Ondrej Holzman Kuigi OS X Yosemite'is ja iOS 8-s kasutusele võetud uued funktsioonid toovad kasutajateni palju kasulikke funktsioone, mis lihtsustavad mitme seadme kasutamist, võivad need kujutada endast ka turvaohtu. Näiteks tekstisõnumite edastamine iPhone'ist Maci läheb väga hõlpsalt kaheastmelisest kinnitamisest mööda erinevatesse teenustesse sisselogimisel.
Continuity funktsioonide komplekt, mille raames Apple ühendab arvutid uusimate operatsioonisüsteemidega mobiilseadmetega, on väga huvitav, eriti nende võrkude ja tehnikate osas, mida nad kasutavad iPhone'ide ja iPadide ühendamiseks Maciga. Järjepidevus hõlmab võimalust helistada Macist, saata faile läbi AirDropi või luua kiiresti hotspoti, kuid nüüd keskendume tavaliste SMS-ide arvutitesse edastamisele.
See suhteliselt silmapaistmatu, kuid väga kasulik funktsioon võib halvimal juhul muutuda turvaauguks, mis võimaldab ründajal valitud teenustesse sisse logides hankida andmeid teise kontrollifaasi jaoks. Jutt käib siin nn kahefaasilisest sisselogimisest, mida lisaks pankadele juurutavad juba ka paljud internetiteenused ja mis on palju turvalisem kui siis, kui sul on konto, mis on kaitstud vaid klassikalise ja ühe parooliga.
Kahefaasiline kinnitamine võib toimuda erineval viisil, kuid internetipangast ja muudest internetiteenustest rääkides kohtame kõige sagedamini kinnituskoodi saatmist teie telefoninumbrile, mille peate seejärel oma tavalise parooli sisestamise kõrvale sisestama. Seega, kui keegi saab teie parooli (või arvuti koos parooli või sertifikaadi) kätte, vajab ta tavaliselt teie mobiiltelefoni näiteks internetipanka sisselogimiseks, kuhu saabub SMS-i kinnituse teise etapi parooliga .
Kuid hetkel, kui kõik tekstisõnumid saadetakse teie iPhone'ist Maci ja ründaja võtab teie Maci üle, ei vaja nad enam teie iPhone'i. Klassikaliste SMS-sõnumite edastamiseks pole vaja otsest ühendust iPhone'i ja Maci vahel – need ei pea olema samas Wi-Fi võrgus, Wi-Fi ei pea olema isegi sisse lülitatud, täpselt nagu Bluetooth, ja kõik, mida vaja on, on ühendada mõlemad seadmed Internetiga. SMS Relay teenus, nagu ametlikult kutsutakse sõnumite edastamist, suhtleb iMessage protokolli kaudu.
Praktikas toimib see nii, et kuigi sõnum saabub teile tavalise SMS-ina, töötleb Apple seda iMessagena ja edastab selle Interneti kaudu Maci (nii töötas see iMessage'iga enne SMS Relay tulekut) , kus see kuvab selle SMS-ina, mida tähistab roheline mull . iPhone ja Mac võivad mõlemad asuda erinevas linnas, ainult mõlemad seadmed vajavad Interneti-ühendust.
Selle kohta, et SMS Relay ei tööta üle Wi-Fi või Bluetoothi, saate ka tõendi saada järgmiselt: aktiveerige oma iPhone'is lennukirežiim ning kirjutage ja saatke SMS Interneti-ühendusega Macis. Seejärel ühenda Mac Internetist lahti ja, vastupidi, ühenda sellega iPhone (piisab mobiilsest internetist). SMS saadetakse, kuigi kaks seadet pole kunagi omavahel otseselt suhelnud – kõik on tagatud iMessage protokolliga.
Seega tuleb sõnumite edastamise kasutamisel silmas pidada, et kahefaktorilise autentimise turvalisus on ohus. Kui teie arvuti varastatakse, on sõnumside kohene keelamine kiireim ja lihtsaim viis teie kontode võimaliku häkkimise vältimiseks.
Internetipanka sisenemine on mugavam, kui ei pea telefoni ekraanilt kinnituskoodi ümber kirjutama, vaid lihtsalt kopeerima seda Maci rakendusest Messages, kuid palju olulisem on sel juhul turvalisus, mis SMS Relay tõttu suuresti puudu jääb . Selle probleemi lahenduseks võiks olla näiteks võimalus Macis teatud numbrite edastamisest välja jätta, kuna SMS-koodid pärinevad enamasti samadelt numbritelt.
