.
2FA solvuti eżattament dawn ix-xenarji. Sakemm Apple kissruha.
Ħsibt li 2FA ifisser li għandi nipprova lili nnifsi b'2 affarijiet, pereżempju:
– password
– bi telefon li jaċċetta SMS
Ukoll, it-trażmissjoni ta 'SMS lill-Mac mat-telefon iżid ukoll il-Mac (jew aktar Mac u iPad li jien imqabbad) bħala alternattiva, iżda għadu 2FA. Jew le?
Għal darb'oħra - taħt ċirkostanzi normali, 2FA issolvi sitwazzjonijiet bħal "Mac tiegħi huwa hacked u ma nafx dwarha". Għax allura tista' tassumi li l-Mac jaf il-password tiegħek għas-servizz (li diġà għandek issalvaha jew se tismagħha l-ħin li jmiss li tidħol fis-servizz). U issa tista' tistenna li jkun jaf ukoll l-SMS (jew jista' jitlobha fi kwalunkwe ħin u jirċievih).
Il-biċċa l-kbira tas-servizzi li joffru awtentikazzjoni b’żewġ fatturi (Facebook, Dropbox, Google, Microsoft, …) jippermettu li jiġu ġġenerati passwords ta’ darba permezz ta’ app (jien nuża Google Authenticator). L-applikazzjoni tiġġenera kontinwament kodiċijiet limitati fiż-żmien għal servizzi reġistrati. Il-kodiċi jista' jiġi kkupjat immedjatament u jintuża biex tidħol. M'għandekx għalfejn tistenna li jaslu l-SMS u, jekk jintbagħtu lill-Mac, issolvi l-problema deskritta fl-artikolu.
Il-macs kompromessi għandhom messaġġi SMS meta jidħlu...
Ħossok liberu li titlob għal dak. Jekk ixgħelt il-verifika f'żewġ fażijiet bil-ġenerazzjoni ta 'kodiċi ta' darba billi tuża l-applikazzjoni, allura s-servizz mogħti ma jibgħat ebda SMS.
Jekk xi ħaġa ma nbidlitx, ħafna servizzi riedu t-telefon u ħallew l-SMS bħala l-għażla awtomatika. Allura l-kompjuter hacked tiegħek huwa lura.
B’numru kbir ta’ banek, m’hemmx għażla, biss SMS u hekk.
Dan ma nifhimx ċar ħafna. Jekk xi ħadd jisraq il-Mac tiegħi, nitfi l-SMS, imsaħ il-Mac mill-bogħod u nibdel il-password fil-bank. Jew x'inhi l-qabda?
Tagħmel dan qabel taqra dan l-artiklu?
Assolutament, assolutament awtomatikament.
Iżda l-awtentikazzjoni f'żewġ fażijiet hija dwar il-fatt li l-attakkant jeħtieġ żewġ konfermi: PASSWORD U SMS. Dan ifisser li jekk nibża' li xi ħadd jieħu l-Mac paired tiegħi, ma naħżenx il-password hemmhekk, u jekk xi ħadd hacks il-browser tiegħi, ma jidħolx f'iMessage.
Minn fejn tikseb l-assigurazzjoni li mhux se toħroġ mill-browser tiegħek? Skont ir-riżultati attwali ta' Pwn4Fun u Pwn2Own, jidher li hemm mill-inqas jumejn żero għal Safari:
"F'Pwn4Fun, Google tat sfruttament impressjonanti ħafna kontra Apple Safari li tniedi Calculator bħala għerq fuq Mac OS X"
"Minn Liang Chen ta' Keen Team:
Kontra Apple Safari, overflow tal-munzell flimkien ma 'bypass ta' sandbox, li jirriżulta fl-eżekuzzjoni tal-kodiċi."
Ittri bojod irqiq fuq sfond aħdar - lanqas student ta' skola speċjali ma seta' jissuġġerixxi aħjar...
Wieħed mill-modi kif twaqqaf dan huwa li tissostitwixxi l-ġenerazzjoni tal-kodiċi permezz ta' dongle (per eżempju dan: http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ ) huwa sikur u jippermetti sigurtà ogħla, KB jeħtieġ ukoll li jagħmel xi ħaġa simili - ċertifikat imtella 'fuq USB disk, li mingħajru persuna ma tistax tikkonnettja mal-Internet banking, kif ukoll xi kultant tintbagħat password ta' darba lit-telefon, eċċ. ... Hemm ħafna possibbiltajiet, iżda kulħadd għandu tiegħu hi trid tiddeċiedi jekk is-sigurtà hijiex importanti għaliha (għandha password jew le? eċċ.)
Unicredit għandha ħaġa kbira. Iċ-ċavetta intelliġenti qatt ma hija SMS klassika, iżda niġġenera password ta' darba fl-applikazzjoni tal-mowbajl.
Għandi bżonn pariri dwar għaliex f'daqqa waħda ma nistax nibgħat vidjo qasir mm, li kien possibbli sa issa? M'hemm l-ebda għażla li sempliċement daħħal vidjo, ma jirrispondix, ma daħħalhiex fil-messaġġ
Děkuji