Ondrej Holzman Iako nove funkcije uvedene u OS X Yosemite i iOS 8 donose puno korisnih funkcija korisnicima koje pojednostavljuju korištenje više uređaja, one također mogu predstavljati sigurnosnu prijetnju. Na primjer, prosljeđivanje tekstualnih poruka s iPhone-a na Mac vrlo lako zaobilazi verifikaciju u dva koraka prilikom prijavljivanja na različite usluge.
Skup funkcija Continuity, u okviru kojih Apple povezuje računare sa mobilnim uređajima u najnovijim operativnim sistemima, veoma je zanimljiv, posebno u pogledu mreža i tehnika koje koriste za povezivanje iPhone-a i iPad-a sa Mac-ovima. Kontinuitet uključuje mogućnost upućivanja poziva sa Mac-a, slanja datoteka putem AirDropa ili brzog kreiranja pristupne tačke, ali sada ćemo se fokusirati na prosljeđivanje običnih SMS-ova na računare.
Ova relativno neupadljiva, ali vrlo korisna funkcija može se, u najgorem slučaju, pretvoriti u sigurnosnu rupu koja omogućava napadaču da dobije podatke za drugu fazu verifikacije prilikom prijavljivanja na odabrane servise. Ovdje je riječ o takozvanoj dvofaznoj prijavi koju, pored banaka, već uvode mnogi internet servisi i mnogo je sigurniji nego ako imate račun zaštićen samo klasičnom i jednom lozinkom.
Dvofazna verifikacija se može odvijati na različite načine, ali kada govorimo o online bankarstvu i drugim internet uslugama, najčešće se susrećemo sa slanjem verifikacionog koda na vaš broj telefona, koji zatim morate unijeti pored unosa svoje obične lozinke. Stoga, ako neko dođe do vaše lozinke (ili računara uključujući lozinku ili sertifikat), obično će mu trebati vaš mobilni telefon, na primjer, za prijavu na internet bankarstvo, gdje će stići SMS sa lozinkom za drugu fazu verifikacije .
Ali u trenutku kada sve svoje tekstualne poruke proslijedite s vašeg iPhone-a na vaš Mac i napadač preuzme vaš Mac, više im ne treba vaš iPhone. Za prosljeđivanje klasičnih SMS poruka nije potrebna direktna veza između iPhone-a i Mac-a - ne moraju biti na istoj Wi-Fi mreži, Wi-Fi ne mora čak ni biti uključen, baš kao i Bluetooth, i sve što je potrebno je da povežete oba uređaja na internet. Usluga SMS Relay, kako se službeno naziva prosljeđivanje poruka, komunicira putem iMessage protokola.
U praksi, način na koji to funkcioniše je da iako vam poruka stiže kao običan SMS, Apple je obrađuje kao iMessage i prenosi preko interneta na Mac (ovako je radio sa iMessage-om pre pojave SMS Relay-a) , gdje ga prikazuje kao SMS, što je označeno zelenim balončićem . iPhone i Mac mogu biti u drugom gradu, samo oba uređaja trebaju internetsku vezu.
Također možete dobiti dokaz da SMS Relay ne radi preko Wi-Fi ili Bluetooth-a na sljedeći način: aktivirajte način rada u avionu na svom iPhone uređaju i napišite i pošaljite SMS na Mac-u povezanom na Internet. Zatim isključite Mac s interneta i, obrnuto, povežite iPhone na njega (mobilni internet je dovoljan). SMS se šalje iako dva uređaja nikada nisu direktno komunicirali jedan s drugim - sve je osigurano iMessage protokolom.
Stoga, kada koristite prosljeđivanje poruka, potrebno je imati na umu da je sigurnost dvofaktorske autentifikacije ugrožena. U slučaju da vam kompjuter ukradu, odmah onemogućite razmjenu poruka najbrži i najlakši način da spriječite potencijalno hakovanje vaših naloga.
Ulazak u internet bankarstvo je praktičniji kada ne morate da prepisujete verifikacioni kod sa ekrana telefona, već ga samo kopirate iz Messages-a na Mac-u, ali je u ovom slučaju mnogo važnija sigurnost, koja uveliko nedostaje zbog SMS Relay-a. . Rješenje za ovaj problem može biti, na primjer, mogućnost isključivanja određenih brojeva iz prosljeđivanja na Macu, jer SMS kodovi obično dolaze sa istih brojeva.