Nagu viimases lõigus mainitud – koodi kopeerimise võimalus on palju mugavam ja parem.
Lisaks - kui keegi varastab mu MacBooki, siis esimese asjana blokeerin selle ning lülitan iPhone'is välja kõik "edasisuunamise" ja Continuity'i - sellepärast on see valik ka menüüs Seaded / Sõnumid. :)
Ja kui keegi selle sulle külge haagib, kas sa ka lõpetad selle?
Ja miks on kaheastmeline autoriseerimine, kui saate varastatud seadme kohe blokeerida, ah?
Kaheastmeline kinnitamine on kolmanda osapoole teenus, nii et vaevalt saan ma seda vähemalt pankade puhul kasutamata jätta või ignoreerida. Ja ma blokeerin või kustutan oma Maci rakenduse Find my Mac kaudu. SMS-ide edastamise eelised kaaluvad üles, kui ma ei näe kõige taga kuradit.
Kedagi ei huvita vargused, ketta täielik krüptimine lahendab selle. Aga mida sa häkitud arvutiga peale hakkad? Tõenäoliselt mitte midagi, te ei saa sellest teada.
No muidugi, eelised võidavad, kuradit keegi ei näe ja kasutaja vahetab alati turvalisuse tantsusea vastu.
Muide, kas teile on jäänud mulje, et pangad sunnivad teid nalja pärast SMS-e saatma?
kui keegi on mures, siis ärge kasutage. Olen sellega ülimalt rahul
Ja need, kellel pole 2FA-ga kombinatsioonis muret, isegi ei kasuta seda, sest nad ilmselgelt ei tea, mida nad teevad.
Ja kuidas välistada Macbookis konkreetne number ja jätta see iPhone'i? Aitäh vastuse eest
AFAIK on parim valik "lülitage välja tekstisõnumite edastamine jaotises Seaded jaotises Sõnumid (oma iPhone'ist)."
Kui ma ei eksi, siis ei saa valgesse nimekirja panna seda, mida tuleks edastada, ega ka musta nimekirja, mida mitte.
Noh, kas pole lihtsam varastada mobiiltelefoni kui Maci? Jah, sul võib olla parool mobiilile, aga ka MAC-ile. Ma ei ole ekspert, aga ilmselt pole Maci lihtne pääseda, kui ma parooli ei tea (ma ei pea silmas andmete lugemist, vaid sisselogimist, et SMS-relee tööle hakkaks).
Samuti ärge unustage, et me räägime topeltturvalisusest, kus esimene faas on peamine - parooli sisestamine au sisse ja kui teil pole seda MAC-is või mõnes tekstidokumendis sees kirjutatud, siis on puudub juurdepääs pangale (ja sa ei kasuta 1111 paroolina :-))
Seega põhjustab maci varastamine teile tõenäoliselt kõige suuremat kahju maci tegeliku hinna tõttu.
2FA ei lahenda esmast Maci ega IP-vargust. Lahendus on see, et ründaja peab saama kontrolli Maci ja millegi muu üle. Nüüd piisab talle Macist. Coz tühistab kõik 2FA eelised.
(Nõuanne on kaitsta variandi "ründaja Macis juhib ainult brauserit" eest, mis pole tõenäoliselt täielikult kontrollitud olukord.)
Lihtsalt kui arvate, et Mac on täiesti ohutu (haha), siis ei pea te 2FA-ga tegelema. Ja kui ei, siis 2FA ei pakkunud teile seda suuremat turvalisust, nagu draiv.
Ja veel kord, väga ilmekalt – lähete veebisaidile "nicnebezpecneho.cz", mis on kahetsusväärsete asjaolude tõttu ohtlik. See võib teiega üsna lihtsalt juhtuda – te ei pea kohe pornosaitidele minema, piisab, kui keegi teie külastatavat ajaveebi ei turva ja laseb kommentaaridesse lisada desinfitseerimata JavaScripti. Sellel lehel on teie brauseri kaugkasutus (see võib teiega ikka juhtuda, ei midagi väga ebatavalist). Või takerduge sotsiaalsesse manipuleerimisse...
...paari tunni pärast lähed pangast raha saatma (logid sisse gmaili, githubi...). Seda tehes sisestad juba ohustatud arvutisse sisselogimisandmed (või ei pea sa seda isegi tegema, kui sul on need paroolid salvestatud) ning kopeerid ja kleebid SMS-ist ühe korra koodi.
