Όντρεϊ Χόλτσμαν Αν και οι νέες δυνατότητες που εισάγονται στο OS X Yosemite και το iOS 8 προσφέρουν πολλές χρήσιμες λειτουργίες στους χρήστες που απλοποιούν τη χρήση πολλών συσκευών, μπορούν επίσης να αποτελέσουν απειλή για την ασφάλεια. Για παράδειγμα, η προώθηση μηνυμάτων κειμένου από ένα iPhone σε Mac παρακάμπτει πολύ εύκολα την επαλήθευση σε δύο βήματα κατά τη σύνδεση σε διάφορες υπηρεσίες.
Το σύνολο των λειτουργιών Continuity, στο πλαίσιο των οποίων η Apple συνδέει υπολογιστές με φορητές συσκευές στα πιο πρόσφατα λειτουργικά συστήματα, είναι πολύ ενδιαφέρον, ειδικά όσον αφορά τα δίκτυα και τις τεχνικές που χρησιμοποιούν για τη σύνδεση iPhone και iPad με Mac. Το Continuity περιλαμβάνει τη δυνατότητα πραγματοποίησης κλήσεων από Mac, αποστολής αρχείων μέσω AirDrop ή γρήγορης δημιουργίας hotspot, αλλά τώρα θα επικεντρωθούμε στην προώθηση κανονικών SMS σε υπολογιστές.
Αυτή η σχετικά δυσδιάκριτη, αλλά πολύ χρήσιμη λειτουργία μπορεί, στη χειρότερη περίπτωση, να μετατραπεί σε ένα κενό ασφαλείας που επιτρέπει σε έναν εισβολέα να λάβει δεδομένα για τη δεύτερη φάση επαλήθευσης κατά τη σύνδεση σε επιλεγμένες υπηρεσίες. Μιλάμε εδώ για τη λεγόμενη σύνδεση δύο φάσεων, η οποία, εκτός από τις τράπεζες, εισάγεται ήδη από πολλές υπηρεσίες διαδικτύου και είναι πολύ πιο ασφαλής από ό,τι αν έχετε λογαριασμό που προστατεύεται μόνο με κλασικό και μοναδικό κωδικό πρόσβασης.
Η επαλήθευση δύο φάσεων μπορεί να πραγματοποιηθεί με διαφορετικούς τρόπους, αλλά όταν μιλάμε για ηλεκτρονική τραπεζική και άλλες υπηρεσίες διαδικτύου, συναντάμε συχνότερα την αποστολή ενός κωδικού επαλήθευσης στον αριθμό τηλεφώνου σας, τον οποίο στη συνέχεια πρέπει να εισαγάγετε δίπλα στην εισαγωγή του κανονικού σας κωδικού πρόσβασης. Επομένως, εάν κάποιος κρατήσει τον κωδικό πρόσβασής σας (ή τον υπολογιστή με κωδικό πρόσβασης ή πιστοποιητικό), θα χρειαστεί συνήθως το κινητό σας τηλέφωνο, για παράδειγμα, για να συνδεθεί στο internet banking, όπου θα φτάσει ένα SMS με τον κωδικό πρόσβασης για τη δεύτερη φάση επαλήθευσης .
Αλλά τη στιγμή που θα προωθήσετε όλα τα μηνύματα κειμένου από το iPhone σας στο Mac σας και ένας εισβολέας θα αναλάβει το Mac σας, δεν χρειάζεται πλέον το iPhone σας. Για την προώθηση κλασικών μηνυμάτων SMS, δεν απαιτείται άμεση σύνδεση μεταξύ iPhone και Mac - δεν χρειάζεται να βρίσκονται στο ίδιο δίκτυο Wi-Fi, το Wi-Fi δεν χρειάζεται καν να είναι ενεργοποιημένο, όπως το Bluetooth, και το μόνο που χρειάζεται είναι να συνδέσετε και τις δύο συσκευές στο διαδίκτυο. Η υπηρεσία SMS Relay, όπως ονομάζεται επίσημα η προώθηση μηνυμάτων, επικοινωνεί μέσω του πρωτοκόλλου iMessage.
