Ондрэй Хольцман Хаця новыя функцыі, прадстаўленыя ў OS X Yosemite і iOS 8, прыносяць карыстальнікам шмат карысных функцый, якія спрашчаюць выкарыстанне некалькіх прылад, яны таксама могуць прадстаўляць пагрозу бяспецы. Напрыклад, перасылка тэкставых паведамленняў з iPhone на Mac вельмі лёгка абыходзіць двухэтапную праверку пры ўваходзе ў розныя сэрвісы.
Набор функцый Continuity, у рамках якіх Apple злучае кампутары з мабільнымі прыладамі ў найноўшых аперацыйных сістэмах, вельмі цікавы, асабліва з пункту гледжання сетак і метадаў, якія яны выкарыстоўваюць для падлучэння iPhone і iPad да Mac. Continuity ўключае ў сябе магчымасць здзяйсняць званкі з Mac, адпраўляць файлы праз AirDrop або хутка ствараць кропку доступу, але зараз мы засяродзімся на перасылцы звычайных SMS на кампутары.
Гэтая адносна непрыкметная, але вельмі карысная функцыя можа ў горшым выпадку ператварыцца ў дзірку ў бяспецы, якая дазваляе зламысніку атрымаць дадзеныя для другой фазы праверкі пры ўваходзе ў выбраныя сэрвісы. Мы гаворым тут пра так званы двухфазны ўваход, які, акрамя банкаў, ужо ўкараняюць многія інтэрнэт-сэрвісы і нашмат больш бяспечны, чым калі ў вас ёсць уліковы запіс, абаронены толькі класічным і адзіным паролем.
Двухфазная праверка можа адбывацца рознымі спосабамі, але калі мы гаворым пра анлайн-банкінг і іншыя інтэрнэт-сэрвісы, мы часцей за ўсё сутыкаемся з адпраўкай кода спраўджання на ваш нумар тэлефона, які потым трэба ўвесці побач са звычайным паролем. Такім чынам, калі нехта атрымае ваш пароль (або камп'ютар з паролем або сертыфікатам), звычайна яму спатрэбіцца ваш мабільны тэлефон, напрыклад, для ўваходу ў інтэрнэт-банкінг, куды прыйдзе SMS з паролем для другога этапу праверкі. .
Але ў той момант, калі вы перасылаеце ўсе тэкставыя паведамленні з вашага iPhone на ваш Mac і зламыснік захоплівае ваш Mac, ваш iPhone яму больш не патрэбны. Каб перасылаць класічныя SMS-паведамленні, не патрабуецца прамое злучэнне паміж iPhone і Mac - яны не павінны быць у адной сетцы Wi-Fi, Wi-Fi нават не павінен быць уключаны, як і Bluetooth, і ўсё, што трэба, гэта падключыць абодва прылады да Інтэрнэту. Сэрвіс SMS Relay, як афіцыйна называецца пераадрасацыя паведамленняў, падтрымлівае сувязь праз пратакол iMessage.
На практыцы гэта працуе так, што хоць паведамленне прыходзіць да вас як звычайнае SMS, Apple апрацоўвае яго як iMessage і перадае праз Інтэрнэт на Mac (так гэта працавала з iMessage да з'яўлення SMS Relay) , дзе ён адлюстроўвае гэта як SMS, што пазначана зялёнай бурбалкай . iPhone і Mac могуць знаходзіцца ў розных гарадах, толькі абодвум прыладам патрабуецца падключэнне да Інтэрнэту.
Вы таксама можаце атрымаць доказ таго, што SMS Relay не працуе праз Wi-Fi або Bluetooth, наступным чынам: уключыце рэжым палёту на вашым iPhone і напішыце і адпраўце SMS на Mac, падлучаным да Інтэрнэту. Затым адключыце Mac ад інтэрнэту і, наадварот, падключыце да яго iPhone (дастаткова мабільнага інтэрнэту). SMS адпраўляецца, нават калі дзве прылады ніколі не звязваліся паміж сабой непасрэдна - усё забяспечваецца пратаколам iMessage.
Такім чынам, пры выкарыстанні перасылкі паведамленняў неабходна мець на ўвазе, што бяспека двухфактарнай аўтэнтыфікацыі парушаецца. У выпадку крадзяжу вашага камп'ютара неадкладнае адключэнне абмену паведамленнямі - гэта самы хуткі і просты спосаб прадухіліць магчымы ўзлом вашых уліковых запісаў.
Уваходзіць у Інтэрнэт-банкінг зручней, калі вам не трэба перапісваць код пацверджання з дысплея тэлефона, а проста скапіяваць яго з Messages на Mac, але ў гэтым выпадку значна важней бяспека, якой вельмі не хапае з-за SMS Relay . Рашэннем гэтай праблемы магла б быць, напрыклад, магчымасць выключыць пэўныя нумары з пераадрасацыі на Mac, паколькі коды SMS звычайна прыходзяць з адных і тых жа нумароў.