..ja öösel logib arvuti ise panka (gmail...) sisse, parool on juba kellegi pahavaraga salvestatud. Te ei saa mobiiltelefonile kinnitust SMS-i, kuid... sellesse ohustatud arvutisse.
2FA lahendas täpselt need stsenaariumid. Kuni Apple selle murdis.
Arvasin, et 2FA tähendab, et pean ennast tõestama 2 asjaga, näiteks:
- parool
– SMS-i vastuvõtva telefoniga
Noh, SMS-i Macile telefoni edastamine lisab alternatiivina ka Maci (või rohkem Maci ja iPadi, mille olen sidunud), kuid see on siiski 2FA. Või mitte?
Taaskord – tavaolukorras lahendab 2FA selliseid olukordi nagu "minu Mac on häkitud ja ma ei tea sellest". Sest siis võite eeldada, et Mac teab teie teenuse parooli (et teil on see juba salvestatud või kuulate seda järgmisel teenusesse sisselogimisel). Ja nüüd võib eeldada, et ta teab ka SMS-i (või saab seda igal ajal küsida ja ta saab selle kätte).
Enamik teenuseid, mis pakuvad kahefaktorilist autentimist (Facebook, Dropbox, Google, Microsoft jne), võimaldavad ühekordseid paroole genereerida rakenduse abil (kasutan Google Authenticatorit). Rakendus genereerib registreeritud teenuste jaoks pidevalt ajaliselt piiratud koode. Koodi saab kohe kopeerida ja kasutada sisselogimiseks. Te ei pea ootama SMS-i saabumist ja kui need edastatakse Macile, lahendage artiklis kirjeldatud probleem.
Ohustatud Macidel on sisselogimisel SMS-sõnumid...
Küsige seda julgelt. Kui olen rakenduse abil sisse lülitanud kahefaasilise kinnitamise ühekordse koodi genereerimisega, siis antud teenus SMS-i ei saada.
Kui midagi pole muutunud, soovisid paljud teenused telefoni ja jätsid vaikevalikuks SMS-i. Nii et teie häkitud arvuti on tagasi.
Pankade suure hulga puhul pole valikut, piisab SMS-ist ja kõik.
Ma ei saa sellest väga selgelt aru. Kui keegi varastab mu Maci, lülitan SMS-i välja, pühin Maci eemalt ja muudan pangas parooli. Või mis on saak?
Kas teeksite seda enne selle artikli lugemist?
Absoluutselt, absoluutselt automaatselt.
Kuid kahefaasiline autentimine seisneb selles, et ründajal on vaja kahte kinnitust: PAROOL JA SMS. See tähendab, et kui ma kardan, et keegi võtab mu paaristatud Maci ära, siis ma parooli sinna ei salvesta ja kui keegi mu brauseri häkkib, ei pääse ta iMessage'i.
Kust saate kindluse, et see teie brauserist välja ei murra? Pwn4Funi ja Pwn2Owni praeguste tulemuste kohaselt näib, et Safari jaoks on vähemalt kaks nullipäeva:
"Pwn4Funis tegi Google väga muljetavaldava ärakasutamise Apple Safari vastu, käivitades Mac OS X-is root kasutajana kalkulaatori"
"Liang Cheni poolt Keen Teamist:
Apple Safari vastu kuhja ülevool koos liivakasti möödaviiguga, mille tulemuseks on koodi täitmine.
Õhuke valge kiri rohelisel taustal - paremini poleks osanud isegi erikooli õpilane soovitada...
Üks selle peatamise viise on asendada koodi genereerimine dongli kaudu (näiteks see: http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ ) see on turvaline ja see võimaldab suuremat turvalisust, KB-l on vaja ka midagi sarnast teha - USB-kettale laetud sertifikaat, ilma milleta ei saa inimene Interneti-pangaga ühendust, pluss mõnikord saadetakse telefoni ühekordne parool jne. ... Võimalusi on palju, kuid igaühel on oma, ta peab otsustama, kas turvalisus on tema jaoks oluline (kas tal on parool või mitte? jne)
Unicredidil on suurepärane asi. Nutivõti pole kunagi klassikaline SMS, vaid genereerin mobiilirakenduses ühekordse parooli.
Vajan nõu, miks ma äkki ei saa saata mm lühikest videot, mis seni oli võimalik? Ei ole võimalust lihtsalt videot sisestada, see ei reageeri ega sisesta seda sõnumisse
Děkuji