Στην πράξη, ο τρόπος που λειτουργεί είναι ότι, αν και το μήνυμα έρχεται σε εσάς ως κανονικό SMS, η Apple το επεξεργάζεται ως iMessage και το μεταφέρει μέσω Internet στο Mac (έτσι λειτουργούσε με το iMessage πριν από την εμφάνιση του SMS Relay) , όπου το εμφανίζει ως SMS, το οποίο υποδεικνύεται με ένα πράσινο συννεφάκι . Το iPhone και το Mac μπορούν να βρίσκονται το καθένα σε διαφορετική πόλη, μόνο και οι δύο συσκευές χρειάζονται σύνδεση στο Διαδίκτυο.
Μπορείτε επίσης να λάβετε απόδειξη ότι το SMS Relay δεν λειτουργεί μέσω Wi-Fi ή Bluetooth με τον ακόλουθο τρόπο: ενεργοποιήστε τη λειτουργία πτήσης στο iPhone σας και γράψτε και στείλτε ένα SMS σε Mac συνδεδεμένο στο Διαδίκτυο. Στη συνέχεια, αποσυνδέστε το Mac από το Διαδίκτυο και, αντίθετα, συνδέστε το iPhone σε αυτό (αρκεί το κινητό internet). Το SMS αποστέλλεται παρόλο που οι δύο συσκευές δεν έχουν επικοινωνήσει ποτέ απευθείας μεταξύ τους - όλα διασφαλίζονται από το πρωτόκολλο iMessage.
Επομένως, όταν χρησιμοποιείτε την προώθηση μηνυμάτων, είναι απαραίτητο να έχετε κατά νου ότι η ασφάλεια του ελέγχου ταυτότητας δύο παραγόντων διακυβεύεται. Σε περίπτωση κλοπής του υπολογιστή σας, η άμεση απενεργοποίηση των μηνυμάτων είναι ο ταχύτερος και ευκολότερος τρόπος για να αποτρέψετε πιθανή εισβολή των λογαριασμών σας.
Η είσοδος στο Internet banking είναι πιο βολική εάν δεν χρειάζεται να ξαναγράψετε τον κωδικό επαλήθευσης από την οθόνη του τηλεφώνου, αλλά απλώς να τον αντιγράψετε από το Messages στο Mac, αλλά η ασφάλεια είναι πολύ πιο σημαντική σε αυτήν την περίπτωση, η οποία λείπει πολύ λόγω της αναμετάδοσης SMS . Μια λύση σε αυτό το πρόβλημα θα μπορούσε να είναι, για παράδειγμα, η δυνατότητα εξαίρεσης συγκεκριμένων αριθμών από την προώθηση σε Mac, καθώς οι κωδικοί SMS συνήθως προέρχονται από τους ίδιους αριθμούς.
Όπως αναφέρθηκε στην τελευταία παράγραφο - η δυνατότητα αντιγραφής του κώδικα είναι πολύ πιο βολική και καλύτερη.
Επιπλέον - αν κάποιος μου κλέψει το MacBook, το πρώτο πράγμα που κάνω είναι να το μπλοκάρω και να απενεργοποιήσω όλα τα "forwarding" και Continuity στο iPhone - γι' αυτό υπάρχει και αυτή η επιλογή στις Ρυθμίσεις / Μηνύματα. :)
Και αν σου το κολλήσει κάποιος, το σταματάς κι εσύ;
Και γιατί να έχετε εξουσιοδότηση δύο βημάτων όταν μπορείτε να μπλοκάρετε την κλεμμένη συσκευή αμέσως, ε;
Η επαλήθευση σε δύο βήματα είναι μια υπηρεσία τρίτου μέρους, επομένως δύσκολα μπορώ να τη χρησιμοποιήσω ή να την αγνοήσω, τουλάχιστον στην περίπτωση των τραπεζών. Και μπλοκάρω ή διαγράφω το Mac μου μέσω του Find my Mac. Τα οφέλη της προώθησης SMS υπερτερούν εάν δεν βλέπω τον διάβολο πίσω από όλα.