Як было сказана ў апошнім пункце - магчымасць капіявання кода значна зручней і лепш.
Акрамя таго - калі нехта скрадзе мой MacBook, першае, што я раблю, гэта блакую яго і адключаю ўсю "пераадрасацыю" і бесперапыннасць на iPhone - таму ў Наладах / Паведамленнях таксама ёсць гэты параметр. :)
І калі нехта падключыў да вас, вы таксама спыніце гэта?
А навошта двухэтапная аўтарызацыя, калі можна адразу заблакіраваць скрадзеную прыладу, га?
Двухэтапная праверка - гэта паслуга трэцяга боку, таму я наўрад ці магу не выкарыстоўваць яе або ігнараваць, прынамсі, у выпадку з банкамі. І я блакую або выдаляю свой Mac праз Find my Mac. Перавагі пераадрасацыі SMS перавешваюць, калі я не бачу д'ябла за ўсім.
Нікога не хвалюе крадзеж, поўнае шыфраванне дыска вырашае гэта. Але што вы збіраецеся рабіць з узламаным кампутарам? Напэўна, нічога, вы пра гэта не даведаецеся.
Ну, вядома, перавагі пераважаюць, д'ябла ніхто не бачыць, і карыстальнік заўсёды мяняе бяспеку на танцуючую свінню.
Дарэчы, у вас склалася ўражанне, што банкі прымушаюць адпраўляць смс дзеля забавы?
калі хтосьці хвалюецца, не выкарыстоўвайце яго. Я вельмі задаволены гэтым
А тыя, хто не мае клопатаў у спалучэнні з 2FA, нават не выкарыстоўваюць яго, таму што відавочна не ведаюць, што робяць.
І як мне выключыць пэўны нумар на Macbook і пакінуць яго на iPhone? Дзякуй за адказ
AFAIK: лепшы варыянт - "адключыць пераадрасацыю тэкставых паведамленняў у раздзеле "Паведамленні" ў наладах (з вашага iPhone)".
Калі я не памыляюся, немагчыма занесці ў белы спіс тое, што трэба перасылаць, або ў чорны спіс тое, што нельга.
Ну, ці не прасцей скрасці мабільны тэлефон, чым Mac? Так, вы можаце мець пароль для мабільнага, але таксама для MAC. Я не эксперт, але, напэўна, няпроста дабрацца да Mac, калі я не ведаю пароля (я не маю на ўвазе прачытаць дадзеныя, а ўвайсці ў сістэму, каб запусцілася рэле SMS).
Акрамя таго, не забывайце, што мы гаворым пра двайную бяспеку, дзе першая фаза з'яўляецца асноўнай - увод пароля, які трэба выконваць, і калі ў вас яго няма на MAC або ў тэкставым дакуменце ўнутры, то ёсць няма доступу да банка (і вы не выкарыстоўваеце 1111 у якасці пароля :-))
Такім чынам, крадзеж Mac, верагодна, нанясе вам найбольшую шкоду з-за сапраўднай цаны Mac.
2FA не вырашае асноўны крадзеж Mac або IP. Рашэнне заключаецца ў тым, што зламыснік павінен атрымаць кантроль над Mac і чымсьці іншым. Мака яму зараз дастаткова. Coz зводзіць на нішто ўсе перавагі 2FA.
(Парада заключаецца ў абароне ад варыянту «зламыснік на Mac кантралюе толькі браўзер», які, верагодна, не з'яўляецца цалкам кантраляванай сітуацыяй.)
Проста, калі вы лічыце Mac цалкам бяспечным (ха-ха), вам не трэба мець справу з 2FA. А калі не, то 2FA перастала забяспечваць павышаную бяспеку, напрыклад, driv.
І яшчэ раз, вельмі ярка - вы заходзіце на сайт "nicnebezpecneho.cz", які з-за няўдалага збегу абставінаў небяспечны. Гэта можа здарыцца з вамі даволі лёгка - вам неабавязкова адразу заходзіць на порнасайты, дастаткова, каб хтосьці не засцерагаў блог, які вы наведваеце, і дазволіў устаўляць у каментарыі недэзінфікаваны javascript. На гэтай старонцы ёсць аддалены эксплойт для вашага браўзера (гэта ўсё яшчэ можа здарыцца з вамі, нічога асаблівага). Або ўцягнуцца ў сацыяльную інжынерыю...
...праз некалькі гадзін ідзеш адпраўляць грошы з банка (уваходзіш у gmail, github...). Пры гэтым вы ўводзіце дадзеныя для ўваходу ва ўжо скампраметаваны камп'ютар (ці вам нават не трэба гэтага рабіць, калі вы захавалі гэтыя паролі) і скапіруеце і ўстаўце код з SMS адзін раз.