Kao što je spomenuto u prošlom paragrafu - mogućnost kopiranja koda je mnogo praktičnija i bolja.
Osim toga - ako mi neko ukrade MacBook, prvo što uradim je da ga blokiram i isključim svo "prosljeđivanje" i Kontinuitet na iPhone-u - zato postoji i ova opcija u Postavkama / Porukama. :)
A ako vam ga neko zakači, da li i vi to zaustavljate?
A zašto imati autorizaciju u dva koraka kada možeš odmah blokirati ukradeni uređaj, ha?
Verifikacija u dva koraka je usluga treće strane, tako da je teško mogu ne koristiti ili zanemariti, barem u slučaju banaka. I blokiram ili izbrišem svoj Mac preko Find my Mac. Prednosti prosljeđivanja SMS-a su veće ako ne vidim đavola iza svega.
Nikoga nije briga za krađu, potpuna enkripcija diska to rješava. Ali šta ćete sa hakovanim računarom? Verovatno ništa, nećete znati za to.
Pa, naravno, prednosti prevladavaju, niko ne vidi đavola i korisnik uvijek mijenja sigurnost za svinju koja pleše.
Inače, imate li utisak da vas banke tjeraju da šaljete SMS samo iz zabave?
ako je neko zabrinut neka ga ne koristi. Izuzetno sam zadovoljan njime
A oni koji nemaju brige u kombinaciji sa 2FA to ni ne koriste, jer očigledno ne znaju šta rade.
I kako da isključim određeni broj na Macbook-u i ostavim ga na iPhone-u? Hvala na odgovoru
AFAIK najbolja opcija je "isključite prosljeđivanje tekstualnih poruka pod Poruke u postavkama (sa vašeg iPhone-a)."
Ako se ne varam, nije moguće staviti na bijelu listu ono što treba proslijediti, niti staviti na crnu listu ono što ne.
Pa, zar nije lakše ukrasti mobilni telefon nego Mac? Da, možete imati lozinku za mobilni, ali i za MAC. Nisam stručnjak, ali vjerovatno nije lako doći do Mac-a ako ne znam lozinku (ne mislim da čitam podatke, već da se logujem da se pokrene SMS relej).
Takođe, ne zaboravite da je riječ o dvostrukoj sigurnosti, gdje je prva faza glavna - unošenje lozinke za poštovanje i ako je nemate upisanu na MAC-u ili u nekom tekstualnom dokumentu unutra, onda postoji nema pristupa banci (i ne koristite 1111 kao lozinku :-))
Dakle, krađa mac-a će vam vjerovatno uzrokovati najveću štetu zbog prave cijene mac-a.
2FA ne rješava primarnu krađu Mac-a ili IP-a. Rješenje je da napadač mora preuzeti kontrolu nad Mac-om i nečim drugim. Sada mu je Mac dovoljan. Jer negira sve prednosti 2FA.
(Savjet je da se zaštitite od varijante „napadač na Macu kontrolira samo pretraživač“, što vjerovatno nije potpuno kontrolirana situacija.)
Samo ako smatrate da je Mac potpuno siguran (haha), onda ne morate imati posla sa 2FA. A ako ne, onda vam je 2FA prestala donositi tu povećanu sigurnost, kao što je driv.
I još jednom, vrlo slikovito - idete na web stranicu "nicnebezpecneho.cz", koja je opasna zbog nesretnog spleta okolnosti. To vam se može dogoditi prilično lako - ne morate odmah ići na porno stranice, dovoljno je da neko ne osigura blog koji posjećujete i da neispravan javascript ubaci u komentare. Na toj stranici postoji udaljeni exploit za vaš pretraživač (ovo vam se još uvijek može dogoditi, ništa neobično). Ili se upustite u društveni inženjering...
...nakon nekoliko sati idete da pošaljete novac iz banke (logirate se na gmail, github...). Pritom unosite podatke za prijavu u već kompromitovani računar (ili to ne morate ni da radite ako imate sačuvane ove lozinke) i jednom kopirate i zalepite kod iz SMS-a.