Κανείς δεν νοιάζεται για την κλοπή, η πλήρης κρυπτογράφηση δίσκου το λύνει. Αλλά τι θα κάνετε με έναν υπολογιστή που έχει παραβιαστεί; Μάλλον τίποτα, δεν θα το ξέρετε.
Λοιπόν, φυσικά, τα πλεονεκτήματα υπερισχύουν, κανείς δεν βλέπει τον διάβολο και ο χρήστης ανταλλάσσει πάντα την ασφάλεια με ένα γουρούνι που χορεύει.
Παρεμπιπτόντως, έχετε την εντύπωση ότι οι τράπεζες σας αναγκάζουν να στέλνετε SMS για πλάκα;
Εάν κάποιος ανησυχεί, μην το χρησιμοποιήσετε. Είμαι εξαιρετικά ικανοποιημένος με αυτό
Και όσοι δεν έχουν ανησυχίες σε συνδυασμό με 2FA δεν το χρησιμοποιούν καν, γιατί προφανώς δεν ξέρουν τι κάνουν.
Και πώς μπορώ να εξαιρέσω έναν συγκεκριμένο αριθμό στο Macbook και να τον αφήσω στο iPhone; Ευχαριστώ για την απάντηση
Η καλύτερη επιλογή του AFAIK είναι "απενεργοποιήστε την προώθηση μηνυμάτων κειμένου κάτω από τα Μηνύματα στις Ρυθμίσεις (από το iPhone σας)."
Αν δεν κάνω λάθος, δεν γίνεται να μπει στη λευκή λίστα ό,τι πρέπει να προωθηθεί, ούτε σε μαύρη λίστα ό,τι όχι.
Λοιπόν, δεν είναι πιο εύκολο να κλέψεις ένα κινητό παρά ένα Mac; Ναι, μπορείς να έχεις κωδικό για κινητό, αλλά και για MAC. Δεν είμαι ειδικός, αλλά μάλλον δεν είναι εύκολο να φτάσω στο Mac αν δεν ξέρω τον κωδικό πρόσβασης (δεν εννοώ να διαβάσω τα δεδομένα, αλλά να συνδεθώ για να ξεκινήσει το ρελέ SMS).
Επίσης, μην ξεχνάτε ότι μιλάμε για διπλή ασφάλεια, όπου η πρώτη φάση είναι η κύρια - εισάγετε τον κωδικό πρόσβασης για τιμή και αν δεν τον έχετε γραμμένο στο MAC ή σε κάποιο έγγραφο κειμένου μέσα, τότε υπάρχει χωρίς πρόσβαση στην τράπεζα (και δεν χρησιμοποιείτε το 1111 ως κωδικό πρόσβασης :-))
Έτσι, η κλοπή ενός mac θα σας προκαλέσει πιθανώς τη μεγαλύτερη ζημιά λόγω της πραγματικής τιμής του mac.
Το 2FA δεν επιλύει την κύρια κλοπή Mac ή IP. Η λύση είναι ότι ο εισβολέας πρέπει να πάρει τον έλεγχο του Mac και κάτι άλλο. Το Mac του είναι αρκετό τώρα. Το Coz αναιρεί όλα τα οφέλη του 2FA.
(Η συμβουλή είναι να προστατευτείτε από την παραλλαγή "ο εισβολέας στο Mac ελέγχει μόνο το πρόγραμμα περιήγησης", η οποία πιθανώς δεν είναι μια εντελώς ελεγχόμενη κατάσταση.)
Απλώς, αν θεωρείς ότι το Mac είναι απόλυτα ασφαλές (χαχα), τότε δεν χρειάζεται να ασχοληθείς με το 2FA. Και αν όχι, τότε το 2FA σταμάτησε να σας προσφέρει αυτή την αυξημένη ασφάλεια, όπως το δίσκο.