..а ўначы ваш кампутар сам заходзіць у банк (gmail...), пароль ужо захаваны кімсьці са шкоднасным ПЗ. Вы не атрымаеце SMS з пацвярджэннем на свой мабільны тэлефон, але... у гэты скампраметаваны кампутар.
2FA вырашыла менавіта гэтыя сцэнары. Пакуль Apple не зламала яго.
Я думаў, што 2FA азначае, што я павінен даказаць сябе 2 рэчамі, напрыклад:
– пароль
– з тэлефонам, які прымае SMS
Што ж, пераадрасацыя SMS з Mac на тэлефон таксама дадае Mac (або некалькі Mac і iPad, якія я спалучыў) у якасці альтэрнатывы, але гэта ўсё яшчэ 2FA. Ці не?
Яшчэ раз: пры звычайных абставінах 2FA вырашае такія сітуацыі, як «мой Mac узламаны, а я пра гэта не ведаю». Таму што тады вы можаце выказаць здагадку, што Mac ведае ваш пароль для службы (што вы ўжо захавалі яго ці праслухаеце яго пры наступным уваходзе ў службу). І цяпер вы можаце чакаць, што ён таксама будзе ведаць SMS (ці ён можа папрасіць іх у любы момант і ён іх атрымае).
Большасць сэрвісаў, якія прапануюць двухфактарную аўтэнтыфікацыю (Facebook, Dropbox, Google, Microsoft, …), дазваляюць ствараць аднаразовыя паролі з дапамогай праграмы (я выкарыстоўваю Google Authenticator). Дадатак пастаянна генеруе абмежаваныя па часе коды для зарэгістраваных паслуг. Код можна адразу скапіяваць і выкарыстоўваць для ўваходу. Вам не трэба чакаць прыходу смс і, калі яны будуць перанакіраваны на Mac, вырашыць праблему, апісаную ў артыкуле.
Скампраметаваныя кампутары Mac маюць SMS-паведамленні пры ўваходзе ў сістэму...
Не саромейцеся прасіць аб гэтым. Калі я ўключыў двухфазную праверку з генерацыяй аднаразовага кода з дапамогай прыкладання, то дадзены сэрвіс не адпраўляе SMS.
Калі нешта не змянілася, многія службы хацелі атрымаць тэлефон і пакінулі SMS па змаўчанні. Такім чынам, ваш узламаны кампутар вярнуўся.
Пры вялікай колькасці банкаў выбару няма, проста смс і ўсё.
Я не вельмі дакладна разумею гэта. Калі хтосьці скрадзе мой Mac, я адключаю SMS, выдалена ачышчаю Mac і мяняю пароль у банку. Ці ў чым падвох?
Вы б зрабілі гэта, перш чым прачытаць гэты артыкул?
Абсалютна, абсалютна аўтаматычна.
Але двухфазная аўтэнтыфікацыя заключаецца ў тым, што зламысніку патрабуецца два пацверджання: ПАРОЛЬ І SMS. Гэта азначае, што калі я баюся, што хтосьці возьме мой спалучаны Mac, я не захоўваю там пароль, і калі хтосьці ўзламае мой браўзер, ён не трапіць у iMessage.
Адкуль у вас упэўненасць, што ён не вырвецца з вашага браўзера? Згодна з бягучымі вынікамі Pwn4Fun і Pwn2Own, здаецца, што для Safari ёсць як мінімум два дні нуль:
«На Pwn4Fun Google прадставіў вельмі ўражлівы эксплойт супраць Apple Safari, запусціўшы Calculator як root на Mac OS X»
"Аўтар Лян Чэнь з каманды Keen:
У Apple Safari перапаўненне кучы разам з абыходам пясочніцы, што прыводзіць да выканання кода».
Тонкія белыя літары на зялёным фоне - лепш нават вучань спецшколы не падкажа...
Адзін са спосабаў спыніць гэта - замяніць генерацыю кода праз ключ (напрыклад, гэта: http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ ) гэта бяспечна і забяспечвае больш высокую бяспеку, KB таксама павінен зрабіць нешта падобнае - сертыфікат, загружаны на USB-дыск, без якога чалавек не можа падключыцца да інтэрнэт-банкінгу, плюс часам на тэлефон адпраўляецца аднаразовы пароль і г.д. ... Ёсць шмат магчымасцей, але ў кожнага ёсць свае, яна павінна вырашыць, ці важная для яе бяспека (ёсць у яе пароль ці не? і г.д.)
У Unicredit ёсць выдатная рэч. Разумны ключ ніколі не з'яўляецца класічным SMS, але я ствараю аднаразовы пароль у мабільным дадатку.
Мне патрэбна парада, чаму я раптам не магу даслаць кароткае відэа ў мм, што было магчыма дагэтуль? Няма магчымасці проста ўставіць відэа, не адказвае, не ўстаўляе ў паведамленне
дзякуй