..a noću se tvoj kompjuter sam prijavljuje u banku (gmail...), šifru je već sačuvao neko sa malverom. Nećete dobiti potvrdni SMS na svoj mobilni telefon, ali... u taj kompromitovani računar.
2FA je riješila upravo ove scenarije. Sve dok ga Apple nije razbio.
Mislio sam da 2FA znači da se moram dokazati sa 2 stvari, na primjer:
– lozinka
– sa telefonom koji prihvata SMS
Pa, prosljeđivanje SMS-a na Mac na telefon također dodaje Mac (ili više Mac-a i iPad-a koje sam upario) kao alternativu, ali je i dalje 2FA. Ili ne?
Još jednom - u normalnim okolnostima, 2FA rješava situacije poput "moj Mac je hakovan i ne znam za to". Jer tada možete pretpostaviti da Mac zna vašu lozinku za uslugu (da je već imate sačuvanu ili će je poslušati sljedeći put kada se prijavite na uslugu). A sada možete očekivati da će i on znati SMS (ili ga može tražiti u bilo kojem trenutku i on će ga dobiti).
Većina usluga koje nude dvofaktorsku autentifikaciju (Facebook, Dropbox, Google, Microsoft,…) dozvoljavaju generiranje jednokratnih lozinki pomoću aplikacije (koristim Google Authenticator). Aplikacija stalno generiše vremenski ograničene kodove za registrovane usluge. Kod se može odmah kopirati i koristiti za prijavu. Ne morate čekati da SMS stigne i, ako je proslijeđen na Mac, riješite problem opisan u članku.
Kompromitovani Macovi imaju SMS poruke prilikom prijave...
Slobodno to tražite. Ako sam uključio dvofaznu verifikaciju sa generisanjem jednokratnog koda pomoću aplikacije, tada dati servis ne šalje SMS.
Ako se nešto nije promijenilo, mnogi servisi su htjeli telefon i ostavili SMS kao standardnu opciju. Dakle, vaš hakovani računar se vratio.
Sa velikim brojem banaka nema izbora, samo SMS i to je to.
Ne razumijem ovo sasvim jasno. Ako mi neko ukrade Mac, isključim SMS, daljinski obrišem Mac i promijenim lozinku u banci. Ili u čemu je kvaka?
Biste li to učinili prije čitanja ovog članka?
Apsolutno, apsolutno automatski.
Ali dvofazna autentifikacija se odnosi na činjenicu da su napadaču potrebne dvije potvrde: LOZINKA I SMS. To znači da ako se bojim da će neko uzeti moj upareni Mac, ne pohranjujem lozinku tamo, a ako neko hakuje moj pretraživač, neće ući u iMessage.
Odakle vam garancija da neće izbiti iz vašeg pretraživača? Prema trenutnim rezultatima Pwn4Fun i Pwn2Own, izgleda da postoje najmanje dva nula dana za Safari:
"Na Pwn4Fun, Google je isporučio vrlo impresivan eksploat protiv Apple Safarija, lansirajući Kalkulator kao root na Mac OS X"
"Autor Liang Chen iz Keen Teama:
Protiv Apple Safarija, prelivanje gomile zajedno sa zaobilaženjem sandboxa, što rezultira izvršavanjem koda."
Tanka bijela slova na zelenoj podlozi - ni učenik specijalne škole to ne bi mogao bolje predložiti...
Jedan od načina da se ovo zaustavi je zamjena generiranja koda putem ključa (na primjer ovo: http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ ) siguran je i omogućava veću sigurnost, KB takođe treba da uradi nešto slično - sertifikat na USB disk, bez kojeg osoba ne može da se poveže na internet bankarstvo, plus ponekad se na telefon pošalje jednokratna lozinka itd. ... Postoji mnogo mogućnosti, ali svako ima svoje, ona mora odlučiti da li joj je sigurnost važna (da li ima lozinku ili ne? itd.)
Unicredit ima sjajnu stvar. Pametni ključ nikada nije klasičan SMS, već generiram jednokratnu lozinku u mobilnoj aplikaciji.
Treba mi savjet zašto odjednom ne mogu poslati mm kratki video, što je do sada bilo moguće? Ne postoji opcija da jednostavno umetnete video, ne odgovara, ne ubacuje ga u poruku
Hvala