Και για άλλη μια φορά, πολύ έντονα - πηγαίνετε στον ιστότοπο "nicnebezpecneho.cz", ο οποίος είναι επικίνδυνος λόγω μιας ατυχούς συνθήκης. Αυτό μπορεί να σας συμβεί πολύ εύκολα - δεν χρειάζεται να μεταβείτε σε ιστότοπους πορνό αμέσως, αρκεί κάποιος να μην προστατεύσει το ιστολόγιο που επισκέπτεστε και να επιτρέψει να εισαχθεί μη απολυμανθείσα javascript στα σχόλια. Υπάρχει μια απομακρυσμένη εκμετάλλευση για το πρόγραμμα περιήγησής σας σε αυτήν τη σελίδα (αυτό μπορεί ακόμα να συμβεί σε εσάς, τίποτα πολύ ασυνήθιστο). Ή εμπλακείτε στην κοινωνική μηχανική...
...μετά από λίγες ώρες πας να στείλεις χρήματα από την τράπεζα (μπαίνεις στο gmail, github...). Με αυτόν τον τρόπο, εισάγετε τα δεδομένα σύνδεσης στον ήδη παραβιασμένο υπολογιστή (ή δεν χρειάζεται καν να το κάνετε εάν έχετε αποθηκευμένους αυτούς τους κωδικούς πρόσβασης) και αντιγράψτε και επικολλήστε τον κωδικό από το SMS μία φορά.
..και το βράδυ, ο υπολογιστής σας συνδέεται στην τράπεζα (gmail...) μόνος του, ο κωδικός έχει ήδη αποθηκευτεί από κάποιον με κακόβουλο λογισμικό. Δεν θα λάβετε SMS επιβεβαίωσης στο κινητό σας τηλέφωνο, αλλά... σε αυτόν τον παραβιασμένο υπολογιστή.
Η 2FA έλυσε ακριβώς αυτά τα σενάρια. Μέχρι που η Apple το έσπασε.
Νόμιζα ότι το 2FA σημαίνει ότι πρέπει να αποδείξω τον εαυτό μου με 2 πράγματα, για παράδειγμα:
- Κωδικός πρόσβασης
– με τηλέφωνο που δέχεται SMS
Λοιπόν, η προώθηση SMS σε Mac στο τηλέφωνο προσθέτει επίσης το Mac (ή περισσότερα Mac και iPad που έχω αντιστοιχίσει) ως εναλλακτική λύση, αλλά εξακολουθεί να είναι 2FA. Ή όχι?
Για άλλη μια φορά - υπό κανονικές συνθήκες, το 2FA επιλύει καταστάσεις όπως "ο Mac μου έχει χακαριστεί και δεν το ξέρω". Γιατί τότε μπορείτε να υποθέσετε ότι το Mac γνωρίζει τον κωδικό πρόσβασής σας για την υπηρεσία (ότι τον έχετε ήδη αποθηκευμένο ή θα τον ακούσετε την επόμενη φορά που θα συνδεθείτε στην υπηρεσία). Και τώρα μπορείτε να περιμένετε ότι θα ξέρει και SMS (ή μπορεί να το ζητήσει ανά πάσα στιγμή και θα το λάβει).
Οι περισσότερες υπηρεσίες που προσφέρουν έλεγχο ταυτότητας δύο παραγόντων (Facebook, Dropbox, Google, Microsoft, …) επιτρέπουν τη δημιουργία κωδικών πρόσβασης μίας χρήσης χρησιμοποιώντας μια εφαρμογή (εγώ χρησιμοποιώ τον Επαληθευτή Google). Η εφαρμογή δημιουργεί συνεχώς κωδικούς περιορισμένου χρόνου για καταχωρημένες υπηρεσίες. Ο κωδικός μπορεί να αντιγραφεί αμέσως και να χρησιμοποιηθεί για να συνδεθείτε. Δεν χρειάζεται να περιμένετε να φτάσει το SMS και, εάν προωθηθούν στο Mac, λύστε το πρόβλημα που περιγράφεται στο άρθρο.
Τα παραβιασμένα Mac έχουν μηνύματα SMS κατά τη σύνδεση...
Μη διστάσετε να το ζητήσετε. Εάν έχω ενεργοποιήσει την επαλήθευση δύο φάσεων με τη δημιουργία κωδικού μίας χρήσης χρησιμοποιώντας την εφαρμογή, τότε η δεδομένη υπηρεσία δεν στέλνει SMS.
Αν κάτι δεν έχει αλλάξει, πολλές υπηρεσίες ήθελαν το τηλέφωνο και άφησαν το SMS ως προεπιλεγμένη επιλογή. Έτσι, ο υπολογιστής σας που έχει παραβιαστεί επιστρέφει.
Με μεγάλο αριθμό τραπεζών, δεν υπάρχει επιλογή, μόνο ένα SMS και τέλος.
Δεν το καταλαβαίνω πολύ καθαρά. Αν κάποιος μου κλέψει το Mac, απενεργοποιώ τα SMS, σκουπίζω από απόσταση το Mac και αλλάζω τον κωδικό πρόσβασης στην τράπεζα. Ή ποια είναι η αλιεία;
Θα το κάνατε αυτό πριν διαβάσετε αυτό το άρθρο;
Απόλυτα, απολύτως αυτόματα.
Αλλά ο έλεγχος ταυτότητας δύο φάσεων αφορά το γεγονός ότι ο εισβολέας χρειάζεται δύο επιβεβαιώσεις: ΚΩΔΙΚΟΣ ΚΩΔΙΚΟΣ ΚΑΙ SMS. Αυτό σημαίνει ότι αν φοβάμαι ότι κάποιος θα πάρει το ζευγαρωμένο Mac μου, δεν αποθηκεύω τον κωδικό πρόσβασης εκεί και αν κάποιος χακάρει το πρόγραμμα περιήγησής μου, δεν θα μπει στο iMessage.
Από πού έχετε τη διαβεβαίωση ότι δεν θα ξεσπάσει από το πρόγραμμα περιήγησής σας; Σύμφωνα με τα τρέχοντα αποτελέσματα των Pwn4Fun και Pwn2Own, φαίνεται ότι υπάρχουν τουλάχιστον δύο μηδενικές ημέρες για το Safari:
"Στο Pwn4Fun, η Google παρέδωσε ένα πολύ εντυπωσιακό exploit ενάντια στο Apple Safari, λανσάροντας το Calculator ως root στο Mac OS X"
«Από τον Liang Chen της Keen Team:
Ενάντια στο Apple Safari, μια υπερχείλιση σωρού μαζί με μια παράκαμψη του sandbox, με αποτέλεσμα την εκτέλεση κώδικα."
Λεπτά λευκά γράμματα σε πράσινο φόντο - ούτε ένας μαθητής ειδικού σχολείου δεν θα μπορούσε να το προτείνει καλύτερα...
Ένας από τους τρόπους για να σταματήσετε αυτό είναι να αντικαταστήσετε τη δημιουργία κώδικα μέσω ενός dongle (για παράδειγμα αυτό: http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ ) είναι ασφαλές και επιτρέπει υψηλότερη ασφάλεια, το KB πρέπει επίσης να κάνει κάτι παρόμοιο - ένα πιστοποιητικό που έχει μεταφορτωθεί σε δίσκο USB, χωρίς το οποίο ένα άτομο δεν μπορεί να συνδεθεί στην τραπεζική μέσω Διαδικτύου, συν μερικές φορές αποστέλλεται ένας κωδικός πρόσβασης μίας χρήσης στο τηλέφωνο κ.λπ. ... Υπάρχουν πολλές δυνατότητες, αλλά ο καθένας έχει τις δικές του πρέπει να αποφασίσει αν η ασφάλεια είναι σημαντική για εκείνη (αν έχει κωδικό πρόσβασης ή όχι; κ.λπ.)
Η Unicredit έχει ένα υπέροχο πράγμα. Το έξυπνο κλειδί δεν είναι ποτέ ένα κλασικό SMS, αλλά δημιουργώ έναν κωδικό πρόσβασης μίας χρήσης στην εφαρμογή για κινητά.
Χρειάζομαι συμβουλές γιατί ξαφνικά δεν μπορώ να στείλω ένα σύντομο βίντεο χιλιοστών, κάτι που ήταν δυνατό μέχρι τώρα; Δεν υπάρχει επιλογή για απλή εισαγωγή βίντεο, δεν ανταποκρίνεται, δεν το εισάγει στο μήνυμα
σας ευχαριστώ